NIST 机构间报告 7800 （草 稿） 应⽤连续监测技术 资产、 配置和漏洞管理领域的 参考模型（草 案） DavidWaltermire、 Adam Halbardier、 Adam Humenansky 和 PeterMell 从英语翻译成中⽂(简体) - www.onlinedoctranslator.comNIST 机构间报告 7800 （草 稿）将持续监控技术参考模型应⽤于资产、 配 置和漏洞 管理域（草 案） David Waltermire、 Adam Halbardier、 Adam Humenansky 和 Peter Mell 计算机 安全 计算机安全部信息技术实验室国家标准与技术 研究所盖瑟斯堡， MD 20899-8930 2012 年 1 ⽉ 美国商务部 秘书约翰·E· 布赖森 美国国家标准与技术研究院 Patrick D. Gallagher， 标准与技术部副部⻓ 兼董 事⼀个应⽤ C连续的 ⽶监控 吨技术的 R参考 ⽶模型 ⼀个SSET ， C配置, 和 五难受 ⽶管理 D奥曼斯 计算机系统技术报告 美国国家标准与技术研究院 (NIST) 的信息技术实验室 (ITL) 通过为美国的测量和标准基础设 施提供技术领导⼒来促进美国经济和公共福利。 ITL 开发测试、 测试⽅法、 参考数据、 概念验 证实施和技术分析， 以推进信息技术的开发和⽣产性使⽤。 ITL 的职责包括为联邦计算机系统 中敏感的⾮机密信息的成本效益安全和隐私制定技术、 物理、 ⾏政和管理标准和指南。 这份 跨机构报告讨论了 ITL 在计算机安全⽅⾯的研究、 指导和外展⼯作， 以及它与⾏业、 政府和 学术组织的合作活动。 美国国家标准与技术研究所跨部⻔报告 7800 ⻚（2012 年 1 ⽉） 29 为了充分描述实验程序或概念， 本⽂档中可能会标识某些商业实体、 设备或材 料。 此类标识并不意味着美国国家标准与技术研究院的推荐或认可， 也不意味 着实体、 材料或设备必须是为此⽬的最好的。 ii⼀个应⽤ C连续的 ⽶监控 吨技术的 R参考 ⽶模型 ⼀个SSET ， C配置, 和 五难受 ⽶管理 D奥曼斯 致谢 作者要感谢以下个⼈参与持续监测（CM 1) 研究团队、 富有洞察⼒的想法和对这项⼯作的评 论： 来⾃国家安全局的 Stephen York 和 Peter Sell， 以及来⾃ Booz Allen Hamilton 的 Larry Feldman 和 Zach Ragland。 作者还要感谢美国⾸席信息官委员会的信息安全和⾝份管理⼩组委员会 (ISIMC) 在我们创建本 出版物时的持续安全监控领导和指导。 我们要特别感谢现任联合主席： 2 国务院的约翰·斯特 鲁弗特、 国防部⻓办公室的凯⽂·杜拉尼和国⼟安全部的蒂莫西·⻨克布赖德。 商标信息 OVAL 和 CVE 是 The MITRE Corporation 的注册商标， CCE 和 CPE 是商标。 所有其他注册商标或商标均属于其各⾃的组织。 抽象的 本出版物将 NIST IR 7799 中描述的 CM ⼯作流程和功能与特定数据域绑定在⼀起。 它侧重于 资产管理、 配置和漏洞数据域。 它利⽤安全内容⾃动化协议 (SCAP) 1.2 版进⾏配置和漏洞扫 描内容， 并以符合 SCAP 的格式规定报告结果。 本规范描述了对三个域中每⼀个域的⽅法的 概述， 它们如何绑定到特定的通信协议， 以及这些协议如何交互。 然后， 它定义了对启⽤每 个数据域的 NIST IR 7799 中定义的⼦系统的各种功能征收的特定要求。 1 请勿将本出版物中的⾸字⺟缩略词 CM 与其他使⽤缩写词 CM 的 NIST 800 系列出版物相混淆 表⽰“配 置管理”。 2 联合主席在管理和预算办公室⽹站上列出 https:// max.omb.gov/ community/ display/ Egov/ Continuous+Monitoring+Working+Group+Members。 三⼀个应⽤ C连续的 ⽶监控 吨技术的 R参考 ⽶模型 ⼀个SSET ， C配置, 和 五难受 ⽶管理 D奥曼斯 ⽬录 1. 简介 ................................................... ..................................................... ............ 1 1.1 ⽬的和范围 ................................................... .................................................. 1 1.2 观众.................................................. ..................................................... ....... 2 1.3 ⽂档结构 ................................................... ......................................................... 2 1.4 ⽂档约定................................................................ ..................................... 2 2. 术语和缩略语 ................................................... ......................................................... 4 2.1 条款.................................................. ..................................................... ...... 4 2.2 ⾸字⺟缩略词................................................................ ..................................................... ...... 5 3. 与现有标准和规范的关系 ................................................................... 6 4. 处理数据域的⽅法概述.......................................................... .. 7 4.1 资产管理数据域 ................................................... ...................... 7 4.2 配置管理和漏洞管理数据域...... 8 5. 第 2 层依赖 ................................................................ ................................................... 9 6. 第 1 层依赖 ................................................................ .................................................. 10 7. 所需的第 1 层规格................................................................. ............................. 12 7.1 ARF.................................................. ..................................................... ............. 12 7.2 CCE .................................................. ..................................................... ...... 12 7.3 CVE ...................................... ..................................................... ...... 12 7.4 CPE ................................................... ..................................................... ...... 13 7.5 椭圆形 ................................................... ..................................................... ...... 13 7.6 XCCDF .