基于SCAP框架的信息系统安全基线技术研究与应用.PDF

ELECTRIC POWER ICT 中图分类号：TP319　　文献标志码：B　　文章编号：2095-641X(2014)07-0097-04 基于 SCAP 框架的信息系统安全 基线技术研究与应用 罗朝宇 1 ，王福新2 ，李宗涛2 （1. 内蒙古电力 （集团 ）有限责任公司 ，内蒙古 呼和浩特 010020 ，2. 内蒙古电力信息通信 中心 ，内蒙古 呼和浩特 010020 ） 摘要：为使 内蒙古电力公司信息系统达到预定的安全防护水平 ，在借鉴参考国际上主流的安全检查策 略即 SCAP 框架基础上 ，结合企业信息安全实际情况 ，对适用于国内的强制性系统安全差距与策略标 准进行探讨 ，建成 了自动化 的信息安全基线检查 系统 ，实现 了对信息设备安全配置的 自动检查 ，并根 据检查结果给 出安全状况评估值 ，改进 了企业信息安全检查的工作方式 ，提高了信息安全检查结果的 准确性 ，完成 了自动检测技术、信息智能重整技术和安全评估方法等关键技术的研究和应用 ，从而提 升了企业的信息安全水平。 系 关键词：SCAP 框架；信息安全；安全基线 统 开 发 与 FDCC ）项 目。 应 0　引言 2007 年 5 月 ，美 国 国 家 标 准 与 技 术 研 究 院 用 信息安全 防护简单来说就是进不来 、拿不走 、看 （N ation al In stitut e of St an dar ds an d Techn ology ， 不懂 、改不 了、跑不 了 ，如何让攻击者无处进入 ，就需 NIST ）提 出 了 信 息 安 全 自动 化 计 划 （Information 要 对 现有 系统进 行 安 全 加 固 ，使 得 系统 没有 漏 洞 和 Security Automation Program ，ISAP ）。该 计 划 是 由 后 门。有效 的加 固就需要 掌握所有 系统 的漏洞 和配 美 国国家安全局 、国防信息 系统局 、国家标 准与技术 置要 求 。 由于信 息 系统 种类 繁 多 ，同一 种类 设 备 的 研 究 院、国土 安 全 部 等 多 个 部 门发 起 ，目标 是 让 漏 型号也不尽相 同 ，安全配置检查 的专业性强 ，单靠人 洞 、配 置 的管 理 和安 全 测试 及 符 合 性 能够 实 现 自动 工 的力 量无 法 做 到所 有 漏 洞 和配 置全 面 了解 ，因此 化 管 理 。ISAP 发 布后 延 伸 出 SCAP 框 架 ，SCAP 框 应该研究信息 系统应满足 的最基本 的信息安全配置 架 由 CVE ，CCE ，CPE ，XCCDF ，OVAL ，CV SS 等 6 要求 ，也就是安全基线 ，从 而使信息 系统达 到预定 的 个支撑标准构成 （检查 的标准 、一致性标准等 ）。这 6 安全 防护水平 。信息安全基线 的定义是在诸 多标 准 个支撑标准需要检查 的内容 、检查 的方式 由国家漏洞 规范 中规定 的一组安全控制措施或者惯例 。