安全管理模型概念

安全管理模型

有多少顾问，就有多少安全管理模型和实践。可以从很多地方获得高质量的安全管理模型，其中两处就是美国联邦代理机构和国际组织。实际上，已经有一个非常流行的安全管理模型被认可为国际标准。英国标准7799(BS7799)提供了两个部分，分别阐述了安全管理实践的不同领域：

*BS 7799：l 现在被称为ISO/IEC 17799，信息技术——信息安全管理实施细则

*BS 7799：2信息安全管理：规范及使用指南。

后面将会详细讨论这些文档，它们属于私有财产，想采用此模型的机构必须付费购买。

也有许多其他来源可供选择，首要的是由NIST的计算机安全资源中心( http：//csrc.nist.gov)提供的免费文档。这个站点有许多报告书，其中一些包含模型和实践，你已经从本书前面章节中知道了其中的一些内容，在以后的章节中将会学习更多关于以下NIST报告书的内容：

*NIST SP800-12，计算机安全手册

*NIST SP 800-14，公认的安全原则和操作

*NIST SP800-18，安全计划开发指南

*NIST SP800-26，信息技术系统安全自我评估指南

*NIST SP800-30，信息技术系统风险管理指南

*Draft NIST SP800-37联邦信息技术系统安全认证和认可指南

本章还要讨论两个补充资源：

*RFC 2196，站点安全手册

*VISA，美国持卡人信息安全项目