1.2.1　IATF的核心思想

IATF的核心思想是纵深防御战略。所谓纵深防御战略，就是采用一个多层次、纵深的安全措施来保障用户信息及信息系统的安全。在纵深防御战略中，人、技术和操作也是保障信息及信息系统安全的核心因素。

除了纵深防御这个核心思想外，IATF还提出了一些其他的网络安全原则，这些原则对建立信息安全保障体系具有非常重要的意义，下面逐一进行介绍。

1.保护多个位置原则

保护多个位置原则涉及保护网络基础设施、边界安全、计算环境等方面。这一原则提醒我们，仅在信息系统的重要区域设置保护装置是不够的，任何一个系统漏洞都可能引起严重的攻击和破坏，只有在信息系统的各个方位布置全面的防御机制，才能将风险降至最低。

2.分层防御原则

如果说保护多个位置原则是横向防御，那么分层防御原则就是纵向防御，这也是纵深防御思想的一个具体体现。分层防御是在攻击者和目标之间部署多层防御机制，这样的机制会形成一道屏障，隔离攻击者的进攻。每一层防御机制应包括保护和检测措施，使攻击者不得不面临被发现的风险，迫使攻击者因畏惧高昂的代价而放弃攻击行为。

3.安全强健性原则

不同的信息对企业有不同的价值，信息丢失或破坏也会产生不同的影响，因此需要根据被保护信息的价值以及所遭受的威胁程度对信息系统内的每一个网络安全组件设置安全强健性（即强度和保障）。在设计网络安全保障体系时，必须考虑信息价值和安全管理成本之间的平衡。