一、基于時間的PPDR模型

　　PPDR：Policy Protection Detection Response

　　承認(rèn)漏洞,，正視威脅,，采取適度防護(hù)、加強檢測工作,、落實響應(yīng)、建立對威脅的防護(hù)來保障系統(tǒng)的安全,，該模型是基于時間的可證明的安全模型,。PPDR模型強調(diào)控制和對抗,，考慮了管理的因素，強調(diào)安全管理的持續(xù)性,、安全策略的動態(tài)性,。

　　任何安全防護(hù)措施都是基于時間的，超過該時間段,，這種防護(hù)措施是可能被攻破的,，當(dāng)Pt>Dt+Rt，系統(tǒng)是安全的,。

　　假設(shè)S系統(tǒng)的防護(hù),、檢測和反應(yīng)的時間分別是

　　Pt（防護(hù)時間、有效防御攻擊的時間）

　　Dt（檢測時間,、發(fā)起攻擊到檢測到的時間）

　　Rt（反應(yīng)時間,、檢測到攻擊到處理完成時間）

　　（圖1：基于PPDR的安全架構(gòu)）

　　二,、信息保障技術(shù)框架（IATF）

　　緊接著介紹了美國國家安全局（NSA）制定的信息保障技術(shù)框架（IATF-Information Assurance Technical Framework）,，該框架為保護(hù)美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南，其核心思想是倡導(dǎo)“縱深防御”的網(wǎng)絡(luò)安全架構(gòu),，分別介紹保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施,、保護(hù)區(qū)域邊界、保護(hù)計算環(huán)境,、支持性基礎(chǔ)設(shè)施四類防御中的人員,、技術(shù)和運維的要求及管理。

　?。▓D2：IATF框架）

　　緊接著從滿足等保2.0基本要求的角度,，分別介紹等保一級，二級,，三級的網(wǎng)絡(luò)安全設(shè)計架構(gòu),，整體網(wǎng)絡(luò)分區(qū)分域，分述互聯(lián)網(wǎng)區(qū),、核心交換區(qū),、DMZ、應(yīng)用區(qū),、數(shù)據(jù)區(qū),、安全管理區(qū)、辦公區(qū)的網(wǎng)絡(luò)拓?fù)浼跋鄳?yīng)的網(wǎng)絡(luò)安全設(shè)備要求和部署,。

　?。?圖3：基礎(chǔ)安全防護(hù) – 網(wǎng)絡(luò)安全設(shè)計 – 等保三級）

　　介紹了網(wǎng)絡(luò)安全技術(shù)和運維，又詳細(xì)說明了等保框架下的方針,，戰(zhàn)略,，制度，人員的要求,。

　　如此清晰的脈絡(luò)和層次,，連小安這樣的網(wǎng)絡(luò)小白，都學(xué)會了如何選擇適合企業(yè)的網(wǎng)絡(luò)架構(gòu)了,，在等保2.0的基本要求下,，根據(jù)企業(yè)自身的信息系統(tǒng)等級，選擇相應(yīng)的模型和架構(gòu),，依據(jù)需要分區(qū)分域,，并在各區(qū)域的網(wǎng)絡(luò)邊界設(shè)置相應(yīng)的保護(hù)措施。同時加強對人員的管理,，對態(tài)勢的感知,，通過安全管理中心做好網(wǎng)絡(luò)安全管理，通過通信網(wǎng)絡(luò)安全,、區(qū)域邊界安全,、計算環(huán)境安全建設(shè)縱深防御體系。

　?。▓D4：等級保護(hù)框架）