Qual è la differenza tra un metodo di controllo degli accessi, un modello di sicurezza e una politica di sicurezza?

10

(Dovrei scusarmi in anticipo perché questa domanda sarà disordinata - cercherò di perfezionarla man mano che l'argomento diventa più chiaro per me).

Sto studiando per l'esame CISSP e mi sto confondendo sulle differenze tra metodi di controllo dell'accesso , modelli di sicurezza e norme di sicurezza .

Quando inizialmente studiavo il Controllo degli accessi obbligatorio, l'istruttore video sembrava legarlo strettamente a Bell-Lapadula. Dopo aver esaminato, tuttavia, ecco la mia nuova comprensione:

Una Politica di sicurezza è la linea generale dei requisiti di un'organizzazione relativi alla sicurezza. La politica di sicurezza in realtà non ti dice come incorporare tali linee guida. Ad esempio, pensalo come un piano architettonico per un edificio: la struttura è lì ma i dettagli non lo sono.

Un Modello di sicurezza è più specifico e affronta come incorporare tali linee guida. Ad esempio, pensa ad esso come i piani di costruzione con dettagli elettrici, idraulici, ecc.

Un metodo di controllo dell'accesso è uno standard con cui il modello di sicurezza si allinea.

Sono qui via?

-M

    
posta Mike B 12.05.2011 - 04:21
fonte

2 risposte

2

Sei abbastanza ricco di soldi con la tua comprensione, Mikey. Il mio unico pensiero è che non classificherei necessariamente un metodo di accesso come standard, più un modello che, se rispettato, ti dà alcune regole che puoi implementare per l'accesso.

Una cosa di cui essere consapevoli è che, sebbene il controllo sia solitamente basato sulla riservatezza, come in Bell-Lapadula, il modello di accesso può essere basato sull'integrità. Vorrei consigliare una buona lettura del Orange Book , o per un sommario, vedere il < strong> voce di Wikipedia sul modello di wiki - in questo modello, la chiave è intorno ai livelli di integrità, quindi previeni dati scritti da un'area di integrità inferiore a un'area di integrità superiore, in quanto ciò potrebbe influire sull'integrità nell'area più alta.

    
risposta data 12.05.2011 - 09:21
fonte
0

I metodi di controllo dell'accesso riguardano principalmente il requisito di riservatezza (il che non significa che la riservatezza possa essere fornita solo tramite il controllo degli accessi).

Una politica di sicurezza definisce i requisiti di sicurezza per la risorsa che stai cercando di proteggere. Ciò significa che include riservatezza, integrità e altri. Principalmente viene utilizzato come "contratto" quando si riceve una richiesta. Può essere scritto utilizzando un linguaggio (standard) che consente la verifica automatica, ad es. WS-Policy.

Il Modello di sicurezza definisce il modo in cui sono progettate le tue soluzioni di sicurezza, così hai anche la soluzione nella descrizione. In genere si inizia ad avere descrizioni per modelli sandboxing, funzionalità di crittografia, ecc ...

    
risposta data 12.05.2011 - 08:13
fonte

Leggi altre domande sui tag