信息保障技术框架IATF

１．信息系统:处理、存储和传输信息的系统。

２.为什么需要信息保障：信息系统在人们的生产、生活中发挥着日益重要的作用；信息系统存在根本安全缺陷；安全形势日益恶化

３.信息保障的内涵：是指采用可提供可用性、完整性、认证、机密性和不可否认性安全服务的应用程序来保护信息和信息系统。除了保护机制外，还应该提供攻击检测工具和程序，以使信息系统能够快速响应攻击，并从攻击中恢复。

基本概念和术语：

Information Infrastructure:信息基础设

施 Categorizing Information:分类信息Boundary：边界

IATF area：信息保障框架域４.IATF将信息系统的信息保

障技术层面分为四部分：

本地计算环境、飞地边界、网络和基础设施、支撑性基础设施

飞地：指的是通过局域网相互连接、采用单一安全策略，并且不考虑物理位置的本地计算设备

飞地边界：是信息进入或离开飞地或机构的点。

支撑性基础设施以安全管理和提供安全服务为目的。

支撑性基础设施为以下各方提供服务：网络；终端用户工作站；Web、应用和文件服务器。５.IATF所讨论的两个范围分

别是：密钥管理基础设施（KMI/PKI）；检测与响应基础设施。

６.纵深防御原则：优先原则，建议纵深防御战略附带着若干IA 的原则

优先原则：三个要素：人，技术，运行

纵深防御策略中涉及人员：政策和程序，物理安全，培训和意识，人员安全，系统安全管理，设备对策

纵深防御战略中某些技术领域：IA体系结构，IA准则，已经评估产品的获取/集成，系统风险评估

纵深防御战略有关的运行领域：安全策略，认证和认可，安全管理，备用评估，ASW&R，恢复&重新构造

纵深防御战略附带若干IA的原则：多处设防，分层保卫，安全的坚固性，配备PKI/KMI，配备入侵检测系统

１.系统工程：组织管理系统规划、研究、制造、实验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法。研究重点：方法论，一门解决问题的应用技术

２.系统安全工程：系统工程的子集。一门解决安全问题的应用技术。

主要目标：１.获得对企业安全风险的理解；２.根据已识别的安全风险建立一组平衡的安全需求；３.将安全需求转换成安全的指导原则，这些安全指导原则将被综合到项目实施中的其他科目活动和系统配置或运行的定义中；４.通过正确有效的安全机制建立保证；５.判断系统中和系统运行时残留的安全风险对运行的影响是否可容忍；６.将所有科目和专业活动集成为一个具有共识的系统安全可信性工程。

