信息安全社区标准化活动的集合和计划
|关于|二甲基砜目录的努力|孵化器|事件和参与|搜索|反馈

通过组织名称

努力和活动在这个集合包括一系列的物品从成熟,那些继续建立动量,最初的概念。

列表的组织

其他组织的利益

注意:

CWE CVE,椭圆形,水煤浆,CWRAF CAPEC, MAEC, CybOX,斯蒂克斯,TAXII由办公室网络和通讯,在美国国土安全部

主教法冠公司

语言/格式|注册表|兼容使用

语言/格式

开放的脆弱性和评估语言(椭圆形®)——椭圆是国际信息安全社区标准,促进开放和公开的安全内容,和标准化的转移这些信息在整个光谱的安全工具和服务。椭圆形包括语言用于编码系统的细节,和各式各样的内容存储库在整个社区举行。语言标准化评估过程的三个主要步骤:代表配置信息的系统进行测试;分析系统指定的机器的存在状态(脆弱性、配置、补丁状态等);和报告这一评估的结果。存储库是一系列公开和开放内容的集合,利用语言。

恶意软件属性枚举和表征(MAEC™)——MAEC是一种标准化的语言编码和高保真恶意软件基于属性,如信息交流行为,工件和攻击模式。通过消除歧义和不准确,目前存在于恶意软件描述和减少依赖签名,MAEC旨在改善人与人之间,human-to-tool, tool-to-tool,对恶意软件和tool-to-human沟通;减少潜在的重复的恶意软件分析研究人员的努力;并允许更快发展的对策,使杠杆的能力应对先前观察到的恶意软件实例。

网络可观测的表达式(CybOX™)CybOX是一个标准化的模式规范,捕获、表征和通信的事件或状态可观测的属性操作领域。各种各样的高级网络安全用例依赖这些信息包括:事件管理/日志记录、恶意软件特征,入侵检测,事件响应/管理,攻击模式描述,等。CybOX提供了一个共同的机制(结构和内容),以解决网络中可见,这全部用例改善一致性、效率、互操作性和总体态势感知。

结构化的威胁信息表达式(斯蒂克斯™)-斯蒂克斯是一个协作社区主导型努力定义和开发标准化的语言来表示结构化网络威胁信息。斯蒂克斯语言打算传达潜在网络威胁的全方位信息,力求充分表达,灵活,可扩展、可自动化的,尽可能。欢迎所有有兴趣的团体参与发展斯蒂克斯的开放、协作的社区。信任的自动交换指标信息(TAXII™)是主要的传输机制的网络威胁信息表示为斯蒂克斯。通过使用TAXII服务,组织可以分享网络威胁信息在一个安全的、自动化的方式。

信任的自动交换指标信息(TAXII™)——TAXII定义了一组服务和消息交换,实现时,启用共享跨组织和可操作的网络威胁信息产品/服务的界限。TAXII,通过其成员规范,定义概念,协议和消息交换交换网络威胁信息检测、预防和缓解的网络威胁。TAXII不是一个特定的信息共享计划也不是试图定义信托协议,治理或其他非技术方面的信息共享网络威胁。相反,TAXII使组织达到改善态势感知对新兴的威胁,使组织分享他们选择的合作伙伴选择的信息。TAXII是网络的主要传输机制威胁信息表示为结构化的威胁信息表达式(斯蒂克斯™)。通过使用TAXII服务,组织可以分享网络威胁信息在一个安全的、自动化的方式。

常见的弱点评分系统(水煤浆™)水煤浆是一种协作性的,基于社区的努力得分软件编码错误发现在一个一致的软件应用程序中,灵活的、开放的方式,适应环境的各种利益相关者和业务领域在政府、学术界和工业。水煤浆可用于评估和优先考虑可能的软件架构,设计,代码,和实现的弱点,“可能会引入一个应用程序,在某些情况下可以导致一个漏洞在那个软件…”除了帮助开发者分数缺陷的严重程度,水煤浆还提供了一种软件消费者“知道他们应该最担心什么,要求什么从他们的供应商和供应商得到更安全的产品。”

