SCAP协议与FDCC简介 - 清华大学网络与信息安全实验室
Download
Report
Transcript SCAP协议与FDCC简介 - 清华大学网络与信息安全实验室
SCAP协议及FDCC简介
王珩 2011.1
1 相关背景介绍
2 SCAP产生的背景
3 SCAP是什么
4 SCAP技术细节
5 FDCC简介
• NIST(National Institute of Standards and
Technology)美国国家标准与技术研究所。
• 是美国商务部所属的联邦研究机构, 集科研、计量、标准
化、技术创新为一体, 并根据国会授权制定事关国家重大
利益的标准
• NIST 作为美国高端的联邦研究机构, 以集科研、计量、标
准化和技术创新于一体的实力与优势, 确立了美国国家标
准研究中心的地位。同时, 它还是美国标准化活动的战略
管理者和美国标准化技术服务中心。
FISMA
• 《联邦信息安全管理法案》(Federal Information Security
Management Act )
– 制订于2002年的联邦法案(U.S. Fedral Law)
– 是当前美国信息安全领域的一个重要发展计划
– 目的是通过采取适当的安全控制措施来保证联邦机构的信息系统安全性
– FISMA将其实施步骤分为开发标准和指南(2003-2008)、形成安全能
力(2007-2010)和运用自动化工具(2008-2009)三个阶段。
• FISMA的愿景:促进和发展美国的主要安全标准和准则,主要
内容包括:
–
–
–
–
–
指导信息系统的安全标准分类
指导制订信息系统的最低安全要求
指导针对信息系统选择适当的安全控制
指导对信息系统的安全控制进行评估
指导对信息系统的认证测评
NIST和FISMA的关系
• 与NIST是什么关系?
– FISMA中指定NIST的作用,制定信息安全标准(Federal Information
Processing Standards)和指导方针(Special Publications in the
800-series)
– 并指定NIST的一些具体职责:制定标准、技术支持、信息系统分类和最
低安全要求。
SP 800 系列
•
NIST随后逐步发布了符合FISMA风险管理要求的800系列文档
1. FIPS Publication 199, Standards for Security Categorization of Federal Information and
Information Systems;
2. FIPS Publication 200, Minimum Security Requirements for Federal Information and
Information Systems;
3. NIST Special Publication 800-18, Revision 1, Guide for Developing Security Plans for
Federal Information Systems;
4. NIST Special Publication 800-30, Revision 1, Risk Assessment Guideline (October 2008);
5. NIST Special Publication 800-37, Guide for the Security Certification and Accreditation of
Federal Information Systems;
6. NIST Special Publication 800-39, Managing Risk from Information Systems: An
Organizational Perspective (DRAFT);
7. NIST Special Publication 800-53, Revision 2, Recommended Security Controls for Federal
Information Systems;
8. NIST Special Publication 800-53A, Guide for Assessing the Security Controls in Federal
Information Systems;
9. NIST Special Publication 800-59, Guide for Identifying an Information System as a National
Security System;
10. NIST Special Publication 800-60 Revision 1, Guide for Mapping Types of Information and
Information Systems to Security Categories.
1 相关背景介绍
2 SCAP产生的背景
3 SCAP是什么
4 SCAP技术细节
5 FDCC简介
相关背景
• 企业日常信息安全维护工作
–
–
–
–
–
执行系统基线安全配置
对系统安全配置进行实时监控
检查补丁安装情况
定期进行漏洞扫描
......
• 这些工作有点复杂,因为……
– The number and variety of systems to secure.
• 需要进行安全维护的系统数量巨大且各不相同
– The need to respond quickly to new threats.
• 对于新的威胁需要有快速的反应
– The lack of interoperability.
• 安全工具之间缺乏互操作性
相关背景
• 此外
– 很多高层的规范(可能是强制性的,如FISMA)需要有
一种手段落实到低层的技术细节上
SCAP was created.
1 相关背景介绍
2 SCAP产生的背景
3 SCAP是什么
4 SCAP技术细节
5 FDCC简介
• 什么是安全内容自动化协议?
