需要学习的几个网络安全模型

基础模型

通信双方想要传递某个信息，需建立一个逻辑上的信息通道。通信主体可以采取适当的安全机制，包括以下两个部分。

1、对被传送的信息进行与安全相关的转换，包括对消息的加密和认证。

2、两个通信主体共享不希望对手知道的秘密信息，如密钥等。

为了获得消息的安全传输，还需要一个可信的第三方，其作用是负责向通信双方分发秘密消息或者在通信双方有争议时进行仲裁。

访问模型

客户端/服务器方式(C/S模式)：由客户端向服务器发送信息请求，服务器对客户端进行身份认证，根据客户端的相应权限为客户端提供特定的服务，该模型其侧重点在于如何有效地保护客户端对服务器的安全访问，以及如何有效地保护服务器的安全性。

这种安全模型同现实中的攻击者入侵相吻合，客户端本身就可以是对手或敌人，它可以利用大量的网络攻击技术来对服务器系统构成安全威胁，这些攻击可以利用网络服务的安全缺陷、通信协议的安全缺陷、应用程序或者网络设备本身的安全漏洞来实施。为了有效地保护模型中信息系统的各种资源以及对付各种网络攻击，在模型中加入了守卫(Guard)功能。守卫可以有效地利用安全技术对信息流进行控制，如对客户端进行身份认证、对客户端对服务器的请求信息进行过滤、对服务器的资源进行监视审计等，从而可以抵御大部分的安全攻击。

PDR安全模型

它是建立在基于时间的安全理论基础之上的，该理论基本思想是：信息安全相关的所有活动，无论是攻击行为、防护行为、检测行为还是响应行为，都要消耗时间，因而可以用时间尺度来衡量一个体系的能力和安全性。

Protection:保护就是采用一切措施来保护网络、系统以及信息的安全。通常采用的技术及方法主要包括加密、认证、访问控制、防火墙及防病毒等。

D-detect:检测可以了解和评估网络和系统的安全状态，为安全防护和安全响应提供依据。常用的检测技术主要包括入侵检测、漏洞检测及网络扫描等技术。

R-response:应急响应在安全模型中占有重要地位，是解决安全问题的最有效办法。解决安全问题就是解决紧急响应和异常处理问题，因此，建立应急响应机制，形成快速安全响应的能力，对网络和系统至关重要。

PDR模型用下列时间关系表达式来说明信息系统是否安全：

（1）Pt> Dt+Rt，系统安全，即在安全机制针对攻击、破坏行为作出了成功的检测和响应时，安全控制措施依然在发挥有效的保护作用，攻击和破坏行为未给信息系统造成损失。

（2）Pt<Dt+Rt，系统不安全，即信息系统的安全控制措施的有效保护作用，在正确的检测和响应作出之前就已经失效，破坏和攻击行为已经给信息系统造成了实质性破坏和影响。

PPDR安全模型

PPDR安全模型(纵深防御、分层防护)

PPDR模型可以描述为：安全=风险分析+执行策略+系统实施+漏洞监视+实时响应。

PPDR安全模型认为没有一种技术可以完全消除网络中的安全漏洞，必须在整体安全策略的控制、指导下，在综合运行防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的反馈将系统调整到相对安全和风险最低的状态，才能达到所需的安全要求。

策略：具有一般性和普遍性，是PPDR安全模型的核心。所有的防护、检测、响应都是依据安全策略实施的，安全策略为安全管理提供管理方向和支持手段。策略体系的建立包括安全策略的制定、评估、执行等。当设计所涉及的那个系统在进行操作时，必须明确在安全领域的范围内，什么操作是明确允许的，什么操作是一般默认允许的，什么操作是明确不允许的，什么操作是默认不允许的。建立安全策略是实现安全的最首要的工作，也是实现安全技术管理与规范的第一步。

防护：采用一切手段保护计算机网络系统的保密性、完整性、可用性、可控性和不可否认性，预先阻止攻击可以发生的条件，让攻击者无法顺利地入侵。

防护可以分为三大类：系统安全防护、网络安全防护、信息安全防护：

1、系统安全防护是指操作系统的安全防护，即各个操作系统的安全配置、使用和打补丁等。

2、网络安全防护指的是网络管理的安全，以及网络传输的安全。

3、信息安全防护指的是数据本身的保密性、完整性和可用性。

检测：安全策略的第二个安全屏障是检测。检测是动态响应和加强防护的依据，是强制落实安全策略的工具，通过不断地检测和监控网络及系统来发现新的威胁和弱点，通过循环反馈来及时作出有效的响应。

