职责
2014年的《联邦信息安全现代化法案》(FISMA)(PL 113-283,44 USC3554)要求各联邦机构负责人根据信息或信息系统遭受非法访问、使用、披露、破坏、修改或损毁的风险和危害程度来提供合理的信息安全防护措施。
此外,FISMA还要求机构负责人上报说明本机构信息安全政策、程序和实践的充分性和有效性。
概述和目的
要增强联邦网络安全,各机构应共同努力,实现预期结果。2020财年首席信息官(CIO)的FISMA指标重点围绕各机构在这方面取得的进展,主要目的是:
确保各机构实施了政府的重点任务及最佳实践;
为行政管理和预算局(OMB)提供绩效数据,监控各机构在实施政府重点任务方面的进展。
实现了预期结果不一定会解决所有的网络威胁,各机构还要实施其他控制措施或采用其他方案克服网络安全风险。
自2016财年以来,行政管理和预算局与国土安全部(DHS)围绕国家标准与技术研究院(NIST)的《关键基础设施网络安全框架》(网络安全框架)设计了针对CIO的FISMA指标。FISMA指标以网络安全框架为网络安全风险管理及缓解标准,围绕该框架的五个功能展开:识别、防护、检测、响应与恢复。网络安全框架与NIST的800-37(修订版2)《信息系统与组织风险管理框架:安全与隐私系统生命周期方法》和800-39《管理信息安全风险:组织、任务与信息系统视角》结合使用,为各机构提供了一个全面的框架,使其可基于风险明智决策,针对全员管理网络安全风险。在政府重点从合规转向风险管理之后,根据OMB M-20-01号文件《2019–2020财年联邦信息安全和隐私指导》,CIO指标不再囿于NIST的安全基线能力,机构的响应能力也是实施水平的一个评判标准。此外,OMB M-19-03号文件为各机构优化高价值资产(HVA)计划提供指导。
期望绩效级别
各机构应将2020财年FISMA指标的目标级别视为确保其IT体系安全的最低门槛,而不是网络安全合规性检查表。换言之,达到某一特定指标的绩效目标表明机构已经采取了针对性措施来确保本部门安全,但仍需要大量工作来管理风险和应对不断变化的威胁。
《首席财务官(CFO)法案》所覆盖的24个机构须根据OMB M-20-01号文件要求,每季度至少汇报一次各指标状态。所有非《CFO法案》覆盖机构(小型机构和独立机构)须根据OMB M-20-01号文件要求至少每半年汇报一次各指标状态。若有指标未实现既定目标(附录A),机构应提供相应说明。机构根据13800号行政命令(EO)《加强联邦网络和关键基础设施的网络安全》进行定期风险管理评估时也需要满足这些汇报要求。若行政管理和预算局要求各机构增加上报频次,该局会提供相应说明。
行政管理和预算局将这些指标的期望绩效级别定义为“足够安全”,指机构根据各系统相关风险采取了恰当的防护措施(OMB M-11-33,常见问题15)。所有的联邦机构(包括小型机构)都应定期汇报各指标状态(汇报频率以实际需要为准),确保机构领导时刻掌握最新信息,了解本部门绩效级别和网络安全差距。
1 识别
“识别”指标旨在帮助机构清点连接到其网络的软硬件系统以及资产。识别这些系统和资产有助于机构管理系统、资产、数据和能力所面临的网络安全风险。此外,实施持续诊断和缓解(CDM)方案有助于各机构自动检测、清点大量的此类系统和资产。
1.1. 按FIPS 199标准,各组织(局或子部门运营单位)各影响级别的非机密信息系统的数量分别是多少?(用户不足5000的组织视为一个报告单位。)(NIST SP 800-60,NIST 800-53r4RA-2)
1.1.1. 组织运营的系统 | 1.1.2. Contractor-承包商运营的系统 | 1.1.3. 具有安全临时授权(ATO)的系统(1.1.1或1.1.2) | 1.1.4. 具有持续授权[1]的系统(1.1.3) | |||||||||
FIPS 199分类 | 高 | 中 | 低 | 高 | 中 | 低 | 高 | 中 | 低 | 高 | 中 | 低 |
报告组织1 | ||||||||||||
