本节书摘来自华章出版社《信息安全保障》一书中的第1章，第1.2节，作者 吴世忠 江常青 孙成昊 李华 李静，更多章节内容可以访问云栖社区“华章计算机”公众号查看

1.2　信息安全保障概念与模型

信息技术发展到网络化社会阶段，信息安全作为一个日益重要而尖锐的问题，涉及面越来越宽，众多因素和变量均处于“不确定”状态，在这种情况下只能维持一种动态、可控的安全状态，信息安全保障就是这样一种安全理念。

1.2.1　信息安全保障概念

为了满足现代信息系统和应用的安全保障需求，除了防止信息泄露、修改和破坏，还应当检测入侵行为；计划和部署针对入侵行为的防御措施；同时，采用安全措施和容错机制，在遭受攻击的情况下，保证机密性、私密性、完整性、抗抵赖性、真实性、可用性和可靠性；修复信息和信息系统所遭受的破坏。这被称作“信息安全保障”，它能够不受安全威胁的影响，在分布式和不同种类计算和通信环境中，传递可信、正确、及时的信息。通过保证信息和信息系统的可用性、完整性、保密性及抗抵赖性来保护信息和信息系统，包括通过综合保护、检测和响应等能力为信息系统提供修复。
同传统的信息安全和信息系统安全的概念比较，不难看出信息安全保障的概念更加广泛。首先，传统信息安全的重点是保护和防御，而信息安全保障的概念是保护、检测和响应的综合。其次，传统信息安全的概念不太关注检测和响应，但是信息安全保障非常关注这两点。再次，攻击后的修复不在传统信息安全概念的范围之内，但是它是信息安全保障的重要组成部分。最后，传统信息安全的目的是为了防止攻击的发生，而信息安全保障的目的是为了保证当有攻击发生时，信息系统始终能保证维持特定水平的可用性、完整性、真实性、机密性和抗抵赖性。
毋庸置疑，信息安全保障包含许多学科，有多种方面，如策略、法规、道德、管理、评估和技术。同传统的信息安全实践相比，信息安全保障不仅包含设计和改进各种新安全技术，还包括多种应急策略、法规、道德、社会、经济、管理、评估和保障问题，信息安全保障加快了人们对信息安全实践的步伐。

1.2.2　信息安全保障相关模型

信息安全保障相关模型能准确描述安全的重要方面与系统行为的关系，提高对成功实现关键安全需求的理解层次，“计划-执行-检查-改进”（Plan Do Check Act，PDCA）模型和信息保障技术框架是信息安全管理和信息安全保障技术实施过程遵循的方法和思想。
1.?P2DR模型
防护-检测-响应（Protection Detection Response，PDR）模型的基本思想是承认信息系统中存在漏洞，正视系统面临的威胁，通过适度防护并加强检测，落实安全事件响应，建立威胁源威慑，保障系统安全。该模型认为，任何安全防护措施都是基于时间的，超过该时间段，这种防护措施就可能被攻破。该模型给出了信息系统攻防时间表，攻击时间指的是系统采取某种防守措施，使用不同的攻击手段攻破该防守措施所需要的时间。防守时间指的是对于某种固定攻击采取不同的安全防护措施，该防护措施所能坚守的时间。PDR模型直观、实用，但对系统的安全隐患和安全措施采取相对固定的假设前提，难以适应网络安全环境的快速变化。

在PDR模型基础上，增加策略要素便形成了“策略-防护-检测-响应”（Policy Protection Detection Response，P2DR/PPDR）模型，即“策略-防护-检测-响应”。该模型的核心是信息系统所有防护、检测和响应都是依据安全策略实施的，如图1-2所示。
在P2DR模型中，策略指信息系统的安全策略，包括访问控制、加密通信、身份认证和备份恢复等，策略体系的建立包括安全策略的制订、评估与执行等。防护指通过部署和采用安全技术来提高信息系统的防护能力，如访问控制、防火墙、入侵检测、加密和身份认证等技术。检测指利用信息安全检测工具，监视、分析、审计网络活动，了解信息系统的安全状态。检测使安全从被动防护演进为主动防御，体现了模型的动态性，主要方法包括实时监控、检测和报警等。响应指检测到安全漏洞和事件时，及时通过响应措施将信息系统的安全性调整到风险最低的状态，其主要方法包括关闭服务、跟踪反击、消除影响、启动备份系统，以及恢复系统功能和数据等。
在P2DR模型中，可以将各个环节所需时间与防护时间相比较，判断信息系统在面临各种威胁时是否安全。假设系统S的防护、检测和响应时间分别是Pt、Dt和Rt，系统被对手成功攻击后的暴露时间为Et，那么可以根据下面两个关系式来判断系统S是否安全：
如果Pt＞Dt＋Rt，那么S是安全的；
如果Pt＜Dt＋Rt，那么Et＝?（Dt＋Rt）?-Pt。
P2DR模型的核心思想是：在统一安全策略的控制下，综合运用防护工具，使用检测工具检测、评估系统的安全状态，及时通过响应措施将系统调整到安全风险最低的状态。
与PDR模型相比，P2DR模型更突出控制和对抗，即强调系统安全的动态性，并且以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全。P2DR模型还考虑了管理因素，强调安全管理的持续性，关注检测的重要性，通过实时监视网络活动，发现威胁和弱点来修补安全漏洞。
目前，P2DR模型又有了新的发展，形成“策略-防护-检测-响应-恢复”（Policy Protection Detection Response Recovery，P2DR2/PPDRR）模型。P2DR2是一种动态的、自适应的安全处理模型。在进行风险处理时可参考此模型，以适应安全风险和安全需求的不断变化，提供持续的安全保障。PPDRR模型包括策略、防护、检测、响应和恢复5个主要部分，防护、检测、响应和恢复构成一个完整的、动态的安全循环，在安全策略的指导下共同实现安全保障。不同等级的信息系统的安全保护要求不同，因而可采用不同的风险处理模型。对于安全保护等级为4及以上的信息系统，建议采用PPDRR，安全保护等级为3的信息系统，建议参考PPDRR模型，安全保护等级为2及以下的信息系统，可不做要求。
风险处理的需求来自机构信息系统的安全要求和风险评估结果。针对不同的风险处理需求，应采取不同的风险处理措施。表1-3根据PPDRR模型列出了主要的风险处理需求及其相应的风险处理措施。

