联邦IT系统安全认证和认可指南SP80037.docx
- 文档编号:9344227
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:71
- 大小:85.49KB
联邦IT系统安全认证和认可指南SP80037.docx
《联邦IT系统安全认证和认可指南SP80037.docx》由会员分享,可在线阅读,更多相关《联邦IT系统安全认证和认可指南SP80037.docx(71页珍藏版)》请在冰豆网上搜索。
联邦IT系统安全认证和认可指南SP80037
联邦IT系统安全认证和认可指南SP800-37.txt39人生旅程并不是一帆风顺的,逆境失意会经常伴随着我们,但人性的光辉往往在不如意中才显示出来,希望是激励我们前进的巨大的无形的动力。
40奉献是爱心,勇于付出,你一定会收到意外之外的馈赠。
本文由nglang贡献
doc文档可能在WAP端浏览体验不佳。
建议您优先选择TXT,或下载源文件到本机查看。
NIST特别出版物800-37800-
联邦IT系统安全认证和认可指南
公共草案版RonRoss,MarianneSwanson,
计算机安全处信息技术实验室国家标准和技术研究所Gaithersburg,MD20899-8930
第1.0版
2002年10月
美国商务部
部长:
DonaldL.Evans
技术局
商务部技术副部长:
PhillipJ.Bond
国家标准和技术研究所
主任:
ArdenL.Bement,Jr.
目录
法律依据……1法律依据执行摘要……2执行摘要介绍……3第1章介绍1.11.21.31.41.51.6背景……4目的和范围……4系统生命周期……5组件产品评估程序……5与其他NIST安全出版物的关系……5本文的组织结构……7
基础……8第2章基础2.1角色和责任……82.1.1指派的批准官员(DAA)……82.1.2认证员和认证组……92.1.3项目经理和系统所有者……92.1.4系统安全官……92.1.5其他支持性角色和角色代表……92.2IT系统全貌……102.2.1主应用……102.2.2通用支撑系统……102.2.3平台IT互联和外包IT过程……112.3认可类别……112.3.1系统认可……112.3.2类型认可……122.3.3场地认可……122.4认证和认可文档……132.4.1系统安全计划……132.4.2安全测试和评估报告……142.4.3风险评估报告……142.4.4认证员声明……142.5对大规模复杂系统的认可……142.6认可决策和残余风险……162.6.1全认可……162.6.2临时认可……162.6.3认可否决……17第3章安全控制和认证级……183.1描述IT系统……183.1.1系统的关键性/敏感性……18
2
3.1.2系统暴露……183.1.3关注级……193.2安全控制……223.2.1安全控制的组织……223.2.2安全控制的选择……223.2.3安全控制选择的调整……233.2.4安全控制选择总结……243.3安全认证级……243.3.1第1级安全认证(SCL-1)……253.3.2第2级安全认证(SCL-2)……253.3.3第3级安全认证(SCL-3)……253.3.4认证级选择……263.3.5认证级选择总结……273.3.6将认证级与安全控制相关联……293.4安全控制的验证……29第四章认证和认可过程……314.14.24.34.4预认证阶段……31认证阶段……38认可阶段……39认可后阶段……41
附录A参考文献……45附录B术语表……46附录C缩略语……54附录D认可证书范本……55认证包移交声明……55认可决策证书(全认可)……55认可决定证书(临时认可)……56认可决定证书(认可否决)……57
3
法律依据
本文是NIST根据1987年《计算机安全法案》和1996年《IT管理改革法案》(尤其是美国法典(U.S.C.)第15编第278款g-3(a)(5))赋予的法定责任而开发的。
本文与美国法典第15编第278款g-3(a)(3)中的指南概念有所不同。
NIST的这些指南供处理敏感信息的联邦机构所使用。
它们与OMB(管理和预算办公室)A-130通告附录III中的要求相符。
本文也可在自愿的基础上供非政府机构使用。
本文没有版权。
本文中的所有信息均不会与商务部据其法定权力向联邦机构颁布的强制性、约束性标准与指南相矛盾,也不应将这些指南解释为对商务部长、OMB主任以及其他联邦官员的既有权力的改变或取代。
