常见网络安全模型

无论是做为一名普通的安全工程师,还是企业CIO,在信息安全规划的初期都需要面临适合企业的安全模型选择,这里我归类和分析了下常见的安全模型,供大家在为企业选择建设方向时做参考。

一、空间安全模型

这是一个比较常见的安全模型,把网络安全从空间位置划分为物理安全、网络安全、主机安全、应用安全和数据安全。在我国的等级保护方案中对基础技术要求就是按照这五个部分进行划分的。

1

1、  物理安全

在网络安全中,物理设备的安全是保证整个计算机网络系统安全的前提,物理安全技术是指能够保护计算机、网络互连设备等硬件设施免遭自然灾害(地震、火灾、水灾、爆炸等事故)、和人为操作错误或失误而造成的破坏。物理安全技术主要包括机房环境要求、设备安全和传输介质安全三个部分。

主要技术要求包括:防火、防静电、防水和防潮、温湿度控制、电力供应、防雷、防盗窃和防破坏、物理访问控制等。

2、  网络安全

主要确保网络系统的安全性,即是否有未经允许的用户和访问进入网络。主要技术和产品有访问控制、身份认证、网络准入、非法外联、入侵检测、VPN、网络防火墙(NFW)、网闸、网络入侵检测/防御系统(NIDS/NIPS)等。

3、  主机安全

主机安全主要是保证网络内每一台电脑主机的安全性。主要技术有:身份鉴别、访问控制、入侵防范、恶意代码防范、安全审计等,主要产品包括:网络防病毒、内网管理、主机加固、主机防火墙(HFW)、主机入侵检测/防御系统(HIDS/HIPS)等。

4、  应用安全

应用安全是保证网络内应用系统的安全访问和系统健壮性等。主要技术有:身份鉴别、访问控制、安全审计、软件容错等,常见的产品有:网站安全保护(WAF)、邮件保护系统(防垃圾、防病毒)、数据库审计等。

5、  数据安全

数据安全主要是保护用户数据的安全,保证数据的真实性、保密性与可用性,主要包括数据的防泄漏(DLP)、数据备份与恢复等。

空间模型是一个比较常见的安全模型,其优点是结构清晰,易于与产品结合,管理员可以很容易的知道在每个位置应该上什么样的安全措施和产品。其缺点是这个是一个静态模型,没有考虑安全网络的动态性的特点。

由于网络安全动态性的特点,网络安全防范也在动态变化过程之中,同时网络安全目标也表现为一个不断改进的、螺旋上升的动态过程。传统的以访问控制技术为核心的单点技术防范已经无法满足网络安全防范的需要,人们迫切地需要建立一定的安全指导原则以合理地组织各种网络安全防范措施,从而达到动态的网络安全目标。为了有效地将单点的安全技术有机融合成网络安全的防范体系,各种动态安全模型就应运而生。

二、PDRR模型

ISS公司最早提出的PDR模型后来发展为P2DR模型、PDRR模型,PDRR是由系统防护(Protection)、动态检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)四个单词的首字母组成。

2

PDRR模型引进了时间的概念。

 

保护时间Pt:表示从入侵开始到成功侵入系统的时间,即攻击所需时间。高水平的入侵及安全薄弱的系统都能导致攻击的有效性,使保护时间Pt缩短。

 

检测时间Dt:系统安全检测包括发现系统的安全隐患和潜在攻击检测。改进检测算法和设计可缩短Dt。适当的防护措施可有效缩短检测时间。

 

响应时间Rt:包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间。例如一个监控系统的响应可能包括监视、切换、跟踪、报警、反攻等内容。而安全事件的后处理(如恢复、事后总结等)不纳入事件响应的范畴之内。

 

PDRR模型用数学公式的方法简明地解析了安全的概念:系统的保护时间应大于系统检测到入侵行为的时间加上系统响应时间,即Pt >Dt+Rt。也就是在入侵者危害安全目标之前就能够被检测到并及时处理。巩固的防护系统与快速的反应结合起来,就是真正的安全。例如,防盗门只能延长被攻破的时间。如果警卫人员能够在防盗系统被攻破之前作出迅速反应,那么这个系统就是安全的。这实际上给出了安全的一个全新的定义:及时的检测和响应就是安全。根据这样一种安全理论体系,我们就知道构筑网络安全的宗旨就是提高系统的防护时间,降低检测时间和响应时间。

 

系统暴露时间Et是指系统处于不安全状况的时间,等于检测到入侵者破坏安全目标开始,将系统恢复到正常状态的时间。系统的暴露时间越长,系统就越不安全。例如,对Web服务器被破坏的页面进行恢复,人们不难理解这个安全理念是及时的检测和恢复就是安全。

PDRR模型阐述了这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间,在系统遭到破坏后,应尽快恢复,以减少系统暴露时间。

 