报告组织2 | ||||||||||||
【根据组织数量添加行】 | ||||||||||||
1.1.5. 本季度上报国土安全部信息网络(HSIN)的高价值资产(HVA)数量[2]。(由国土安全部高价值资产项目管理办公室(HVA PMO)提供)
1.1.6. 组织的非机密网络中的HVA系统(1.1.5.)数量。
1.2. 连接到组织的非机密网络的硬件资产数量。(说明:1.2.是1.2.1.到1.2.3.的数量总和)(NIST 800-53r4CM-8)
资产类型 | 连接到组织的非机密网络的硬件资产数量 |
1.2.1.GFE端点 | |
1.2.2.GFE网络设备 | |
1.2.3.GFE输入/输出设备 | |
1.2.4.硬件资产自动清点功能(如扫描/设备发现等)所覆盖的全组织范围内的GFE硬件资产(1.2.1.–1.2.3.) | |
1.2.5.软件资产自动Çåµã功能所覆盖的全组织范围内的GFE端点(1.2.1.) | |
1.2.6. 非GFE端点 | |
1.2.7. 支持IPv6的GFE硬件资产(1.2.1.–1.2.3.)数量(此项在2020年1月汇报中非必选项) |
1.3. 请填写如下移动设备表格。
GFE | 非GFE (如自带设备办公(BYOD)资产) | |
移动设备数量 | 指标1.3.1. | 指标1.3.2. |
接受组织级移动设备管理的移动设备的数量,该等管理至少包括机构所定义的移动设备用户认证要求以及远程清除和/或删除设备中机构数据的能力 | 指标1.3.3. | 指标1.3.4. |
1.3.3.(GFE)或1.3.4.(BYOD)中的被管移动设备数量。未经管理员批准,用户无法删除这类设备的移动设备管理(MDM)或组织移动性管理(EMM)配置。(NIST 800-53r4 CM-5) | 指标1.3.5. | 指标1.3.6. |
1.3.3.(GFE)或1.3.4.(BYOD)中的被管移动设备数量。当安全和操作系统未在给定时间内根据机构政策或指导更新时,机构可强行拒绝这些设备访问本组织业务(通过MDM或EMM政策)。 | 指标1.3.7. | 指标1.3.8. |
1.3.3.(GFE)或1.3.4.(BYOD)中的被管移动设备数量。机构通过MDM或EMM强行阻止这类设备运行未授权软件(例如采用黑名单、白名单或加密容器法)。(NIST 800-53r4 CM-7) | 指标1.3.9. | 指标1.3.10. |
1.3.3.(GFE)或1.3.4.(BYOD)中的被管移动设备数量。这类移动设备在处理事务时要求具有派生凭证(如身份验证、安全电子邮件等)。(NIST SP 800-63-3) | 指标1.3.11. | 指标1.3.12. |
1.4. 上报所使用的云服务[3]类型,须填写云服务提供商和所使用的服务(例如邮件、数据库等)名称。(NIST SP800-145)
云服务提供商 | 云服务产品 | 机构临时授权日期 | 子机构 | 服务 | 服务类型(下拉列表) |
例如,微软 | Office 365 | 2019年8月21号 | 总部 | 邮件与协作解决方案 | 基础设施即服务(IaaS) |
根据需要添加行 |
2 防护
“防护”指标旨在确保机构使用恰当的网络安全防御措施来保护其系统、网络和设施。基于此,机构方能限制或遏制潜在网络安全事件的影响。
2.1. 经过漏洞评估的网络设备数量(1.2.),漏洞评估方案全员可见,经过安全内容自动化协议(SCAP)验证或使用国家漏洞数据库(NVD)信息。(NIST 800-53r4 RA-5,NIST SP800-128)
2.2. 请填写表格,后续配置可根据需要添加。(NIST 80053r4 CM-8)
美国政府部门所使用的操作系统 | 2.2.1.操作系统涉及的GFE硬件资产数量 | 2.2.2.操作系统通用安全配置基线(如USGCB) | 2.2.3.2.2.1.中按2.2.2.审计的资产数量 |
Windows 10.x | |||
Windows 8.x | |||