国家标准和技术研究所特别出版物800-37,78页1。
,(2002年10月)CODEN:
NSPUE2
为了能充分地描述实验流程或概念,本文可能会引用到某些商业实体、设备或材料的名称。
这种引用并不意味NIST做出的建议或支持,也不意味这些实体、设备或材料一定是最好的选择。
本文的公共评论期始于2002年10月28日,终止于2003年1月31日。
在此期间,有关评论可通过电子邮件sec-cert@nist.gov发至NIST计算机安全处,或通过平信寄至:
100BUREAUDRIVE(MAILSTOP8930)GAITHERSBURG,MD20899-8930
致谢
本文作者——NIST的RonRoss和MarianneSwanson在此感谢曾评审此文并参与了本文开发的诸位同事。
尤其要感谢如下同事的参与:
ElaineBarker、BillBurr、TimGrance、JoanHash、ArnoldJohnson、DonJones、AnnabelleLee、MarkLoepker、TerryLosonsky、KeanMiller、BrendaMoore、KarenQuigg、EdRoback、GeorgeRogers、DennisRosynek、ShannonSaia、JackSherwood、RaySnouffer、RodneyStalker、GaryStoneburner、CarolWidmayer以及BillUnkenholz,是他们的真知灼见提高了本文的质量和实用意义。
作者还非常感谢来自联邦认证和认可工作组的很多评论以及公共和私营部门的读者们。
1
指英文原文页数。
——译者注1
执行摘要
管理和预算办公室(OMB)A-130号通告《联邦信息资源管理》中要求各联邦机构制定安全计划,确保为有关官员分配安全责任,并要求在系统运行之前对其进行授权且在此之后要定期实施这项工作。
这种由高级官员做出的授权有时被称为认可。
针对IT系统做出的技术和非技术评估为负责授权的官员提供了必要的信息,以供其基于这些信息作出可靠的、基于风险的决策,使授权官员能够决定是否批准一个系统投入运行,这种评估被称为认证。
为了对联邦政府行政部门中的IT系统进行认证和认可,本篇特别出版物制定了一个标准的过程以及通用任务和具体的子任务。
它提供了新的认证和认可(C&A)方法,通过使用标准化的流程来验证IT系统中的安全控制的正确性和有效性,以确保系统具有足够的安全性。
应针对保密性、完整性和可用性中的低、中、高三个级别来使用标准化的最小安全,在实施标准化的验证技术和验证流程(NISTSP控制(NISTSP800-532中对此作了定义)3800-53A中对此作了定义)后,便能够推动:
更一致、更具可比性和重复性的IT系统认可工作;为负责授权的官员提供更全面可靠的信息——使得对复杂的IT系统及其中的风险和脆弱性有更好的理解;管理层官员能够做出更加明智的决策,以支持认可过程。
尽管C&A过程主要针对的是联邦系统对敏感(非涉密)信息的处理、存储和传输,但是相关的任务和子任务、安全控制以及验证技术和验证流程是在广泛的范畴内定义的,能够普遍适用于各类IT系统,其中也包括国家安全或情报系统(如果有关法令提出了这样的要求)。
因此,本文中偶尔会引用到一些国家安全系统,但这种引用只是为了在向联邦系统开发标准化的C&A过程中保持技术上的一致性和完备性,而不能被理解为NIST超越了在1987《计算机安全法案》中被赋予的法定责任而去为各机构提供(过分的)指南。
要鼓励州、地方和部落政府以及构成美国关键基础设施主体的私营部门机构去考虑如何正确运用本文中提供的指南。
本篇特别出版物取代了1983年9月发布的第102号NIST联邦信息处理标准(FIPS)《计算机认证和认可指南》。
SP800-53《联邦IT系统最小安全控制》尚在开发之中,将于2003年春季前由NIST发布,征求公众意见。
3SP800-53A《联邦IT系统安全控制验证技术和流程》尚开发之中,将于2003年春季由NIST发布,征求公众意见。
2
2
第1章
介绍
——对认证和认可的需求——对认证和认可的需求
对信息技术安全的信心可以通过在开发、评估和运行等过程中所采取的活动来获得……
信息技术(IT)是驱动公共和私营部门中现代化企业的推动力量。
政府机构及其业务越来越依赖IT4系统来履行其关键使命和职能,提高企业生产力。
随着这些系统在特性及相关能力方面的指数性增长,它们在过去的10年中已大大增强。
