如果你是在国防行业相关的企业中工作,你可能常常会听到DISA STIG,但是你可能只知道DISA STIG是一个标准,那么它具体是什么呢?可能你还有很多疑惑,如果说有一天你需要过DISA STIG的认证标准,那么又该怎么做呢?那这期的文章就让我们聊聊这个话题吧,跟着我一起走进今天的小课堂。

STIG的概述

首先,我们要明白DISA STIG中的DIAS和STIG本身是代表什么:

DIAS其实就是国防信息系统局(Defense Information Systems Agency)的简称。

STIG其实就是安全技术实施指南(Security Technical Implementation Guides)的简称。

安全技术实施指南(STIG)是由国防信息系统局(DISA)开发的配置标准。设计这个标准的目的就是保证设备的硬件和软件都尽可能的安全,从而保护美国国防部(DoD)的IT网络和系统。

遵从STIG是对任何和国防部机构或者国防部信息网络(DoDIN)有关组织的要求。当然了,这其中包括了可以访问国防部网络或者系统的承包商。其实STIG不是只有一个,而是有数百个,所以你常常会见到STIGs这个名词,这些STIGs是为特定的软件、路由器、操作系统和设备设计的。

国防部机构大概率会使用已经在他们的网络基础设施中使用过的现成的IT产品,同时,STIG的使用也能将产品的安全性大大提升。这与供应商的传统观念形成对比,供应商可能更注重产品的可用性而不是安全性。

强化IT配置方法有助于减少漏洞并降低网络安全事件的风险。但是一个产品获得在网络中使用的许可证,很大程度上,针对这种产品设立新的STIG很重要。这期我们探讨一下DISA STIGs的相关知识,后面我们再接着聊聊如何帮助组织去实现法规遵从性的解决方案。

什么是DISA·STIG?

国防信息系统局(DISA)是美国国防部的一部分。它是一个支持机构,专注于维护DoDIN的IT服务和基础设施。DISA为国防网络提供信息技术和通信系统服务。国防部正是有了这些强大的信息技术系统和网络服务做保障,才能每天高效率地运作。DISA的一个主要工作点是使国防部网络安全能抵御网络安全威胁和潜在风险。所以DISA通过关注基础设施和网络安全以及加强网络安全措施(包括边界防御和终端安全)来实现这一目标,简单来说,DISA是从硬件开始着手,一步一步向上层把关,层层把控。

安全技术实施指南(STIGs)是DISA通过加强基础设施安全配置来保护国防部网络弹性和保护政府信息系统免受网络安全威胁和恶意攻击的主要方式。

STIGs为一系列特定的产品和解决方案提供安全标准,这些东西包括了DoDIN中的网络、软件和设备安全控制、要求等。

什么是STIG Security?

安全技术实施指南(STIGs)是国防部机构内部部署的IT产品的一系列网络安全要求。STIGs是网络设备、软件、数据库和操作系统配置指南的来源。目的是通过使网络设置尽可能安全,降低网络安全威胁、破坏和入侵的风险。

连接到国防部系统或网络的组织必须符合STIG标准。这适用于国防机构、连接到国防部系统的国防承包商以及其他组织机构。

STIGs的涉及点包括:

  • 应用程序

  • 云网络

  • 移动设备

  • 操作系统

  • 浏览器

  • 路由器和服务器

  • 网络

  • 网络设备

到目前为止,DISA已经发布了数百个STIGs,囊括一系列的网络、操作系统、网络设备和软件。该指南有助于将设备和软件与外部影响或漏洞隔离开来,从而保护整个网络。还有针对更广泛的网络安全政策的指南,比如用户访问。

除了产品和软件之外,STIGs还可以涵盖整个系统架构和许多网络元素的配置。复杂的STIGs可能包括防火墙、路由器和服务器配置。一个系统可能需要多个STIGs来安全地配置每个组件。

STIGs不仅仅为多种产品而设计,针对同一产品的不同版本,STIGs仍然会更新迭代。所以说,每次迭代都需要考虑独特的漏洞。

STIGs是怎么发展的?

