導讀

等保2.0自2019年12月1日實施以來，學習和培訓熱潮接連不斷,，近日小安有幸跟隨楊天識老師學習等保2.0關(guān)于網(wǎng)絡架構(gòu)的管理實踐,，此前就聽說楊老師是信息安全領域的大咖，聊起來得知楊老師從事安全工作15年,，負責過很多大型信息安全項目,，服務過中石油、國家電網(wǎng),、招行,、民生銀行等企業(yè)，擁有十分豐富的企業(yè)網(wǎng)絡安全架構(gòu)的設計和建設經(jīng)驗,。在期待和愉快的氛圍中,，課程從網(wǎng)絡安全架構(gòu)模型開啟.

一、基于時間的PPDR模型

PPDR：Policy Protection Detection Response

承認漏洞,，正視威脅,，采取適度防護、加強檢測工作,、落實響應,、建立對威脅的防護來保障系統(tǒng)的安全，該模型是基于時間的可證明的安全模型,。PPDR模型強調(diào)控制和對抗,，考慮了管理的因素，強調(diào)安全管理的持續(xù)性,、安全策略的動態(tài)性,。

任何安全防護措施都是基于時間的，超過該時間段,，這種防護措施是可能被攻破的,，當Pt>Dt Rt，系統(tǒng)是安全的,。

假設S系統(tǒng)的防護,、檢測和反應的時間分別是

Pt（防護時間,、有效防御攻擊的時間）

Dt（檢測時間、發(fā)起攻擊到檢測到的時間）

Rt（反應時間,、檢測到攻擊到處理完成時間）

（圖1：基于PPDR的安全架構(gòu)）

二,、信息保障技術(shù)框架（IATF）

緊接著介紹了美國國家安全局（NSA）制定的信息保障技術(shù)框架（IATF-Information Assurance Technical Framework），該框架為保護美國政府和工業(yè)界的信息與信息技術(shù)設施提供技術(shù)指南,，其核心思想是倡導“縱深防御”的網(wǎng)絡安全架構(gòu),，分別介紹保護網(wǎng)絡和基礎設施、保護區(qū)域邊界,、保護計算環(huán)境,、支持性基礎設施四類防御中的人員、技術(shù)和運維的要求及管理,。

（圖2：IATF框架）

緊接著從滿足等保2.0基本要求的角度,，分別介紹等保一級，二級,，三級的網(wǎng)絡安全設計架構(gòu),，整體網(wǎng)絡分區(qū)分域，分述互聯(lián)網(wǎng)區(qū),、核心交換區(qū),、DMZ、應用區(qū),、數(shù)據(jù)區(qū)、安全管理區(qū),、辦公區(qū)的網(wǎng)絡拓撲及相應的網(wǎng)絡安全設備要求和部署,。

（ 圖3：基礎安全防護 – 網(wǎng)絡安全設計 – 等保三級）

介紹了網(wǎng)絡安全技術(shù)和運維，又詳細說明了等?？蚣芟碌姆结?，戰(zhàn)略，制度,，人員的要求,。如此清晰的脈絡和層次，連小安這樣的網(wǎng)絡小白,，都學會了如何選擇適合企業(yè)的網(wǎng)絡架構(gòu)了,，在等保2.0的基本要求下，根據(jù)企業(yè)自身的信息系統(tǒng)等級,，選擇相應的模型和架構(gòu),，依據(jù)需要分區(qū)分域，并在各區(qū)域的網(wǎng)絡邊界設置相應的保護措施,。同時加強對人員的管理,，對態(tài)勢的感知,，通過安全管理中心做好網(wǎng)絡安全管理，通過通信網(wǎng)絡安全,、區(qū)域邊界安全,、計算環(huán)境安全建設縱深防御體系。

（圖4：等級保護框架）

學習不一定要跟隨名人,，但一定要跟著明人學習,，跟明師學做事，猶如獲得地圖導航,，怎么走,、怎么干都了然于心。楊天識老師的專業(yè),，來源于平日的積累,，這股子安心專研的精神，就是中國人推崇的匠人精神,，就是古人說的近幾于道的精神,，就是值得我們每個人學習的務實精神，道不遠人,，用心將這種踏實專研的精神學到身上,，踐行在日常的工作和生活中，我們也會成為一個領域的專家,，成為一種明道,、行道的人。