P2DR安全模型
3、检测
但是，黑客攻击系统的时候往往是利用网络和 系统的缺陷进行的，所以入侵事件的特征一般 与系统缺陷的特征有关。 防护和检测技术是有相关理论背景的。在安全 模型中，防护（P）和检测（D）之间有互补关 系。 如果防护部分做得很好，绝大多数攻击事件都 被阻止，那么检测部分的任务就很少了。反过 来，如果防护部分做得不好，检测部分的任务 就很多。
P2DR安全模型
3、检测
基于主机的IDS检测基于主机上的系统日志， 审计数据等信息。其优点在于它不但能够检 测本地入侵（Local Intrusion），还可以 检测远程入侵（Remote Intrusion）。而 缺点则是它对操作系统依赖较大，检测的范 围较小。 基于网络的IDS检测则一般侧重于网络流量 分析。其优点在于检测范围是整个网段，独 立于主机的操作系统
1、策略
安全策略一般不作出具体的措施规定，也不 确切说明通过何种方式能才够达到预期的结 果，而是向系统安全实施者指出在当前的前 提下，什么因素和风险才是最重要的。 就这个意义而言，建立安全策略是实现安全 的最首要的工作，也是实现安全技术管理 与规范的第一步。
P2DR安全模型
2、防护
防护就是采用一切手段保护计算机网络系统 的保密性、完整性、可用性、可控性和不可 否认性，预先阻止攻击可以发生的条件产生， 让攻击者无法顺利地入侵。
安全策略具有一般性和普遍性，一个恰当的 安全策略总会把关注的核心集中到最高决策 层认为必须值得注意的那些方面。 概括地说，一种安全策略实质上明确在安全 领域的范围内：
什么操作是明确允许的 什么操作是一般默认允许的 什么操作是明确不允许的 什么操作是默认不允许的。
P2DR安全模型
P2DR PDRR
2.1.1 P2DR安全模型
美国国际互联网安全系统公司（ISS） P2DR安全模型是指：
策略（Policy） 防护（Protection） 检测（Detection） 响应（Response）
P2DR安全模型
防护（P）
P2DR安全模型：
安全 = + + + +
数字签名是在电子文件上签名的技术，确保电 子文件的完整性。 身份认证需要每个实体（用户）登记一个数字 证书。这个数字证书包含该实体的信息（如用 户名、公开密钥）。 公钥基础设施PKI就是一个管理数字证书的机构， 其中包括发行、管理、回收数字证书。
P2DR安全模型
2、防护
安全通信，防止数据在传输过程中的泄漏。 点对点的安全通信的建立过程如下：
P2DR安全模型
3、检测
检测是动态响应和加强防护的依据，是强制 落实安全策略的工具
通过不断地检测和监控网络及系统，来发现新 的威胁和弱点， 通过循环反馈来及时做出有效的响应
P2DR安全模型
检测的对象
3、检测
网络的安全风险是实时存在的，检测的对象主要针 对系统自身的脆弱性及外部威胁。
首先，通信双方用公开密钥加密技术互相鉴别 对方的身份。 如果鉴别的身份已通过，双方随机产生一个加 密密钥，用来加密传输的数据。 传输的数据加密使用对称加密技术。
P2DR安全模型
3、检测
上面提到防护系统（静态的）可以阻止大多 数入侵事件的发生，但是它不能阻止所有的 入侵。 特别是那些利用新的系统缺陷、新的攻击手 段的入侵。因此安全政策的第二个安全屏障 就是检测。
计算机网络安全基础
一系 三教 张铮 Email: ponyzhang@ zhangzheng@xxgc.mtn Tel: 635 30523 Cell: 138 381 to 3721 QQ: 345 345 4
第二章 计算机网络安全体系结构
安全模型 网络安全体系结构 安全服务与安全机制 网络安全设计的基本原则
风险分析 执行策略 系统实施 漏洞监测 实时响应
策略（P） 响应（R） 检测（D）
P2DR安全模型
P2DR安全模型认为没有一种技术可完全消 除网络中的安全漏洞 必须在整体安全策略的控制、指导下，在综 合运用防护工具的同时，利用检测工具了解 和评估系统的安全状态，通过适当的反馈将 系统调整到相对最安全和风险最低的状态。
主要检查系统存在的脆弱性。在计算机系统运 行过程中，检查、测试信息是否发生泄漏、系 统是否遭到入侵，并找出泄漏的原因和攻击பைடு நூலகம் 来源。
计算机网络入侵检测、信息传输检查、电子邮件监 视、电磁泄漏辐射检测、屏蔽效果测试、磁介质消 磁效果验证等。
P2DR安全模型
3、检测
检测与防护的区别：
如果防护和黑客的关系是：“防护在明，黑客在 暗”，那么检测和黑客的关系是：“黑客在明，检 测在暗”。 防护主要修补系统和网络的缺陷。增加系统的安全 性能，从而消除攻击和入侵的条件。 检测并不是根据网络和系统的缺陷，而是根据入侵 事件的特征去检测的。
P2DR安全模型
1、策略