Windows 7.x(不支持) | |||
Windows Vista(不支持) | |||
Windows XP(不支持) | |||
Windows Server 2016 | |||
Windows Server 2012 | |||
Windows Server 2008(不支持) | |||
Windows Server 2003(不支持) | |||
Linux(所有版本) | |||
UNIX/Solaris(所有版本) | |||
Mac OS X(所有版本) | |||
移动设备 | |||
Windows Mobile(所有版本) | |||
Apple iOS(所有版本) | |||
安卓操作系统(所有版本) | |||
黑莓操作系统(所有版本) | |||
非特权与特权网络用户
2.3. 特权用户比例(%),这类用户具有组织网络账号,受技术控制,仅能访问可信站点[4]。
2.4. 非特权用户请填写如下表格。(NIST 800-53r4IA-2(2),NIST SP800-63)
2.5. 特权用户请填写如下表格。(NIST 800-53r4IA-2(1),NISTSP 800-63)
非特权用户 | 特权用户 | |
具有组织网络账号[5]的用户数量(不包括非用户账号) | 指标2.4.1. | 指标2.5.1. |
需要通过双重个人身份验证(PIV)凭证[6]或其他IAL3/AAL3凭证[7]进行网络认证的用户(2.4.1.及2.5.1.)数量 | 指标2.4.2. | 指标2.5.2. |
主要通过用户名和密码进行网络认证的用户(2.4.1.及2.5.1.)数量[8]。请备注说明限制这类用户访问权限的补充控制措施。 | 指标2.4.3. | 指标2.5.3. |
监控用户访问的集中动态访问管理方案所覆盖用户(2.4.1.及2.5.1.)数量[9] | 指标2.4.4. | 指标2.5.4. |
基于机构政策对用户权限进行评审的频次 | 指标2.5.5. | |
通过用户强制认证(UBE)方法进行网络认证的用户(2.4.2.及2.5.2.)数量 | 指标2.4.6. | 指标2.5.6. |
2.5.7. 要求用户通过机器强制认证(MBE)方法进行网络认证的GFE端点(1.2.1.)数量。
网络与本地系统账号
2.6. 在如下表格中填写具有特权本地系统账号的用户数量。(NIST 800-53r4IA-2(3))
所有用户 | |
具有特权本地系统账号的用户数量 | 指标2.6.1[10]. |
具有特权本地系统账号的用户(2.6.1.)数量,这类用户可访问机构网络,需要通过双重PIV凭证或其他IAL3/AAL3凭证的机器/用户强制认证方法进行网络认证。 | 指标2.6.2. |
2.7. 要求所有组织用户(100%特权和非特权用户)通过双重PIV凭证或其他IAL3/AAL3凭证的机器/用户强制认证方法进行认证的HVA系统[11](1.1.5.)数量。(DHS BOD 18-02,NIST SP800-63)
2.7.1. 经国土安全部、第三方或独立实体按照OMB M-19-03要求评估确定由于系统架构或风险缓解能力而无须进行双重PIV凭证的机器/用户强制认证(如2.7.所述)、或系统技术无法支持此功能(如工业控制系统)的HVA系统数量
数据保护
2.8. 加密所有静态联邦信息的HVA系统(1.1.5.)的数量(OMB A-130号发文附件1NIST SP 800-53r4SC-28)
2.8.1. 经国土安全部、第三方或独立实体按照OMB M-19-03要求评估确定由于风险缓解能力而无须加密静态数据、或系统技术无法支持此功能(如工业控制系统)的HVA系统数量
2.9. 与机构网络中的其他可访问系统和应用程序隔离的HVA系统(1.1.6.)的数量
2.9.1. 经国土安全部、第三方或独立实体按照OMB M-19-03要求评估确定由于风险缓解能力而无须隔离的HVA系统(1.1.6.)数量
远程访问和移动媒体
