《scap协议与fdcc简介》由会员分享,可在线阅读,更多相关《scap协议与fdcc简介(45页珍藏版)》请在金锄头文库上搜索。
1、SCAP协议及FDCC简介,王珩 2011.1,1 相关背景介绍,5 FDCC简介,4 SCAP技术细节,3 SCAP是什么,2 SCAP产生的背景,NIST(National Institute of Standards and Technology)美国国家标准与技术研究所。 是美国商务部所属的联邦研究机构, 集科研、计量、标准化、技术创新为一体, 并根据国会授权制定事关国家重大利益的标准 NIST 作为美国高端的联邦研究机构, 以集科研、计量、标准化和技术创新于一体的实力与优势, 确立了美国国家标准研究中心的地位。同时, 它还是美国标准化活动的战略管理者和美国标准化技术服务中心。,FIS
2、MA,联邦信息安全管理法案(Federal Information Security Management Act ) 制订于2002年的联邦法案(U.S. Fedral Law) 是当前美国信息安全领域的一个重要发展计划 目的是通过采取适当的安全控制措施来保证联邦机构的信息系统安全性 FISMA将其实施步骤分为开发标准和指南(2003-2008)、形成安全能力(2007-2010)和运用自动化工具(2008-2009)三个阶段。 FISMA的愿景:促进和发展美国的主要安全标准和准则,主要内容包括: 指导信息系统的安全标准分类 指导制订信息系统的最低安全要求 指导针对信息系统选择适当的安全控制
3、 指导对信息系统的安全控制进行评估 指导对信息系统的认证测评,与NIST是什么关系? FISMA中指定NIST的作用,制定信息安全标准(Federal Information Processing Standards)和指导方针(Special Publications in the 800-series) 并指定NIST的一些具体职责:制定标准、技术支持、信息系统分类和最低安全要求。,NIST和FISMA的关系,NIST随后逐步发布了符合FISMA风险管理要求的800系列文档 FIPS Publication 199, Standards for Security Categorizatio
4、n of Federal Information and Information Systems; FIPS Publication 200, Minimum Security Requirements for Federal Information and Information Systems; NIST Special Publication 800-18, Revision 1, Guide for Developing Security Plans for Federal Information Systems; NIST Special Publication 800-30, Re
5、vision 1, Risk Assessment Guideline (October 2008); NIST Special Publication 800-37, Guide for the Security Certification and Accreditation of Federal Information Systems; NIST Special Publication 800-39, Managing Risk from Information Systems: An Organizational Perspective (DRAFT); NIST Special Pub
6、lication 800-53, Revision 2, Recommended Security Controls for Federal Information Systems; NIST Special Publication 800-53A, Guide for Assessing the Security Controls in Federal Information Systems; NIST Special Publication 800-59, Guide for Identifying an Information System as a National Security
7、System; NIST Special Publication 800-60 Revision 1, Guide for Mapping Types of Information and Information Systems to Security Categories.,SP 800 系列,2 SCAP产生的背景,5 FDCC简介,4 SCAP技术细节,3 SCAP是什么,1 相关背景介绍,相关背景,企业日常信息安全维护工作 执行系统基线安全配置 对系统安全配置进行实时监控 检查补丁安装情况 定期进行漏洞扫描 这些工作有点复杂,因为 The number and variety of s
8、ystems to secure. 需要进行安全维护的系统数量巨大且各不相同 The need to respond quickly to new threats. 对于新的威胁需要有快速的反应 The lack of interoperability. 安全工具之间缺乏互操作性,此外 很多高层的规范(可能是强制性的,如FISMA)需要有一种手段落实到低层的技术细节上,SCAP was created.,相关背景,3 SCAP是什么,5 FDCC简介,4 SCAP技术细节,2 SCAP产生的背景,1 相关背景介绍,什么是安全内容自动化协议? 安全内容自动化协议(SCAP:Security Co
9、ntent Automation Protocol),它列举了各种软件产品的漏洞,各种与安全有关的软件配置问题,并提供了漏洞管理自动化的机制。它用开放性标准实现了自动化脆弱性管理、衡量和策略符合性评估。 SCAP是信息安全自动化计划(ISAP:Information Security Automation Program)的一部分,主要由很多现有的标准组成。(这些组成部分被称为Scap Component) CVE(通用漏洞披露) CVSS(通用漏洞评价体系) CPE(通用平台枚举):可以利用该平台列举出各项企业资产,为各项资产的数据提供基本的管理依据 CCE(通用配置枚举):与CVE很相似,
