NIT特別報(bào)告書800 -12

SP 800-12，即《計(jì)算機(jī)安全手冊(cè)》，對(duì)于信息安全的常規(guī)管理，是一個(gè)很好的參考和指南。然而，在新安全系統(tǒng)的設(shè)計(jì)和實(shí)施方面，它幾乎沒(méi)有提供什么指導(dǎo)；如果要對(duì)安全背景和術(shù)語(yǔ)進(jìn)行深入理解，那么僅僅把它作為一個(gè)補(bǔ)充就可以了。下面摘錄SP 800-12中定義的關(guān)于信息種類的一些看法：

SP800-12信息系統(tǒng)安全的OECD指南，該指南經(jīng)過(guò)美國(guó)政府認(rèn)可。它提供了：

*義務(wù)：應(yīng)該明確規(guī)定信息系統(tǒng)的所有者、提供者、使用者以及其他各方的責(zé)任。

*意識(shí)：為了保護(hù)信息系統(tǒng)的安全，所有者、提供者、用戶和其他各方應(yīng)當(dāng)在維護(hù)安全方面保持一致，獲取信息安全方面的有關(guān)知識(shí)，并了解采取的手段

*道德：當(dāng)提供和使用信息系統(tǒng)與信息系統(tǒng)安全服務(wù)時(shí)，應(yīng)該確保他人的權(quán)利和合法利益得到尊重。

*綜合性：信息系統(tǒng)安全的措施、經(jīng)驗(yàn)和過(guò)程應(yīng)該考慮并處理所有相關(guān)因素和觀點(diǎn)。

*均衡性：相對(duì)應(yīng)于信息系統(tǒng)的依賴程度，以及潛在危害的嚴(yán)重程度、發(fā)生概率和影響范圍，安全等級(jí)、成本、措施、經(jīng)驗(yàn)及過(guò)程應(yīng)該與它們相適應(yīng)并且成比例。

*完整性：保護(hù)信息系統(tǒng)的措施、經(jīng)驗(yàn)和過(guò)程應(yīng)該互相協(xié)調(diào)并融為一體，并且還應(yīng)該同機(jī)構(gòu)內(nèi)其他措施、經(jīng)驗(yàn)和過(guò)程互相協(xié)調(diào)并融為一體，這樣才能創(chuàng)建連貫安全的系統(tǒng)。

*及時(shí)性：公有和私有團(tuán)體，無(wú)論是國(guó)家級(jí)還是國(guó)際級(jí)的，都應(yīng)該及時(shí)協(xié)調(diào)以阻止對(duì)信息系統(tǒng)安全的破壞并對(duì)其做出響應(yīng)。

*重新評(píng)估：信息系統(tǒng)的安全應(yīng)該得到周期性的重新評(píng)估，因?yàn)殡S著時(shí)間的變化，信息系統(tǒng)及其安全需求也在發(fā)生變化。

*民主：信息系統(tǒng)安全應(yīng)該不與社會(huì)中數(shù)據(jù)和信息的合法使用與傳播相抵消。

通過(guò)分為3類的17種控制，SP 800-12還展示了NIST的安全管理理念。這3 個(gè)種類描述如下：

管理控制部分針對(duì)以管理為特征的安全主題。這些主題包括一些技術(shù)上的問(wèn)題及值得關(guān)注的地方，通常由機(jī)構(gòu)中計(jì)算機(jī)安全計(jì)劃的管理層提出，側(cè)重于管理計(jì)算機(jī)安全計(jì)劃和管理機(jī)構(gòu)內(nèi)的風(fēng)險(xiǎn)。

操作管理部分針對(duì)側(cè)重由管理人（相對(duì)于系統(tǒng)來(lái)說(shuō)）來(lái)實(shí)施和執(zhí)行的安全控制。這些控制用來(lái)改善特定系統(tǒng)（或者系統(tǒng)群）的安全，同技術(shù)控制一樣，它們通常要求具有專門技術(shù)或技能，并且還依賴于管理活動(dòng)。

技術(shù)控制部分針對(duì)由計(jì)算機(jī)系統(tǒng)執(zhí)行的安全控制。控制的效果依賴于系統(tǒng)的正常運(yùn)作。然而，技術(shù)控制的實(shí)施總是需要對(duì)操作進(jìn)行深思熟慮并且應(yīng)該和機(jī)構(gòu)內(nèi)的安全管理保持一致。

本章后面的NIST SP 800-26部分更加詳細(xì)地討論了控制的17個(gè)具體領(lǐng)域。