常见的弱点风险分析框架(CWRAF™)——CWRAF为组织提供了一种方法应用常见的弱点评分系统(水煤浆)使用专门的场景(“小插曲”),确定部署的应用程序的业务价值背景以优先考虑那些最相关的软件CWE的弱点,自己的企业,任务和部署技术。结合其他活动,CWRAF最终帮助软件开发者和消费者将更安全软件引入到他们的操作环境。

政策语言评估结果报告(PLARR)——PLARR是一个开放的规范,提供了一个结构化的语言要求IT资产评估结果的评估工具,资产数据库,或其他工具,可以产生安全评估的结果。它的目的是使用工具,要求详细配置数据资产,特别是产品,利用规范中包含的国家标准与技术研究所(NIST)的安全内容自动化协议(SCAP)。

注册表

常见的漏洞和风险敞口(CVE®)——国际范围和免费公共使用,CVE的字典公开已知的安全漏洞和风险的信息。CVE的公共标识符使安全产品之间的数据交换,并提供一个基线指标点评估工具和服务的报道。

椭圆形的库——斜接的椭圆形库是椭圆形的中央会议的地方社区讨论,分析,存储和传播椭圆的定义。椭圆的定义是标准化的,机器可读的XML测试用椭圆形语言编写的,检查计算机系统软件漏洞的存在,配置问题,程序和补丁。其他存储库在社区也主机开放的脆弱性和评估语言(椭圆形®)的内容。

常见的弱点枚举(CWE™)——针对开发人员和安全从业者,CWE正式创建的通用软件的弱点或字典作为一种共同的语言来描述软件的安全漏洞在建筑,设计,或代码;作为软件安全标准的衡量标尺工具针对这些弱点,弱点和提供一个共同的基准标准识别、缓解和预防工作。

常见的攻击模式枚举和分类(CAPEC™)CAPEC是一个目录的攻击模式和综合模式和类别分类重点加强安全在整个软件开发生命周期,并支持的需要开发人员、测试人员和教育工作者。通过提供一个标准的机制来识别、收集、精炼、和共享攻击模式在软件社区,CAPEC提供更完整和彻底的力量我们的系统从攻击者的角度来看。

CWE / SANS最危险的软件错误+措施之一——前25位是达成共识的最重要的软件错误列表可以导致严重的软件漏洞。错误是危险的,因为他们经常会让攻击者完全接管软件,窃取数据,或者防止软件工作。前25位是SANS研究所之间的合作的结果,斜接,很多顶尖的软件安全专家在美国和欧洲,利用经验的发展无攻击向量和横切CWE的前20名。

兼容使用

需求和建议CVE兼容性- - - - - -轮廓需要满足的要求和建议为了一个产品,服务,网站,数据库,或咨询/警报正确实现支持常见的漏洞和风险敞口(CVE®)的努力。

CVE-Compatible产品/服务的列表- - - - - -越来越多的漏洞数据库、安全警告和档案,脆弱性通知服务、漏洞评估和修复工具和服务,漏洞评估服务,混合评估和入侵检测系统,入侵检测和管理工具和服务,入侵检测和响应服务、事件管理工具和服务,数据/事件相关的工具和服务,教育材料,防火墙,补丁管理工具和服务,安全信息管理工具和服务,策略遵从性工具和服务来自世界各地的,被认为是“正式CVE-Compatible”。

需求和建议采用椭圆形和使用——轮廓需要满足的要求和建议为了一个产品,服务,网站数据库,或者咨询/警报正确实现支持开放的脆弱性和评估语言(椭圆形®)倡议。与此同时,这些需求描述的支持和推荐方法利用杠杆椭圆形椭圆形内容和其他功能。

椭圆形采用者的产品/服务的列表——越来越多的漏洞评估、配置管理、补丁管理和策略遵从性工具和服务来自世界各地的,被认为是一个“官方椭圆形采用者”开放的脆弱性和评估语言(椭圆形®)的努力。

