第2章计算机网络安全技术(第二版)

P2DR安全模型（7）
检测的对象
网络的安全风险是实时存在的，检测的对象主要针对系统自 身的脆弱性及外部威胁。主要包括：检查系统存在的脆弱性； 在计算机系统运行过程中，检查、测试信息是否发生泄漏、 系统是否遭到入侵，并找出泄漏的原因和攻击的来源。如计 算机网络入侵检测、信息传输检查、电子邮件监视、电磁泄 漏辐射检测、屏蔽效果测试、磁介质消磁效果验证等。 检测与防护的区别：检测和防护有根本性的区别。如果防护 和黑客的关系是：“防护在明，黑客在暗”，那么检测和黑 客的关系是：“黑客在明，检测在暗”。防护主要修补系统 和网络的缺陷，增加系统的安全性能，从而消除攻击和入侵 的条件。检测并不是根据网络和系统的缺陷，而是根据入侵 事件的特征去检测的。但是，黑客攻击系统的时候往往是利 用网络和系统的缺陷进行的，所以入侵事件的特征一般与系 统缺陷的特征有关民因此防护和检测技术是有相关的理论背 景的。在安全模型中，防护（P）和检测（D）之间有互补关 系。如果防护部分做得很好，绝大多数攻击事件都被阻止， 那么检测部分的任务就很少了。反过来，如果防护部分做得 不好，检测部分的任务就很多。
P2DR安全模型（4）
防护的技术及方法
防护通常采用传统的静态安全技术及方法如防火墙、加密、认证等来实现。 主要是在边界提高抵御能力。边界防护技术可分为物理实体的防护技术和 信息防护（防泄露、防破坏）技术。 物理实体的防护技术主要是对有形的信息载体实施保护，使之不被窃取、 复制或丢失。如磁盘信息消除技术，室内防盗报警技术，密码锁、指纹锁、 眼底锁等。信息载体的传输、使用、保管、销毁等各个环节都可应用这类 技术。 信息防护技术主要是对信息的处理过程和传输过程实施保护，使之不被非 法入侵、窃听、干扰、破坏、拷贝。 对信息处理的防护主要有如下二种技术：
P2DR安全模型（3）
2、防护
防护就是采用一切手段保护计算机网络系统的保密性、 完整性、可用性、可控性和不可否认性，预先阻止攻击 可以发生的条件产生，让攻击者无法顺利地入侵。所以 说，防护是网络安全策略中最重要的环节。防护可以分 为三大类：系统安全防护、网络安全防护和信息安全防 护。
系统安全防护指的是操作系统的安全防护，即各个操作系统的 安全配置、使用和打补丁等。不同操作系统有不同的防护措施 和相应的安全工具。 网络安全防护指的是网络管理的安全，以及网络传输的安全。 信息安全防护指的是数据本身的保密性、完整性和可用性。数 据加密就是信息安全防护的重要技术。
紧急响应。当安全事件发生时采取应对措施； 其他事件处理。主要包括咨询、培训和技术支持。
2.1.2 PDRR网络安全模型（1）
网络安全的整个环节可以用一个最常用的安全 模型——PDRR模型来描述。如图2.2所示。 PDRR就是防护（Protection）、检测 （Detection）、响应（Response）、恢复 Detection Response （Recovery）4个英文单词的头一个字符。
第2章 计算机网络安全基础
安全的概念是相对的，任何一个系统都具有潜在的危险，没有 绝对的安全。在一个特定的时期内，在一定的安全策略下，系统 可能是安全的。但是，随着攻击技术的进步、新漏洞的暴露，系 统可能会变得不安全了。因此，安全具有动态性，需要适应变化 的环境并能做出相应的调整以确保计算机网络系统的安全。 计算机网络系统的安全包括了物理层、网络层、系统层、应用 层以及管理层等多个方面。从技术上来说，系统的安全是由安全 的软件系统、防火墙、网络监控、信息审计、通信加密、灾难恢 复、安全扫描等多个安全组件来保证的，单独的安全组件只能提 供部分的安全功能，无论缺少哪一个安全组件都不能构成完整的 安全系统。因此，计算机网络系统安全是一个系统工程，必须保 证网络设备和各个组件的整体安全性。
P2DR安全模型（1）
防护（P）
策略（P） 响应（R） 检测（D）
P2DR安全模型（2）
1、策略