但对美国关键信息基础设施中的系统来说,这也极大地增加了它们的复杂程度。
在评估IT系统的安全时,复杂度是一个主要的关注因素。
因为系统越复杂,就越难以对其所有组件进行全面检查。
IT安全包括对信息和系统进行保护和防御,并确保其保密性、完整性和可用性。
这涉及到通过保护、检测和反应等能力来提供系统的连续性运行。
确保制定出适宜的安全目标,标识风险,根据运行要求而对风险进行平衡,这是管理层的基本责任。
管理和预算办公室(OMB)A-130号通告《联邦信息资源管理》中,要求各联邦机构制定安全计划,确保为有关官员分配安全责任,并要求在系统运行之前对其进行授权且在此后定期实施这项工作。
这些管理责任要求政府机构的责任官员对可能会给其使命目标带来负面影响的风险及其他因素有所了解,而且,这些官员还必须知晓安全项目和安全控制的当前状态,以便做出明智的决策和投资,将风险适度降低至一个可以接受的水平。
政府机构中的安全责任官员的目标是实施其安全项目,达到OMBA-130号通告中定义的充分安全性,或者实现适度的安全,即与信息丢失、滥用、未授权访问或修改的风险和损害相称。
这一定义非常明确地强调了基于风险的策略,以实现1987年《计算机安全法案》中所确立的成本有效的安全概念。
IT系统能否处理、存储或传输信息,要由管理层的官员进行授权,这提供了某种形式的质量控制,激发管理人员和技术人员在给定的技术限制、环境限制和使命要求的条件下努力探求最佳安全措施。
有些机构将这种授权称作认可。
认可是OMBA-130号通告中的要求,它应该以对IT系统的管理、运行和技术控制的评估为基础。
因为政府各机构制定的安全计划5中已经记录了IT系统的保护要求和安全控制,所以这些安全计划是认证过程中所要求的基础文档(也因此而减少不必要的重复性管理工作)必要时可以用更为具体的计,划对其进行补充。
除安全计划外,还可以通过风险评估和安全评估来对认可提供支持。
国家标准和技术研究所SP800-30《IT系统风险评估指南》对风险评估做了描述,它可对威胁和脆弱性进行标识,对规划中或已经在用的安全控制进行分析,确定某项特定的脆弱性被攻击的可能性,并提供出影响分析结果。
在开始认可过程之前,应该对IT系统启动初始的风险评估。
IT系统是一个机构的信息资源的集合,这些资源可用于对信息进行收集、存储、处理、维护、使用、共享、发布、部署、显示和传输。
系统的类型有主应用和通用支撑系统,其中包括平台的IT互连和外包的IT过程。
第2章对这些系统类型提供了更为详细的解释。
5制定IT系统安全计划是OMBA-130通告和《计算机安全法案》中要求的。
NISTSP800-18对建议的系统安全计划的格式和内容提供了指南。
3
4
初始的风险评估结果可以用在安全评估中,在后期也可能会再次使用这些结果,并且有可能根据评估结论而对其进行修订。
IT系统的技术和非技术安全控制进行的综合评估可以对为认可过程提供支持,并可判断出一个特定的设计和实现对具体安全要求的满足程度,这种综合评估被称作认证。
认证为管理层官员提供了必要的信息,用于正式宣布IT系统得到了批准,该系统能够在一个可接受的风险级上投入运行。
只有在实施了一致的管理、运行和技术控制之后,才能做出这种判断。
系统经过认可后,管理层官员便接受了与之相关的风险。
通过对认可过程实现正式化和规范化,减少了系统在缺乏适当的管理层审查下被投入运行的可能性。
IT系统发生重大变更之前,在应进行重认可,且至少每三年要进行一次。
在风险和可能的危害后果比较高的系统中,重认可的频率应当更高。
1.1背景
在关键基础设施中,有相当比例的联邦IT系统还没有完成必需的安全认证,这便使得敏感的政府信息和项目处于风险之中,并有可能影响到国家和经济安全。
安全认证则为联邦机构的官员提供了必要的信息,以供其批准这些IT系统的安全运行。
目前在联邦政府中还有着很大数量的、相互间竞争的安全认证流程,它们都过于复杂、落后,实现成本也很高——所有这些都使得对系统的评估常常出现矛盾和缺陷,且在任何信任级上都缺乏可重复性。
此外,也缺少合格的安全专家对大规模的联邦IT系统实施安全认证。
针对这些问题,NIST在2002年3月启动了一个高优先级的项目来完成下列任务:
开发标准指南和流程,用以认证和认可联邦IT系统,包括美国的关键基础设施;为联邦IT系统定义基本的最小安全控制;以及推动公共和私营部门评估机构的发展,促进那些能够提供成本有效的、高质量的、基于标准指南和流程的安全认证的发展。
