安全模型对比.doc
《安全模型对比.doc》由会员分享,可在线阅读,更多相关《安全模型对比.doc(5页珍藏版)》请在冰豆网上搜索。
PDR
P2DR
IATF
概念
PDR即:
Protection(保护)、Detectioon(检测)、Response(响应)是入侵检测的一种模型最早是由ISS公司提出的,后来还出现了很多“变种”,包括ISS公司自己也将其改为PADIMEE,即:
Policy(策略)、Assessment(评估)、Design(设计)、Implementation(执行)、Management(管理)、EmergencyResponse(紧急响应)、Education(教育)等七个方面。
P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型[1],也是动态安全模型的雏形。
P2DR模型包括四个主要部分:
Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
《信息保障技术框架》(IATF:
InformationAssuranceTechnicalFramework)是美国国家安全局(NSA)制定的,描述其信息保障的指导性文件。
图例
内涵
1.保护
保护是安全的第一步(书上都这么说,我觉得也是)。
·安全规则的制定:
在安全策略的规则的基础上再做细则。
·系统充安全的配置:
针对现有的网络环境的系统配置,安装各种必要的补丁,提高安全策略级别。
·安全措施的采用:
安装防火墙(软/硬)。
2.检测
采取各式各样的安全防护措施并不意味着网络系统的安全性就得到了100%的保障,网络状况是变化无常的,昨日刚刚提供的补丁,可能今天就会被发现该补丁存在漏洞。
面临这样的问题更多的是要采取有效的手段对网络进行实时监控。
·异常临视:
系统发生不正常情况。
如:
服务停止,无法正常登陆,服务状态不稳定等。
·模式发现:
对已知攻击的模式进行发现。
3.响应
在发现了攻击企图或者攻击之后,需要系统及时地进行反应:
·报告:
无论系统的自动化程度多高,都需要管理员知道是否有入侵事件发生。
·记录:
必须将所有的情况记录下来,包括入侵的各个细节以及系统的反映(尽最大可能)。
·反应:
进行相应的处理以阻止进一步的入侵。
·恢复:
清除入侵造成的影响,使系统正常运行。
响应所包含的告与取证等非技术因素删除,实际上的响应就意味着进一步防护。
(1)策略:
策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
网络安全策略一般包括总体安全策略和具体安全策略2个部分组成。
(2)防护:
防护是根据系统可能出现的安全问题而采取的预防措施,这些措施通过传统的静态安全技术实现。
采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
(3)检测:
当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
检测是动态响应的依据。
(4)响应:
系统一旦检测到入侵,响应系统就开始工作,进行事件处理。
响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。
防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
该理论的最基本原理就是认为,信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时间。
因此可以用时间来衡量一个体系的安全性和安全能力。
作为一个防护体系,当入侵者要发起攻击时,每一步都需要花费时间。
当然攻击成功花费的时间就是安全体系提供的防护时间Pt;在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为也要花费时间―检测时间Dt;在检测到入侵后,系统会做出应有的响应动作,这也要花费时间―响应时间Rt。
P2DR模型就可以用一些典型的数学公式来表达安全的要求:
公式1:
Pt>Dt+Rt。
Pt代表系统为了保护安全目标设置各种保护后的防护时间;或者理解为在这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间。
Dt代表从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。
Rt代表从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。
那么,针对于需要保护的安全目标,如果上述数学公式满足防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前就能被检测到并及时处理。
公式2:
Et=Dt+Rt,如果Pt=0。
公式的前提是假设防护时间为0。
Dt代表从入侵者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。
Rt代表从发现遭到破坏开始,系统能够做出足够的响应,将系统调整到正常状态的时间。
比如,对WebServer被破坏的页面进行恢复。
那么,Dt与Rt的和就是该安全目标系统的暴露时间Et。
针对于需要保护的安全目标,如果Et越小系统就越安全。
IATF的核心思想
IATF提出的信息保障的核心思想是纵深防御战略(DefenseinDepth)。
所谓深层防御战略就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。
在纵深防御战略中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者缺一不可。