３.ISSE：系统安全工程的子集，一门信息系统安全问题的应用技术。

４.三个避免无效工作的原理１.始终保持问题和解决问题的空间是分离的；

问题是我们希望系统做什么？

解决问题的方案是系统要做我

们希望它做的事情。当我们把

注意力集中到解决方案时，很

容易失去问题的视野。从而导

致解决了错误问题和建立了错

误系统。正如我们已经注意到

的那样，没有比解决错误问题

和建立错误系统更无效了。

２.通过客户的任务和业务需

求来确定问题空间；

通常客户都是以技术观点和他

们对问题解决的观点来和工程

师谈话，而不是从谈问题的角

度来谈问题。系统工程师和信

息系统安全工程师必须不考虑

这些观点并发掘客户已经理解

的问题。如果用户的要求不是

基于客户的任务或业务需求，

那么，产生的系统解决方案不

可能响应这些需求。再次，这

将导致建立错误系统并且说明

什么也没有比解决错误问题和

建立错误系统更无效的了。

３.系统工程师和信息系统安

全工程师确定解决问题空间，

它们是从问题空间推导出来

的；

系统工程师不是客户是系统解

决方案的专家。如果客户是设

计专家，那么就不必要雇佣系

统工程师了。想要干涉设计过

程的客户有可能对解决方案增

加一些限制并限制了

在开发支持任务或业务目标并

满足用户要求的系统时系统工

程师的灵活性。概括的讲，客

户拥有问题。这就是客户的任

务或业务，也就是预期要支持

的系统。但是，用户并不总是

发掘和文挡化的专家。工程师

们要帮助客户发掘和文挡化问

题。同时，系统工程师，并不

是客户是设计解决问题方案的

专家。系统工程师和信息系统

工程师要阻止客户干预设计的

倾向。

３.３.ISSE过程：发掘信息保护

需求、确定系统安全要求、设

计系统安全体系结构、开发详

细安全设计、实现系统安全、

评估信息保护的有效性

４.１.１潜在对手：潜在对手分

类：恶意对手、非恶意对手

恶意对手：国家、黑客、恐怖

分子、犯罪组织、其它犯罪团

体、国际舆论、产业竞争者、

不满的员工

非恶意对手：粗心的或缺乏训

练的员工

４.１.２主要目标三个类别：未

授权存取、未授权修改、拒绝

访问信息

４.１.３动机

下面给出对手为何刺探特定目

标的通常动机：

１.获取机密或敏感数据的访问

权（注意：那些对某些人或组

织有很高价值的信息对别人可

能毫无用处）；

２.跟踪或监视目标系统的运

行（跟踪分析）；

３.扰乱目标的运行；

４.窃取钱财或服务；

５.免费使用资源（例如，计算

机资源或免费使用网络）；

６.使目标陷入窘境；

７.克服击溃安全机制的技术

挑战。

对攻击一个信息系统时对手面

临一定风险，对手愿意接受的

风险级别取决于对手的动机。

风险因素包括：

１.揭露对手的能力以进行其

它类型的攻击；

２.触发可能阻止进一步成功

攻击的防范机制，特别当攻击

获利很大时；

３.遭受惩罚（如罚款、入狱和

处于窘境等）；

４.危及生命安全；

１、被动攻击：被动监视公共

媒体上的信息传递。对策：使

用VPN加密保护网路，使用加保

护的分布式网络

２、主动攻击：避开或破坏安

全部件, 引入恶意代码,破坏

数据或系统完整性。对策：增

强区域边界保护、基于网络管

理交互身份认证的访问控制、

受保护远程访问、质量安全管

理、自动病毒检测工具、审计

和入侵检测。

３、临近攻击：一个未授权的

个人近距离物理接触网络、系

统或设备，以修改、收集信息

或者拒绝对信息的访问。这种

接近可以通过秘密进入、公开

访问或者两者结合。对策：配

置监控器，物理安全

４、内部人员攻击由在信息安

全处理系统物理边界内的合法

人员或者能够直接访问信息安

全处理系统的人员发起的攻

击。对策：安全意识和训练；

审计和入侵检测；安全策略和

增强安全性；关键数据、服务

和局域网的特殊的访问控制在

计算机和网络元素中的信任技

术；一个强的身份识别与认证

能力

5、分发攻击：硬件或软件在生

产与安装过程中，或者在运输

过程中，被恶意地修改。对策：

在工厂，可以通过加强处理配

置控制将这类威胁降低到最

低。通过使用受控分发，或使

用由最终用户检验的签名软件

和存取控制可以解除分发威胁

４.２主要安全服务：访问控

制、保密性、完整性、可用性

和不可否认性

４.２.１访问控制定义：在网

络安全环境中，访问控制意味

着限制对网络资源和数据的访

问。目标：阻止未授权使用资

源，阻止未授权公开或修改数

据

３.组成：访问控制的要求可分

为以下几类：I&A标识与认证，

授权，决策，执行

身份认证机制可以分为简单认

证和基于加密的认证。

简单认证：包括基于身份的认

证，并通过要求试图访问的实

体回答只有它自己才知道的信

息来认证其身份。简单认证的

另一个例子是基于地址的认

证，这种机制公通过通令双方

的网络地址来认证身份

基于加密的认证：基于加密的

机制依靠一定协议下的数据加

密处理。通令双方共享一个密

钥，该密钥用来在挑战－应答

协议中处理或加密信息交换。

其他加密机制仅依赖于公开密

钥加密，或者依靠在公开密钥

和由公开密钥证书提供的身份

之间的绑定。

所有基于加密的机制

地强度部分依赖于加密算法的

强度，部分依赖于通信协议的

安全，还在很大程度上依赖于

密钥保护

４.３强健性策略

１.强健性：是安全机制的强度

和保险程度的级别。

２.强健性策略：强健性策略描

述了一个方法：需要受保护信

息的价值和系统威胁程度的基

础上怎样确定强健性的推荐级

别。将安全服务分解成多个支

持机制并确定相应的强度级别

３.确定强健性级别：机制强度

级别SML，评估保障级别EAL，

要保护的信息价值，所感知的

威胁环境

４.确定信息价值：由违反信息

保护策略可能造成的结果确定

五个等级：V1：保护策略的违

犯造成的结果可以忽略；V2：

保护策略的违犯会对安全、保

险、金融状况、下级组织造成

不良影响和/或小的破坏；V3：

保护策略的违犯会产生一定的

破坏；V4：保护策略的违犯会

造成严重的破坏；V5：保护策

略的违犯会造成异常严重的破

坏。

５.确定威胁级别：由对手的技

术水平，可用的资源，承担的

风险确定

七个等级：T1：无意的或意外

的事件；T2：被动的、无意识

的占有很少资源并且愿意冒少

许风险的对手；T3：占有少许

资源但是愿意冒大风险的对

手；T4：占有中等程度资源的

熟练的对手，愿意冒少许的风

险；

T5：占有中等程度资源的熟练

的对手，愿意冒较大的风险；

T6：占有丰富程度资源的特别

熟练的对手，愿意冒少许的风

险；T7：占有丰富程度资源的

特别熟练的对手，愿意冒较大

的风险。

６.确定强健性级别：强健性级

别定义为安全机制的强度和保

险度级别。强度是破坏该机制

所需付出努力的一个相对度

量，并不一定与实现这种机制

所需的成本相关。当所有因素

相同时，应该选择高强度的机

制。

７.安全机制的强度（三个等

级）SML1：基本强度，可以抵

抗不复杂的威胁，能够保护低

价值的数据。SML2 是中等强

度，可以抵抗复杂的威胁（T4

到T5），能够保护中等价值的

数据。SML3 是高强度，可以抵

抗来自单一民族国家的威胁

（T6到T7），能够保护高价值

的数据。

产品的安全性：产品提供的安

全功能，安全功能的可信度。

同样的安全功能，可以有不同

的可信度

８.安全保障级别：安全保障是

对声明的信任的度量，使人确

信信息系统的体系结构和安全

特性已恰当仲裁，并执行了安

全策略。

7个级：EAL1功能测试，适用于

要求正确操作而安全威胁认为

并不严重的情况；EAL2 结构测

试，适用于要求中低级的独立

保障的安全性的情况；EAL3 系

统地测试和检查，适用于要求

中级的独立保障的安全性的情

况；EAL4系统地设计、测试和

复查。适用于要求中级或高级

独立保障的安全性的情况；

EAL5半形式化设计和测试，适

用于在开发计划中要求高级独

立保障的安全性和严密开发实

现的情况；EAL6半形式化验证

和测试，适用于开发用于高风

险环境的安全产品的情况；

EAL7形式化验证和测试，适用

于开发用于极高风险环境的产

品或高额资产高额花费的情况

９.等级保护：国家对信息系统

实行五级保护；实行信息安全

等级保护制度，重点保护基础

信息网络和重要信息系统。

五章保护网络和基础设施

１.网络支持三种不同数据流：

用户通信流，控制通信流，管

理通信流

２.用户通信流：用户在网上传

输的信息

３.控制通信流：建立用户连接

所必备的网络组件之间传送的

信息；路由信息。

４.管理通信流：配置网络组件

的任意信息；起源于一个网络

组件的信息，向网络基础设施

表明网络组件状态的信息；简

单的网络管理协议（SNMP）信

息。

５.１骨干网（BN）的可用性

５.１.１目标环境

１.我国骨干网的定义：将城域

网连接起来的网。是国家批准

的可以直接和国外连接的互联

网

２.骨干网的特点：高速；流量

大；范围广；与接入网相对应。

３.骨干网内部与骨干网外部：

内部：网络传输设备；网络管

理中心（NMC）

NMC：与网络传输设备不同，NMC

实现远程对骨干传输设备的管

理、参数配置和实时监控；NMC

持续运行,支持网管员的远程

操作；网管员对NMC的远程操作

与客户远程访问服务器，运行、

安全机制类似，C/S模式

根本不同: 网管员位于BN内部,

远程用户位于BN外部

４.骨干网模型的九个主要方

面：

１.网络间的通信：用户流；控

制流２.设备间的通信：BN要求

设备间控制流的持续信息交

互，以提供连通性３.设备管理

与维护：配置和参数调整，以

维护BN中单个设备以及网络管

理流的传输。４.用户数据接

口：用户数据进入和离BN的通

道；阻止通过用户对BN的攻击

５.网管员与NMC的远程通信：

网管员使用设备的物理安全；

与NMC连接的安全性。６.NMC对

设备间通信：要求保证NMC与设

备间通信的连通性；防止，网

络管理数据的暴露。７.NMC飞

地：网络管理对于BN的可用性

是非常重要的，管理数据应该

与用户数据隔离；需要对NMC中

的设备和数据进行保护。８.厂

商的服务：产品安装、更新与

维护；需要确保厂商所提供服

务的合法性。９.厂商的设计与

制造：涉及到产品开发到分发

的整个制造过程；在整个过程

中，都应该考虑到安全。如产

品设计、实现、分发中的安全

性。

１.功能要求：骨干网必须提供

经过协议的响应级别、服务的

连续性、抵制通信服务的意外

和故意中断；骨干网必须保证

充分保护的信息不拖延、误传

递或不传递；作为端到端的信

息传输系统，骨干网提供的服

务对用户透明；作为透明需求

的一部分，骨干网和其他骨干

网或当地网络必须无缝连接。

２.安全要求

访问控制：访问控制必须能够

区分用户对数据传输的访问和

管理员对网络管理与控制的访

问。访问控制必须限制对网络

管理中心的访问。

认证：网络设备必须能认证从

其他网络设备所有通信的来

源，比如路由信息。网络设备

必须认证从网络管理人收集的

所有需求。网络管理系统必须

在同意访问之前能认证网络管

理人员。网络管理中心须认证

从外网进入网络管理中心的所

有通信源。网络管理中心必须

认证制造商提供的材料和软件

的来源。在所拨号用户进入网

络管理中心之前，网络管理中

心必须认证它们。

可用性：硬件和软件对用户必

须是可用的。服务商必须提供

用户高层次的系统可用性。

机密性：必须保护主要构件的

机密性。网络管理系统必须提

供路由信息、打信号信息、提

供通信流安全的网络管理信息

传输的保密性。

完整性：必须保护网络设备之

间通信的完整性；必须保护网

络设备的硬件和软件的完整

性；必须保护网络设备和网络

管理中心之间的完整性；必须

保护制造商提供的硬件和软件的完整性；必须保护拨号与网络管理中心之间的通信；

不可否认性：网络职员不必能够拒绝设备参数的变化；制造商不必拒绝制造商提供或开发的硬件或软件。

３.互操作性需求骨干网必须

能够安全地与其它的骨干网和当地的用户环境互操作。这种需求包括网络管理信息和路由信息的安全交换。

１.潜在的威胁：损耗可用带宽、破坏网络管理和控制通信、网络基础设施失去控制

５.１.４技术评估

１.IP网络中一些关键技术的

安全评估：DNS，ICMP，路由协议，DHCP协议，网络管理

２.域名服务DNS: 域名转换为IP地址

安全要求:依赖于本地或区域

服务器上信息的正确性；DNS完整性对于建立正确的连接是相当重要的；DNS上的信息和查询都不允许未经授权的用户的修改；不可能在域名服务器上实现访问控制

４.路由信息对于网络的可用

性来说,确保路由信息的正确

性和路由表免受攻击是相当关键的（防范措施）：路由器之间的更新信息必须使用完整性机制；路由表必须防止非授权的用户的非法修改；确保非授权路由信息不能写入路由表５.bootp协议（引导协议）

