1.4 信息安全模型

由于信息安全的动态性特点，信息安全防护也在动态变化，同时，信息安全目标也呈现为一个不断改进的、螺旋上升的动态过程。传统的以密码技术为核心的单点技术防护已经无法满足信息安全的需要，人们迫切地需要建立一定的安全指导原则以合理地组织各种信息安全措施，从而达到动态的信息安全目标。为了有效地将单点的安全技术有机融合成信息安全的体系，各种信息安全模型应运而生。所谓信息安全模型，就是动态信息安全过程的抽象描述。为了达到安全目标，需要建立合理的信息安全模型描述，以指导信息安全工作的部署和管理。目前，在信息安全领域存有较多的安全模型。这些信息安全模型都较好地描述了信息安全的部分特征，又都有各自的侧重点，在各自不同的专业和领域都有着一定程度的应用。本节将介绍信息安全领域比较通用的安全模型，通过对安全模型的研究，了解安全动态过程的构成因素，从而构建合理而实用的安全策略体系。

1.4.1 传统信息安全模型

在信息系统中，为了保证信息传输的安全性，一般需要一个值得信任的第三方负责在源节点和目的节点间进行秘密信息（如密钥）分发，同时当双方发生争执时，起到仲裁的作用。图1-7所示为传统信息安全模型示意图。

在图1-7所示的基本模型中，通信的双方在进行信息传输前，首先建立一条逻辑通道，并提供安全的机制和服务来实现在开放信息系统环境中信息的安全传输。信息的安全传输主要包括以下几点。

（1）发送方从源节点发出的信息，使用信息加密等密码技术对其进行安全的转换，从而实现该信息的保密性，同时也可以在该信息中附加一些特征信息，作为源节点的身份验证。

（2）源节点与目的节点应该共享如加密密钥这样的保密信息，这些信息除了发送双方和可信任的第三 方之外，对其他用户都是保密的。

（3）接收方从目的节点接收安全信息，并将其转换成接收方能理解的明文信息。

1.4.2 P2DR模型

传统的信息安全技术都集中在系统信息自身的加固和防护上。单纯的防护技术容易导致系统的盲目建设。面对不可避免的各种攻击，信息系统安全的重点应放在如何在安全策略的指导下及时发现问题，然后迅速响应，为此美国ISS公司提了一种动态的P2DR（Policy，Protection，Detection，Response）信息安全模型。P2DR是在安全策略的统一控制和指导下，在综合运用防护措施基础上，利用检测措施检测评估信息系统的安全状态，并通过及时的响应措施将信息系统调整到风险最低的安全状态。此外，P2DR对传统安全模型作了很大改进，引进了时间的概念，对实现信息的安全状态给出了可操作性的描述。图1-8所示为P2DR模型示意图。

从图1-8所示的P2DR模型可以看出，完整的信息安全体系应当包括核心安全策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）4个主要部分。其中，安全策略是整个P2DR模型的核心，它是P2DR模型中的防护、检测和响应等部分实施的依据。信息安全策略可以分为总体安全策略与具体安全策略规则。一个安全策略体系的建立包括策略的制定、评估与执行。防护是根据信息系统中可能出现的安全问题而采取的预防措施，这些措施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、访问控制、VPN、防火墙和数据备份等，它对信息系统可能出现的安全问题采取预防措施。防护可以预先阻止可以发生攻击的条件产生，让攻击者无法顺利地入侵。检测是根据入侵事件的特征检测入侵行为。当攻击者穿透防护模块时，检测模块就发挥作用，与防护系统形成互补。检测模块使用漏洞扫描和入侵检测等技术。在P2DR模型中，检测模块是非常重要的一个环节，检测是静态防护转化为动态防护的关键，是动态响应和加强防护的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控信息系统，发现新的威胁和弱点，通过循环反馈及时做出有效的响应。响应是当安全事件发生时采取的对应措施，并把信息系统恢复到原来的状态或比原来更安全的状态。信息系统一旦检测到入侵，响应系统就开始工作，进行事件处理。响应包括紧急响应和恢复处理，恢复处理又包括系统恢复和信息恢复。防护、检测和响应组成了一个完整的、动态的安全循环，在核心安全策略的指导下保证信息系统的安全。

