導(dǎo)語：P2DR2網(wǎng)絡(luò)安全模型研究及應(yīng)用一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要文章首先討論了企業(yè)網(wǎng)絡(luò)面臨的安全威脅，結(jié)合動態(tài)變化的互聯(lián)網(wǎng)安全問題分析，提出了基于時間與策略的動態(tài)p2dr2安全模型體系，系統(tǒng)闡述了企業(yè)網(wǎng)絡(luò)安全防范策略與措施，并給出了應(yīng)用實例。

關(guān)鍵詞企業(yè)網(wǎng)，P2DR2安全模型，應(yīng)用實踐

引言

21世紀全世界的計算機都通過Internet聯(lián)到了一起，網(wǎng)絡(luò)安全的內(nèi)涵也隨之發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種立體、全方位的防范體系，而且還由專業(yè)技術(shù)變成了無處不在的技術(shù)應(yīng)用。當人類步入21世紀這一信息社會、網(wǎng)絡(luò)社會的時候,安全成為了科技發(fā)展所面臨的一個重要課題。目前的網(wǎng)絡(luò)安全主要具有以下特征：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化和發(fā)展；第三，隨著網(wǎng)絡(luò)在社會各方面的延伸，進入網(wǎng)絡(luò)的手段也具有日新月異的多樣性，網(wǎng)絡(luò)安全也面臨著更多的困惑。因此，網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。

1網(wǎng)絡(luò)安全隱患的分析

傳統(tǒng)的安全防護方法是：對網(wǎng)絡(luò)進行風(fēng)險分析，制訂相應(yīng)的安全策略，采取一種或多種安全技術(shù)作為防護措施。這種方案要取得成功主要依賴于系統(tǒng)正確的設(shè)置和完善的防御手段的建立，并且在很大程度上是針對固定的、靜態(tài)的威脅和環(huán)境弱點。其忽略了因特網(wǎng)安全的重要特征，即因特網(wǎng)安全沒有標準的過程和方法。新的安全問題的出現(xiàn)需要新的安全技術(shù)和手段來解決，因此，安全是一個動態(tài)的、不斷完善的過程。

企業(yè)網(wǎng)絡(luò)安全可以從以下幾個方面來分析：物理網(wǎng)絡(luò)安全、平臺網(wǎng)絡(luò)安全、系統(tǒng)網(wǎng)絡(luò)安全、應(yīng)用網(wǎng)絡(luò)安全、管理網(wǎng)絡(luò)安全等方面。

物理網(wǎng)絡(luò)安全風(fēng)險物理網(wǎng)絡(luò)安全的風(fēng)險是多種多樣的。網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故，電源故障、人為操作失誤或錯誤，設(shè)備被盜、被毀，電磁干擾、線路截獲等安全隱患；物理網(wǎng)絡(luò)安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。

平臺網(wǎng)絡(luò)的安全風(fēng)險平臺網(wǎng)絡(luò)的安全涉及到基于ISO/OSI模型三層路由平臺的安全，包括網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)環(huán)境等因素；企業(yè)網(wǎng)內(nèi)公開服務(wù)器面臨的威脅、網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況面臨的困擾是問題的主要方面。

公開服務(wù)器是信息平臺，由于承擔了為外界信息服務(wù)的責任，因此極易成為網(wǎng)絡(luò)黑客攻擊的目標；伴隨企業(yè)局域網(wǎng)與外網(wǎng)連接多樣性的存在，安全、策略的路由顯得愈加重要。

系統(tǒng)網(wǎng)絡(luò)的安全風(fēng)險系統(tǒng)網(wǎng)絡(luò)安全是建立在平臺網(wǎng)絡(luò)安全基礎(chǔ)上，涉及到網(wǎng)絡(luò)操作系統(tǒng)及網(wǎng)絡(luò)資源基礎(chǔ)應(yīng)用的安全體系。操作系統(tǒng)的安全設(shè)置、操作和訪問的權(quán)限、共享資源的合理配置等成為主要因素。

