從PPDR模型看高校信息安全保障工作

文/蔡利軍 周益飛

隨著信息化的快速發(fā)展和信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)安全面臨的威脅持續(xù)加大。教育信息化是國(guó)家信息化的重要組成部分，而高校信息安全保障工作關(guān)系著教育信息化的穩(wěn)步推進(jìn)和教育事業(yè)的改革發(fā)展，只有建立健全網(wǎng)絡(luò)與信息安全保障體系，提高防護(hù)能力和水平，才能保障高校教育事業(yè)健康有序發(fā)展。高校負(fù)責(zé)信息安全的部門，在規(guī)劃信息安全時(shí)應(yīng)該有清晰的思路和理論依據(jù)，做到從實(shí)際問題和需求出發(fā)，理論聯(lián)系實(shí)際，才能在安全形勢(shì)日益嚴(yán)峻和技術(shù)不斷發(fā)展的過程中做好信息安全保障工作。

在信息安全技術(shù)發(fā)展過程中，國(guó)內(nèi)外有很多成熟的安全模型值得借鑒和參考，比如美國(guó)國(guó)家安全局(NSA）制定的信息保障技術(shù)框架（ITAF）、基于時(shí)間的保護(hù)、檢測(cè)和響應(yīng)（PDR）模型、以及基于PDR模型發(fā)展出來的動(dòng)態(tài)可適應(yīng)網(wǎng)絡(luò)安全(PPDR)模型。根據(jù)近幾年信息安全工作規(guī)劃和實(shí)施的經(jīng)驗(yàn)，我們認(rèn)為PPDR模型比較適合指導(dǎo)高校信息安全保障工作。本文結(jié)合武漢大學(xué)的信息安全規(guī)劃和部署來介紹PPDR模型的應(yīng)用，并討論個(gè)人信息安全保護(hù)工作的規(guī)劃和實(shí)施。

PDR和PPDR模型介紹

保護(hù)-檢測(cè)-響應(yīng)（Protection-Detection-Response，PDR）模型是美國(guó)ISS公司提出的可量化的模型，其思想是成立信息系統(tǒng)中漏洞的存在，正視系統(tǒng)面臨的威脅，通過采取適度防護(hù)、加強(qiáng)檢測(cè)工作、落實(shí)對(duì)安全事件的響應(yīng)、建立對(duì)威脅的防護(hù)來保障系統(tǒng)的安全。

模型中的防護(hù)指的是通過部署和采用安全技術(shù)來提供網(wǎng)絡(luò)的防護(hù)能力，如防火墻、訪問控制、加密技術(shù)等；檢測(cè)指的是利用信

息安全檢測(cè)工具，監(jiān)視、分析、掃描網(wǎng)絡(luò)活動(dòng)，了解判斷網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)。檢測(cè)這一環(huán)

節(jié)，使安全防護(hù)從被動(dòng)防護(hù)演進(jìn)到主動(dòng)防御，是整個(gè)模型動(dòng)態(tài)性的體現(xiàn)，主要方法包括：實(shí)時(shí)監(jiān)控、檢測(cè)、報(bào)警等；響應(yīng)指的是在檢測(cè)到安全漏洞和安全事件時(shí)，通過及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的安全性調(diào)整到風(fēng)險(xiǎn)最低的狀態(tài)、包括清除木馬、病毒，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動(dòng)備份系統(tǒng)等，主要方法包括∶關(guān)閉服務(wù)、跟蹤、反擊、消除影響等。

