「NIST 特刊 800-53 修訂 5」報告
此報告顯示在您的應用程式中發現的美國國家標準與技術研究院 (NIST) 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全,並可能會被視為違反法規。
重要性
NIST 擬訂及發佈各種標準、準則及其他出版品,以協助聯邦政府機構實施 2002 年的「聯邦資訊安全管理法案 (FISMA)」,其中包括最低需求,以便提供所有政府機構作業與資產的適當資訊安全,但這些標準與準則不應套用至國家安全系統。聯邦資訊存取安全標準 (FIPS) 是 NIST 依照 FISMA 所擬訂。FISMA 要求聯邦政府機構符合這些標準,因此,它們必須如此。指引文件與建議發佈於「NIST 特刊 (SP) 800」系列中。「預算管理局 (OMB)」政策指出,除了國家安全計劃與系統之外,政府機構必須遵循 NIST 指引。
FIPS 200(聯邦資訊和資訊系統的最低安全需求)是為了回應 FISMA 而擬訂之不得免除的強制性標準。如果要符合聯邦標準,機構必須先判斷其資訊系統的安全種類是否符合 FIPS 199(聯邦資訊系統的安全種類標準)的規定,然後套用 NIST SP 800-53 中一組適當的基準安全控制。政府機構的風險評量,是藉由判斷是否需要額外的控制來保護政府機構作業、政府機構資產或個人,從而驗證這一組安全控制。這組最終產出的安全控制,會建立起聯邦政府機構及其承包人的「安全查核」等級。
| 控制編號 | 控制 |
|---|---|
| AC-2(2) | [指派:組織自訂各類帳戶的時間期限] 後,自動 [選擇:移除;停用] 臨時和緊急帳戶, |
| AC-4 | 強制執行核准的授權,以便根據 [指派:組織定義的資訊流程控制政策] 控制系統內部和連接系統之間的資訊流動。 |
| AC-6 | 採用最小權限原則,僅允許使用者(或代表使用者執行的程序)進行完成指定組織任務所需的授權存取。 |
| AC-7 a. | 強制在 [指定:組織定義的時間期限] 內限制使用者連續無效登入嘗試的次數為 [指定:組織定義的數字] |
| AC-10 | 將每個 [指派:組織定義的帳戶和/或帳戶類型] 的並行階段作業數限制為 [指派:組織定義的數量]。 |
| AC-12 | 自動在 [指派:組織定義的條件或觸發需要中斷階段作業的事件] 後終止使用者階段作業 |
| AC-17 | a.建立並記錄每種容許的遠端存取類型的使用限制、配置/連線要求和實作指南;並 b.在允許這類連線之前,先授權對系統的每種類型的遠端存取。 |
| CM-7 | a.將系統配置為僅提供 [指派:組織定義的關鍵任務功能];以及 b.禁止或限制使用以下功能、埠、協定、軟體和/或服務:[指派:組織定義的禁止或受限功能、系統埠、協定、軟體和/或服務]。 |
| IA-2 | 唯一識別並鑑別組織使用者,並將該唯一識別與代表這些使用者執行的程序建立關聯。 |
| IA-4(1) | 禁止使用與個人帳戶公開 ID 相同的系統帳戶 ID。 |
| IA-5 | 管理系統鑑別器方式: a.驗證作為初始鑑別器分發的一部分,接收鑑別器的個人、群組、角色、服務或裝置的身分; b.建立組織所簽發的任何鑑別器的初始鑑別器內容; c.確保鑑別器具有足夠的機制強度以滿足其預期用途; d.建立並實作初始鑑別器分發、鑑別器遺失、受損或損壞,以及撤銷鑑別器的管理程序; e.在首次使用之前變更預設鑑別器; f.變更或重新整理鑑別器 [指派:組織自訂的鑑別器類型時間期限] 或在 [指派:組織自訂事件] 發生時; g.保護鑑別器內容免受未經授權的洩露和修改; h.要求個人採取特定控制措施,並讓裝置實作這些措施以保護鑑別器;以及 i.群組或角色帳戶的成員資格變更時,變更這些帳戶的鑑別器。 |
| RA-5 | a.監控並掃描系統和管理應用程式中的漏洞 [指派:依組織定義的頻率和/或根據組織定義的程序隨機進行],以及在識別和報告可能影響系統的新漏洞時進行; b.使用漏洞監控工具和技術,透過使用以下標準來促進工具之間的交互作業能力,並自動化漏洞管理的部分流程:
c.分析漏洞掃描報告和漏洞監控結果; d.根據組織對風險的評估修復合法漏洞 [指派:組織定義的回應時間], e.將從漏洞監控流程和控制評估中獲得的資訊與 [指派:組織定義的人員或角色] 共享,以協助消除其他系統中的相似漏洞。 f.使用具有容易更新掃描漏洞功能的漏洞監控工具。 |
| SC-5 | a. [選擇:防護;限制] 以下類型的拒絕服務事件的影響:[指定:組織定義的拒絕服務事件類型];以及 b.使用以下控制來實現拒絕服務目標:[指派:組織定義的拒絕服務事件類型的控制]。 |
| SC-8 | 保護傳輸資訊的 [選擇(一個或多個):機密性;完整性]。 |
| SC-13 | a.確定 [指派:組織自訂的加密用途];以及 b.實作以下各種加密類型,以滿足指定的加密需求:[指派:組織自定義之各種指定加密需求的加密類型]。 |
| SC-23 | 保護通訊階段作業的真實性。 |
| SI-3.A | 實作 [選擇(一個或多個):基於簽名;非基於簽名] 惡意程式碼保護機制,以在系統進入和退出點偵測並根除惡意程式碼。 |
| SI-3.B | 在新版本發布時,根據組織的配置管理政策和程序自動更新惡意程式碼保護機制。 |
| SI-10 | 檢查以下資訊輸入的有效性:[指派:組織自訂的系統資訊輸入]。 |
| SI-11.A | 產生錯誤訊息以提供進行糾正動作所需資訊,同時不透露可能被利用的資訊。 |