4.1 网络安全等级保护的安全理念

网络安全边界界定与落实网络主体责任是密不可分的。随着网络安全法的持续深入，网络运营者在做好网络安全等级保护中面临着几个挑战和困惑。一是网络安全等级保护能保护好单位的保护对象吗？二是网络安全等级保护在内网中的边界在哪里？三是网络安全等级保护中边界互联的信任机制是什么？四是网络安全等级保护能动态管理吗？回答这些问题，需要运营者树立“持续的、动态的、整体的”安全运维理念，树立“有效即安全、边界即安全，信任即安全，感知即安全”的安全建设理念，做好边界界定和责任主体界定。

4.1.1 边界界定引发的网络安全保障模型

网络边界可以理解为针对不同网络环境所设置的安全防御措施。边界界定就是要梳理不同安全级别的网络连接，识别内部和边界的安全威胁。在网络边界处执行零信任和白名单机制，在网络内部树立“内生安全”理念。

网络安全保障模型约束边界界定。随着信息技术的快速发展和应用，人们对信息安全的需求越来越强烈，信息安全的概念也得到了丰富和发展。对信息的单一保护已经不能满足对抗恐怖活动和信息战等的安全需求，因此产生了信息安全保障的概念。信息安全保障是传统信息安全概念发展的新阶段。信息安全保障目标就是要保护信息系统中信息的保密性、完整性和可用性。信息安全保障与通信保密、信息安全两个概念相比，其层次更高，提供的安全保障更为全面。信息安全保障不仅要保证信息在存储、传输和使用过程中的保密性、完整性、真实性、可用性和不可否认性，还要把信息系统建设成一个具有预警、保护、检测、响应、恢复和反击等能力的纵深防御体系。这些能力和特性为边界界定提供技术指导和要求约束。

边界界定指导网络安全保障模型，并将保障重点落在运行安全和数据安全。现有网络安全不同于信息安全、传统网络设备安全或网络通信安全。依据《网络安全法》，网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定、可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。《网络安全法》安全保护重点由以信息为主变更为以数据为主，范围更大。因此，网络安全保障能力重点不仅关注保密性、完整性和可用性，还要关注运行安全和数据安全。

典型的网络安全保障模型有如下6种。

1.PDR安全模型

PDR（Protection，Detection，Response）模型源自美国国际互联网安全系统公司ISS提出的自适应网络安全模型（Adaptive Network Security Model，ANSM），是一个可量化、可数学证明、基于时间的安全模型。字母含义分别如下定义。

Protection（保护）是指采用一系列手段（识别、认证、授权、访问控制、数据加密）保障数据的保密性、完整性、可用性、可控性和不可否认性等。

Detection（检测）是指利用各类工具检查系统可能存在的黑客攻击、病毒泛滥的脆弱性，即入侵检测、病毒检测等。

Response（响应）是指对危及安全的事件、行为、过程及时做出响应处理，杜绝危害的进一步蔓延扩大，力求将安全事件的影响降到最低。

PDR模型建立在基于时间的安全理论基础之上，该理论的基本思想是：信息安全相关的所有活动，无论是攻击行为、防护行为、检测行为还是响应行为，都要消耗时间，因而可以用时间尺度来衡量一个体系的能力和安全性。要实现安全，必须让防护时间大于检测时间加上响应时间。

2.PPDR安全模型

PPDR（即P2DR）模型主要由四部分组成：安全策略（Policy）、保护（Protection）、检测（Detection）和响应（Response）。PPDR模型是在整体的安全策略的控制和指导下，综合运用防护工具（如防火墙、身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测系统）了解和评估系统的安全状态，通过适当的响应，将系统调整到一个比较安全的状态。保护、检测和响应组成了一个完整的、动态的安全循环。

安全策略是这个模型的核心，意味着网络安全要达到的目标，策略粒度决定各种措施的强度。

保护是安全的第一步，包括制定安全规章（以安全策略为基础制定安全细则）、配置系统安全（配置操作系统、安装补丁等）、采用安全措施（安装使用防火墙、VPN等）。

检测则是对上述二者的补充，通过检测发现系统或网络的异常情况，发现可能的攻击行为。

响应是在发现异常或攻击行为后系统自动采取的行动，如关闭端口、中断连接、中断服务等方式。

3.P2DR2安全模型

P2DR2安全模型是在P2DR模型上的扩充，即策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）和恢复（Restore）。该模型与PPDR安全模型非常相似，区别在于，将恢复环节提到了与防护、检测、响应环节相同的高度。

4.P2OTPDR2安全模型

P2OTPDR2 安全模型即策略（Policy）、人员（People）、操作（Operation）、技术（Technology）、防护（Protection）、检测（Detection）、响应（Response）和恢复（Restore）。

