IATF信息保障技术框架

I n f o r m a t i o n A s s u r a n c e T e c h n i c a l F r a m e w o r k原著：美国国家安全局信息保障解决方案技术处2000年9月第三版免责声明：文档在线网（文档中国）中所有的文档资料均由文档在线网会员提供。

文档在线网会对会员提敬请评论信息保障技术框架是一篇发展中的文档，它将不断扩充和更新，为了能从这种扩充和更新中得到最大可能的受益，我们期待着您的评论和建议，请不吝将您的赐教惠寄于：IATF Forum WebmasterC/O: Booz·Allen & Hamilton Inc. Telephone: (410) 684-6246900 Elkridge Landing Road(Airport Square 2) Fax: (410) 850-4592 Linthicum, MD 21090 E-mail: ******************译者的话《信息保障技术框架》（IATF）是由美国国家安全局组织专家撰写的，最新的3.0版本于2000年9月推出，并在一系列国际会议（比如RSA年会）及其网站（）上免费向公众发放，并希望得到公众的反馈，以利于后继版本的优化。

IATF版本更新得很快，其2.0版刚刚在1999推出，新的版本（3.0版）便于2000年问世，而且在内容上有了很多改动（见“前言”）。

而在IATF3.0版问世之时，相关机构就已经同时开始为IATF的下一版而制定开发计划。

之所以有这样频繁地更新，我们认为至少有以下两方面的原因：首先，信息安全事件发生的频率越来越高，每一次事件的冲击范围也越来越广，相应的，新的信息安全技术也层出不穷，因此，没有任何一个能够作为人们普遍参照的高级技术文档是可以长时间停留在原地不动的。

其次，在对安全的理解已经历史地完成了第一次越迁（由通信安全到信息安全）之后，我们正经历着第二次越迁，那就是——由信息安全到信息保障。

IATF信息保障技术框架IATF信息保障技术框架1：引言本文档旨在为IATF组织提供一种信息保障技术框架，以确保组织的信息系统和数据得到有效的保护和管理。

该框架涵盖了以下主要方面：信息安全政策、信息保障组织、风险评估和管理、安全控制措施、监测和审计、员工培训和意识、持续改进。

2：信息安全政策2.1 定义组织的信息安全目标和政策，并明确其重要性和遵守的范围。

2.2 制定信息安全角色和责任，并确保所有员工遵守信息安全政策。

2.3 定义信息资产分类和控制级别，确保适当的访问和保护措施得到实施。

3：信息保障组织3.1 设立信息保障委员会，负责制定、监督和改进组织的信息保障策略和措施。

3.2 确定信息保障职能，指派专责人员负责信息安全管理和实施。

3.3 确保信息保障组织的合适的资源和培训。

4：风险评估和管理4.1 根据现有风险标准和方法，对组织的信息系统和数据进行风险评估，并及时更新评估结果。

4.2 制定和实施相应的风险管理计划，包括风险应对措施和应急响应计划。

5：安全控制措施5.1 根据风险评估结果，确定适当的安全控制措施，包括技术和管理控制。

5.2 实施访问控制、身份认证和授权措施，确保只有授权人员才能访问敏感信息。

5.3 实施数据加密措施，确保数据在传输和存储过程中得到保护。

5.4 确保信息系统和网络设备的安全配置和管理，包括补丁管理和设备防护。

6：监测和审计6.1 建立信息系统和网络设备的监测机制，主动检测和预防潜在的安全事件。

6.2 实施信息系统和网络设备的审计，追踪和记录活动日志，及时发现异常行为。

7：员工培训和意识7.1 提供信息安全培训，确保员工了解信息保障策略和措施，并知晓他们在信息保障中的责任和义务。

7.2 定期开展信息安全意识活动，提高员工对信息安全的重视和风险意识。

8：持续改进8.1 建立持续改进机制，定期评估信息保障策略和措施的有效性。

8.2 根据评估结果，制定改进计划，及时修订和完善信息保障技术框架。

I A T F信息保障技术框架 Revised final draft November 26, 2020IATF，《信息保障技术框架》（IATF：InformationAssurance['urns]TechnicalFramework)是美国国家安全局（NSA）NationalSecurityAgency制定的，描述其信息保障的指导性文件。