2.10. 对于下表所列的远程访问连接方法,填写各类对应比例。(NIST 800-53r4 AC-17, SC-7(7), SC-10, SC- 28(1))
连接方法类型 | VPN | VDI/RDP | 拨号等方法(无VPN) |
2.10.1. 使用FIPS 140-2批准的加密模块的比例(%) | %或无 | %或无 | |
2.10.2. 配置为超时(组织基于风险定义)登出、且需要再次认证才能重新建立会话的比例(%) | %或无 | %或无 | |
2.10.3. 禁止在连接设备存在两个活动连接时使用拆分隧道和/或双连接远程主机的比例(£¥) | %或无 | %或无 |
2.11. 允许通过远程访问(如2.10.所述)连接到组织的非机密网络的GFE端点和移动设备(1.2.1.及1.3.1.)数量
2.12. 自动禁止使用不可信移动媒体的GFE端点(1.2.1.)数量(NIST SP 800-53r4 MP-2)
2.13. 自动判断信息系统组件漏洞修复(即软件修补)状态的HVA系统数量(NIST SP 800-53r4 SI-2(1),SI-2(2))
2.13.1. 向组织级集中解决方案输入漏洞修复状态数据的HVA系统(1.1.6.)数量(NIST SP 800-53r4 SI-2(1), SI-2(2), OMB M-19-03)
2.14. 超过30天未解决的HVA系统中的严重(CVSS评分:9.0–10.0分)CVE漏洞数量(OMB A-130号发文)
2.14.1. 超过60天未解决的HVA系统中的高风险(CVSS评分:7.0–8.9分)CVE漏洞数量
安全培训与测试
2.15. 填写下表,列出上一季度参加网络钓鱼意识提升和/或有效性评估的培训测试的用户数量(例如,机构向用户发送欺骗性网络钓鱼电子邮件,单击其中链接将打开网络钓鱼信息页面)(OMB M-07-16,NIST SP 800-53r4 AT-2, NIST SP800-16r1)
涉及用户数量 | 目标人群 | 测试方法简要说明 | 通过[12]测试的用户数量 | 向有关部门上报钓鱼邮件的用户数量 | 测试日期 |
例如,45 | 系统管理员 | 测试系统管理员的网络钓鱼攻击意识 | 15 | 9 | 2019年9月14日 |
根据需要添加行 |
2.16. 在过去一年(365天)进行过对抗性测试的HVA系统数量(NIST SP 800-53r4 CA-8, CA-8(2))
3、检测
“检测”指标旨在评估机构发现网络安全事件的及时性。各机构应维护和测试入侵检测流程和步骤,保证及时、充分地感知系统和网络上的异常事件。
入侵检测与防御
3.1. 机构所拥有的DMARC设置为“拒绝”的二级域名和邮件发送主机的百分比(%)(DHS BOD 18-01)(由DHS NCATS提供)
3.2. 经过可疑或潜在恶意附件分析且不具备沙盒环境或爆震室检测特征的接收邮件的流量比例(%)[13](NIST SP 800-53r4 SI-3)
3.3. 入侵防御系统(其操作全员可见)所涵盖的GFE端点(1.2.1.)数量[14](NIST SP 800-53r4 SI-4)
3.4. 提供文件信誉服务(该服务可近乎实时地根据不断更新的恶意软件信息检查可疑文件)的防病毒(AV)方案所覆盖的GFE端点(1.2.1.)数量(NIST SP 800-53r4 SI-3(2),NSA一指禅:防病毒文件信誉服务)
3.5. 未授权代码执行防护功能(例如数据防利用(DEP)、地址空间布局随机化(ASLR))所覆盖的GFE端点(1.2.1.)的数量(NIST SP 800-53r4 SI-16)
3.6. 基于浏览器或基于组织的工具(该工具可拦截已知钓鱼网站和IP地址)所保护的GFE端点(1.2.1.)的数量,(NIST SP 800-45)
3.7. 远程访问非机密网络前进行恶意软件扫描的资产(2.11.)数量[15](NIST SP 800-53r4 SI-4)
防泄露与增强防御措施