10、但是主要用于处理错误配置问题 OVAL(开放漏洞和评估语言):说明计算机的配置和发现的漏洞情况 XCCDF(可扩展配置清单说明格式):用于描述安全配置列表(checklists)、基准点(benchmarks)相关文档。一般用于描述目标系统安全配置规则。,Motivation & Elements,3 major motivation Standardize 标准化、整合 Automate 自动化 Map high-level to low-level 落地 2 major elements: Protocol A suite of open specifications that stand
11、ardize the format and nomenclature. 一系列对格式和命名进行标准化的规范 Content Software flaw and security configuration standardized reference data. 对软件漏洞和安全配置标准化的参考数据,Cisco, Qualys, Symantec, Carnegie Mellon University,SCAP1.0融合了这6个标准,但没有对它们进行修改,标准彼此之间是相对独立的,SCAP/FISMA/NIST 是什么关系? FISMA是法规,是美国政府制定的信息安全管理的法律依据。 NIST
12、是政府授权去制定和实施标准、技术援助的机构。 SCAP是NIST为了实施符合FISMA的自动化要求而制定的一个协议。,FISMA,NIST,SCAP,SCAP,通过 SCAP整合标准,SCAP,CVSS XCCDF OVAL,安全配置校验(Security Configuration Verification) 大量的安全配置条目:不仅要human-readable以便于理解,还需要machine-readable以便于实现自动化校验。 Manual checklists: SCAP-expressed security configuration checklists:,常见的SCAP应用场
13、景,SCAP-expressed checklists,SCAP-validated configuration scanners,Automated Reports,典型应用:FDCC,标准符合性验证 以极高的效率和准确率检验系统(或产品)与高级别策略的符合性(合规性),如FISMA,ISO27001,DOD8500等。 标准化的安全枚举(Standardized Security Enums) 通过整合CVE/CCE/CPE,使漏洞扫描、补丁管理、平台管理等工作能够相互融合。不再出现各种安全产品厂商各自为阵,命名混乱的局面。 脆弱性度量(Vulnerability Measurement)
14、 通过整合CVSS/CVE/CPE,提供量化(quantitative)的、可持续的系统脆弱性度量和漏洞评分机制。,常见的SCAP应用场景,NIST主导的企业风险管理框架,Enterprise Risk Management Framework,Starting Point,CATEGORIZE Information System,SELECT Security Controls,IMPLEMENT Security Controls,ASSESS Security Controls,AUTHORIZE Information System,MONITOR Security State,Se
15、curity Life Cycle,根据受到危胁产生后果的严重性对信息系统进行分类(分级),根据类别的不同为信息系统选择不同的基线安全控制并按需要进行裁剪,执行制订的基线安全控制 如应用制订的安全配置,对执行的结果更行评估,配置是否有效,是否达到了安全需求,通过不断地监视系统中可能会影响到安全控制的变化,重新评估安全控制有效性,对信息系统进行测评认证?,SCAP,SCAP在NIST风险管理中的作用,SCAP使检查单标准化,并在计算机安全配置和NIST的SP 800-53第1次修订本(SP 800-53 rev1 )的控制框架之间建立自动链接。 当前版本的SCAP能够对系统进行初步的衡量,对安全
16、设置和相应的sp 800-53 rev1安全控制进行持续监控。 以这样的方式,SCAP有助于NIST风险管理框架的实施、评估和监控步骤。 因此,SCAP是NIST FISMA实施计划不可分割的一部分。,NIST SCAP Product Validation,NIST建立了产品SCAP符合性认证机制 保证安全类产品符合SCAP相关标准体系。 谁需要基于SCAP验证他们的产品? 安全配置管理、漏洞测试和其他安全审计工具的供应商,如果希望把产品售往美国政府市场(或者是采用了该标准要求的商业客户的要求) ,需要遵照FISMA的要求对产品进行验证。 国内类似的准入体制 中国信息安全测评中心 中国信息安
17、全认证中心 国家保密局涉密信息系统安全保密测评中心 公安部信息安全产品检测中心 民间机构: 360软件安全认证中心,9家NIST National Voluntary Laboratory Accreditation Program (NVLAP)实验室遵循NIST Handbook 150和NIST Handbook 150-17两个手册,对符合技术要求的厂家产品进行测试。 研发相关产品的主要有BIGFIX、CA、MACFEE、Symantec等,支持不同种类的自动化检查,产品名称都基本叫安全中心、安全融合等,Symantec更是针对性很强,就叫Control Compliance Suit
18、e Federal Toolkit,BIGFIX干脆就叫Discovery 7 在SCAP_Validation_Program_RC_v1.0.2.doc中明确了以下类型安全产品需要经过SCAP认证: 1 FDCC Scanner 2 Authenticated Configuration Scanner 3 Authenticated Vulnerability and Patch Scanner 4 Unauthenticated Vulnerability Scanner 5 Intrusion Detection and Prevention 6 Patch Remediation 7 Mis-configuration Remediation 8 Asset Scanner 9 Asset Database 10 Vulnerability Database 11 Mis-configuration Database 12 Malware Tool,