在我国国家973“信息与网络安全体系研究”课题组在2002年将IATF3.0版引进国内后，IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。

A s s u r a n c e n.保证,确信,肯定,自信,(人寿)保险一、IATF概述1．IATF形成背景建立IATF主要是美国军方需求的推动。

上世纪四五十年代，计算机开始在军事中应用，六七十年代网络化开始发展，这些发展都对信息安全保障提出了要求。

从1995年开始，美国国防高级研究计划局和信息技术办公室（DARPA/ITO）就开始了对长期研发投资战略的探索，以开展信息系统生存力技术的研究。

1998年1月，国防部（DoD）副部长批准成立了DIAP （国防范畴内信息保障项目），从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。

DIAP形成了国防部IA项目的核心部分。

除了军事机构外，随着社会的发展，各种信息系统已经成为支持整个社会运行的关键基础设施，而且信息化涉及的资产也越来越多，由此产生的各种风险和漏洞也随之增多，而且现有的技术无法完全根除。

面对这些威胁，人们越来越深刻地认识到信息安全保障的必要性。

在这个背景下，从1998年开始，美国国家安全局历经数年完成了《信息保障技术框架》这部对信息保障系统的建设有重要指导意义的重要文献。

2．IATF发展历程IATF的前身是《网络安全框架》（NSF），NSF的最早版本（0.1和0.2版）对崭新的网络安全挑战提供了初始的观察和指南。

IATF信息保障技术框架IATF 信息保障技术框架文档⒈简介本文档旨在提供有关IATF（信息保障技术框架）的详细信息。

IATF是一个综合性的框架，旨在确保组织的信息系统和数据得到适当的保护和安全。

通过建立一套标准和最佳实践，IATF帮助组织建立和维护一个安全的信息保障环境。

⒉系统规划⑴信息保障目标和策略：确定组织的信息保障目标和相应的策略。

⑵风险管理：识别和评估与信息保障相关的风险，并制定相应的控制措施。

⑶组织结构和责任：明确组织内各个部门和角色在信息保障中的职责和责任。

⒊安全管理⑴安全政策：制定和实施适当的安全政策，并确保其与组织的整体战略一致。

⑵人员安全：制定适当的人员安全策略和流程，包括人员背景核查和培训。

⑶物理安全：确保组织的物理设施得到适当的保护，并采取措施防止未经授权的访问。

⑷信息安全：确保信息在传输、存储和处理过程中得到保护，并采取措施防止信息泄露和篡改。

⑸风险应对与恢复：制定应对风险和事件的计划，并确保组织有能力及时恢复正常运营。

⒋安全技术⑴访问控制：实施合理的访问控制措施，并确保只有授权人员可以访问敏感信息。

⑵加密和认证：使用加密技术保护敏感数据，并确保身份认证的准确性和安全性。

⑶安全监控和审计：建立监控和审计机制，及时检测和响应安全事件。

⑷恶意软件防护：采取措施防止恶意软件的传播和感染。

⑸网络安全：确保网络设备和通信渠道的安全，并防止未经授权的网络访问。

⒌法律法规和术语解释⑴ GDPR（通用数据保护条例）：欧盟针对个人数据保护的法规。

⑵ CCPA（加州消费者隐私法案）：美国加州关于消费者隐私权的法案。

⑶ PII（个人识别信息）：可以用于唯一地识别个人身份的信息。

⑷ PHI（健康信息）：包含医疗诊断、治疗信息的健康相关数据。

⑸ PCI DSS（支付卡行业数据安全标准）：适用于处理信用卡信息的安全标准。

⑹ SOX（萨巴尼斯-奥克斯利法案）：美国关于公司金融报告透明度的法案。

附件：⒉安全培训课程大纲本文档涉及附件，请参阅相关附件以获取更多详细信息。

IATF 信息保障技术框架IATF 信息保障技术框架1、引言本文档旨在为组织内的信息保障技术提供框架，以确保组织内部和外部的信息安全。

该框架基于 IATF 标准，并详细介绍了实施信息保障技术所需的各项措施。

