文/蔡利军 周益飞

随着信息化的快速发展和信息技术的广泛应用，网络安全面临的威胁持续加大。教育信息化是国家信息化的重要组成部分，而高校信息安全保障工作关系着教育信息化的稳步推进和教育事业的改革发展，只有建立健全网络与信息安全保障体系，提高防护能力和水平，才能保障高校教育事业健康有序发展。高校负责信息安全的部门，在规划信息安全时应该有清晰的思路和理论依据，做到从实际问题和需求出发，理论联系实际，才能在安全形势日益严峻和技术不断发展的过程中做好信息安全保障工作。

在信息安全技术发展过程中，国内外有很多成熟的安全模型值得借鉴和参考，比如美国国家安全局(NSA）制定的信息保障技术框架（ITAF）、基于时间的保护、检测和响应（PDR）模型、以及基于PDR模型发展出来的动态可适应网络安全(PPDR)模型。根据近几年信息安全工作规划和实施的经验，我们认为PPDR模型比较适合指导高校信息安全保障工作。本文结合武汉大学的信息安全规划和部署来介绍PPDR模型的应用，并讨论个人信息安全保护工作的规划和实施。

PDR和PPDR模型介绍

保护-检测-响应（Protection-Detection-Response，PDR）模型是美国ISS公司提出的可量化的模型，其思想是成立信息系统中漏洞的存在，正视系统面临的威胁，通过采取适度防护、加强检测工作、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。

模型中的防护指的是通过部署和采用安全技术来提供网络的防护能力，如防火墙、访问控制、加密技术等；检测指的是利用信

息安全检测工具，监视、分析、扫描网络活动，了解判断网络系统的安全状态。检测这一环

节，使安全防护从被动防护演进到主动防御，是整个模型动态性的体现，主要方法包括：实时监控、检测、报警等；响应指的是在检测到安全漏洞和安全事件时，通过及时的响应措施将网络系统的安全性调整到风险最低的状态、包括清除木马、病毒，恢复系统功能和数据，启动备份系统等，主要方法包括∶关闭服务、跟踪、反击、消除影响等。

PDR模型的出发点是基于这样的前提：任何安全防护措施都是基于时间的，超过该时间段，这种防护措施是可能被攻破的。该模型给出了信息系统的攻防时间表，可以根据各个环节所需时间与防护时间相比较，判断信息系统在面临各种威胁时是否安全。具体方法如下：假设S系统的防护、检测和反应的时间分别是Pt(防护时间、有效防御攻击的时间）,Dt（检测时间、发起攻击到检测到的时间）,Rt（反应时间、检测到攻击到处理完成时间）,假设系统被对手成功攻击后的时间为 Et（暴露时间）,则该系统防护、检测和反应的时间关系如下：

如果Pt＞Dt＋Rt，那么S是安全的；

如果Pt＜Dt＋Rt，那么Et＝（Dt＋Rt）－Pt。

PDR模型强调检测的重要性，通过经常对网络、信息系统的评估来掌握系统风险点，及时弱化甚至消除系统的安全漏洞。PDR模型直观、实用，不过也存在缺点，主要是对系统的安全隐患和安全措施采取相对固定的前提假设，难于适应网络安全环境的快速变化。

图1 PPDR模型

针对PDR模型的的问题和缺陷，在PDR模型的基础上发展出了策略-保护-检测-响应（Protection-Detection-Response，PPDR）模型，该模型的核心思想是：所有的防护、检测、响应都是依据安全策略实施的。模型中的策略是指信息系统的安全策略，包括访问控制策略、加密通信策略、身份认证策略、备份恢复策略等。PPDR策略体系的建设包括安全策略的制定、评估与执行等，根据安全技术的发展和形势的变化，不断的调整防护、检测、响应手段，组成一个完整动态循环。如图1所示。