DISA每个季度都会发布全新的或者是新的STIGs,不过有些可能是为了应对新出现的威胁和问题而发布的。这些更新考虑了一些供应商的版本更改,这可能会改变配置要求,或者减少新的漏洞。

STIGs要么完全由DISA与其他政府机构和部门一起开发,要么由软件或设备供应商自己开发。在第一种情况中,来自DISA的内部专家将设计和更新STIGs,以满足新出现的技术或威胁。

在国防部网络和系统上运行的产品或信息技术服务需要符合STIG法规。每个STIG是根据国防部的网络安全要求来评估产品。在许多情况下,DISA将与供应商合作开发STIG,并确保产品符合国防部的要求。

STIG评估方法注重高度安全,这可能会影响软件和应用程序的功能。但是,供应商参与STIG的开发意味着功能性和安全性都可以保持平衡。

当一个IT解决方案被新的产品取代或不再受支持时,相关的指南就成了“废弃STIG”。这意味着DISA不会再更新这个STIG,尽管该指南仍可用于之前工具和软件。

2020年,DISA更新了创建STIGs的系统,为未来发展提供了更大的灵活性。这导致了对组和规则id(Vul和Subvul IDs)的修改。

什么是DISA STIG合规水平?

每个STIG要求要解决的漏洞具有不同级别。这些风险从直接面临被严重利用风险的漏洞到影响系统总体安全性的间接风险不等。遵守风险最大的控制措施至关重要。

STIG中的每项规则都有一个对应的合规级别。该级别对应于漏洞或威胁的风险程度。严重性分为三类,根据风险或脆弱性级别进行排序。这些代码被大家称为严重类代码(CAT),并细分为1类、2类和3类风险级别。第1类控制涵盖了最严重的漏洞和风险。

第1类STIG合规级别

STIG 1类规则涵盖了最有可能被利用的设置。如果被恶意攻击利用,这些漏洞将成为范围更大更严重的网络威胁。如果不及时检查,第1类漏洞可能会直接导致数据泄露或服务丢失。这些被视为高等风险或者叫高严重性,应首先解决。

第2类STIG合规级别

STIG 2类规则涵盖了可能导致网络安全问题的设置或漏洞。尽管事故风险仍然很高,但2类事故不会导致1类事故中提到的系统完整性的直接损失。这些被视为中等风险或者叫中严重性,但是如果不及时检查,可能会导致1类漏洞。

第3类STIG合规级别

STIG 3类规则包括如果不加检查会降低系统或网络防御的设置。这些漏洞增加了网络安全攻击或系统故障的风险,但不会直接导致严重后果。这些风险被认为是低等风险和低严重性,但会导致2类漏洞。

如何实现DISA STIG

DISA STIG是全面的技术指南,概述了应对安全风险和已知漏洞的控制措施。STIGs采用配置检查清单的形式来帮助用户实施,但是数百个组件可能会占用很多的时间和资源。

但是真正的挑战还是来自于随着新版本的发布带来新的漏洞和问题,于此同时,我们仍然需要保持产品的合规性,以及满足每个版本所需要满足的STIG标准。当然了,STIGs标准体系的建立可能包括对人员最低培训水平、STIG的更新频率或配置设置的指导等等。

讲到如何去实现DISA STIG,但是同时也面临着许多麻烦和挑战,下期我们接着聊聊怎么高效地去实现DISA STIG。

摘自微信公众号Parasoft

你真的了解DISA STIG吗?相关推荐

  1. Parasoft如何满足DISA STIG标准

    上期讲到了DISA STIG的一些基础知识,但是对于我们用户来讲,我们其实更加关心如何去通过DISA STIG这个标准.但是这个通过流程并不是那么简单,所以这一期我们就来聊聊,DISA STIG标准需 ...

  2. 什么是DISA STIG?概述+STIG安全

    什么是 DISA STIG? DISA STIG (DISA-国防信息系统局)是指提供技术指南(STIG-安全技术实施指南)的组织. DISA 是国防部 (DoD) 的一部分.它是一个为国防部工作的所 ...

