第五次作业李洪浩1252336.docVIP

第五次作业 李洪浩 1252336 我们都知道，IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域：网络和基础设施，区域边界、计算环境和支撑性基础设施。对于图中所示的内容，我们需要将其按照深度保护区域进行分解。我们一边解释深度保护区域一边进行分解。 设施防御：网络和支撑它的基础设施是各种信息系统和业务系统的中枢，为用户数据流和用户信息获取提供了一个传输机制，它的安全是整个信息系统安全的基础。网络和基础设施防御包括维护信息服务，防止拒绝服务攻击(DOS)；保护在整个广域网上进行交换的公共的、私人的或保密的信息，避免这些信息在无意中泄漏给未授权访问者或发生更改、延时或发送失败；保护数据流分析等。除了对网络和基础设施进行优化配置管理以外，档案部门还应根据业务和信息的重要程度来进行网络隔离或建立虚拟专用网（VPN），从物理或逻辑上将业务网和互联网实施隔离，使信息能在一个专用的网络通道中进行传递，这样能有效减少来自互联网的攻击。包括公共电话网，公共网络和VPN。对应到图中就包括，B/WEB等。 边界防御：根据业务的重要性、管理等级和安全等级的不同，“一个信息系统通常可以划分多个区域，每个区域是在单一统辖权控制下的物理环境”，具有逻辑和物理安全措施。这些区域大多具有和其他区域或网络相连接的外部连接。区域边界防御关注的是如何对进出这些区域边界的数据流进行有效的控制与监视，对区域边界的基础设施实施保护。应该考虑将业务管理和信息服务系统划分为不同的安全区域，根据区域的安全等级在每个区域边界设置硬件或软件防火墙身份对访问者进行身份认证；部署入侵检测机制，以提高对网络及设备自身安全漏洞和内外部攻击行为的检测、监控和实时处理能力；设置防毒网关，防止病毒通过网络边界入侵应用系统；设置VPN连接设备，以实现各个区域和网络之间的安全互连等。总而言之，要确保在被保护区域内的系统与网络保持可接受的可用性，并能够完全防范拒绝服务这一入侵攻击。包括经由TSP连接到公共网络和公共电话网的用户（PC，移动电话，拨号用户等），会为之提供相应的保护，例如防火墙等。对应到图中包括DB等。 环境防御：在计算环境中的安全防护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统，这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。计算环境防御就是要利用识别与认证（IA）、访问控制等技术确保进出内部系统数据的保密性、完整性和不可否认性。这是信息系统安全保护的最后一道防线。保护计算环境可以考虑以下方式：保护应用系统程序安全，包括使用安全的操作系统和应用程序；在关键服务器上部署主机入侵检测系统和主机审计策略，以防止来自区域内部授权访问者或管理人员的攻击；防病毒系统，防止来自网络之外的病毒感染；主机脆弱性扫描，以减少主机漏洞，实现对主机的最优化配置；关键的配置文件或可执行文件实施文件完整性保护等。指为连接到VPN，公共网络的服务器和客户机提供相应的保护，对应到图中包括服务器和地区公司机关用户，地区公司下属各单位等。包括软件和硬件方面的保护，使用安全的操作系统和应用系统，配置入侵检测系统，防病毒系统等。对应到图中，包括IM，APPS，office，OS等。 基础设施：支撑基础设施是一套相关联的活动与能够提供安全服务的基础设施相结合的综合体。目前纵深防御策略定义了两种支撑基础设施：密钥管理基础设施（KMI）/公钥基础设施（PKI）和检测与响应基础设施。KMI/PKI涉及网络环境的各个环节，是密码服务的基础；本地KMI/PKI提供本地授权，广域网范围的KMI/PKI提供证书、目录以及密钥产生和发布功能。检测与响应基础设施中的组成部分提供用户预警、检测、识别可能的网络攻击、作出有效响应以及对攻击行为进行调查分析等功能。包括检测与响应，秘钥管理基础设施，公钥基础设施。为以上三者提供相应的服务。对应到图中，包括UAC（UAC是微软为提高系统安全而在Windows Vista中引入的新技术，它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前，提供权限或管理员?密码）等。 对于最后下面的86架构，应该属于环境防御与基础设施防御相结合，包括USB，外置存储等。 我们可以将深度防御原理可应用于任何组织机构的信息网络安全中，涉及三个主要层面的内容：人、技术、操作。IATF主要涉及技术方面。 我们知道安全建设必须符合深度防御原则，必须为防御、检测、响应提供足够的技术手段，满足PDR模型所需。需要进行以下几个步骤进行搭建，发现需求，定义系统要求，系统架构设计，详细设计，实施，安全保护有效性评估。 IATF提供了安全建设的技术框架，框架所采用和技术结合等级保护的要求，可以为用户设计更加合理的安全技术体系，在信息安全体系结构中发挥着不可或缺的