与PDR模型相比，PPDR模型则更强调控制和对抗，即强调系统安全的动态性,以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全。PPDR模型考虑了管理因素，它强调安全管理的持续性、安全策略的动态性，以实时监视网络活动、发现威胁和弱点来调整和填补网络漏洞。

PPDR模型的应用

集中资源、重点防护

由于高校的网络结构和资源分布不同，因此防护的考虑和策略也不一样。武汉大学网络结构大致如图2所示，出口有联通、电信和教育网，边界配置了传统防火墙。内部网络主要分为服务器区、办公网和学生宿舍网，在规划网络和信息安全的时候，我们应该重点考虑服务器区，同时要求各种信息系统向服务器区的云平台集中。

图2 武汉大学网络拓扑

在进行安全保护体系建设时，一般会在网络的不同区域部署传统防火墙、IDS(入侵检测系统)、IPS等设备。著名IT咨询机构Gartner指出，目前用户面临的网络攻击90%来自应用层，传统防火墙只能抵御网络层攻击，并无法防御应用层威胁，若仍旧选用传统防火墙、IPS等设备防护，将导致网络无法有效抵御新的网络攻击。而第二代防火墙（简称“NGFW”）集成了上述安全防护功能，同时降低了管理复杂度。

NGFW除具备传统防火墙包过滤、状态检测等基本功能外，还具备应用流量识别、应用层访问控制、Web攻击防护、恶意代码防护、信息泄露防护和入侵防御等功能。考虑到等级保护的要求和日益复杂的网络环境，我们还需要NGFW有效抵御如SQL注入、XSS跨站脚本攻击等种类繁多的Web攻击，保障用户各类业务系统的安全。因此我们将二台NGFW（高可用性）部署于服务器区的边界，以达到访问控制、入侵防范和恶意代码防范等要求，保护武汉大学服务器区的云平台和数据中心。

规范远程运维

如果把服务器对外开放的端口比作门的话，我们重点需要防护的就是两种类型的门，Web应用类（80、8080、443等端口）和远程访问类（3389、22等端口），对Web应用端口，我们可以通过NGFW或Web应用防火墙（简称“WAF”）来防护，而远程访问类，我们建议通过管理手段，强制要求所有对服务器的远程访问都通过统一安全管理与综合审计系统（简称“堡垒机”）进行。

堡垒机通过规范运维权限管理、全程录像运维操作过程等手段，对运维工作中的人为风险进行防范、规避。堡垒机支持SSH、RDP、HTTPS等工具对服务器资源进行操作管理，还能够对ORACLE、MS SQL、MYSQL等数据库操作进行集中审计和控制，满足用户随时随地访问应用系统的需求，而且在外地还可以通过移动终端平台安全运维。因此我们部署了两台堡垒机（高可用性），确保远程运维的安全和可靠，目前所有的服务器区用户和公司运维人员都通过堡垒机远程管理、维护信息系统。这样最重要的两道门保护好后，其余的门（端口）都关闭，就可以保障核心服务器区的基本安全。

全网监控和威胁感知

武汉大学由原武汉大学、武汉测绘大学、武汉水利水电大学、湖北医学院四个学校合并而成。由于历史原因，武汉大学有许多信息系统、服务器分布在各个校区的办公网区域，因此对全网进行应用层的防护比较困难。我们的思路是首先通过路由牵引将外网对办公网区域的80端口的访问指向WAF，用WAF对办公网区域的信息系统和服务器进行基本的应用层防护，但是这样只能对外网的攻击能够起到防护，对内网发起的攻击无法阻拦。为了建立多层次的检测体系，我们部署了威胁感知系统，来进行全网监控和威胁感知，尤其是对高级持续性威胁APT（Advanced Persistent Threat）进行防御，如图3所示。

图3 威胁感知系统部署

APT是利用各种手段对特定目标进行长期持续性网络攻击的攻击形式，APT在发动攻击之前会对攻击对象的业务流程和目标系统进行精确的收集,在收集的过程中，会主动挖掘被攻击对象受信系统和应用程序的漏洞，并利用0day漏洞进行攻击。根据统计，国内疑似 APT 攻击目标的组织机构近 200 个，其中大学占比最高为40%；大学内部的科研机构是APT攻击的首要目标。

