划定基准线
和比较法概念有关的是基本方法。基准是一个“性能指标的值,通常可以通过对其做出比较来发现性能指标的变化”,例如一个机构每周内遭受攻击数量的基准线。在以后,这个基准线可以作为一个参考点,用来确定平均攻击数量是增加了还是降低了。划定基准线是二个测量过程而不是已建立的标准。在信息安全领域,它涉及到把安全活动和事件同机构未来性能相比较。按照这种思路基准线为内部比较提供了基础。为机构第一次风险评估所收集的信息会成为日后比较的基准。
当划定基准线时,拥有一个全面的过程指南是很有用的。NIST提供了两个报告书,专门用来支持上述活动:
*SP 800-27,信息系统安全的工程原则(获得安全的基本要求),2001年6月
*SP 800-26,信息技术系统安全自我评估指南,2001年11月(在本章其他部分讨论)
这两个文档都可以在http://csrc.nist.gov/publications/nispubs/index. html找到。
与使用一个完整的方法相比,在安全项目的设计和实施中,使用划定基准线和寻找最佳实践这类方法可能提供的细节较少。然而,通过划定基准线和使用最佳实践,你可以拼凑出所希望的安全过程的结果,然后再回过头来实现一个有效的设计。
网路安全特别行动组也提供了关于最佳实践的信息。这个工作组是很多团体的集合,既包括公共团体的也包括私人团体,在网络安全方面,这些团体有着共同的利益。它为安全实施提供建议。另外一个经常被提及的信息来源是CERT(www.cert.org),它推广了一系列安全模块,其网站还提供了关于构成安全方法的实践与实施的相关链接。
花费一些时间和金钱去加入一些专家团体是值得的,这些团体会为其成员提供关于最佳实践的信息。技术管理者论坛(www.techforum.com)给出了很多领域内的年度最佳实践,包括信息安全领域。信息安全论坛(www.isfsecuritystandard.com)发行了一个名为黄金实践标准的免费刊物,概述了信息安全最佳实践。