P2DR2网络安全模型的研究及应用

1、P2DR2网络平安模型的研究及应用摘要文章首先讨论了企业网络面临的平安威胁，结合动态变化的互联网平安问题分析，提出了基于时间与策略的动态P2DR2平安模型体系，系统阐述了企业网络平安防范策略与措施，并给出了应用实例。关键词企业网，P2DR2平安模型，应用理论21世纪全世界的计算机都通过Internet联到了一起，网络平安的内涵也随之发生了根本的变化。它不仅从一般性的防卫变成了一种立体、全方位的防范体系，而且还由专业技术变成了无处不在的技术应用。当人类步入21世纪这一信息社会、网络社会的时候,平安成为了科技开展所面临的一个重要课题。目前的网络平安主要具有以下特征：第一，网络平安来源于平安策略与技

2、术的多样化，假如采用一种统一的技术和策略也就不平安了；第二，网络的平安机制与技术要不断地变化和开展；第三，随着网络在社会各方面的延伸，进入网络的手段也具有日新月异的多样性，网络平安也面临着更多的困惑。因此，网络平安技术是一个非常复杂的系统工程。传统的平安防护方法是：对网络进展风险分析，制订相应的平安策略，采取一种或多种平安技术作为防护措施。这种方案要获得成功主要依赖于系统正确的设置和完善的防御手段的建立，并且在很大程度上是针对固定的、静态的威胁和环境弱点。其忽略了因特网平安的重要特征，即因特网平安没有标准的过程和方法。新的平安问题的出现需要新的平安技术和手段来解决，因此，平安是一个动态的、不断

3、完善的过程。企业网络平安可以从以下几个方面来分析：物理网络平安、平台网络平安、系统网络平安、应用网络平安、管理网络平安等方面。物理网络平安风险物理网络平安的风险是多种多样的。网络的物理平安主要是指地震、水灾、火灾等环境事故，电源故障、人为操作失误或错误，设备被盗、被毁，电磁干扰、线路截获等平安隐患；物理网络平安是整个网络系统平安的前提。平台网络的平安风险平台网络的平安涉及到基于IS/SI模型三层路由平台的平安，包括网络拓扑构造、网络路由状况及网络环境等因素；企业网内公开效劳器面临的威胁、网络构造和路由状况面临的困扰是问题的主要方面。公开效劳器是信息发布平台，由于承当了为外界信息效劳的责任，因此

4、极易成为网络黑客攻击的目的；伴随企业局域网与外网连接多样性的存在，平安、策略的路由显得愈加重要。系统网络的平安风险系统网络平安是建立在平台网络平安根底上，涉及到网络操作系统及网络资源根底应用的平安体系。操作系统的平安设置、操作和访问的权限、共享资源的合理配置等成为主要因素。应用网络的平安风险应用网络系统平安具有明显的个体性和动态性，针对不同的应用环境和不断变化开展应用需求，应用网络平安的内涵在不断的变化和开展之中。其平安性涉及到信息、数据的平安性。管理网络的平安风险管理网络平安更多的涉及到人的因素，管理是网络中平安最重要的局部。责权不明，管理混乱、平安管理制度不健全及缺乏可操作性等都可能引起管

5、理平安的风险；网络系统的实时检测、监控、报告与预警，是管理网络平安的另一方面。通用网关接口GI破绽有一类风险涉及通用网关接口GI脚本。GI脚本程序是搜索引擎通过超链接查找特定信息的根底，同时也使得通过修改GI脚本执行非法任务成为可能，这就是问题之所在。除此之外，恶意代码、网络病毒也成为网络不平安的隐患。基于闭环控制的动态网络平安理论模型在1995年开场逐渐形成并得到了迅速开展，学术界先后提出了PDR、P2DR等多种动态风险模型，随着互联网技术的飞速开展，企业网的应用环境千变万化，现有模型存在诸多待开展之处。P2DR2动态平安模型研究的是基于企业网对象、依时间及策略特征的Pliy，Prtetin

6、，Detetin，Respnse，Restre动态平安模型构造，由策略、防护、检测、响应和恢复等要素构成，是一种基于闭环控制、主动防御的动态平安模型，通过区域网络的路由及平安策略分析与制定，在网络内部及边界建立实时检测、监测和审计机制，采取实时、快速动态响应平安手段，应用多样性系统灾难备份恢复、关键系统冗余设计等方法，构造多层次、全方位和立体的区域网络平安环境。一个良好的网络平安模型应在充分理解网络系统平安需求的根底上，通过平安模型表达平安体系架构，通常具备以下性质：准确、无歧义；简单和抽象；具有一般性；充分表达平安策略。图1P2DR2平安模型示意图2.1P2DR2模型的时间域分析P2DR2模

