私はCISSP試験の勉強をしていて、アクセス制御方法、セキュリティモデル、およびセキュリティポリシーの違いについて混乱しています。
私が最初に必須アクセスコントロールを研究していたとき、ビデオインストラクターはそれをBell-Lapadulaに密接に結びつけていたようです。でも復習すると、ここに私の新しい理解があります。
A セキュリティポリシーは、セキュリティに関する組織の要件の概要です。セキュリティポリシーは、これらのガイドラインを組み込む方法を実際に示していません。例として、建物の建築計画のように考えてください。構造はありますが、詳細はありません。
セキュリティモデルはより具体的であり、これらのガイドラインを組み込む方法に対応しています。例として、電気、配管などの詳細を含む建設計画のように考えます。
アクセス制御方法は、セキュリティモデルが準拠する標準です。
私はここから離れていますか?
あなたはあなたの理解でかなりお金を稼いでいます。私の唯一の考えは、必ずしもアクセスメソッドを標準としてクラス化する必要はないということです。これに準拠すると、アクセスに関して実装できるいくつかのルールを提供するモデルになります。
注意すべき点の1つは、Bell-Lapadulaの場合のように、制御は通常機密性に基づいていますが、アクセスモデルは整合性に基づいている場合があることです。 オレンジブックをよく読むことをお勧めします。概要については、Bibaモデルウィキペディアエントリ-このモデルでは、キーは整合性のレベルに関連しているため、整合性の低い領域から整合性の高い領域にデータが書き込まれないようにしますより高いエリアの完全性に影響を与える可能性があるため、エリア。
アクセス制御方法は、主に機密性要件に対処します(これは、機密性がアクセス制御を介してのみ提供できることを意味しません)。
セキュリティポリシーは、保護しようとしているリソースのセキュリティ要件を定義します。つまり、機密性、完全性などが含まれます。主にリクエストを受けた際の「契約」として利用されます。自動検証を可能にする(標準)言語を使用して記述できます。 WS-Policy。
セキュリティモデルは、セキュリティソリューションの設計方法を定義するため、説明にもソリューションがあります。通常、サンドボックスモデル、暗号化機能などの説明が始まります。
アクセス制御:アクセス制御は基本的に、誰または何(サブジェクト)がコンピューティングシステムおよび環境内の任意のリソース(オブジェクト)にアクセスできるかを決定するセキュリティ技術です。これは、コンピューターセキュリティの中心的なセキュリティ概念であり、多くのセキュリティ概念と方法論の基礎を築きます。
主に2つのタイプがあります。
物理的なアクセス制御:これは、建物、データベースサーバー、およびその他の物理的なIT資産へのアクセスを制御します。
論理アクセス制御:これは、コンピューターのネットワーク接続、ファイル、およびデータへのアクセスを制御します。
セキュリティポリシー:セキュリティポリシーとは、要件が満たされ、データを保存して使用できるように、情報へのアクセス方法と必要なセキュリティレベルを意味します。これは基本的に、企業が物理的資産とIT資産をどのように保護するかを概説する文書です。このドキュメントは、より良い適応のための要件の変化に応じて更新され続けます。
セキュリティモデル:セキュリティモデルは基本的に、特定のセキュリティポリシーをサポートおよび実装するために必要な要件を強調するステートメントです。たとえば、セキュリティポリシーで、ネットワークにアクセスする前にすべてのユーザーを承認する必要があると記載されている場合、セキュリティモデルは、要件が満たされるようにアクセス制御マトリックスを作成することを保証します。