/DHCP协议（动态主机控制协议）DHCP是对bootp协议的扩充作用：分配IP地址，并提供启动计算机的其它信息

提供的信息包括:域名服

务器，默认的路由地址，默认的域名，以及客户机的IP地址。

BOOTP和DHCP消息保护的

重点是:权限认证机制和完整

性

６.网络管理：IP设备必须配置正确, 必须抵制损害网络资源的恶意或无意行为,以提供网

络服务

多种管理方式：

?内部(inband)：网络管理人员利用与普通用户相同的通信信道访问网络设备，如常用的SNMP，TELNET和HTTP管理

?以太网端口：网管人员利用以太网访问网管中心而不是通过普通用户的方式访问，这就需要另外的网络设备来管理整个网络。网管常用的协议是TELNET和HTTP

?本地端口：网络管理人员利用本地端口，如RS-232端口，来访问网络。常用的协议是SNMP， TELNET和HTTP

?调制解调端口：网管人员利用调制解调器远程登录网络，如常用的公众交换网（PSTN）或拨号上网。常用协议有TELNET，HTTP

网管的安全需求：鉴别&认证机制；访问控制；审计；网管人员和设备间通信的完整性

CISP官方信息安全保障章节练习一

精心整理 CISP 信息安全保障章节练习一 一、单选题。(共40题,共100分,每题2.5分) 1.我国信息安全保障工作先后经历了启动、逐步展开和积极推进，以及深化落实三个阶段，以下关于我国信息安全保障各阶段说法不正确的是： a 、2001年，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动 b 、2003年7月，国家信息化领导小组制定出台了《关于加强信息信息安全保障工作的意见》（中办发27号文件），明确了“积极防御、综合防范”的国家信息安全保障工作方针 c 、2003年，中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段 d 2.a c d 3.a d 4.案，关于此a b c 得到 d 5.a 安全技术，管理等方面的标准。 b 、重视信息安全应急处理工作，确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展。 c 、推进信息安全等级保护工作，研究制定了多个有关信息安全等级保护的规范和标准，重点保障了关系国定安全，经济命脉和社会稳定等方面重要信息系统的安全性。 d 、实施了信息安全风险评估工作，探索了风险评估工作的基本规律和方法，检验并修改完善了有关标准，培养和锻炼了人才队伍。 最佳答案是:b 6.信息安全保障是网络时代各国维护国家安全和利益的首要任务，以下哪个国家最早将网络安全上长升为国家安全战略，并制定相关战略计划。

a、中国 b、俄罗斯 c、美国 d、英国 最佳答案是:c 7.下列关于信息系统生命周期中安全需求说法不准确的是： a、明确安全总体方针，确保安全总体方针源自业务期望 b、描述所涉及系统的安全现状，提交明确的安全需求文档 c、向相关组织和领导人宣贯风险评估准则 d、对系统规划中安全实现的可能性进行充分分析和论证 最佳答案是:c 8.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是： a、确保采购定制的设备.软件和其他系统组件满足已定义的安全要求 b、确保整个系统已按照领导要求进行了部署和配置 c d 9. a b c d 10. a b c d 11. a b c d、 12.(NSA)发布，最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中，提出需要防护的三类“焦点区域”是： a、网络和基础设施区域边界重要服务器 b、网络和基础设施区域边界计算环境 c、网络机房环境网络接口计算环境 d、网络机房环境网络接口重要服务器 最佳答案是:b 13.关于信息安全保障的概念，下面说法错误的是： a、信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念 b、信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段 c、在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全

美国信息安全政策法规研究

摘要 本篇论文是从美国的信息安全初期的产生过程和几任总统所做出的战略策划,从头来研究这些战略的成长过程,,从法规和组织机构及人才培养的方面进行讨论,还介绍了国家信息的保障体系,从对美国信息安全的认识和了解,并对他的战略意图进行更深的认识来促 进和改善我们国家的体系和战略。 关键字:信息安全信息安全战略体系结构组织机构 Abstract This paper is the beginning of information security from the United States the production process and the president made several strategic planning from the beginning to study the growth process of these strategies, from the regulatory agencies and personnel training and organizational aspects of the discussion, also introduced National information security system, from the United States, awareness and understanding of information security, and his deeper understanding of the strategic intent to promote and improve our country's systems and strategies. Keywords: Information Security，Information security legislation Architecture Organizations

大数据时代美国的隐私权保护

2014年5月，美国总统执行办公室（Executive Office of the President）发布2014年全球”大数据”白皮书–《大数据：把握机遇，守护价值》（BigData：Seize Opportunities,Preserving Values）（以下简称《白皮书》），对美国大数据应用与管理的现状、政策框架和改进建议进行了集中阐述。从《白皮书》所代表的价值判断来看，美国政府更为看重大数据为经济社会发展所带来的创新动力，对于可能与隐私权产生的冲突，则以解决问题的态度来处理。从具体措施来看，《白皮书》援引美国总统科学和技术顾问委员会（以下简称”PCAST”）独立报告《大数据与个人隐私：一种技术的视角》一文提出，原有的”‘告知与同意’框架已经被大数据所带来的正面效益打败了”，应当根据大数据的时代特点予以调整。 一、《白皮书》出台的背景 大数据技术发展与隐私权保护的价值争议由来已久，在国际范围内主要体现为美国与欧盟政策取向的差异。在欧盟，个人数据被认为更具保护价值，因此欧盟及其成员国有着严格的个人数据保护立法。个人数据保护的主要执行机构包括：欧洲法院，是包括数据保护法在内的欧盟法律的最终裁决者；欧盟数据保护专员（EDPS），监督欧盟机构遵守数据保护法，同时对于欧盟层面数据保护政策的制定有着重大影响；第29条工作组，《欧盟数据保护指令》第29条规定：建立一个”在个人数据处理中保护个人的工作组”，一般称之为”第29条工作组”；第31条委员会，由欧盟成员国政府的代表组成；其他机构，如欧洲网络与信息安全局（ENISA）。 欧盟对侵犯个人数据的行为处罚措施十分严格，包括禁令救济，对公司工作场所和数据处理设施的稽查和调查，数额巨大的罚款，以及对于特大违法行为的刑事责任处罚等。除此之外，欧盟数据保护机构还会对侵犯个人数据的公司予以曝光，以增大惩戒力度。近年来，欧盟官方认为美国谷歌公司、苹果公司等搜索引擎与移动设备服务供应商通过提供服务非法获取、侵犯公民个人数据，曾多次表态要加强对有关企业的监管。而谷歌、苹果等企业也在对欧盟立法机构开展游说公关，以减轻可能面临的执法压力。 与之相对的，美国政府在大数据技术与隐私权保护之间更倾向于利用大数据技术促进经济社会发展，以保持美国在相关领域的领先地位。与此同时，美国政府希望以改良的政策框架与法律规则来解决隐私权保护的问题。由于大数据技术的发展运用将对隐私权保护构成严峻挑战，因此，越是希望鼓励大数据技术更广泛更科学的运用，越是应该通过政策、法律与技术加强公民隐私权利保护。正如《白皮书》指出，”大数据正改变世界，但它并没有改变美国人对于保护个人隐私、确保公平或是防止歧视的坚定信仰。”在此背景下，美国政府出台了《白皮书》及其他系列文件，系统阐述了美国政府大数据战略，并以政策与相关法案构建了其隐私权保护的基本框架。 二、”大数据时代” 对于”大数据”，《白皮书》并没有给出严格定义，而是指出其内涵将随着技术和产业的创新而不断发生变化。作为参考，其他定义都反映了不断增长的捕

