一、基于時(shí)間的PPDR模型

　　PPDR：Policy Protection Detection Response

　　承認(rèn)漏洞，正視威脅，采取適度防護(hù)、加強(qiáng)檢測(cè)工作、落實(shí)響應(yīng)、建立對(duì)威脅的防護(hù)來保障系統(tǒng)的安全，該模型是基于時(shí)間的可證明的安全模型。PPDR模型強(qiáng)調(diào)控制和對(duì)抗，考慮了管理的因素，強(qiáng)調(diào)安全管理的持續(xù)性、安全策略的動(dòng)態(tài)性。

　　任何安全防護(hù)措施都是基于時(shí)間的，超過該時(shí)間段，這種防護(hù)措施是可能被攻破的，當(dāng)Pt>Dt+Rt，系統(tǒng)是安全的。

　　假設(shè)S系統(tǒng)的防護(hù)、檢測(cè)和反應(yīng)的時(shí)間分別是

　　Pt（防護(hù)時(shí)間、有效防御攻擊的時(shí)間）

　　Dt（檢測(cè)時(shí)間、發(fā)起攻擊到檢測(cè)到的時(shí)間）

　　Rt（反應(yīng)時(shí)間、檢測(cè)到攻擊到處理完成時(shí)間）

　　（圖1：基于PPDR的安全架構(gòu)）

　　二、信息保障技術(shù)框架（IATF）

　　緊接著介紹了美國(guó)國(guó)家安全局（NSA）制定的信息保障技術(shù)框架（IATF-Information Assurance Technical Framework），該框架為保護(hù)美國(guó)政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南，其核心思想是倡導(dǎo)“縱深防御”的網(wǎng)絡(luò)安全架構(gòu)，分別介紹保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)區(qū)域邊界、保護(hù)計(jì)算環(huán)境、支持性基礎(chǔ)設(shè)施四類防御中的人員、技術(shù)和運(yùn)維的要求及管理。

　　（圖2：IATF框架）

　　緊接著從滿足等保2.0基本要求的角度，分別介紹等保一級(jí)，二級(jí)，三級(jí)的網(wǎng)絡(luò)安全設(shè)計(jì)架構(gòu)，整體網(wǎng)絡(luò)分區(qū)分域，分述互聯(lián)網(wǎng)區(qū)、核心交換區(qū)、DMZ、應(yīng)用區(qū)、數(shù)據(jù)區(qū)、安全管理區(qū)、辦公區(qū)的網(wǎng)絡(luò)拓?fù)浼跋鄳?yīng)的網(wǎng)絡(luò)安全設(shè)備要求和部署。

　　（ 圖3：基礎(chǔ)安全防護(hù) – 網(wǎng)絡(luò)安全設(shè)計(jì) – 等保三級(jí)）

　　介紹了網(wǎng)絡(luò)安全技術(shù)和運(yùn)維，又詳細(xì)說明了等保框架下的方針，戰(zhàn)略，制度，人員的要求。

　　如此清晰的脈絡(luò)和層次，連小安這樣的網(wǎng)絡(luò)小白，都學(xué)會(huì)了如何選擇適合企業(yè)的網(wǎng)絡(luò)架構(gòu)了，在等保2.0的基本要求下，根據(jù)企業(yè)自身的信息系統(tǒng)等級(jí)，選擇相應(yīng)的模型和架構(gòu)，依據(jù)需要分區(qū)分域，并在各區(qū)域的網(wǎng)絡(luò)邊界設(shè)置相應(yīng)的保護(hù)措施。同時(shí)加強(qiáng)對(duì)人員的管理，對(duì)態(tài)勢(shì)的感知，通過安全管理中心做好網(wǎng)絡(luò)安全管理，通過通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計(jì)算環(huán)境安全建設(shè)縱深防御體系。

　　（圖4：等級(jí)保護(hù)框架）