安全策略是P2DR安全模型的核心，所有的 防护、检测、响应都是依据安全策略实施的， 安全策略为安全管理提供管理方向和支持手 段。 策略体系的建立包括安全策略的制订、评估、 执行等。只有对计算机网络系统进行了充分 的了解，才能制订出可行的安全策略。
P2DR安全模型
1、策略
P2DR安全模型
4、响应
响应就是在检测到安全漏洞或一个攻击（入 侵）事件之后，及时做出正确的响应，从而 把系统调整到安全状态。
从某种意义上讲，安全问题就是要解决紧急 响应和异常处理。
2.1.2 PDRR网络安全模型（1）
网络安全的整个环节还可以用另一个常用的安全模 型——PDRR模型来描述。PDRR就是防护 （Protection）、检测（Detection）、响应 （Response）、恢复（Recovery）。
对信息处理的防护主要有如下二种技术：
计算机软、硬件的加密和保护技术
计算机口令字验证、数据库存取控制技术、审计 跟踪技术、密码技术、防病毒技术等
计算机网络保密技术，主要指用于防止内部网 秘密信息非法外传
保密网关、安全路由器、防火墙等
P2DR安全模型
2、防护
对信息传输的防护也有两种技术：
P2DR安全模型
也就是说，系统的安全实际上是理想中的安 全策略和实际的执行之间的一个平衡，强调 在防护、监控检测、响应等环节的循环过程， 通过这种循环达到保持安全水平的目的。 P2DR安全模型是整体的、动态的安全模型。 因此，P2DR安全模型也称为可适应安全模 型ANSM（Adaptive Network Security Model）。
所以说，防护是网络安全策略中最重要的 环节。
P2DR安全模型
2、防护
防护可以分为三大类： 系统安全防护 网络安全防护 信息安全防护
P2DR安全模型
2、防护
系统安全防护：即操作系统的安全防护。不 同操作系统有不同的防护措施和相应的安全 工具。 网络安全防护：网络管理、以及网络传输的 安全。 信息安全防护：数据本身的保密性、完整性 和可用性。例如，数据加密就是信息安全防 护的重要技术。
计算机网络安全的三个特性
相对性 动态性 系统性
相对性
安全的概念是相对的，任何一个系统都具有 潜在的危险，没有绝对的安全。
技术层面：道高一尺，魔高一丈 非技术层面：目标与实现的不一致性（人为因 素）
动态性
在一个特定的时期内，在一定的安全策略下， 系统可能是安全的。但是，随着攻击技术的 进步、新漏洞的暴露，系统可能会变得不安 全了。 因此需要适应变化的环境并能做出相应的调 整，才能确保计算机网络系统的安全。
系统性
计算机网络安全包括了物理层、网络层、系 统层、应用层以及管理层等多个方面。 从技术上来说，系统的安全是由多个安全组 件来保证的，单独的安全组件只能提供部分 的安全功能，缺少哪一个安全组件都不能构 成完整的安全系统。
2.1 安全模型
正是由于计算机网络系统的安全存在上述三 个特性，因此需要采用某种安全模型来进行 描述和指导。 下面讨论两种典型的安全模型：
成功 攻击 防护(P) 失败 检测(D) 失败 成功 成功 响应(R) 失败 恢复(R)
2.1.2 PDRR网络安全模型（2）
PDRR安全模型中安全策略的前三个环节与 P2DR安全模型中后三个环节的内涵基本相同 最后一个环节“恢复”，是指在系统被入侵 之后，把系统恢复到原来的状态，或者比原 来更安全的状态。 系统的恢复过程通常需要解决两个问题：
对信息传输信道采取措施
专网通信技术、跳频通信技术、光纤通信技术、 辐射屏蔽和干扰技术等，以增加窃听的难度；
对传递的信息使用密码技术进行加密，使窃听 者即使截获信息也无法知悉其真实内容。
常用的加密设备有电话保密机、传真保密机、IP 密码机、线路密码机、电子邮件密码系统等。
P2DR安全模型
P2DR安全模型
3、检测
入侵检测系统（IDS）：是一个硬件系统或软 件程序，基于入侵者的攻击行为与合法用户的 正常行为有着明显的不同，实现对入侵行为的 检测和告警，以及对入侵者的跟踪定位和行为 取证。 根据不同的特征，入侵检测系统可以分为不同 的类型： 根据检测环境不同，IDS一般可以分为基于 主机的IDS（Host-based）和基于网络的 IDS（Network-based）。
P2DR安全模型
3、检测
根据检测所使用方法，IDS还可以分为两种： 1. 误用检测（Misuse Detection）。首先需要建立一 个入侵规则库，其中，它对每一种入侵都形成一个规 则描述，只要发生的事件符合于某个规则就被认为是 入侵。
这种技术的好处在于它的误警率（False Alarm Rate）比 较低，缺点是查全率（Probability of Detection）完全依 赖于入侵规则库的覆盖范围 另外由于入侵规则库的建立和更新完全靠手工，且需要很 深的网络安全知识和经验，所以维持一个准确完整的入侵 规则库是一件十分困难的事情。