關(guān)于IATF框架的看法
責(zé)編:admin |2015-01-16 14:06:19信息保障技術(shù)框架 是由美國國家安全局指定的描述信息保障的指導(dǎo)性文件。我國在2002年將IATF3.0版引進(jìn)國內(nèi)后,IATF開始對我國信息安全工作的發(fā)展和信息安全保證體系的建設(shè)起到重要的參考和指導(dǎo)作用。
IATF提出的信息保障的核心思想是縱深防御戰(zhàn)略。所謂縱深防御戰(zhàn)略,就是采用多層次的、縱深的安全措施來保障用戶信息及信息系統(tǒng)的安全。在縱深防御戰(zhàn)略中,人員、技術(shù)和操作是核心因素。要保障信息及信息系統(tǒng)的安全,三者缺一不可。
IATF提出了3個核心要素:人員、技術(shù)和操作。盡管IATF的重點是討論技術(shù)因素,但是它也提出了“人員”這一要素的重要性。人即管理,管理在信息安全保障體系建設(shè)中同樣起著十分關(guān)鍵的作用。可以說,技術(shù)是安全的基礎(chǔ),管理是安全的靈魂。因此,應(yīng)當(dāng)在重視安全技術(shù)應(yīng)用的同時加強(qiáng)安全管理。
在這個戰(zhàn)略的3個主要層面中,IATF強(qiáng)調(diào)技術(shù)并提供一個框架以進(jìn)行多層保護(hù),以此來防范面向信息系統(tǒng)的威脅。該方法使能夠攻破一層或一類保護(hù)的攻擊行為無法破壞整個信息基礎(chǔ)設(shè)施。
IATF將信息系統(tǒng)的信息保障技術(shù)層面劃分成了4個技術(shù)框架焦點域:本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施。在每個焦點域范圍內(nèi),IATF都描繪了其特有的安全需求和相應(yīng)的可供選擇的技術(shù)措施。
1)保護(hù)本地計算環(huán)境
用戶需要保護(hù)內(nèi)部系統(tǒng)應(yīng)用和服務(wù)器,這包括在系統(tǒng)高端環(huán)境中,多種現(xiàn)有和新出現(xiàn)的應(yīng)用從分利用識別與認(rèn)證訪問控制、機(jī)密性、數(shù)據(jù)完整性和不可否認(rèn)性等安全服務(wù)。為滿足上述要求應(yīng)實現(xiàn)下列安全目標(biāo):確保對客戶機(jī)、服務(wù)器和應(yīng)用實施重分的保護(hù),已防止拒絕服務(wù)、數(shù)據(jù)未授權(quán)泄露和數(shù)據(jù)更改;無論客戶機(jī)、服務(wù)器或應(yīng)用位于某區(qū)域之內(nèi)或之外,都必須確保由其所處理的數(shù)據(jù)具有機(jī)密性和完整性;防止未授權(quán)使用客戶機(jī)、服務(wù)器或應(yīng)用的情況;保障客戶機(jī)和服務(wù)器遵守安全配置指南并正確安裝了所有補(bǔ)丁;對所有的客戶機(jī)與服務(wù)器的配置管理進(jìn)行維護(hù),跟蹤補(bǔ)丁和系統(tǒng)配置更改信息;對于內(nèi)部和外部的受信任人員對系統(tǒng)從事違規(guī)和攻擊活動具有足夠的防范能力。
2)保護(hù)區(qū)域邊界
為了從專業(yè)或公共網(wǎng)絡(luò)上獲得信息和服務(wù)許多組織通過其信息基礎(chǔ)設(shè)施與這些網(wǎng)絡(luò)連接。一次,這些組織必須對其信息基礎(chǔ)設(shè)施實施保護(hù),如保護(hù)其本地計算機(jī)環(huán)境不受入侵。一次成功的入侵可能會導(dǎo)致對于可用性、完整性或機(jī)密性的損壞。符合該要求的目標(biāo)包括:確信對物理和邏輯區(qū)域進(jìn)行充分保護(hù);針對變化性的威脅采用動態(tài)抑制服務(wù);確信在被保護(hù)區(qū)域內(nèi)的系統(tǒng)與網(wǎng)絡(luò)保持其可接受的可用性,并且不會被不適宜地泄露;為區(qū)域內(nèi)由于技術(shù)或配置問題無法自行實施保護(hù)的系統(tǒng)提供邊界保護(hù);提供風(fēng)險管理辦法,有選擇地允許重要信息跨界區(qū)域邊界流動;對被保護(hù)區(qū)域內(nèi)的系統(tǒng)和數(shù)據(jù)進(jìn)行保護(hù),使之免受外部系統(tǒng)或攻擊的破壞;針對用戶向區(qū)域之外發(fā)送或接受區(qū)域之外的信息提供強(qiáng)認(rèn)證以及經(jīng)認(rèn)證的訪問控制。
3)保護(hù)網(wǎng)絡(luò)及基礎(chǔ)設(shè)施
為維護(hù)信息服務(wù),并對公共的、私人的或保密的信息進(jìn)行保護(hù),避免無意中泄露或更改這些信息,機(jī)構(gòu)必須保護(hù)其網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。符合該要求的目標(biāo)保護(hù):保證整個廣域網(wǎng)上交換的數(shù)據(jù)不會泄露給任何未授權(quán)的網(wǎng)絡(luò)訪問者;保證廣域網(wǎng)支持關(guān)鍵任務(wù)和支持?jǐn)?shù)據(jù)任務(wù),防止受到拒絕服務(wù)攻擊;防止受到保護(hù)的信息在發(fā)送過程中的時延、誤傳和未發(fā)送;保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施控制信息;確信保護(hù)機(jī)制不受那些存在于其他授權(quán)樞紐或區(qū)域網(wǎng)絡(luò)之間的各種無縫操作的干擾。
4)保護(hù)支撐性基礎(chǔ)設(shè)施
支撐性基礎(chǔ)設(shè)施是實現(xiàn)縱深防御的另一技術(shù)層面。它可為縱深防御策略提供密鑰管理、檢測和響應(yīng)功能。所要求的能夠進(jìn)行檢測和響應(yīng)的支撐性基礎(chǔ)設(shè)施組件包括入侵檢測系統(tǒng) 和審計配置系統(tǒng)。符合該要求的目標(biāo)如下:提供支持密鑰、優(yōu)先權(quán)與證書管理的密碼基礎(chǔ)設(shè)施,并能夠識別使用網(wǎng)絡(luò)服務(wù)的個人;能夠?qū)θ肭趾推渌`規(guī)事件進(jìn)行快速檢測和響應(yīng);執(zhí)行計劃并報告連續(xù)性與重建方面的要求。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!