信息安全保障概述

第一章信息安全保障概述 1.信息安全的基本属性：完整性、机密性、可用性、可控制性、不可否认性 2.信息安全保障体系框架 生命周期：规划组织、开发采购、实施交付、运行维护、废弃 保障要素：技术、管理、工程、人员 安全特征：保密性、完整性、可用性 3.信息系统安全模型P2DR安全模型：策略、防护、检测、响应 4．信息保障技术框架IATF 核心思想是纵深防御战略 三个主要核心要素：人、技术和操作。 四个技术框架焦点区域:保护本地计算机环境、保护区域边界、保护网络及基础设施、保护 支撑性基础设施 5.信息安全保障工作内容：确定安全需求、设计和实施安全方案、进行信息安全评测、实施 信息安全监控 第二章信息安全基础技术与原理 密码技术、认证技术、访问控制技术、审计和监控技术 A、密码技术 明文、密文、加密、解密 信息空间M、密文空间C、密钥空间K、加密算法E、解密算法 D 加密密钥、解密密钥 密码体系分为对称密钥体系、非对称密钥体系 对称密钥体系 1 对称密钥优点：加解密处理速度快和保密度高。 缺点：密钥管理和分发负责、代价高，数字签名困难 2．对称密钥体系分类：分组（块）密码（DES/IDEA/AES）和序列密码(RC4/SEAL) 3.传统的加密方法：代换法、置换法 5、攻击密码体系的方法：穷举攻击法（128位以上不再有效）和密码分析法 6.针对加密系统的密码分析攻击类型分为以下四种： ①惟密文攻击在惟密文攻击中，密码分析者知道密码算法，但仅能根据截获的 密文进行分析，以得出明文或密钥。由于密码分析者所能利用的数据资源仅为密文， 这是对密码分析者最不利的情况。 ②已知明文攻击已知明文攻击是指密码分析者除了有截获的密文外，还有一些已知的“明文—密文对”来破译密码。密码分析者的任务目标是推出用来加密的密钥或 某种算法，这种算法可以对用该密钥加密的任何新的消息进行解密。 ③选择明文攻击选择明文攻击是指密码分析者不仅可得到一些“明文—密文 对”，还可以选择被加密的明文，并获得相应的密文。这时密码分析者能够选择特定

信息安全保障评价指标体系的研究

1、前言 为了更好地保障我国的信息安全，中央办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)。27号文明确了加强信息安全保障工作的总体要求和主要原则，对加强信息安全保障工作做出了全面部署，提出了5年内建成国家信息安全保障体系IA(Information Assurance)的构想。目前，关系国家安全、经济命脉和社会稳定等方面的3大基础信息网络(电信网络、广电网络和互联蜘络)和8个重要信息系统行业(金融、电信、证券、保险、民航、铁路、税收和海关)的信息安全保障系统逐渐建成，并投入使用。 信息化是信息技术系统与社会系统相互作用、紧密耦合，且有大量人的行为参与其中的综合发展进程。然而安全因素和系统因素相互制约，使得信息安全具有很大的综合性、复杂性和不确定性。同时，信息安全保障会伴随信息化的发展而不断变化。为了保证国家基础网络设施和重要信息系统等关键部门所建设的信息安全保障体系的长效机制，迫切需要针对不同重要行业、业务系统研究建立科学的、可度量的，可操作的信息安令保障评价指标体系(Indicator)，对其信息安全保障的整体状态进行科学的、客观的评价与描述，从而确定所建设的信息安全保障体系的保障水平、保障实效和保障周期等问题。闪此。信息安全保障评价指标体系就是用一组科学的、可度量的指标作对信息安全保障系统的保障功能、保障效果和保障周期进行综合的考核和评价。 2、相关工作 现有的安全评估方式可以大致归结为4类：安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSECMM(Systems Security Engineering Capability Maturity Model)等。大部分通用的信息安全标准，如ISO17799，ISO13335等，其核心思想都是基于风险的安全理念。信息技术先进的国家，例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。特别是美国，利用卡内基梅隆大学系统安全工程能力成熟度模型SSECMM较早地建立了信息安全保障评价指标体系。Rayford B.Vaughn和Nabil Seddigh等人研究了信息安全保障评价的概念和范畴，给出了信息安全保障评价的框架。在国内，国家信息中心研究了网络

如何有效构建信息安全保障体系

如何有效构建信息安全保障体系随着信息化的发展，政府或企业对信息资源的依赖程度越来越大，没有各种信息系统的支持，很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱更容易受到损害，更应该加以妥善保护。而目前，随着互联网和网络技术的发展，对于政府或企业的信息系统来讲，更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系，来有效的保障信息系统的全面安全。于是，信息安全保障体系应运而生，其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设，让政府或企业的信息系统面临的风险能够达到一个可以控制的标准，进一步保障信息系统的运行效率。 通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。 构建第一步确定信息安全管理体系建设具体目标 信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分，通过信息安全治理来达到具体的建设目标。 信息安全的组织体系：是指为了在某个组织内部为了完

成信息安全的方针和目标而组成的特定的组织结构，其中包括：决策、管理、执行和监管机构四部分组成。 信息安全的策略体系：是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次： 第一层策略总纲 策略总纲是该团体组织内信息安全方面的基本制度，是组织内任何部门和人不能违反的，说明了信息安全工作的总体要求。 第二层技术指南和管理规定 遵循策略总纲的原则，结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分： 技术指南：从技术角度提出要求和方法; 管理规定：侧重组织和管理，明确职责和要求，并提供考核依据。 第三层操作手册、工作细则、实施流程 遵循策略总纲的原则和技术指南和管理规定，结合实际工作，针对具体系统，对第二层的技术指南和管理规定进行细化，形成可指导和规范具体工作的操作手册及工作流程，保证安全工作的制度化、日常化。 构建第二步确定适合的信息安全建设方法论

IATF信息保障技术框架

I A T F信息保障技术框架 Revised final draft November 26, 2020

IATF，《信息保障技术框架》（IATF：InformationAssurance['urns]TechnicalFramework)是美国国家安全局（NSA）NationalSecurityAgency制定的，描述其信息保障的指导性文件。在我国国家973“信息与网络安全体系研究”课题组在2002年将IATF3.0版引进国内后，IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。A s s u r a n c e n.保证,确信,肯定,自信,(人寿)保险 一、IATF概述 1．IATF形成背景 建立IATF主要是美国军方需求的推动。上世纪四五十年代，计算机开始在军事中应用，六七十年代网络化开始发展，这些发展都对信息安全保障提出了要求。从1995年开始，美国国防高级研究计划局和信息技术办公室（DARPA/ITO）就开始了对长期研发投资战略的探索，以开展信息系统生存力技术的研究。1998年1月，国防部（DoD）副部长批准成立了DIAP （国防范畴内信息保障项目），从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。DIAP形成了国防部IA项目的核心部分。 除了军事机构外，随着社会的发展，各种信息系统已经成为支持整个社会运行的关键基础设施，而且信息化涉及的资产也越来越多，由此产生的各种风险和漏洞也随之增多，而且现有的技术无法完全根除。面对这些威胁，人们越来越深刻地认识到信息安全保障的必要性。在这个背景下，从1998年开始，美国国家安全局历经数年完成了《信息保障技术框架》这部对信息保障系统的建设有重要指导意义的重要文献。 2．IATF发展历程 IATF的前身是《网络安全框架》（NSF），NSF的最早版本（0.1和0.2版）对崭新的网络安全挑战提供了初始的观察和指南。1998年5月，出版了NSF1.0版，对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容。1998年10月，又推出了NSF1.1版。 到了1999年8月31日，NSA出版了IATF2.0，此时正式将NSF更名为《信息保障技术框架》。IATF2.0版将安全解决方案框架划分为4个纵深防御焦点域：保护网络和基础设施、保护区域边界、保护计算环境以及支撑性基础设施。1999年9月22日推出的IATF2.0.1版本的变更主要以格式和图形的变化为主，在内容上并无很大的变动。2000年9月出版的IATF3.0版通过将IATF的表现形式和内容通用化，使IATF扩展出了DoD的范围。2002年9月出版了最新的IATF3.1版本，扩展了“纵深防御”，强调了信息保障战略，并补充了语音网络安全方面的内容。IATF4.0目前正在编制之中。 随着社会对信息安全认识的日益加深，以及信息技术的不断进步，IATF必定会不断发展，内容的深度和广度也将继续得到强化。 3．IATF的焦点框架区域划分 IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域：网络和基础设施，区域边界、计算环境和支撑性基础设施。在每个焦点领域范围内，IATF都描述了其特有的安全需求和相应的可供选择的技术措施。IATF提出这四个框架域，目的就是让人们理解网络安全的不同方面，以全面分析信息系统的安全需求，考虑恰当的安全防御机制。 二、IATF与信息安全的关系

