CNSS中的一份文件-National Training Standarcl for Information Security Professionals（信息安全專業(yè)人員國家培訓標準），被確定為NSTISSC的第4011號文件。該文件提供了一個全面的信息安全模型，并且迅速成為信息系統(tǒng)安全中很多方面的標準。

1-2所示的NSTISSC安全模型，闡明了討論信息安全問題的維空間。如果我們將由這個坐標軸所描繪的三維空間中的關(guān)系擴展開來，最終會得到一個被分割成27部分的3x3 x3立方體。每一個被分割出來的立方體，都代表著三維空間中的一個交集，是信息系統(tǒng)安全問題所必須處理的。當使用這種模型來設(shè)計或檢查任何一個信息安全項目時，必須確保對這27個單元中的每一個都依照個坐標軸所表示的要素進行處理。舉例來說，表示技術(shù)、完整性以及存儲的交集區(qū)域，需要包含對技術(shù)使用的控制或保障，以保護信息在存儲時的完整性。這種控制機制可能由一個主機入侵檢測系統(tǒng)( HIDShost intrusion cletection system)組成， 該系統(tǒng)會在一個重要文件被修改時警告安全管理員。

                                                                                                           　　1-2NSTISSC安全模型
　　雖然NSTISSC模型涵蓋了信息安全的三維空間，但卻忽略了對指導(dǎo)方針和策略的細節(jié)的討論，而正是這些指導(dǎo)了控制的實施。實際上，僅僅有技術(shù)控制、策略或教育計劃是不夠的。此模型的主要目的在于發(fā)現(xiàn)信息安全計劃中的漏洞。

使用此模型的另一個缺點是只從一個角度來看問題。前一個例子中的HIDS 控制只注重信息安全團體的需要和關(guān)注，而遺漏了廣大的IT及普通商業(yè)團體的需要和關(guān)注。在實踐上，要徹底地減少危險，則需要創(chuàng)建針對所有這種類型（策略、教育以及技術(shù)）的控制，并實現(xiàn)他們之間的通信。只有當實施過程中包含了一 致意見和有建設(shè)性的不同爭議時，這種控制才可能成為現(xiàn)實。這也反映了每個組織機構(gòu)在設(shè)計和執(zhí)行一個信息安全項目時，對各種意見的權(quán)衡行為，本書后面對此有詳細闡述。

想了解更多IT資訊，請訪問中培偉業(yè)官網(wǎng)：中培偉業(yè)