IATF的其他信息安全(IA)原则
除了纵深防御这个核心思想之外,IATF还提出了其他一些信息安全原则,这些原则对指导我们建立信息安全保障体系都具有非常重大的意义。
(1)保护多个位置。
包括保护网络和基础设施、区域边界、计算环境等,这一原则提醒我们,仅仅在信息系统的重要敏感设置一些保护装置是不够的,任意一个系统漏洞都有可能导致严重的攻击和破坏后果,所以在信息系统的各个方位布置全面的防御机制,这样才能将风险减至最低。
(2)分层防御。
如果说上一个原则是横向防御,那么这一原则就是纵向防御,这也是纵深防御思想的一个具体体现。
分层防御即在攻击者和目标之间部署多层防御机制,每一个这样的机制必须对攻击者形成一道屏障。
而且每一个这样的机制还应包括保护和检测措施,以使攻击者不得不面对被检测到的风险,迫使攻击者由于高昂的攻击代价而放弃攻击行为。
(3)安全强健性。
不同的信息对于组织有不同的价值,该信息丢失或破坏所产生的后果对组织也有不同的影响。
所以对信息系统内每一个信息安全组件设置的安全强健性(即强度和保障),取决于被保护信息的价值以及所遭受的威胁程度。
在设计信息安全保障体系时,必须要考虑到信息价值和安全管理成本的平衡。
网络与基础设施防御
网络和支撑它的基础设施是各种信息系统和业务系统的中枢,为用户数据流和用户信息获取提供了一个传输机制,它的安全是整个信息系统安全的基础。
网络和基础设施防御包括维护信息服务,防止拒绝服务攻击(DoS);保护在整个广域网上进行交换的公共的、私人的或保密的信息,避免这些信息在无意中泄漏给未授权访问者或发生更改、延时或发送失败;保护数据流分析等。
区域边界防御
根据业务的重要性、管理等级和安全等级的不同,“一个信息系统通常可以划分多个区域,每个区域是在单一统辖权控制下的物理环境”,具有逻辑和物理安全措施。
这些区域大多具有和其他区域或网络相连接的外部连接。
区域边界防御关注的是如何对进出这些区域边界的数据流进行有效的控制与监视,对区域边界的基础设施实施保护。
计算环境防御
在计算环境中的安全防护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统,这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。
计算环境防御就是要利用识别与认证(I&A)、访问控制等技术确保进出内部系统数据的保密性、完整性和不可否认性。
这是信息系统安全保护的最后一道防线。
支撑性基础设施
支撑基础设施是一套相关联的活动与能够提供安全服务的基础设施相结合的综合体。
目前纵深防御策略定义了两种支撑基础设施:
密钥管理基础设施(KMI)/公钥基础设施(PKI)和检测与响应基础设施。
KMI/PKI涉及网络环境的各个环节,是密码服务的基础;本地KMI/PKI提供本地授权,广域网范围的KMI/PKI提供证书、目录以及密钥产生和发布功能。
检测与响应基础设施中的组成部分提供用户预警、检测、识别可能的网络攻击、作出有效响应以及对攻击行为进行调查分析等功能。
优点
PDR模型建立了一个所谓的基于时间的可证明的安全模型,定义了:
防护时间Pt(黑客发起攻击时,保护系统不被攻破的时间)、检测时间Dt(从发起攻击到检测到攻击的时间)和响应时间Rt(从发现攻击到作出有效响应的时间)。
当PtDt+Rt的时候,即认为系统是安全的,也就是说,如果在黑客攻破系统之前发现并阻止了黑客的行为,那么系统就是安全的。
给出了安全一个全新的定义:
“及时的检测和响应就是安全”,“及时的检测和恢复就是安全”。
而且,这样的定义为安全问题的解决给出了明确的方向:
提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。
IATF的四个技术焦点区域是一个逐层递进的关系,从而形成一种纵深防御系统。
因此,以上四个方面的应用充分贯彻了纵深防御的思想,对整个信息系统的各个区域、各个层次,甚至在每一个层次内部都部署了信息安全设备和安全机制,保证访问者对每一个系统组件进行访问时都受到保障机制的监视和检测,以实现系统全方位的充分防御,将系统遭受攻击的风险降至最低,确保档案信息的安全和可靠。
IATF认为,信息安全并不是纯粹的技术问题,而是一项复杂的系统工程,表现为具体实施的一系列过程,这就是信息系统安全工程(ISSE)。
通过完整实施的ISSE过程,组织应该能够建立起有效的信息安全体系。
IATF提出了三个主要核心要素:
人、技术和操作。
尽管IATF重点是讨论技术因素,但是它也提出了“人”这一要素的重要性,人即管理,管理在信息安全保障体系建设中同样起到了十分关键的作用,可以说技术是安全的基础,管理是安全的灵魂,所以应当在重视安全技术应用的同时,必须加强安全管理。
缺点
这个模型同样是一个理想模型,因为系统的Pt、Dt、Rt根本不可能准确定义,面对不同黑客和不同种类的攻击,这些时间都是变化的,其实还是不能有效证明一个系统是否安全。
忽略了内在的变化因素.如人员的流动、人员的素质和策略贯彻的不稳定性.
系统本身安全的"免疫力"的增强、系统和整个网络的优化,以及人员这个在系统中最重要角色的素质的提升,都是该安全系统没有考虑到的问题.
IATF最大的缺陷在于缺乏流程化的管理要求和对业务相关性在信息安全管理体系中的体现。
在体系中更注重技术消减策略。
将管理局限于人的因素,难以有效体现业务与安全的平衡概念
总体来说还是局限于从技术上考虑信息安全问题。
随着信息化的发展,人们越来越意识到信息安全涉及面非常广,除了技术,管理、制度、人员和法律等方面也是信息安全必须考虑的因素,就像一个由多块木块构成的“木桶”木桶的容量由最短的那块板决定。
在处理信息安全问题时,必须全面考虑各方面的因素,任何一个方面的遗漏都有可能形成“短板”。
升级会员 