写点什么

什么是 DISA STIG? 概述 +STIG 安全

作者:麦禾测试
  • 2021 年 11 月 09 日
  • 本文字数:1209 字

    阅读完需:约 4 分钟

什么是DISA STIG?概述+STIG安全

什么是 DISA STIG?

DISA STIG (DISA—国防信息系统局)是指提供技术指南(STIG—安全技术实施指南)的组织。

DISA 是国防部 (DoD) 的一部分。它是一个为国防部工作的所有机构和个人提供 IT 和通信支持的战斗支援机构。DISA 负责监督组织、交付和管理国防相关信息的 IT 和技术方面。这包括 STIG 指南。这些指南概述了组织应如何处理及管理软件和系统的安全性。

什么是 STIG 安全?

STIG 安全是指安全技术信息指南(STIG),是 DISA 的安全指南。DoD 已经维护和更新了 100 多个 STIG。

完整的 STIG 安全列表

有一个完整的 STIG 安全列表,提供了有关 DoD IA 和支持 IA 的设备/系统标准的关键更新。每个 STIG 都提供技术指导,以保护可能容易受到攻击的信息系统/软件。


国防部定期更新 STIG,以确保开发人员能够:

●  正确配置硬件和软件。

●  实施安全协议。

●  组织培训流程。


您可以使用 STIG 列表来识别代码中的潜在漏洞。


但使用 STIG 列表的最佳方法是将其与 SAST 工具配对。像 Klocwork 等 SAST 工具可以帮助工程师更快速地识别安全漏洞。

什么是 DISA STIG 合规级别?

DISA STIG 合规级别共有三个,这里称为类别。这三种类别表明未能解决特定漏洞的风险的严重程度。


级别从重到轻,分别为:


Category I

Category I 是指将直接和立即导致机密性、可用性或完整性损失的任何漏洞。此外,这些漏洞可能允许未经授权访问机密数据或设施。这可能导致拒绝服务或访问。


这些风险是最严重的。它们可能导致人员伤亡、设施损坏或任务失败。如果您不解决这些风险,您将不会获得运营授权。

唯一的例外是:

●  当系统处于临界状态时。

●  当系统使用失败可能导致任务失败时。


Category II

Category II 是指任何可能导致损失机密性、可用性或完整性的漏洞。


二类漏洞可以:

●  导致 I 类漏洞。

●  导致人身伤害、设备或设施损坏。

●  降级任务。


Category III

Category III 是指任何会降低保护机密性、可用性或完整性措施的漏洞。

三类漏洞可以:

●  导致 II 类漏洞。

●  延迟从中断中恢复。

●  影响数据和信息的准确性。


什么是 DISA 合规性?

实现安全编码标准的最佳方法是使用静态代码分析器—比如 Klocwork。


1. 获取 Klocwork

静态代码分析器强制执行编码规则并标记安全违规行为。Klocwork 带有代码安全分类规则,以确保软件安全。


每一项包括:

●  完整记录的规则执行和消息解释。

●  完全可配置的规则处理。

●  安全审计的合规报告。


2. 使用 Klocwork 查看 STIG 安全列表


运行静态分析是开发安全软件过程的重要组成部分。您可以使用它来符合 IEC 61508 要求。


Klocwork 还可以根据安全漏洞列表检查您的代码。它会自动标记违规行为并强制执行安全编码指南。此外,Klocwork 提供有关您代码合规性的安全报告。


使用 Klocwork 确保 DISA STIG 安全

DISA STIG 安全指南对于确保软件安全来讲十分重要。使用 Klocwork 可以帮助您确保代码安全。这是因为 Klocwork 是 C、C++、C#、Java 和 JavaScript 编码语言最值得信赖的静态分析工具。


更多信息请访问:http://www.softtest.cn/show/232.html

用户头像

麦禾测试

关注

还未添加个人签名 2021.09.13 加入

还未添加个人简介

评论

发布
暂无评论
什么是DISA STIG?概述+STIG安全