安全管理模型

有多少顧問，就有多少安全管理模型和實踐。可以從很多地方獲得高質(zhì)量的安全管理模型，其中兩處就是美國聯(lián)邦代理機構(gòu)和國際組織。實際上，已經(jīng)有一個非常流行的安全管理模型被認(rèn)可為國際標(biāo)準(zhǔn)。英國標(biāo)準(zhǔn)7799(BS7799)提供了兩個部分，分別闡述了安全管理實踐的不同領(lǐng)域：

*BS 7799：l 現(xiàn)在被稱為ISO/IEC 17799，信息技術(shù)——信息安全管理實施細(xì)則

*BS 7799：2信息安全管理：規(guī)范及使用指南。

后面將會詳細(xì)討論這些文檔，它們屬于私有財產(chǎn)，想采用此模型的機構(gòu)必須付費購買。

也有許多其他來源可供選擇，首要的是由NIST的計算機安全資源中心( http：//csrc.nist.gov)提供的免費文檔。這個站點有許多報告書，其中一些包含模型和實踐，你已經(jīng)從本書前面章節(jié)中知道了其中的一些內(nèi)容，在以后的章節(jié)中將會學(xué)習(xí)更多關(guān)于以下NIST報告書的內(nèi)容：

*NIST SP800-12，計算機安全手冊

*NIST SP 800-14，公認(rèn)的安全原則和操作

*NIST SP800-18，安全計劃開發(fā)指南

*NIST SP800-26，信息技術(shù)系統(tǒng)安全自我評估指南

*NIST SP800-30，信息技術(shù)系統(tǒng)風(fēng)險管理指南

*Draft NIST SP800-37聯(lián)邦信息技術(shù)系統(tǒng)安全認(rèn)證和認(rèn)可指南

本章還要討論兩個補充資源：

*RFC 2196，站點安全手冊

*VISA，美國持卡人信息安全項目