SCAP协议及FDCC简介.pptx

SCAP协议及FDCC简介; 1 相关背景介绍 ;;FISMA;与NIST是什么关系？ FISMA中指定NIST的作用，制定信息安全标准（Federal Information Processing Standards）和指导方针（Special Publications in the 800-series） 并指定NIST的一些具体职责：制定标准、技术支持、信息系统分类和最低安全要求。; NIST随后逐步发布了符合FISMA风险管理要求的800系列文档 FIPS Publication 199, Standards for Security Categorization of Federal Information and Information Systems; FIPS Publication 200, Minimum Security Requirements for Federal Information and Information Systems; NIST Special Publication 800-18, Revision 1, Guide for Developing Security Plans for Federal Information Systems; NIST Special Publication 800-30, Revision 1, Risk Assessment Guideline (October 2008); NIST Special Publication 800-37, Guide for the Security Certification and Accreditation of Federal Information Systems; NIST Special Publication 800-39, Managing Risk from Information Systems: An Organizational Perspective (DRAFT); NIST Special Publication 800-53, Revision 2, Recommended Security Controls for Federal Information Systems; NIST Special Publication 800-53A, Guide for Assessing the Security Controls in Federal Information Systems; NIST Special Publication 800-59, Guide for Identifying an Information System as a National Security System; NIST Special Publication 800-60 Revision 1, Guide for Mapping Types of Information and Information Systems to Security Categories. ; 2 SCAP产生的背景 ;相关背景;此外 很多高层的规范（可能是强制性的，如FISMA）需要有一种手段落实到低层的技术细节上; 3 SCAP是什么 ;;Motivation Elements;;;SCAP/FISMA/NIST 是什么关系？ FISMA是法规，是美国政府制定的信息安全管理的法律依据。 NIST是政府授权去制定和实施标准、技术援助的机构。 SCAP是NIST为了实施符合FISMA的自动化要求而制定的一个协议。 ;;安全配置校验（Security Configuration Verification) 大量的安全配置条目：不仅要human-readable以便于理解，还需要machine-readable以便于实现自动化校验。 Manual checklists: SCAP-expressed security configuration checklists:;标准符合性验证 以极高的效率和准确率检验系统（或产品）与高级别策略的符合性（合规性），如FISMA，ISO27001，DOD8500等。 标准化的安全枚举(Standardized Security Enums) 通过整合CVE/CCE/CPE，使漏洞扫描、补丁管理、平台管理等工作能够相互融合。不再出现各种安全产品厂商各自为阵，命名混乱的局面。 脆弱性度量(Vulnerability Measurement) 通过整合CVSS/CVE/CPE，提供量化(quantitative)的、可持续的系统脆弱性度量和漏洞评分机制。 ;NI