检测的对象主要针对系统自身的脆弱性及外部威胁。

主要包括：

1、检查系统本身存在的脆弱性;

2、在计算机系统运行过程中，检查、测试信息是否发生泄露；

3、检测系统是否遭到入侵；

4、并找出泄露的原因和攻击的来源。

响应：在检测到安全漏洞或一个攻击(入侵)事件之后，及时采取有效的处理措施，避免危害进一步扩大，目的是把系统调整到安全状态，或使系统提供正常的服务。通过建立响应机制和和紧急响应方案，提高快速响应能力。

P2DR模型

P2DR模型总结：及时的检测和响应就是安全；及时的检测和恢复就是安全。

P2DR缺点：忽略了内在的变化因素，如人员的流动、人员的素质和策略贯彻的不稳定性。实际上，安全问题牵涉面很广，除了涉及到的防护、检测和响应，系统本身的安全“免疫力”增强、系统和整个网络的优化以及人员这个在系统中最重要角色的素质的提升，都是该安全模型没有考虑到的问题。

PPDRR模型

PPDRR模型是典型的、动态的、自适应的安全模型，包括策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）和恢复（Recovery）5个主要部分。

信息安全三维模型中，从信息安全的作用层面来看，信息安全可以分为物理安全、系统安全、数据安全和信息内容安全四层。

1、物理安全:主要体现在通信线路的可靠性、防灾害能力、防干扰能力、设备的运行环境(温度、湿度、烟尘)、不间断电源保障等等。

2、系统安全:指的是计算机与网络设备运行过程中的稳定性运行状态，因而又可称之为"运行安全"，包括操作系统的安全、网络方面的安全。

3、数据安全:是指对信息在数据处理、存储、检索、传输、显示等过程中的保护，不被非法冒充、窃取、篡改、抵赖。

4、信息内容安全:是指对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力。在此，被阻断的对象主要是各种不良的、有害的信息。

MPDRR模型

它是对PPDRR的进一步完善，MPDRR是对防护、检测、响应、恢复四个环节进行统一的管理和协调，使系统更加安全。

WPDRRC模型

WPDRRC 信息安全模型是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型。

PDRRC 模型有6个环节和3大要素。6个环节包括预警、保护、检测、响应、恢复和反击‚它们具有较强的时序性和动态性能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。

预警：采用入侵防御系统‚分析各种安全报警、日志信息‚结合使用网络运维管理系统实现对各种安全威胁与安全事件的“预警”。

保护：采用防火墙、DDoS 防御网关、安全域访问控制系统、内网安全管理及补丁分发系统、存储介质与文档安全管理系统、网络防病毒系统、主机入侵防护系统、数据库审计系统‚结合日志分析、安全加固、紧急响应等安全服务‚实现对网上报税系统全方位的“保护”。

检测：采用内网扫描与脆弱性分析系统、各类安全审计系统、网络运维管理系统‚结合日志分析、漏洞扫描、渗透测试等安全服务实现对网上报税系统安全状况的“检测”

响应：采用各类安全审计系统、网络运维管理系统结合专业的安全技术支持服务以及紧急响应等安全服务‚实现对各种安全威胁与安全事件的“响应”。“响应”是指发安全事件后的紧急处理程序可以被看作更进一步的“保护”。

恢复：采用双机热备系统、服务器集群系统、存储备份系统和网络运维管理系统‚结合信息系统安全管理体系‚实现网上报税系统遭遇意外事件和不法侵害时系统运行、业务数据和业务应用的恢复。

反击：采用入侵防御系统、黑客追踪系统、计算机在线调查取证分析系统、各类安全审计系统和网络运维管理系统‚结合安全管理体系以及专业的安全服务‚实现网上报税系统遭遇不法侵害时对各种安全威胁源的“反击”。

网络杀伤链模型

网络杀伤链(Kill Chain)包括7个阶段:侦察阶段、武器化阶段、散布阶段、利用阶段、安装并控制、主动外联、目标达成。

侦察阶段：侦察阶段是攻击者为达成目标，进行探测、识别及确定攻击对象（目标）的过程。在这个阶段，可通过网络收集目标网站、报道资料、招标公告、职员的社会关系网等各种与目标相关的情报。

