编者按:本文摘自安全行业知名人士、永信至诚高级副总裁大潘对问题“PPDR模型的应用场景在哪里?”的回答。

作为PPDR模型或者说P2DR模型的创造者,20年后现在反过来看这个模型,认为其已经有点不合用了。

这个模型的源头是PDR模型。PDR模型的最早来源是来自于一篇论文、一本小书,“Time-Based Security”。如果没记错的话,作者的名字好像大概是Winn Schwartau。

如果你看这本书中PDR模型的图示,它不是循环式的,而是直线型的。

现在大家演绎出来的循环式的PDR模型,来自于上世纪九十年代美国ISS公司(后被IBM收购)的模型图。这个模型图特别强调了PDR中的Detection的重要性。这与ISS公司的主营产品 Internet Scanner、Intrusion Detection 的诉求是相吻合的。

在1998年左右,ISS的产品和技术被信息产业部太极联合实验室的屈延文主任引入,推介给国内业界。在当时,这种思想方法完全是一股清流啊。我当时有幸就在这个实验室。(太极联合实验室就是现在“信息产业信息安全技术检测中心”的前身)

后来,1999年,我从太极联合实验室到了恒德方公司(也就是后来的ISS中国、安氏中国、安氏领信公司谱系的前身)。为了宣传扫描器和入侵检测产品,认为PDR模型是非常切合的。

在2000前后的时间段,安全圈还有一个新鲜事物,就是BS7799(也就是后来ISO17799、ISO27000系列的前身)。信息安全管理体系的引入,也带来了一句口头禅“三分技术七分管理”。

于是,为了有一个公司自主提出模型,将Policy这个元素引入。于是就画出了这个P2DR模型(也就是提问的这个PPDR模型)

现在,再反观这个模型,可以说PPDR模型的第一个P和PDR,完全是两个部分。将两者这样糅合起来,其实有点生硬了。

所谓管理和策略的部分,仅仅列上Policy,显然不全面。比如,策略难于包含组织、运作等管理内涵。

而作为PDR自身,其实倒是非常精炼。后来有学者对其进行了扩充:

  • 把R分解成两个Response和Recovery,形成了PDRR模型;

  • 增加Early Warning,Countermeasure,形成了WPDRRC模型(赵战生老师提出);

  • 在应急领域的PDCERF,其中的C是抑制、E消除、R恢复、F后续处置,其实都是R响应的变种。

其他的PDR变种还有一些,但基本思想是一贯的。也就是通过D和R,形成对于静态处置体系的动态化自反馈,形成所谓的自适应。这在安全里是一个被广泛运用的基本思想,“要不断地发现可能存在的问题,并且尽力及时地处置”。

大潘认为一个安全体系,不管是什么专家构hu造you的,不管该专家有多权威,如果这个安全体系中没有覆盖全面的问题检测发现能力,没有对发现问题的处置过程,这样的安全体系都是耍流氓。

最后归结起来几点建议,回答这个问题:

(1)PPDR和P2DR可以不用再用了(虽然我是其发明者、演绎者),可以分开来更充分地谈管理部分和技术部分。

(2)Policy部分的管理,可以参考更完整的管理体系、治理体系等。

(3)PDR部分仍然很精髓,其体现出来的安全理念还继续有效:在基本安全架构和防御准备下,通过高覆盖度和敏感度的检测发现能力来发现问题,并通过技术和管理手段对问题进行处置,形成一个比较有效的“自适应”安全体系。

大潘最后再多说几句。

大家也许常常听别人忽悠“免疫”,忽悠无特征检测。说某某体系,能够不要防病毒、漏洞检测、入侵检测等等,而用所谓“免疫”。

虽然,无特征检测技术,在某个学术技术定义层上说是存在的,不过那其实是在另一个层面的特征(算法和模型)而已。(用范式来归类,还是第二范式)

至少,用免疫这个医学名次来比喻和否定“已知特征检测”,是有点可笑的,是专有名词误用。因为,咱们人体的免疫,是要得过一个病或者种过一种疫苗才能具有改种疾病的免疫能力的。对于没有此经历的疾病,是谈不上免疫的。也就是说,人体的所谓免疫还真的是已知特征检测和防范哈。用免疫来比喻包治百病的安全解决方案和体系,是有点滑稽的。

网络安全,其本身具有很强的工程性特点。所谓工程性特点,其中一个特性就是,能力的累加、递进、演化替换、增益补充,是其主流;而颠覆、抛弃、淘汰等彻底的更换,不是主流。所以,不建议为了推行新概念而打击和彻底否定既有的旧安全举措。

A不能解决所有问题,并不意味着A没有价值。

B能够解决A所解决不了的一些问题,并不意味着B能够摒弃A而解决所有问题。

声明:本文来自大潘,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。