安全认证和认可(C&A)活动带来的具体意义包括:
更一致、更具可比性和重复性更好的IT系统认可;为负责授权的官员提供更全面可靠的信息——使其对复杂的IT系统及其中的风险和脆弱性有更好的理解——管理层官员因此才能做出更加明智的决策;更好地实现合格的安全评价和评估服务;以及使得联邦政府中的IT系统更加安全。
1.2目的和范围
本篇特别出版物的目的是为对联邦政府行政部门的IT系统进行的认证和认可确立一个标准的过程、通用任务以及具体的子任务。
尽管C&A过程主要针对的是联邦系统对敏感(非涉密)信息的处理、存储和传输,但是相关的任务和子任务、安全控制以及验证技术和验证流程是在广泛的范畴内定义的,能够普遍适用于各类IT系统,其中也包括国家安全或情报系统(如果有关法令提出了这样的要求)。
因此,本文中偶尔会引用到一些国家安全系统,但这种引用只是为了在向联邦系统开发标准化的C&A过程中保持技术上的一致性和完备性,而不能被理解为NIST超越了在1987《计算机安全法案》中被赋予的法定责任而去为各机构提供(过分的)指南。
要鼓励州、地方和部落政府以及构成美国关键基础设施主体的私营部门机构去考虑如何正确运用本文中提供的指南。
本篇特别出版物取代了1983年9月发布的第102号NIST联邦信息处理标准(FIPS)《计算机认证和认可指南》。
4
1.3系统生命周期
有很多类型的联邦IT系统要求认证和认可——包括既有系统、新开发系统以及那些正经历某种形式和规模的变更或升级的系统。
我们可以根据这些系统在系统开发生命周期(SDLC)中的位置而对其进行刻画。
一般地说,系统生命周期定义了五个阶段:
(1)启动;
(2)开发/采办;(3)实现;(4)运行/维护;(5)废弃。
在本篇特别出版物中定义的标准C&A过程元素可以适用于生命周期中任何阶段的任何系统。
如今联邦系统清单中的大部分IT系统都在随着新硬件、软件和固件的频繁集成而不断地改变和发展。
很少有一个全新系统能够在一刻之间引入全部新东西或者抛弃掉全部旧东西。
因此,C&A过程必须保持充分的灵活和机动,以使其能够适用于任何生命周期阶段的联邦IT系统。
例如对新开发系统和既有系统而言,它们的系统设计文档在类型和详细级别方面就有很大的不同(即,既有系统一般来说缺少建设和运行等信息),这个简单的不同便可能会影响C&A中的分析和评估活动的深度和强度。
因此,C&A过程、相关活动、任务和子任务必须要反映这些可能的不同,并应能够利用任何可以获得的信息来帮助负责授权的官员做出一个明智的、基于风险的决策,以批准新系统投入运行或批准既有系统继续运行。
1.4组件产品评估程序
IT系统是通过采购和建设来实现具体要求的,并且一般都会采用商业现货(COTS)产品,例如操作系统、数据库系统、防火墙、网络设备、WEB浏览器、智能卡、生物测定设备、通用应用组件和硬件平台。
一般而言,IT系统所实现的安全对策要使用这些基础产品的功能,并且依赖于这些产品及其安全功能的正确运行。
这些产品本身要接受安全评估,这些评估对C&A过程是有帮助的。
可以采用像《IT安全评估通用准则》(ISO/IEC15408)和《密码模块安全要求》(FIPS140-2)等标准来对具体的组件级产品进行评估(有时候称为认证),6以支持C&A过程。
NIST在http:
//csrc.nist.gov/cryptval和http:
//niap.nist.gov/cc-scheme网站上提供了一个完整的清单,涵盖了已经经过认证的商业现货产品。
采用经过认证的产品可以极大地减少C&A的成本,因为在C&A工作中可以采纳这些组件产品的测试和评估结果,或者去参考如何在系统中安全配置这些产品等信息。
在即将或正在考虑将一个组件产品集成到多个IT系统中时,对这样一个产品的安全性进行独立评估或者根据已评估的产品清单建造一个系统,都有着成本上的优势。
对类似这样的评估结果应该用适当的方式表示,以能够支持C&A过程,并且便于在将产品集成到IT系统中时毋须再进行不必要的重新评估。
指导如何安全配置商业现货(COTS)产品的指南文档有助于政府机构开发、部署、运行和维护更加安全的IT系统。
1.5与其他NIST安全出版物的关系
SP800-37使用了以下一些NIST出版物7来支持C&A过程:
SP800-18,《IT系统安全计划开发指南》,1998年12月;
6
