NIST 专刊 800-53 修订版 5 报告

此报告显示在您的应用程序中发现的美国国家标准技术学会 (NIST) 问题。许多网络应用程序漏洞可能直接或间接导致个人信息安全漏洞,并可能被视为违反法规。

它为什么重要

NIST 制定并发布标准、指南和其他出版物,以协助联邦机构实施 2002 年联邦信息安全现代化法案 (FISMA),包括为所有机构运营和资产提供足够的信息安全的最低要求,但此类标准和指南应不适用于国家安全系统。联邦信息处理标准 (FIPS) 由 NIST 依照 FISMA 制定。由于 FISMA 要求联邦机构遵守这些标准,因此它们必须遵守。指导文档和建议在 NIST Special Publication (SP) 800 系列中颁布。管理和预算办公室(Office of Management and Budget,OMB)政策声明,除国家安全计划和系统外,机构必须遵循 NIST 指导。

FIPS 200《联邦信息和信息系统最低安全要求》是对应 FISMA 制定的一项强制性且不可放弃的标准。为了符合联邦标准,各机构必须首先根据联邦信息系统安全分类标准 FIPS 199 的规定确定其信息系统的安全类别,然后应用 NIST SP 800-53 中适当的一组基准安全控制。机构的风险评估通过确定是否需要任何其他控制来保护机构运营、机构资产或个人,对安全控制集进行验证。所产生的安全控制集将为联邦机构及其承包商建立“审慎安全性”级别。

除非 OMB 或 NIST 另有规定,否则各机构应在发布之日起一年内遵守 NIST 安全标准和指南。(NIST SP 修订版的一年合规日期仅适用于新的和/或更新的材料。)
1. 在法规的 14/20 部分中检测到的发布内容:
控制编号控件
AC-2(2)[分配:组织为每种帐户类型定义的时间段] 之后自动 [选择:移除;禁用] 临时和紧急帐户。
AC-4根据 [分配:组织定义的信息流控制策略],强制执行批准的授权来控制系统内以及所连接系统之间的信息流。
AC-6采用最低权限原则,仅允许完成分配的组织任务所需的用户(或代表用户的进程)进行授权访问。
AC-7 a.强制限制用户在 [分配:组织定义的时间段] 内连续无效登录尝试的次数 [分配:组织定义的数量]
AC-10将每个 [分配:组织定义的帐户和/或帐户类型] 的并发会话数限制为 [分配:组织定义的数量]
AC-12[分配:组织定义的条件或需要会话断开的触发器事件] 之后自动终止用户会话
AC-17a.制定并记录允许的每种类型的远程访问的使用限制、配置/连接要求和实施指南;以及

b.在允许此类连接之前,先授权对系统的每种类型的远程访问。

CM-7a.将系统配置为仅提供 [分配:组织定义的任务基本功能] ;以及

b.禁止或限制使用以下功能、端口、协议、软件和/或服务:[分配:组织定义的禁止或限制功能、系统端口、协议、软件和/或服务]

IA-2唯一地标识和验证组织用户,并将该唯一标识与代表这些用户行事的进程相关联。
IA-4(1)禁止使用与个人帐户公共标识符相同的系统帐户标识符。
IA-5通过以下方式管理系统验证器:

a.作为初始验证器分发的一部分,验证接收验证器的个人、组、角色、服务或设备的身份;

b.为组织发布的任何验证器建立初始验证器内容;

c.确保验证器具有足够的机制强度来满足其预期用途;

d.制定并实施初始验证器分发、验证器丢失、受损或损坏以及撤销验证器的管理程序;

e.在首次使用之前更改默认验证器;

f.更改或刷新验证器 [分配:按验证器类型列出的组织定义的时间段] 或何时发生 [分配:组织定义的事件]

g.保护验证器内容免遭未经授权的泄露和修改;

h.要求个人采取并让设备实施特定的控制措施来保护验证器;以及

i.当组或角色帐户的成员资格发生变化时,更改这些帐户的验证器。

RA-5a.监视和扫描系统和托管应用程序中是否有漏洞 [分配:组织定义的频率和/或根据组织定义的流程随机] 以及何时识别和报告可能影响系统的新漏洞;

b.采用漏洞监视工具和技术,通过使用以下标准来改善工具之间的互操作性并自动执行部分漏洞管理流程:

  1. 枚举平台、软件缺陷和不当配置;
  2. 格式化核对表和测试程序;以及
  3. 衡量漏洞影响;

c.分析漏洞扫描报告和漏洞监视结果;

d.根据组织风险评估修复合法漏洞 [分配:组织定义的响应时间]

e.与 [分配:组织定义的人员或角色] 共享从漏洞监视过程和控制评估中获得的信息,以帮助消除其他系统中的类似漏洞;以及

f.采用能够轻松更新要扫描的漏洞的漏洞监视工具。

SC-5a. [选择:防范;限制] 以下类型的拒绝服务事件的影响:[分配:组织定义的拒绝服务事件类型];以及

b.采用以下控制措施来实现拒绝服务目标:[分配:按拒绝服务事件类型列出的组织定义的控制措施]

SC-8保护所传输信息的 [选择(一项或多项):保密性;完整性]
SC-13a.确定 [分配:组织定义的加密用途];以及

b.实施每个指定的加密用途所需的以下加密类型:[分配:组织为每个指定的加密用途定义的加密类型]

SC-23保护通信会话的真实性。
SI-3.A在系统入口和出口点实施 [选择(一项或多项):基于签名;不基于签名] 恶意代码防护机制,用于检测和根除恶意代码。
SI-3.B当有新版本可用时,根据组织配置管理策略和程序自动更新恶意代码保护机制。
SI-10检查以下信息输入的有效性:[分配:组织定义的系统信息输入]
SI-11.A生成错误消息,提供纠正措施所需的信息,而不会泄露可能会被利用的信息。