网络安全的动态特性在DR模型中得到了一定程度的体现,其中主要是通过入侵的检测和响应完成网络安全的动态防护。但DR模型不能描述网络安全的动态螺旋上升过程。为了使DR模型能够贴切地描述网络安全的本质规律,人们对DR模型进行了修正和补充,在此基础上提出了APPDRR模型。APPDRR模型认为网络安全由风险评估(Assessment)、安全策略(Policy)、系统防护(Protection)、动态检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)六部分完成。

网络安全的动态特性在DR模型中得到了一定程度的体现,其中主要是通过入侵的检测和响应完成网络安全的动态防护。但DR模型不能描述网络安全的动态螺旋上升过程。为了使DR模型能够贴切地描述网络安全的本质规律,人们对DR模型进行了修正和补充,结合了P2DR模型(策略Policy、保护Protection、检测Detection和响应Reaction)和PDRR模型(保护Protection、检测Detection、响应Reaction和恢复Restoration),在此基础上提出了APPDRR模型。

三、APPDRR模型

APPDRR模型认为网络安全由风险评估(Assessment)、安全策略(Policy)、系统防护(Protection)、动态检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)六部分完成。

3

1、风险评估(Assessment)

信息系统安全风险评估是通过对资产、脆弱性和威胁来综合评估分析系统面临的安全风险,对所发现风险提供相关的处理建议。风险评估是风险管理的重要组成部分,是信息安全工作中的重要一环。根据组织安全风险评估报告和安全现状,提出相应的安全建议,才能指导下一步的信息安全建设。

比如网站被黑,我们首先要分析的的是网站被黑的问题在哪,黑客用什么手段入侵,哪些服务器存在安全隐患,源头在哪?必须首先进行信息安全风险评估。通过采集本地安全信息,获得目前操作系统安全、网络设备、各种安全管理、安全控制安全策略、应用系统、业务系统等方面的数据,并进行相应的分析,最终找出问题根源所在,可能是WEB网站的代码有程序设计缺陷,也可能是服务器的口令被暴力破解,问题可能是一个或者是多个。

再比如网络内感染病毒?我们就要分析病毒通过什么途径感染?是通过互联网还是局域网还是U盘?还是服务器和工作站的系统上有什么漏洞?使用的应用程序是如何取得的?单位内对互联网是如何管控的?对U盘等移动介质是如何管控的?有没有使用简单的文件共享?密码是否过于简单?等等等等

我们要通过对各种挖掘出来的弱点进行高中低风险排序,认清不同的弱点能带来什么程度的风险,并在下一步的风险策略中进行风险处置。

所以风险分析是网络安全的基础,只有找到系统存在原漏洞和薄弱环节,才能有的放矢,对症下药。这也是为什么方案设计在一开始就要强调找问题。头疼医头,脚疼医脚,如果一上来就推荐安全产品,那只能是远水救火,无法从整体角度上有效解决信息安全问题,如果不分析清楚问题的根由所在,任何的安全设备都不可能完全解决用户的安全问题。而有些厂商宣称自己的产品能包治百病、彻底解决用户的安全问题,在我看来就跟天桥上买大力丸的差不多,可惜总会有人相信。

2、安全策略Policy

 

网络安全策略是APPDRR模型的第二个重要环节,起着承上启下的作用:一方面,安全策略应当随着风险评估的结果和安全需求的变化做相应的更新;另一方面,安全策略在整个网络安全工作中处于原则性的指导地位,其后的检测、响应诸环节都应在安全策略的基础上展开。根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。网络安全策略一般包括总体安全策略和具体安全策略2个部分。在之前的PPDR模型中,策略被认为是整个模型的核心。

4

在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。并防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。

 

比如单位感染了病毒,通过刚才的分析,我们知道了病毒可能的源头,下面就针对发现的问题进行相应的安全策略,比如说设置服务器的安全策略、设置强口令、加强的互联网访问的控制、加强对U盘等移动存储设备的管理、通过培训加强员工安全意识、通过管理强化安全操作规范、通过软件和设备加强病毒防范手段等。

 

 

3、系统防护(Protection)

系统防护是模型的另外一个重要环节,通过风险分析找到网络和系统存在的风险后,在安全策略的指导下做针对性的防护措施。通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。

 

4、动态检测(Detection)

是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当系统检测到攻击或者发现病毒或者出现有其他安全隐患时,检测功能就发挥作用,及时通知响应系统进行响应。常见的设备如IDS/IPS就是一种检测产品,但不是唯一,入侵事件的报警可以是入侵检测系统的报警,也可以是其他安全事件的报警。

5、实时响应(Reaction)

系统一旦检测到入侵、病毒、死机或其他之前能考虑到的安全问题,触发了之前设置的响应条件,响应系统就开始工作,进行事件处理。并按照之前设置好的策略进行相应的操作。

响应的主要工作也可以分为两种.第一种是紧急响应;第二种是其他事件处理.紧急响应就是当安全事件发生时采取应对措施,其他事件主要包括咨询、培训和技术支持。

 

