簡介
DR安全模型和APPDRR安全模型都是偏重於理論研究的描述型安全模型。在實際套用中,安全人員往往需要的是偏重於安全生命周期和工程實施的工程安全模型,從而能夠給予網路安全工作以直接的指導。PADIMEE模型是較為常用的一個工程安全模型。
組成
PADIMEE模型包含以下幾個主要部分:Policy(安全策略)、Assessment(安全評估)、Design(設計/方案)、Implementation(實施/實現)、Management/Monitor(管理/監控)、Emergency Response(緊急回響)和Education(安全教育)。
根據PADIMEE模型,網路安全需求主要在以下幾個方面得以體現:(1)制訂網路安全策略反映了組織的總體網路安全需求;(2)通過網路安全評估,提出網路安全需求,從而更加合理、有效地組織網路安全工作;(3)在新系統、新項目的設計和實現中,應該充分地分析可能引致的網路安全需求、並採取相應的措施,在這一階段開始網路安全工作,往往能夠收到“事半功倍”的效果;(4)管理/監控也是網路安全實現的重要環節。其中既包括了P2DR安全模型和APPDRR安全模型中的動態檢測內容,也涵蓋了安全管理的要素。通過管理/監控環節,並輔以必要的靜態安全防護措施,可以滿足特定的網路安全需求,從而使既定的網路安全目標得以實現;(5)緊急回響是網路安全的最後一道防線。由於網路安全的相對性,採取的所有安全措施實際上都是將安全工作的收益(以可能導致的損失來計量)和採取安全措施的成本相配比進行選擇、決策的結果。基於這樣的考慮,在網路安全工程實現模型中設定一道這樣的最後防線有著極為重要的意義。通過合理地選擇緊急回響措施,可以做到以最小的代價換取最大的收益,從而減弱乃至消除安全事件的不利影響,有助於實現信息組織的網路安全目標。