IATF信息保障技术框架
中软广州 （内部讨论 初稿一）
陈延
1
目录
几个重要概念 IATF建设模型 模型细化
几个重要概念
3
要保护什么
IATF建立在信息基础设施的概念上。 信息基础设施是维持机构运作、实现商业意图的专用资源， 包括：信息系统、网络和各种应用。
信息技术设施，通俗的说，就是企业的信息系统和业务系统； 信息系统是维持机构运作的电子支持系统，如：邮件、办公、公文 流转、审批等等； 业务系统是机构商业运作所必须的电子业务系统，如：短信平台（ 移动）等等，或者电子支撑系统，如：记账、财务等系统。
PDR模型
PDR模型包含三个主要部分： Protection（防护）、 Detection（检测）和Response （响应）。防护、检 测和响应组成了一个所谓的“完整的、动态”的安全循环。 技术措施必须完整涵盖PDR模型所需。
protection 防护
response 响应
detection 检测
Define System Security Requirements
Ensure that the selected solution set meets the mission or business security needs. Coordinate the system boundaries. Present security context, security CONOPS, and system security requirements to the customer and gain their concurrence. Ensure that the projected security risks are acceptable to the customer.
值得注意的是，这四个域实际上有所重叠，具体在运用的时 候，可以根据实际情况划分清楚。
深度防御
深度防御的实践主要来源于美国国防部的研究，认为深度防 御原理可应用于任何组织机构的信息网络安全中，涉及三个 主要层面的内容：人、技术、操作。 IATF侧重技术（以及与之相关的工程建设）方面。
人员 培训 安全意识教育 物理安全 场所安全 人员安全 系统安全管理 (依靠)技术 深度防御技术框架 信息保障要素 安全标准 风险分析（技术评估） 技术、产品及其部署 (进行)操作 安全策略 认证与委派 安全管理 证书、密匙、密码管理 风险分析（合规性检查） 应急响应（分析、监控、 告警、恢复）
Design System Security Architecture Develop Detailed Security Design
Begin the formal risk analysis process to ensure that the selected security mechanisms provide the required security services and to explain to the customer how the security architecture meets the security requirements. Review how well the selected security services and mechanisms counter the threats by performing an interdependency analysis to compare desired to effective security service strengths. Once completed, the risk assessment results, particularly any mitigation needs and residual risk, will be documented and shared with the customer to obtain their concurrence. The risk analysis will be conducted/updated. Strategies will be developed for the mitigation of identified risks Identify possible mission impacts and advise the customer and the customer’s Certifiers and Accreditors.
Implement System Security
结束语
IATF提供了安全建设的技术框架，框架所采用和技术结合 等级保护的要求，既可以为用户设计更加合理的安全技术体 系，也可以提高我公司的安全技术规划、建设、工程水平； IATF可以在任何阶段接受风险评估的参与，特别是需求调 研阶段和实施验收阶段。 IATF接受任何一种标准语言用来做工程化的规范表述，其 中CC作为一种国际上常用的描述语言，在我国接受度很广 泛，可以在我公司的项目中采纳。 IATF是一种具有活力的，还在不断发展的规范。也是世界 上有影响力的唯一一份从保障框架和工程建设的角度制定的 规范，其价值不可估量。 IATF还在为适应商业环境而作出改变。
THANKS
DISCOVER NEEDS
ASSESS EFFECTIVENESS
DEFINE SYSTEM REQUIREMENTS
DESIGN SYSTEM ARCHITECTURE
USERS/USERS’ REPRESENTATIVES
DEVELOP DETAILED DESIGN
IMPLEMENT SYSTEM
iatf_3_1_3001
发现需求
调研用户需求、相关政策 、规则、标准以及系统工 程所定义的用户环境中的 信息所面临的威胁。 关键点在于确定信息到底 受到那些安全威胁：
作为分析框架，IATF划分 对手、动机、威胁以及安 全要素；
信息安全威胁
被动攻击
本阶段详细了解面临的安 全威胁，理清用户需求， 由于是需求在推动项目， 因此，清晰准确的把握需 求是极为重要的。
详细设计
如果含软件开发，此步骤为必要和关键阶段（内容较多，不 详细加以说明），如果仅为集成项目，本阶段则应该：
多沟通和协调，扫清障碍，消除误解； 针对难点、以及用户担心的因素，提出解决办法。
实施
实施要点，除遵循一般实施验收要求外：
应该进行验收时的安全评估，以确保系统能够正确的工作，能够如 期望的那样应对安全威胁，系统本身符合安全入网条件，不会带来 新的安全威胁。 应提供生命周期支持计划，操作流程，运维培训材料等
IATF建设模型
9
IATF建设要点
对信息基础设施进行分析， 了解安全目标，通过四个安全 域进行清晰的展示。 安全建设必须符合深度防御原则，必须为防御、检测、响应 提供足够的技术手段，满足PDR模型所需。
IATF建设思路
发现需求 定义系统要求 系统架构设计 详细设计 实施 安全保护有效性评估
（局域网）计算环境：强调服务器（以及其上的应用）和客户端 边界和远程连接：强调边界、远程连接、不同密级之间的连接 网络和基础设施：强调网络架构和设备，包含网络基础设施有，网 管、域名、目录服务等 支撑性技术设施：强调提供安全服务、安全管理和安全运行的支撑 性基础设施，包括：PKI、SOC等
系统架构设计
在前一阶段的基础上，细化设计，提出那些功能模块实现什 么具体功能，指出（或设计）功能模块之间的关系。（如果 有必要，需要定义系统边界，内部模块边界） 本阶段可以理解为功能结构设计。 本阶段内容因为涉及软件开发方面的内容较多，容易产生不 宜落地之感，其实如果用于：
安全产品采购，则可以理解为需要那些产品模块、模块的功能说明 ，模块间通信等 安全产品集成，则可以理解为需要那些产品（包括模块），通信、 架构设计等
保护等级
IATF划分了4个级别的保护：
无密级 秘密 机密 绝密
在国内的实际运用中，可以替换为我国的等级保护的定级， 参照不同等级的基本要求厘定保护强度。
信息保障框架域
考虑到信息系统的复杂性，保护信息安全是挑战性的，为了 在技术层面能够更清晰的展现，IATF护有效性评估
ISSE Activity Discover Information Protection Needs Assess Information Protection Effectiveness Task Present an overview of the process. Summarize the information model Describe threats to the mission or business through information attacks Establish security services to counter those threats and identify their relative importance to the customer. Obtain customer agreement on the conclusions of this activity as a basis for determining system security effectiveness.
信息安全要素
主动攻击 物理临近攻 击 内部人员攻 击
安全性
完整性
可用性
可控性
不可抵赖性
定义系统要求
根据前一阶段的调研和分析，问题域已经清晰了。本阶段就 是安全工程师针对问题域提出的要求和挑战，考虑多种解决 方案。 要点：
问题在解决方案中得到一一解答。 思路应开阔，针对某个系统的问题域，其解决方案有可能需要引进 新的系统（例如：PKI）、或者改变与该系统相关联的其它系统。 仅就系统做整体分析和要求。