2.2 IPDRR模型

IPDRR模型由美国国家标准与技术研究院（NIST）提出，是识别（Identify）、防护（Protect）、检测（Detect）、响应（Respond）、恢复（Recover）的缩写，整体结构如下图所示。该模型是NIST基于NIST网络安全框架提出的一种安全模型，其说明文档有行业标准、指导和最佳实践这3部分，用于管理影响网络安全的相关风险，并提供具备高优先级、灵活性、成本效益的方法来提升在金融和国家安全方面重要的关键基础设施的安全保护级别和安全韧性。

该模型中5个核心功能的定义如下。

·识别（Identify）——帮助组织了解和管理与系统、资产、数据等相关的网络安全风险。识别功能是有效使用模型的基础。识别功能可以帮助理解业务内容及相关的网络安全风险，以便支持关键功能，组织自身的安全工作，使其与风险管理策略和业务需求保持一致。此功能的几个子域包括：资产管理、商业环境、治理、风险评估、风险管理策略、供应链风险管理。

·保护（Protect）——制定和实施适当的保护措施，确保能够提供关键的基础设施服务。保护功能用来限制或阻止潜在网络安全事件对系统造成影响。此功能的几个子域包括：识别管理和访问控制、安全意识培训、数据安全、信息保护流程、维护和保护技术。

·检测（Detect）——制定并实施适当的方案来识别网络安全事件的发生。检测功能能够及时发现网络安全事件。此功能的几个子域包括：异常和事件、安全持续监控以及检测处理。

·响应（Respond）——制定并实施适当的方案，用以对检测到的影响网络安全的事件采取行动。响应功能可以控制潜在的网络安全事件对系统的影响。此功能的几个子域包括：响应规划、通信、分析、缓解和改进。

·恢复（Recover）——制定并实施适当的方案，以保障预案的弹性，并能够恢复由于网络安全事件而受损的任何功能或服务。该恢复功能可以使操作及时恢复正常，以减轻网络安全事件带来的影响。此功能的几个子域包括：恢复规划、改进和通信。

时至今日，NIST网络安全框架依然被广泛视为各类组织机构与企业实现网络安全保障的最佳实践性框架。该框架结构由3部分组成：框架核心（Framework Core）、框架实现层级（Framework Tiers）和框架概要（Framework Profile）。

·框架核心是一系列的网络安全活动、目标结果和关键基础设施部门通用的应用参考。行业标准、指南和实践方式主要由框架核心提供。以上所提到的5个并发的和连续的功能（识别、保护、检测、响应、恢复）也主要在框架核心层面实现。这些功能贯穿了网络安全风险管理的整个生命周期。框架核心的每个功能项都包含关键分类和子类，每个子类又有行业标准、指南和实践与之配合。

·框架实现层级提供了如何审视网络安全风险及管理该风险的流程信息，描述了在进行网络安全风险管理实践时所用到的框架中定义的特征（比如：风险和威胁感知、可重复和自适应）。这些特征描述了一系列从局部（1级）、风险通知（2级）、可重复（3级）到自适应（4级）的组织实践，反映了从非正式的反应式响应到基于敏捷的风险警告的发展进程。在实现层级的选择上，组织应该考虑其目前的风险管理实践、环境威胁、法律和监管规定，以及业务目标和组织约束。

·框架概要用来设定组织如何根据框架核心的功能分类设立基于业务需求的目标。框架概要可以被定义为框架核心在特定实现场景下，行业标准、指南和实践的结合。通过比较当前概要（原样状态）与目标概要（将来状态），来确定是否需要改善网络安全态势。在制定框架概要时，组织可以查看所有的分类和子类，并对业务驱动因素和风险进行评估，以此确定哪些目标是最重要的，将它们按需加入分类和子类中，用以处理组织的风险。目标概要（Target Profile）可以把当前概要（Current Profile）作为优先选择和度量的参考，同时目标概要还需要参考的内容包括其他业务需求（如成本效益和创新）。组织可以使用概要进行自评，以及组织内部或组织间的沟通。