P2DR2网络安全模型研究及应用

摘要文章首先讨论了企业网络面临的安全威胁，结合动态变化的互联网安全问题分析，提出了基于时间与策略的动态P2DR2安全模型体系，系统阐述了企业网络安全防范策略与措施，并给出了应用实例。

关键词企业网，P2DR2安全模型，应用实践

引言

21世纪全世界的计算机都通过Internet联到了一起，网络安全的内涵也随之发生了根本的变化。它不仅从一般性的防卫变成了一种立体、全方位的防范体系，而且还由专业技术变成了无处不在的技术应用。当人类步入21世纪这一信息社会、网络社会的时候,安全成为了科技发展所面临的一个重要课题。目前的网络安全主要具有以下特征：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化和发展；第三，随着网络在社会各方面的延伸，进入网络的手段也具有日新月异的多样性，网络安全也面临着更多的困惑。因此，网络安全技术是一个十分复杂的系统工程。

1网络安全隐患的分析

传统的安全防护方法是：对网络进行风险分析，制订相应的安全策略，采取一种或多种安全技术作为防护措施。这种方案要取得成功主要依赖于系统正确的设置和完善的防御手段的建立，并且在很大程度上是针对固定的、静态的威胁和环境弱点。其忽略了因特网安全的重要特征，即因特网安全没有标准的过程和方法。新的安全问题的出现需要新的安全技术和手段来解决，因此，安全是一个动态的、不断完善的过程。

企业网络安全可以从以下几个方面来分析：物理网络安全、平台网络安全、系统网络安全、应用网络安全、管理网络安全等方面。

物理网络安全风险物理网络安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故，电源故障、人为操作失误或错误，设备被盗、被毁，电磁干扰、线路截获等安全隐患；物理网络安全是整个网络系统安全的前提。

平台网络的安全风险平台网络的安全涉及到基于ISO/OSI模型三层路由平台的安全，包括网络拓扑结构、网络路由状况及网络环境等因素；企业网内公开服务器面临的威胁、网络结构和路由状况面临的困扰是问题的主要方面。

公开服务器是信息平台，由于承担了为外界信息服务的责任，因此极易成为网络黑客攻击的目标；伴随企业局域网与外网连接多样性的存在，安全、策略的路由显得愈加重要。

系统网络的安全风险系统网络安全是建立在平台网络安全基础上，涉及到网络操作系统及网络资源基础应用的安全体系。操作系统的安全设置、操作和访问的权限、共享资源的合理配置等成为主要因素。

应用网络的安全风险应用网络系统安全具有明显的个体性和动态性，针对不同的应用环境和不断变化发展应用需求，应用网络安全的内涵在不断的变化和发展之中。其安全性涉及到信息、数据的安全性。

管理网络的安全风险管理网络安全更多的涉及到人的因素，管理是网络中安全最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险；网络系统的实时检测、监控、报告与预警，是管理网络安全的另一方面。

通用网关接口（CGI）漏洞有一类风险涉及通用网关接口（CGI）脚本。CGI脚本程序是搜索引擎通过超链接查找特定信息的基础，同时也使得通过修改CGI脚本执行非法任务成为可能，这就是问题之所在。

除此之外，恶意代码、网络病毒也成为网络不安全的隐患。

2P2DR2安全模型的提出

基于闭环控制的动态网络安全理论模型在1995年开始逐渐形成并得到了迅速发展，学术界先后提出了PDR、P2DR等多种动态风险模型，随着互联网技术的飞速发展，企业网的应用环境千变万化，现有模型存在诸多待发展之处。

P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的（Policy，Protection，Detection，Response，Restore）动态安全模型结构，由策略、防护、检测、响应和恢复等要素构成，是一种基于闭环控制、主动防御的动态安全模型，通过区域网络的路由及安全策略分析与制定，在网络内部及边界建立实时检测、监测和审计机制，采取实时、快速动态响应安全手段，应用多样性系统灾难备份恢复、关键系统冗余设计等方法，构造多层次、全方位和立体的区域网络安全环境。

一个良好的网络安全模型应在充分了解网络系统安全需求的基础上，通过安全模型表达安全体系架构，通常具备以下性质：精确、无歧义；简单和抽象；具有一般性；充分体现安全策略。

