一、基于時間的PPDR模型

　　PPDR：Policy Protection Detection Response

　　承認漏洞，正視威脅，采取適度防護、加強檢測工作、落實響應(yīng)、建立對威脅的防護來保障系統(tǒng)的安全，該模型是基于時間的可證明的安全模型。PPDR模型強調(diào)控制和對抗，考慮了管理的因素，強調(diào)安全管理的持續(xù)性、安全策略的動態(tài)性。

　　任何安全防護措施都是基于時間的，超過該時間段，這種防護措施是可能被攻破的，當Pt>Dt+Rt，系統(tǒng)是安全的。

　　假設(shè)S系統(tǒng)的防護、檢測和反應(yīng)的時間分別是

　　Pt（防護時間、有效防御攻擊的時間）

　　Dt（檢測時間、發(fā)起攻擊到檢測到的時間）

　　Rt（反應(yīng)時間、檢測到攻擊到處理完成時間）

　?。▓D1：基于PPDR的安全架構(gòu)）

　　二、信息保障技術(shù)框架（IATF）

　　緊接著介紹了美國國家安全局（NSA）制定的信息保障技術(shù)框架（IATF-Information Assurance Technical Framework），該框架為保護美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南，其核心思想是倡導(dǎo)“縱深防御”的網(wǎng)絡(luò)安全架構(gòu)，分別介紹保護網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護區(qū)域邊界、保護計算環(huán)境、支持性基礎(chǔ)設(shè)施四類防御中的人員、技術(shù)和運維的要求及管理。

　?。▓D2：IATF框架）

　　緊接著從滿足等保2.0基本要求的角度，分別介紹等保一級，二級，三級的網(wǎng)絡(luò)安全設(shè)計架構(gòu)，整體網(wǎng)絡(luò)分區(qū)分域，分述互聯(lián)網(wǎng)區(qū)、核心交換區(qū)、DMZ、應(yīng)用區(qū)、數(shù)據(jù)區(qū)、安全管理區(qū)、辦公區(qū)的網(wǎng)絡(luò)拓撲及相應(yīng)的網(wǎng)絡(luò)安全設(shè)備要求和部署。

　?。?圖3：基礎(chǔ)安全防護 – 網(wǎng)絡(luò)安全設(shè)計 – 等保三級）

　　介紹了網(wǎng)絡(luò)安全技術(shù)和運維，又詳細說明了等?？蚣芟碌姆结槪瑧?zhàn)略，制度，人員的要求。

　　如此清晰的脈絡(luò)和層次，連小安這樣的網(wǎng)絡(luò)小白，都學(xué)會了如何選擇適合企業(yè)的網(wǎng)絡(luò)架構(gòu)了，在等保2.0的基本要求下，根據(jù)企業(yè)自身的信息系統(tǒng)等級，選擇相應(yīng)的模型和架構(gòu)，依據(jù)需要分區(qū)分域，并在各區(qū)域的網(wǎng)絡(luò)邊界設(shè)置相應(yīng)的保護措施。同時加強對人員的管理，對態(tài)勢的感知，通過安全管理中心做好網(wǎng)絡(luò)安全管理，通過通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全建設(shè)縱深防御體系。

　?。▓D4：等級保護框架）