PDR模型的出發(fā)點(diǎn)是基于這樣的前提：任何安全防護(hù)措施都是基于時(shí)間的，超過該時(shí)間段，這種防護(hù)措施是可能被攻破的。該模型給出了信息系統(tǒng)的攻防時(shí)間表，可以根據(jù)各個(gè)環(huán)節(jié)所需時(shí)間與防護(hù)時(shí)間相比較，判斷信息系統(tǒng)在面臨各種威脅時(shí)是否安全。具體方法如下：假設(shè)S系統(tǒng)的防護(hù)、檢測(cè)和反應(yīng)的時(shí)間分別是Pt(防護(hù)時(shí)間、有效防御攻擊的時(shí)間）,Dt（檢測(cè)時(shí)間、發(fā)起攻擊到檢測(cè)到的時(shí)間）,Rt（反應(yīng)時(shí)間、檢測(cè)到攻擊到處理完成時(shí)間）,假設(shè)系統(tǒng)被對(duì)手成功攻擊后的時(shí)間為 Et（暴露時(shí)間）,則該系統(tǒng)防護(hù)、檢測(cè)和反應(yīng)的時(shí)間關(guān)系如下：

如果Pt＞Dt＋Rt，那么S是安全的；

如果Pt＜Dt＋Rt，那么Et＝（Dt＋Rt）－Pt。

PDR模型強(qiáng)調(diào)檢測(cè)的重要性，通過經(jīng)常對(duì)網(wǎng)絡(luò)、信息系統(tǒng)的評(píng)估來掌握系統(tǒng)風(fēng)險(xiǎn)點(diǎn)，及時(shí)弱化甚至消除系統(tǒng)的安全漏洞。PDR模型直觀、實(shí)用，不過也存在缺點(diǎn)，主要是對(duì)系統(tǒng)的安全隱患和安全措施采取相對(duì)固定的前提假設(shè)，難于適應(yīng)網(wǎng)絡(luò)安全環(huán)境的快速變化。

圖1 PPDR模型

針對(duì)PDR模型的的問題和缺陷，在PDR模型的基礎(chǔ)上發(fā)展出了策略-保護(hù)-檢測(cè)-響應(yīng)（Protection-Detection-Response，PPDR）模型，該模型的核心思想是：所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)安全策略實(shí)施的。模型中的策略是指信息系統(tǒng)的安全策略，包括訪問控制策略、加密通信策略、身份認(rèn)證策略、備份恢復(fù)策略等。PPDR策略體系的建設(shè)包括安全策略的制定、評(píng)估與執(zhí)行等，根據(jù)安全技術(shù)的發(fā)展和形勢(shì)的變化，不斷的調(diào)整防護(hù)、檢測(cè)、響應(yīng)手段，組成一個(gè)完整動(dòng)態(tài)循環(huán)。如圖1所示。

與PDR模型相比，PPDR模型則更強(qiáng)調(diào)控制和對(duì)抗，即強(qiáng)調(diào)系統(tǒng)安全的動(dòng)態(tài)性,以安全檢測(cè)、漏洞監(jiān)測(cè)和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全。PPDR模型考慮了管理因素，它強(qiáng)調(diào)安全管理的持續(xù)性、安全策略的動(dòng)態(tài)性，以實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)活動(dòng)、發(fā)現(xiàn)威脅和弱點(diǎn)來調(diào)整和填補(bǔ)網(wǎng)絡(luò)漏洞。

PPDR模型的應(yīng)用

集中資源、重點(diǎn)防護(hù)

由于高校的網(wǎng)絡(luò)結(jié)構(gòu)和資源分布不同，因此防護(hù)的考慮和策略也不一樣。武漢大學(xué)網(wǎng)絡(luò)結(jié)構(gòu)大致如圖2所示，出口有聯(lián)通、電信和教育網(wǎng)，邊界配置了傳統(tǒng)防火墻。內(nèi)部網(wǎng)絡(luò)主要分為服務(wù)器區(qū)、辦公網(wǎng)和學(xué)生宿舍網(wǎng)，在規(guī)劃網(wǎng)絡(luò)和信息安全的時(shí)候，我們應(yīng)該重點(diǎn)考慮服務(wù)器區(qū)，同時(shí)要求各種信息系統(tǒng)向服務(wù)器區(qū)的云平臺(tái)集中。