2、范围本框架适用于所有参与 IATF 信息保障技术的组织成员，包括管理层、技术人员等。

它涵盖了整个信息保障技术生命周期的各个阶段。

3、术语和定义在本框架中使用的术语和定义包括但不限于以下内容：- 信息安全：保护信息的机密性、完整性和可用性。

- 信息保障技术：通过技术手段保障信息安全的方法和工具。

- IATF：国际信息安全技术联盟，致力于促进信息安全技术的发展和应用。

4、框架概述本章节将介绍整个信息保障技术框架的概念和目标。

同时还会阐述该框架在组织内的重要性，并描述其与其他框架的关系。

5、管理要求本章节详细描述了管理层在信息保障技术实施中的职责和要求。

包括制定信息安全策略、确定信息保障技术目标、资源分配等方面的内容。

6、风险管理本章节将介绍如何进行风险管理，包括风险评估、风险治理和风险监测等环节。

同时还会探讨与风险管理相关的法律和法规。

7、安全控制措施本章节详细介绍了不同的安全控制措施，包括访问控制、身份认证、数据加密等方面的技术手段。

同时还会提供实施这些措施的具体建议和指导。

8、监督与审核本章节将介绍监督与审核的重要性，并详细描述了监督与审核的方法和程序。

同时还会探讨相关的法律法规和行业标准。

9、应急响应本章节将详细介绍应对信息安全事件和灾难的方法和程序。

包括事前准备、事中响应和事后恢复等方面的内容。

10、持续改进本章节将介绍如何通过持续改进来加强信息保障技术。

包括问题分析、改进计划和绩效评估等环节。

11、附件本文档涉及的附件包括但不限于：- 附件2：风险评估表格范本- 附件3：安全控制措施实施指南12、法律名词及注释在本文档中使用的法律名词及其注释包括但不限于以下内容：- 法律名词1：注释1- 法律名词2：注释2。

深入分析比较八个信息安全模型信息安全体系结构的设计并没有严格统一的标准，不同领域不同时期，人们对信息安全的认识都不尽相同，对解决信息安全问题的侧重也有所差别。

早期人们对信息安全体系的关注焦点，即以防护技术为主的静态的信息安全体系。

随着人们对信息安全认识的深入，其动态性和过程性的发展要求愈显重要。

国际标准化组织（ISO）于1989年对OSI开放系统互联环境的安全性进行了深入研究，在此基础上提出了OSI 安全体系结构：ISO 7498-2：1989，该标准被我国等同采用，即《信息处理系统－开放系统互连－基本参考模型－第二部分：安全体系结构GB/T 9387.2-1995》。

ISO 7498-2安全体系结构由5类安全服务（认证、访问控制、数据保密性、数据完整性和抗抵赖性）及用来支持安全服务的8 种安全机制（加密机制、数字签名、访问控制机制、数据完整性机制、认证交换、业务流填充、路由控制和公证）构成。

ISO 7498-2 安全体系结构针对的是基于OSI 参考模型的网络通信系统，它所定义的安全服务也只是解决网络通信安全性的技术措施，其他信息安全相关领域，包括系统安全、物理安全、人员安全等方面都没有涉及。

此外，ISO 7498-2 体系关注的是静态的防护技术，它并没有考虑到信息安全动态性和生命周期性的发展特点，缺乏检测、响应和恢复这些重要的环节，因而无法满足更复杂更全面的信息保障的要求。

P2DR模型源自美国国际互联网安全系统公司（ISS）提出的自适应网络安全模型ANSM（Adaptive NetworkSe cur ity Mode l）。

P2DR 代表的分别是Polic y （策略）、Protection （防护）、Detection （检测）和Response（响应）的首字母。

按照P2DR 的观点，一个良好的完整的动态安全体系，不仅需要恰当的防护（比如操作系统访问控制、防火墙、加密等），而且需要动态的检测机制（比如入侵检测、漏洞扫描等），在发现问题时还需要及时做出响应，这样的一个体系需要在统一的安全策略指导下进行实施，由此形成一个完备的、闭环的动态自适应安全体系。

