P2DR模型是美国ISS公司提出的动态网路安全体系的代表模型1,也是动态安全模型的雏形。:根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和回响都是依据安全策略实施的。网路安全策略一般包括总体安全策略和具体安全策略2个部分。
基本介绍
- 中文名:P2DR模型
- 提出机构:美国ISS公司
- 包括:Policy、Protection等
- 公式:Pt > Dt + Rt
主要部分
P2DR模型包括四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(回响)。
(1)策略:定义系统的监控周期、确立系统恢复机制、制定网路访问控制策略和明确係统的总体安全规划和原则。
(2)防护:通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。採用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
(3)检测:是动态回响和加强防护的依据,通过不断地检测和监控网路系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的回响。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
(4)回响:系统一旦检测到入侵,回响系统就开始工作,进行事件处理。回响包括紧急回响和恢复处理,恢复处理又包括系统恢复和信息恢复。
基本原理
P2DR 模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、作业系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和回响组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
该理论的最基本原理就是认为,信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和回响行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。
作为一个防护体系,当入侵者要发起攻击时,每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt;在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为也要花费时间―检测时间Dt;在检测到入侵后,系统会做出应有的回响动作,这也要花费时间―回响时间Rt。
P2DR 模型就可以用一些典型的数学公式来表达安全的要求:
公式 1:Pt > Dt + Rt 。
Pt代表系统为了保护安全目标设定各种保护后的防护时间;或者理解为在这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间。Dt代表从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。Rt代表从发现入侵行为开始,系统能够做出足够的回响,将系统调整到正常状态的时间。那幺,针对于需要保护的安全目标,如果上述数学公式满足防护时间大于检测时间加上回响时间,也就是在入侵者危害安全目标之前就能被检测到并及时处理。
公式 2:Et = Dt + Rt,如果 Pt = 0。
公式的前提是假设防护时间为0。Dt代表从入侵者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。Rt代表从发现遭到破坏开始,系统能够做出足够的回响,将系统调整到正常状态的时间。比如,对Web Server被破坏的页面进行恢复。那幺,Dt与Rt的和就是该安全目标系统的暴露时间Et。针对于需要保护的安全目标,如果Et越小系统就越安全。
通过上面两个公式的描述,实际上给出了安全一个全新的定义:“及时的检测和回响就是安全”,“及时的检测和恢复就是安全”。
而且,这样的定义为安全问题的解决给出了明确的方向:提高系统的防护时间 Pt,降低检测时间 Dt和回响时间 Rt。
P2DR模型也存在一个明显的弱点,就是忽略了内在的变化因素.如人员的流动、人员的素质和策略贯彻的不稳定性.实际上,安全问题牵涉面广,除了涉及到防护、检测和回响,系统本身安全的"免疫力"的增强、系统和整个网路的最佳化,以及人员这个在系统中最重要角色的素质的提升,都是该安全系统没有考虑到的问题.