2.?信息安全保障技术框架
信息安全保障技术框架（Information Assurance Technical Framework，IATF）由美国国家安全局（National Security Agency，NSA）发布，最初是为美国政府和工业信息基础设施提供安全保障的技术指南。IATF提出了深度防御的战略思想，首先，人、技术和操作（也称“运行维护”）是深度防御的3个主要层面，即讨论人在技术支持下运行维护的信息安全保障问题，这三者之间的关系如图1-3所示，深度防御措施如表1-4所示；其次，在技术上深度防御战略将信息系统的安全保护解构为保护计算环境、保护区域边界、保护网络和基础设施，以及支持性基础设施建设4个方面，并描述了这4个方面分层多点的技术安全保障方案。

在IATF深度防御战略中，人、技术和操作3个层面强调技术，并提供一个框架进行多层保护，以此防范信息系统面临的各种威胁，该方法使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。
IATF深度防御战略的基本原理是采用层次化保护策略，但不意味着需要在网络体系结构的各个可能位置实现信息安全保障机制，通过在主要位置实现适当的保护级别，便能够依据需要实现有效保护。另外，分层策略允许在适当的时候采用低安全级的保障解决方案，降低信息安全保障成本，同时也允许在关键位置（例如区域边界）使用高安全级保障解决方案，确保系统的安全性。
IATF通过一个通用框架，对复杂信息系统进行解构和描述，然后再以此框架讨论信息系统的安全保护问题。IATF将信息系统的安全保障技术分为以下4部分：本地的计算环境、区域边界（本地计算环境的外缘）、网络和基础设施，以及支撑性基础设施，如图1-4所示。在深度防御技术方案中使用多点防御和分层防御原则。
（1）多点防御
由于对手可以从内部或外部多点攻击一个目标，必须在多点应用防护机制以抵御攻击。最低限度，需要防护以下3类“焦点区域”：网络和基础设施、区域边界，以及计算环境。

1）对网络和基础设施的保护包括：保护本地和广域网络以抵抗拒绝服务攻击（Denial of Service，DoS），确保网络的可用性；对网络上传送的数据提供机密性保护，用加密和信息流安全手段对抗被动监听，防止用户信息流和网络基础设施控制信息被监听和泄露；对网络上传送的数据提供完整性保护，防止数据篡改、伪造和重放攻击，以及由于环境因素（如电磁干扰等）引起的数据突变。
2）对区域边界的保护包括：在区域边界处部署防火墙和入侵检测系统（Intrusion Detection System，IDS）等安全设备，抵抗和检测网络主动攻击，保证物理和逻辑边界能受到适当的保护；保证区域间交换的数据或通过远程访问交换的数据能够受到保护，避免不适当的泄露；对那些由于技术或配置问题不能保护自己区域内信息的系统提供边界保护；对流过区域边界的重要信息进行风险评估以确定相应的保护措施；对可能破坏内部区域的外部系统或力量进行防范；对从区域外进行访问的用户进行强身份认证。
对计算环境的保护包括：提供对客户机和服务器的访问控制以便抵抗来自内部人员的各种攻击和破坏，保证客户机、服务器以及应用系统能够抵抗拒绝服务攻击，防止客户机、服务器和应用系统的非授权使用，保证数据免遭非授权泄露和篡改；保证对客户机和服务器的操作遵循配置指南并及时安装所有适用的补丁；维持所有客户机和服务器的配置管理，对所有变更进行管理和控制。
（2）分层防御
在敌手和它的目标之间配备多种安全机制，每种机制都应包括保护和检测两种手段，这些手段增加了敌手被检测出来的几率，减少了他们成功攻击或渗透的机会。在网络外部和内部边界部署嵌套防火墙（与入侵检测结合）是分层防御的典型实例，其中内部防火墙支持更细粒度的访问控制和数据过滤。表1-5列出了常见攻击类型的分层防御方法。这种分层防御机制提高了安全防护的坚固性，加大了攻击成功的难度，延长了有效防护时间，能显著提升信息安全保障能力。