增加新的NIST 800-53映射的安全选项
由阿伦贝克
”组织比以往任何时候都更需要平衡快速发展的网络威胁和满足业务需求的需要”。在这种程度上,风河有NIST 800-53 Revision 4映射VxWorks,风河Linux和风河+ Star Lab Titanium显示100%覆盖适用的控制。
这些映射是数据库格式的,因此我们的客户的需求管理工具可以直接使用它们来显示对系统控制分配的遵从性。我们的映射正在扩展我们正在进行的安全技术实现指南(STIG)工作,为VxWorks和风河Linux。这确保了我们的客户获得最大价值,并最大限度地减少对其平台配置的干扰。
我们从NIST的网站,并分析了1682行,结果产生了以下控件类别(这些类别不要与定义的“家族”混淆)。
•组织负责的控制(组织)
•已撤销的控制,但列出了保持跨版本一致性的控制(已撤销)
•语句读为“组织:”(组织标题)
•陈述读“信息系统:”(信息标题)
•有意扩大控制范围,要求客户做出设计决策(客户政策)
•适用于风河产品提供基础的信息系统的控制(适用控制)
这可以用图形表示如下:
我们对适用控件的映射方法如下:
1)逐项列出我们平台的安全特性
2)将安全特性映射到适用的控制
这种方法为客户提供了最细的粒度级别,以便根据800-53控件显示需要哪些安全特性。
Linux提供了一个独特的挑战,因为它的绝对数量的软件包。Wind River Linux有超过2200个集成和测试软件包。为了简化遵从性工作,我们将类似的与安全性相关的包分组在一起,并将这些包组映射到表1中列出的控件。这使得根据系统设计选择所需的软件包以满足控制的最大灵活性。
我们还提供了一个映射的风河Linux星实验室的钛。这种组合不仅显示了对适用控件的100%遵从性,而且提供了加固的Linux内核、访问控制和进程保护。
要访问这些映射,请联系您的风河客户经理或联系我们在这里。
需要注意的是,NIST 800-53控制正在进行修订(从rev 4到rev 5)。该修订是最终的草稿,正在等待发布NIST。风河正在跟踪这个修订,并将提供更新后,这一版本的最终定稿。