P2DR2網絡安全模型研究及應用

導語：P2DR2網絡安全模型研究及應用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要文章首先討論了企業網絡面臨的安全威脅，結合動態變化的互聯網安全問題分析，提出了基于時間與策略的動態p2dr2安全模型體系，系統闡述了企業網絡安全防范策略與措施，并給出了應用實例。

關鍵詞企業網，P2DR2安全模型，應用實踐

引言

21世紀全世界的計算機都通過Internet聯到了一起，網絡安全的內涵也隨之發生了根本的變化。它不僅從一般性的防衛變成了一種立體、全方位的防范體系，而且還由專業技術變成了無處不在的技術應用。當人類步入21世紀這一信息社會、網絡社會的時候,安全成為了科技發展所面臨的一個重要課題。目前的網絡安全主要具有以下特征：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷地變化和發展；第三，隨著網絡在社會各方面的延伸，進入網絡的手段也具有日新月異的多樣性，網絡安全也面臨著更多的困惑。因此，網絡安全技術是一個十分復雜的系統工程。

1網絡安全隱患的分析

傳統的安全防護方法是：對網絡進行風險分析，制訂相應的安全策略，采取一種或多種安全技術作為防護措施。這種方案要取得成功主要依賴于系統正確的設置和完善的防御手段的建立，并且在很大程度上是針對固定的、靜態的威脅和環境弱點。其忽略了因特網安全的重要特征，即因特網安全沒有標準的過程和方法。新的安全問題的出現需要新的安全技術和手段來解決，因此，安全是一個動態的、不斷完善的過程。

企業網絡安全可以從以下幾個方面來分析：物理網絡安全、平臺網絡安全、系統網絡安全、應用網絡安全、管理網絡安全等方面。

物理網絡安全風險物理網絡安全的風險是多種多樣的。網絡的物理安全主要是指地震、水災、火災等環境事故，電源故障、人為操作失誤或錯誤，設備被盜、被毀，電磁干擾、線路截獲等安全隱患；物理網絡安全是整個網絡系統安全的前提。

平臺網絡的安全風險平臺網絡的安全涉及到基于ISO/OSI模型三層路由平臺的安全，包括網絡拓撲結構、網絡路由狀況及網絡環境等因素；企業網內公開服務器面臨的威脅、網絡結構和路由狀況面臨的困擾是問題的主要方面。

公開服務器是信息平臺，由于承擔了為外界信息服務的責任，因此極易成為網絡黑客攻擊的目標；伴隨企業局域網與外網連接多樣性的存在，安全、策略的路由顯得愈加重要。

系統網絡的安全風險系統網絡安全是建立在平臺網絡安全基礎上，涉及到網絡操作系統及網絡資源基礎應用的安全體系。操作系統的安全設置、操作和訪問的權限、共享資源的合理配置等成為主要因素。

應用網絡的安全風險應用網絡系統安全具有明顯的個體性和動態性，針對不同的應用環境和不斷變化發展應用需求，應用網絡安全的內涵在不斷的變化和發展之中。其安全性涉及到信息、數據的安全性。

管理網絡的安全風險管理網絡安全更多的涉及到人的因素，管理是網絡中安全最重要的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險；網絡系統的實時檢測、監控、報告與預警，是管理網絡安全的另一方面。

通用網關接口（CGI）漏洞有一類風險涉及通用網關接口（CGI）腳本。CGI腳本程序是搜索引擎通過超鏈接查找特定信息的基礎，同時也使得通過修改CGI腳本執行非法任務成為可能，這就是問題之所在。

除此之外，惡意代碼、網絡病毒也成為網絡不安全的隱患。

2P2DR2安全模型的提出

基于閉環控制的動態網絡安全理論模型在1995年開始逐漸形成并得到了迅速發展，學術界先后提出了PDR、P2DR等多種動態風險模型，隨著互聯網技術的飛速發展，企業網的應用環境千變萬化，現有模型存在諸多待發展之處。

P2DR2動態安全模型研究的是基于企業網對象、依時間及策略特征的（Policy，Protection，Detection，Response，Restore）動態安全模型結構，由策略、防護、檢測、響應和恢復等要素構成，是一種基于閉環控制、主動防御的動態安全模型，通過區域網絡的路由及安全策略分析與制定，在網絡內部及邊界建立實時檢測、監測和審計機制，采取實時、快速動態響應安全手段，應用多樣性系統災難備份恢復、關鍵系統冗余設計等方法，構造多層次、全方位和立體的區域網絡安全環境。

一個良好的網絡安全模型應在充分了解網絡系統安全需求的基礎上，通過安全模型表達安全體系架構，通常具備以下性質：精確、無歧義；簡單和抽象；具有一般性；充分體現安全策略。