安全内容自动化协议(SCAP:Security Content Automation
Protocol),它列举了各种软件产品的漏洞,各种与安全有关的软件配置问题,
并提供了漏洞管理自动化的机制。它用开放性标准实现了自动化脆弱性管理、
衡量和策略符合性评估。
• SCAP是信息安全自动化计划(ISAP:Information Security Automation
Program)的一部分,主要由很多现有的标准组成。(这些组成部分被称为
Scap Component)
– CVE(通用漏洞披露)
– CVSS(通用漏洞评价体系)
– CPE(通用平台枚举):可以利用该平台列举出各项企业资产,为各项资产的数据
提供基本的管理依据
– CCE(通用配置枚举):与CVE很相似,但是主要用于处理错误配置问题
– OVAL(开放漏洞和评估语言):说明计算机的配置和发现的漏洞情况
– XCCDF(可扩展配置清单说明格式):用于描述安全配置列表(checklists)、基
准点(benchmarks)相关文档。一般用于描述目标系统安全配置规则。
Motivation & Elements
• 3 major motivation
– Standardize 标准化、整合
– Automate 自动化
– Map high-level to low-level 落地
• 2 major elements:
– Protocol – A suite of open specifications that
standardize the format and nomenclature.
• 一系列对格式和命名进行标准化的规范
– Content – Software flaw and security configuration
standardized reference data.
• 对软件漏洞和安全配置标准化的参考数据
SCAP1.0融合了这6个标准,但没有对它们进行修改,标准彼此之间是相对独立
的
Cisco, Qualys,
Symantec, Carnegie
Mellon University
CVE
Common
Vulnerabilities and
Exposures
Standard nomenclature and
dictionary of security related
software flaws
CCE
Common
Configuration
Enumeration
Standard nomenclature and
dictionary of software
misconfigurations
CPE
Common Platform
Enumeration
Standard nomenclature and
dictionary for product naming
XCCDF
eXtensible Checklist
Configuration
Description Format
Standard XML for specifying
checklists and for reporting
results of checklist evaluation
OVAL
Open Vulnerability
Assessment
Language
Standard XML for testing
procedures
CVSS
Common
Vulnerability Scoring
System
Standard for measuring the
impact of vulnerabilities
Enumeration
CVE
●
CCE
●
CPE
●
Evaluation
XCCDF
●
OVAL
●
CVSS
Measuring
Reporting
●
●
• SCAP/FISMA/NIST 是什么关系?
• FISMA是法规,是美国政府制定的信息安全管理的法律依据。
• NIST是政府授权去制定和实施标准、技术援助的机构。
• SCAP是NIST为了实施符合FISMA的自动化要求而制定的一个协议。
FISMA
NIST
SCAP
CVE
CCE
SCAP
OVAL
XCCDF
CPE
CVSS
• 通过 SCAP整合标准
Vulnerability Management 漏洞
CVE
CVSS XCCDF OVAL
SCAP
Asset
Management
资产
CPE
CCE
Configuration
Management
配置
常见的SCAP应用场景
• 安全配置校验(Security Configuration Verification)
– 大量的安全配置条目:不仅要human-readable以便于理解,
还需要machine-readable以便于实现自动化校验。
Manual checklists:
SCAP-expressed security configuration checklists:
SCAP-expressed
checklists
SCAP-validated
configuration scanners
典型应用:FDCC
Automated Reports
常见的SCAP应用场景
• 标准符合性验证
– 以极高的效率和准确率检验系统(或产品)与高级别策略的
符合性(合规性),如FISMA,ISO27001,DOD8500等。
• 标准化的安全枚举(Standardized Security Enums)
– 通过整合CVE/CCE/CPE,使漏洞扫描、补丁管理、平台管
理等工作能够相互融合。不再出现各种安全产品厂商各自为
阵,命名混乱的局面。
• 脆弱性度量(Vulnerability Measurement)
– 通过整合CVSS/CVE/CPE,提供量化(quantitative)的、可
持续的系统脆弱性度量和漏洞评分机制。
NIST主导的企业风险管理框架
Enterprise Risk Management Framework
Starting Point
CATEGORIZE
Information System
根据受到危胁产生后果的严重
性对信息系统进行分类(分级)
MONITOR
SELECT
Security State
Security Controls
通过不断地监视系统中可能会
影响到安全控制的变化,重新
评估安全控制有效性
AUTHORIZE
Information System
Security Life Cycle
SCAP
对信息系统进行测评认证?