P2DR模型是基于时间的安全理论。该理论的基本原理就是认为网络安全相关的所有活动，不管是攻击行为、防护行为、检测行为和响应行为等都要消耗时间。因此，可以用时间来衡量一个体系的安全性和安全能力。设Pt为系统保护安全目标所提供的防护时间，它相当于攻击者攻击安全目标所花费的时间。在入侵发生的同时，检测系统也在发挥作用，因此设Dt为从入侵者开始发动入侵开始，到系统能够检测到入侵行为所花费的时间。在检测到入侵后，系统会做出应有的响应动作，设Rt表示从发现入侵行为开始，到系统能够做出足够的响应，将系统调整到正常状态的时间。因此，P2DR 模型就可以用以下数学公式来表达安全的要求：

在公式（1-1）中，针对需要保护的安全目标，如果公式满足防护时间Pt大于检测时间Dt加上响应时间Rt，也就是在入侵者危害安全目标之前就能被检测到并及时处理，目标就是安全的。

当Pt=0，即防护时间为0，则有以下公式：

在公式（1-2）中，Dt与Rt之和为该安全目标系统的暴露时间Et。针对需要保护的安全目标，如果Et越小系统就越安全。P2DR模型阐述了这样一个结论：安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间，在系统遭到破坏后，应尽快恢复，以减少系统暴露时间。

通过上面两个公式的描述，实际上给出了信息安全一个全新的定义：及时的检测和响应就是安全，及时的检测和恢复就是安全。而且，这样的定义为安全问题的解决给出了明确的方向，即提高系统的防护时间Pt，降低检测时间Dt和响应时间Rt。P2DR模型也存在一个明显的弱点，就是忽略了内在的变化因素。如人员的流动、人员的素质和策略执行的不稳定性等。实际上，信息安全问题牵涉面广，除了涉及防护、检测和响应，信息系统本身安全免疫力的增强、系统和整个网络的优化，以及人员这个在系统中作为最重要角色的素质提升，都是P2DR安全模型没有考虑的问题。

1.4.3 PDRR模型

近年美国国防部提出了信息安全保障体系（Information Assurance，IA）概念，其重要内容概括了信息安全的整个环节，即包括防护（Protect）、检测（Detect）、响应（React）和恢复（Restore），形成了PDRR安全模型。PDRR模型把信息的安全保护作为基础，将保护视为活动过程，要用检测手段来发现安全漏洞，及时更正，同时采用应急响应措施对付各种入侵。在系统被入侵后，要采取相应的措施将系统恢复到正常状态，使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力，因此，在PDRR模型中，安全的概念已经从信息安全扩展到了信息保障，信息保障内涵已超出传统的信息安全保密，是防护（Protect）、检测（Detect）、反应（React）和恢复（Restore）的有机结合。图1-9所示为PDRR模型示意图。

从图1-9可以看出，PDRR模型的4个部分是一个顺次发生的过程。首先，采取各种措施对需要保护的对象进行安全防护，即根据系统已知的所有安全问题做出防护的措施，如打补丁、访问控制、数据加密等。然后，利用相应的检测手段对安全保护对象进行安全跟踪和检测以随时了解其安全状态。如果发现安全保护对象的安全状态发生改变，特别是由安全变为不安全，则马上采取应急措施对其进行处理，响应系统开始响应事件处理和其他业务，直至恢复安全保护对象的安全状态。PDRR模型的最后一个环节就是恢复。恢复是安全事件发生后，把信息系统恢复到原来的状态，或者比原来更安全的状态。恢复也可以分为系统恢复和信息恢复两个方面。其中，系统恢复指的是修补该事件所利用的系统缺陷，不让攻击者再次利用这样的缺陷入侵。一般系统恢复包括系统升级、软件升级和打补丁等。系统恢复的另一个重要工作是去除后门。一般来说，攻击者在第一次入侵的时候都是利用系统的缺陷。在第一次入侵成功之后，攻击者就在系统打开一些后门，如安装一个特洛伊木马。所以，尽管系统缺陷已经打补丁，攻击者下一次还可以通过后门进入系统。系统恢复都是根据检测和响应环 节提供有关事件的资料进行的。信息恢复指的是恢复丢失的数据。数据丢失的原因可能是由于攻击者入侵造成，也可以是由于系统故障、自然灾害等原因造成的。信息恢复就是从备份和归档的数据恢复原来数据，因此信息恢复过程跟数据备份过程有很大的关系。数据备份做得是否充分对信息恢复有很大的影响。信息恢复过程的一个特点是有优先级别，直接影响日常生活和工作的信息必须先恢复，这样可以提高信息恢复的效率。在入侵事件发生后，把系统恢复到原来的状态。每次发生入侵事件，防御系统都要更新，保证相同类型的入侵事件不能再发生，所以整个安全策略包括防御、检测、响应和恢复，这4个方面组成了一个动态的信息安全周期。