就是防护（P ）。防护是预先阻止攻击 可以发生的条件，让攻击者无法顺利地 入侵。 防护可以减少大多数的入侵事件。
26
检测
PDRR模型的第二个环节就是检测（D）。上面
提到防护系统除掉入侵事件发生的条件，可以 阻止大多数的入侵事件的发生，但是它不能阻 止所有的入侵。特别是那些利用新的系统缺陷
、新的攻击手段的入侵。因此安全策略的第二
38
防毒软件
防毒软件是人们最熟悉的安全工具，可
以检测、清除各种文件型病毒、宏病毒 和邮件病毒等。在应对黑客入侵方面， 它可以查杀特洛依木马和蠕虫等病毒， 但对于网络攻击行为（如扫描、针对漏 洞的攻击）却无能为力。
39
安全审计系统
安全审计系统通过独立的、对网络行为和主
机操作提供全面与忠实的记录，方便用户分 析与审计事故原因，很像飞机上的黑匣子。 由于数据量和分析量比较大，目前市场上比 较成熟的产品： 主动式审计（IDS部署） 被动式审计（日志监控）
安全=风险分析+执行策略+系统实施+漏洞检测+实时响应
20
Policy(安全策略)
由于安全策略是安全管理的核心，所以
要想实施动态网络安全循环过程，必须 首先制定安全策略，所有的防护、检测 、响应都是依据安全策略实施的，安全 策略为安全管理提供管理方向和支持手 段。 对于一个策略体系的建立包括：安全策 略的制订、安全策略的评估、安全策略 的执行等。
第二部分 安全模型
信息系统的安全目标是控制和管理主体 （Subjects，包括用户和进程）对客体 （Objects, 包括数据和程序）的访问。
安全模型：
准确地描述安全的重要方面及 其与系统行为的关系。提高对成功 实现安全需求的理解层次。
一、多级安全模型
支持军用系统和数据库的安全保密。 多级安全的信息结构示意；
Bell-LaPadula 模型
BLP模型定义了系统中的主体（Subjects)访
问客体（Objects)的操作规则。 每个主体有一个安全级别，通过众多条例约束 其对每个具有不同密级的客体的访问操作。
BLP模型的安全策略
•采用了自主访问控制和强制访问控制相结
合的方法，能够有效地保证系统内信息的 安全，支持信息的保密性，但却不能保证 信息的完整性。
40
IDS
IDS的主要功能包括检测并分析用户在
网络中的活动，识别已知的攻击行为， 统计分析异常行为，核查系统配臵和漏 洞，评估系统关键资源和数据文件的完 整性，管理操作系统日志，识别违反安 全策略的用户活动等。
41
NIDS
网络型入侵检测系统（Network
Intrusion Detection System.NIDS) NIDS的数据源来自网络上的数据包。一 般地，用户可以将某台主机网卡设定为 混合模式，以监听本网段内所有数据包， 判断是否合法。NIDS担负着监视整个网 段的任务
防火墙、网络监视、安全扫描、信息审 计、通信加密、灾难恢复、网络反病毒 等多个安全组件共同组成的，每一个单 独的组件只能完成其中的部分功能，而 不能完成全部功能。
32
防火墙
防火墙通常被比喻为网络安全的大门，用来
鉴别什么样的数据包可以进出企业内部网。 在应对黑客入侵方面，可以阻止基于IP包头 的攻击和非信任地址的访问。但防火墙无法 阻止和检测基于数据内容的黑客攻击和病毒 入侵，同时也无法控制内部网络之间的违规 行为。
Clark-Wilson模型着重研究与保护信息和系
统完整性，即组织完善的事务和清晰的责 任划分。 组织完善的事务意味着用户对信息的处理 必须限定在一定的权力和范围之内进行， 以保证数据完整性。 责任划分意味着任务需要两个以上的人完 成，需要进行任务划分，避免个人欺骗行 为发生。
保证完整性有3项任务：
B
J K L
C
M N
底层：客体
各层定义如下：
底层由独立的数据项组成，每项涉及一个独立
的公司法人 中层将涉及同一公司法人的所有客体组织起来， 称为“公司数据集” 上层将公司数据集结合成组，每个组之间互为 竞争对手，称为“兴趣冲突组”
Chinese Wall 模型安全访问定理
定理1：一个主体一旦已经访问过一个客体，
33
加密
对称加密：使用同一个字符串加密解密数据
非对称加密：使用一对密钥加密解密数据 HASH散列算法：用HASH函数把信息混杂，
使其不可恢复原状。
34
访问控制
强制访问控制
系统独立于用户行为强制执行访问控制，用 户不能改变他们的安全级别或对象的安全属 性。这种访问控制规则通常对数据或用户按 照安全等级划分标签，访问控制机制通过比 较安全标签来确定的授予还是拒绝用户对资 源的访问。强制访问控制进行了很强的等级 划分，所以经常用于军事用途。

绝密级 机密级
秘密级
开放级
1、Bell-LaPadula 模型