根据类别的不同为信息系
统选择不同的基线安全控
制并按需要进行裁剪
IMPLEMENT
Security Controls
执行制订的基线安全控制
如应用制订的安全配置
ASSESS
Security Controls
对执行的结果更行评估,配置是否
有效,是否达到了安全需求
SCAP在NIST风险管理中的作用
• SCAP使检查单标准化,并在计算机安全配置和NIST
的SP 800-53第1次修订本(SP 800-53 rev1 )的控
制框架之间建立自动链接。
• 当前版本的SCAP能够对系统进行初步的衡量,对安
全设置和相应的sp 800-53 rev1安全控制进行持续监
控。
• 以这样的方式,SCAP有助于NIST风险管理框架的实
施、评估和监控步骤。
• 因此,SCAP是NIST FISMA实施计划不可分割的一部
分。
NIST SCAP Product Validation
• NIST建立了产品SCAP符合性认证机制
– 保证安全类产品符合SCAP相关标准体系。
• 谁需要基于SCAP验证他们的产品?
– 安全配置管理、漏洞测试和其他安全审计工具的供应商,如
果希望把产品售往美国政府市场(或者是采用了该标准要求
的商业客户的要求) ,需要遵照FISMA的要求对产品进行验
证。
• 国内类似的准入体制
–
–
–
–
–
中国信息安全测评中心
中国信息安全认证中心
国家保密局涉密信息系统安全保密测评中心
公安部信息安全产品检测中心
民间机构: 360软件安全认证中心
• 9家NIST National Voluntary Laboratory Accreditation Program (NVLAP)实验
室遵循NIST Handbook 150和NIST Handbook 150-17两个手册,对符合技术要
求的厂家产品进行测试。
• 研发相关产品的主要有BIGFIX、CA、MACFEE、Symantec等,支持不同种类的自
动化检查,产品名称都基本叫安全中心、安全融合等,Symantec更是针对性很强,
就叫Control Compliance Suite Federal Toolkit,BIGFIX干脆就叫Discovery 7
• 在SCAP_Validation_Program_RC_v1.0.2.doc中明确了以下类型安全产品需要经过
SCAP认证:
–
–
–
–
–
–
–
–
–
–
–
–
1 FDCC Scanner
2 Authenticated Configuration Scanner
3 Authenticated Vulnerability and Patch Scanner
4 Unauthenticated Vulnerability Scanner
5 Intrusion Detection and Prevention
6 Patch Remediation
7 Mis-configuration Remediation
8 Asset Scanner
9 Asset Database
10 Vulnerability Database
11 Mis-configuration Database
12 Malware Tool
1 相关背景介绍
2 SCAP产生的背景
3 SCAP是什么
4 SCAP技术细节
5 FDCC简介
XCCDF & OVAL
• XCCDF - eXtensible Checklist Configuration Description
Format – 可扩展的配置检查单描述格式
– 用来表述安全配置检查单(security configuration checklist)、漏洞警
报和其它相关信息的语言
– XCCDF文档由一个或多个XCCDF规则(Rule)组成,每个XCCDF规则
是一个关于具体实施细节的高层定义(high-level definition),规则中不
包含实施的具体技术细节,而是包含指向具体实施过程文档(OVAL)某一
元素的一个指针(XCCDF文档类似一个目录,XCCDF规则类似目录中
的一个目录项)。
• OVAL - Open Vulnerability Assessment Language -开放的脆弱性评
估语言
– 用来表述标准化的、机器可读的、用于评估系统当前状况的规则
上述两种描述语言均为标准的XML格式
XCCDF
• NSA与NIST于2005年2月联合发布了 XCCDF(可扩展
的配置检查清单描述格式)规范,尝试建立一个通用平
台,用于定义安全检查清单、安全基准和其它安全配
置指南,以此促进安全措施的广泛应用。这个规范引
起了行业和政府安全专家、分析人员、审核人员和安
全管理产品开发者等的强烈关注,并得到众多厂商的
支持。
• 在XCCDF文档中,所有内容以树的方式进行组织,其
中根节点是Benchmark,同时该文档支持派生和裁减,
即一个节点的内容可以继承另一个节点的所有内容,
并对其中部分内容进行修改。
XCCDF文档结构
Rule1
Group1
Check1
Check2
Rule2
Check3
Profile1
Benchmark
Rule3
Group2
Rule4
Group3
Rule5
Profile2
Group4
ProfileN
Group5
OVAL
• 2003年12月31日,在美国国土安全部(U.S.