IATF信息保障技术框架

IATF《信息保障技术框架》 发展历程 IATF对3个欧洲规范VDA6.1(德国)，VSQ(意大利)，EAQF(法国)和QS-9000(北美)进行了协调，在和ISO9001：2000版标准结合的基础上，在ISO/TC176的的认可下，制定出了ISO/TS16949 :2002 这个规范。2002年3月1日，ISO与IATF公布了国际汽车质量的技术规范ISO/TS16949:2002，这项技术规范适用于整个汽车产业生产零部件与服务件的供应链，包括整车厂，2002年版的ISO/TS16949已经生效，并展开认证工作。在2002年4月24号，福特，通用和克莱斯勒三大汽车制造商在美国密歇根州底特律市召开了新闻发布会，宣布对供应厂商要采取的统一的一个质量体系规范，这个规范就是ISO/TS16949。供应厂商如没有得到ISO/TS16949的认证，也将意味着失去作为一个供应商的资格。目前，法国雪铁龙(Citroen)，标志(Peugeot)，雷诺(Renault)和日本日产(Nissan)汽车制造商已强制要求其供应商通过ISO/TS16949的认证。 编辑本段对中国的影响 IATF，《信息保障技术框架》（IATF：Information Assurance Technical Framework )是美国国家安全局（NSA）制定的，描述其信息保障的指导性文件。在我国国家973“信息与网络安全体系研究”课题组在2002年将IATF3.0版引进国内后，IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。 编辑本段IATF概述 IATF形成背景 建立IATF主要是美国军方需求的推动。上世纪四五十年代，计算机开始在军事中应用，六七十年代网络化开始发展，这些发展都对信息安全保障提出了要求。从1995年开始，美国国防高级研究计划局和信息技术办公室（DARPA/ITO）就开始了对长期研发投资战略的探索，以开展信息系统生存力技术的研究。1998年1月，国防部（DoD）副部长批准成立了DIAP（国防范畴内信息保障项目），从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。DIAP形成了国防部IA项目的核心部分。除了军事机构外，随着社会的发展，各种信息系统已经成为支持整个社会运行的关键基础设施，而且信息化涉及的资产也越来越多，由此产生的各种风险和漏洞也随之增多，而且现有的技术无法完全根除。面对这些威胁，人们越来越深刻地认识到信息安全保障的必要性。在这个背景下，从1998年开始，美国国家安全局历经数年完成了《信息保障技术框架》这部对信息保障系统的建设有重要指导意义的重要文献。 IATF发展历程 IATF的前身是《网络安全框架》（NSF），NSF的最早版本（0.1和0.2版）对崭新的网络安全挑战提供了初始的观察和指南。1998年5月，出版了NSF1.0版，对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容。1998年10月，又推出了NSF1.1版。到了1999年8月31日，NSA出版了IATF2.0，此时正式将NSF更名为《信息保障技术框架》。IATF2.0版将安全解决方案框架划分为4个纵深防御焦点域：保护网络和基础设施、保护区域边界、保护计算环境以及支撑性基础设施。1999年9月22日推出的IATF2.0.1版本的变更主要以格式和图形的变化为主，在内容上并无很大的变动。2000年9月出版的IATF3.0版通过将IATF的表现形式和内容通用化，使IATF扩展出了DoD的范围。2002年9月出版了最新的IATF3.1版本，扩展了“纵深防御”，强调了信息保障战略，并补充了语音网络安全方面的内容。IATF4.0目前正在编制之中。随着社会对信息安全认识的日益加深，以及信息技术的不断进步，IATF必定会不断发展，内容的深度和广度也将继续得到强化。 IATF的焦点框架区域划分

信息安全及其体系建设概述

信息安全及其体系建设概述

目录 1 信息安全的相关概念 (4) 1.1 计算机网络安全 (4) 1.2 信息安全 (4) 2 信息安全技术 (5) 2.1物理安全技术 (5) 2.2系统安全技术 (6) 2.3防火墙技术 (6) 2.3.1 防火墙的作用 (7) 2.3.2 防火墙一般采取的技术措施 (7) 2.4认证技术 (8) 2.4.1 口令认证 (8) 2.4.2 智能卡令牌卡认证 (10) 2.4.3 生物特征认证 (10) 2.4.4数字证书 (10) 2.4.5单点登录（SSO） (12) 2.5 访问控制技术 (12) 2.6数据加密技术 (15) 2.7扫描评估技术 (17) 2.8入侵检测技术 (17) 2.9审计跟踪技术 (19) 2.10病毒防护技术 (20)

1.11备份恢复技术 (22) 1.12 安全管理技术 (23) 3 信息安全体系的建设 (23) 3.1基本概念 (23) 3.2静态防护体系 (24) 3.3 P2DR、PDRR动态安全模型 (26) 3.4信息保障技术框架（IATF） (28) 3.5 信息安全管理体系（ISMS） (30) 4 信息安全的发展趋势 (32) 4.1动态、立体的安全体系框架 (32) 4.2信息安全统一管理平台 (34) 4.3全生命管理的安全系统工程 (35) 4.4无线网络安全与云计算安全 (35) 4 信息安全的相关军用产品 (35) 5 关于“xx网”信息安全保障的思考 (35)

1 信息安全的相关概念 1.1 计算机网络安全 国际标准化组织（ISO ）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。也有人将“计算机安全”定义为：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”该定义着重于动态意义描述。 1.2 信息安全 信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义与计算机网络安全基本一致。 信息安全通常强调所谓 CIA 三 元组的目标，即保密性、完整性和可 用性，如图1-1所示。CIA 概念的阐 述源自信息技术安全评估标准 （Information Technology Security Evaluation Criteria ，ITSEC ），它也是 信息安全的基本要素和安全建设所 应遵循的基本原则。 ● 保密性（Confidentiality ）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 ● 完整性（Integrity ）：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。 ● 可用性（Availability ）： 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。 图1-1 信息安全基本原则

美国信息安全综述(提炼版)

美国信息安全综述 1美国信息安全战略的演变 美国十分重视信息安全，是最早制定和实施信息安全战略的国家，并随着形势的变化不断发展和完善。总的来说美国现行的信息安全战略属于“扩张型”信息安全战略。为实现扩张性战略目标，美国制定了较为系统的信息安全政策法规体系，组建了从国家层面、部委层面到机构层面的信息安全管理机构，在各个层面上力求做到分工合理、各司其职；国防部成立了网络战司令部，积极部署信息战：进行系统的信息安全评估，对信息安全状况、信息安全政策落实情况和信息安全能力评估，并根据评估结果调整和改革信息安全战略。 1．1克林顿政府信息安全战略 克林顿政府任职期间，即20世纪90年代中后期至2l世纪初，美国信息安全战略发展为维护信息的保密性、完整性、可用性、可控性的信息安全战略，并且正式成为国家安全战略的正式组成部分。 1998年美国政府颁发了《保护美国关键基础设施》的总统令(PDD．63)，第一次就美国信息安全战略的完整概念、意义、长期与短期目标等作了说明，对由国防部提出的“信息保障”作了新的解释，并对下一步的信息安全工作做了指示。1998年底美国国家安全局制定了《信息保障技术框架》(IATF)，提出了“深度防御战略”，确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础没施的深度防御目标p】。2000年总统国家安全战略报告的颁布，是美国国家信息安全政策的重大事件。在该报告中，“信息安全”被列