  3. 何为SCA?听听一枚产品汪妹子的纯干货分享

    刚毕业就成为了一名产品汪,还是高端大气上档次的网络安全行业(此处省略100字),而且还负责了一款重量级产品--配置核查系统,小妹又高兴又惶恐,只能发奋学习,努力努力再努力!以下就是这段时间我对SCA的 ...

  4. 这几款嵌入式软件测试工具,好用到起飞~

    也许你陌生,但在智能物联网时代,人们会越来越关注嵌入式软件测试. 说起嵌入式软件测试,我们先快速了解一下嵌入式软件自身的特点.嵌入式软件具有实时性.内存空间有限.I/O通道少,而且要求功耗低.高可靠性 ...

  5. linux 企业邮件服务器_什么是Linux服务器,为什么您的企业需要一个?

    linux 企业邮件服务器 IT组织努力通过提高生产率和提供服务的速度来交付业务价值,同时保持足够的灵活性以结合云,容器和配置自动化等创新技术. 无论是在裸机,虚拟机,容器,私有云还是公共云上运行的现 ...

  6. RHEL 8 - CIS安全合规基线、SCAP、SSG和合规扫描、漏洞扫描

    <OpenShift 4.x HOL教程汇总> 文章目录 CIS互联网安全中心 SCAP安全内容自动化协议 SCAP Security Guide - SSG 安装 SCAP Securi ...

  7. RHEL 8 - 用OpenSCAP工具对RHEL进行漏洞安全合规扫描,并修复

    <OpenShift 4.x HOL教程汇总> 已在 RHEL 8.4 上验证 本文的前置条件:RHEL8 - 配置基于安装 ISO 文件的 YUM Repo 文章目录 概念 什么是SCA ...

  8. rhel centos 源_Rhel centos 7的fips脚本

    rhel centos 源 My script implements a Red Hat solution. 我的脚本实现了Red Hat解决方案. Cryptography is vital for ...

  9. 什么是CVE?常见漏洞和暴露列表概述

    常见漏洞和暴露(Common Vulnerability and Exposures,简称CVE)收集了已知的网络安全漏洞和暴露,以帮助您更好地保护您的嵌入式软件. 在这里,我们会阐释什么是CVE,C ...

最新文章

  1. IIS6.0支持PHP设置
  2. Valgrind 安装与使用
  3. 学生管理系统代码赏析
  4. django 1.8 官方文档翻译: 3-1-1 URL调度器
  5. AI 时代,中国技术创新如何弯道超车?
  6. 11.05 选择前n个记录
  7. 连接本地数据库和远程连接他人数据库?
  8. Linux文件与管理(还是多记)
  9. 深圳学校积分计算机,深圳计算机 初级证书入户积分吗,看这里就知道了!
  10. CRC校验(循环冗余校验)小知识
  11. 什么是抖音小店飞鸽3分钟人工回复率?了解客服回复问题以及解决方案
  12. MFC制作Windows画图程序(一)
  13. vue 使用高德地图标记坐标,去除高德水印logo
  14. Linux 系统vim练习简单的 shell script
  15. 工欲善其事,必先利其器 – 网络抓包
  16. 黑莓z10 android,黑莓(BlackBerry)Z10手机系统介绍评测-ZOL中关村在线
  17. havc是什么意思_什么是AVC编码? 简述H.264概念和发展
  18. SoftLayer Object Storage 节点
  19. C# WinForm实现窗口始终在顶层
  20. windows系统键盘无法使用快捷键

热门文章

  1. SpringCloud-Alibaba全家桶
  2. 打包Mac应用程序注意事项
  3. %05d和%5d的区别和联系
  4. 每天1点执行的oracle JOB样例
  5. 唐骏:我的成功可以复制
  6. linux od 命令16进制,Linux od命令
  7. 2023年全国最新会计专业技术资格精选真题及答案10
  8. weakauras教程_魔兽世界:WeakAuras 教程3利用WA基础完成标准监控套件
  9. 小白学前端——让新手头疼的num++和++num问题
  10. 迈柯唯Servo-s中文编修手册