Department of Homeland Security)的资助下,
MITRE公司制定发布了OVAL规范,可用来描述系统
的配置信息,分析系统的安全状态(包括漏洞、配置、
系统补丁版本等)及报告评估结果。
• 根节点为<oval> ,包含以下子节点:<generator>、
<definitions>、<tests>、<variables>。
– <generator>包含了 version(版本号)和timestamp(版本完
成时间);
– <definitions>包含了适用的平台、脆弱点的定义及其判断
标准;
– <tests>包含了测试集;
– <variables>则包含了测试变量的信息
一个简单的示例
XCCDF
OVAL
<Document ID> NIST SP 800-68
<Date> 04/22/06 </Date>
<Version> 1 </Version>
<Revision> 2 </Revision>
<Platform> Windows XP
<Check1> Password >= 8 <>
<Check2> FIPS Compliant <>
</Maintenance>
</Description>
</Car>
<Checks>
<Check1>
<Registry Check> … <>
<Value> 8 </Value>
</Check1>
<Check2>
<File Version> … <>
<Value> 1.0.12.4
</Value>
</Check2>
</Checks>
28
OVAL definition obj & state
转成obj 和 state:
定义描述:
Write an OVAL Definition to test
that CTRL+ALT+DEL is Required
for Logon (registry key )
STATE
<registry_object
id="oval:com.example:obj:1">
<hive>HKEY_LOCAL_MACHINE</hive>
<key>Software\Microsoft\Windows\Curren
tVersion\Policies\System</key>
<name>disablecad</name>
</registry_object>
OBJECT
• Value=0
•
HKLM\Software\Microsoft\Windows
\CurrentVersion\Policies\System\dis
ablecad'
<registry_state
id="oval:com.example:ste:1">
<value datatype==int"
operation="equals">0</value>
</registry_state>
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
<oval_definitions>
<generatorgenerator>
<definitions>
<definitionid="oval:org.mitre.oval.tutorial:def:1"version="1"class="miscellaneous">
Hello World -Full XML
<metadata>
<title>CTRL+ALT+DEL Required for Logon</title>
<affectedfamily="windows"/>
<description>This definition is used to introduce the OVAL Language.</description>
</metadata>
<criteria>
<criteriontest_ref="oval:org.mitre.oval.tutorial:tst:1”comment="The registry key is set to require CTRL+ALT+DEL for Logon"/>
</criteria>
</definition>
</definitions>
<tests>
<registry_testid="oval:org.mitre.oval.tutorial:tst:1"version="1"checkall"comment="The registry key is set to require CTRL+ALT+DEL
for Logon"xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5#windows">
<objectobject_ref="oval:org.mitre.oval.tutorial:obj:1"/>
<statestate_ref="oval:org.mitre.oval.tutorial:ste:1"/>
</registry_test>
</tests>
<objects>
<registry_objectid="oval:org.mitre.oval.tutorial:obj:1"version="1"xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5#windows">
<hive>HKEY_LOCAL_MACHINE</hive>
<key>Software\Microsoft\Windows\CurrentVersion\Policies\System</key>
<name>disablecad</name>
</registry_object>
</objects>
<states>
<registry_stateid="oval:org.mitre.oval.tutorial:ste:1"version="1"xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5#windows">
<valuedatatypeintoperation="equals">0</value>
</registry_state>
</states>
</oval_definitions>
1 相关背景介绍
2 SCAP产生的背景