安全策略具有一般性和普遍性，一个恰当的安全策略总会把关注的 核心集中到最高决策层认为必须值得注意的那些方面。概括地说， 一种安全策略实质上表明：当设计所涉及的那个系统在进行操作时， 必须明确在安全领域的范围内，什么操作是明确允许的，什么操作 是一般默认允许的，什么操作是明确不允许的，什么操作是默认不 允许的。安全策略一般不作出具体的措施规定，也不确切说明通过 何种方式能才够够达到预期的结果，但是应该向系统安全实施者们 指出在当前的前提下，什么因素和风险才是最重要的。就这个意义 而言，建立安全策略是实现安全的最首要的工作，也是实现安全技 术管理与规范的第一步。目前，如何能使安全策略与用户的具体应 用紧密结合是计算机网络安全系统面临的最关键问题。所以，安全 策略的制定实际上是一个按照安全需求、依照应用实例不断精确细 化的求解过程。 安全策略是P2DR安全模型的核心，所有的防护、检测、响应都是依 据安全策略实施的，安全策略为安全管理提供管理方向和支持手段。 策略体系的建立包括安全策略的制订、评估、执行等。只有对计算 机网络系统进行了充分的了解，才能制订出可行的安全策略。
P2DR安全模型（6）
3、检测 上面提到防护系统除掉入侵事件发生的条件， 可以阻止大多数入侵事件的发生，但是它不能 阻止所有的入侵。特别是那些利用新的系统缺 陷、新的攻击手段的入侵。因此安全Fra Baidu bibliotek策的第 二个安全屏障就是检测。 检测是动态响应和加强防护的依据，是强制落 实安全策略的工具，通过不断地检测和监控网 络及系统，来发现新的威胁和弱点，通过循环 反馈来及时做出有效的响应。
P2DR安全模型（8）
入侵检测系统（IDS）：现在使用最多的检测工具是入侵检测系统（IDS）。它 是一个硬件系统或软件程序，基于入侵者的攻击行为与合法用户的正常行为有 着明显的不同，实现对入侵行为的检测和告警，以及对入侵者的跟踪定位和行 为取证。 根据不同的特征，入侵检测系统可以分为不同的类型：
根据检测环境不同，IDS一般可以分为基于主机的IDS（Host-based）和基于网络的 IDS（Network-based）。基于主机的IDS检测基于主机上的系统日志，审计数据等信 息，而基于网络的IDS检测则一般侧重于网络流量分析。基于主机的IDS的优点在于 它不但能够检测本地入侵（Local Intrusion），还可以检测远程入侵（Remote Intrusion）。而缺点则是它对操作系统依赖较大，检测的范围较小。而基于网络的 入侵检测系统的优点则在于检测范围是整个网段，独立于主机的操作系统。 根据检测所使用方法，IDS还可以分为两种：误用检测（Misuse Detection）和异常 检测（Anomaly Detection）。误用检测技术需要建立一个入侵规则库，其中，它对 每一种入侵都形成一个规则描述，只要发生的事件符合于某个规则就被认为是入侵。 这种技术的好处在于它的误警率（False Alarm Rate）比较低，缺点是查全率 （Probability of Detection）完全依赖于入侵规则库的覆盖范围，另外由于入侵规则 库的建立和更新完全靠手工，且需要很深的网络安全知识和经验，所以维持一个准 确完整的入侵规则库是一件十分困难的事情。异常检测技术不对每一种入侵进行规 则描述，而是对正常事件的样本建立一个正常事件模型，如果发生的事件偏离这个 模型的程度超过一定的范围，就被认为是入侵。由于事件模型是通过计算机对大量 的样本进行分析统计而建立的，具有一定的通用性，因此异常检测克服了一部分误 用检测技术的缺点。但是相对来说异常检测技术的误警率较高。
计算机软、硬件的加密和保护技术，如计算机口令字验证、数据库存取控制技 术、审计跟踪技术、密码技术、防病毒技术等； 计算机网络保密技术，主要指用于防止内部网秘密信息非法外传的保密网关、 安全路由器、防火墙等。
对信息传输的防护也有两种技术：
对信息传输信道采取措施，如专网通信技术、跳频通信技术（扩展频谱通信技 术）、光纤通信技术、辐射屏蔽和干扰技术等，以增加窃听的难度； 对传递的信息使用密码技术进行加密，使窃听者即使截获信息也无法知悉其真 实内容。常用的加密设备有电话保密机、传真保密机、IP密码机、线路密码机、 电子邮件密码系统等。
