作为美国国防部信息安全保障的一部分.docVIP

作为美国国防部信息安全保障的一部分，美国国防信息系统局（the Defense Information Systems Agency，DISA）已经公布了一系列的《安全技术实施指南》（Security Technical Implementation Guides，STIGs），确保国防部无数的系统处于安全配置状态。 　　国防信息系统局公布的《安全技术实施指南》覆盖操作系统、网络设施（如路由器和防火墙）、数据库以及企业和桌面应用程序。为了反映不断变化的信息保障需求，《安全技术实施指南》将会不断加以更新。 　　对于许多防务机构来说，要跟得上《安全技术实施指南》的发展步伐、遵守它的相关规定是一项挑战。为了应对这一难题，一些公司现在提供自动化的检查工具，帮助各单位安全地配置所属系统。 　　根据国防部指令8500.1的权威发布——该指令要求“所有纳入国防部信息系统的信息安全保障产品应该根据国防部批准的安全配置指南进行设置”——美国国防信息系统局颁发的《安全技术实施指南》在整个国防部具有强制性，并且已经为许多联邦机构所接受，该指南同样引发了私营部门的关注。 　　国防信息系统局《安全技术实施指南》为国防和工业计算设备及应用程序建立起一条安全底线。eIQnetworks公司（提供网络态势感知相关产品及服务）副总裁兼首席安全与合规官约翰?林克斯说：“机构需要某种类型的说明指导，《安全技术实施指南》是一种好的方法。在此指南中，大多数高水平的建议不是指令性的。《联邦信息安全管理法案》（The Federal Information Security Management Act）要求各机构对系统加强防护，抵御威胁，但是它并没有具体说明对于Windows 2000操作系统、数据库、思科防火墙及其他系统、应用程序和组件应该采取什么样的措施。” 　　Tripwire公司（该公司为用户提供配置管理服务）规范检查与安全架构师亚当?蒙特维尔说：“《安全技术实施指南》包含了我所说的一些好的实践，但并不是最好的做法，最好的做法取决于企业具体的解决方案以及它所面临的威胁。国防信息系统局发布的《安全技术实施指南》只能作为一种最低层次防御威胁的指导。” 　　如果评估操作系统、数据库、网络服务器和应用程序的过程只采用人工方式，这一过程将变得尤为笨拙。据主要提供信息安全管理服务的Excentium公司首席技术官安迪?克雷斯介绍，当今世界，自动化的工具已经变得非常重要，但在一次完整的安全评估中人工方法仍很必要。 　　克雷斯说：“80%的程序能够而且应该自动化完成，不过，剩下的20%仍需人工验证。无论自动化程度有多高，漏洞识别需要进行很多不同类型的测试，这必须仍由人工完成。” 　　从人工到自动化 　　在今天的市场上，有许多自动化的工具可以实现传统上由人工审核的程序，以便验证这些程序是否符合各种《安全技术实施指南》。许多供应商专注于《安全技术实施指南》所涵盖的专业领域，如基础设施、数据库、应用程序和设备。 　　至少有一家供应商提供有关信息系统的指挥与控制中心产品和服务，使安全人员可以从宏观角度出发，检查系统遵守《安全技术实施指南》的情况。随着《安全技术实施指南》越来越多地采用标准化协议描述安全方面的要求，安全工具的研发与应用也变得越来越自动化。 　　“当工程师依照安全标准，检验网络设备是否已经进行了合理配置时，他必须人工登录这套设备，检查配置选项，证实这些配置是否符合《安全技术实施指南》的要求，” Refense技术公司首席执行官汤姆?帕姆皮利诺解释说。该公司是一家供应商，为用户提供有关系统漏洞及符合法律规范的解决方案。 　　“这种人工流程在每件设备上可能要花费45分钟到2个小时的时间，必须由具备一定网络资质并拥有某些资格证书的非常熟练的工程师完成，以便验证设备的配置情况。这不仅是一项劳动密集型的工作，而且很难实现较高的精确度，因为实施检查的人员与最初对设备进行调试的人员是同一批人。我们告诉客户，如采用人工方法，每件设备平均需要花费60分钟检查配置情况，还需要再花费30分钟时间调整配置。自动化的工具可以把这一流程从几小时缩短到几分钟。” 　　蒙特维尔说：“国防部有数十万台主机，你还必须考虑操作系统、应用层和网络设备的情况。如果不能采取一种自动化的方法检查系统遵守《安全技术实施指南》的状况，你甚至不知道如何下手，更不用说顺利完成这一工作了。依靠人工方法，你永远都不可能跟上《安全技术实施指南》发展的步伐。不采用自动化的流程，你只能对系统配置的安全状况放任自流，得过且过。” 　　网络基础设施《安全技术实施指南》旨在帮助用户满足网络安全运行必需的最低要求、标准、控制和选项设置。该文件为飞地边界（enclave perimeter）、防火墙、路由器、设备管理、身份验证与授权以及账户、密码