3 SCAP是什么
4 SCAP技术细节
5 FDCC简介
关于FDCC
• FDCC:Federal Desktop Core Configuration,联邦桌
面核心配置计划。
• 是一项美国行政管理和预算局(OMB)的命令。要求所
有的政府机构为其全部安装有Windows XP和Vista计算机
按照标准进行大约300条系统加固配置。目的是加强政府
信息系统的抗攻击能力,并有效地降低维护成本。
• 它的目标是到2008年2月4日止在美联邦政府45万多台计
算机上部署整合了安全配置的标准桌面操作系统,以减少
数百万联邦计算机中的安全漏洞和非法配置,同时降低采
购和运行成本。这一项目最早是在美国空军内部进行
(SDC:标准桌面配置),空军在NSA、Microsoft、
NIST以及DISA的帮助下,创建了两种流行Windows操作
系统的标准配置,然后在采购中确保所有相关的供应商对
销售桌面计算机进行初始安全配置。这一举措获得了很大
的成功,证明这种方式能够改善总体安全状态,同时大幅
降低采购及安全运营成本。
关于FDCC
• 其针对的不仅仅是桌面计算机(Desktop),同
时也包含了笔记本计算机(Laptop),但只针对
Windows XP和Vista系统。
• FDCC实际上是SCAP协议的一个典型应用。
典型的FDCC配置项内容
Policy Path
Computer
Configuration\Windows
Settings\Security
Settings\Account Policies\Account Lockout Policy
Policy Setting Name
Account lockout duration
FDCC Windows XP
15 minut es
CCE Reference
CCE -980
Registry Setting
Description
This security setting determines the number of minutes a locked-out account
remains locked out before automatically becoming unlocked. The available range
is from 0 minutes through 99,999 minutes. If you set the account lockout duration
to 0, the account will be locked out until an administrator explicitly unlocks it. If
an account lockout threshold is defined, the account lockout duration must be
greater than or equal to the reset time.
Default: None, because this policy setting only has meaning when an Account
lockout threshold is specif ied.
NOTE: 15 minutes is recommended by the Vista Security Guide, due to fears of
Denial of Service attacks taking down systems too easily.
Vista CCE v5 Reference
CCE -2363-0
XP CCE v5 Reference
CCE -2928-0
FDCC via SCAP
• 符合SCAP规范的FDCC文档
Fdcc-winxp-oval.xml
Fdcc-winxp-oval.xml
Fdcc-winxp-oval.xml
Fdcc-winxp-xccdf.xml
……
-……
…… - FDDC-Major-Version-1.2.1.0
……
<passwordpolicy_test
-<passwordpolicy_object
<definition
|-ie7id="oval:gov.nist.fdcc.xp:def:21" version="1"
-class="compliance">
<Rule id="password_complexity"
selected="false" weight="10.0">
xmlns="http://oval.mitre.org/XMLSchema/oval-definitions|-vistafirewall
xmlns="http://oval.mitre.org/XMLSchema/oval-definitions<title>Passwords
Must Meet Complexity Requirements</title>
id="oval:gov.nist.fdcc.xp:tst:17"
version="1"/>
-5#windows"
<metadata>
5#windows"
id="oval:gov.nist.fdcc.xp:obj:8"
version="1"
|-winvista
<description>...</description>
comment="Passwords
must meet complexity requirements"
<title>Password
|-winxp Complexity Requirements</title>
- ……
<reference>
check="all">
-check_existence="at_least_one_exists"
<affected
family="windows">
-<dc:type>GPO</dc:type>
<passwordpolicy_state
|-fdcc-winxp-cpe-dictionary.xml
<object object_ref="oval:gov.nist.fdcc.xp:obj:8"
/>
<platform>Microsoft
Windows XP</platform>
xmlns="http://oval.mitre.org/XMLSchema/oval-definitions<dc:source>Computer
