一. 安全基线的理论基础
FISMA的全称是The Federal Information Security Management Act,联邦信息安全管理法案,是由美国国家标准和技术研究所(NIST)牵头制定。FISMA把责任分配到各种各样的机构上来确保联邦政府的信息系统和数据安全。FISMA的推出使得一直忽视计算机安全的联邦政府开始关注计算机安全。
FISMA(The Federal Information Security Management Act)提出了一个包含八个步骤的信息安全生命周期模型,这个模型的执行过程涉及面非常广泛且全面,但实施、落地的难度也非常大。如图1.1所示,FISMA规范落地的过程好像从高空到地面,真正实施起来非常复杂。
图 1.1 FISMA法案的落地
为了实现FISMA法案的落地,由NIST牵头针对其中的技术安全问题提出了一套自动化的计划称为ISAP(information security automation program)来促进FISMA的执行,ISAP出来后延伸出SCAP框架(security content automation protocol),SCAP框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6个支撑标准构成(检查的标准,一致性标准等)。这6个支撑标准需要检查的内容、检查的方式由NVD和NCP来提供,由此SCAP框架就实现了标准化和自动化安全检查,及形成了一套针对系统的安全检查基线。
SCAP及安全基线的最重要成果和成功案例当属FDCC(Federal Desktop Core Configuration,联邦桌面的核心配置)项目,FDCC是在美国政府支持下建立的桌面系统(Windows XP、Windows vista等)相关安全基线要求规范,并通过自动化的工具进行检查。FDCC基于NVD、NCP等内容进行基线安全核查。NVD(National Vulnerability Database,国家漏洞数据库)为自动化漏洞管理、安全评估和合规性检查提供数据支撑,包含安全核查名单、与安全相关的软件漏洞、配置错误以及量化影响等。NVD数据库针对数据库中的漏洞等提出了一整套核查名单(Checklist),划归到NCP(National Checklist Program)计划中。简言之FDCC体现了两个方面的特性:
1. 标准化:在NVD、NCP的基础上,构建了一套针对桌面系统的安全基线(检查项),这些检查项由安全漏洞、安全配置等有关检查内容构成,为标准化的技术安全操作提供了框架。
2. 自动化:针对桌面系统的特性,采用标准化的检查内容和检查方法,通过自动化的工具来执行,为自动化的技术安全操作提供支持。
如图1.2所示,为NVD和NCP的逻辑关系图:
图 1.2 NVD和NCP示意图
综上,安全基线的重要理论基础之一就是美国的NVD以及SCAP体系。在运营商行业中业务系统可以很容易地找到安全基线的应用价值,比如某运营商的智能网系统在各省级公司中的业务应用环境、网络连接情况、内部组网结构、内部系统构成等都存在很大的相似性,因此这就为构建一套运营商自身业务系统的“SCAP”计划提供了基础。