武器化阶段：武器化阶段是指通过侦察阶段确定目标后，准备网络武器的阶段。网络武器可由攻击者直接制造，也可利用自动化工具来制造。

散布阶段：散布阶段是指将制造完成的网络武器向目标散布的阶段。使用最为频繁的散布手段有邮件附件、网站、USB等。

利用阶段：利用阶段是指网络武器散布到目标系统后，启动恶意代码的阶段。在大部分的情况下，往往会利用应用程序或操作系统的漏洞及缺陷。

安装并控制：设置阶段是指攻击者在目标系统设置特洛伊木马、后门等，一定期限内在目标系统营造活动环境的阶段。

主动外联：攻击者建立目标系统攻击路径的阶段。在大部分情况下，智能型网络攻击并非是单纯的自动攻击，而是在攻击者的直接参与下实施的。一旦攻击路径确立后，攻击者将能够自由接近目标系统。

目标达成阶段：攻击者达到预期目标的阶段。攻击目标呈现多样化，具体来讲有侦察、敏感情报收集、破坏数据的完整性、摧毁系统等。

滑动标尺模型

网络安全滑动标尺模型核心思想是将企业划分五个网络安全能力阶段，分别是架构建设、被动防御、主动防御、情报和反击威慑。

该模型面对不同的威胁类型企业需要建立怎样的安全能力，以及这些能力间的演进关系，以帮助同管理层沟通安全建设投资、并确定和跟踪安全投入的优先级等活动。

网络安全滑动标尺模型是针对网络安全活动和投资领域进行详细探讨的模型。组织和个人利用滑动标尺要达成的目标是从该标尺的左侧部分开始投入资源，解决上述问题，从而获得合理投资收益，然后将大量资源分配给其他类别。但滑动标尺的每个类别在安全方面的重要性并不均等。

架构安全：指在用安全思维规划、构建和维护系统。安全的系统设计是基础，在此之上才能开展其他方面的网络安全建设。此外，根据组织的需求合理构建架构安全，可提升标尺的其他阶段的效率，降低开销。架构安全通常从规划和设计系统以支撑组织需求开始。架构安全阶段的目的并非是防御攻击者，而是要满足正常运营环境和紧急运营环境的需求。

被动防御：在通过投资该模型的架构安全类别构建了合理的安全基础后，就非常有必要投资构筑被动防御了。被动防御位于架构安全的上层，为系统提供攻击防护。攻击者或威胁若心怀叵测且有能力造成损害，一旦找到机会便会绕过架构，无论架构有多完善，因此被动防御非常必要。被动防御的定位是架构中添加的提供持续威胁防护和检测且无需经常人工互动的系统。如防火墙、反恶意软件系统、入侵防御系统、防病毒系统、入侵检测系统和类似的传统安全系统，可提供资产防护、填补或缩小已知安全缺口，减少与威胁交互的机会，并提供威胁洞察分析。这些系统需定期维护、更换和保养，而不是需要时常人工互动才能运行。系统可能一直运行，但并非总是处于有效防护状态。

主动防御：主动防御为分析监控、响应网络内部威胁、从中汲取经验并将知识应用其中的过程。承担这任务的分析师包括事件响应人、恶意软件逆向工程师、威胁分析师、网络安全监控分析师以及利用自己的环境探寻攻击者并进行响应的其他人员。系统本身无法提供主动防御，只能作为主动防守者的工具。同样，分析师仅坐在诸如系统信息和事件管理器之类的工具前面并不能让成为主动的防守者—这关乎行动和过程，就如人员的岗位安排和培训一样重要。使高级威胁持久且危险的是键盘背后的具有自适应能力和智慧的对手。打击这些对手需要同样灵活和聪明的防守者。

情报：指收集数据、利用数据获取信息并进行评估的过程，以填补之前所发现的知识鸿沟。有效实现主动防御的秘诀之一是能够利用攻击者相关情报并通过情报推动环境中的安全变化、流程和行动。使用情报是主动防御的一部分，但输出情报属于情报类别。使用各种方法从各种来源收集了关于攻击者的数据、信息和情报。组织要合理使用威胁情报，必须了解自己，了解威胁，并授权人员使用这些信息进行防御。正是由于这个核心基础，威胁情报对防御者显得极为重要，若没有这一基础，会大大降低情报的价值。

反制：作为滑动标尺模型的最后阶段，进攻是对友方网络外对手采取的直接行动。采取进攻行动时，需要了解前面各阶段，具备相关技能，而且往往要求这些阶段中已进行了相应活动。

零信任模型

零信任它是以身份为中心，进行网络动态访问控制，其核心思想是不信任网络内外部任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。

零信任架构（ZTA，Zero Trust Architecture）策略是指基于系统的物理或网络位置（即局域网或因特网）不存在授予系统的隐式信任的策略。当需要资源时才授予对数据资源的访问权，并在建立连接之前执行身份验证（用户和设备）。

零信任架构的设计和部署遵循以下基本原则:

1、所有数据源和计算服务都被视为资源；