應(yīng)用網(wǎng)絡(luò)的安全風(fēng)險應(yīng)用網(wǎng)絡(luò)系統(tǒng)安全具有明顯的個體性和動態(tài)性，針對不同的應(yīng)用環(huán)境和不斷變化發(fā)展應(yīng)用需求，應(yīng)用網(wǎng)絡(luò)安全的內(nèi)涵在不斷的變化和發(fā)展之中。其安全性涉及到信息、數(shù)據(jù)的安全性。

管理網(wǎng)絡(luò)的安全風(fēng)險管理網(wǎng)絡(luò)安全更多的涉及到人的因素，管理是網(wǎng)絡(luò)中安全最重要的部分。責權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險；網(wǎng)絡(luò)系統(tǒng)的實時檢測、監(jiān)控、報告與預(yù)警，是管理網(wǎng)絡(luò)安全的另一方面。

通用網(wǎng)關(guān)接口（CGI）漏洞有一類風(fēng)險涉及通用網(wǎng)關(guān)接口（CGI）腳本。CGI腳本程序是搜索引擎通過超鏈接查找特定信息的基礎(chǔ)，同時也使得通過修改CGI腳本執(zhí)行非法任務(wù)成為可能，這就是問題之所在。

除此之外，惡意代碼、網(wǎng)絡(luò)病毒也成為網(wǎng)絡(luò)不安全的隱患。

2P2DR2安全模型的提出

基于閉環(huán)控制的動態(tài)網(wǎng)絡(luò)安全理論模型在1995年開始逐漸形成并得到了迅速發(fā)展，學(xué)術(shù)界先后提出了PDR、P2DR等多種動態(tài)風(fēng)險模型，隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，企業(yè)網(wǎng)的應(yīng)用環(huán)境千變?nèi)f化，現(xiàn)有模型存在諸多待發(fā)展之處。

P2DR2動態(tài)安全模型研究的是基于企業(yè)網(wǎng)對象、依時間及策略特征的（Policy，Protection，Detection，Response，Restore）動態(tài)安全模型結(jié)構(gòu)，由策略、防護、檢測、響應(yīng)和恢復(fù)等要素構(gòu)成，是一種基于閉環(huán)控制、主動防御的動態(tài)安全模型，通過區(qū)域網(wǎng)絡(luò)的路由及安全策略分析與制定，在網(wǎng)絡(luò)內(nèi)部及邊界建立實時檢測、監(jiān)測和審計機制，采取實時、快速動態(tài)響應(yīng)安全手段，應(yīng)用多樣性系統(tǒng)災(zāi)難備份恢復(fù)、關(guān)鍵系統(tǒng)冗余設(shè)計等方法，構(gòu)造多層次、全方位和立體的區(qū)域網(wǎng)絡(luò)安全環(huán)境。

一個良好的網(wǎng)絡(luò)安全模型應(yīng)在充分了解網(wǎng)絡(luò)系統(tǒng)安全需求的基礎(chǔ)上，通過安全模型表達安全體系架構(gòu)，通常具備以下性質(zhì)：精確、無歧義；簡單和抽象；具有一般性；充分體現(xiàn)安全策略。

2.1P2DR2模型的時間域分析

P2DR2模型可通過數(shù)學(xué)模型，作進一步理論分析。作為一個防御保護體系，當網(wǎng)絡(luò)遭遇入侵攻擊時，系統(tǒng)每一步的安全分析與舉措均需花費時間。設(shè)Pt為設(shè)置各種保護后的防護時間，Dt為從入侵開始到系統(tǒng)能夠檢測到入侵所花費的時間，Rt為發(fā)現(xiàn)入侵后將系統(tǒng)調(diào)整到正常狀態(tài)的響應(yīng)時間，則可得到如下安全要求：

Pt>(Dt+Rt)（1-1）

由此針對于需要保護的安全目標，如果滿足公式（1-1），即防護時間大于檢測時間加上響應(yīng)時間，也就是在入侵者危害安全目標之前，這種入侵行為就能夠被檢測到并及時處理。同樣，我們假設(shè)Et為系統(tǒng)暴露給入侵者的時間，則有

