IATF

信息保障技術框架（IATF） 是美國國家安全局（NSA）制定的，為保護美國政府和工業界的信息與信息技術設施提供技術指南。IATF從整體、過程的角度看待信息安全問題，其代表理論為“深度防護戰略（Defense-in-Depth）”。IATF強調人、技術、操作這三個核心原則，關注四個信息安全保障領域：保護網絡和基礎設施、保護邊界、保護計算環境、支撐基礎設施。

IATF是由美國國家安全局組織專家編寫的一個全面描述信息安全保障體系的框架，它提出了信息保障時代信息基礎設施的全套安全需求。IATF創造性的地方在於，它首次提出了信息保障依賴於人、技術和操作來共同實現組織職能/業務運作的思想，對技術/信息基礎設施的管理也離不開這三個要素。IATF認為，穩健的信息保障狀態意味着信息保障的策略、過程、技術和機制在整個組織的信息基礎設施的所有層面上都能得以實施。 .

IATF規劃的信息保障體系包含三個要素：

人（People）：人是信息體系的主體，是信息系統的擁有者、管理者和使用者，是信息保障體系的核心，是第一位的要素，同時也是最脆弱的。正是基於這樣的認識，安全管理在安全保障體系中就愈顯重要，可以這麼説，信息安全保障體系，實質上就是一個安全管理的體系，其中包括意識培訓、組織管理、技術管理和操作管理等多個方面。

技術（Technology）：技術是實現信息保障的重要手段，信息保障體系所應具備的各項安全服務就是通過技術機制來實現的。當然，這裏所説的技術，已經不單是以防護為主的靜態技術體系，而是防護、檢測、響應、恢復並重的動態的技術體系。 版權申明：本站文章均來自網絡.

操作（Operation）：或者叫運行，它構成了安全保障的主動防禦體系，如果説技術的構成是被動的，那操作和流程就是將各方面技術緊密結合在一起的主動的過程，其中包括風險評估、安全監控、安全審計、跟蹤告警、入侵檢測、響應恢復等內容。