2.1P2DR2模型的時間域分析

P2DR2模型可通過數學模型，作進一步理論分析。作為一個防御保護體系，當網絡遭遇入侵攻擊時，系統每一步的安全分析與舉措均需花費時間。設Pt為設置各種保護后的防護時間，Dt為從入侵開始到系統能夠檢測到入侵所花費的時間，Rt為發現入侵后將系統調整到正常狀態的響應時間，則可得到如下安全要求：

Pt>(Dt+Rt)（1-1）

由此針對于需要保護的安全目標，如果滿足公式（1-1），即防護時間大于檢測時間加上響應時間，也就是在入侵者危害安全目標之前，這種入侵行為就能夠被檢測到并及時處理。同樣，我們假設Et為系統暴露給入侵者的時間，則有

Et=Dt+Rt（如果Pt=0）（1-2）

公式（1-2）成立的前提是假設防護時間為0，這種假設對WebServer這樣的系統可以成立。

通過上面兩個公式的分析，實際上給出了一個全新的安全定義：及時的檢測和響應就是安全，及時的檢測和恢復就是安全。不僅于此，這樣的定義為解決安全問題給出了明確的提示：提高系統的防護時間Pt、降低檢測時間Dt和響應時間Rt，是加強網絡安全的有效途徑。

圖2為P2DR2安全模型的體系結構。模型認可風險的存在，絕對安全與絕對可靠的網絡系統是不現實的，理想效果是期待網絡攻擊者穿越防御層的機會逐層遞減，穿越第5層的概率趨于零。

2.2P2DR2模型的策略域分析

網絡系統是由參與信息交互的各類實體元素構成，可以是獨立計算機、局域網絡或大規模分布式網絡系統。實體集合可包括網絡通信實體集、通信業務類型集和通信交互時間集。

通信實體集的內涵表示發起網絡通信的主體，如：進程、任務文件等資源；對于網絡系統，表示各類通信設備、服務器以及參與通信的用戶。網絡的信息交互的業務類型存在多樣性，根據數據服務類型、業務類型，可以劃分為數據信息、圖片業務、聲音業務；根據IP數據在安全網關的數據轉換服務，業務類型可以劃分為普通的分組；根據TCP/IP協議傳輸協議，業務類型可以劃分為ICMP、TCP、UDP分組。信息安全系統根據不同安全服務需求，使用不同分類法則。通信交互時間集則包含了通信事件發生的時間區域集。

安全策略是信息安全系統的核心。大規模信息系統安全必須依賴統一的安全策略管理、動態維護和管理各類安全服務。安全策略根據各類實體的安全需求，劃分信任域，制定各類安全服務的策略。

在信任域內的實體元素，存在兩種安全策略屬性，即信任域內的實體元素所共同具有的有限安全策略屬性集合,實體自身具有的、不違反Sa的特殊安全策略屬性Spi。由此我們不難看出，S=Sa+ΣSpi.

安全策略不僅制定了實體元素的安全等級，而且規定了各類安全服務互動的機制。每個信任域或實體元素根據安全策略分別實現身份驗證、訪問控制、安全通信、安全分析、安全恢復和響應的機制選擇。

3企業網安全防御體系的建立

網絡安全是一個系統工程，需要全方位防范各種安全漏洞。圖3給出了企業網安全防范體系建立的體系框架。

局域網絡系統安全方案設計、規劃時應遵循以下原則：

綜合性、整體性原則應用系統工程的觀點方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度，如人員審查、工作流程、維護保障制度等；以及專業措施，如識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等。一個較好的安全措施往往是多種方法適當綜合的應用結果。根據規定的安全策略制定出合理的網絡安全體系結構。

需求、風險、代價平衡的原則對任一網絡，絕對安全難以達到，也并非是必要的。對網絡進行可行性研究，包括任務、性能、結構、可靠性、可維護性等基礎上，對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，再制定相應規范和措施，確定本系統的安全策略。

一致性原則一致性原則主要是指網絡安全問題應與整個網絡的工作周期或生命周期同步進行，制定的安全體系結構必須與網絡的安全需求相一致。網絡系統的安全體系包括安全計劃分析、安全模型驗證、工程實施、工程驗收、實際運行等環節。實踐證明，將網絡安全設施與網絡建設同步進行，可取得事半功倍的效果。

易操作性原則安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統的正常運行。

分步實施原則由于網絡系統及其應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此，分步實

施即可滿足網絡系統及信息安全的基本需求，亦可節省費用開支。

多重保護原則任何安全措施都不是絕對安全的，都可能被攻破。建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全是必要的。

可評價性原則如何預先評價一個安全設計并驗證其網絡的安全性，這需要通過國家有關網絡信息安全測評認證機構的評估來實現。

4應用案例的分析

根據以上討論的P2DR2安全模型，并根據實際安全應用需求，可選用相關不同的產品形成多種解決方案方案。下面結合實際的工程案例――基于華為3ComSecPath100N防火墻架構的企業網安全系統作相關討論。

