编者按：本文摘自安全行业知名人士、永信至诚高级副总裁大潘对问题“PPDR模型的应用场景在哪里？”的回答。

作为PPDR模型或者说P2DR模型的创造者，20年后现在反过来看这个模型，认为其已经有点不合用了。

这个模型的源头是PDR模型。PDR模型的最早来源是来自于一篇论文、一本小书，“Time-Based Security”。如果没记错的话，作者的名字好像大概是Winn Schwartau。

如果你看这本书中PDR模型的图示，它不是循环式的，而是直线型的。

现在大家演绎出来的循环式的PDR模型，来自于上世纪九十年代美国ISS公司（后被IBM收购）的模型图。这个模型图特别强调了PDR中的Detection的重要性。这与ISS公司的主营产品 Internet Scanner、Intrusion Detection 的诉求是相吻合的。

在1998年左右，ISS的产品和技术被信息产业部太极联合实验室的屈延文主任引入，推介给国内业界。在当时，这种思想方法完全是一股清流啊。我当时有幸就在这个实验室。（太极联合实验室就是现在“信息产业信息安全技术检测中心”的前身）

后来，1999年，我从太极联合实验室到了恒德方公司（也就是后来的ISS中国、安氏中国、安氏领信公司谱系的前身）。为了宣传扫描器和入侵检测产品，认为PDR模型是非常切合的。

在2000前后的时间段，安全圈还有一个新鲜事物，就是BS7799（也就是后来ISO17799、ISO27000系列的前身）。信息安全管理体系的引入，也带来了一句口头禅“三分技术七分管理”。

于是，为了有一个公司自主提出模型，将Policy这个元素引入。于是就画出了这个P2DR模型（也就是提问的这个PPDR模型）

现在，再反观这个模型，可以说PPDR模型的第一个P和PDR，完全是两个部分。将两者这样糅合起来，其实有点生硬了。

所谓管理和策略的部分，仅仅列上Policy，显然不全面。比如，策略难于包含组织、运作等管理内涵。

而作为PDR自身，其实倒是非常精炼。后来有学者对其进行了扩充：

• 把R分解成两个Response和Recovery，形成了PDRR模型；

• 增加Early Warning，Countermeasure，形成了WPDRRC模型（赵战生老师提出）；

• 在应急领域的PDCERF，其中的C是抑制、E消除、R恢复、F后续处置，其实都是R响应的变种。

其他的PDR变种还有一些，但基本思想是一贯的。也就是通过D和R，形成对于静态处置体系的动态化自反馈，形成所谓的自适应。这在安全里是一个被广泛运用的基本思想，“要不断地发现可能存在的问题，并且尽力及时地处置”。

大潘认为一个安全体系，不管是什么专家构hu造you的，不管该专家有多权威，如果这个安全体系中没有覆盖全面的问题检测发现能力，没有对发现问题的处置过程，这样的安全体系都是耍流氓。

最后归结起来几点建议，回答这个问题：

（1）PPDR和P2DR可以不用再用了（虽然我是其发明者、演绎者），可以分开来更充分地谈管理部分和技术部分。

（2）Policy部分的管理，可以参考更完整的管理体系、治理体系等。

（3）PDR部分仍然很精髓，其体现出来的安全理念还继续有效：在基本安全架构和防御准备下，通过高覆盖度和敏感度的检测发现能力来发现问题，并通过技术和管理手段对问题进行处置，形成一个比较有效的“自适应”安全体系。

大潘最后再多说几句。

大家也许常常听别人忽悠“免疫”，忽悠无特征检测。说某某体系，能够不要防病毒、漏洞检测、入侵检测等等，而用所谓“免疫”。

虽然，无特征检测技术，在某个学术技术定义层上说是存在的，不过那其实是在另一个层面的特征（算法和模型）而已。（用范式来归类，还是第二范式）

至少，用免疫这个医学名次来比喻和否定“已知特征检测”，是有点可笑的，是专有名词误用。因为，咱们人体的免疫，是要得过一个病或者种过一种疫苗才能具有改种疾病的免疫能力的。对于没有此经历的疾病，是谈不上免疫的。也就是说，人体的所谓免疫还真的是已知特征检测和防范哈。用免疫来比喻包治百病的安全解决方案和体系，是有点滑稽的。

网络安全，其本身具有很强的工程性特点。所谓工程性特点，其中一个特性就是，能力的累加、递进、演化替换、增益补充，是其主流；而颠覆、抛弃、淘汰等彻底的更换，不是主流。所以，不建议为了推行新概念而打击和彻底否定既有的旧安全举措。

A不能解决所有问题，并不意味着A没有价值。

B能够解决A所解决不了的一些问题，并不意味着B能够摒弃A而解决所有问题。

声明：本文来自大潘，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。