入其中，成为国家安全战略的正式组成部分。这标志着信息安全正式进入国家安全战略的框架，并开始具有其自身的独立地位。此外，在这一时期还成立了多个信息安全保护组织，其中包括全国性的信息保障委员会、全国性的信息保障同盟、首席信息官委员会、关键基础设施保障办公室、联邦计算机事件响应能动组等。 1．2布什政府信息安全战略 由于“9·ll”事件，使信息安全战略地位不断升级。布什政府在任期间，美国把信息安全战略置于国家总体安全战略的核心地位，非常关注贯彻实施信息安全战略措施。 2001年美国发布第13231号行政令《信息时代的关键基础设施保护》，将“总统关键基础设施保护委员会”改为行政实体“总统关键基础没施保护办公室”，作为联邦基础设施安全保护的最高管理协调机构。2003年2月发布砜网络空间的国家战略》，进一步保护国家关键基础设施安全吲。此外布什政府还渊整国家信息安全工作机构，设置直接向总统负责的总统国家安全顾问—职，设立国土安全部、国家保密局信息战处、联合参谋信息战局、信息系统安全中心，同时建立相应的其他配套的工作机构，以保证国家信息安全工作的协调、统一与效率。 1．3奥巴马政府信息安全战略 奥巴马政府虽然刚刚上任不久，不过依旧高度重视信息安全战略，积极推进网络安全评估，试图改变美国信息安全保障不力的情况，开始着手制定新的国家信息安全战略。

关于信息保障(整理)

关于信息保障(整理)

信息保障 一、概念 “信息保障”(information assurance，IA)概念是美国国防部于20世纪90年代率先提出的，后经多次修改、完善，已得到世界范围的广泛认可。就其本质来说，信息保障是一种保证信息和信息系统能够安全运行的防护性行为，是信息安全在当前信息时代的新发展。信息保障的对象是信息以及处理、管理、存储、传输信息的信息系统；目的是采取技术、管理等综合性手段，使信息和信息系统具备机密性、完整性、可用性、可认证性、不可否认性，以及在遭受攻击后的可恢复性。 随着技术的不断发展和认识的不断深入，美军“信息保障”概念的内涵和外延也在实践中不断扩充和延伸，已经从最初的一套简单的纯技术防护措施，发展到现在由“人”、“技术”和“操作”三个范畴共同构成的一个综合体系，包括了政策管理、组织实施、运行使用、基础设施建设等方方面面的内容，成了指导美军构建信息安全体系的重要战略思想。 二、发展演变 信息安全问题始终伴随着信息技术的发展而发展，先后经历了早期的“通信保密”(COMSEC)、“信息系统安全”(1NFOSEC)和目前的“信息保障”三个阶段。 20世纪40、50年代，信息安全以通信保密为主体，要求实现信息的机密性。这一时期的信息安全需求基本来自军政指挥体系方面的“通信保密”要求，主要目的是要使信息即使在被截获的情况下也无法被敌人使用，因此其技术主要体现在加解密设备上。 20世纪60、70年代，随着小规模计算机组成的简单网络系统的出现，网络中多点传输、处理以及存储的保密性、完整性、可用性问题成为关注焦点；计算机之间的信息交互，要求人们必须采取措施在信息存储、处理、传输过程中，保护信息和信息系统不被非法访问或修改，同时不能拒绝合法用户的服务请求，其技术发展主要体现在访问控制上。这时，人们开始将“通信安全”与“计算机安全”合并考虑，“信息系统安全”(INFOSEC)成为研究热点。 进入20世纪90年代，随着网络技术的进一步发展，超大型网络迫使人们必须从整体安全的角度去考虑信息安全问题。网络的开放性、广域性等特征把人们对信息安全的需求，延展到可用性、完整性、真实性、机密性和不可否认性等更全面的范畴。同时，随着网络黑客、病毒等技术层出不穷、变化多端，人们发现任何信息安全技术和手段都存在弱点，传统的“防火墙+补丁”这样的纯

IATF 信息保障技术框架

IATF，《信息保障技术框架》（IATF：Information Assurance[?'?u?r?ns] Technical Framework )是美国国家安全局（NSA）National Security Agency 制定的，描述其信息保障的指导性文件。在我国国家973“信息与网络安全体系研究”课题组在2002年将IATF3.0版引进国内后，IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。Assurance n. 保证,确信,肯定,自信,(人寿)保险 一、IATF概述 1．IATF形成背景 建立IATF主要是美国军方需求的推动。上世纪四五十年代，计算机开始在军事中应用，六七十年代网络化开始发展，这些发展都对信息安全保障提出了要求。从1995年开始，美国国防高级研究计划局和信息技术办公室（DARPA/ITO）就开始了对长期研发投资战略的探索，以开展信息系统生存力技术的研究。1998年1月，国防部（DoD）副部长批准成立了DIA P（国防范畴内信息保障项目），从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。DIAP形成了国防部IA项目的核心部分。 除了军事机构外，随着社会的发展，各种信息系统已经成为支持整个社会运行的关键基础设施，而且信息化涉及的资产也越来越多，由此产生的各种风险和漏洞也随之增多，而且现有的技术无法完全根除。面对这些威胁，人们越来越深刻地认识到信息安全保障的必要性。在这个背景下，从1998年开始，美国国家安全局历经数年完成了《信息保障技术框架》这部对信息保障系统的建设有重要指导意义的重要文献。 2．IATF发展历程 IATF的前身是《网络安全框架》（NSF），NSF的最早版本（0.1和0.2版）对崭新的网络安全挑战提供了初始的观察和指南。1998年5月，出版了NSF1.0版，对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容。1998年10月，又推出了NSF1.1版。 到了1999年8月31日，NSA出版了IATF2.0，此时正式将NSF更名为《信息保障技术框架》。IATF2.0版将安全解决方案框架划分为4个纵深防御焦点域：保护网络和基础设施、保护区域边界、保护计算环境以及支撑性基础设施。1999年9月22日推出的IATF2.0.1版本的变更主要以格式和图形的变化为主，在内容上并无很大的变动。2000年9月出版的IAT F3.0版通过将IATF的表现形式和内容通用化，使IATF扩展出了DoD的范围。2002年9月出版了最新的IATF3.1版本，扩展了“纵深防御”，强调了信息保障战略，并补充了语音网络安全方面的内容。IATF4.0目前正在编制之中。 随着社会对信息安全认识的日益加深，以及信息技术的不断进步，IAT F必定会不断发展，内容的深度和广度也将继续得到强化。

关于信息保障(整理)

信息保障 一、概念 “信息保障”(information assurance，IA)概念是美国国防部于20世纪90年代率先提出的，后经多次修改、完善，已得到世界范围的广泛认可。就其本质来说，信息保障是一种保证信息和信息系统能够安全运行的防护性行为，是信息安全在当前信息时代的新发展。信息保障的对象是信息以及处理、管理、存储、传输信息的信息系统；目的是采取技术、管理等综合性手段，使信息和信息系统具备机密性、完整性、可用性、可认证性、不可否认性，以及在遭受攻击后的可恢复性。 随着技术的不断发展和认识的不断深入，美军“信息保障”概念的内涵和外延也在实践中不断扩充和延伸，已经从最初的一套简单的纯技术防护措施，发展到现在由“人”、“技术”和“操作”三个范畴共同构成的一个综合体系，包括了政策管理、组织实施、运行使用、基础设施建设等方方面面的内容，成了指导美军构建信息安全体系的重要战略思想。 二、发展演变 信息安全问题始终伴随着信息技术的发展而发展，先后经历了早期的“通信保密”(COMSEC)、“信息系统安全”(1NFOSEC)和目前的“信息保障”三个阶段。 20世纪40、50年代，信息安全以通信保密为主体，要求实现信息的机密性。这一时期的信息安全需求基本来自军政指挥体系方面的“通信保密”要求，主要目的是要使信息即使在被截获的情况下也无法被敌人使用，因此其技术主要体现在加解密设备上。 20世纪60、70年代，随着小规模计算机组成的简单网络系统的出现，网络中多点传输、处理以及存储的保密性、完整性、可用性问题成为关注焦点；计算机之间的信息交互，要求人们必须采取措施在信息存储、处理、传输过程中，保护信息和信息系统不被非法访问或修改，同时不能拒绝合法用户的服务请求，其技术发展主要体现在访问控制上。这时，人们开始将“通信安全”与“计算机安全”合并考虑，“信息系统安全”(INFOSEC)成为研究热点。 进入20世纪90年代，随着网络技术的进一步发展，超大型网络迫使人们必须从整体安全的角度去考虑信息安全问题。网络的开放性、广域性等特征把人们对信息安全的需求，延展到可用性、完整性、真实性、机密性和不可否认性等更全面的范畴。同时，随着网络黑客、病毒等技术层出不穷、变化多端，人们发现任何信息安全技术和手段都存在弱点，传统的“防火墙+补丁”这样的纯技术方案无法完全抵御来自各方的威胁，必须寻找一种可持续的保护机制，对信息和信息