圖2 武漢大學(xué)網(wǎng)絡(luò)拓?fù)?/p>

在進(jìn)行安全保護(hù)體系建設(shè)時(shí)，一般會(huì)在網(wǎng)絡(luò)的不同區(qū)域部署傳統(tǒng)防火墻、IDS(入侵檢測(cè)系統(tǒng))、IPS等設(shè)備。著名IT咨詢機(jī)構(gòu)Gartner指出，目前用戶面臨的網(wǎng)絡(luò)攻擊90%來自應(yīng)用層，傳統(tǒng)防火墻只能抵御網(wǎng)絡(luò)層攻擊，并無法防御應(yīng)用層威脅，若仍舊選用傳統(tǒng)防火墻、IPS等設(shè)備防護(hù)，將導(dǎo)致網(wǎng)絡(luò)無法有效抵御新的網(wǎng)絡(luò)攻擊。而第二代防火墻（簡(jiǎn)稱“NGFW”）集成了上述安全防護(hù)功能，同時(shí)降低了管理復(fù)雜度。

NGFW除具備傳統(tǒng)防火墻包過濾、狀態(tài)檢測(cè)等基本功能外，還具備應(yīng)用流量識(shí)別、應(yīng)用層訪問控制、Web攻擊防護(hù)、惡意代碼防護(hù)、信息泄露防護(hù)和入侵防御等功能。考慮到等級(jí)保護(hù)的要求和日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，我們還需要NGFW有效抵御如SQL注入、XSS跨站腳本攻擊等種類繁多的Web攻擊，保障用戶各類業(yè)務(wù)系統(tǒng)的安全。因此我們將二臺(tái)NGFW（高可用性）部署于服務(wù)器區(qū)的邊界，以達(dá)到訪問控制、入侵防范和惡意代碼防范等要求，保護(hù)武漢大學(xué)服務(wù)器區(qū)的云平臺(tái)和數(shù)據(jù)中心。

規(guī)范遠(yuǎn)程運(yùn)維

如果把服務(wù)器對(duì)外開放的端口比作門的話，我們重點(diǎn)需要防護(hù)的就是兩種類型的門，Web應(yīng)用類（80、8080、443等端口）和遠(yuǎn)程訪問類（3389、22等端口），對(duì)Web應(yīng)用端口，我們可以通過NGFW或Web應(yīng)用防火墻（簡(jiǎn)稱“WAF”）來防護(hù)，而遠(yuǎn)程訪問類，我們建議通過管理手段，強(qiáng)制要求所有對(duì)服務(wù)器的遠(yuǎn)程訪問都通過統(tǒng)一安全管理與綜合審計(jì)系統(tǒng)（簡(jiǎn)稱“堡壘機(jī)”）進(jìn)行。

堡壘機(jī)通過規(guī)范運(yùn)維權(quán)限管理、全程錄像運(yùn)維操作過程等手段，對(duì)運(yùn)維工作中的人為風(fēng)險(xiǎn)進(jìn)行防范、規(guī)避。堡壘機(jī)支持SSH、RDP、HTTPS等工具對(duì)服務(wù)器資源進(jìn)行操作管理，還能夠?qū)RACLE、MS SQL、MYSQL等數(shù)據(jù)庫操作進(jìn)行集中審計(jì)和控制，滿足用戶隨時(shí)隨地訪問應(yīng)用系統(tǒng)的需求，而且在外地還可以通過移動(dòng)終端平臺(tái)安全運(yùn)維。因此我們部署了兩臺(tái)堡壘機(jī)（高可用性），確保遠(yuǎn)程運(yùn)維的安全和可靠，目前所有的服務(wù)器區(qū)用戶和公司運(yùn)維人員都通過堡壘機(jī)遠(yuǎn)程管理、維護(hù)信息系統(tǒng)。這樣最重要的兩道門保護(hù)好后，其余的門（端口）都關(guān)閉，就可以保障核心服務(wù)器區(qū)的基本安全。