美国信息系统安全等级保护2008-12-02 11:23 51cto 佚名关键字：等级保护技巧等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。

如何对信息系统实行分等级保护一直是社会各方关注的热点。

美国，作为一直走在信息安全研究前列的大国，近几年来在计算机信息系统安全方面，突出体现了系统分类分级实施保护的发展思路，并根据有关的技术标准、指南，对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式，并形成了体系化的标准和指南性文件。

一、美国信息系统分级的思路从目前的资料上看，美国在计算机信息系统的分级存在多样性，但基本的思路是一致的，只不过分级的方法不同而已，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括：1. 资产(包括有形资产和无形资产)(使用资产等级作为判断系统等级重要因素的文件如FIPS199，IATF，DITSCAP，NIST800-37等);2. 威胁(使用威胁等级作为判断系统等级重要因素的文件如IATF 等);3. 破坏后对国家、社会公共利益和单位或个人的影响(使用影响等级作为判断系统等级重要因素的文件如FIPS199，IATF等);4. 单位业务对信息系统的依赖程度(DITSCAP);根据对上述因素的不同合成方式，分别可以确定：1.系统强健度等级(IATF)：由信息影响与威胁等级决定;2.系统认证级(DITSCAP)：由接口模式、处理模式、业务依赖、三性、不可否认性等七个方面取权值决定;3.系统影响等级(FIPS199)：根据信息三性的影响确定;4.安全认证级(NIST800-37)：根据系统暴露程度与保密等级确定。

由于不同的信息系统所隶属的机构不同，美国两大类主要信息系统：联邦政府机构的信息系统及国防部信息系统所参照的分级标准不尽相同，即：所有联邦政府机构按照美国国家标准与技术研究所(NIST)有关标准和指南的分级方法和技术指标;而国防部考虑到本身信息系统及所处理信息的特殊性，则是按照DoD 8500.2的技术方法进行系统分级。

信息安全保障概述第⼀章信息安全保障概述1.信息安全的基本属性：完整性、机密性、可⽤性、可控制性、不可否认性2.信息安全保障体系框架⽣命周期：规划组织、开发采购、实施交付、运⾏维护、废弃保障要素：技术、管理、⼯程、⼈员安全特征：保密性、完整性、可⽤性3.信息系统安全模型P2DR安全模型：策略、防护、检测、响应4．信息保障技术框架IATF核⼼思想是纵深防御战略三个主要核⼼要素：⼈、技术和操作。

四个技术框架焦点区域:保护本地计算机环境、保护区域边界、保护⽹络及基础设施、保护⽀撑性基础设施5.信息安全保障⼯作内容：确定安全需求、设计和实施安全⽅案、进⾏信息安全评测、实施信息安全监控第⼆章信息安全基础技术与原理密码技术、认证技术、访问控制技术、审计和监控技术A、密码技术明⽂、密⽂、加密、解密信息空间M、密⽂空间C、密钥空间K、加密算法E、解密算法D加密密钥、解密密钥密码体系分为对称密钥体系、⾮对称密钥体系对称密钥体系1 对称密钥优点：加解密处理速度快和保密度⾼。

缺点：密钥管理和分发负责、代价⾼，数字签名困难2．对称密钥体系分类：分组（块）密码（DES/IDEA/AES）和序列密码(RC4/SEAL)3.传统的加密⽅法：代换法、置换法5、攻击密码体系的⽅法：穷举攻击法（128位以上不再有效）和密码分析法6.针对加密系统的密码分析攻击类型分为以下四种：①惟密⽂攻击在惟密⽂攻击中，密码分析者知道密码算法，但仅能根据截获的密⽂进⾏分析，以得出明⽂或密钥。