Configuration\Windows
Settings\Security
Settings\Account
|-fdcc-winxp-cpe-oval.xml
<state
state_ref="oval:gov.nist.fdcc.xp:ste:22"
/>
</affected> id="oval:gov.nist.fdcc.xp:ste:24"
Policies\Password
Policy</dc:source>
5#windows"
version="1">
|-fdcc-winxp-oval.xml
</passwordpolicy_test>
</reference>
<reference
source="http://cce.mitre.org"
ref_id="CCE-2735-9"
<password_hist_len
datatype="int" operation="greater
than or />
<requires
idref="CM-6"
|-fdcc-winxp-patches.xml
/>
……
<reference
source="cce.mitre.org/version/4"
ref_id="CCE-633" />
equal"
var_ref="oval:gov.nist.fdcc.xp:var:24"
/>
<requires
idref="IA-5"
/>
|-fdcc-winxp-xccdf.xml
<description>Passwords
must meet complexity
</passwordpolicy_state>
<ident system="http://cce.mitre.org">CCE-2735-9</ident>
requirements</description>
|-xpfirewall
……
<ident system="cce.mitre.org/version/4">CCE-633</ident>
</metadata>
- <check
system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
- <check-export
<criteria> value-id="password_complexity_var" export<extend_definition comment="Microsoft
Windows XP is installed"
name="oval:gov.nist.fdcc.xp:var:11"
/>
<check-content-ref href="fdcc-winxp-oval.xml" name="oval:gov.nist.fdcc.xp:def:21"
/>
definition_ref="oval:gov.nist.fdcc.xp:def:2"
/>
</check>
<criterion comment="Passwords must meet complexity requirements"
</Rule>
test_ref="oval:gov.nist.fdcc.xp:tst:17" />
……
</criteria>
</definition>
……
其它相关内容介绍
•安全基线与相关产品介绍
•等级保护政策介绍
•一些思考
•参考链接
安全基线(Security Baseline)
• 安全基线
– 木桶效应:一个水桶无论有多高,它盛水的高度取决
于其中最低的那块木板。
– 一个信息系统的安全防护水平取决于防护能力最差的
个体的水平(而并非平均值)
– 安全基线的元素包括:
• 操作系统组件的配置。例如:Internet信息服务(IIS)自带的所有
样本文件必须从计算机上删除。
• 权限和权利分配。例如:只有管理员才有权更改操作系统文件。
• 管理规则。例如:计算机上的administrator密码每30天换一次。
国内形势
• 中国移动公司下发的“中国移动公司基线安全配置指
南”,要求总部和所有分公司内部业务终端进行合规
配置。
• 绿盟的BVS实际上早期是为移动公司定制开发的项目,
完成了中国移动安全基线的技术细节落地的环节,其
研发过程参考了FDCC的思想。
• 中国国家信息中心提出了“中国政务终端安全桌面核
心配置标准研究”(CGDCC)
– 基本上是FDCC的翻译版
相关产品
• MBSA(Microsoft Baseline Security Analyzer)
– 微软的用于单机和域的配置检查工具
• BVS(Benchmark Verification System)
– BVS采用了用户名口令授权方式进行检查,比较适用于域管
理的Windows终端检查
– 支持分布式部署,支持超大规模网络结构
– 不包含配置加固的功能
– 未使用AGENT方式。很多类似产品采用了AGENT方式进行
检查,这种方式比较灵活,可以不提供用户名口令,可以完
成配置加固,但很多客户不接受AGENT方式(如涉密信息
系统)
• 目前国内基本上没有使用SCAP协议开发的相关产品
等级保护政策
• 中华人民共和国计算机信息系统安全保护条例 (1994年2月18
日中华人民共和国国务院令147号发布)
– 第二章 第九条 计算机信息系统实行安全等级保护。安全等级的划分标
准和安全等级保护的具体办法,由公安部会同有关部门制定。
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
信息安全等级保护管理办法(公通字[2007]43号)
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
信息安全等级保护备案实施细则(公信安[2007]1360号)
公安机关信息安全等级保护检查工作规范(公信安[2008]736号)
关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技
[2008]2071号)
7. 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)
8. 信息系统安全等级测评报告模版(试行)(公信安[2009]1487)
1.
2.
3.
4.
5.
6.