全網(wǎng)監(jiān)控和威脅感知

武漢大學(xué)由原武漢大學(xué)、武漢測(cè)繪大學(xué)、武漢水利水電大學(xué)、湖北醫(yī)學(xué)院四個(gè)學(xué)校合并而成。由于歷史原因，武漢大學(xué)有許多信息系統(tǒng)、服務(wù)器分布在各個(gè)校區(qū)的辦公網(wǎng)區(qū)域，因此對(duì)全網(wǎng)進(jìn)行應(yīng)用層的防護(hù)比較困難。我們的思路是首先通過路由牽引將外網(wǎng)對(duì)辦公網(wǎng)區(qū)域的80端口的訪問指向WAF，用WAF對(duì)辦公網(wǎng)區(qū)域的信息系統(tǒng)和服務(wù)器進(jìn)行基本的應(yīng)用層防護(hù)，但是這樣只能對(duì)外網(wǎng)的攻擊能夠起到防護(hù)，對(duì)內(nèi)網(wǎng)發(fā)起的攻擊無法阻攔。為了建立多層次的檢測(cè)體系，我們部署了威脅感知系統(tǒng)，來進(jìn)行全網(wǎng)監(jiān)控和威脅感知，尤其是對(duì)高級(jí)持續(xù)性威脅APT（Advanced Persistent Threat）進(jìn)行防御，如圖3所示。

圖3 威脅感知系統(tǒng)部署

APT是利用各種手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式，APT在發(fā)動(dòng)攻擊之前會(huì)對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集,在收集的過程中，會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，并利用0day漏洞進(jìn)行攻擊。根據(jù)統(tǒng)計(jì)，國(guó)內(nèi)疑似 APT 攻擊目標(biāo)的組織機(jī)構(gòu)近 200 個(gè)，其中大學(xué)占比最高為40%；大學(xué)內(nèi)部的科研機(jī)構(gòu)是APT攻擊的首要目標(biāo)。

隨著武漢大學(xué)的規(guī)模不斷擴(kuò)大，科研機(jī)構(gòu)不斷增加，境外APT組織目光會(huì)聚焦于學(xué)校內(nèi)部（如遙感和測(cè)繪學(xué)院)的一些敏感科研機(jī)構(gòu)。針對(duì)以APT為首的高級(jí)威脅攻擊，使用基于規(guī)則庫、簽名技術(shù)的傳統(tǒng)防護(hù)設(shè)備無法檢測(cè)，同時(shí)產(chǎn)生的大量無用告警也會(huì)影響對(duì)于入侵攻擊的判斷。而新一代的威脅感知系統(tǒng)基于多維度的海量互聯(lián)網(wǎng)數(shù)據(jù)，進(jìn)行自動(dòng)化挖掘與云端關(guān)聯(lián)分析，可以提前洞悉各種安全威脅，達(dá)到對(duì)入侵途徑及攻擊者背景的研判與溯源。有了先進(jìn)的技術(shù)檢測(cè)設(shè)備，響應(yīng)就能夠及時(shí)、準(zhǔn)確，當(dāng)然響應(yīng)的前提是安全管理制度的建設(shè)，其中包括制定應(yīng)急響應(yīng)預(yù)案、成立網(wǎng)絡(luò)安全聯(lián)絡(luò)小組等。

高校個(gè)人信息安全保護(hù)工作

隨著個(gè)人信息泄露的問題日益嚴(yán)重，目前國(guó)家越來越重視個(gè)人信息安全，《信息安全技術(shù)個(gè)人信息安全規(guī)范》2018年5月1日正式實(shí)施，其中跟運(yùn)營(yíng)者相關(guān)的要求主要有∶ 數(shù)據(jù)安全能力、安全審計(jì)，個(gè)人敏感信息的加密傳輸和存儲(chǔ) ，制定個(gè)人信息安全事件應(yīng)急預(yù)案，安全事件告知等。而高校由于單位眾多，管理人員安全意識(shí)薄弱，因此各類信息泄露事件層出不窮，如何做好個(gè)人信息安全保護(hù)工作？這些都給安全工作人員帶來了新的挑戰(zhàn)，下面我們就應(yīng)用PPDR模型來協(xié)助規(guī)劃個(gè)人信息安全保護(hù)工作。

