1.4 信息安全模型

1.4.1 通信安全模型

经典的通信安全传输模型如图1.6所示，通信一方通过公开信道将消息传送给另一方，要保护信息传输的机密性、真实性等特性的时候，就涉及通信安全。通信的发送方要对信息进行相关的安全变换，可以是加密、签名，接收方再进行相关的逆变换，比如解密、验证签名。双方进行的安全变换通常需要使用一些秘密信息，比如加密密钥、解密密钥。根据上述安全模型，设计安全服务需要完成的四个基本任务是：

（1）设计一个算法，执行安全相关的转换，算法应具有足够的安全强度。

（2）生成该算法所使用的秘密信息，也就是密钥。

（3）设计秘密信息的分布与共享的方法，也就是密钥的分配方案。

（4）设定通信双方使用的安全协议，该协议利用密码算法和密钥实现安全服务。

1.4.2 信息访问安全模型

还有一些与安全相关的情形不完全适用于以上模型，William Stallings给出了如图1.7所示的信息访问安全模型，该模型希望保护信息系统不受到有害的访问。一种有害的访问由黑客引起，他们也可能没有恶意，只是满足于闯入计算机系统，也可能想进行破坏或利用计算机获利。另一种有害的访问，来自恶意软件，比如病毒、蠕虫、木马。对付有害攻击所需要的安全服务则包含鉴别和访问控制两类。

1.4.3 动态安全模型

基于上述模型的安全措施，都属于静态的预防和防护措施，它通过采用严格的访问控制和数据加密策略来提供防护，但在复杂系统中，这些策略是不充分的。这些措施都是以减慢交易为代价的。而且，也不能保证万无一失。由于系统、组织和技术都是发展变化的，攻击也是动态的，动态的安全模型更切合实际需求。在这种形势下，著名的计算机安全公司Internet Security Systems Inc.提出了P2DR（Policy Protection Detection Response）模型，如图1.8所示。

在这个模型中，安全策略是模型的核心，具体的实施过程中，策略意味着网络安全要达到的目标。防护包括安全规章、安全配置和安全措施，检测的两种方法有异常检测和误用检测，响应包括报告、记录、反应和恢复等措施。如果把攻击者通过保护措施所需要的时间记为Pt，检测系统发现攻击和响应的时间分别记为Dt和Rt，就可以给出一个可以量化、可以计算的基于时间的动态模型，如果Pt>Dt+Rt，就可以认为系统是安全的。

通用安全评价准则（Common Criteria for IT security Evaluation，CC）使用威胁、漏洞和风险等词汇定义了一个动态的安全概念和关系模型，如图1.9所示。这个模型反映了所有者和攻击者之间的动态对抗关系，它也是一个动态的风险模型和效益模型。所有者要采取措施，减少漏洞对资产带来的风险，攻击者要利用漏洞，从而增加对资产的风险，所有者采取什么样的保护措施，是和资产的价值有关的，他不可能付出超过资产价值的代价去保护资产，同样，攻击者也不会以超过资产价值的攻击代价进行攻击。