NIST 800-53(2013版).ppt

3）实现高保障的开发和运行活动 　组织提高保障的门槛可能是困难的，高成本的，但有时对关 键应用、使命或业务功能，提高保障门槛又确是基本的。 　指导1：从管理的角度，确定组织信息技术基础设施的那些 部分安全功能，需要实现较高的保障，这是层１／层２的风险 管理活动（参见图４）。当组织决定为保护组织运行（即使 命，功能，形象和声誉）、组织资产、个人、其他组织或国家 而必要的安全需求时，就需要进行这一类型的活动。 　确定生成合适保护所需要的安全需求及其关联的安全能力， 是整个组织风险管理过程的一部分,特别是在遵循风险管理框 架和风险评价步骤，开发风险响应战略中。 在层１和层２上确定了安全需求和安全能力（包括为提供信 心测度－具有期望的能力，所必要的保障需求）之后，这些需 求和能力就反映在组织业务体系结构的设计中，反映在相关的 使命／业务过程中，反映在为支持这些过程所需要的组织信息 系统中。 组织可以使用风险管理框架（参见NIST SP 800-3７），确 保部署承担核心使命和业务功能的信息系统和系统，实现合适 的保障等级。这是层３上的主要活动，但与层１和层２具有某 些交叉，例如共用控制的选择。 　指导2：从一个软件和系统开发角度，构造可信赖的信息系 统是困难的。但如果使用现有一些设计原则以及体系结构和实 现原则，就可产生更值得信赖的系统。 这些核心的安全原则，例如包括： -简洁性；-模块化；-层次化；-域隔离；-最小授权； -最小功能；-资源隔离／封装等。 通过这些原则，使产品／系统具有所要求的安全功能和安全 保障，即：很少出现“隐蔽”的设计，在实现上很少出现缺陷 率，对一定范围的威胁，例如包括：复杂的赛博攻击，核破坏 者，事件和有意无意的错误，具有较高程度的渗透抵抗能力。 以上这些指导，决定了可信模型的水平。 4）关于联邦信息系统和组织的最小保障需求 附录Ｅ针对联邦信息系统和组织，描述了最小的保障需求， 并在附录Ｄ的安全控制基线中明确给出了为确保满足该需求 所需要的与保障相关的控制。例如： 　最小保障需求－低影响系统 　保障需求：组织基于其安全需求、安全策略和需要的安全能 力，期望： ?具有有限强度的安全功能； ?通过相关联的安全证据之深度和覆盖的支持，具有一定程 度的信心－这些安全功能是完整的、一致的，并且是正确的。 补充指导：低影响系统的安全功能和保障，通过实现的安全控 制－由剪裁附录D中的低基线－予以达到。低影响系统（包括 组成这些系统的信息技术部件）的保障需求，通过采用没被修 改的、市场上订购的产品（COTS）和服务，实际上是可达到 的。由于期望低影响系统具有有限的安全功能强度，因此所产 生的安全证据，其深度／覆盖是最小的，并不期望大于COST制 造者、供应商所提供的深度／覆盖。深度／覆盖的证据可通过 安全控制评价结果来进一步予以补充，并不断监视组织的信息 系统及其运行环境。对于非基于技术的功能，强调的是一个有 限程度的信心－完备、正确和一致的规程方面和／或运行方面 的安全功能（例如：策略、规程、物理安全和人员安全）。 如何实现最小安全保障需求，可参阅附录E。从中就可以发 现，附录Ｆ中的安全控制目录从两个角度来强调安全，即： 从功能性角度 -所提供安全控制和机制的强度； 从保障角度 -相信所实现的安全能力之信心的测度。 强调各安全功能的安全保障，有助于确保信息技术部件产 品和由这些部件所构建的信息系统，使用有力的系统和安全 工程，是充分可信赖的。 最后，值得一提的是： 　为了使本标准具有可操作性，该标准给出了１０个附录： 　 附录Ａ：参考文献，１８１篇 　 附录Ｂ：术语与术语定义，２２８个； 　 附录Ｃ：缩略语，５４个 　 附录Ｄ：总结－安全控制基线　（４４页） 　 附录Ｅ：保障与信赖 　 附录Ｆ：安全控制目录，（２３１页） 　 附录Ｇ：信息安全程序 　附录Ｈ：安全控制到ISO/IEC 27001和15408的映射（34页） 　 附录Ｉ：覆盖模板　　　　附录Ｊ：隐私控制目录　 结束语： 通过以上五方面内容的介绍，可以看出，美国在解决联邦 信息系统以及工控系统的安全问题上，采用的： 1）基本思想是：风险管理 因为IT技术本身的缺陷以及威胁能力的不断提高， 一 切IT系统本质上没有安全（security）可言，因此，只能实 现“相对安全”，即抵御不断出现的各类风险，达到一种安全 （secure）的状态，并通过保障达到可信的（trusted）， 即按预想的那样运行，以及就满足所规定的安全需求产生了 期望的结果，并执行或修补已建立的安全策略。 2)基本途径是：一种紧密联系的三层（a three-tier