首先，個(gè)人信息安全策略應(yīng)該根據(jù)高校的實(shí)際情況和問題制定，目前高校信息泄露途徑主要有兩類，一是管理員弱密碼或程序漏洞導(dǎo)致后臺(tái)暴露，海量的個(gè)人信息可以直接瀏覽或?qū)С觯切姓藛T主動(dòng)將包含敏感信息的文件或內(nèi)容直接公開發(fā)布到網(wǎng)站，黑客通過Google搜索之類的工具可以直接下載。而傳統(tǒng)的數(shù)據(jù)安全產(chǎn)品諸如數(shù)據(jù)庫審計(jì)系統(tǒng)、數(shù)據(jù)庫防火墻都只能檢測(cè)客戶端連接數(shù)據(jù)庫的操作，無法防止通過WEB應(yīng)用直接泄露數(shù)據(jù)的問題。而數(shù)據(jù)庫客戶端的訪問或登陸服務(wù)器操作，完全可以通過堡壘機(jī)來實(shí)現(xiàn)審計(jì)和規(guī)范，因此我們認(rèn)為這類產(chǎn)品并不適用高校復(fù)雜的網(wǎng)絡(luò)和系統(tǒng)環(huán)境。

結(jié)合PPDR模型，我們認(rèn)為應(yīng)該從防護(hù)、檢測(cè)、響應(yīng)三個(gè)方面來制定個(gè)人信息保護(hù)策略，對(duì)數(shù)據(jù)進(jìn)行分級(jí)保護(hù)，對(duì)數(shù)據(jù)全生命周期做到“可視”、“可管”、“可追溯”，事前對(duì)數(shù)據(jù)先進(jìn)行梳理、然后分類分級(jí)治理，對(duì)于尤其重要的數(shù)據(jù)庫進(jìn)行物理隔離，或者考慮部署高性能的數(shù)據(jù)庫加密系統(tǒng)，同時(shí)對(duì)于開發(fā)和測(cè)試，采用數(shù)據(jù)庫脫敏產(chǎn)品，防止真實(shí)數(shù)據(jù)泄漏。事中通過流量采集對(duì)網(wǎng)上傳輸?shù)臄?shù)據(jù)進(jìn)行內(nèi)容識(shí)別，通過關(guān)鍵字、正則識(shí)別敏感數(shù)據(jù)，然后對(duì)敏感數(shù)據(jù)泄露實(shí)施告警或阻斷。事后對(duì)泄露事件審計(jì)、關(guān)聯(lián)分析，按照個(gè)人信息安全事件應(yīng)急預(yù)案進(jìn)行安全事件告知，并采取相關(guān)的補(bǔ)救措施。對(duì)應(yīng)PPDR模型，我們可以總結(jié)出“事前防護(hù)、事中檢測(cè)、事后響應(yīng)”的完整流程，隨著大數(shù)據(jù)、機(jī)器學(xué)習(xí)、內(nèi)容識(shí)別等技術(shù)的發(fā)展和運(yùn)用，我們可以采用新的安全技術(shù)手段和設(shè)備來不斷完善個(gè)人信息安全保護(hù)工作。

正如習(xí)總書記所指出的“信息安全需要系統(tǒng)思維”，我們?cè)诎踩雷o(hù)技術(shù)體系建設(shè)的同時(shí)，需要樹立正確的信息安全觀，用系統(tǒng)思維的方式全面考慮政策法規(guī)、技術(shù)條件、使用方便、私密保護(hù)等因素。PPDR模型就是我們?cè)谧鲂畔踩Ｕ瞎ぷ髦锌梢詤⒖己徒梃b的系統(tǒng)思維工具，只有根據(jù)實(shí)際需求建立自己的信息安全工作思路，才能做到“以我為主”，不被安全廠商的宣傳所迷惑。“信息安全是整體的而不是割裂的”，維護(hù)信息安全也是全校共同的責(zé)任，提高師生的安全意識(shí)、宣傳信息安全知識(shí)同樣重要，高校信息安全保障工作最終需要各單位、教職工、學(xué)生共同參與，共筑信息安全防線。