由于密码分析者所能利⽤的数据资源仅为密⽂，这是对密码分析者最不利的情况。

②已知明⽂攻击已知明⽂攻击是指密码分析者除了有截获的密⽂外，还有⼀些已知的“明⽂—密⽂对”来破译密码。

密码分析者的任务⽬标是推出⽤来加密的密钥或某种算法，这种算法可以对⽤该密钥加密的任何新的消息进⾏解密。

③选择明⽂攻击选择明⽂攻击是指密码分析者不仅可得到⼀些“明⽂—密⽂对”，还可以选择被加密的明⽂，并获得相应的密⽂。

IATF，《信息保障技术框架》（IATF：Information Assurance[ə'ʃuərəns] Technical Framework )是美国国家安全局（NSA）National Security Agency 制定的，描述其信息保障的指导性文件。

在我国国家973“信息与网络安全体系研究”课题组在2002年将IATF3.0版引进国内后，IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。

Assurance n. 保证,确信,肯定,自信,(人寿)保险一、IATF概述1．IATF形成背景建立IATF主要是美国军方需求的推动。

上世纪四五十年代，计算机开始在军事中应用，六七十年代网络化开始发展，这些发展都对信息安全保障提出了要求。

从1995年开始，美国国防高级研究计划局和信息技术办公室（DARPA/ITO）就开始了对长期研发投资战略的探索，以开展信息系统生存力技术的研究。

1998年1月，国防部（DoD）副部长批准成立了DIA P（国防范畴内信息保障项目），从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。

DIAP形成了国防部IA项目的核心部分。

除了军事机构外，随着社会的发展，各种信息系统已经成为支持整个社会运行的关键基础设施，而且信息化涉及的资产也越来越多，由此产生的各种风险和漏洞也随之增多，而且现有的技术无法完全根除。

面对这些威胁，人们越来越深刻地认识到信息安全保障的必要性。

在这个背景下，从1998年开始，美国国家安全局历经数年完成了《信息保障技术框架》这部对信息保障系统的建设有重要指导意义的重要文献。

2．IATF发展历程IATF的前身是《网络安全框架》（NSF），NSF的最早版本（0.1和0.2版）对崭新的网络安全挑战提供了初始的观察和指南。

1998年5月，出版了NSF1.0版，对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容。

信息安全技术填空题100道1.信息安全保障工作的内容包括：确定安全需求、设计和实施安全方案、进行信息安全测评和实施信息安全监控与维护;2蜜罐技术是一种网络监测技术，它将未使用地址空间伪装成活动网络空间，通过与入侵者的主动交互获取入侵详细信息。

3.信任根和信任链是可信计算平台的最主要的关键技术之一。

4.密码设计应遵循一个公开涉及的原则，即密钥体制的安全应依赖于对密钥的保密，而不应该依赖于对算法的保密。

5.主要适用于有严格的级别划分的大型组织机构和行业领域的信任模型是层次信任模型。

6.安全散列算法SHA所产生的摘要(160位)比消息摘要算法MD5 (128位)长32位。

7.在数据库中，用户权限是由两个要素组成:数据库对象和操作类型。

8.在create table语句中使用子句，default是定义默认值首选的方法。

9.当用户身份被确认合法后，赋予用户进行文件和数据等操作权限的过程称为授权(authorization)。

10.当用户代码需要请求操作系统提供的服务时，通常采用系统调用的方法来完成这一过程。

11.两台配置了IPsec协议的Windows计算机进行IPsec初始连接时，通过wireshark嗅探的前面10个数据包是ISAKMP协议的数据包。

12.支持多种不同类型的CA系统相互传递新任关系的是桥CA信任模型。

13根据软件漏洞具体条件，构造相应输入参数和shellcode代码，最终实现获得程序控制权的过程，是漏洞利用。

14.会话劫持就是攻击者窃取用户sessionID后，使用该sessionID 登录进入目标账户的攻击方法。

15.软件源代码的静态安全检测技术包括词法分析、数据流分析、污点传播分析等。

16污点传播技术是通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常。

17.栈指针寄存器esp( extended stack pointer)始终存放栈顶指针。

18.攻击者通过精心构造出数组范围的索引值，就能够对任意内存地址进行读写操作，这种漏洞被称为数组越界漏洞。

IATF，《信息保障技术框架》（IATF：InformationAssurance['urns]TechnicalFramework)是美国国家安全局（NSA）NationalSecurityAgency制定的，描述其信息保障的指导性文件。

