欢迎来到天天文库
浏览记录
ID:32820974
大小:59.76 KB
页数:4页
时间:2019-02-16
《iatf信息保障技术框架》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、IATF,《信息保障技术框架》(IATF:InformationAssurance[e'Juerens]TechnicalFramework)是美国国家安全局(NSA)NationalSecurityAgency制定的,描述其信息保障的指导性文件。在我国国家973“信息与网络安全体系研究”课题组在2002年将IATF3.0版引进国内后,IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。Assurancen.保证,确信,肯定,自信,(人寿)保险一、IATF概述1.IATF形成背景建立IATF主要是美国
2、军方需求的推动。上世纪四五十年代,计算机开始在军事中应用,六七十年代网络化开始发展,这些发展都对信息安全保障提出了要求。从1995年开始,美国国防高级研究计划局和信息技术办公室(DARPA/ITO)就开始了对长期研发投资战略的探索,以开展信息系统生存力技术的研究。1998年1月,国防部(DoD)副部长批准成立了DIAP(国防范畴内信息保障项目),从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。DIAP形成了国防部IA项目的核心部分。除了军事机构外,随着社会的发展,各种信息系统已经成为支持整个社会运行的关键基础
3、设施,而且信息化涉及的资产也越来越多,由此产生的各种风险和漏洞也随之增多,而且现有的技术无法完全根除。而对这些威胁,人们越来越深刻地认识到信息安全保障的必要性。在这个背景下,从1998年开始,美国国家安全局历经数年完成了《信息保障技术框架》这部对信息保障系统的建设有重要指导意义的重要文献。2.IATF发展历程IATF的前身是《网络安全框架》(NSF),NSF的最早版本(0.1和0.2版)对崭新的网络安全挑战提供了初始的观察和指南。1998年5月,出版了NSF1.0版,对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容。1
4、998年10月,又推岀了NSF1.1版。到了1999年8月31日,NSA出版了IATF2.0,此时正式将NSF更名为《信息保障技术框架》。IATF2.0版将安全解决方案框架划分为4个纵深防御焦点域:保护网络和基础设施、保护区域边界、保护计算环境以及支撑性基础设施。1999年9月22日推出的IATF2.0.1版本的变更主要以格式和图形的变化为主,在内容上并无很大的变动。2000年9月出版的IATF3.0版通过将IATF的表现形式和内容通用化,使IATF扩展岀了DoD的范围。2002年9月出版了最新的IATF3.1版本,扩展了“纵深防御
5、”,强调了信息保障战略,并补充了语音网络安全方而的内容。IATF4.0目前正在编制之中。随着社会对信息安全认识的日益加深,以及信息技术的不断进步,IATF必定会不断发展,内容的深度和广度也将继续得到强化。3.IATF的焦点框架区域划分IATF将信息系统的信息保障技术层而划分成了四个技术框架焦点域:网络和基础设施,区域边界、计算环境和支撑性基础设施。在每个焦点领域范围内,IATF都描述了其特有的安全需求和相应的可供选择的技术措施。IATF提出这四个框架域,目的就是让人们理解网络安全的不同方而,以全而分析信息系统的安全需求,考虑恰当的安
6、全防御机制。二、IATF与信息安全的关系IATF虽然是在军事需求的推动下由NSA组织开发,但发展至今的IATF已经可以广泛地适用于政府和各行各业的信息安全工作了,它所包含的内容和思想可以给各个行业信息安全工作的发展提供深刻的指导和启示作用。1.IATF的核心思想IATF提出的信息保障的核心思想是纵深防御战略(DefenseinDepth)o所谓深层防御战略就是釆用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。在纵深防御战略中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者缺一不可。我们知道,一个信息
7、系统的安全不是仅靠一两种技术或者简单地设置几个防御设施就能实现的,IATF为了我们提供了全方位多层次的信息保障体系的指导思想,即纵深防御战略思想。通过在各个层次、各个技术框架区域中实施保障机制,才能在最大限度内降低风险,防止攻击,保护信息系统的安全。此外,IATF提出了三个主要核心要素:人、技术和操作。尽管IATF重点是讨论技术因素,但是它也提出了“人”这一要素的重要性,人即管理,管理在信息安全保障体系建设中同样起到了十分关键的作用,可以说技术是安全的基础,管理是安全的灵魂,所以应当在重视安全技术应用的同时,必须加强安全管理。2.I
8、ATF的其他信息安全(IA)原则除了纵深防御这个核心思想之外,IATF还提岀了其他一些信息安全原则,这些原则对指导我们建立信息安全保障体系都具有非常重大的意义。(1)保护多个位置。包括保护网络和基础设施、区域边界、计算环境等,这一原则
此文档下载收益归作者所有