劃定基準(zhǔn)線

和比較法概念有關(guān)的是基本方法。基準(zhǔn)是一個(gè)“性能指標(biāo)的值，通常可以通過對其做出比較來發(fā)現(xiàn)性能指標(biāo)的變化”，例如一個(gè)機(jī)構(gòu)每周內(nèi)遭受攻擊數(shù)量的基準(zhǔn)線。在以后，這個(gè)基準(zhǔn)線可以作為一個(gè)參考點(diǎn)，用來確定平均攻擊數(shù)量是增加了還是降低了。劃定基準(zhǔn)線是二個(gè)測量過程而不是已建立的標(biāo)準(zhǔn)。在信息安全領(lǐng)域，它涉及到把安全活動(dòng)和事件同機(jī)構(gòu)未來性能相比較。按照這種思路基準(zhǔn)線為內(nèi)部比較提供了基礎(chǔ)。為機(jī)構(gòu)第一次風(fēng)險(xiǎn)評估所收集的信息會(huì)成為日后比較的基準(zhǔn)。

當(dāng)劃定基準(zhǔn)線時(shí)，擁有一個(gè)全面的過程指南是很有用的。NIST提供了兩個(gè)報(bào)告書，專門用來支持上述活動(dòng)：

*SP 800-27，信息系統(tǒng)安全的工程原則（獲得安全的基本要求），2001年6月

*SP 800-26，信息技術(shù)系統(tǒng)安全自我評估指南，2001年11月（在本章其他部分討論）

這兩個(gè)文檔都可以在http：//csrc.nist.gov/publications/nispubs/index. html找到。

與使用一個(gè)完整的方法相比，在安全項(xiàng)目的設(shè)計(jì)和實(shí)施中，使用劃定基準(zhǔn)線和尋找最佳實(shí)踐這類方法可能提供的細(xì)節(jié)較少。然而，通過劃定基準(zhǔn)線和使用最佳實(shí)踐，你可以拼湊出所希望的安全過程的結(jié)果，然后再回過頭來實(shí)現(xiàn)一個(gè)有效的設(shè)計(jì)。

網(wǎng)路安全特別行動(dòng)組也提供了關(guān)于最佳實(shí)踐的信息。這個(gè)工作組是很多團(tuán)體的集合，既包括公共團(tuán)體的也包括私人團(tuán)體，在網(wǎng)絡(luò)安全方面，這些團(tuán)體有著共同的利益。它為安全實(shí)施提供建議。另外一個(gè)經(jīng)常被提及的信息來源是CERT(www.cert.org)，它推廣了一系列安全模塊，其網(wǎng)站還提供了關(guān)于構(gòu)成安全方法的實(shí)踐與實(shí)施的相關(guān)鏈接。

花費(fèi)一些時(shí)間和金錢去加入一些專家團(tuán)體是值得的，這些團(tuán)體會(huì)為其成員提供關(guān)于最佳實(shí)踐的信息。技術(shù)管理者論壇（www.techforum.com）給出了很多領(lǐng)域內(nèi)的年度最佳實(shí)踐，包括信息安全領(lǐng)域。信息安全論壇(www.isfsecuritystandard.com)發(fā)行了一個(gè)名為黃金實(shí)踐標(biāo)準(zhǔn)的免費(fèi)刊物，概述了信息安全最佳實(shí)踐。