在我国国家973“信息与网络安全体系研究”课题组在2002年将版引进国内后，IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。

Assur a n c e n.保证,确信,肯定,自信,(人寿)保险一、IATF概述1．IATF形成背景建立IATF主要是美国军方需求的推动。

上世纪四五十年代，计算机开始在军事中应用，六七十年代网络化开始发展，这些发展都对信息安全保障提出了要求。

从1995年开始，美国国防高级研究计划局和信息技术办公室（DARPA/ITO）就开始了对长期研发投资战略的探索，以开展信息系统生存力技术的研究。

1998年1月，国防部（DoD）副部长批准成立了D IAP（国防范畴内信息保障项目），从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。

DIAP形成了国防部IA项目的核心部分。

除了军事机构外，随着社会的发展，各种信息系统已经成为支持整个社会运行的关键基础设施，而且信息化涉及的资产也越来越多，由此产生的各种风险和漏洞也随之增多，而且现有的技术无法完全根除。

面对这些威胁，人们越来越深刻地认识到信息安全保障的必要性。

在这个背景下，从1998年开始，美国国家安全局历经数年完成了《信息保障技术框架》这部对信息保障系统的建设有重要指导意义的重要文献。

2．IATF发展历程IATF的前身是《网络安全框架》（NSF），NSF的最早版本（和版）对崭新的网络安全挑战提供了初始的观察和指南。

1998年5月，出版了版，对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容。

1998年10月，又推出了版。

到了1999年8月31日，NSA出版了，此时正式将NSF更名为《信息保障技术框架》。

IATF---《信息保障技术框架》IATF，《信息保障技术框架》（IATF：Information Assurance[ə'ʃuər əns] Technical Framework )是美国国家安全局（NSA）National Secur ity Agency 制定的，描述其信息保障的指导性文件。

在我国国家973“信息与网络安全体系研究”课题组在2002年将IATF3.0版引进国内后，IATF 开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。

Assurance n. 保证,确信,肯定,自信,(人寿)保险一、IATF概述1．IATF形成背景建立IATF主要是美国军方需求的推动。

上世纪四五十年代，计算机开始在军事中应用，六七十年代网络化开始发展，这些发展都对信息安全保障提出了要求。

从1995年开始，美国国防高级研究计划局和信息技术办公室（DARPA/ITO）就开始了对长期研发投资战略的探索，以开展信息系统生存力技术的研究。

1998年1月，国防部（DoD）副部长批准成立了DIA P（国防范畴内信息保障项目），从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。

DIAP形成了国防部IA项目的核心部分。

除了军事机构外，随着社会的发展，各种信息系统已经成为支持整个社会运行的关键基础设施，而且信息化涉及的资产也越来越多，由此产生的各种风险和漏洞也随之增多，而且现有的技术无法完全根除。

面对这些威胁，人们越来越深刻地认识到信息安全保障的必要性。

在这个背景下，从1998年开始，美国国家安全局历经数年完成了《信息保障技术框架》这部对信息保障系统的建设有重要指导意义的重要文献。

2．IATF发展历程IATF的前身是《网络安全框架》（NSF），NSF的最早版本（0.1和0.2版）对崭新的网络安全挑战提供了初始的观察和指南。

1998年5月，出版了NSF1.0版，对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容。

第一章信息安全保障概述1。

1信息安全保障背景1。

1.1信息技术及其发展阶段信息技术两个方面：生产：信息技术产业;应用：信息技术扩散信息技术核心：微电子技术，通信技术，计算机技术,网络技术第一阶段,电讯技术的发明；第二阶段,计算机技术的发展；第三阶段，互联网的使用1。