7、型可通过数学模型，作进一步理论分析。作为一个防御保护体系，当网络遭遇入侵攻击时，系统每一步的平安分析与举措均需花费时间。设Pt为设置各种保护后的防护时间，Dt为从入侵开场到系统可以检测到入侵所花费的时间，Rt为发现入侵后将系统调整到正常状态的响应时间，那么可得到如下平安要求：Pt(Dt+Rt)1-1由此针对于需要保护的平安目的，假如满足公式1-1，即防护时间大于检测时间加上响应时间，也就是在入侵者危害平安目的之前，这种入侵行为就可以被检测到并及时处理。同样，我们假设Et为系统暴露给入侵者的时间，那么有Et=Dt+Rt假如Pt=01-2公式1-2成立的前提是假设防护时间为0，这种假设对ebSer

8、ver这样的系统可以成立。通过上面两个公式的分析，实际上给出了一个全新的平安定义：及时的检测和响应就是平安，及时的检测和恢复就是平安。不仅于此，这样的定义为解决平安问题给出了明确的提示：进步系统的防护时间Pt、降低检测时间Dt和响应时间Rt，是加强网络平安的有效途径。图2为P2DR2平安模型的体系构造。模型认可风险的存在，绝对平安与绝对可靠的网络系统是不现实的，理想效果是期待网络攻击者穿越防御层的时机逐层递减，穿越第5层的概率趋于零。系统备份、系统恢复和复原Laver5系统响应、对抗Laver4系统检测、破绽扫描Laver3系统保护、包过滤和认证Laver2系统策略Laver1图2P2DR2平

9、安模型体系构造2.2P2DR2模型的策略域分析网络系统是由参与信息交互的各类实体元素构成，可以是独立计算机、局域网络或大规模分布式网络系统。实体集合可包括网络通信实体集、通信业务类型集和通信交互时间集。通信实体集的内涵表示发起网络通信的主体，如：进程、任务文件等资源；对于网络系统，表示各类通信设备、效劳器以及参与通信的用户。网络的信息交互的业务类型存在多样性，根据数据效劳类型、业务类型，可以划分为数据信息、图片业务、声音业务；根据IP数据在平安网关的数据转换效劳，业务类型可以划分为普通的分组；根据TP/IP协议传输协议，业务类型可以划分为IP、TP、UDP分组。信息平安系统根据不同平安效劳需求

10、，使用不同分类法那么。通信交互时间集那么包含了通信事件发生的时间区域集。平安策略是信息平安系统的核心。大规模信息系统平安必须依赖统一的平安策略管理、动态维护和管理各类平安效劳。平安策略根据各类实体的平安需求，划分信任域，制定各类平安效劳的策略。在信任域内的实体元素，存在两种平安策略属性，即信任域内的实体元素所共同具有的有限平安策略属性集合,实体自身具有的、不违背Sa的特殊平安策略属性Spi。由此我们不难看出，S=Sa+Spi.平安策略不仅制定了实体元素的平安等级，而且规定了各类平安效劳互动的机制。每个信任域或实体元素根据平安策略分别实现身份验证、访问控制、平安通信、平安分析、平安恢复和响应的机

11、制选择。网络平安是一个系统工程，需要全方位防范各种平安破绽。图3给出了企业网平安防范体系建立的体系框架。局域网络系统平安方案设计、规划时应遵循以下原那么：综合性、整体性原那么应用系统工程的观点方法，分析网络的平安及详细措施。平安措施主要包括：行政法律手段、各种管理制度，如人员审查、工作流程、维护保障制度等；以及专业措施，如识别技术、存取控制、密码、低辐射、容错、防病毒、采用高平安产品等。一个较好的平安措施往往是多种方法适当综合的应用结果。根据规定的平安策略制定出合理的网络平安体系构造。需求、风险、代价平衡的原那么对任一网络，绝对平安难以到达，也并非是必要的。对网络进展可行性研究，包括任务、性能

12、、构造、可靠性、可维护性等根底上，对网络面临的威胁及可能承当的风险进展定性与定量相结合的分析，再制定相应标准和措施，确定本系统的平安策略。一致性原那么一致性原那么主要是指网络平安问题应与整个网络的工作周期或生命周期同步进展，制定的平安体系构造必须与网络的平安需求相一致。网络系统的平安体系包括平安方案分析、平安模型验证、工程施行、工程验收、实际运行等环节。理论证明，将网络平安设施与网络建立同步进展，可获得事半功倍的效果。易操作性原那么平安措施需要人为去完成，假如措施过于复杂，对人的要求过高，本身就降低了平安性；其次，措施的采用不能影响系统的正常运行。分步施行原那么由于网络系统及其应用扩展范围广阔