信息保障技术框架IATF

１．信息系统:处理、存储和传输信息的系统。 ２.为什么需要信息保障：信息系统在人们的生产、生活中发挥着日益重要的作用；信息系统存在根本安全缺陷；安全形势日益恶化 ３.信息保障的内涵：是指采用可提供可用性、完整性、认证、机密性和不可否认性安全服务的应用程序来保护信息和信息系统。除了保护机制外，还应该提供攻击检测工具和程序，以使信息系统能够快速响应攻击，并从攻击中恢复。 基本概念和术语： Information Infrastructure:信息基础设 施 Categorizing Information:分类信息Boundary：边界 IATF area：信息保障框架域４.IATF将信息系统的信息保 障技术层面分为四部分： 本地计算环境、飞地边界、网络和基础设施、支撑性基础设施 飞地：指的是通过局域网相互连接、采用单一安全策略，并且不考虑物理位置的本地计算设备 飞地边界：是信息进入或离开飞地或机构的点。 支撑性基础设施以安全管理和提供安全服务为目的。 支撑性基础设施为以下各方提供服务：网络；终端用户工作站；Web、应用和文件服务器。５.IATF所讨论的两个范围分 别是：密钥管理基础设施（KMI/PKI）；检测与响应基础设施。 ６.纵深防御原则：优先原则，建议纵深防御战略附带着若干IA 的原则 优先原则：三个要素：人，技术，运行 纵深防御策略中涉及人员：政策和程序，物理安全，培训和意识，人员安全，系统安全管理，设备对策 纵深防御战略中某些技术领域：IA体系结构，IA准则，已经评估产品的获取/集成，系统风险评估 纵深防御战略有关的运行领域：安全策略，认证和认可，安全管理，备用评估，ASW&R，恢复&重新构造 纵深防御战略附带若干IA的原则：多处设防，分层保卫，安全的坚固性，配备PKI/KMI，配备入侵检测系统 １.系统工程：组织管理系统规划、研究、制造、实验、使用的科学方法，是一种对所有系统都具有普遍意义的科学方法。研究重点：方法论，一门解决问题的应用技术 ２.系统安全工程：系统工程的子集。一门解决安全问题的应用技术。 主要目标：１.获得对企业安全风险的理解；２.根据已识别的安全风险建立一组平衡的安全需求；３.将安全需求转换成安全的指导原则，这些安全指导原则将被综合到项目实施中的其他科目活动和系统配置或运行的定义中；４.通过正确有效的安全机制建立保证；５.判断系统中和系统运行时残留的安全风险对运行的影响是否可容忍；６.将所有科目和专业活动集成为一个具有共识的系统安全可信性工程。 ３.ISSE：系统安全工程的子集，一门信息系统安全问题的应用技术。 ４.三个避免无效工作的原理１.始终保持问题和解决问题的空间是分离的； 问题是我们希望系统做什么？ 解决问题的方案是系统要做我 们希望它做的事情。当我们把 注意力集中到解决方案时，很 容易失去问题的视野。从而导 致解决了错误问题和建立了错 误系统。正如我们已经注意到 的那样，没有比解决错误问题 和建立错误系统更无效了。 ２.通过客户的任务和业务需 求来确定问题空间； 通常客户都是以技术观点和他 们对问题解决的观点来和工程 师谈话，而不是从谈问题的角 度来谈问题。系统工程师和信 息系统安全工程师必须不考虑 这些观点并发掘客户已经理解 的问题。如果用户的要求不是 基于客户的任务或业务需求， 那么，产生的系统解决方案不 可能响应这些需求。再次，这 将导致建立错误系统并且说明 什么也没有比解决错误问题和 建立错误系统更无效的了。 ３.系统工程师和信息系统安 全工程师确定解决问题空间， 它们是从问题空间推导出来 的； 系统工程师不是客户是系统解 决方案的专家。如果客户是设 计专家，那么就不必要雇佣系 统工程师了。想要干涉设计过 程的客户有可能对解决方案增 加一些限制并限制了 在开发支持任务或业务目标并 满足用户要求的系统时系统工 程师的灵活性。概括的讲，客 户拥有问题。这就是客户的任 务或业务，也就是预期要支持 的系统。但是，用户并不总是 发掘和文挡化的专家。工程师 们要帮助客户发掘和文挡化问 题。同时，系统工程师，并不 是客户是设计解决问题方案的 专家。系统工程师和信息系统 工程师要阻止客户干预设计的 倾向。 ３.３.ISSE过程：发掘信息保护 需求、确定系统安全要求、设 计系统安全体系结构、开发详 细安全设计、实现系统安全、 评估信息保护的有效性 ４.１.１潜在对手：潜在对手分 类：恶意对手、非恶意对手 恶意对手：国家、黑客、恐怖 分子、犯罪组织、其它犯罪团 体、国际舆论、产业竞争者、 不满的员工 非恶意对手：粗心的或缺乏训 练的员工 ４.１.２主要目标三个类别：未 授权存取、未授权修改、拒绝 访问信息 ４.１.３动机 下面给出对手为何刺探特定目 标的通常动机： １.获取机密或敏感数据的访问 权（注意：那些对某些人或组 织有很高价值的信息对别人可 能毫无用处）； ２.跟踪或监视目标系统的运 行（跟踪分析）； ３.扰乱目标的运行； ４.窃取钱财或服务； ５.免费使用资源（例如，计算 机资源或免费使用网络）； ６.使目标陷入窘境； ７.克服击溃安全机制的技术 挑战。 对攻击一个信息系统时对手面 临一定风险，对手愿意接受的 风险级别取决于对手的动机。 风险因素包括： １.揭露对手的能力以进行其 它类型的攻击； ２.触发可能阻止进一步成功 攻击的防范机制，特别当攻击 获利很大时； ３.遭受惩罚（如罚款、入狱和 处于窘境等）； ４.危及生命安全； １、被动攻击：被动监视公共 媒体上的信息传递。对策：使 用VPN加密保护网路，使用加保 护的分布式网络 ２、主动攻击：避开或破坏安 全部件, 引入恶意代码,破坏 数据或系统完整性。对策：增 强区域边界保护、基于网络管 理交互身份认证的访问控制、 受保护远程访问、质量安全管 理、自动病毒检测工具、审计 和入侵检测。 ３、临近攻击：一个未授权的 个人近距离物理接触网络、系 统或设备，以修改、收集信息 或者拒绝对信息的访问。这种 接近可以通过秘密进入、公开 访问或者两者结合。对策：配 置监控器，物理安全 ４、内部人员攻击由在信息安 全处理系统物理边界内的合法 人员或者能够直接访问信息安 全处理系统的人员发起的攻 击。对策：安全意识和训练； 审计和入侵检测；安全策略和 增强安全性；关键数据、服务 和局域网的特殊的访问控制在 计算机和网络元素中的信任技 术；一个强的身份识别与认证 能力 5、分发攻击：硬件或软件在生 产与安装过程中，或者在运输 过程中，被恶意地修改。对策： 在工厂，可以通过加强处理配 置控制将这类威胁降低到最 低。通过使用受控分发，或使 用由最终用户检验的签名软件 和存取控制可以解除分发威胁 ４.２主要安全服务：访问控 制、保密性、完整性、可用性 和不可否认性 ４.２.１访问控制定义：在网 络安全环境中，访问控制意味 着限制对网络资源和数据的访 问。目标：阻止未授权使用资 源，阻止未授权公开或修改数 据 ３.组成：访问控制的要求可分 为以下几类：I&A标识与认证， 授权，决策，执行 身份认证机制可以分为简单认 证和基于加密的认证。 