论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 12 篇帖子 ] 
作者 内容
 文章标题 : 《信息安全连续监控项目指南》
帖子发表于 : 2011-01-05 08:45 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-05-23 15:51
拥有: 10,299.00 安全币

奖励: 878692 安全币
在线: 107628 点
帖子: 3276
美国国家技术和标准研究院(NIST)发表了《联邦政府机构及信息系统的信息安全连续监控(草案)》(Information Security Continuous Monitoring for Federal Information Systems and Organizations,draft-SP-800-137-IPD),现将其中的概要部分翻译成中文,供大家参考指正。

引用:
在目前情况下,绝大多数机构的关键业务依赖于信息技术,管理这些技术以及确保信息的保密性、完整性好可用性对于业务来说是非常关键的。在设计系统架构及其安全架构时,机构需要满足其治理架构、使命和核心业务过程在IT架构方面的安全需求。信息安全是动态过程,必须加以有效管理以应对新的脆弱性、不断出现的威胁,以及机构持续变化的系统架构和运行环境。

由NIST开发的风险管理框架(RMF)描述了将信息安全和风险管理活动整合于系统开发生命周期的系统化方法。RMF包含六个步骤。持续监控(即RMF中初始评估和授权后的第6个步骤)是风险管理的关键步骤。另外,机构也应该监控其整体安全架构及其相关的安全项目,以确保即使在发生各种变化的情况下,机构仍在整体上运行于可接受的风险水平之内。如果机构的运行超出了其既定的风险接受水平,机构应能够获得相关的准确信息以便进行风险管理决策。及时的信息非常重要,在资源缺乏时尤其如此,机构必须有所取舍。

信息安全连续监控被定义为对支持机构风险管理决策的信息安全、脆弱性和威胁方面的情况保持持续了解。其目的是持续监控机构网络、信息和系统的安全,根据情况的变化决定对风险的接受、规避/拒绝、转移/分担或消极。

在机构开展任何信息安全持续监控的工作之前,都必须事先对连续监控策略进行全面定义,这些策略涵盖技术、方法、过程、运行环境和人的因素。这些策略:

    基于对机构风险接受水平的明确表达;
    包括测量方法和指标,能够为机构所有层面提供易于了解的安全状态指示;
    确保所有安全控制措施的持续有效;
    协助维护机构所有IT资产的可见性并从中获得所需的信息;
    通过资产和配置管理系统了解并控制变更;
    主动管理变更的安全影响;
    对威胁和脆弱性保持了解;
    协助相关人员有序工作以便将风险控制在机构风险接受水平之内。
建立连续监控项目以便基于既定的指标收集信息,并利用安全控制措施中已有的部分信息。包括取样、通用协议和参照模型等相关工具、技术和方法使机构范围内的人工和自动化数据收集更可行。机构的工作人员定期分析数据,并根据各级管理人员的需要管理风险。这项工作涉及到整个机构的各级人员,从负责公司治理和战略规划的高级领导到各种机构核心业务支撑系统的具体开发、部署和操作人员。这样就可以从机构全局的角度对风险消减、拒绝、转移和接受活动进行有效决策。

机构的安全架构、安全运行能力、监视过程会随着时间的推移不断改进和成熟,更好地应对动态的威胁和脆弱性局面。应对连续监控策略和项目的适当性进行定期检查和修正,根据需要改进资产可见性以及对脆弱性的了解,以便能够基于数据提高对机构信息架构的安全控制,以及机构的抗打击能力。

机构范围的监控难以仅凭手工方式或自动化方式有效达成,但包括使用自动化支持工具(如脆弱性扫描工具、网络扫描设备)在内的自动化方式能够使连续监视活动更有效、更具有成本效益和一致性。在NIST特别出版物(SP)800-53,《联邦政府信息系统推荐使用的安全控制措施》中定义的许多技术性安全控制措施是监视活动中自动化工具和技术的优先选项。通过使用自动化工具部署技术性控制措施所实施的实时监控可以为机构提供其控制措施安全状态的更及时信息。应该认识到,任何有效的信息安全项目及其安全控制措施,包括管理和操作性控制,即使不能或不易实现自动化监视也必须定期进行有效性评估。

机构通过采取以下步骤建立、实施和维护连续监控项目。这些步骤包括以下内容:

    定义连续监控策略;
    建立测量方法和量度指标;
    确定监控和评估频率;
    实施连续监控项目;
    分析数据并报告发现;
    通过消减策略或拒绝、转移、接受风险的方法对发现进行响应;
    检查和更新连续监控策略和项目。
这个项目与风险管理框架第6步监控中所列出的任务不尽相同,组织层面和系统层面的方法有所重叠,方法之间尽可能相互支持。配置管理和安全影响分析是有效的信息安全管理活动的重要组成部分,也是机构连续监控项目的一部分。应考虑尽可能使用自动化安全技术对连续监控项目进行支持(如IDPS、脆弱性评估和配置管理工具等)。


附件:
draft-SP-800-137-IPD.pdf [974.86 KiB]

