SCAP协议及FDCC简介.pptx

  1. 1、本文档共45页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
SCAP协议及FDCC简介ppt整理

SCAP协议及FDCC简介; 1 相关背景介绍 ;;FISMA;与NIST是什么关系? FISMA中指定NIST的作用,制定信息安全标准(Federal Information Processing Standards)和指导方针(Special Publications in the 800-series) 并指定NIST的一些具体职责:制定标准、技术支持、信息系统分类和最低安全要求。; NIST随后逐步发布了符合FISMA风险管理要求的800系列文档 FIPS Publication 199, Standards for Security Categorization of Federal Information and Information Systems; FIPS Publication 200, Minimum Security Requirements for Federal Information and Information Systems; NIST Special Publication 800-18, Revision 1, Guide for Developing Security Plans for Federal Information Systems; NIST Special Publication 800-30, Revision 1, Risk Assessment Guideline (October 2008); NIST Special Publication 800-37, Guide for the Security Certification and Accreditation of Federal Information Systems; NIST Special Publication 800-39, Managing Risk from Information Systems: An Organizational Perspective (DRAFT); NIST Special Publication 800-53, Revision 2, Recommended Security Controls for Federal Information Systems; NIST Special Publication 800-53A, Guide for Assessing the Security Controls in Federal Information Systems; NIST Special Publication 800-59, Guide for Identifying an Information System as a National Security System; NIST Special Publication 800-60 Revision 1, Guide for Mapping Types of Information and Information Systems to Security Categories. ; 2 SCAP产生的背景 ;相关背景;此外 很多高层的规范(可能是强制性的,如FISMA)需要有一种手段落实到低层的技术细节上; 3 SCAP是什么 ;;Motivation Elements; ;;SCAP/FISMA/NIST 是什么关系? FISMA是法规,是美国政府制定的信息安全管理的法律依据。 NIST是政府授权去制定和实施标准、技术援助的机构。 SCAP是NIST为了实施符合FISMA的自动化要求而制定的一个协议。 ;;安全配置校验(Security Configuration Verification) 大量的安全配置条目:不仅要human-readable以便于理解,还需要machine-readable以便于实现自动化校验。 Manual checklists: SCAP-expressed security configuration checklists:;标准符合性验证 以极高的效率和准确率检验系统(或产品)与高级别策略的符合性(合规性),如FISMA,ISO27001,DOD8500等。 标准化的安全枚举(Standardized Security Enums) 通过整合CVE/CCE/CPE,使漏洞扫描、补丁管理、平台管理等工作能够相互融合。不再出现各种安全产品厂商各自为阵,命名混乱的局面。 脆弱性度量(Vulnerability Measurement) 通过整合CVSS/CVE/CPE,提供量化(quantitative)的、可持续的系统脆弱性度量和漏洞评分机制。 ;NI

文档评论(0)

zyzsaa + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档