关于信息保障(整理)VIP专享VIP免费

信息保障一、概念“信息保障”(informationassurance，IA)概念是美国国防部于20世纪90年代率先提出的，后经多次修改、完善，已得到世界范围的广泛认可。就其本质来说，信息保障是一种保证信息和信息系统能够安全运行的防护性行为，是信息安全在当前信息时代的新发展。信息保障的对象是信息以及处理、管理、存储、传输信息的信息系统；目的是采取技术、管理等综合性手段，使信息和信息系统具备机密性、完整性、可用性、可认证性、不可否认性，以及在遭受攻击后的可恢复性。随着技术的不断发展和认识的不断深入，美军“信息保障”概念的内涵和外延也在实践中不断扩充和延伸，已经从最初的一套简单的纯技术防护措施，发展到现在由“人”、“技术”和“操作”三个范畴共同构成的一个综合体系，包括了政策管理、组织实施、运行使用、基础设施建设等方方面面的内容，成了指导美军构建信息安全体系的重要战略思想。二、发展演变信息安全问题始终伴随着信息技术的发展而发展，先后经历了早期的“通信保密”(COMSEC)、“信息系统安全”(1NFOSEC)和目前的“信息保障”三个阶段。20世纪40、50年代，信息安全以通信保密为主体，要求实现信息的机密性。这一时期的信息安全需求基本来自军政指挥体系方面的“通信保密”要求，主要目的是要使信息即使在被截获的情况下也无法被敌人使用，因此其技术主要体现在加解密设备上。20世纪60、70年代，随着小规模计算机组成的简单网络系统的出现，网络中多点传输、处理以及存储的保密性、完整性、可用性问题成为关注焦点；计算机之间的信息交互，要求人们必须采取措施在信息存储、处理、传输过程中，保护信息和信息系统不被非法访问或修改，同时不能拒绝合法用户的服务请求，其技术发展主要体现在访问控制上。这时，人们开始将“通信安全”与“计算机安全”合并考虑，“信息系统安全”(INFOSEC)成为研究热点。进入20世纪90年代，随着网络技术的进一步发展，超大型网络迫使人们必须从整体安全的角度去考虑信息安全问题。网络的开放性、广域性等特征把人们对信息安全的需求，延展到可用性、完整性、真实性、机密性和不可否认性等更全面的范畴。同时，随着网络黑客、病毒等技术层出不穷、变化多端，人们发现任何信息安全技术和手段都存在弱点，传统的“防火墙+补丁”这样的纯技术方案无法完全抵御来自各方的威胁，必须寻找一种可持续的保护机制，对信息和信息系统进行全方位的、动态的保护。因此，为了保障信息安全，除了要进行信息的安全保护，还应该重视提高安全预警能力、系统的入侵检测能力，系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术，信息保障强调信息系统整个生命周期的防御和恢复，同时安全问题的出现和解决方案也超越了纯技术范畴。1989年美国卡内基·梅隆大学计算机应急小组开始研究如何从静态信息安全防护向动态防护转变。之后，美国防部在其信息安全及网络战防御理论探索中吸收了这一思想，并于1995年提出了“信息保障”概念。信息安全进入信息保障时代。美国国家安全局制定的《信息保障技术框架》（IATF）则是这个时代的一个典型标志。三、美国信息保障技术框架（IATF）信息保障技术框架（IATF）是美国国家安全局（NSA）制定的，为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题，其代表理论为“深度防御战略（Defense-in-Depth）”。IATF强调人、技术、操作这三个核心原则，关注四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施（图1）。（图1信息保障技术框架）IATF是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架，它提出了信息保障时代信息基础设施的全套安全需求。IATF创造性的地方在于，它首次提出了信息保障依赖于人、技术和操作来共同实现组织职能/业务运作的思想，对技术/信息基础设施的管理也离不开这三个要素。IATF认为，稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。IATF规划...