随着武汉大学的规模不断扩大，科研机构不断增加，境外APT组织目光会聚焦于学校内部（如遥感和测绘学院)的一些敏感科研机构。针对以APT为首的高级威胁攻击，使用基于规则库、签名技术的传统防护设备无法检测，同时产生的大量无用告警也会影响对于入侵攻击的判断。而新一代的威胁感知系统基于多维度的海量互联网数据，进行自动化挖掘与云端关联分析，可以提前洞悉各种安全威胁，达到对入侵途径及攻击者背景的研判与溯源。有了先进的技术检测设备，响应就能够及时、准确，当然响应的前提是安全管理制度的建设，其中包括制定应急响应预案、成立网络安全联络小组等。

高校个人信息安全保护工作

随着个人信息泄露的问题日益严重，目前国家越来越重视个人信息安全，《信息安全技术个人信息安全规范》2018年5月1日正式实施，其中跟运营者相关的要求主要有∶ 数据安全能力、安全审计，个人敏感信息的加密传输和存储 ，制定个人信息安全事件应急预案，安全事件告知等。而高校由于单位众多，管理人员安全意识薄弱，因此各类信息泄露事件层出不穷，如何做好个人信息安全保护工作？这些都给安全工作人员带来了新的挑战，下面我们就应用PPDR模型来协助规划个人信息安全保护工作。

首先，个人信息安全策略应该根据高校的实际情况和问题制定，目前高校信息泄露途径主要有两类，一是管理员弱密码或程序漏洞导致后台暴露，海量的个人信息可以直接浏览或导出，二是行政人员主动将包含敏感信息的文件或内容直接公开发布到网站，黑客通过Google搜索之类的工具可以直接下载。而传统的数据安全产品诸如数据库审计系统、数据库防火墙都只能检测客户端连接数据库的操作，无法防止通过WEB应用直接泄露数据的问题。而数据库客户端的访问或登陆服务器操作，完全可以通过堡垒机来实现审计和规范，因此我们认为这类产品并不适用高校复杂的网络和系统环境。

结合PPDR模型，我们认为应该从防护、检测、响应三个方面来制定个人信息保护策略，对数据进行分级保护，对数据全生命周期做到“可视”、“可管”、“可追溯”，事前对数据先进行梳理、然后分类分级治理，对于尤其重要的数据库进行物理隔离，或者考虑部署高性能的数据库加密系统，同时对于开发和测试，采用数据库脱敏产品，防止真实数据泄漏。事中通过流量采集对网上传输的数据进行内容识别，通过关键字、正则识别敏感数据，然后对敏感数据泄露实施告警或阻断。事后对泄露事件审计、关联分析，按照个人信息安全事件应急预案进行安全事件告知，并采取相关的补救措施。对应PPDR模型，我们可以总结出“事前防护、事中检测、事后响应”的完整流程，随着大数据、机器学习、内容识别等技术的发展和运用，我们可以采用新的安全技术手段和设备来不断完善个人信息安全保护工作。

正如习总书记所指出的“信息安全需要系统思维”，我们在安全防护技术体系建设的同时，需要树立正确的信息安全观，用系统思维的方式全面考虑政策法规、技术条件、使用方便、私密保护等因素。PPDR模型就是我们在做信息安全保障工作中可以参考和借鉴的系统思维工具，只有根据实际需求建立自己的信息安全工作思路，才能做到“以我为主”，不被安全厂商的宣传所迷惑。“信息安全是整体的而不是割裂的”，维护信息安全也是全校共同的责任，提高师生的安全意识、宣传信息安全知识同样重要，高校信息安全保障工作最终需要各单位、教职工、学生共同参与，共筑信息安全防线。