在保护、检测和响应的部分,就象上篇讲到的PDRR模型中说的,突出了一个时间观念,我们的要求是:系统的保护时间应大于系统检测到入侵行为的时间加上系统响应时间,即Pt >Dt+Rt。Pt保护时间,Dt检测时间,Rt响应时间。需要特别注意的是这里提到的Rt和容灾备份中经常提到的RTO不是一个概念,但好多人弄混,将RTO(Recovery time)理解成Rt(response time),所以你也经常可以看到一些容灾产品宣称自己的RTO等于0,其实都是概念理解的错误。这个部分以后单独介绍。

一个最常见的安全响应措施就是防病毒,经过对网络安全风险的分析后,我们在安全策略的指导下在局域网内部署防病毒软件(保护)并开启实时监控(检测),一旦发现病毒出现,立即按照设定的策略进行病毒的清除或删除或隔离(响应)。

再比如双机热备也是一种常见的安全响应措施,为了避免主机故障引起的服务中断,对于核心的业务系统实施双机热备(保护)并进行心跳检测(检测),一旦主机宕机,则备机自动接管(响应)。

6、灾难恢复(Restoration)

灾难恢复是APPDRR模型的最后一个环节,也是最后的一道安全防线,是整个安全模型的保障。因为任何的安全措施都不能保证万无一失。恢复是事件发生后,把系统恢复到原来的状态,或者比原来更安全的状态。恢复也可以分为两个方面:系统恢复和信息恢复(也叫数据恢复)。

系统恢复指的是修补该事件所利用的系统缺陷,不让黑客再次利用这样的缺陷入侵。一般系统恢复包括系统升级、软件升级和打补丁等。系统恢复的另一个重要工作是除去后门。一般来说,黑客在第一次入侵的时候都是利用系统的缺陷。在第一次入侵成功之后,黑客就在系统打开一些后门,如安装一个特洛伊木马。所以,尽管系统缺陷已经打补丁,黑客下一次还可以通过后门进入系统,系统恢复都是根据检测和响应环节提供有关事件的资料进行的。

信息恢复指的是恢复丢失的数据。数据丢失的原因可能是由于黑客入侵造成,也可以是由于系统故障、自然灾害等原因造成的。信息恢复就是从备份和归档的数据恢复原来数据。信息恢复过程跟数据备份过程有很大的关系。数据备份做得是否充分对信息恢复有很大的影响。信息恢复过程的一个特点是有优先级别。直接影响日常生活和工作的信息必须先恢复,这样可以提高信息恢复的效率。

系统恢复和数据恢复是相辅相成的,没有数据的系统(应用)跟没有系统(应用)的数据一样没有什么作用。系统恢复是保证业务的连续性,即业务不停,数据恢复是保证数据的持续性,即数据不丢。

跟灾难恢复相对应的技术就是备份,同样,备份也包括两个方面,系统(应用)备份与信息(数据)备份。备份是恢复的前提,恢复是备份的目的。只有对系统(应用)以及信息(数据)做好备份,才能确保万一防线被攻破造成损失后及时进行灾难恢复。

5

需要着重指出的是:以上六个环节并不是一个直线结构,而是一个环型结构。灾难恢复完成后要再进行新的风险分析和策略设置,并在安全策略的指导下进行新的防护措施。所以APPDRR模型很好的体现了安全是动态的和螺旋上升的理念。

 在APPDRR模型中,风险分析是基础,安全策略是核心,防护与响应是手段,灾难恢复是保障。六个环节相辅相成,一环扣一环,缺少其中任何一个环节都有可能给网络安全工作带来巨大隐患。

 

四、IATF模型

 

IATF模型的全称是:信息保障技术框架(InformationAssurance Technical Framework,IATF)是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架,它提出了信息保障时代信息安全需要考虑的要素。正是因为在信息安全工作中人们意识到,构建信息安全保障体系必须将技术、管理、策略、工程和运维等各个方面的要素紧密结合,安全保障体系才能真正完善和发挥作用,IATF成为一个流行的信息安全保障体系模型。

IATF首次提出了信息保障需要通过人(People)、技术(Technology)个操作(Operation)来共同实现组织职能和业务运作的思想,同时针对信息系统的构成特点,从外到内定义了四个主要的技术关注层次,包括网络基础设施、网络边界、计算环境和支撑基础设施,完整的信息保障体系在技术层面上应实现保护网络基础设施、保护网络边界、保护计算机环境和保护支撑基础设施形成“深度防护战略(Defense-in-Depth Strategy)”。

 

 

五、 WPDRRC信息安全模型

 

WPDRRC信息安全模型是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型,它在PDR模型的前后增加了预警和反击功能,它吸取了IATF需要通过人、技术和操作来共同实现组织职能和业务运作的思想。WPDRRC模型有6个环节和3个要素。6个环节包括预警(W)、保护(P)、检测(D)、响应(R)、恢复(R)和反击(C),它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。3大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证,落实在WPDRRC6个环节的各个方面,将安全策略变为安全现实。

此条目发表在服务器相关分类目录,贴了标签。将固定链接加入收藏夹。