收藏
下载资源

scap协议与fdcc简介

上传人:第*** 文档编号:49169930 上传时间:2018-07-24 格式:PPTX 页数:45 大小:718.90KB
返回 下载 相关 举报
scap协议与fdcc简介_第1页
第1页 / 共45页
scap协议与fdcc简介_第2页
第2页 / 共45页
scap协议与fdcc简介_第3页
第3页 / 共45页
scap协议与fdcc简介_第4页
第4页 / 共45页
scap协议与fdcc简介_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《scap协议与fdcc简介》由会员分享,可在线阅读,更多相关《scap协议与fdcc简介(45页珍藏版)》请在金锄头文库上搜索。

1、SCAP协议及FDCC简介王珩 2011.11 相关背景介绍5 FDCC简介4 SCAP技术细节3 SCAP是什么2 SCAP产生的背景 NIST(National Institute of Standards and Technology)美国国家标准与技术研究所。 是美国商务部所属的联邦研究机构, 集科研、计量、标准 化、技术创新为一体, 并根据国会授权制定事关国家重大 利益的标准 NIST 作为美国高端的联邦研究机构, 以集科研、计量、标 准化和技术创新于一体的实力与优势, 确立了美国国家标 准研究中心的地位。同时, 它还是美国标准化活动的战略 管理者和美国标准化技术服务中心。FISMA

2、联邦信息安全管理法案(Federal Information Security Management Act ) 制订于2002年的联邦法案(U.S. Fedral Law) 是当前美国信息安全领域的一个重要发展计划 目的是通过采取适当的安全控制措施来保证联邦机构的信息系统安全性 FISMA将其实施步骤分为开发标准和指南(2003-2008)、形成安全能 力(2007-2010)和运用自动化工具(2008-2009)三个阶段。 FISMA的愿景:促进和发展美国的主要安全标准和准则,主要 内容包括: 指导信息系统的安全标准分类 指导制订信息系统的最低安全要求 指导针对信息系统选择适当的安全控制

3、指导对信息系统的安全控制进行评估 指导对信息系统的认证测评 与NIST是什么关系? FISMA中指定NIST的作用,制定信息安全标准(Federal Information Processing Standards)和指导方针(Special Publications in the 800-series) 并指定NIST的一些具体职责:制定标准、技术支持、信息系统分类和最 低安全要求。NIST和FISMA的关系NIST随后逐步发布了符合FISMA风险管理要求的800系列文档1.FIPS Publication 199, Standards for Security Categorization

4、 of Federal Information and Information Systems; 2.FIPS Publication 200, Minimum Security Requirements for Federal Information and Information Systems; 3.NIST Special Publication 800-18, Revision 1, Guide for Developing Security Plans for Federal Information Systems; 4.NIST Special Publication 800-3

5、0, Revision 1, Risk Assessment Guideline (October 2008); 5.NIST Special Publication 800-37, Guide for the Security Certification and Accreditation of Federal Information Systems; 6.NIST Special Publication 800-39, Managing Risk from Information Systems: An Organizational Perspective (DRAFT); 7.NIST

6、Special Publication 800-53, Revision 2, Recommended Security Controls for Federal Information Systems; 8.NIST Special Publication 800-53A, Guide for Assessing the Security Controls in Federal Information Systems; 9.NIST Special Publication 800-59, Guide for Identifying an Information System as a Nat

7、ional Security System; 10. NIST Special Publication 800-60 Revision 1, Guide for Mapping Types of Information and Information Systems to Security Categories. SP 800 系列2 SCAP产生的背景5 FDCC简介4 SCAP技术细节3 SCAP是什么1 相关背景介绍相关背景 企业日常信息安全维护工作 执行系统基线安全配置 对系统安全配置进行实时监控 检查补丁安装情况 定期进行漏洞扫描 这些工作有点复杂,因为 The number and

8、 variety of systems to secure. 需要进行安全维护的系统数量巨大且各不相同 The need to respond quickly to new threats. 对于新的威胁需要有快速的反应 The lack of interoperability. 安全工具之间缺乏互操作性 此外 很多高层的规范(可能是强制性的,如FISMA)需要有 一种手段落实到低层的技术细节上SCAP was created.相关背景3 SCAP是什么5 FDCC简介4 SCAP技术细节2 SCAP产生的背景1 相关背景介绍什么是安全内容自动化协议? 安全内容自动化协议(SCAP:Secur

