1.3 开源软件与网络安全

开源软件核心是一种崇尚自由和技术的黑客精神，理查·斯托曼和林纳斯·托瓦兹就是著名黑客。开源软件在促进互联网发展的同时，也为互联网安全提供了强大支持。

1. PDR与P2DR模型

PDR模型是由美国国际互联网安全系统公司（ISS）提出，它是最早体现主动防御思想的一种网络安全模型。PDR模型包括Protection（保护）、Detection（检测）、Response（响应）三个部分。

保护就是采用一切可能的措施来保护网络、系统以及信息的安全。保护通常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等。

检测可以了解和评估网络和系统的安全状态，为安全防护和安全响应提供依据。检测技术主要包括入侵检测、漏洞扫描技术。

应急响应在安全模型中占有重要地位，是解决安全问题的最有效办法。解决安全问题就是解决紧急响应和异常处理问题，因此，建立应急响应机制，形成快速安全响应的能力，对网络和系统而言至关重要。

P2DR模型是ISS在PDR模型上做了改进，增加了策略这个环节，强调根据风险分析产生的安全策略描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等，如图1-2所示。策略是模型的核心，所有的防护、检测和响应都是依据安全策略实施的。

图1-2 P2DR模型

2．开源安全软件崭露头角

虽然安全厂商几乎每年都会有新的概念出现，但是从实战的角度讲，企业安全防护的模型基本都是在PDR模型上发展而来。相对于利益驱动的黑产和商业间谍，目前大多数互联网企业在安全上的重视程度和投入都是远远不够的，所以对应的防护能力相当堪忧，甚至很多方面是0和1的差别。本书的重点就是比较系统的介绍如何使用开源软件建设企业信息安全。图1-3是一个互联网公司常见的基础安全技术组件，每个组件几乎都有不错的开源解决方案（见图1-4）。

图1-3 互联网企业安全基础组件举例

图1-4 基于开源软件的互联网企业安全基础组件举例

3．开源安全与商业安全软件的对比

开源软件和商业安全软件的界限其实并没有那么明显，一个典型的例子就是Sourcefire。Sourcefire成立于2001年1月，总部设在马里兰州哥伦比亚，Sourcefire公司由马丁·罗斯奇创立，马丁·罗斯奇是开源Snort的创始人，提供的产品包括安全检测/防护系统、防火墙以及恶意软件保护等，可连续自动侦测和保护各类大中型组织的动态网络、端点、移动设备及虚拟环境的安全。Sourcefire公司目前管理着一些行业最受人尊敬的开源安全项目，这些项目包括Snort、ClamAV和Razorback。其中Snort和ClamAV是业内最常用的开放源码防病毒和反恶意软件。2013年7月，网络巨头思科收购网络安全公司Sourcefire，收购金额达27亿美元。

虽然本书重点介绍的是使用开源软件，但是公正地讲，并非全盘使用开源软件就一定是最合适，没有最好的解决方案，只有最合适的解决方案。我个人经验，专业性特别强的领域，适合使用有专业公司支持的商业产品，比如APT检测、垃圾邮件、杀毒软件、防火墙、抗D和硬件令牌；定制化需求较大，或者性能要求远超过商业产品的，可以使用开源软件，比如主机安全、SOC等；还有一个中间状态，定制化需求较少，性能要求也不是特别高，商业产品价格尚能接受，自行开发人力尚可，大家可以根据实际情况评估，比如WAF、数据库安全产品、蜜罐、漏洞扫描等。表1-1是我个人总结的开源安全软件与商业安全软件的对比。

表1-1 开源安全软件与商业安全软件对比