可度量的安全-Making Security Measurable

最新推荐文章于 2024-08-15 18:17:55 发布
最新推荐文章于 2024-08-15 18:17:55 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 信息安全 文章标签: security classification patch 数据仓库 活动 咨询
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxd121/article/details/4224355
版权

这是美国MITRE公司提出的信息安全标准化活动,该公司主要为政府部门提供咨询服务,安全界著名的漏洞库CVE-ID就是由它维护的。

此活动的官方网站是http://measurablesecurity.mitre.org/

MITRE推动安全量化的目的我还不知道,但它的方法是:

1. 枚举enumerating基础安全数据;

2.提供标准化语言language用于准确地信息交换;

3.通过数据仓库repository促进用户信息的共享。

 

可量化安全至少关心以下领域:

1. vulnerability Management漏洞管理

2. Asset Security Assessment资产安全评估

3. Configuration Guidance配置指导

4. Malware Reponse恶意软件响应

5. Intrusion Detectioin入侵检测

6. Asset Management资产管理

7. Patch Management补丁管理

8. Incident Management事故管理

 

前面所说的三种方法又细分如下:

1. Enumerations

(1) CVE-Common Vulnerabilites and Exposure通用脆弱性标识

(2) CWE-Common Weakness Enumeration,软件弱点类型列表

(3)CAPEC-Common Attack Pattern Enumeration and Classification,通用攻击模板列表,这个东西比较陌生,让人有想像空间,它和攻击图有关联吗?回头再看

(4)CCE-Common Configuration Enumeration,通用安全配置标识

(5)CPE-Common Platform Enumeration通用平台标识

 

2. Languages

(1)OVAL-Open Vulnerability and Assessment Language,确定脆弱性和配置问题的标准

(2)CRF-Common Result Format,表述基于通用名称和命名模板的发现的标准化的评估结果格式(standardized assessment result format for conveying findings based on common names and naming schemes)

(3)CEE-Common Event Expression,计算机事件的描述,记录,交换的标准方法

 

3. Repository

(1)OVAL Repository,社团开发的OVAL脆弱性,遵从,存货和补丁的定义(community-developed OVAL Vulnerability, Compliance, Inventory, and Patch Definitions)

 

