基于P2DR模型安全管理的研究与实践

信息安全管理技术专题报告

题目：基于P2DR模型安全管理的研究与实践专业：10信息安全

学号：20101616310049

姓名：王猛涛

指导教师：李红蕾

完成日期：2013年4月24日

基于P2DR模型安全管理的研究与实践

【摘要】：近年来，税务信息化建设迅猛发展，对信息化安全管理提出了新的更高的要求。传统的以静态、孤立为特征的安全管理模式已不能胜任“省级大集中”条件下的信息化安全管理需求，需构建一种动态、完整、科学、高效的信息化安全管理体系，为税务信息化建设提供安全保障。引入“可适应网络安全模型”（即P2DR模型），从安全策略、安全防御、安全检测、安全响应四个方面构建完整的、动态的税收信息化安全管理体系，提高安全防护能力和管理水平，不失为一种有益的偿试。

本文从当前税收信息化建设背景，P2DR模型的特点和本质，税收信息化安全现状，以及P2DR模型在重庆国税的应用等方面，对P2DR模型在税务大集中模式下的应用进行了分析探讨和论证。

【关键词】：P2DR模型信息化安全管理税收信息化

1.引言

为进一步加强税收工作的科学化、专业化、精细化管理，近年来，全国税务机关逐步在各省实现了以主机集中部署、数据集中存放和应用集中处理为标志的“省级大集中”工程。在大集中系统为规范业务、统一流程、优化服务提供便捷的同时，也引发了系统安全风险的剧增。如何扬长避短，降低安全风险，成为税务信息化工作的重要课题。在新的信息化安全环境中，早期以增加部署静态、孤立的安全设备为标志的安全防御方法已远不能胜任“省级大集中”条件下的安全需求。大集中系统要求具备完整、科学的安全体系，而完整、科学的安全体系需要严密的安全模型作支撑。P2DR模型提出了全新的安全概念，强调安全是一个动态的过程，是一个综合作用的体系。安全不能依靠单纯的静态防护，也不能依靠单纯的技术手段来解决，而是需要把技术和管理很好地结合起来，才能达到较好的安全防护效果。

2.税收信息系统安全形势的现状

金税工程拉开了中国税务大规模信息化建设与应用的序幕。随着金税工程的稳步推进，全国国税系统大部分省份实现了信息系统和信息处理高度集中，网上办税系统和税库银联网缴税系统也得到了全面推广。在国税信息化建设为税收管理与纳税服务提供了更为有力支撑的同时，对国税系统网络与信息安全的需求也以前所未有的速度迅猛增长，呈现出安全需求多样化、技术发展两极分化、安全管理体系化的特点。但是，相对于税收管理与服务信息化的飞速发展，税收信息

安全明显滞后，这主要表现在以下几个方面：

（1）网络和信息安全管理体系建设尚未完善

我国国税信息系统对大集中系统的完整性、可用性和机密性保障尚欠缺一个统一的、定量的、高可操作性的标准；在物理与环境安全、系统和网络安全管理、系统接入控制方面仍然需提高；在安全策略、安全组织、人员管理、资产分类控制、安全审计方面存在不足；同时，应急响应流程和业务持续性计划尚不充分，发生安全事件后的处理和恢复流程尚不完备，对可能造成的业务中断缺乏必要的紧急预案。

国税信息系统是利用先进的信息技术为税务工作服务的，因此还需要通过科学的实施策略对信息化条件下的税务流程进行细化和量化，加快信息技术与税收业务体系按照信息安全管理的要求不断融合。

（2）网络和信息安全组织管理有待加强

现阶段，国税系统部分单位的安全工作没有专门部门进行整体规划，对具体工作也缺乏完善的实施标准。信息安全工作基本上由系统运维单位和各信息系统的运维人员承担，信息系统安全还处在静态的、被动防御阶段。

此外，缺乏专门的职能部门对国税系统的各种布署在企业端的终端设备进行定期有效的管理，如加油机税控系统、税控收款机等。企业端应用软件版本、升级补丁也很难及时的统一规范。这些问题的存在，容易造成新的税收征管漏洞，给国家的财政收入带来损失。

网络和信息安全组织管理在国税系统中的缺位，与当今的互联网时代、税收信息化进程不同步，存在一定程度的安全责任无法落实的现象。

（3）网络和信息安全措施“孤岛效应”明显

国税信息系统中，网络和信息应用系统防护上采取了防火墙等安全产品和硬件冗余等安全措施，但各类安全设备和安全机制之间缺乏统一标准，往往各自为战，无法实现联动，造成安全信息无法挖掘，安全防护效果低，投资重复，存在一定程度的安全孤岛现象。另外，安全产品部署不均衡，各个系统部署了多个安全产品，但在系统边界存在安全空白，没有形成纵深的安全防护。

（4）网络和信息安全意识需进一步提高

税务系统的信息化安全管理建设起步较晚，全员安全意识尚有待提高。部分干部职工，尤其是基层干部职工对网络安全工作的重要性认识不足；基层国税系统计算机专业人才相对较少，人员分布不平衡，信息安全意识水平存参差不齐。

另外，以提高广大干部职工网络和信息安全水平为目的的普及性安全教育和培训不足，培训的内容也存在与解决实际需要不相适应的情况。

3.P2DR安全模型简介

随着计算机和网络技术的发展，传统的计算机安全管理理论侧重于静态防御，不再适应动态变化的、多维互联的网络环境，ISS公司提出了P2DR模型，也称可适应网络安全模型（详见下图1所示）。

该模型包含4个主要部分：Policy（安全

策略）、Protection（防护）、Detection（检测）

和Response（响应）。在安全策略的指导下，

防护、检测和响应组成了一个完整的、动态

的安全循环，以及一个螺旋上升的过程。安

全策略在安全管理中占核心地位，安全技术

措施产品不是盲目引进，而是围绕整体安全

策略的需求有序地组织在一起，架构一个动

态的安全防范体系。防御（Protection）指安图1P2DR网络安全模型

全规章的制定、安全配置的落实和安全措施设备的采用。检测（Detection）针对网络的动态变化，弥补漏洞发现或攻击手段发明与相应的防护措施的建立之间的时间差，包括异常监视和攻击发现。响应（Response）在发现攻击企图或攻击之后，报告、记录、反应、恢复等活动，负责事件处理并将系统调到“最安全”或“风险最低”的状态。P2DR模型强调在整体的安全目标和连续的管理周期。

P2DR模型有自己的理论体系，有数学模型作为其论述基础——基于时间的安全理论（Time Based Security）。该理论的最基本原理就是认为，信息安全相关的所有活动1都要消耗时间。因此可以用时间衡量一个体系的安全性和安全能力。

作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。如果用Pt代表系统为了保护安全目标进行相关设置的防护时间，即入侵者攻击安全目标所花费的时间；Dt代表从入侵者开始发动入侵开始，系统能够检测到入侵行为所花费的时间；Rt代表从发现入侵行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间。

P2DR模型就可以用一些典型的数学公式来表达安全的要求：

1具体指攻击行为、防护行为、检测行为和响应行为等等。