4.1安全方案的配置策略

策略Policy定義系統的監控周期、確立系統恢復機制、制定網絡訪問控制策略和明確系統的總體安全規劃和原則；

防護Protection充分利用防火墻系統，實現數據包策略路由、路由策略和數據包過濾技術，應用訪問控制規則達到安全、高效地訪問；應用NAT及映射技術實現IP地址的安全保護和隔離；

檢測Detection利用防火墻系統具有的入侵檢測技術及系統掃描工具，配合其他專項監測軟件，建立訪問控制子系統ACS，實現網絡系統的入侵監測及日志記錄審核，以利及時發現透過ACS的入侵行為；

響應Response在安全策略指導下，通過動態調整訪問控制系統的控制規則，發現并及時截斷可疑鏈接、杜絕可疑后門和漏洞，啟動相關報警信息；

恢復Restore在多種備份機制的基礎上，啟用應急響應恢復機制實現系統的瞬時還原；進行現場恢復及攻擊行為的再現，供研究和取證；實現異構存儲、異構環境的高速、可靠備份。

4.2安全方案的實現

方案采用華為3ComSecPath100N防火墻作為安全系統核心，配合以多種軟件防護策略。公司內部對外提供WWW、FTP和Telnet服務，內部FTP服務器地址為202.200.204.1，內部Telnet服務器地址為202.200.204.2，內部WWW服務器地址為202.200.204.3，公司對外地址為202.195.22.18。在安全網關上配置了地址轉換，這樣內部PC機可以訪問Internet，外部PC可以訪問內部服務器。通過配置防火墻，希望實現以下要求：外部網絡只有特定用戶可以訪問內部服務器。內部網絡只有特定主機可以訪問外部網絡。外部特定用戶的IP地址為202.19.30.21。

部分配置步驟

#在安全網關Quidway上允許防火墻。

[Quidway]firewallenable

#設置防火墻缺省過濾方式為允許包通過。

[Quidway]firewalldefaultpermit

#創建訪問控制列表3001。

[Quidway]aclnumber3001

#配置規則允許特定主機訪問外部網，允許內部服務器訪問外部網。

[Quidway-acl-adv-3001]rulepermitipsource202.200.201.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.202.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.203.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.204.00

#配置規則禁止所有IP包通過。

[Quidway-acl-adv-3001]ruledenyip

#創建訪問控制列表3002

[Quidway]aclnumber3002

#配置規則允許特定用戶從外部網訪問內部服務器。

[Quidway-acl-adv-3002]rulepermittcpsource202.19.30.210destination202.195.22.180

＃配置規則允許特定用戶從外部網取得數據（只允許端口大于1024的包）。

[Quidway-acl-adv-3002]rulepermittcpdestination202.195.22.180destination-portgt1024

#將規則3001作用于從接口Ethernet0/0/0進入的包。

[Quidway-Ethernet0/0/0]firewallpacket-filter3001inbound

#將規則3002作用于從接口Ethernet1/0/0進入的包。

[Quidway-Ethernet1/0/0]firewallpacket-filter3002inbound

#創建NAT應用規則。

[Quidway]nataddress-group1202.195.22.19202.195.22.28

[Quidway]aclnumber2001

[Quidway-acl-basic-2001]rulepermitsource202.200.201.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.202.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.203.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.204.00.0.0.255

[Quidway-acl-basic-2001]quit

[Quidway]interfaceEthernet3/0/0

[Quidway-Ethernet3/0/0]natoutbound2001address-group1

#設置內部ftp服務器。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.1ftp

#設置內部www服務器1。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.2www

#設置內部www服務器2。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.198080inside202.200.204.3www

#設置內部smtp服務器。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.4smtp

5結束語

網絡安全防御是一個非常復雜的問題，傳統單一的靜態安全模型不能夠很好地保證系統的安全。本文提出的P2DR2網絡安全模型是對現有動態安全模型的一次重要補充，是解決典型企業局域網絡的良好方法，通過工程案例的實踐應用，取得了較為穩定的安全效果。

參考文獻

[1]石志國等.計算機網絡安全教程.北京：清華大學出版社，2005

[2]李家春，李之棠.動態安全模型的研究.華中科技大學學報，2003,31(3):40-42

[3]侯小梅，毛宗源.基于P2DR模型的Internet安全技術.計算機工程與應用，2000,23:1-2

[4]單蓉勝，王明政，李建華.基于策略的網絡安全模型及形式化描述.計算機工程與應用，2003,13:68-71

[5]張成陽，穆志純等.基于復雜性研究的Internet安全模型.北京科技大學學報，2003,5:483-487

[6]plexNetworks:Newscienceofnetworks[A].InternationalSymposiumonComplexSystem[C],UniversityofNotreDame,2002

[7]SchnosM.Internetplaguesspreadrapidly[J].PhysRevLett,2001,86(4):3200