1。

2信息技术的影响积极：社会发展，科技进步，人类生活消极：信息泛滥，信息污染，信息犯罪1。

2信息安全保障基础1.2.1信息安全发展阶段通信保密阶段（20世纪四十年代）：机密性,密码学计算机安全阶段（20世纪六十和七十年代):机密性、访问控制与认证，公钥密码学（Diffie Hellman，DES），计算机安全标准化(安全评估标准）信息安全保障阶段:信息安全保障体系（IA），PDRR模型:保护（protection）、检测(detection)、响应(response）、恢复（restore），我国PWDRRC模型：保护、预警(warning）、监测、应急、恢复、反击（counter-attack），BS/ISO 7799标准（有代表性的信息安全管理体系标准)：信息安全管理实施细则、信息安全管理体系规范1.2.2信息安全的含义一是运行系统的安全，二是系统信息的安全：口令鉴别、用户存取权限控制、数据存取权限方式控制、审计跟踪、数据加密等信息安全的基本属性：完整性、机密性、可用性、可控制性、不可否认性1.2。

3信息系统面临的安全风险1。

2。

4信息安全问题产生的根源：信息系统的复杂性,人为和环境的威胁1.2.5信息安全的地位和作用1.2.6信息安全技术核心基础安全技术：密码技术安全基础设施技术：标识与认证技术,授权与访问控制技术基础设施安全技术：主机系统安全技术,网络系统安全技术应用安全技术：网络与系统安全攻击技术，网络与系统安全防护与响应技术，安全审计与责任认定技术，恶意代码监测与防护技术支撑安全技术：信息安全评测技术，信息安全管理技术1。

IATF，《信息保障技术框架》（IATF：Information Assurance[ə'ʃuərəns] Technical Framework)是美国国家安全局（NSA）National Security Agency制定的，描述其信息保障的指导性文件。

在我国国家973“信息与网络安全体系研究”课题组在2002年将IATF3.0版引进国内后，IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。

Assurance n.保证,确信,肯定,自信,(人寿)保险一、IATF概述1．IATF形成背景建立IATF主要是美国军方需求的推动。

上世纪四五十年代，计算机开始在军事中应用，六七十年代网络化开始发展，这些发展都对信息安全保障提出了要求。

从1995年开始，美国国防高级研究计划局和信息技术办公室（DARPA/ITO）就开始了对长期研发投资战略的探索，以开展信息系统生存力技术的研究。

1998年1月，国防部（DoD）副部长批准成立了DIA P（国防范畴内信息保障项目），从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。

DIAP形成了国防部IA项目的核心部分。

除了军事机构外，随着社会的发展，各种信息系统已经成为支持整个社会运行的关键基础设施，而且信息化涉及的资产也越来越多，由此产生的各种风险和漏洞也随之增多，而且现有的技术无法完全根除。

面对这些威胁，人们越来越深刻地认识到信息安全保障的必要性。

在这个背景下，从1998年开始，美国国家安全局历经数年完成了《信息保障技术框架》这部对信息保障系统的建设有重要指导意义的重要文献。

2．IATF发展历程IATF的前身是《网络安全框架》（NSF），NSF的最早版本（0.1和0.2版）对崭新的网络安全挑战提供了初始的观察和指南。

1998年5月，出版了NSF1.0版，对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容。

IATF：IATF内容摘要思维导图立冬时，我给自己立了一个flag，其中一项是：第一个月要通一遍IATF。

人，借助技术的支持，实施一系列的操作过程，最终实现信息保障目标，这就是IATF最核心的理念之一。

信息保障技术框架(IATF) 共分为十个章，如思维导图显示分别为介绍、深度防御目标纵览、信息系统安全工程、技术性安全对策、保护网络与基础设施、保护飞地边界/外部连接、保护计算环境、支撑性基础设施、战术环境的信息保障、对综合解决方案的观察等十章。