需求和建议CWE兼容性和CWE的有效性——轮廓需要满足的要求和建议为了一个产品,服务,网站,教育提供,或软件开发实践正确实现支持常见的弱点枚举(CWE™)的努力。

CWE-Compatible产品/服务的列表——越来越多的评估和修复工具,评估服务、数据库/知识库,教育,和来自世界各地的软件开发实践被认为是“正式CWE-Compatible”。

需求和建议CAPEC兼容性——轮廓需要满足的要求和建议为了一个产品,服务或网站正确实现支持常见的攻击模式枚举和分类(CAPEC™)的努力。

需求和建议MAEC兼容性——轮廓需要满足的要求和建议为了一个产品,服务,网站,或存储库正确实现对恶意软件的支持属性枚举和表征(MAEC™)的努力。

椭圆形的翻译——开放的脆弱性和评估语言(椭圆形®)翻译是一个免费的参考实现椭圆语言创建显示如何收集信息从一台电脑进行测试,评估和执行平台的椭圆的定义,并报告测试结果。它不是一个功能齐全的扫描工具,有一个简单的用户界面,但运行的解释器将提供一个列表OVAL-IDs及其引用标识符(例如,CVE)由椭圆系统上出现。

Altx-Soft

Altx-Soft椭圆形库——创建于2012年2月,椭圆形的Altx-Soft库内容由椭圆定义从几个进口来源。

澳大利亚国防信号理事会(DSD)

最高35缓解策略-澳大利亚国防信号理事会(DSD)”已经开发了一系列的策略来减轻有针对性的网络攻击。DSD通知列表的操作网络安全的经验,包括应对严重的网络事件,并为澳大利亚政府机构执行漏洞评估和渗透测试。”"The Top 35 Mitigation Strategies are ranked in order of overall effectiveness [and] are based on DSD's analysis of reported security incidents and vulnerabilities detected by DSD in testing the security of Australian Government networks."

网络安全中心(CIS)

网络安全中心(CIS)基准——CIS基准”共识的最佳实践标准,安全配置和广泛接受美国政府机构FISMA合规,通过审计人员为符合ISO标准以及GLB袜,HIPAA, FIRPA和其他信息安全的监管要求。有史以来第一次,一大群用户组织,信息安全专业人员,审计人员和软件供应商技术控制规范定义了共识表示谨慎的应有的关心与最佳实践安全配置连接到互联网的电脑。”

网络安全中心(CIS)共识安全度量定义——“组织难以做出有效的安全投资决策;信息安全专业人士缺乏决策支持的广泛接受和明确的指标。一百年独联体建立共识的团队(100)行业专家来解决这一需求。结果是一组标准的指标和数据定义,可以使用跨组织收集和分析数据安全过程性能和结果。”CIS Security Metrics v1.0.0 document contains 20 metric definitions for six important business functions: Incident Management, Vulnerability Management, Patch Management, Application Security, Configuration Management and Financial Metrics.

战略与国际研究中心(CSIS)

二十个最重要的控制和有效的网络防御和连续FISMA合规指标——这战略与国际研究中心(CSIS)文档由托管SANS研究所。“网络攻击和防御专家网络安全所涉及的联邦机构最集中的知识所使用的攻击技术对政府和国防工业基地确定二十关键操作(称为安全“控制”),组织必须采取如果他们希望阻止或减轻已知攻击和攻击,可以合理预期在短期内。他们测试他们的建议来保护联邦系统以确定他们是否也会停止或减轻攻击已知用来对付金融机构,发现前20名在政府控制本质上是相同的,国防工业基地、金融机构和零售商。对于每个控件的20,专家确定特定的(实际)攻击,控制停止或减轻,照亮的最佳实践在自动化控制(15控制,可以自动)和定义的测试,可以确定每个控件是否有效地实施。结果文档称为审计指南和共识,一旦全面审查,预计将成为标准基线测量计算机安全的组织,可能会受到攻击。”

