点击下载《IATF 3.1(英文版)》(4036.7 KB)
IATF是美国国家安全局(NSA)制定的,为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题,其代表理论为“深度防护战略(Defense-in-Depth)”。IATF强调人、技术、操作这三个核心原则,关注四个信息安全保障领域:保护网络和基础设施、保护边界、保护计算环境、支撑基础设施。
IATF规划的信息保障体系包含三个要素:
人(People):人是信息体系的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心,是第一位的要素,同时也是最脆弱的。正是基于这样的认识,安全管理在安全保障体系中就愈显重要,可以这么说,信息安全保障体系,实质上就是一个安全管理的体系,其中包括意识培训、组织管理、技术管理和操作管理等多个方面。
技术(Technology):技术是实现信息保障的重要手段,信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然,这里所说的技术,已经不单是以防护为主的静态技术体系,而是防护、检测、响应、恢复并重的动态的技术体系。
操作(Operation):或者叫运行,它构成了安全保障的主动防御体系,如果说技术的构成是被动的,那操作和流程就是将各方面技术紧密结合在一起的主动的过程,其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。
人,借助技术的支持,实施一系列的操作过程,最终实现信息保障目标,这就是IATF最核心的理念之一。
在明确了信息保障的三项要素之后,IATF定义了实现信息保障目标的工程过程和信息系统各个方面的安全需求。在此基础上,对信息基础设施就可以做到多层防护,这样的防护被称为 “深度防护战略(Defense-in-Depth Strategy)”。
在关于实现信息保障目标的过程和方法上,IATF论述了系统工程、系统采购、风险管理、认证和鉴定以及生命周期支持等过程,对这些与信息系统安全工程(ISSE)活动相关的方法学作了说明。这就为我们指出了一条较为清晰的建设信息保障体系的路子。
为了明确需求,IATF定义了四个主要的技术焦点领域:保卫网络和基础设施,保卫边界,保卫计算环境和为基础设施提供支持,这四个领域构成了完整的信息保障体系所涉及的范围。在每个领域范围内,IATF都描述了其特有的安全需求和相应的可供选择的技术措施。无论是对信息保障体系的获得者,还是对具体的实施者或者最终的测评者,这些都有很好的指导价值。