2.1P2DR2模型的时间域分析

P2DR2模型可通过数学模型，作进一步理论分析。作为一个防御保护体系，当网络遭遇入侵攻击时，系统每一步的安全分析与举措均需花费时间。设Pt为设置各种保护后的防护时间，Dt为从入侵开始到系统能够检测到入侵所花费的时间，Rt为发现入侵后将系统调整到正常状态的响应时间，则可得到如下安全要求：

Pt>(Dt+Rt)（1-1）

由此针对于需要保护的安全目标，如果满足公式（1-1），即防护时间大于检测时间加上响应时间，也就是在入侵者危害安全目标之前，这种入侵行为就能够被检测到并及时处理。同样，我们假设Et为系统暴露给入侵者的时间，则有

Et=Dt+Rt（如果Pt=0）（1-2）

公式（1-2）成立的前提是假设防护时间为0，这种假设对WebServer这样的系统可以成立。

通过上面两个公式的分析，实际上给出了一个全新的安全定义：及时的检测和响应就是安全，及时的检测和恢复就是安全。不仅于此，这样的定义为解决安全问题给出了明确的提示：提高系统的防护时间Pt、降低检测时间Dt和响应时间Rt，是加强网络安全的有效途径。

图2为P2DR2安全模型的体系结构。模型认可风险的存在，绝对安全与绝对可靠的网络系统是不现实的，理想效果是期待网络攻击者穿越防御层的机会逐层递减，穿越第5层的概率趋于零。

2.2P2DR2模型的策略域分析

网络系统是由参与信息交互的各类实体元素构成，可以是独立计算机、局域网络或大规模分布式网络系统。实体集合可包括网络通信实体集、通信业务类型集和通信交互时间集。

通信实体集的内涵表示发起网络通信的主体，如：进程、任务文件等资源；对于网络系统，表示各类通信设备、服务器以及参与通信的用户。网络的信息交互的业务类型存在多样性，根据数据服务类型、业务类型，可以划分为数据信息、图片业务、声音业务；根据IP数据在安全网关的数据转换服务，业务类型可以划分为普通的分组；根据TCP/IP协议传输协议，业务类型可以划分为ICMP、TCP、UDP分组。信息安全系统根据不同安全服务需求，使用不同分类法则。通信交互时间集则包含了通信事件发生的时间区域集。

安全策略是信息安全系统的核心。大规模信息系统安全必须依赖统一的安全策略管理、动态维护和管理各类安全服务。安全策略根据各类实体的安全需求，划分信任域，制定各类安全服务的策略。

在信任域内的实体元素，存在两种安全策略属性，即信任域内的实体元素所共同具有的有限安全策略属性集合,实体自身具有的、不违反Sa的特殊安全策略属性Spi。由此我们不难看出，S=Sa+ΣSpi.

安全策略不仅制定了实体元素的安全等级，而且规定了各类安全服务互动的机制。每个信任域或实体元素根据安全策略分别实现身份验证、访问控制、安全通信、安全分析、安全恢复和响应的机制选择。

3企业网安全防御体系的建立

网络安全是一个系统工程，需要全方位防范各种安全漏洞。图3给出了企业网安全防范体系建立的体系框架。

局域网络系统安全方案设计、规划时应遵循以下原则：

综合性、整体性原则应用系统工程的观点方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度，如人员审查、工作流程、维护保障制度等；以及专业措施，如识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等。一个较好的安全措施往往是多种方法适当综合的应用结果。根据规定的安全策略制定出合理的网络安全体系结构。

需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也并非是必要的。对网络进行可行性研究，包括任务、性能、结构、可靠性、可维护性等基础上，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，再制定相应规范和措施，确定本系统的安全策略。

一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期或生命周期同步进行，制定的安全体系结构必须与网络的安全需求相一致。网络系统的安全体系包括安全计划分析、安全模型验证、工程实施、工程验收、实际运行等环节。实践证明，将网络安全设施与网络建设同步进行，可取得事半功倍的效果。

易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。

分步实施原则由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此，分步实

施即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

多重保护原则任何安全措施都不是绝对安全的，都可能被攻破。建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全是必要的。

可评价性原则如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。

4应用案例的分析

根据以上讨论的P2DR2安全模型，并根据实际安全应用需求，可选用相关不同的产品形成多种解决方案方案。下面结合实际的工程案例――基于华为3ComSecPath100N防火墙架构的企业网安全系统作相关讨论。

4.1安全方案的配置策略

策略Policy定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则；

防护Protection充分利用防火墙系统，实现数据包策略路由、路由策略和数据包过滤技术，应用访问控制规则达到安全、高效地访问；应用NAT及映射技术实现IP地址的安全保护和隔离；