3.8. 用全员可见的组织级方案在出口检测潜在非法泄露信息(例如异常数据量、异常流量模式、PII元素等)的出站通信流量的百分比(%)(NIST SP 800-53r4 SI-4(4), SI4(18), SC-7(10))
网络防御
3.9. 组织的非机密网络(该网络部署了全员可见的组织级集中技术方案,用于检测和告警非法硬件资产连接)所占的百分比(%)[16](NIST SP 800-53r4 SI-4 (4)(18), SC-7(10))
3.9.1. 新设备平均检测时间(3.9.中设备的扫描间隔)
3.9.2. 组织的非机密网络(该网络部署了全员可见的组织级集中技术方案,用于拦截非法硬件资产接入网络)所占的百分比(%)
3.10. 全员可见的组织级软件资产集中管理功能(可检测非法软件并警示相关安全人员)所覆盖的GFE端点(1.2.1.)的数量(NIST SP 800-53r4 CA-7, CM-7(5), RA-5),NISTSP 800-128)
3.10.1. 全员可见的组织级软件资产集中管理功能(可拦截或阻止非法软件运行(例如证书、路径、哈希值、服务和基于行为的白名单方案))所覆盖的GFE端点的数量
4、响应
响应指标旨在确保各机构制定了政策和程序,详细阐述了组织会如何响应网络安全事件。各机构应制定和测试响应计划,在网络安全事件发生时,向利益相关者宣传响应活动,尽量减少事件影响。
4.1. 组织在过去12个月(365天)内检测系统入侵的平均时间。需提供时间和单位(秒、分、小时、天)。若不适用,请给出如下说明:“不适用;无入侵”、“不适用;无法量化”、“不适用;可量化但方法不够成熟”。
4.1.1. 组织在过去12个月(365天)内检测并控制系统入侵的平均时间。需提供时间和单位(秒、分、小时、天)。若不适用,请给出如下说明:“不适用;无入侵”、“不适用;无法量化”、“不适用;可量化但方法不够成熟”。
4.2. 协助跟踪安全事件以及收集分析事件信息的自动机制所覆盖的组织非机密网络的百分比(%)[17](NIST SP 800-53r4 IR-5(1),NIST SP 800-61)
4.3. 在检测到特定安全违规或漏洞[18]时能够动态重配置和/或自动禁用系统或相关资产的HVA系统的数量(NIST SP 800-53r4, IR-4(2), IR-4(5))
5、恢复
“恢复”指标旨在确保各机构设计、实施恰当的恢复活动,恢复因网络安全事件而受损的能力和/或服务。恢复功能通过及时恢复正常运行,减少网络安全事件的影响。
5.1. 信息系统应急计划(ISCP,用以指导系统中断后的评估和恢复过程)所覆盖的HVA系统的数量(NIST SP 800-53r4 CP-2(1),NIST SP 800-34)
5.1.1. 明确并配置了备用处理站点、为保证系统弹性而运行多个冗余站点或可以在组织定义的时间段内进行配置以恢复业务的HVA系统(5.1.)的数量。(NIST SP 800-53r4 CP-7(4))
5.2. 组织在过去12个月(365天)内阻遏系统入侵后恢复运营的平均时间。需提供时间和单位(秒、分、小时、天)。若不适用,请给出如下说明:“不适用;无入侵”、“不适用;无法量化”、“不适用;可量化但方法不够成熟”。
附录A:FISMA CAP目标指标与方法概表
附录A简单列举了FISMA CAP信息安全持续性监控(ISCM)、强认证(ICAM)以及高级网络和数据保护(ANDP)的目标指标和方法。
FISMA CAP目标指标与方法 | |||
能力 | 目标 % | 2020财年FISMA CIO年度指标 | 机构计算结果 |
信息安全持续性监控(ISCM) | |||
软件资产管理 | > 95% | 1.2.1, 3.10. | 实现程度达95% |
硬件资产管理 | > 95% | 3.9. | 实现程度达95% |
授权管理 | 100% | 1.1. | 高影响性系统和中影响性系统授权率达100% |
移动设备管理 | 95% | 1.3., 1.3.1., 1.3.2., 1.3.3., 1.3.4. | 实现程度达95% |
