网络安全保障体系

       网络安全保障体系是指通过服务器租用相关安全技术之间的动态交互,保护支持信息网络的正常运行状态,是一个动态的深度防御体系。美国国防部提出的信息保障(IA, Information Assurance概念,可以较好地诠释网络安全保障体系的内涵。如图1所示,网络安全保障体系由四部分内容组成,即人们常提到的PDRR。

1、保护
       保护,就是指预先采取安全措施,阻止触发攻击发生的条件形成,让攻击者无法顺利地入侵。保护是被动防御,不可能完全阻止各种对信息系统的攻击行为。主要的安全保护技术包括信息保密技术、物理安全防护、访问控制技术、网络安全技术、操作系统安全技术以及病毒预防技术等。

2、检测
       检测,是指依据相关安全策略,利用有关技术措施,针对可能被攻击者利用的信息系统的脆弱性进行具有一定实时性的检查,根据结果形成检测报告。主要的检测技术包括脆弱性扫描、入侵检测、恶意代码检测等。

3、反应
       反应,是指对于危及安全的事件、行为、过程及时做出适当的响应处理,杜绝危害事件进一步扩大,将信息系统受到的损失降低到最小。主要的反应技术包括报警、跟踪、阻断、隔离以及反击等相关技术。反击又可分为取证和打击,其中,取证是依据法律搜取攻击者的入侵证据,而打击是采用合法手段反制攻击者。

4、恢复
       恢复,是指当危害事件发生后把系统恢复到原来的状态或比原来更安全的状态,将危害的损失降到最小。主要的恢复技术包括应急处理、漏洞修补、系统和数据备份、异常恢复以及入侵容忍等。

       如图2所示,网络安全保障体系是一个具有一定交互的动态过程体系,保护、检测、反应和恢复可以看作保障体系的4个子过程。这4个子过程分别在攻击行为的不同阶段为系统提供保障。保护是最基本的被动防御措施,也是第道防线;检测的重要目的之一是针对突破“保护防线”后的入侵行为进行探测预警;而反应是在检测报警后针对入侵采取的控制措施;恢复是针对攻击入侵带来的破坏进行弥补,是最后的减灾方法,如果前边的保障过程有效地控制了攻击行为,恢复过程则无需进行。