保护检测响应(PDR)是指入侵检测的一种模型,全称为PDRR安全模型,即保护、检测、响应、恢复安全模型。
保护检测响应(protection detection response;PDR)是指入侵检测的一种模型,全称为 PDRR 安全模型,即保护、检测、响应、恢复安全模型。
PDRR 安全模型是从经典的 P2DR 模型的基础上演变而来的,随同信息保障概念一起为大家所接收和重视。PDRR 安全模型强调网络防护不再是单纯被动式的防护,而是保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restore)的有机结合。因此,PDRR 模型不仅包含安全防护的概念,更重要地是增加主动的和积极的防御观念。
概念
保护检测响应(protection detection response;PDR)是指入侵检测的一种模型,全称为 PDRR 安全模型,即保护、检测、响应、恢复安全模型。
PDRR 安全模型是从经典的 P2DR 模型的基础上演变而来的,随同信息保障概念一起为大家所接收和重视。PDRR 安全模型强调网络防护不再是单纯被动式的防护,而是保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restore)的有机结合,如图 1-1 所示。因此,PDRR 模型不仅包含安全防护的概念,更重要地是增加主动的和积极的防御观念。
图 1-1
工作原理
1、保护:
保护就是采用一切的手段保护我们信息系统的可用性、机密性、完整性、可控性和不可否认性。这里的手段一般指静态的防护手段,包括防火墙、防病毒、虚拟专用网(VPN)、路由器等。
2、检测:
在 PDRR 安全模型中,检测是非常重要的一个环节。检测的目的是发现网络攻击,检测本地网络存在的非法信息流,以及检测本地网络存在的安全漏洞,从而有效地阻止网络攻击。检测部分电信的技术有入侵检测技术和网络安全扫描技术等。
3、响应:
响应就是对危及网络安全的事件和行为做出反应,阻止对信息系统的进一步破坏并使损失降到最低。这就要求在检测到网络攻击后及时地阻断网络攻击,或者将网络攻击引诱到其他的主机上去,使网络攻击不能对信息系统造成进一步的破坏。另外,还需要定位网络攻击源,并进行网络攻击取证,为诉诸法律和网络反击做准备。阻断网络攻击主要是和其他的技术配合,比如检测到网络攻击后,利用防火墙等系统来阻断网络攻击。
4、恢复:
及时地恢复系统,使系统能尽快正常地对外提供服务,是降低网络攻击造成损失的有效途径。为了能保证受到攻击后能够及时成功地恢复系统,必须在平时做好备份工作。这包括对信息系统所存储的有用数据进行备份恢复工作,还包括对信息系统本身进行备份恢复工作。备份技术有三种,分别是现场内备份、现场外备份和冷热备份。
这几个阶段并不是孤立的,构建信息安全保障体系必须从安全的各个方面进行综合考虑,只有将技术、管理、策略、工程过程等方面紧密结合,安全保障体系才能真正成为指导安全方案设计和建设的有力依据。