Et=Dt+Rt（如果Pt=0）（1-2）

公式（1-2）成立的前提是假設(shè)防護時間為0，這種假設(shè)對WebServer這樣的系統(tǒng)可以成立。

通過上面兩個公式的分析，實際上給出了一個全新的安全定義：及時的檢測和響應(yīng)就是安全，及時的檢測和恢復(fù)就是安全。不僅于此，這樣的定義為解決安全問題給出了明確的提示：提高系統(tǒng)的防護時間Pt、降低檢測時間Dt和響應(yīng)時間Rt，是加強網(wǎng)絡(luò)安全的有效途徑。

圖2為P2DR2安全模型的體系結(jié)構(gòu)。模型認可風(fēng)險的存在，絕對安全與絕對可靠的網(wǎng)絡(luò)系統(tǒng)是不現(xiàn)實的，理想效果是期待網(wǎng)絡(luò)攻擊者穿越防御層的機會逐層遞減，穿越第5層的概率趨于零。

2.2P2DR2模型的策略域分析

網(wǎng)絡(luò)系統(tǒng)是由參與信息交互的各類實體元素構(gòu)成，可以是獨立計算機、局域網(wǎng)絡(luò)或大規(guī)模分布式網(wǎng)絡(luò)系統(tǒng)。實體集合可包括網(wǎng)絡(luò)通信實體集、通信業(yè)務(wù)類型集和通信交互時間集。

通信實體集的內(nèi)涵表示發(fā)起網(wǎng)絡(luò)通信的主體，如：進程、任務(wù)文件等資源；對于網(wǎng)絡(luò)系統(tǒng)，表示各類通信設(shè)備、服務(wù)器以及參與通信的用戶。網(wǎng)絡(luò)的信息交互的業(yè)務(wù)類型存在多樣性，根據(jù)數(shù)據(jù)服務(wù)類型、業(yè)務(wù)類型，可以劃分為數(shù)據(jù)信息、圖片業(yè)務(wù)、聲音業(yè)務(wù)；根據(jù)IP數(shù)據(jù)在安全網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)換服務(wù)，業(yè)務(wù)類型可以劃分為普通的分組；根據(jù)TCP/IP協(xié)議傳輸協(xié)議，業(yè)務(wù)類型可以劃分為ICMP、TCP、UDP分組。信息安全系統(tǒng)根據(jù)不同安全服務(wù)需求，使用不同分類法則。通信交互時間集則包含了通信事件發(fā)生的時間區(qū)域集。

安全策略是信息安全系統(tǒng)的核心。大規(guī)模信息系統(tǒng)安全必須依賴統(tǒng)一的安全策略管理、動態(tài)維護和管理各類安全服務(wù)。安全策略根據(jù)各類實體的安全需求，劃分信任域，制定各類安全服務(wù)的策略。

在信任域內(nèi)的實體元素，存在兩種安全策略屬性，即信任域內(nèi)的實體元素所共同具有的有限安全策略屬性集合,實體自身具有的、不違反Sa的特殊安全策略屬性Spi。由此我們不難看出，S=Sa+ΣSpi.

安全策略不僅制定了實體元素的安全等級，而且規(guī)定了各類安全服務(wù)互動的機制。每個信任域或?qū)嶓w元素根據(jù)安全策略分別實現(xiàn)身份驗證、訪問控制、安全通信、安全分析、安全恢復(fù)和響應(yīng)的機制選擇。

3企業(yè)網(wǎng)安全防御體系的建立

網(wǎng)絡(luò)安全是一個系統(tǒng)工程，需要全方位防范各種安全漏洞。圖3給出了企業(yè)網(wǎng)安全防范體系建立的體系框架。

局域網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計、規(guī)劃時應(yīng)遵循以下原則：

綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度，如人員審查、工作流程、維護保障制度等；以及專業(yè)措施，如識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等。一個較好的安全措施往往是多種方法適當綜合的應(yīng)用結(jié)果。根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