身份、凭证和访问管理(ICAM) | |||
特权网络访问管理 | 100% | 2.5.1., 2.5.2. | 实现程度达100% |
HVA系统访问管理 | > 90% | 1.1., 2.7. | 实现程度达90% |
自动化访问管理 | > 95% | 2.4.1., 2.4.4., 2.5.1., 2.5.4. | 实现程度达95% |
高级网络和数据保护(ANDP) | |||
入侵检测与防御 | > 90% | 3.1., 3.2., 3.3., 3.4., 3.5., 3.6., 3.7. | 至少4/6的其他指标的实现程度达90%或以上 |
防泄露与增强防御措施 | > 90% | 3.8. | 实现程度达90% |
数据保护 | > 90% | 2.8., 2.9., 2.10.1., 2.12., 2.13., 2.13.1. | 至少4/6的指标的实现程度达90%或以上 |
附录B:定义
对抗性测试
组织可通过对抗性测试了解自己网络中存在的可利用漏洞。红队、渗透测试、应用程序测试等术语也会用来指代此类测试。正如持续诊断和缓解可发现未知漏洞一样,定期的对抗性测试可帮助组织识别和缓解潜在风险,防止这些风险被恶意利用。因此,所有组织都务必将对抗性测试纳入其风险管理计划。
全员可视的组织级
使用工具或解决方案收集或整合的信息通过自动化流程传输到统一的仪表板、报告或告警机制,该机制会持续评审,其范围覆盖整个组织。
承包商运营的系统
由执行机构的承包商或代表执行机构的其他组织使用或运营的联邦信息系统[19]。
受控非机密信息(CUI)
根据法律、法规和政府政策需要保护或进行传播控制的信息,不包括2009年12月29日第13526号行政命令或《原子能法》(修订版)认定为机密的信息。
派生凭证
基于验证器(与先前颁发的凭证(例如PIV凭证)相关)所有权和控制权证明而颁发的凭证,以免重复验证身份。(NIST SP 800-63-3)
组织级
使用信息系统执行任务并负责管理自身风险和绩效的整个报告组织,包括组织中具有明确任务/目标和明确边界的各部门。
政府提供的设备(GFE)
政府提供的设备(GFE)是指政府所有并使用或提供给承包商使用的设备(《联邦采购法规》(FAR)第45部分)。
硬件资产
组织在内部汇报时通常将这些资产分为以下几类。每一大类下细目仅为说明之用,并未穷举所有各项。(说明:“其他输入/输出设备”适用于未明确说明的其他类型的专用设备。)
• 端点:[20]
o 服务器(包括主机、小型机、中型机)
o 工作站(台式机、笔记本、平板电脑、上网本)
o 如果虚拟机可以像单独的物理机一样寻址[21],则应将其视为单独资产[22],包括动态和按需搭建的虚拟环境
• 移动设备:
o 智能手机
o 平板电脑
o 寻呼机
• 网络设备:[23]
o 调制解调器、路由器、交换机
o 网关、网桥、无线接入点
o 防火墙
o 入侵检测/防御系统
o 网络地址转换器(NAT设备)
o 上述各种设备的混合型设备(如NAT路由器)
o 负载均衡器
o 加密器/解密器
o VPN
o 警报器与物理访问控制设备
o PKI基础设施[24]
o 接入网络的其他非标准物理计算设备
• 其他输入/输出设备(若有自己的地址)
o 工控系统
o 打印机、绘图仪、复印机、多功能设备
o 传真机
o 扫描仪/摄像头
o 可访问的存储设备
o VoIP电话
o 其他信息安全监控设备或工具
o 可通过网络寻址的其他设备
如果GFE资产或非GFE资产符合此处列出的其他入册标准,则将其列入清单[25]。说明:若允许连接非GFE资产,连接之前须对其进行入册、授权和正确配置,这点尤为重要。
事件
对计算机安全策略、许可使用策略或标准安全做法(NIST SP 800-61,修订版2)的破坏或即将破坏。
信息系统
不连续的信息资源集,其中的信息被收集、处理、维护、使用、共享、分发或处置。
信息系统应急计划(ISCP)
