CNSS中的一份文件-National Training Standarcl for Information Security Professionals（信息安全專業(yè)人員國(guó)家培訓(xùn)標(biāo)準(zhǔn)），被確定為NSTISSC的第4011號(hào)文件。該文件提供了一個(gè)全面的信息安全模型，并且迅速成為信息系統(tǒng)安全中很多方面的標(biāo)準(zhǔn)。

1-2所示的NSTISSC安全模型，闡明了討論信息安全問題的維空間。如果我們將由這個(gè)坐標(biāo)軸所描繪的三維空間中的關(guān)系擴(kuò)展開來，最終會(huì)得到一個(gè)被分割成27部分的3x3 x3立方體。每一個(gè)被分割出來的立方體，都代表著三維空間中的一個(gè)交集，是信息系統(tǒng)安全問題所必須處理的。當(dāng)使用這種模型來設(shè)計(jì)或檢查任何一個(gè)信息安全項(xiàng)目時(shí)，必須確保對(duì)這27個(gè)單元中的每一個(gè)都依照個(gè)坐標(biāo)軸所表示的要素進(jìn)行處理。舉例來說，表示技術(shù)、完整性以及存儲(chǔ)的交集區(qū)域，需要包含對(duì)技術(shù)使用的控制或保障，以保護(hù)信息在存儲(chǔ)時(shí)的完整性。這種控制機(jī)制可能由一個(gè)主機(jī)入侵檢測(cè)系統(tǒng)( HIDShost intrusion cletection system)組成， 該系統(tǒng)會(huì)在一個(gè)重要文件被修改時(shí)警告安全管理員。

                                                                                                           　　1-2NSTISSC安全模型
　　雖然NSTISSC模型涵蓋了信息安全的三維空間，但卻忽略了對(duì)指導(dǎo)方針和策略的細(xì)節(jié)的討論，而正是這些指導(dǎo)了控制的實(shí)施。實(shí)際上，僅僅有技術(shù)控制、策略或教育計(jì)劃是不夠的。此模型的主要目的在于發(fā)現(xiàn)信息安全計(jì)劃中的漏洞。

使用此模型的另一個(gè)缺點(diǎn)是只從一個(gè)角度來看問題。前一個(gè)例子中的HIDS 控制只注重信息安全團(tuán)體的需要和關(guān)注，而遺漏了廣大的IT及普通商業(yè)團(tuán)體的需要和關(guān)注。在實(shí)踐上，要徹底地減少危險(xiǎn)，則需要?jiǎng)?chuàng)建針對(duì)所有這種類型（策略、教育以及技術(shù)）的控制，并實(shí)現(xiàn)他們之間的通信。只有當(dāng)實(shí)施過程中包含了一 致意見和有建設(shè)性的不同爭(zhēng)議時(shí)，這種控制才可能成為現(xiàn)實(shí)。這也反映了每個(gè)組織機(jī)構(gòu)在設(shè)計(jì)和執(zhí)行一個(gè)信息安全項(xiàng)目時(shí)，對(duì)各種意見的權(quán)衡行為，本書后面對(duì)此有詳細(xì)闡述。

想了解更多IT資訊，請(qǐng)?jiān)L問中培偉業(yè)官網(wǎng)：中培偉業(yè)