一、基于時間的PPDR模型

　　PPDR：Policy Protection Detection Response

　　承認漏洞，正視威脅，采取適度防護、加強檢測工作、落實響應、建立對威脅的防護來保障系統(tǒng)的安全，該模型是基于時間的可證明的安全模型。PPDR模型強調控制和對抗，考慮了管理的因素，強調安全管理的持續(xù)性、安全策略的動態(tài)性。

　　任何安全防護措施都是基于時間的，超過該時間段，這種防護措施是可能被攻破的，當Pt>Dt+Rt，系統(tǒng)是安全的。

　　假設S系統(tǒng)的防護、檢測和反應的時間分別是

　　Pt（防護時間、有效防御攻擊的時間）

　　Dt（檢測時間、發(fā)起攻擊到檢測到的時間）

　　Rt（反應時間、檢測到攻擊到處理完成時間）

　?。▓D1：基于PPDR的安全架構）

　　二、信息保障技術框架（IATF）

　　緊接著介紹了美國國家安全局（NSA）制定的信息保障技術框架（IATF-Information Assurance Technical Framework），該框架為保護美國政府和工業(yè)界的信息與信息技術設施提供技術指南，其核心思想是倡導“縱深防御”的網絡安全架構，分別介紹保護網絡和基礎設施、保護區(qū)域邊界、保護計算環(huán)境、支持性基礎設施四類防御中的人員、技術和運維的要求及管理。

　?。▓D2：IATF框架）

　　緊接著從滿足等保2.0基本要求的角度，分別介紹等保一級，二級，三級的網絡安全設計架構，整體網絡分區(qū)分域，分述互聯(lián)網區(qū)、核心交換區(qū)、DMZ、應用區(qū)、數(shù)據(jù)區(qū)、安全管理區(qū)、辦公區(qū)的網絡拓撲及相應的網絡安全設備要求和部署。

　?。?圖3：基礎安全防護 – 網絡安全設計 – 等保三級）

　　介紹了網絡安全技術和運維，又詳細說明了等?？蚣芟碌姆结?，戰(zhàn)略，制度，人員的要求。

　　如此清晰的脈絡和層次，連小安這樣的網絡小白，都學會了如何選擇適合企業(yè)的網絡架構了，在等保2.0的基本要求下，根據(jù)企業(yè)自身的信息系統(tǒng)等級，選擇相應的模型和架構，依據(jù)需要分區(qū)分域，并在各區(qū)域的網絡邊界設置相應的保護措施。同時加強對人員的管理，對態(tài)勢的感知，通過安全管理中心做好網絡安全管理，通過通信網絡安全、區(qū)域邊界安全、計算環(huán)境安全建設縱深防御體系。

　　（圖4：等級保護框架）