1.2.1　IATF的核心思想

IATF的核心思想是縱深防御戰略。所謂縱深防御戰略，就是采用一個多層次、縱深的安全措施來保障用戶信息及信息系統的安全。在縱深防御戰略中，人、技術和操作也是保障信息及信息系統安全的核心因素。

除了縱深防御這個核心思想外，IATF還提出了一些其他的網絡安全原則，這些原則對建立信息安全保障體系具有非常重要的意義，下面逐一進行介紹。

1.保護多個位置原則

保護多個位置原則涉及保護網絡基礎設施、邊界安全、計算環境等方面。這一原則提醒我們，僅在信息系統的重要區域設置保護裝置是不夠的，任何一個系統漏洞都可能引起嚴重的攻擊和破壞，只有在信息系統的各個方位布置全面的防御機制，才能將風險降至最低。

2.分層防御原則

如果說保護多個位置原則是橫向防御，那么分層防御原則就是縱向防御，這也是縱深防御思想的一個具體體現。分層防御是在攻擊者和目標之間部署多層防御機制，這樣的機制會形成一道屏障，隔離攻擊者的進攻。每一層防御機制應包括保護和檢測措施，使攻擊者不得不面臨被發現的風險，迫使攻擊者因畏懼高昂的代價而放棄攻擊行為。

3.安全強健性原則

不同的信息對企業有不同的價值，信息丟失或破壞也會產生不同的影響，因此需要根據被保護信息的價值以及所遭受的威脅程度對信息系統內的每一個網絡安全組件設置安全強健性（即強度和保障）。在設計網絡安全保障體系時，必須考慮信息價值和安全管理成本之間的平衡。