ISCP提供了既定程序,以便在系统中断后进行系统评估和恢复。ISCP提供系统恢复所需的关键信息,包括角色和职责、清单信息、评估过程、详细的恢复程序和系统测试。
支持IPv6的资产
对于所有网络功能,完全支持IPv6协议并且可为本地使用而启用(即未通过隧道传输或转换为IPv4)的资产。
本地系统账号
服务控制管理器使用的预定义本地账号,在本地系统上具有广泛特权。[26]
平均时间
检测总时长除以检测次数。
移动设备
符合下列条件的便携式计算机设备:(i)外形小巧,易于携带;(ii)无需物理连接即可运行(例如通过无线传输或接收信息);(iii)拥有本地、固定或移动数据存储;(iv)有独立电源。移动设备可能还有语音通信功能、允许设备捕获信息的板载传感器和/或用于将本地数据与远程位置同步的内置功能。智能手机、平板电脑和电子阅读器都是移动设备。
网络
用相互连接的一组组件实现的信息系统。这些组件可为路由器、集线器、电缆、电信控制器、关键分发中心和技术控制设备。[27]
网络访问
用户(或代表用户的进程)通过网络(局域网、广域网、互联网等)通信对信息系统的访问。
网络账号
提供网络访问权限的用户账号。
非用户账号
不由个人(或团体)直接控制的账号,用于(a)系统或应用程序提供凭证并在账号所有人(或组)的管理下执行功能,或(b)建立服务(如组邮箱),且无人会登录该账号。
组织网络
由组织控制或受组织委托进行通信的互连信息系统或组件,可信中间媒介(如可信互联网连接(TIC)或¿É¹ÜÀíµÄ可信互联网协议服务(MTIPS)提供者)不会对这种流量进行检视。
PIV凭证
发放给个人的物理工件(如身份证、“智能”卡),其中包含存储的身份凭证(如照片、加密密钥、数字化指纹等),这样,持卡人所声称的身份便可由另一人(人类可读且可验证)或自动化过程(计算机可读且可验证)根据存储的凭证进行验证。对此作出规定的联邦标准为《联邦信息处理标准出版物201》(FIPS 201)。
特权本地系统账号
具有提升权限的用户账号,通常分配给系统管理员、数据库管理员、开发人员和其他负责系统/应用程序控制、监控或管理功能的人员。在Linux或其他类UNIX操作系统中,这些账号通常称为根账号、根用户或超级用户账号。
特权网络账号
具有提升权限的网络账号,通常分配给系统管理员、网络管理员和其他负责系统/应用程序控制、监控或管理功能的人员。
公钥基础设施(PKI)
用于管理证书和公私钥对的一组策略、进程、服务器平台、软件和工作站,具有颁发、维护和撤消公钥证书的能力。
远程访问
组织用户从组织设施外部位置访问组织的非公共计算资源的能力。
远程访问连接
可使用2.10.指标中描述的任一远程访问连接方法访问组织的内部/专用网络的外部连接。
远程桌面协议(RDP)
由微软开发的允许用户通过网络连接使用图形界面的协议。
分段
通过可控接口管理的受控访问,目的是实现与普通计算环境的物理、逻辑或虚拟隔离。
发件人身份验证协议
验证电子邮件发件人身份并防止伪造这些身份的协议,包括:
• 域密钥标识邮件(DKIM)
• 基于域的消息认证、报告和一致性(DMARC)
• 发件人策略框架(SPF)
智能手机
建立在移动计算平台上的手机,其计算能力和连接性比功能机更先进。
成功的网络钓鱼攻击
网络用户对欺诈性消息做出响应,对组织信息的机密性、完整性和/或可用性产生负面影响。
非机密信息系统
这类系统处理、存储或传输的信息无需根据13556号行政命令(受控非机密信息)进行保护或传播控制或13526号行政命令(机密国家安全信息)(或任何之前或之后命令)或1954年《原子能法》(修订版)进行保护以防止非法泄露。
非机密网络
由相互连接的组件和非机密信息系统组成的网络。在FISMA报告中,这些组件仅限于硬件资产定义中的端点、移动资产、网络设备和输入/输出资产。
非特权网络账号
非特权网络账号指特权网络账号之外的任何账号,也称为标准账号。
虚拟桌面基础架构(VDI)
可为最终用户托管多个客户机桌面操作系统的单个或一组服务器。
虚拟机
允许单个主机运行一个或多个客户机操作系统的软件。
虚拟专用网(VPN)
