关于信息保障(整理)

信息保障

一、概念

“信息保障”(information assurance，IA)概念是美国国防部于20世纪90年代率先提出的，后经多次修改、完善，已得到世界范围的广泛认可。就其本质来说，信息保障是一种保证信息和信息系统能够安全运行的防护性行为，是信息安全在当前信息时代的新发展。信息保障的对象是信息以及处理、管理、存储、传输信息的信息系统；目的是采取技术、管理等综合性手段，使信息和信息系统具备机密性、完整性、可用性、可认证性、不可否认性，以及在遭受攻击后的可恢复性。

随着技术的不断发展和认识的不断深入，美军“信息保障”概念的内涵和外延也在实践中不断扩充和延伸，已经从最初的一套简单的纯技术防护措施，发展到现在由“人”、“技术”和“操作”三个范畴共同构成的一个综合体系，包括了政策管理、组织实施、运行使用、基础设施建设等方方面面的内容，成了指导美军构建信息安全体系的重要战略思想。

二、发展演变

信息安全问题始终伴随着信息技术的发展而发展，先后经历了早期的“通信保密”(COMSEC)、“信息系统安全”(1NFOSEC)和目前的“信息保障”三个阶段。

20世纪40、50年代，信息安全以通信保密为主体，要求实现信息的机密性。这一时期的信息安全需求基本来自军政指挥体系方面的“通信保密”要求，主要目的是要使信息即使在被截获的情况下也无法被敌人使用，因此其技术主要体现在加解密设备上。

20世纪60、70年代，随着小规模计算机组成的简单网络系统的出现，网络中多点传输、处理以及存储的保密性、完整性、可用性问题成为关注焦点；计算机之间的信息交互，要求人们必须采取措施在信息存储、处理、传输过程中，保护信息和信息系统不被非法访问或修改，同时不能拒绝合法用户的服务请求，其技术发展主要体现在访问控制上。这时，人们开始将“通信安全”与“计算机安全”合并考虑，“信息系统安全”(INFOSEC)成为研究热点。

进入20世纪90年代，随着网络技术的进一步发展，超大型网络迫使人们必须从整体安全的角度去考虑信息安全问题。网络的开放性、广域性等特征把人们对信息安全的需求，延展到可用性、完整性、真实性、机密性和不可否认性等更全面的范畴。同时，随着网络黑客、病毒等技术层出不穷、变化多端，人们发现任何信息安全技术和手段都存在弱点，传统的“防火墙+补丁”这样的纯技术方案无法完全抵御来自各方的威胁，必须寻找一种可持续的保护机制，对信息和信息

系统进行全方位的、动态的保护。因此，为了保障信息安全，除了要进行信息的安全保护，还应该重视提高安全预警能力、系统的入侵检测能力，系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术，信息保障强调信息系统整个生命周期的防御和恢复，同时安全问题的出现和解决方案也超越了纯技术范畴。1989年美国卡内基·梅隆大学计算机应急小组开始研究如何从静态信息安全防护向动态防护转变。之后，美国防部在其信息安全及网络战防御理论探索中吸收了这一思想，并于1995年提出了“信息保障”概念。信息安全进入信息保障时代。美国国家安全局制定的《信息保障技术框架》（IATF）则是这个时代的一个典型标志。

三、美国信息保障技术框架（IATF）

信息保障技术框架（IATF）是美国国家安全局（NSA）制定的，为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题，其代表理论为“深度防御战略（Defense-in-Depth）”。IATF 强调人、技术、操作这三个核心原则，关注四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施（图1）。

（图1信息保障技术框架）

IATF是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架，它提出了信息保障时代信息基础设施的全套安全需求。IATF创造性的地方在于，它首次提出了信息保障依赖于人、技术和操作来共同实现组织职能/业务运作的思想，对技术/信息基础设施的管理也离不开这三个要素。IATF认为，稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。

IATF规划的信息保障体系包含三个要素：

人（People）：人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，是第一位的要素，同时也是最脆弱的。正是基于这样的认识，安全管理在安全保障体系中就愈显重要，可以这么说，信息安全保障体系，实质上就是一个安全管理的体系，其中包括意识培训、组织管理、技术管理和操作管理等多个方面。

技术（Technology）：技术是实现信息保障的重要手段，信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然，这里所说的技术，已经不单是以防护为主的静态技术体系，而是防护、检测、响应、恢复并重的动态的技术体系。版权申明：本站文章均来自网络。

操作（Operation）：或者叫运行，它构成了安全保障的主动防御体系，如果说技术的构成是被动的，那操作和流程就是将各方面技术紧密结合在一起的主动的过程，其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。

三、信息保障与信息安全的比较

与以前的信息安全概念相比，信息保障概念的范围更加宽泛。

从理念上看，信息安全强调的是“规避风险”，即防止发生并提供保护，破坏发生时无法挽回；而信息保障强调的是“风险管理”，即综合运用保护，探测、反应和恢复等多种措施，使得信息在攻击突破某层防御后，仍能确保一定级别的可用性、完整性、真实性、机密性和不可否认性，并能及时对破坏进行修复。

再者，以前的信息安全通常是单一或多种技术手段的简单累加，而信息保障则是对加密，访问控制、防火墙、安全路由等技术的综合运用，更注重入侵探测和灾难恢复技术。

四、信息保障的核心思想

信息保障的核心思想是深层防御战略（Defense in Depth）。所谓深层防御战略就是采用一个层次化的、多样性的安全措施来保障用户信息及信息系统的安全。