在第一章介绍中，介绍了这本书面对的读者，其预期的读者包括系统安全工程师、顾客、科学家、研究者、产品和服务提供商、标准化团体以及工业联盟等。

其目标包括：促进大家对IA技术的意识，展现信息系统(IS)用户的IA需求，提供IA问题解决方案的指导，指出当前信息保障的能力和需求之间的断层。

第一章对信息基础设施、信息基础设施边界、信息保障框架领域、普遍的威胁类别等做了概述。

然后，还介绍了深层防御战略并说明了IATF文档的整体组织结构。

在我国的网络安全保护工作中，如等级保护2.0的多层防御理念很大程度上借鉴了IATF的深度防御理念，并在此基础上有所发挥。

但是，就像一位行内专家老师说的，等级保护2.0在借鉴了IATF的很多优秀的内容，但阉割了其优秀的“信息系统安全工程”这个宝贝。

lATF强调：人、技术、操作，这3个核心原则，关注4个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施。

人(People)：人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，是第一位的要素，同时也是最脆弱的。

正是基于这样的认识，安全管理在安全保障体系中就愈显重要，可以这么说，信息安全保障体系，实质上就是一个安全管理的体系，其中包括意识培训、组织管理、技术管理和操作管理等多个方面。

技术(Technology)：技术是实现信息保障的重要手段，信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。

美国信息保障技术框架--IATF简介(一)
赵战生
【期刊名称】《信息网络安全》
【年(卷),期】2003(000)004
【摘要】无
【总页数】4页(P13-16)
【作者】赵战生
【作者单位】无
【正文语种】中文
【相关文献】
1.美国网络安全与信息保障研发计划简介 [J], 王宇
2.美国信息保障技术框架--IATF简介(二) [J], 赵战生
3.基于信息保障技术框架网络安全技术整合及应用研究 [J], 蔡宗慧;郝帅
4.融合PKI基础设施的信息安全保障技术框架研究 [J], 张全伟
5.美国机载电子攻击技术进展／陈文奎陶建义美军网络中心战信息系统的构建走向／孟凡松汪勇美军全球信息栅格的接入方式简介／向军肖德政贾鹏印度电子战发展历程／周长仁谢光明美国机载电子攻击技术进展 [J], 陈文奎;陶建义
因版权原因，仅展示原文概要，查看原文内容请购买。

１．信息系统:处理、存储和传输信息的系统。

２.为什么需要信息保障：信息系统在人们的生产、生活中发挥着日益重要的作用；信息系统存在根本安全缺陷；安全形势日益恶化３.信息保障的内涵：是指采用可提供可用性、完整性、认证、机密性和不可否认性安全服务的应用程序来保护信息和信息系统。

除了保护机制外，还应该提供攻击检测工具和程序，以使信息系统能够快速响应攻击，并从攻击中恢复。

基本概念和术语：Information Infrastructure:信息基础设施 Categorizing Information:分类信息Boundary：边界IATF area：信息保障框架域４.IATF将信息系统的信息保障技术层面分为四部分：本地计算环境、飞地边界、网络和基础设施、支撑性基础设施飞地：指的是通过局域网相互连接、采用单一安全策略，并且不考虑物理位置的本地计算设备飞地边界：是信息进入或离开飞地或机构的点。

支撑性基础设施以安全管理和提供安全服务为目的。

支撑性基础设施为以下各方提供服务：网络；终端用户工作站；Web、应用和文件服务器。

５.IATF所讨论的两个范围分别是：密钥管理基础设施（KMI/PKI）；检测与响应基础设施。

６.纵深防御原则：优先原则，建议纵深防御战略附带着若干IA 的原则优先原则：三个要素：人，技术，运行纵深防御策略中涉及人员：政策和程序，物理安全，培训和意识，人员安全，系统安全管理，设备对策纵深防御战略中某些技术领域：IA体系结构，IA准则，已经评估产品的获取/集成，系统风险评估纵深防御战略有关的运行领域：安全策略，认证和认可，安全管理，备用评估，ASW&R，恢复&重新构造纵深防御战略附带若干IA的原则：多处设防，分层保卫，安全的坚固性，配备PKI/KMI，配备入侵检测系统１.系统工程：组织管理系统规划、研究、制造、实验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法。

研究重点：方法论，一门解决问题的应用技术２.系统安全工程：系统工程的子集。