信息安全保障（3）

区域边界：区域的网络设备与其他网络设备的接入点被称为“区域边界”
目标：对进出某区域（物理区域或逻辑区域）的数据流进行有效的控制与监视
方法：
    病毒、恶意代码防御
    防火墙
    入侵检测
    远程访问
    多级别安全
    。。。。。

目标：网络和支持它的基础设施必须
    防止数据非法泄露
    防止受到拒绝服务的攻击
    防止受到保护的信息在发送过程中的时延、误传或未发送
方法：
    骨干网可用性
    无线网络安全框架
    系统高度互联和虚拟专用网
    。。。。。

目标：为安全保障服务提供一套相互关联的活动与基础设施
密钥管理基础设施（KMI）
    提供一种通用的联合处理方式，以便安全的创建、分发和管理公钥证书和传统的对称密钥，使它们能够为网络、区域和计算环境提供安全服务
检测和响应基础设施
    能够迅速检测并响应入侵行为，需要入侵检测与监视软件等技术解决方案以及训练有素的专业人员（通常指计算机应急响应小级（CERT））的支持

安全原则
    保护多个位置
    分层防御
    安全强健性
IATF特点
    全方位防御、纵深防御将系统风险降到最低
    信息安全不纯粹是技术问题，而是一项复杂的系统工程
    提出“人”这一要素的重要性，人即管理

信息系统安全保障评估框架
    理解信息系统保障相关概念及信息安全保障的核心目标
    了解信息系统保障评估的相关概念和关系
    理解信息系统安全保障评估模型主要特点，生命周期、保障要素等概念

信息系统
    用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、机构人员和组件的总和
信息系统安全风险
    是具体的风险，产生风险的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境存在特定威胁动机的威胁源
信息系统安全保障
    在信息系统的整个生命周期中，通过信息系统的风险分析，定制并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出信息安全保障要求，确保信息系统的保密性、完整性和可用性，把安全风险到可接受的程度，从而保障系统能够顺利实现组织机构的使命

信息系统保护轮廓（ISPP）
    根据组织机构使命和所处的运行环境，从组织机构的策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述
    表达一类产品或系统的安全目的和要求
    ISPP是从信息系统的所有者（用户）的角度规范化、结构化的描述信息系统安全保障需求
信息系统安全目标（ISST）
    根据信息系统保护轮廓（ISSP）编制的信息系统安全保障方案
    某一特定产品或系统的安全需求
    ISST从信息系统安全保障的建设方（厂商）的角度制定的信息系统安全保障方案

模型特点
    将风险和策略作为信息系统安全保障的基础和核心
    强调安全贯彻信息系统生命周期
    强调综合保障观念
    （以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息安全的安全特征：信息的保密性、完整性和可用性特征，从而达到保障组织机构执行其使命的根本目的）

基于信息系统生命周期的信息安全保障
    信息系统的生命周期层面和保障要素层面不是互相孤立的，而是互相关联、密不可分
    在信息系统生命周期中的任何时间点上，都需要综合信息系统安全保障技术、管理、工程和人员保障要素

信息安全保障要素-信息安全技术
    密码技术
    访问控制技术
    审计和监控技术
    网络安全技术
    操作系统技术
    数据库安全技术
    安全漏洞与恶意代码
    软件安全开发
信息安全保障要素-信息安全管理
    信息安全管理体系
    风险管理

信息安全保障要素-信息安全工程
    信息安全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以及产品的开发、交付和升级
信息安全保障要素-信息安全人才
    信息安全保障诸要素中，人是最关键、也是最活跃的要素。网络攻防对抗，最终较量的是攻防两端的人，而不是设备

信息安全保障解决方案
    以风险评估和法规要求得出的安全需求为依据
        考虑系统的业务功能和价值
        考虑系统风险哪些是必须处置的，哪些是可接受的
    贴合实际具有可实施性
        可接受的成本
        合理的进度
        技术可实现性
        组织管理和文化的可接受性

企业安全架构
    了解企业安全架构的概念
    了解舍伍德商业应用安全架构模型构成及生命周期

什么是企业安全架构
    企业架构的一个子集，他定义了信息安全战略，包括各层级的解决方案、流程和规程，以及他们与整个企业的战略、战术和运营链接的方式
    开发企业安全架构的主要原因是确保安全工作以一个标准化的和节省成本的方式与业务实践相结合
常见企业安全架构
    舍伍德的商业应用安全架构
    zachman框架
    开放群组架构框架

企业安全架构
    企业架构的一个子集
    定义了信息安全战略、包括分层级的解决方案、流程和规程
    确保安全工作以一个标准化和节省承办的方式与业务实践相结合

分层的模型，包括六个层级
    背景层
    概念层
    逻辑层
    物理层
    组件层
    运营层

背景层（业务视图）
    业务视图说明所有架构必须满足业务要求。了解该系统的业务需求驱动，选择合适的架构
    业务视图被称为背景环境的安全架构。这是安全系统必须设计、建造和经营的业务范围内的描述
概念层（架构视图）
    架构是整体的概念，可满足企业的业务需求。也被称为概念性的安全架构
    定义在较低层次的抽象逻辑和物理元素的选择和组织上，确定指导原则和基本概念
逻辑层（设计视图）
    设计是架构的具体反映，设计过程通常被称为系统工程，涉及整个系统的架构元素的识别和规范
    逻辑的安全架构应该反映和代表所有概念性的安全架构中的主要安全战略

物理层（建设视图）
    设计是产生一套描述了系统的逻辑抽象，这些都需要形成一个物理的安全体系结构模型，该模型应描述实际的技术模式和指定的各种系统组件的详细设计
    如需要描述提供服务的服务器的物理安全机制和逻辑安全服务等
组建层（实施者视图）
    这层的模型也被称为组件安全架构
运营层（服务和管理视图）
    当建设完成后，需要进行运维管理
    保持各项服务的正常运作，保持良好的工作秩序和监测，以及按要求执行
    也被称为服务管理安全架构。关注的焦点是安全性相关的部分