安全管理模型中的NIST特别报告书800 -12

NIT特别报告书800 -12

SP 800-12，即《计算机安全手册》，对于信息安全的常规管理，是一个很好的参考和指南。然而，在新安全系统的设计和实施方面，它几乎没有提供什么指导；如果要对安全背景和术语进行深入理解，那么仅仅把它作为一个补充就可以了。下面摘录SP 800-12中定义的关于信息种类的一些看法：

SP800-12信息系统安全的OECD指南，该指南经过美国政府认可。它提供了：

*义务：应该明确规定信息系统的所有者、提供者、使用者以及其他各方的责任。

*意识：为了保护信息系统的安全，所有者、提供者、用户和其他各方应当在维护安全方面保持一致，获取信息安全方面的有关知识，并了解采取的手段

*道德：当提供和使用信息系统与信息系统安全服务时，应该确保他人的权利和合法利益得到尊重。

*综合性：信息系统安全的措施、经验和过程应该考虑并处理所有相关因素和观点。

*均衡性：相对应于信息系统的依赖程度，以及潜在危害的严重程度、发生概率和影响范围，安全等级、成本、措施、经验及过程应该与它们相适应并且成比例。

*完整性：保护信息系统的措施、经验和过程应该互相协调并融为一体，并且还应该同机构内其他措施、经验和过程互相协调并融为一体，这样才能创建连贯安全的系统。

*及时性：公有和私有团体，无论是国家级还是国际级的，都应该及时协调以阻止对信息系统安全的破坏并对其做出响应。

*重新评估：信息系统的安全应该得到周期性的重新评估，因为随着时间的变化，信息系统及其安全需求也在发生变化。

*民主：信息系统安全应该不与社会中数据和信息的合法使用与传播相抵消。

通过分为3类的17种控制，SP 800-12还展示了NIST的安全管理理念。这3 个种类描述如下：

管理控制部分针对以管理为特征的安全主题。这些主题包括一些技术上的问题及值得关注的地方，通常由机构中计算机安全计划的管理层提出，侧重于管理计算机安全计划和管理机构内的风险。

操作管理部分针对侧重由管理人（相对于系统来说）来实施和执行的安全控制。这些控制用来改善特定系统（或者系统群）的安全，同技术控制一样，它们通常要求具有专门技术或技能，并且还依赖于管理活动。

技术控制部分针对由计算机系统执行的安全控制。控制的效果依赖于系统的正常运作。然而，技术控制的实施总是需要对操作进行深思熟虑并且应该和机构内的安全管理保持一致。

本章后面的NIST SP 800-26部分更加详细地讨论了控制的17个具体领域。