一、  信息安全的发展历程

信息安全的发展是跟信息技术的发展和用户的需求密不可分的，在不同的时代也体现出不同的特征，大体来讲，信息安全经历了一个从通信安全（COMSEC）→信息安全（INFOSEC）→信息保障（IA：Information Assurance）的发展阶段，也可称之为：保密→保护→保障发展阶段。

通信安全（COMSEC）的历程开始于20世纪40年代，那时人们关注的通信安全，主要关心对象是以政府和军事、外交为主，多采用加密、发射传输保密等技术手段来保护数据的机密性和可靠性。

20世纪70年代以后，计算机软硬件技术开始快速发展，并且开始出现了对内开放、对外封闭的计算网络，这种环境下的信息安全可以归纳为对信息系统的保护，即信息安全（INFOSEC），典型标志是美国国防部制定的彩虹系列中的橘桔皮书（TCSEC）以及欧洲四国制定的ITSEC，TCSEC 以信息安全的机密性为主，ITSEC则强调保障信息的机密性、完整性、可用性（即著名的信息安全三原则CIA）。其后由于社会管理以及电子商务，电子政务等的网上应用的开展，人们又逐步认识到还要关注可控性和不可否认性。这个时期可以大体归结为信息安全时期（INFOSEC）。

进入20世纪90年代以来，互联网（INTERNET）开始飞速发展，并且实现了异构的计算机系统的互连互通，互联网跨越了时间和空间的限制，也给信息安全带来的新的挑战，安全不再局限于对信息的静态保护，而需要对整个信息和信息系统进行保护和防御（深层防御），在新的形势下出现了信息保障（IA），信息保障是信息安全发展的最新阶段，信息保障（IA）的概念最早源自美国，1996年美国国防部（ DoD）在国防部令S-3600.1对信息保障下作了如下定义：

    保护和防御信息及信息系统，确保其可用性、完整性、保密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能，并提供信息系统的恢复功能。

美国国家安全局（NSA）于1998年制定《信息保障技术框架》(IATF)，提出“深度防御策略”，并于2002年9月，颁布《信息保障技术框架》3.1版本，当前信息保障已经成为美国等发达国家的国家战略。

世界各国信息安全领域的研究，已经从早期的通信保密到信息安全发展到目前的信息保障阶段。

二、  我国的信息保障（IA）发展情况简介

我国的信息安全建设从80年代开始全面展开，进入90年代后也开始重视信息保障工作：

1997年12月11日国务院批准，1997年12月30日公安部发布《中华人民共和国计算机信息系统安全保护条例》；

1999年9月13日公安部发布《计算机信息系统安全保护等级划分准则》（GB17859-1999）；

2003年7月22日，国家信息化领导小组第三次会议，中共中央办公厅、国务院办公厅关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知（中办发[2003]27号文件）中明确提出：

    切实加强信息安全保障工作。坚持积极防御、综合防范的方针，在全面提高信息安全防护能力的同时，重点保障基础网络和重要系统的安全。完善信息安全监控体系，建立信息安全的有效机制和应急处理机制。

2004年1月9日至10日，《全国信息安全保障工作会议》召开。会议深刻阐述了信息安全保障工作的极端重要性，明确了做好新形势下信息安全保障工作的指导方针、基本原则和主要任务。

对信息保障，信息安全国家重点实验室给出如下定义：

    信息保障是对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程。它运用源于人、管理、技术等因素所形成的预警能力、保护能力、检测能力、反应能力、恢复能力和反击能力，在信息和系统生命周期全过程的各个状态下，保证信息内容、计算环境、边界与连接、网络基础设施的真实性、可用性、完整性、保密性、可控性、不可否认性等安全属性，从而保障应用服务的效率和效益，促进信息化的可持续健康发展。

三、当前信息安全建设中存在的一些问题

   传统的安全设计理念基本上仍处于忙于封堵现有系统的漏洞阶段，有人形象的称之为“修修补补”或“围、追、堵、截”。基于这样的设计理念建成的安全体系只能是局部的、被动的安全，而无法提供整体的、主动的安全。

