1.1 安全体系

1.1.1 网络安全相关概念

下面介绍一些与网络安全相关的概念。

（1）计算机安全：通常采取适当行动保护数据和资源，使它们免受偶然或恶意动作的伤害。

（2）数据的完整性：数据所具有的特性，即无论数据形式做何变化，数据的准确性和一致性均保持不变。

（3）保密性、机密性：数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。

（4）可用性：数据或资源的特性，被授权实体按要求能访问和使用数据或资源。

（5）风险评估：一种系统的方法，用于标识出数据处理系统的资产、对这些资产的威胁以及该系统对这些威胁的脆弱性。

（6）威胁：一种潜在的计算机安全违规。

（7）脆弱性：数据处理系统中的弱点或纰漏。

（8）风险：特定的威胁利用数据处理系统中特定的脆弱性的可能性。

（9）主体：能访问客体的主动实体。

（10）客体：一种实体，对该实体的访问是受控的。

（11）敏感信息：由权威机构确定的必须受保护的信息，因为该信息的泄露、修改、破坏或丢失都会对人或事产生可预知的损害。

（12）密码学：一门学科，包含数据变换的原则、手段及方法，以便隐藏数据的语义内容，防止未经授权的使用或未经检测的修改。

（13）加密：数据的密码变换，加密的结果是密文，相反的过程称为解密。

（14）单向加密：一种加密技术，它只产生密文，而不能将密文再生为原始数据。

（15）明文：不利用密码技术即可得出语义内容的数据。

（16）密文：利用加密产生的数据，若不使用密码技术，则得不到其语义内容。

（17）私有密钥：一种密钥，为拥有者专用于解密操作的位串，简称私钥。

（18）公开密钥：一种密钥，任意实体都可用它与相对应的私钥拥有者进行加密通信，简称公钥。

（19）访问控制：一种保证手段，即数据处理系统的资源只能由被授权实体按授权方式进行访问。

（20）最小特权：将主体的访问权限制到最低限度，即仅执行授权任务所必需的那些权利。

（21）隐蔽信道：可用来按照违反安全策略的方式传送数据的传输信道。

（22）病毒：一种在用户不知情或未批准下，能自我复制或运行的程序，病毒往往会影响受感染设备的正常运作，或是让设备被控制而不自知，进而盗窃数据或者利用设备作其他用途。

（23）蠕虫：一种独立程序，它可通过数据处理系统或计算机网络传播自身。

（24）特洛伊木马：一种后门程序，用来盗取目标用户的个人信息，甚至是远程控制对方的计算机进行加壳制作，然后通过各种手段传播或者骗取目标用户执行该程序，以达到盗取密码等数据资料的目的。

1.1.2 网络安全体系

信息（网络）的安全或信息（网络）系统的安全与信息的 3 个安全属性，即机密性、完整性及可用性相关。随着技术的发展，从这3个安全属性中又扩展出可控性、抗抵赖等其他属性。

为了落实网络安全体系的构建，最大程度地减少信息（网络）系统存在的风险，确保其信息的机密性、完整性、可用性、可控性、抗抵赖性，可通过安全成熟的安全模型和战略，将人员、技术、操作、管理相结合，实现动态的安全过程。

1.PDR模型

PDR模型源自美国国际互联网安全系统公司提出的自适应网络安全模型（Adaptive Network Security Model,ANSM），是一个可量化、可数学证明、基于时间的安全模型。

PDR的含义如下。

（1）防护（Protection,P）：采用一系列手段（识别、认证、授权、访问控制、数据加密等）保障数据的保密性、完整性、可用性、可控性及不可否认性等。

（2）检测（Detection,D）：利用各类工具检查系统可能存在的可导致黑客攻击、病毒泛滥的脆弱性，即入侵检测、病毒检测等。

（3）响应（Response,R）：对危及安全的事件、行为、过程及时做出响应处理，杜绝危害的进一步蔓延扩大，力求将安全事件的影响降到最低。

PDR模型是建立在基于时间的安全理论基础之上的。该理论的基本思想是：信息安全相关的所有活动，无论是攻击行为、防护行为、检测行为还是响应行为，都要消耗时间，因而可以用时间尺度来衡量一个体系的能力和安全性。PDR模型如图1-1所示。