P2OTPDR2分为三层，核心是安全策略。安全策略在整个安全体系的设计、实施，维护和改进过程中都起着重要的指导作用，是一切信息安全实践活动的方针和指南。模型的中间层次体现了信息安全的三要素：人员、操作和技术，这构成了整个安全体系的骨架。从本质上讲，安全策略的全部内容就是对这三要素的阐述。由于人员是三要素中唯一具有能动性的要素，因此至关重要。

模型的外围是构成信息安全完整功能的 PDRR（Protection，Detection，Response，Restore）模型的四个环节。信息安全三要素在这四个环节中都有渗透，并最终表现出信息安全完整的目标形态。概括来说，P2OTPDR2 模型各层次间的关系如图 4-1 所示：在策略核心的指导下，三要素（人员、技术和操作）紧密结合，协同作用，最终实现信息安全的四项功能（防护、检测、响应、恢复），构成完整的信息安全体系。

5.MAP2DR2安全模型

MAP2DR2 安全模型以管理为中心、以安全策略为基础、以审计为主导，从而采用防护、侦测、响应、恢复手段构建贯穿整个网络安全事件生命周期的动态网络安全模型。MAP2DR2安全模型由P2DR2安全模型发展而来，在P2DR2安全模型的基础上增加了管理（Management）与审计（Audit），形成了由策略（Policy）、管理（Management）、审计（Audit）、防护（Protection）、检测（Detection）、响应（Response）和恢复（Restore）组成的全面安全防护体系

6.纵深防御模型

纵深防御战略的三个主要层面是指人员、技术和运行维护，重点是人员在技术支持下实施运行维护的信息安全保障问题。这与《网络安全法》中界定的网络安全概念不谋而合，因此网络安全等级保护中的“一个中心、三重防护”思想也是来源于此。

“一个中心、三重防护”的网络安全保障方案是指一个安全管理中心，以及安全计算环境、安全区域边界、安全通信网络三重防护的网络安全等级保护方案设计。其基本思想是建立以安全计算环境为基础，以安全区域边界、安全通信网络为保障，以安全管理中心为核心的信息安全整体保障体系。

正如沈昌祥院士所倡导的，通过实施三重防护主动防御框架，能够实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不了和攻击行为赖不掉的安全防护效果。

4.1.2 责任主体引发的网络安全建设需求

网络运营者不履行网络安全等级保护制度，未做好网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处1万元以上10万元以下罚款，对直接负责的主管人员处5000元以上5万元以下罚款。这是《网络安全法》第五十九条规定的法律责任，也是对网络安全等级保护对象责任主体的一项惩罚。

责任主体技术手段缺乏引发网络安全技术需求。一是网络内部合法用户存在违规行为。传统的安全技术设施大都以外部攻击者为主要防护对象，在内部用户的管理和防范方面缺失手段。二是终端防护不足。勒索病毒进一步验证，计算环境缺乏针对终端应用行为的防护措施，缺乏终端数据信息使用的审计。网络安全责任主体未意识到内部攻击、社会工程攻击带来的安全新风险，传统的“内松外紧”的边界防御思想需要彻底转变。

责任主体管理手段缺乏引发网络安全管理需求。一是安全系统各自运行。现有安全防护方式，都是面向一个点或是一个特定对象进行防护，这种防护方式使得各设备/系统各自运行、相互孤立，难以对整个风险链进行追踪和监测。很多潜在的、微小的、小范围、孤立的安全问题，逐步积累发展，演变为涉及范围广、影响重大的安全事件。二是信息泄露难于追踪。从正常手段窃取敏感数据的行为和方式来看，要完成一次数据窃取，涉及身份认证、访问授权、终端操作行为、流量特征、应用日志等，这些环节都会记录盗窃数据的相关信息。网络安全责任主体未意识到整个流程记录的重要性，出现安全监测的真空地带。

针对责任主体引发的网络安全需求，网络安全等级保护2.0引入“一个中心，三重防护”的基本要求。在安全管理中心建设中，明确要求在系统管理、安全管理、审计管理三方面实现集中管控，从被动防护转变到主动防护，从静态防护转变到动态防护，从单点防护转变到整体防护，从粗放防护转变到精准防护。针对数据安全，网络安全等级保护 2.0明确要求，从建设初期设计和采购阶段应考虑加密需求，同时在网络通信传输、计算环境的身份鉴别、数据完整性、数据保密性明确了使用加密技术实现安全防护的要求；另外，针对云计算和云应用，特别提出镜像和快照的加固和完整性校验保护要求，以及对密码应用方案的“国密化”提出了明确的采购标准要求。这里的“国密”是指国家密码局认定的国产密码算法，“国密化”是指国家在密码技术研究、应用开发和管理维护上法制化、制度化、标准化，具体参考本书第13章的密码法相关内容。