虽然评估人员可以依靠系统中个体组件的历史认证(假定它们得到了正确的安装和配置),但是对集成系统还是必须要进行评估,以确保在个体组件的集成过程中不会留下安全漏洞。
7本章所列的安全指南文档对所有联邦机构都推荐使用。
但是,有些机构在制定安全计划和实施风险管理时可能采用了不同的流程和/或模式。
本文定义的C&A过程允许出现这些可能的变化。
5
SP800-30,《IT系统风险管理指南》,2002年1月;SP800-53,《联邦IT系统最小安全控制》(计划2003年春季推出);SP800-53A,《联邦IT系统安全控制验证技术和流程》(计划2003年春季推出)。
其他一些NIST特别出版物对于如何支持C&A中的各种安全主题也提供了进一步的指南:
SP800-12,《计算机安全介绍:
NIST手册》,1995年10月;SP800-14,《IT系统安全公认原则和实践措施》,1996年9月;SP800-16,《IT安全培训要求:
基于角色和绩效的模型》,1998年4月;SP800-26,《IT系统安全自评估指南》,2001年11月;SP800-27,《IT安全工程原则》,2001年1月;SP800-33,《IT安全基础技术模型》,2001年12月;SP800-34,《IT系统应急规划指南》,2002年7月;SP800-47,《IT系统互连安全指南》,2002年9月。
图1.1中描述了NISTSP800-37与其他C&A支持文档之间的关系。
这些出版物可以在NIST计算机安全资源中心获得(http:
//csrc.nist.gov)。
NISTSP800-53ANISTSP800-30安全控制验证技术启动威胁和风险评估提供标准化的验证流程NISTSP800-37NISTSP800-53联邦IT系统最小安全控制定义联邦系统的基准管理、技术和运行控制NISTSP800-18系统安全计划记录联邦系统的安全需求和控制
认证包
认证员声明
启动风险管理过程
系统安全计划
联邦IT系统安全认证和认可
安全测试和评估报告判断系统对安全要求与安全控制实现的满足程度NISTSP800-30终期风险评估判断残余风险的程度为负责授权的官员提供关键信息,用于支持基于风险的认可决策
风险评估报告
计算机安全介绍互联系统安全工程应急规划NIST的其他支持文档NIST特别出版物
安全模型安全培训安全措施评估工具
图1.1支持C&A过程的NIST特别出版物
6
1.6本文的组织结构
本文包含四个主要章节和四个附录。
第1章介绍了C&A基础,包括本文的适用范围和目的;第2章描述了与C&A过程有关的基本概念,包括主要参与者的角色和责任、需认可的IT系统类型、认可类别以及认可决策类别等;第3章概述了安全认证级(SCL)的确定过程以及认证级与系统安全控制之间的关系;第4章纵览了C&A过程的不同阶段,对各阶段中的相关任务进行了简要描述;附录中提供了更为详细的C&A相关信息,包括参考资料、术语、缩写词表以及认可证书范本。
7
第2章
基础
——主要参与者、——主要参与者、系统类型和认可类别主要参与者
在构建更安全的系统时,出色的安全项目既要考虑到技术措施,也要考虑到非技术措施,这样才能提高人们对这些系统的信任水平……
本章集中讨论C&A的基础,包括C&A过程中的主要参与者的角色和责任、需认证和认可的IT系统的类型以及联邦机构的认可类别。
本章还将讨论诸如认可边界的确立、如何在庞大复杂的系统中运用C&A过程、认可决策类型以及这些决策对系统和联邦机构的安全影响等方面的内容。
2.1角色和责任
贯穿IT系统的整个生命周期中,很多人拥有不同的角色和责任,他们均会涉及C&A过程。
本文描述的C&A方法使得联邦机构可根据自身的组织结构对具体的C&A角色进行调整,以便对机构的使命所面临的风险进行最有效的管理。
如下所言,在一个典型的C&A过程中,有几个重要的角色要得到定义:
(1)负责授权的官员——经常被称作指派的批准官员(DesignatedApprovingAuthority——DAA);
(2)认证官;(3)项目经理或系统所有者;(4)系统安全官。
此外,还可以增加其他的角色来提高认可决策的完整性和客观性,以支持系统的业务或使命。
很多参与者在机构内的实际头衔可能不一样,但其是责任是相同的。
C&A过程中参与者的数量及其任务分配可能会因为负责授权的官员提出的方针、资源可用性、认证工作的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联邦 IT 系统安全 认证 认可 指南 SP80037