网络安全能力成熟度模型:原理与实践
上QQ阅读APP看书,第一时间看更新

1.2.2 IATF体系介绍

1.网络基础设施防御

网络基础设施是各种信息系统和业务系统的中枢,为获取用户数据流和用户信息提供传输机制,它的安全是整个信息系统安全的基础。网络基础设施防御包括:维护信息服务,防止服务攻击(DoS);保护在整个广域网上进行交换的公共或私人的信息,避免这些信息在无意中泄露给未授权访问者或发生更改、延时以及发送失败的情况,保护数据免受数据流分析的攻击。

2.边界安全

根据业务的重要性、管理等级和安全等级的不同,一个信息系统通常可以划分为多个区域,每个区域是在单一统辖权控制下的物理环境,具有逻辑和物理安全措施。边界安全防御关注的是如何对进出这些边界的数据流进行有效的控制与监视,对区域边界的基础设施实施保护。

3.计算环境

计算环境中的安全防护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。计算环境能够提供包括信息访问、存储、传输、录入等在内的服务。计算环境防御就是要利用识别与认证(I&A)、访问控制等技术确保进出内部系统数据的保密性、完整性和不可否认性。这是信息系统安全保护的最后一道防线。

4.支撑性基础设施

支撑性基础设施是与安全保障体系相关联的活动和提供安全服务的基础设施的总称。目前纵深防御策略定义了两种支撑基础设施:密钥管理基础设施(KMI)/公钥基础设施(PKI)和检测与响应基础设施。KMI/PKI涉及网络环境的各个环节,是密码服务的基础。本地KMI/PKI提供本地授权,广域网范围的KMI/PKI提供证书、目录以及密钥的产生和发布功能。检测与响应基础设施中的组成部分可预警、检测、识别可能的网络攻击,并做出有效的响应,对攻击行为进行调查分析。