Bell-LaPadula模型是第一个也是最著名的安
全策略模型，由David Bell和len LaPadula在 1973年提出，简称BLP模型 BLP模型是可信系统的状态-转换（StateTransition)模型，主要任务是定义使得系统获 得“安全”的状态集合，检查系统的初始是 否为“安全状态”，检查所有状态的变化均 始于一个“安全状态”并终止于另一个“安 全状态”。
个模型，1977年发布。 Biba模型将完整性威胁分为来源于子系统内 部和外部的威胁。如果子系统的一个组件是 恶意或不正确，则产生内部威胁；如果一个 子系统企图通过错误数据或不正确调用函数 来修改另一个子系统，则产生外部威胁。 Biba认为内部威胁可以通过程序测试或检验 来解决。所以模型主要针对外部威胁。
42
NIDS
NIDS的优点主要是使用简便，不会给运
行关键业务的主机和网络增加任何负担。
43
HIDS
主机型入侵检测系统（Host
Intrusion
Detection System. HIDS) 往往以系统日志、应用程序日志等作为 数据源，当然也可以通过其它手段从所 在的主机收集信息，并进行分析。HIDS 主要针对所在的系统进行非法行为的检 测。
访问数据受限于主体已经获得的对数据的访
问权限，而不是数据的属性（密级）。
该模型的思想是将一些可能会产生访问冲突
的数据分成不同的数据集，强制所有主体最
多只能访问一个数据集，但访问哪个数据集
并未受强制规则的限制。
Chinese Wall 模型系统结构
全部客体的集合
O
顶层；兴趣冲突组 A
中层：公司数据集 F G H I
•随着计算机安全理论和技术的发展， BLP
模型已经不能满足人们的需要。
2、Clark-Wilson模型
Clark-Wilson模型是一个确保商业数据完整性
且在商业应用系统中提供安全评估框架的完 整性及应用层的模型，由计算机科学家David D.Clark和会计师David R.Wilson发表于1987 年，在1989年进行了修正。 简称为CW模型
恢复Leabharlann 恢复是PDRR模型中的最后一个环节。恢 复是事件发生后，把系统恢复到原来的状 态，或者比原来更安全的状态。恢复也可 以分为两个方面：系统恢复和信息恢复。 系统恢复指的是修补该事件所利用的系统 缺陷，不让黑客再次利用这样的缺陷入侵 。一般系统恢复包括系统升级、软件升级 和打补丁等。系统恢复的另一个重要工作 是除去后门。一般来说，黑客在第一次入 侵的时候都是利用系统的缺陷。在第一次 入侵成功之后，黑客就在系统打开一些后 门，如安装一个特洛伊木马。
22
Detection（检测）
在网络安全循环过程中，检测是非常重
要的一个环节，检测是动态响应的依据 ，它也是强制落实安全策略的有力工具 ，通过不断地检测和监控网络和系统， 来发现新的威胁和弱点，通过循环反馈 来及时作出有效的响应。
23
Response（响应）
紧急响应在安全系统中占有最重要的地 位，是解决安全潜在性最有效的办法。 从某种意义上讲，安全问题就是要解决 紧急响应和异常处理问题。要解决好紧 急响应问题，就要制订好紧急响应的方 案，做好紧急响应方案中的一切准备工 作。
Biba模型基于两种规则来保障数 据的完整性：
——下读(NRu)属性，主体不能读取安全级别低 于它的数据。 ——上写(NwD)属性，主体不能写入安全级别高 于它的数据。
二、多边安全模型
多边安全的信息结构示意
ABCDE 共享数据
目的是阻止信息在不同部分的横向流动
1、Chinese Wall 模型
35
访问控制
自主访问控制（Discretionary
access
control) 自主访问控制机制允许对象的属主来制定针 对该对象的保护策略。通常DAC通过授权列 表来限定哪些主体针对哪些客体可以执行什 么操作。如此将可以非常灵活地对策略进行 调整。由于其易用性与可扩展性，自主访问 机制经常被用于商业系统。 主流操作系统（WINDOWS Server，UNIX系 统），防火墙等都是基于自主访问机制来实 36 现访问控制
21
Protection（保护）

保护通常是通过采用一些传统的静态 安全技术及方法来实现的，主要有防火 墙、加密、认证等方法。通过防火墙监 视限制进出网络的数据包，可以防范外 对内及内对外的非法访问，提高了网络 的防护能力，当然需要根据安全策略制 定合理的防火墙策略；也可以利用 SecureID这种一次性口令的方法来增加 系统的安全性等等。
认证
密码认证
智能卡
生物特征（指纹、面部扫描、视网膜扫
描、语音分析） 位臵认证（IP、反向DNS）
37