1.4.2　被動防御

對網絡安全滑動標尺模型中的架構安全類別進行建設并建立適當的安全基礎的同時，有必要建設被動防御體系。被動防御建立在完善的架構安全基礎上，目的是模擬在存在攻擊行為的情況下保護系統安全。有機會、有意愿和有能力的攻擊者（或威脅）最終會找到方法繞過完善的架構安全體系，因此被動防御是必要的。討論被動防御在網絡安全滑動標尺模型中的定義之前，有必要了解該術語的來龍去脈。

“被動防御”一詞最早出現在20世紀30年代，是一個專業的軍事戰略詞匯。美國國防部對被動防御做出了如下定義：在無意采取主動行動的前提下，為降低敵對行動造成的損害及損害影響所采取的措施。

從“被動防御”術語的演變過程可以推導出，它是在已有結構上添加附加物，目的是保護已有結構，這種防御不一定會優化系統自身。被動防御的定義是：在無人員介入的情況下，附加在系統架構安全之上，可提供持續的威脅防御或威脅洞察力的系統。添加到架構安全上的樣本系統可以保護資產，阻止或限制已知安全漏洞被利用，降低與威脅交互的概率。這些系統包括但不限于防火墻、反惡意軟件系統、入侵防御系統、入侵檢測系統和類似的傳統安全系統。需要在無人員介入的情況下，讓上述系統運行，以確保其發揮作用。以上做法雖然常見，但不總是奏效。被動防御和架構安全的目的是一樣的，都是為了充分消耗外部攻擊者的資源，延緩被攻陷的時間。

針對被動防御體系建設，可以參考以下4種模型建設原則。

●縱深防御體系。

●NISP 800的防火墻、防惡意代碼、入侵防御。

●NIST網絡安全框架。

●網絡安全等級保護技術要求。