论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 3 篇帖子 ] 
作者 内容
 文章标题 : NIST SP800-53修订版1发表了。
帖子发表于 : 2006-12-26 10:45 
离线
高级用户

注册: 2004-09-09 12:50
最近: 2012-07-02 08:57
拥有: 1,653.80 安全币

奖励: 15 安全币
在线: 3058 点
帖子: 199
地址: 北京
2006年12月21日,NIST宣布发表SP800-53 Revision1,“为美国联邦政府推荐的安全控制措施”。这是对2005年2月关于信息安全控制选择的规范指南的一个最主要的更新。其中对介质保护、认证、认可、安全评估、标识与鉴别族等都有重要的更新,对安全控制措施的升级和使用外部信息系统也提供了新的指南。

http://csrc.nist.gov/publications/nistp ... 00-53-Rev1

我自己初步阅读了一下,还感觉到有以下一些变化:
1、将原来的的“最小控制集合(minimum control)"的提法换成了“基线控制(baseline control)”;
2、明确了一个思路:当安全不能保证时,就别用信息系统;
3、将原来只提“need-to-know"原则变成了"need-to-know"和"need-to-share"并提;
4、在防火墙、VPN等安全手段中增加了”guards",一种在信息系统或子系统间隔离信息交换的机制,类似于我国的物理隔离技术手段;
5、与DCID 6/3的映射中明确了DCID 6/3中没有的映射不等于DCID 6/3中没有要求。


--------本帖迄今已累计获得33安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 大家2007新年好
帖子发表于 : 2007-01-01 18:08 
离线
初级用户

注册: 2004-02-19 17:42
最近: 2011-12-15 16:00
拥有: 42.40 安全币

奖励: 1 安全币
在线: 1912 点
帖子: 33
这里的第二点,不是件容易的事情,虽然道理看起来很明显。

主要是如何确定安全是否能够保证?保证到什么程度可能是实际工作中难以把握的分寸。没有绝对不安全的设计,也没有绝对安全的设计方案。


--------本帖迄今已累计获得20安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : SP800-53有了一个支持工具
帖子发表于 : 2007-01-31 14:16 
离线
高级用户

注册: 2004-09-09 12:50
最近: 2012-07-02 08:57
拥有: 1,653.80 安全币

奖励: 15 安全币
在线: 3058 点
帖子: 199
地址: 北京
SP800-53中还特别提到了对系统进行正确分类的重要性,同时还强调了一个系统对其他系统的影响,也谈到了能够采用通用的控制措施就尽量采用的原则,这样可以节省资源。

对系统进行分类的做法与我们的等级保护实际上是同一个思路。

NIST提供了一个SP800-53的支持工具,以一个运行版的数据库的形式,可以方便地进行各种分类和查询,非常有用!http://csrc.nist.gov/sec-cert/support-tools-applications.html


--------本帖迄今已累计获得22安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 3 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012