允许机构通过不可信网络(如互联网)将其内部/专用网络扩展到远程位置的连接。
参考资料
[1] 持续授权和持续监控定义,见NIST SP 800-37(修订版2)。
[2] 18-02号约束性操作指令(BOD)《确保高价值资产的安全》
[3] 云服务定义,见NIST SP 800-145。
[4] 可信站点指机构安全负责人批准(即已加入白名单)的站点。
[5] 非特权网络账号指特权账号以外的任何账号。
[6] 对于拥有一个或多个非特权网络账号的人,只有在需使用双重PIV凭证对所有网络账号进行身份认证时才将此人计入总数。可通过基于用户/机器的配置设置强制进行认证。
[7] 更多信息,参见NIST SP 800-63。
[8] 不包括临时使用用户名/密码的情况(如丢失或忘记PIV卡)。
[9] 有关收集2.4.4.和2.5.4.指标的具体指导,请访问https://community.max.gov/display/CrossAgency/CIO+FISMA+Metrics。
[10] 无法通过网络访问的特权本地系统账号无须上报。
[11] HVA定义,见行政管理和预算局与国土安全部的指导文件。行政管理和预算局利用现有数据源作为HVA相关指标的基准。
[12] 机构应基于测试性质和目的确定通过/未通过标准。
[13] 不必为了100%响应而要求具有同时检查隔离环境中所有电子邮件流量的能力。要达到100%响应,必须分析所有电子邮件,且机构必须具有隔离可疑电子邮件以进行调查的能力。
[14] 此种入侵防御系统包括基于主机和基于网络的两种类型。
[15] 除了在设备连接时进行扫描外,就本指标而言,还要检查设备的上次扫描日期以及是否符合组织政策。
[16] 为了准确确定加权百分比,机构可以1.2.汇报数值或组织所分配的IP地址总量作为基数,或使用机构定义的其他方法,只要该方法使用了前后一致的汇报手段且能准确反映机构网络的权重。
[17] 为了准确确定加权百分比,机构可以1.2.汇报数值或组织所分配的IP地址总量作为基数,或使用机构定义的其他方法,只要该方法使用了前后一致的汇报手段且能准确反映机构网络的权重。
[18] HVA系统的潜在安全违规和漏洞由机构自行确定。
[19] 参见44 USC 3554(a)(1)(A)), NIST SP 800-171。
[20] 多功能设备仅可统计一次。具有多个IP连接的设备仅可统计一次,而不是每个连接统计一次。这是硬件资产清单,而非数据统计。
[21] “可寻址”指通过IP地址等方法与网络进行通信。
[22] 注意,虚拟机“设备”一般位于一个或多个硬件服务器中。若硬件服务器和虚拟机服务器都可以通过网络寻址,则两种设备都列入清单。(另一方面,多个CPU之类的东西一般不会单独统计,因为这些CPU无法寻址,并且仅因为其所属资产受到攻击而被连带攻击。)若不清楚如何就特定的云提供商应用该条,请联系FedRAMP获取更多信息:http://fedramp.gov.
[23] 由于存在多种类型的网络设备,无法一一列举。只要接入网络,设备就应计入清单。
[24] PKI资产应作为所驻留网络中的组成部分计入清单。
[25] 如果非GFE资产以有限方式连接,只能利用网络上的虚拟机发送和接收表示层数据,并且该数据经过妥善加密(例如Citrix连接),则不必入册。
[26] https://msdn.microsoft.com/en-us/library/windows/desktop/ms684190(v=vs.85).aspx
[27] https://csrc.nist.gov/Glossary/?term=233#AlphaIndexDiv
https://www.cisa.gov/sites/default/files/publications/FY%202020%20FISMA%20CIO%20Metrics_v1.pdf
声明:本文来自绿盟云,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
