信息保障技術框架 是由美國國家安全局指定的描述信息保障的指導性文件。我國在2002年將IATF3.0版引進國內後,IATF開始對我國信息安全工作的發展和信息安全保證體系的建設起到重要的參考和指導作用。
IATF提出的信息保障的核心思想是縱深防禦戰略。所謂縱深防禦戰略,就是採用多層次的、縱深的安全措施來保障用戶信息及信息系統的安全。在縱深防禦戰略中,人員、技術和操作是核心因素。要保障信息及信息系統的安全,三者缺一不可。
IATF提出了3個核心要素:人員、技術和操作。儘管IATF的重點是討論技術因素,但是它也提出了“人員”這一要素的重要性。人即管理,管理在信息安全保障體系建設中同樣起着十分關鍵的作用。可以說,技術是安全的基礎,管理是安全的靈魂。因此,應當在重視安全技術應用的同時加強安全管理。
在這個戰略的3個主要層面中,IATF強調技術並提供一個框架以進行多層保護,以此來防範面向信息系統的威脅。該方法使能夠攻破一層或一類保護的***行爲無法破壞整個信息基礎設施。
IATF將信息系統的信息保障技術層面劃分成了4個技術框架焦點域:本地計算環境、區域邊界、網絡及基礎設施、支撐性基礎設施。在每個焦點域範圍內,IATF都描繪了其特有的安全需求和相應的可供選擇的技術措施。
1)保護本地計算環境
用戶需要保護內部系統應用和服務器,這包括在系統高端環境中,多種現有和新出現的應用從分利用識別與認證訪問控制、機密性、數據完整性和不可否認性等安全服務。爲滿足上述要求應實現下列安全目標:確保對客戶機、服務器和應用實施重分的保護,已防止拒絕服務、數據未授權泄露和數據更改;無論客戶機、服務器或應用位於某區域之內或之外,都必須確保由其所處理的數據具有機密性和完整性;防止未授權使用客戶機、服務器或應用的情況;保障客戶機和服務器遵守安全配置指南並正確安裝了所有補丁;對所有的客戶機與服務器的配置管理進行維護,跟蹤補丁和系統配置更改信息;對於內部和外部的受信任人員對系統從事違規和***活動具有足夠的防範能力。
2)保護區域邊界
爲了從專業或公共網絡上獲得信息和服務許多組織通過其信息基礎設施與這些網絡連接。一次,這些組織必須對其信息基礎設施實施保護,如保護其本地計算機環境不受***。一次成功的***可能會導致對於可用性、完整性或機密性的損壞。符合該要求的目標包括:確信對物理和邏輯區域進行充分保護;針對變化性的威脅採用動態抑制服務;確信在被保護區域內的系統與網絡保持其可接受的可用性,並且不會被不適宜地泄露;爲區域內由於技術或配置問題無法自行實施保護的系統提供邊界保護;提供風險管理辦法,有選擇地允許重要信息跨界區域邊界流動;對被保護區域內的系統和數據進行保護,使之免受外部系統或***的破壞;針對用戶向區域之外發送或接受區域之外的信息提供強認證以及經認證的訪問控制。
3)保護網絡及基礎設施
爲維護信息服務,並對公共的、私人的或保密的信息進行保護,避免無意中泄露或更改這些信息,機構必須保護其網絡和基礎設施。符合該要求的目標保護:保證整個廣域網上交換的數據不會泄露給任何未授權的網絡訪問者;保證廣域網支持關鍵任務和支持數據任務,防止受到拒絕服務***;防止受到保護的信息在發送過程中的時延、誤傳和未發送;保護網絡基礎設施控制信息;確信保護機制不受那些存在於其他授權樞紐或區域網絡之間的各種無縫操作的干擾。
4)保護支撐性基礎設施
支撐性基礎設施是實現縱深防禦的另一技術層面。它可爲縱深防禦策略提供密鑰管理、檢測和響應功能。所要求的能夠進行檢測和響應的支撐性基礎設施組件包括***檢測系統 和審計配置系統。符合該要求的目標如下:提供支持密鑰、優先權與證書管理的密碼基礎設施,並能夠識別使用網絡服務的個人;能夠對***和其他違規事件進行快速檢測和響應;執行計劃並報告連續性與重建方面的要求。