简单认证：包括基于身份的认 证，并通过要求试图访问的实 体回答只有它自己才知道的信 息来认证其身份。简单认证的 另一个例子是基于地址的认 证，这种机制公通过通令双方 的网络地址来认证身份 基于加密的认证：基于加密的 机制依靠一定协议下的数据加 密处理。通令双方共享一个密 钥，该密钥用来在挑战－应答 协议中处理或加密信息交换。 其他加密机制仅依赖于公开密 钥加密，或者依靠在公开密钥 和由公开密钥证书提供的身份 之间的绑定。 所有基于加密的机制 地强度部分依赖于加密算法的 强度，部分依赖于通信协议的 安全，还在很大程度上依赖于 密钥保护 ４.３强健性策略 １.强健性：是安全机制的强度 和保险程度的级别。 ２.强健性策略：强健性策略描 述了一个方法：需要受保护信 息的价值和系统威胁程度的基 础上怎样确定强健性的推荐级 别。将安全服务分解成多个支 持机制并确定相应的强度级别 ３.确定强健性级别：机制强度 级别SML，评估保障级别EAL， 要保护的信息价值，所感知的 威胁环境 ４.确定信息价值：由违反信息 保护策略可能造成的结果确定 五个等级：V1：保护策略的违 犯造成的结果可以忽略；V2： 保护策略的违犯会对安全、保 险、金融状况、下级组织造成 不良影响和/或小的破坏；V3： 保护策略的违犯会产生一定的 破坏；V4：保护策略的违犯会 造成严重的破坏；V5：保护策 略的违犯会造成异常严重的破 坏。 ５.确定威胁级别：由对手的技 术水平，可用的资源，承担的 风险确定 七个等级：T1：无意的或意外 的事件；T2：被动的、无意识 的占有很少资源并且愿意冒少 许风险的对手；T3：占有少许 资源但是愿意冒大风险的对 手；T4：占有中等程度资源的 熟练的对手，愿意冒少许的风 险； T5：占有中等程度资源的熟练 的对手，愿意冒较大的风险； T6：占有丰富程度资源的特别 熟练的对手，愿意冒少许的风 险；T7：占有丰富程度资源的 特别熟练的对手，愿意冒较大 的风险。 ６.确定强健性级别：强健性级 别定义为安全机制的强度和保 险度级别。强度是破坏该机制 所需付出努力的一个相对度 量，并不一定与实现这种机制 所需的成本相关。当所有因素 相同时，应该选择高强度的机 制。 ７.安全机制的强度（三个等 级）SML1：基本强度，可以抵 抗不复杂的威胁，能够保护低 价值的数据。SML2 是中等强 度，可以抵抗复杂的威胁（T4 到T5），能够保护中等价值的 数据。SML3 是高强度，可以抵 抗来自单一民族国家的威胁 （T6到T7），能够保护高价值 的数据。 产品的安全性：产品提供的安 全功能，安全功能的可信度。 同样的安全功能，可以有不同 的可信度 ８.安全保障级别：安全保障是 对声明的信任的度量，使人确 信信息系统的体系结构和安全 特性已恰当仲裁，并执行了安 全策略。 7个级：EAL1功能测试，适用于 要求正确操作而安全威胁认为 并不严重的情况；EAL2 结构测 试，适用于要求中低级的独立 保障的安全性的情况；EAL3 系 统地测试和检查，适用于要求 中级的独立保障的安全性的情 况；EAL4系统地设计、测试和 复查。适用于要求中级或高级 独立保障的安全性的情况； EAL5半形式化设计和测试，适 用于在开发计划中要求高级独 立保障的安全性和严密开发实 现的情况；EAL6半形式化验证 和测试，适用于开发用于高风 险环境的安全产品的情况； EAL7形式化验证和测试，适用 于开发用于极高风险环境的产 品或高额资产高额花费的情况 ９.等级保护：国家对信息系统 实行五级保护；实行信息安全 等级保护制度，重点保护基础 信息网络和重要信息系统。 五章保护网络和基础设施 １.网络支持三种不同数据流： 用户通信流，控制通信流，管 理通信流 ２.用户通信流：用户在网上传 输的信息 ３.控制通信流：建立用户连接 所必备的网络组件之间传送的 信息；路由信息。 ４.管理通信流：配置网络组件 的任意信息；起源于一个网络 组件的信息，向网络基础设施 表明网络组件状态的信息；简 单的网络管理协议（SNMP）信 息。 ５.１骨干网（BN）的可用性 ５.１.１目标环境 １.我国骨干网的定义：将城域 网连接起来的网。是国家批准 的可以直接和国外连接的互联 网 ２.骨干网的特点：高速；流量 大；范围广；与接入网相对应。 ３.骨干网内部与骨干网外部： 内部：网络传输设备；网络管 理中心（NMC） NMC：与网络传输设备不同，NMC 实现远程对骨干传输设备的管 理、参数配置和实时监控；NMC 持续运行,支持网管员的远程 操作；网管员对NMC的远程操作 与客户远程访问服务器，运行、 安全机制类似，C/S模式 根本不同: 网管员位于BN内部, 远程用户位于BN外部 ４.骨干网模型的九个主要方 面： １.网络间的通信：用户流；控 制流２.设备间的通信：BN要求 设备间控制流的持续信息交 互，以提供连通性３.设备管理 与维护：配置和参数调整，以 维护BN中单个设备以及网络管 理流的传输。４.用户数据接 口：用户数据进入和离BN的通 道；阻止通过用户对BN的攻击 ５.网管员与NMC的远程通信： 网管员使用设备的物理安全； 与NMC连接的安全性。６.NMC对 设备间通信：要求保证NMC与设 备间通信的连通性；防止，网 络管理数据的暴露。７.NMC飞 地：网络管理对于BN的可用性 是非常重要的，管理数据应该 与用户数据隔离；需要对NMC中 的设备和数据进行保护。８.厂 商的服务：产品安装、更新与 维护；需要确保厂商所提供服 务的合法性。９.厂商的设计与 制造：涉及到产品开发到分发 的整个制造过程；在整个过程 中，都应该考虑到安全。如产 品设计、实现、分发中的安全 性。 １.功能要求：骨干网必须提供 经过协议的响应级别、服务的 连续性、抵制通信服务的意外 和故意中断；骨干网必须保证 充分保护的信息不拖延、误传 递或不传递；作为端到端的信 息传输系统，骨干网提供的服 务对用户透明；作为透明需求 的一部分，骨干网和其他骨干 网或当地网络必须无缝连接。 ２.安全要求 访问控制：访问控制必须能够 区分用户对数据传输的访问和 管理员对网络管理与控制的访 问。访问控制必须限制对网络 管理中心的访问。 认证：网络设备必须能认证从 其他网络设备所有通信的来 源，比如路由信息。网络设备 必须认证从网络管理人收集的 所有需求。网络管理系统必须 在同意访问之前能认证网络管 理人员。网络管理中心须认证 从外网进入网络管理中心的所 有通信源。网络管理中心必须 认证制造商提供的材料和软件 的来源。在所拨号用户进入网 络管理中心之前，网络管理中 心必须认证它们。 可用性：硬件和软件对用户必 须是可用的。服务商必须提供 用户高层次的系统可用性。 机密性：必须保护主要构件的 机密性。网络管理系统必须提 供路由信息、打信号信息、提 供通信流安全的网络管理信息 传输的保密性。 完整性：必须保护网络设备之 间通信的完整性；必须保护网 络设备的硬件和软件的完整 性；必须保护网络设备和网络 管理中心之间的完整性；必须