需求、風(fēng)險、代價平衡的原則對任一網(wǎng)絡(luò)，絕對安全難以達到，也并非是必要的。對網(wǎng)絡(luò)進行可行性研究，包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等基礎(chǔ)上，對網(wǎng)絡(luò)面臨的威脅及可能承擔的風(fēng)險進行定性與定量相結(jié)合的分析，再制定相應(yīng)規(guī)范和措施，確定本系統(tǒng)的安全策略。

一致性原則一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期或生命周期同步進行，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。網(wǎng)絡(luò)系統(tǒng)的安全體系包括安全計劃分析、安全模型驗證、工程實施、工程驗收、實際運行等環(huán)節(jié)。實踐證明，將網(wǎng)絡(luò)安全設(shè)施與網(wǎng)絡(luò)建設(shè)同步進行，可取得事半功倍的效果。

易操作性原則安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運行。

分步實施原則由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當?shù)馁M用支出。因此，分步實

施即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。

多重保護原則任何安全措施都不是絕對安全的，都可能被攻破。建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全是必要的。

可評價性原則如何預(yù)先評價一個安全設(shè)計并驗證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認證機構(gòu)的評估來實現(xiàn)。

4應(yīng)用案例的分析

根據(jù)以上討論的P2DR2安全模型，并根據(jù)實際安全應(yīng)用需求，可選用相關(guān)不同的產(chǎn)品形成多種解決方案方案。下面結(jié)合實際的工程案例――基于華為3ComSecPath100N防火墻架構(gòu)的企業(yè)網(wǎng)安全系統(tǒng)作相關(guān)討論。

4.1安全方案的配置策略

策略Policy定義系統(tǒng)的監(jiān)控周期、確立系統(tǒng)恢復(fù)機制、制定網(wǎng)絡(luò)訪問控制策略和明確系統(tǒng)的總體安全規(guī)劃和原則；

防護Protection充分利用防火墻系統(tǒng)，實現(xiàn)數(shù)據(jù)包策略路由、路由策略和數(shù)據(jù)包過濾技術(shù)，應(yīng)用訪問控制規(guī)則達到安全、高效地訪問；應(yīng)用NAT及映射技術(shù)實現(xiàn)IP地址的安全保護和隔離；

檢測Detection利用防火墻系統(tǒng)具有的入侵檢測技術(shù)及系統(tǒng)掃描工具，配合其他專項監(jiān)測軟件，建立訪問控制子系統(tǒng)ACS，實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的入侵監(jiān)測及日志記錄審核，以利及時發(fā)現(xiàn)透過ACS的入侵行為；

響應(yīng)Response在安全策略指導(dǎo)下，通過動態(tài)調(diào)整訪問控制系統(tǒng)的控制規(guī)則，發(fā)現(xiàn)并及時截斷可疑鏈接、杜絕可疑后門和漏洞，啟動相關(guān)報警信息；

恢復(fù)Restore在多種備份機制的基礎(chǔ)上，啟用應(yīng)急響應(yīng)恢復(fù)機制實現(xiàn)系統(tǒng)的瞬時還原；進行現(xiàn)場恢復(fù)及攻擊行為的再現(xiàn)，供研究和取證；實現(xiàn)異構(gòu)存儲、異構(gòu)環(huán)境的高速、可靠備份。

4.2安全方案的實現(xiàn)

方案采用華為3ComSecPath100N防火墻作為安全系統(tǒng)核心，配合以多種軟件防護策略。公司內(nèi)部對外提供WWW、FTP和Telnet服務(wù)，內(nèi)部FTP服務(wù)器地址為202.200.204.1，內(nèi)部Telnet服務(wù)器地址為202.200.204.2，內(nèi)部WWW服務(wù)器地址為202.200.204.3，公司對外地址為202.195.22.18。在安全網(wǎng)關(guān)上配置了地址轉(zhuǎn)換，這樣內(nèi)部PC機可以訪問Internet，外部PC可以訪問內(nèi)部服務(wù)器。通過配置防火墻，希望實現(xiàn)以下要求：外部網(wǎng)絡(luò)只有特定用戶可以訪問內(nèi)部服務(wù)器。內(nèi)部網(wǎng)絡(luò)只有特定主機可以訪問外部網(wǎng)絡(luò)。外部特定用戶的IP地址為202.19.30.21。

