CNSS中的一份文件-National Training Standarcl for Information Security Professionals(信息安全专业人员国家培训标准),被确定为NSTISSC的第4011号文件。该文件提供了一个全面的信息安全模型,并且迅速成为信息系统安全中很多方面的标准。
1-2所示的NSTISSC安全模型,阐明了讨论信息安全问题的维空间。如果我们将由这个坐标轴所描绘的三维空间中的关系扩展开来,最终会得到一个被分割成27部分的3x3 x3立方体。每一个被分割出来的立方体,都代表着三维空间中的一个交集,是信息系统安全问题所必须处理的。当使用这种模型来设计或检查任何一个信息安全项目时,必须确保对这27个单元中的每一个都依照个坐标轴所表示的要素进行处理。举例来说,表示技术、完整性以及存储的交集区域,需要包含对技术使用的控制或保障,以保护信息在存储时的完整性。这种控制机制可能由一个主机入侵检测系统( HIDShost intrusion cletection system)组成, 该系统会在一个重要文件被修改时警告安全管理员。
1-2NSTISSC安全模型
虽然NSTISSC模型涵盖了信息安全的三维空间,但却忽略了对指导方针和策略的细节的讨论,而正是这些指导了控制的实施。实际上,仅仅有技术控制、策略或教育计划是不够的。此模型的主要目的在于发现信息安全计划中的漏洞。
使用此模型的另一个缺点是只从一个角度来看问题。前一个例子中的HIDS 控制只注重信息安全团体的需要和关注,而遗漏了广大的IT及普通商业团体的需要和关注。在实践上,要彻底地减少危险,则需要创建针对所有这种类型(策略、教育以及技术)的控制,并实现他们之间的通信。只有当实施过程中包含了一 致意见和有建设性的不同争议时,这种控制才可能成为现实。这也反映了每个组织机构在设计和执行一个信息安全项目时,对各种意见的权衡行为,本书后面对此有详细阐述。
想了解更多IT资讯,请访问中培伟业官网:中培伟业