2019/2/25 2.IATF发展历程 3.LATF的焦点框架区域划分 ·1999年9月22日推出的IATF2.0.1版本的变更主要 ·IAT℉将信息系统的信息保障技术层面划分成了 以格式和图形的变化为主，在内容上并无很大的 四个技术框架焦点域：，网络和基础设施、区域边 变动。 界、计算环境和支撑性基础设施。 ·2000年9月出版的IATF3.0版通过将IATF的表现 ·在每个焦点领域范围内，IATF都描述了其特有 形式和内容通用化，使IATF扩展出了DoD的范 的安全需求和相应的可供选择的技术措施。 围。2002年9月出版了最新的IATF3.1版本，扩展 ·IATF提出这四个框架域，目的就是让人们理解 了“纵深防御”，强调了信息保障战略，并补充了 网络安全的不同方面，以全面分析信息系统的安 语音网络安全方面的内容。 全需求，考虑恰当的安全防御机制。 ·LATF4.0目前正在编制之中。 ·随着社会对信息安全认识的日益加深，以及信息 技术的不断进步，IATF必定会不断发展，内容 的深度和广度也将继续得到强化： 的具空全厚0： 信京金全得 1.5.2IATF与信息安全的关系 纵深防御战略(defense in depth) ·IATF虽然是在军事需求的推动下由NSA组织开 IATF提供了全 此外，AF提出了 发，但发展至今的IATF已经可以广泛地适用于 方位、多层次 三个主展核心要章： 政府和各行各业的信息安全工作，它所包含的内 的信息保障体 系的指导思想， (管理到 容和思想可以给各个行业信息安全工作的发展提 。技术，阳据 即纵深防御战 供深刻的指导和启示作用。 略思想，通过 它也提出了“人“这 一要素的重要性， 1.LATF的核心思想 在各个层次、 纵深防狗 人即管理，管理在 各个技术框架 ·IATF提出的信息保障的核心思想是纵深防御战 (defense 信息安全保障体系 区域中实施保 in depth) 建设中问样起到了 略(defense in depth)。所谓织深层防御战略就是 障机制，才能 十分关键的作用 采用一个多层次：，纵深的安全措施来保障用户 在最大限度内 操相 技术 可以说技术是安 信息及信息系统的安全。在纵深防御战略中， 降低风险，防 的基础，管理是安 人、技术和操作是三个主要核心要素，要保障信 止攻击，保护 全的灵魂：所以在 息及信息系统的安全，三者缺一不可。 信息系统的安 重视安全技 应用 全。 的同时，必须加强 安全管理。 轨息变全导0L 轴京安全0 2.IATF的其他信息安全(IA)原则 (2)分层防御 ·如果说上一个原则是横向防御，那么这一原则就是纵 ·除了纵深防御这个核心思想之外，IATF还提出 向防得，这也是纵深防御思想的 个具体体现。分层 了其他一些信息安全原则，这些原则对指导我们 防御即在政击者和目标之间部署多层防御机制，每一 建立信息安全保障体系都具有非常重大的意义。 个这样的机制必须对攻击者形成一 道屏障。而且每一 个这样的机制还应包括保护和检测措施，以使攻击者 不得不面对被检测到的风险，迫使攻击者由于高昂的 (1)保护多个位置 攻击代价而放弃攻击行为。 ·包括保护网络和基础设施、区域边界、计算环境 (3)安全强健性 等。这一原则提醒我们，仅仅在信息系统的重要 ·不同的信息对于组织有不同的价值，该信息丢失或破 敏感之处设置一些保护装置是不够的，任意一个 坏所产生的后果对组织也有不同的影响。所以对信息 系统内每一个信息安全组件设置的安全强健性（即强 系统漏洞都有可能导致严重的攻击和破坏后果， 度和保障)，取决于被保护信息的价值以及所遭受的 所以只有在信息系统的各个方位布置全面的防御 感胁程度。在设计信息安全保障体系时，必须要考虑 机制，才能将风险减至最低。 到信息价值和安全管理成本的平衡。 112019/2/25 11 2. IATF发展历程 • 1999年9月22日推出的IATF2.0.1版本的变更主要 以格式和图形的变化为主，在内容上并无很大的 变动。 • 2000年9月出版的 IATF3.0版通过将IATF的表现 形式和内容通用化，使IATF扩展出了DoD的范 围。2002年9月出版了最新的IATF3.1版本，扩展 了“纵深防御”，强调了信息保障战略，并补充了 语音网络安全方面的内容。 • IATF4.0目前正在编制之中。 • 随着社会对信息安全认识的日益加深，以及信息 技术的不断进步，IATF必定会不断发展，内容 的深度和广度也将继续得到强化。 信息安全导论01 61 3. IATF的焦点框架区域划分 • IATF将信息系统的信息保障技术层面划分成了 四个技术框架焦点域：网络和基础设施、区域边 界、计算环境和支撑性基础设施。 • 在每个焦点领域范围内，IATF都描述了其特有 的安全需求和相应的可供选择的技术措施。 • IATF提出这四个框架域，目的就是让人们理解 网络安全的不同方面，以全面分析信息系统的安 全需求，考虑恰当的安全防御机制。 信息安全导论01 62 1.5.2 IATF与信息安全的关系 • IATF虽然是在军事需求的推动下由NSA组织开 发，但发展至今的IATF已经可以广泛地适用于 政府和各行各业的信息安全工作，它所包含的内 容和思想可以给各个行业信息安全工作的发展提 供深刻的指导和启示作用。 1．IATF的核心思想 • IATF提出的信息保障的核心思想是纵深防御战 略(defense in depth)。所谓纵深层防御战略就是 采用一个多层次、纵深的安全措施来保障用户 信息及信息系统的安全。在纵深防御战略中， 人、技术和操作是三个主要核心要素，要保障信 息及信息系统的安全，三者缺一不可。 信息安全导论01 63 纵深防御战略(defense in depth) 纵深防御 (defense in depth) 人 (管理) 操作 技术 信息安全导论01 64 IATF 提 供 了 全 方 位 、 多层次 的 信息 保障 体 系的指导思想， 即 纵深 防御 战 略 思想 ，通 过 在 各个 层次 、 各 个技 术框 架 区 域中 实施 保 障 机制 ，才 能 在 最大 限度 内 降 低风 险 ， 防 止 攻击 ，保 护 信 息系 统的 安 全。 此外，IATF提出了 三个主要核心要素： 人、技术和操作。 尽管IATF重点是讨 论技术因素，但是 它也提出了“人”这 一要素的重要性， 人即管理，管理在 信息安全保障体系 建设中同样起到了 十分关键的作用， 可以说技术是安全 的基础，管理是安 全的灵魂，所以在 重视安全技术应用 的同时，必须加强 安全管理。 2. IATF的其他信息安全(IA)原则 • 除了纵深防御这个核心思想之外，IATF还提出 了其他一些信息安全原则，这些原则对指导我们 建立信息安全保障体系都具有非常重大的意义。 (1)保护多个位置 • 包括保护网络和基础设施、区域边界、计算环境 等。这一原则提醒我们，仅仅在信息系统的重要 敏感之处设置一些保护装置是不够的，任意一个 系统漏洞都有可能导致严重的攻击和破坏后果， 所以只有在信息系统的各个方位布置全面的防御 机制，才能将风险减至最低。 信息安全导论01 65 信息安全导论01 66 (2)分层防御 • 如果说上一个原则是横向防御，那么这一原则就是纵 向防御，这也是纵深防御思想的一个具体体现。分层 防御即在攻击者和目标之间部署多层防御机制，每一 个这样的机制必须对攻击者形成一道屏障。而且每一 个这样的机制还应包括保护和检测措施，以使攻击者 不得不面对被检测到的风险，迫使攻击者由于高昂的 攻击代价而放弃攻击行为。 (3)安全强健性 • 不同的信息对于组织有不同的价值，该信息丢失或破 坏所产生的后果对组织也有不同的影响。所以对信息 系统内每一个信息安全组件设置的安全强健性（即强 度和保障），取决于被保护信息的价值以及所遭受的 威胁程度。在设计信息安全保障体系时，必须要考虑 到信息价值和安全管理成本的平衡