从我做为一名信息安全领域的学生角度来看,这个计划的野心真是够大的,呵呵。看来我又有的学啰。

一小猿
关注
专栏目录
【PMI-PMP®模考三】2022
lingbin418的专栏
06-27 6244
1、 项目经理说:“我现在不能处理这件事。"此时,该项目经理用的何种冲突解决技巧? What conflict resolution technique is a project manager using when he says, I cannot deal with this issue now! A :解决问题 Problem solving B :强迫 Forcing C : 撤退 Withdrawal D :妥协 Compromising * * 正确答案:C 你的答案:C解析:知识点出处: P
安全性(security度量
manok的专栏
07-14 1637
安全度量作为CISQ进行代码度量的4个指标之一,可以通过22个弱点进行度量。 本文件介绍了CISQ自动化质量特性安全措施中包含的22个弱点的描述。这些描述已经简化,从它们在出版OMG规范中的描述来看,这些描述是用其他OMG Meta-Models的形式来具体说明机器可处理XMI Notation中的代表性不足。 下表给出了每个缺陷及其唯一的CISQ标识符、简短的描述性名称以及作为补救建议的缺...
为大数据打造可信的安全运行环境
yuanhao002的博客
06-23 743
一般来说大数据是无法应用现有软件工具提取、存储、分析的数据集合,其无法使用常规数据库管理工具进行管理。大数据拥有4“V”特征:数据量巨大、数据类型繁多、价值密度低、处理速度快。 随着大数据时代的来临,信息安全却正在成其发展的瓶颈。 大数据与网络密不可分,网络上的任何攻击动作都可能对其造成影响。同时,现有IT系统频繁曝出的各类安全隐患,也在为大数据的运行带来威胁。智能移动终端等个人设备作为数据获
【文献翻译】思科路由器安全配置合规性的SCAP基准-SCAP Benchmark for Cisco Router Security Configuration Compliance
Mrong1013967的博客
11-01 566
目录 思科路由器安全配置合规性的SCAP基准 SCAP Benchmark for Cisco Router Security Configuration Compliance 摘要 I. 引言 II. 相关的工作 A. 方法论 B. 工具和测试 IV. SCAP 基准 A. SCAP规范 B.SCAP基准组件 V. 结论和未来的工作 思科路由器安全配置合规性的SCAP基准 SCAP Benchmark for Cisco Router Security Configura...
软件系统设计-13-质量属性
SpriCoder的博客
04-10 5035
软件系统设计-13-质量属性
行业翻译类词汇-项目管理词汇
张彤的专栏
06-04 6020
Abstract Resource 抽象资源Abstraction 抽象Acceleration 加速Acceptability Criteria 验收标准Acceptable Quality Level ("AQL") 可接受质量水平Acceptance 验收Acceptance Criteria 验收标准Acceptance Letters 验收函Acceptance Number 接受数目A
AI Safety 之 AI Standard
Aleeex_Zhao的博客
08-15 817
Clause 6:AI within the context of road vehicles systems safety engineering 车辆系统中的AI系统,定义了AI系统的参考架构及风险行为的因果模型,以及与ISO 26262及ISO 21448之间的关系。仍在开发阶段,暂时还未正式发布,预计24年正式发布,目前手里的也是行业专家review版本,很多内容处于Work in Progress,待完善。
building-high-performance-measurable-directives:#ngTasty - 构建高性能的可衡量指令
06-20
本主题"building-high-performance-measurable-directives:#ngTasty"聚焦于如何构建高性能且可衡量的自定义指令,这对于优化Angular应用至关重要。在JavaScript编程中,性能优化是一个持续的过程,尤其是在处理大型...
Condition Monitoring IGBT Module Bond Wire Lift-off Using Measurable Signal
09-20
### IGBT模块键合线脱离监测的可测量信号方法 #### 概述 绝缘栅双极型晶体管(IGBT)作为电力电子设备中的关键组件,在电机驱动、电动汽车、太阳能和风能等领域扮演着核心角色。然而,IGBT模块的故障,尤其是键合...
A PATH TOWARD SECURE AND MEASURABLE SOFTWARE
最新发布
08-16
通过改用 Rust 等内存安全编程语言、避免使用 C++ 和 C 语言等易受攻击的语言,以减少内存安全漏洞的数量来提高软件安全性。 C++ 之父 Bjarne Stroustrup 在日前与 InfoWorld 的采访中针对白宫的这些言论进行了反驳...
Measuring of the maximum measurable velocity for dual-frequency laser interferometer
02-10
There is an increasing demand on the measurable velocity of laser interferometer in manufacturing technologies. The maximum measurable velocity is limited by frequency difference of laser source, ...
PMP中英文术语对照
热门推荐
不怂,不弱,不退缩,厚积薄发
07-19 1万+
ABC|参见Activity Based Costing ABM|参见Activity Based Management Abstract Resource|抽象资源 Abstraction|抽象 AC|实际费用 Acceleration|加速 Acceptability Criteria|验收标准 Acceptable|可接受的 Acceptable Quality Level|(AQL) 可接受质量水平 Acceptance|验收 Acceptance Criteria|验收标准 Acceptance
项目管理术语英汉对照表
weixin_33834679的博客
04-29 2111
A    * Abstract Resource 抽象资源    * Abstraction 抽象    * Acceleration 加速    * Acceptability Criteria 验收标准    * Acceptable Quality Level ("AQL") 可接受质量水平    * Acceptance 验收    * Acceptance Criteria 验收标准  ...
PM00-设定目标的SMART准则
理论联系实际
05-05 741
设定目标应当符合SMART(Specific, Measurable, Achievable, Relevant, Time-bound)准则. 参见维基百科, 最初的SMART准则 objective should be: Specific – target a specific area for improvement. Measurable – quantify or at l...
NIST-CSD介绍
lxd121的专栏
05-29 1354
NIST全称是National Insititute of Standards and Technology,即美国国家标准与技术研究所。CSD全称是Computer Security Division, 即研究所下属的计算机安全部门,它有四个研究小组,分别是:1. security technology group: Our work in cryptography is makin
CERT
lxd121的专栏
05-29 1327
CERT全称是Computer Emergency Response Center即计算机应急响应中心,它隶属于卡耐基-梅隆大学的软件工程研究所。官方网站是http://www.cert.org/它提供的主要服务有:1. Softeware Assusance,软件保障,我还是头一次看到这个词,呵呵,具体有三个方面:  (1)Secure Coding 安全编码,在检查了大量的漏洞后总
安全生产目标管理体系:设计、实践与效果优化
SMART原则在目标设定中起着指导作用,即Specific(明确)、Measurable(可衡量)、Achievable(可实现)、Relevant(相关)、Time-bound(有时限),确保目标既具有挑战性又切实可行。通过遵循这些原则,企业能更...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值