最高统帅部
内容安全自动化协议(最高统帅部)是一个标准,包括CVE,CVSS的,用户端设备,XCCDF和椭圆总体套件。 NIST的保持最高统帅部的内容,如何定义这些协议的所有工作,以自动的方式在一起。它也包含了在视盘新生血管这些标准的所有内容。
最高统帅部也有产品检验程序,以协助评估与各项开放标准兼容的产品。 NIST的提供了详细的验证领域的说明,简称这里给你一个可能的验证方面意义:
联邦桌面核心配置(FDCC)扫描仪:一个有能力的审计和评估指标体系的产品,以确定其与FDCC要求,这是美国政府的行政管理和预算局备忘录的M - 07 - 18结果的情况。这份备忘录指出,信息技术的供应商须证明申请完全功能和操作正确地使用系统的FDCC打算。
- 身份验证配置扫描仪:一个有能力的审计和评估指标体系,以确定其与定义的设置使用目标系统日志配置要求就特权遵守产品。
- 身份验证漏洞和补丁扫描:一个有能力扫描目标系统的定位和识别已知的软件缺陷的存在和评价软件补丁的状态,以确定一个定义的补丁使用权限的政策目标系统日志遵守产品。
- 未经身份验证的漏洞扫描:与所评价的多目标系统的网络能力,以确定已知的软件缺陷的存在的产品。
- 入侵检测和预防系统:产品,监测系统或未经授权或恶意活动网络。 IPS的目标,积极保护制度,打击这类活动或网络。
- 补丁修复:能够在上安装一个定义补丁政策规定的目标系统补丁。
- 配置错误修复:能够改变目标系统的配置,以使其符合定义的配置一套建议相关规定。
- 资产管理:能积极发现,审计,评估资产的特点,包括安装和授权的产品,在世界的位置,网络,或者企业,拥有权,以及其他有关的信息资产,如工作站,服务器和路由器。
- 资产数据库:存储能力,被动和报告资产的特点,包括安装和授权的产品,在世界的位置,网络,或者企业,拥有权,以及其他有关资料的IT资产,如工作站,服务器和路由器。
漏洞数据库:一个产品,它包含一个安全目录相关的软件缺陷与CVEs标记在适用的问题。这个数据是随时为用户提供搜索功能或数据传输,并且包含的软件缺陷,以补充资料的引用描述(例如,补丁或漏洞公告链接),和影响成绩。
- 错误配置数据库:一个产品,它包含一个安全目录相关的配置与CVEs标记在适用的问题。
- 恶意软件工具:能够识别和报告在对病毒的存在,特洛伊木马,间谍软件或其他恶意软件的目标系统。
当一个产品的评估和验证,它是一个或更多的这些地区。在产品的验证状态是张贴在NIST的公共网站。被验证并不能保证质量或产品的可靠性,只有它符合准则的最高统帅部的计划等等。
由马太约诺夫提交的一篇文章