入侵检测系统一般和紧急响应及系统恢复有密切关系。
P2DR安全模型（9）
4、响应
响应就是在检测到安全漏洞或一个攻击（入侵）事 件之后，必须及时做出正确的响应，从而把系统调 整到安全状态；对于危及安全的事件、行为、过程 及时做出处理，杜绝危害进一步扩大，使系统力求 提供正常的服务。 从某种意义上讲，安全问题就是要解决紧急响应和 异常处理问题。通过建立反应机制，制订好紧急响 应方案和一切准备工作，提高实时性，形成快速响 应的能力。响应的主要工作可以分为以下两种：
P2DR安全模型（5） ——防护的安全单元
风险评估——缺陷扫描。安全缺 陷可以分为两种：允许远程攻击 的缺陷和只允许本地攻击的缺陷。 允许远程攻击的缺陷一般存在于 提供网络服务的软件中。只允许 本地攻击的软件就是攻击者不能 通过网络利用该缺陷攻击系统， 这样的缺陷一般存在于不提供网 路服务的软件中。对于允许远程 攻击的安全缺陷，可以使用网络 缺陷扫描工具去发现。对于只允 许本地攻击的缺陷，只能使用本 地缺陷扫描工具去发现它们。发 现缺陷后就对该缺陷进行修补 （打补丁）。 访问控制及防火墙 防病毒软件 数据备份 数据加密 鉴别技术。鉴别技术防护数据通 信的两个方面：通信双方的身份 认证和传输数据的完整性。
数字签名是在电子文件上签名的 技术，确保电子文件的完整性。 身份认证需要每个实体（用户） 登记一个数字证书。这个数字证 书包含该实体的信息（如用户名、 公开密钥）。 公钥基础设施PKI就是一个管理 数字证书的机构，其中包括发行、 管理、回收数字证书。
使用安全通信。可以防止数据在 传输过程中的泄漏。点对点的安 全通信的建立过程如下：首先， 通信双方用公开密钥加密技术互 相鉴别对方的身份。如果鉴别的 身份已通过，双方随机产生一个 加密密钥，用来加密传输的数据。 传输的数据加密使用对称加密技 术。 安全技术评估标准
成功 攻击 防护(P) 失败 检测(D) 失败 成功 成功 响应(R) 失败 恢复(R)
2.1.2 PDRR网络安全模型（2）
PDRR安全模型中安全策略的前三个环节与P2DR安全模 型中后三个环节的内涵基本相同，不再赘述。最后一 个环节“恢复”，是指在系统被入侵之后，把系统恢 复到原来的状态，或者比原来更安全的状态。系统的 恢复过程通常需要解决两个问题：一是对入侵所造成 的影响进行评估和系统的重建，二是采取恰当的技术 措施。系统的恢复主要有重建系统、通过软件和程序 恢复系统等方法。详见第十章10.4节。 PDRR安全模型阐述了下面一个结论：安全的目标实际 上就是尽可能地增大保护时间，尽量减少检测时间和 响应时间，在系统遭受到破坏后，应尽快恢复，以减 少系统暴露时间。也就是说：及时的检测和响应就是 安全。
本章主要内容
1 2 3 4 安全模型 网络安全体系结构 安全服务与安全机制 网络安全设计的基本原则
2.1 安全模型
2.1.1 P2DR安全模型
美国国际互联网安全系统公司（ISS）提出的P2DR安全模型是 指：策略（Policy）、防护（Protection）、检测（Detection） 和响应（Response）。如图2.l所示。 P2DR安全模型可以描述为： 安全=风险分析+执行策略+系统实施+漏洞监测+实时响应 P2DR安全模型认为没有一种技术可完全消除网络中的安全漏 洞，必须在整体安全策略的控制、指导下，在综合运用防护 工具的同时，利用检测工具了解和评估系统的安全状态，通 过适当的反馈将系统调整到相对最安全和风险最低的状态， 才能达到所需的安全要求。也就是说，系统的安全实际上是 理想中的安全策略和实际的执行之间的一个平衡，强调在防 护、监控检测、响应等环节的循环过程，通过这种循环达到 保持安全水平的目的。所以，P2DR安全模型是整体的、动态 的安全模型，应该依据不同等级的系统安全要求来完善系统 的安全功能、安全机制。P2DR安全模型也称为可适应安全模 型ANSM（Adaptive Network Security Model）。