检测Detection利用防火墙系统具有的入侵检测技术及系统扫描工具，配合其他专项监测软件，建立访问控制子系统ACS，实现网络系统的入侵监测及日志记录审核，以利及时发现透过ACS的入侵行为；

响应Response在安全策略指导下，通过动态调整访问控制系统的控制规则，发现并及时截断可疑链接、杜绝可疑后门和漏洞，启动相关报警信息；

恢复Restore在多种备份机制的基础上，启用应急响应恢复机制实现系统的瞬时还原；进行现场恢复及攻击行为的再现，供研究和取证；实现异构存储、异构环境的高速、可靠备份。

4.2安全方案的实现

方案采用华为3ComSecPath100N防火墙作为安全系统核心，配合以多种软件防护策略。公司内部对外提供WWW、FTP和Telnet服务，内部FTP服务器地址为202.200.204.1，内部Telnet服务器地址为202.200.204.2，内部WWW服务器地址为202.200.204.3，公司对外地址为202.195.22.18。在安全网关上配置了地址转换，这样内部PC机可以访问Internet，外部PC可以访问内部服务器。通过配置防火墙，希望实现以下要求：外部网络只有特定用户可以访问内部服务器。内部网络只有特定主机可以访问外部网络。外部特定用户的IP地址为202.19.30.21。

部分配置步骤

#在安全网关Quidway上允许防火墙。

[Quidway]firewallenable

#设置防火墙缺省过滤方式为允许包通过。

[Quidway]firewalldefaultpermit

#创建访问控制列表3001。

[Quidway]aclnumber3001

#配置规则允许特定主机访问外部网，允许内部服务器访问外部网。

[Quidway-acl-adv-3001]rulepermitipsource202.200.201.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.202.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.203.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.204.00

#配置规则禁止所有IP包通过。

[Quidway-acl-adv-3001]ruledenyip

#创建访问控制列表3002

[Quidway]aclnumber3002

#配置规则允许特定用户从外部网访问内部服务器。

[Quidway-acl-adv-3002]rulepermittcpsource202.19.30.210destination202.195.22.180

＃配置规则允许特定用户从外部网取得数据（只允许端口大于1024的包）。

[Quidway-acl-adv-3002]rulepermittcpdestination202.195.22.180destination-portgt1024

#将规则3001作用于从接口Ethernet0/0/0进入的包。

[Quidway-Ethernet0/0/0]firewallpacket-filter3001inbound

#将规则3002作用于从接口Ethernet1/0/0进入的包。

[Quidway-Ethernet1/0/0]firewallpacket-filter3002inbound

#创建NAT应用规则。

[Quidway]nataddress-group1202.195.22.19202.195.22.28

[Quidway]aclnumber2001

[Quidway-acl-basic-2001]rulepermitsource202.200.201.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.202.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.203.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.204.00.0.0.255

[Quidway-acl-basic-2001]quit

[Quidway]interfaceEthernet3/0/0

[Quidway-Ethernet3/0/0]natoutbound2001address-group1

#设置内部ftp服务器。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.1ftp

#设置内部www服务器1。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.2www

#设置内部www服务器2。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.198080inside202.200.204.3www

#设置内部smtp服务器。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.4smtp

5结束语

网络安全防御是一个非常复杂的问题，传统单一的静态安全模型不能够很好地保证系统的安全。本文提出的P2DR2网络安全模型是对现有动态安全模型的一次重要补充，是解决典型企业局域网络的良好方法，通过工程案例的实践应用，取得了较为稳定的安全效果。

参考文献

[1]石志国等.计算机网络安全教程.北京：清华大学出版社，2005

[2]李家春，李之棠.动态安全模型的研究.华中科技大学学报，2003,31(3):40-42

[3]侯小梅，毛宗源.基于P2DR模型的Internet安全技术.计算机工程与应用，2000,23:1-2

[4]单蓉胜，王明政，李建华.基于策略的网络安全模型及形式化描述.计算机工程与应用，2003,13:68-71

[5]张成阳，穆志纯等.基于复杂性研究的Internet安全模型.北京科技大学学报，2003,5:483-487

[6]plexNetworks:Newscienceofnetworks[A].InternationalSymposiumonComplexSystem[C],UniversityofNotreDame,2002

[7]SchnosM.Internetplaguesspreadrapidly[J].PhysRevLett,2001,86(4):3200