部分配置步驟

#在安全網(wǎng)關(guān)Quidway上允許防火墻。

[Quidway]firewallenable

#設(shè)置防火墻缺省過濾方式為允許包通過。

[Quidway]firewalldefaultpermit

#創(chuàng)建訪問控制列表3001。

[Quidway]aclnumber3001

#配置規(guī)則允許特定主機訪問外部網(wǎng)，允許內(nèi)部服務(wù)器訪問外部網(wǎng)。

[Quidway-acl-adv-3001]rulepermitipsource202.200.201.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.202.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.203.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.204.00

#配置規(guī)則禁止所有IP包通過。

[Quidway-acl-adv-3001]ruledenyip

#創(chuàng)建訪問控制列表3002

[Quidway]aclnumber3002

#配置規(guī)則允許特定用戶從外部網(wǎng)訪問內(nèi)部服務(wù)器。

[Quidway-acl-adv-3002]rulepermittcpsource202.19.30.210destination202.195.22.180

＃配置規(guī)則允許特定用戶從外部網(wǎng)取得數(shù)據(jù)（只允許端口大于1024的包）。

[Quidway-acl-adv-3002]rulepermittcpdestination202.195.22.180destination-portgt1024

#將規(guī)則3001作用于從接口Ethernet0/0/0進入的包。

[Quidway-Ethernet0/0/0]firewallpacket-filter3001inbound

#將規(guī)則3002作用于從接口Ethernet1/0/0進入的包。

[Quidway-Ethernet1/0/0]firewallpacket-filter3002inbound

#創(chuàng)建NAT應(yīng)用規(guī)則。

[Quidway]nataddress-group1202.195.22.19202.195.22.28

[Quidway]aclnumber2001

[Quidway-acl-basic-2001]rulepermitsource202.200.201.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.202.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.203.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.204.00.0.0.255

[Quidway-acl-basic-2001]quit

[Quidway]interfaceEthernet3/0/0

[Quidway-Ethernet3/0/0]natoutbound2001address-group1

#設(shè)置內(nèi)部ftp服務(wù)器。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.1ftp

#設(shè)置內(nèi)部www服務(wù)器1。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.2www

#設(shè)置內(nèi)部www服務(wù)器2。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.198080inside202.200.204.3www

#設(shè)置內(nèi)部smtp服務(wù)器。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.4smtp

5結(jié)束語

網(wǎng)絡(luò)安全防御是一個非常復(fù)雜的問題，傳統(tǒng)單一的靜態(tài)安全模型不能夠很好地保證系統(tǒng)的安全。本文提出的P2DR2網(wǎng)絡(luò)安全模型是對現(xiàn)有動態(tài)安全模型的一次重要補充，是解決典型企業(yè)局域網(wǎng)絡(luò)的良好方法，通過工程案例的實踐應(yīng)用，取得了較為穩(wěn)定的安全效果。

參考文獻

[1]石志國等.計算機網(wǎng)絡(luò)安全教程.北京：清華大學(xué)出版社，2005

[2]李家春，李之棠.動態(tài)安全模型的研究.華中科技大學(xué)學(xué)報，2003,31(3):40-42

[3]侯小梅，毛宗源.基于P2DR模型的Internet安全技術(shù).計算機工程與應(yīng)用，2000,23:1-2

[4]單蓉勝，王明政，李建華.基于策略的網(wǎng)絡(luò)安全模型及形式化描述.計算機工程與應(yīng)用，2003,13:68-71

[5]張成陽，穆志純等.基于復(fù)雜性研究的Internet安全模型.北京科技大學(xué)學(xué)報，2003,5:483-487

[6]plexNetworks:Newscienceofnetworks[A].InternationalSymposiumonComplexSystem[C],UniversityofNotreDame,2002

[7]SchnosM.Internetplaguesspreadrapidly[J].PhysRevLett,2001,86(4):3200