注意:所有附件下载均需支付10安全币,不足10安全币不能下载!重复下载以前下载过的附件不再需要安全币。


--------本帖迄今已累计获得57安全币用户奖励--------
回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 《信息安全连续监控项目指南》
帖子发表于 : 2011-01-05 09:21 
离线
高级用户

注册: 2008-07-08 07:55
最近: 2015-12-22 15:09
拥有: 627.50 安全币

奖励: 150 安全币
在线: 4192 点
帖子: 184
谢谢坛主的推荐,先去看看原文版的,也期待中文版的诞生。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 《信息安全连续监控项目指南》
帖子发表于 : 2011-01-06 09:00 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-05-23 15:51
拥有: 10,299.00 安全币

奖励: 878692 安全币
在线: 107628 点
帖子: 3276
连续监控对机构安全管理水平的要求极高,目前即使在系统层面也很少能做到,更不用说在业务层面和机构整体层面了,我接触过的单位也就是招商银行在尝试这方面的工作,他们可能是使用arcsight比较早的单位之一了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 《信息安全连续监控项目指南》
帖子发表于 : 2011-01-06 09:20 
离线
高级用户

注册: 2008-07-08 07:55
最近: 2015-12-22 15:09
拥有: 627.50 安全币

奖励: 150 安全币
在线: 4192 点
帖子: 184
看概念的定义,是否可以理解这个模型是以企业的信息安全保障体系为骨架,以风险管理的结果为安全需求,以保障企业业务数据的CIA为出发点,在技术上以SIEM工具为基础,通过制定完善的监控流程,其中辅以ISO27001+ITIL+企业内部的合规性要求,并且培养一批人才,然后有一个有效的度量机制来考量监控质量和结果,逐步建立一个高效的SOC。


--------本帖迄今已累计获得47安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 《信息安全连续监控项目指南》
帖子发表于 : 2011-01-06 15:27 
离线
超级用户

注册: 2009-03-11 13:55
最近: 2017-10-12 09:24
拥有: 5,886.00 安全币

奖励: 4755 安全币
在线: 1650 点
帖子: 315
恩,看了文献,感觉最大的变化时主动安全这个概念的提出,如何主动管理变更安全是安全短板


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 《信息安全连续监控项目指南》
帖子发表于 : 2011-01-06 16:25 
离线
高级用户

注册: 2010-12-03 17:04
最近: 2011-03-25 17:21
拥有: 3,032.00 安全币

奖励: 2958 安全币
在线: 0 点
帖子: 197
学习,是否是SOC的升华。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 《信息安全连续监控项目指南》
帖子发表于 : 2011-01-06 23:35 
离线
中级用户

注册: 2010-12-14 15:03
最近: 2012-05-22 13:48
拥有: 819.00 安全币

奖励: 908 安全币
在线: 355 点
帖子: 81
先下载了看看,谢谢楼主~~


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 《信息安全连续监控项目指南》
帖子发表于 : 2011-01-07 10:18 
离线
中级用户

注册: 2010-08-25 18:33
最近: 2013-04-07 16:45
拥有: 284.00 安全币

奖励: 0 安全币
在线: 184 点
帖子: 79
感谢楼主的奉献,,已经下载,正在看,虽然看不太懂


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 《信息安全连续监控项目指南》
帖子发表于 : 2011-05-07 14:42 
离线
超级用户

注册: 2004-11-07 19:55
最近: 2014-12-22 17:34
拥有: 1,322.60 安全币

奖励: 7 安全币
在线: 3779 点
帖子: 344
eric.v 写道:
看概念的定义,是否可以理解这个模型是以企业的信息安全保障体系为骨架,以风险管理的结果为安全需求,以保障企业业务数据的CIA为出发点,在技术上以SIEM工具为基础,通过制定完善的监控流程,其中辅以ISO27001+ITIL+企业内部的合规性要求,并且培养一批人才,然后有一个有效的度量机制来考量监控质量和结果,逐步建立一个高效的SOC。



这是一个高阶的技术文档,落地是要有前提和基础的.
看看,学习一下,完善整体安全知识架构,很好,非常好.

另外,高管地适用.


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 《信息安全连续监控项目指南》
帖子发表于 : 2012-03-04 08:16 
离线
新手

关注按钮

注册: 2011-04-25 22:39
最近: 2012-03-26 16:45
拥有: 17.00 安全币

奖励: 0 安全币
在线: 109 点
帖子: 9
投入还是不小的


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 《信息安全连续监控项目指南》
帖子发表于 : 2012-03-04 11:50 
离线
超级用户

注册: 2005-07-12 14:58
最近: 2014-05-08 21:56
拥有: 283.60 安全币

奖励: 696 安全币
在线: 4410 点
帖子: 356
感谢楼主,不知道信息安全连续监控下的定义是什么?下载后看看!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 《信息安全连续监控项目指南》
帖子发表于 : 2012-03-08 13:09 
离线
初级用户

关注按钮

注册: 2011-03-14 10:30
最近: 2012-07-24 09:49
拥有: 923.00 安全币

奖励: 0 安全币
在线: 587 点
帖子: 32
论坛组织一批牛人翻译一下吧,自己啃虽然能提高水平但是累啊


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 12 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012