IATF信息保障技术框架.docx

  1. 1、本文档共4页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
IATF信息保障技术框架

IATF,《信息保障技术框架》(IATF:Information Assurance [?'?u?r?ns] Technical Framework )是美国国家安全局(NSA)National Security Agency 制定的,描述其信息保障的指导性文件。在我国国家973“信息与网络安全体系研究”课题组在2002年将IATF3.0版引进国内后,IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。Assurance n. 保证,确信,肯定,自信,(人寿)保险  一、IATF概述  1.IATF形成背景  建立IATF主要是美国军方需求的推动。上世纪四五十年代,计算机开始在军事中应用,六七十年代网络化开始发展,这些发展都对信息安全保障提出了要求。从1995年开始,美国国防高级研究计划局和信息技术办公室(DARPA/ITO)就开始了对长期研发投资战略的探索,以开展信息系统生存力技术的研究。1998年1月,国防部(DoD)副部长批准成立了DIAP(国防范畴内信息保障项目),从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。DIAP形成了国防部IA项目的核心部分。  除了军事机构外,随着社会的发展,各种信息系统已经成为支持整个社会运行的关键基础设施,而且信息化涉及的资产也越来越多,由此产生的各种风险和漏洞也随之增多,而且现有的技术无法完全根除。面对这些威胁,人们越来越深刻地认识到信息安全保障的必要性。在这个背景下,从1998年开始,美国国家安全局历经数年完成了《信息保障技术框架》这部对信息保障系统的建设有重要指导意义的重要文献。  2.IATF发展历程  IATF的前身是《网络安全框架》(NSF),NSF的最早版本(0.1和0.2版)对崭新的网络安全挑战提供了初始的观察和指南。1998年5月,出版了NSF1.0版,对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容。1998年10月,又推出了NSF1.1版。  到了1999年8月31日,NSA出版了IATF2.0,此时正式将NSF更名为《信息保障技术框架》。IATF2.0版将安全解决方案框架划分为4个纵深防御焦点域:保护网络和基础设施、保护区域边界、保护计算环境以及支撑性基础设施。1999年9月22日推出的IATF2.0.1版本的变更主要以格式和图形的变化为主,在内容上并无很大的变动。2000年9月出版的IATF3.0版通过将IATF的表现形式和内容通用化,使IATF扩展出了DoD的范围。2002年9月出版了最新的IATF3.1版本,扩展了“纵深防御”,强调了信息保障战略,并补充了语音网络安全方面的内容。IATF4.0目前正在编制之中。  随着社会对信息安全认识的日益加深,以及信息技术的不断进步,IATF必定会不断发展,内容的深度和广度也将继续得到强化。  3.IATF的焦点框架区域划分  IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域:网络和基础设施,区域边界、计算环境和支撑性基础设施。在每个焦点领域范围内,IATF都描述了其特有的安全需求和相应的可供选择的技术措施。IATF提出这四个框架域,目的就是让人们理解网络安全的不同方面,以全面分析信息系统的安全需求,考虑恰当的安全防御机制。  二、IATF与信息安全的关系  IATF虽然是在军事需求的推动下由NSA组织开发,但发展至今的IATF已经可以广泛地适用于政府和各行各业的信息安全工作了,它所包含的内容和思想可以给各个行业信息安全工作的发展提供深刻的指导和启示作用。  1.IATF的核心思想  IATF提出的信息保障的核心思想是纵深防御战略(Defense in Depth)。所谓深层防御战略就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。在纵深防御战略中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者缺一不可。  我们知道,一个信息系统的安全不是仅靠一两种技术或者简单地设置几个防御设施就能实现的,IATF为了我们提供了全方位多层次的信息保障体系的指导思想,即纵深防御战略思想。通过在各个层次、各个技术框架区域中实施保障机制,才能在最大限度内降低风险,防止攻击,保护信息系统的安全。  此外,IATF提出了三个主要核心要素:人、技术和操作。尽管IATF重点是讨论技术因素,但是它也提出了“人”这一要素的重要性,人即管理,管理在信息安全保障体系建设中同样起到了十分关键的作用,可以说技术是安全的基础,管理是安全的灵魂,所以应当在重视安全技术应用的同时,必须加强安全管理。  2.IATF的其他信息安全(IA)原则  除了纵深防御这个核心思想之外,IATF还提出了其他一些信息安全原则,这些原则对指导我们建立信息安全保障体系

文档评论(0)

almm118 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档