13、，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络平安问题是不现实的。同时由于施行信息平安措施需相当的费用支出。因此，分步实施即可满足网络系统及信息平安的根本需求，亦可节省费用开支。多重保护原那么任何平安措施都不是绝对平安的，都可能被攻破。建立一个多重保护系统，各层保护互相补充，当一层保护被攻破时，其它层保护仍可保护信息的平安是必要的。可评价性原那么如何预先评价一个平安设计并验证其网络的平安性，这需要通过国家有关网络信息平安测评认证机构的评估来实现。图3企业网平安防御体系根据以上讨论的P2DR2平安模型，并根据实际平安应用需求，可选用相关不同的产品形成多种解决方案方案

14、。下面结合实际的工程案例基于华为3SePath100N防火墙架构的企业网平安系统作相关讨论。图4应用案例拓扑构造图4.1平安方案的配置策略策略Pliy定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体平安规划和原那么；防护Prtetin充分利用防火墙系统，实现数据包策略路由、路由策略和数据包过滤技术，应用访问控制规那么到达平安、高效地访问；应用NAT及映射技术实现IP地址的平安保护和隔离；检测Detetin利用防火墙系统具有的入侵检测技术及系统扫描工具，配合其他专项监测软件，建立访问控制子系统AS，实现网络系统的入侵监测及日志记录审核，以利及时发现透过AS的入侵行为；响

15、应Respnse在平安策略指导下，通过动态调整访问控制系统的控制规那么，发现并及时截断可疑链接、杜绝可疑后门和破绽，启动相关报警信息；恢复Restre在多种备份机制的根底上，启用应急响应恢复机制实现系统的瞬时复原；进展现场恢复及攻击行为的再现，供研究和取证；实现异构存储、异构环境的高速、可靠备份。4.2平安方案的实现方案采用华为3SePath100N防火墙作为平安系统核心，配合以多种软件防护策略。公司内部对外提供、FTP和Telnet效劳，内部FTP效劳器地址为，内部Telnet效劳器地址为，内部效劳器地址为，公司对外地址为8。在平安网关上配置了地址转换，这样内部P机可以访问Internet，

16、外部P可以访问内部效劳器。通过配置防火墙，希望实现以下要求：外部网络只有特定用户可以访问内部效劳器。内部网络只有特定主机可以访问外部网络。外部特定用户的IP地址为1。局部配置步骤#在平安网关Quiday上允许防火墙。Quidayfireallenable#设置防火墙缺省过滤方式为允许包通过。Quidayfirealldefaultperit#创立访问控制列表3001。Quidayalnuber3001#配置规那么允许特定主机访问外部网，允许内部效劳器访问外部网。Quiday-al-adv-3001ruleperitipsure0Quiday-al-adv-3001ruleperitipsure

17、0Quiday-al-adv-3001ruleperitipsure0Quiday-al-adv-3001ruleperitipsure0#配置规那么制止所有IP包通过。Quiday-al-adv-3001ruledenyip#创立访问控制列表3002Quidayalnuber3002#配置规那么允许特定用户从外部网访问内部效劳器。Quiday-al-adv-3002ruleperittpsure10destinatin80配置规那么允许特定用户从外部网获得数据只允许端口大于1024的包。Quiday-al-adv-3002ruleperittpdestinatin80destinatin-p

18、rtgt1024#将规那么3001作用于从接口Ethernet0/0/0进入的包。Quiday-Ethernet0/0/0fireallpaket-filter3001inbund#将规那么3002作用于从接口Ethernet1/0/0进入的包。Quiday-Ethernet1/0/0fireallpaket-filter3002inbund#创立NAT应用规那么。Quidaynataddress-grup198Quidayalnuber2001Quiday-al-basi-2001ruleperitsure55Quiday-al-basi-2001ruleperitsure55Quiday-al-basi-2001ruleperitsure55Quiday-al-basi-2001ruleperitsure55Quiday-al-basi-2001quitQuidayinterfaeEthernet3/0/0Quiday-Ethernet3/0/0natutbund2001address-grup1#设置内部ftp效劳器。Quiday-Ethernet3/0/0natserverprtltpglbal9insideftp#设置内部效劳器1。Quiday-Ethernet3/0/0natserverprtltpglbal9