政策摘录
• 关于信息安全等级保护工作的实施意见(公通字
[2004]66号)
• 信息和信息系统的安全保护等级共分五级:
– 1. 第一级为自主保护级,适用于一般的信息和信息系统,其
受到破坏后,会对公民、法人和其他组织的权益有一定影响,
但不危害国家安全、社会秩序、经济建设和公共利益。
– 2. 第二级为指导保护级,适用于一定程度上涉及国家安全、
社会秩序、经济建设和公共利益的一般信息和信息系统,其
受到破坏后,会对国家安全、社会秩序、经济建设和公共利
益造成一定损害。
– 3. 第三级为监督保护级,……造成较大损害。
– 4. 第四级为强制保护级,……造成严重损害。
– 5. 第五级为专控保护级,…….造成特别严重损害。
计划用三年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度。
等级保护技术标准
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
1-计算机信息系统 安全等级保护划分准则(GB 17859-1999)
2-信息安全技术 信息系统安全等级保护实施指南
3-信息安全技术 信息系统安全保护等级定级指南(GB/T 22240—2008)
4-信息安全技术 信息系统安全等级保护基本要求(GB/T 22239—2008)
5-信息安全技术 信息系统安全等级保护测评要求
6-信息安全技术 信息系统安全等级保护测评过程指南
7-信息系统等级保护安全设计技术要求
8-信息安全技术 网络基础安全技术要求(GB/T 20270—2006)
9-信息安全技术 信息系统安全通用技术要求(GB/T 20271—2006)
10-信息安全技术 信息系统物理安全技术要求(GB/T 21052—2007)
11-信息安全技术 公共基础设施 PKI系统安全等级保护技术要求(GB/T 21053—2007)
12-信息安全技术 信息系统安全管理要求(GB/T 20269—2006)
13-信息安全技术 信息系统安全工程管理要求(GB/T 20282—2006)
14-信息安全技术 信息安全风险评估规范(GB/T 20984—2007)
15-信息技术 安全技术 信息安全事件管理指南(GB/Z 20985—2007)
16-信息安全技术 信息安全事件分类分级指南(GB/Z 20986—2007)
17-信息安全技术 信息系统灾难恢复规范(GB/T 20988—2007)
18-信息安全技术 路由器安全技术要求(GB/T 18018—2007 代替 GB/T 18018-1999)
19-信息安全技术 虹膜识别系统技术要求(GB/T 20979—2007)
20-信息安全技术 服务器安全技术要求(GB/T 21028—2007)
21-信息安全技术 操作系统安全技术要求(GB/T 20272—2006)
22-信息安全技术 数据库管理系统安全技术要求(GB/T 20273—2006)
23-信息安全技术 入侵检测系统技术要求和测试评价方法(GB/T 20275—2006)
24-信息安全技术 网络脆弱性扫描产品技术要求(GB/T 20278—2006)
25-信息安全技术 网络和终端设备隔离部件安全技术要求(GB/T 20279—2006)
26-信息安全技术 防火墙技术要求和测试评价方法(GB/T 20281—2006)
27-信息安全技术 信息系统安全等级保护体系框架(GA/T 708-2007)
28-信息安全技术 信息系统安全等级保护基本模型(GA/T 709-2007)
29-信息安全技术 信息系统安全等级保护基本配置(GA/T 710-2007)
30-信息安全技术 应用软件系统安全等级保护通用技术指南(GA/T 711-2007)
31-信息安全技术 应用软件系统安全等级保护通用测试指南(GA/T 712-2007)
32-信息安全技术 信息系统安全管理测评(GA/T 713-2007)
一些思考
• SCAP是一个协议,并不是什么新技术,其工程意义
大于对其研究的意义。
• SCAP协议离不开NIST的支撑,在中国,谁能扮演
NIST的角色?
– 公安部等级保护体系不够完善,到目前为止没有很好的被执
行(可能是因为没有可行性高的实施指南)
– 国内的标准制定者众多,且都是权力掌握者,他们是否希望
借鉴SCAP/FDCC的思想去推出公开的、自动化的配置检查
文档?是否会存在多个权力部门打架的问题。
– 安全产品提供商没有权力制定强制性标准,普通的安全产品
需求方没有义务也没有能力制定配置标准。
SCAP的思想很重要的一方面是标准化,没有标准化的支撑,
如何谈相关技术的研发和产品推广?
相关链接
•
•
•
•
•
•
•
•
•
•
•
•
FISMA http://csrc.nist.gov/groups/SMA/fisma/index.html
NIST http://www.nist.gov
资源下载中心 http://csrc.nist.gov/publications/nistpubs/
NCP 所有资源 http://Checklists.nist.gov
SCAP 相关 http://checklists.nist.gov/scap.cfm
CPE http://cpe.mitre.org/
CCE http://cce.mitre.org/
XCCDF http://nvd.nist.gov/xccdf.cfm
OVAL http://oval.mitre.org/language
CVSS http://www.first.org/cvss/index.html
CVE http://cve.mitre.org/
FDCC http://nvd.nist.gov/fdcc/index.cfm
• 建议阅读材料:NIST SP800-126, NIST SP800-117
报告完毕,不足和错误请多指教
谢谢!