返回
IATF信息保障技术框架.ppt

IATF信息保障技术框架.ppt

ID:51002166

大小:230.95 KB

页数:19页

时间:2020-03-17

IATF信息保障技术框架.ppt_第1页
IATF信息保障技术框架.ppt_第2页
IATF信息保障技术框架.ppt_第3页
IATF信息保障技术框架.ppt_第4页
IATF信息保障技术框架.ppt_第5页
资源描述:

《IATF信息保障技术框架.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、1IATF信息保障技术框架中软广州(内部讨论初稿一)陈延目录几个重要概念IATF建设模型模型细化3几个重要概念要保护什么IATF建立在信息基础设施的概念上。信息基础设施是维持机构运作、实现商业意图的专用资源,包括:信息系统、网络和各种应用。信息技术设施,通俗的说,就是企业的信息系统和业务系统;信息系统是维持机构运作的电子支持系统,如:邮件、办公、公文流转、审批等等;业务系统是机构商业运作所必须的电子业务系统,如:短信平台(移动)等等,或者电子支撑系统,如:记账、财务等系统。保护等级IATF划分了4个级别的保护:无密级秘密机密

2、绝密在国内的实际运用中,可以替换为我国的等级保护的定级,参照不同等级的基本要求厘定保护强度。信息保障框架域考虑到信息系统的复杂性,保护信息安全是挑战性的,为了在技术层面能够更清晰的展现,IATF将信息网络划分为四个不同的域:(局域网)计算环境:强调服务器(以及其上的应用)和客户端边界和远程连接:强调边界、远程连接、不同密级之间的连接网络和基础设施:强调网络架构和设备,包含网络基础设施有,网管、域名、目录服务等支撑性技术设施:强调提供安全服务、安全管理和安全运行的支撑性基础设施,包括:PKI、SOC等值得注意的是,这四个域实际

3、上有所重叠,具体在运用的时候,可以根据实际情况划分清楚。深度防御深度防御的实践主要来源于美国国防部的研究,认为深度防御原理可应用于任何组织机构的信息网络安全中,涉及三个主要层面的内容:人、技术、操作。IATF侧重技术(以及与之相关的工程建设)方面。PDR模型PDR模型包含三个主要部分:Protection(防护)、Detection(检测)和Response(响应)。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环。技术措施必须完整涵盖PDR模型所需。protection防护detection检测response响

4、应9IATF建设模型IATF建设要点对信息基础设施进行分析,了解安全目标,通过四个安全域进行清晰的展示。安全建设必须符合深度防御原则,必须为防御、检测、响应提供足够的技术手段,满足PDR模型所需。IATF建设思路发现需求定义系统要求系统架构设计详细设计实施安全保护有效性评估发现需求调研用户需求、相关政策、规则、标准以及系统工程所定义的用户环境中的信息所面临的威胁。关键点在于确定信息到底受到那些安全威胁:作为分析框架,IATF划分对手、动机、威胁以及安全要素;本阶段详细了解面临的安全威胁,理清用户需求,由于是需求在推动项目,因

5、此,清晰准确的把握需求是极为重要的。信息安全威胁被动攻击主动攻击物理临近攻击内部人员攻击信息安全要素安全性完整性可用性可控性不可抵赖性定义系统要求根据前一阶段的调研和分析,问题域已经清晰了。本阶段就是安全工程师针对问题域提出的要求和挑战,考虑多种解决方案。要点:问题在解决方案中得到一一解答。思路应开阔,针对某个系统的问题域,其解决方案有可能需要引进新的系统(例如:PKI)、或者改变与该系统相关联的其它系统。仅就系统做整体分析和要求。系统架构设计在前一阶段的基础上,细化设计,提出那些功能模块实现什么具体功能,指出(或设计)功能

6、模块之间的关系。(如果有必要,需要定义系统边界,内部模块边界)本阶段可以理解为功能结构设计。本阶段内容因为涉及软件开发方面的内容较多,容易产生不宜落地之感,其实如果用于:安全产品采购,则可以理解为需要那些产品模块、模块的功能说明,模块间通信等安全产品集成,则可以理解为需要那些产品(包括模块),通信、架构设计等详细设计如果含软件开发,此步骤为必要和关键阶段(内容较多,不详细加以说明),如果仅为集成项目,本阶段则应该:多沟通和协调,扫清障碍,消除误解;针对难点、以及用户担心的因素,提出解决办法。实施实施要点,除遵循一般实施验收要

7、求外:应该进行验收时的安全评估,以确保系统能够正确的工作,能够如期望的那样应对安全威胁,系统本身符合安全入网条件,不会带来新的安全威胁。应提供生命周期支持计划,操作流程,运维培训材料等安全保护有效性评估ISSEActivityAssessInformationProtectionEffectivenessTaskDiscoverInformationProtectionNeedsPresentanoverviewoftheprocess.SummarizetheinformationmodelDescribethreatst

8、othemissionorbusinessthroughinformationattacksEstablishsecurityservicestocounterthosethreatsandidentifytheirrelativeimportancetothecustomer.Obtai

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。