传统的安全建设以边界保护和核心保护为主，重视局部的保护，对局域计算环境（终端环境）安全重视不足，同时也缺乏有效的管理和监控手段，使得用户终端安全状况令人担忧，表现在病毒、蠕虫层出不穷、终端系统漏洞众多，脆弱的口令和安全防护使得终端很容易遭到攻击，某些终端虽然被上级部门安装了防病毒等产品，但疏于管理导致防病毒没有得到及时得更新或者干脆被用户卸载，等等，都使得终端防护成为网络整体安全防护中最薄弱的一个环节，另外经过很多国际权威机构的调查，内部发生的安全事件占全部安全事件的70％甚至更多，比如内部的误用和和嗅探、攻击等滥用行为，都因为缺乏有效的监控和管理而不能及时发现，也给网络的安全带来巨大挑战；安全是一个整体，任何一部分的薄弱都会使得整体的安全防御能力大打折扣，不但使得组织重金建设的边界安全防御体系失去作用，同时还会严重影响组织业务的正常运营，从经济、法律、声誉等多方面对企业造成负面影响。

四、安氏的信息保障体系框架（ISAF）以及终端计算环境安全解决方案

新的安全形势下需要新的思维和新的解决方案。安全是一个整体的、动态的过程，需要全面深入的考虑，那种头痛医头、脚痛医脚的方法已无法满足用户日益复杂的安全需求，要解决这些问题，归根结底取决于信息安全保障体系的建设。

安氏公司在吸收国内外先进的安全理念并结合多年安全实践的基础上，提出了安氏信息安全保障体系框架（ISAF），ISAF以“信息保障（IA）”为中心，以“深度防御”和“综合防范”为指导，以“信息安全风险分析”为手段，以“信息安全管理”为重点, 依靠人员、技术、管理等方面提供安全保障能力，从网络边界、网络基础设施、局域计算环境、以及支持性基础设施建设等方面组成防御领域，保护信息及信息系统，满足其保密性、完整性、可用性、可认证性、不可否认性等安全需求。

在ISAF安全体系中，局域计算环境，也就是广大终端用户环境防御是基本防御领域之一，在整个信息安全保障体系建设中占有重要位置，如何有效的进行终端环境防御？如何定位和解决终端面临的诸多安全问题和管理问题？有关专家指出：终端安全保障的重点应该强调：强机制、高可信、控使用、防内外，积极防御。落实到具体技术上，可以采用集中管理、强制执行、可信接入、行为监控、安全防护、主动防护等技术，建设终端安全保障体系。

安氏公司针对局域终端安全需求，推出了计算终端安全保障解决方案，该方案以安氏公司的计算终端安全保障系统（Terminal Guard）为核心，强调主动防御、深层防御、以及集中管理和强制的安全理念，为用户提供一个终端安全管理平台：通过自动补丁管理为终端修补系统漏洞，主动防御，抵御已知和未知的针对系统漏洞的漏洞利用（exploit ）攻击和蠕虫（worm）、病毒（virus）等恶意代码，提升终端系统自身免疫力和抵抗入侵的能力；通过主机防火墙、主机入侵防护等组成综合防范、多层防御的终端安全保护体系，抵御来自内部和外部的误用和滥用；通过集中策略管理和强制认证对终端用户的安全状况进行统一管理，强制终端执行组织的安全策略和达到组织要求的安全级别，对不符合安全级别要求的终端需进行修复后方可接入网络，维护可信的网络接入域；通过行为监控对终端用户的本地操作和网络访问进行监管，只有不违反组织安全策略和规章制度的行为才是被允许的；

计算终端安全保障解决方案主要功能模块：

1.       安全保护功能模块

                                     i.              主机防火墙

                                  ii.              主机入侵防护

                              iii.              主机防毒

                                  iv.              完整性检查及自动修复

                                     v.              强制认证

2.       系统管理功能模块

                                     i.              资产管理

                                  ii.              补丁管理

                              iii.              文件分发

3.       行为监控功能模块

                                     i.              网络行为监控

                                  ii.              本地应用监控

通过实施该方案，能够实现对终端计算环境的全面保护、监控、管理，最终建成一个可视、可控、可管、可信的终端安全体系，提高组织终端安全保障能力,有效保护终端计算环境安全，并且能够为组织的整体信息保障体系建设奠定坚实的基础。