9、ity Content Automation Protocol ),它列举了各种软件产品的漏洞,各种与安全有关的软件配置问题,并提供 了漏洞管理自动化的机制。它用开放性标准实现了自动化脆弱性管理、衡量和 策略符合性评估。SCAP是信息安全自动化计划(ISAP:Information Security Automation Program)的一部分,主要由很多现有的标准组成。(这些组成部分被称为 Scap Component) CVE(通用漏洞披露) CVSS(通用漏洞评价体系) CPE(通用平台枚举):可以利用该平台列举出各项企业资产,为各项资产的数据 提供基本的管理依据 CCE(通用配置枚举

10、):与CVE很相似,但是主要用于处理错误配置问题 OVAL(开放漏洞和评估语言):说明计算机的配置和发现的漏洞情况 XCCDF(可扩展配置清单说明格式):用于描述安全配置列表(checklists)、基 准点(benchmarks)相关文档。一般用于描述目标系统安全配置规则。 Motivation 包含了适用的平台、脆弱点的定义及其判断 标准; 包含了测试集; 则包含了测试变量的信息28一个简单的示例XCCDFOVAL NIST SP 800-68 04/22/06 1 2 Windows XPPassword = 8 1.0.12.4 HKLMSoftwareMicrosoftWindows

11、 CurrentVersionPoliciesSystemdis ablecadOVAL definition obj & stateWrite an OVAL Definition to test that CTRL+ALT+DEL is Required for Logon (registry key )Value=0HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurren tVersionPoliciesSystem disablecad0定义描述:转成obj 和 state:OBJECTSTATE Hello World -Full XML C

12、TRL+ALT+DEL Required for Logon This definition is used to introduce the OVAL Language. HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem disablecad 0 5 FDCC简介4 SCAP技术细节3 SCAP是什么2 SCAP产生的背景1 相关背景介绍 FDCC:Federal Desktop Core Configuration,联邦桌 面核心配置计划。 是一项美国行政管理和预算局(OMB)的命令。要求所 有的

13、政府机构为其全部安装有Windows XP和Vista计算机 按照标准进行大约300条系统加固配置。目的是加强政府 信息系统的抗攻击能力,并有效地降低维护成本。 它的目标是到2008年2月4日止在美联邦政府45万多台计 算机上部署整合了安全配置的标准桌面操作系统,以减少 数百万联邦计算机中的安全漏洞和非法配置,同时降低采 购和运行成本。这一项目最早是在美国空军内部进行( SDC:标准桌面配置),空军在NSA、Microsoft、NIST 以及DISA的帮助下,创建了两种流行Windows操作系统 的标准配置,然后在采购中确保所有相关的供应商对销售 桌面计算机进行初始安全配置。这一举措获得了很大

14、的成 功,证明这种方式能够改善总体安全状态,同时大幅降低 采购及安全运营成本。关于FDCC 其针对的不仅仅是桌面计算机(Desktop),同 时也包含了笔记本计算机(Laptop),但只针对 Windows XP和Vista系统。 FDCC实际上是SCAP协议的一个典型应用。关于FDCC典型的FDCC配置项内容- FDDC-Major-Version-1.2.1.0|-ie7|-vistafirewall|-winvista|-winxp|-fdcc-winxp-cpe-dictionary.xml|-fdcc-winxp-cpe-oval.xml|-fdcc-winxp-oval.xml|-

15、fdcc-winxp-patches.xml|-fdcc-winxp-xccdf.xml|-xpfirewallFDCC via SCAP 符合SCAP规范的FDCC文档Fdcc-winxp-xccdf.xmlFdcc-winxp-xccdf.xml 其它相关内容介绍安全基线与相关产品介绍 等级保护政策介绍 一些思考 参考链接安全基线(Security Baseline) 安全基线 木桶效应:一个水桶无论有多高,它盛水的高度取决 于其中最低的那块木板。 一个信息系统的安全防护水平取决于防护能力最差的 个体的水平(而并非平均值) 安全基线的元素包括: 操作系统组件的配置。例如:Internet信息服务(IIS)自带的所有 样本文件必须从计算机上删除。 权限和权利分配。例如:只有管理员才有权更改操作系统文件。 管理规则。例如:计算机上的administrator密码每30天换一次。国内形势 中国移动公司下发的“中国移动公司基线安全配置指 南”,要求总部和所有分公司内部业务终端进行合规 配置。 绿盟的BVS实际上早期是为移动公司定制开发的项目 ,完成了中国移动安全基线的技术细节落地的环节, 其研发过程参考了FDCC的思想。 中国国家信息中心提出了“中国政务

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 职业教育

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号