要实现安全，必须让防护时间大于检测时间加上响应时间。

防护时间（Pt）：从攻击发生到攻击成功所需时间。

检测时间（Dt）：从攻击发生到检测系统发挥作用、攻击行为被检测出来所需时间。

响应时间（Rt）：检测到攻击之后，系统做出应有的响应动作所需时间。

PDR模型用下列时间关系表达式来说明信息系统是否安全。

（1）Pt＞Dt+Rt，系统安全，即在安全机制针对攻击、破坏行为做出了成功的检测和响应时，安全控制措施依然在发挥有效的防护作用，攻击和破坏行为未给信息系统造成损失。

（2）Pt＜Dt+Rt，系统不安全，即信息系统的安全控制措施的有效防护作用在正确的检测和响应做出之前就已经失效，破坏和攻击行为已经给信息系统造成了实质性破坏和影响。

在这一模型的推动下，以及漏洞扫描、入侵检测系统（Intrusion Detection System,IDS）等产品厂商的宣传下，不少企业意识到了信息系统的安全问题，并且开始慢慢接受信息安全这一“只有投入没有产出”的职能作为公司不可缺少的一部分。此阶段是杀毒软件、防火墙等网络防护工具以及备份软件、磁带机等大力发展的阶段。

2.P2DR模型

P2DR模型由4个主要部分组成：策略（Policy）、防护、检测及响应。

P2DR模型在整体的安全策略的控制和指导下，综合运用防护工具（如防火墙、身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测系统）了解和评估系统的安全状态，通过适当的响应将系统调整到一个比较安全的状态。策略、防护、检测及响应组成了一个完整的、动态的安全循环。

P2DR各部分职责和关系如下所述。

（1）策略是这个模型的核心，意味着网络安全要达到的目标，决定各种措施的强度。

（2）防护是安全的第一步，包括制定安全规章（以安全策略为基础制定安全细则）、配置系统安全（配置操作系统、安装补丁等）、采用安全措施（安装和使用防火墙、VPN等）。

（3）检测是对上述二者的补充，通过检测发现系统或网络的异常情况，发现可能的攻击行为。

（4）响应是在发现异常或攻击行为后系统自动采取的行动，目前的入侵响应措施比较单一，主要是关闭端口、中断连接、中断服务等。

3.P2DR2模型

P2DR2模型是在P2DR模型上的扩充，即策略、防护、检测、响应及恢复（Restore）。

该模型与 P2DR 模型非常相似，区别在于增加了恢复环节并将之提到了和防护、检测、响应环节相同的高度。

4.P2OTPDR2模型

P2OTPDR2模型是在P2DR2模型上的再次扩充，即策略、人（People）、操作（Operation）、技术（Technology）、防护、检测、响应及恢复。

在策略核心的指导下，3个要素（人、操作、技术）紧密结合、协同作用，最终实现信息安全的4项功能（防护、检测、响应、恢复），构成完整的信息安全体系。

5.MAP2DR2模型

MAP2DR2模型由P2DR2模型发展而来，在P2DR2模型的基础上增加了管理（Management）与审计（Audit），形成了由策略、管理、审计、防护、检测、响应及恢复组成的全面安全防护体系。

MAP2DR2模型以管理为中心、以安全策略为基础、以审计为主导，从而采用防护、检测、响应、恢复措施构建贯穿整个网络安全事件生命周期的动态网络安全模型。

6.纵深防御战略

信息安全的纵深防御（Defense in Depth）战略是在当今高度网络化的环境中实现信息安全保障的一个重要的战略，并已得到了广泛的应用和实践。纵深防御战略最早出现于美国国家安全局公开发布的信息安全保障技术框架（Information Assurance Technical Framework,IATF）中，它为保障美国政府和工业的信息基础设施提供了技术指南。

纵深防御战略的3个主要层面——人、技术、操作，主要讨论了人在技术支持下进行维护的信息安全保障问题，纵深防御战略框架如图1-2所示。

纵深防御战略的技术方案主要参照信息安全的需求，将信息系统分解为保护网络和基础设施、保护区域边界、保护计算环境及保护支撑性基础设施 4 个基本方面，并根据这 4 个方面描述了其分层多点的技术安全保障方案。