联邦风险和授权管理方案 (FedRAMP) 报告

此报告显示在您站点上发现的 FedRAMP 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规,并且可能会被视为违反法律规定。

它为什么重要

联邦风险和授权管理方案 (FedRAMP) 通过向执行部门和机构提供以下选项来以一种基于风险的方法提供云服务的采用。

  • 选定信息系统影响级别的云服务的授权和进行中网络安全的标准安全需求。
  • 合格评定计划,能够对云服务提供商 (CSP) 实施的安全控制进行一致的独立第三方评估。
  • 由来自 DHS、DOD 和 GSA 的安全专家组成的联合授权委员会 (JAB) 审查云服务的授权包。
  • 标准合同语言,用于帮助执行部门和机构将 FedRAMP 需求和最佳实践集成到收购中;以及
  • 可在政府范围利用的云服务的授权包存储库。

FedRAMP 进程旨在帮助机构符合云系统的 FISMA 需求,并解决云系统的复杂性,而这些复杂性会在符合 FISMA 需求方面产生独特的挑战。该程序改进了联邦机构使用云服务提供程序平台和产品的能力。

OMB 在 2011 年 12 月 8 日发布了备忘录,说明一个或多个机构利用的所有低和中等影响级别云服务都必须符合 FedRAMP 需求。FedRAMP 在 2012 年 6 月 6 日开始了初始操作能力 (IOC)。截止到 2012 年 6 月 6 日处于收购阶段但尚未实施的云系统可在 2014 年 6 月 5 号之前符合 FedRAMP 需求。

FedRAMP 由联合授权委员会 (JAB) 监管,该委员会由来自国土安全部 (DHS)、美国总务管理局 (GSA)和国防部 (DoD) 的首席信息官组成。美国政府的首席信息官 (CIOC)(包括其信息安全和身份管理委员会 (ISIMC))为 FedRAMP 背书。FedRAMP 与 ISIMC 协作,因为它识别高优先级安全性和身份管理计划,并开发关于策略、过程和标准的建议来解决这些计划。

AppScan 的 FedRAMP 一致性报告自动检测云服务 WEB 环境中可能与 FedRAMP 基线控制文档的一致性相关的问题。FedRAMP 安全性控制基线通过与云服务相关的适用参数和修改来更新 NIST 最低安全性控制指南。

1. 该法规 14/18 部分中发现的问题:
控制序列号 控件
交流-4 根据[作业:组织定义的信息流控制策略],强制执行批准的授权来控制系统内以及连接系统之间的信息流。
AC-6 采用最小权限原则,仅允许完成分配的组织任务所需的用户(或代表用户的进程)进行授权访问。
AC-7.A 强制限制用户在[分配:组织定义的时间段] 内连续无效登录尝试的次数 [分配:组织定义的次数]
AC-10 将每个[分配:组织定义的帐户和/或帐户类型] 的并发会话数限制为 [分配:组织定义的数量]
AC-12 [分配:组织定义的条件或需要会话断开的触发事件]之后自动终止用户会话
AC-17.1 信息系统监视和控制远程访问方法。
CM-7

a.配置系统仅提供[分配:组织定义的任务基本能力] ;和

b.禁止或限制使用以下功能、端口、协议、软件和/或服务: [任务:组织定义的禁止或限制功能、系统端口、协议、软件和/或服务]

IA-2 唯一地识别和验证组织用户,并将该唯一标识与代表这些用户行事的流程相关联。
IA-5

c.该组织通过确保身份验证器具有足够强度的机制来满足其预期用途,从而管理用户和设备的信息系统身份验证器。

e.该组织通过在信息系统安装时更改认证器的默认内容来管理用户和设备的信息系统认证器。

SC-5 信息系统可防止或限制以下类型的拒绝服务攻击的影响: [作业:组织定义的拒绝服务攻击类型或引用此类信息的来源],通过采用[作业:组织定义的安全防护措施]
SC-8 信息系统保护传输信息的[FedRAMP 分配:机密性和完整性]
SC-13

信息系统根据适用的联邦法律、行政命令、指令、政策、法规和标准实施[FedRAMP 分配:FIPS 验证或 NSA 批准的加密]

SC-23 信息系统保护通信会话的真实性。
SI-3.A

在信息系统入口和出口处采用恶意代码防护机制,检测并消除恶意代码。

SI-3.B

只要有新版本可用,组织就会根据组织配置管理策略和程序更新恶意代码保护机制。

SI-10 信息系统检查[作业:组织定义的信息输入]的有效性。
SI-11.A

信息系统生成错误消息,提供纠正措施所需的信息,而不会泄露可能被对手利用的信息。