中央信息保障赞助商(相),英国

安全描述和交换格式())——英国)是“一个联合的努力鼓励各种基于XML的描述的结晶和交换格式(DEF)支持信息交换需求(IER)与安全相关的信息,需要跨管理域。这些举措,已经运行时间最长的,是脆弱和利用DEF (VEDEF -http://www.terena.org/activities/tf-csirt/vedef.html)……”

普渡大学出现/

出现/珀杜大学的卡桑德拉-出现/普渡大学是免费的卡桑德拉工具监控变化和更新。国家漏洞数据库(以前ICAT)和Secunia漏洞数据库。卡桑德拉保存列表的产品,供应商,从这些来源和关键字到“配置文件”和电子邮件的任何更新用户。用户可以为网络创建他们想要尽可能多的资料,典型的安装,重要的主机,或任何其他感兴趣的领域。CVE改变日志,另一个免费的工具出现,监视CVE的更改列表。

CERT.org

CERT安全编码标准——本网站支持的发展存在安全编码标准常用编程语言如C和c++。这些标准通过一个广泛的社区努力正在开发包括CERT安全编码计划和软件开发和软件安全社区的成员。

思科系统公司

思科安全情报业务库——创建2012年9月,思科安全情报行动库由思科安全标准化的报告常见的漏洞报告格式(CVRF)思科IOS,包括椭圆形脆弱性定义安全警告。

Debian

Debian项目存储库的椭圆形的内容——2010年8月,椭圆形的Debian库内容由椭圆定义对应于Debian安全警告。

美国国防信息系统局(DISA)

国防信息系统局现场安全操作(DISA无线光通信)国防部SCAP内容存储库——创建于2012年5月,DISA无线光通信的国防部SCAP内容存储库主机安全技术实现指南(stig)支持安全内容自动化协议(SCAP)内容和工具。

DISA安全技术实现指南(斯蒂格)——美国国防部(DoD)国防信息系统局(DISA)安全技术实现指南(stig)配置assurance-enabled国防部信息安全标准和信息设备和系统。

控制相关标识符(CCI)——CCI提供了一个标准标识符和描述每个奇异的,可操作的语句组成一个信息保障(IA)控制或IA最佳实践。CCI允许安全要求表达高层政策框架与底层分解和明确相关安全设置(s),必须进行评估以确定符合特定的安全控制的目标。这种能力从他们的起源跟踪安全需求(如法规、IA框架)的底层实现允许组织容易证明合规多个IA合规框架。CCI还提供了一种方法来客观地汇总和比较相关合规评估结果在不同的技术。

分布式管理任务小组,公司。

DMTF的公共信息模型(CIM)DMTF的公共信息模型(CIM)“是一种常见的数据模型的实现无关模式全面描述网络/企业环境管理信息。”

DMTF的基于web的企业管理(WBEM)DMTF的基于web的企业管理(WBEM)“是一组管理和互联网标准技术开发统一管理企业计算环境。”

DMTF Web服务的管理(WS-Management)DMTF Web服务的管理(WS-Management)规范“促进管理应用程序之间的互操作性和管理资源通过识别一组核心Web服务规范和使用要求公开一组通用的操作中心系统管理。”

DMTF的服务器硬件系统管理架构(粉碎)——“DMTF的服务器硬件系统管理架构(粉碎)计划是一套提供建筑语义的规范,行业标准协议和配置文件统一数据中心的管理”。

事件反应和安全队论坛(第一个)

普通危险得分系统(CVSS)——由美国国家基础设施顾问委员会(NIAC)在支持全球脆弱的披露框架,目前论坛维护的事件反应和安全队(第一次),CVSS是一个“供应商不可知论者,行业开放标准旨在传达脆弱性严重程度和帮助确定紧迫性和优先级的响应。它解决的问题多,不兼容的评分系统是可用的和可以理解的任何人。”

IBM互联网安全系统(ISS)

IBM互联网安全系统X-Force id——“互联网安全系统的X-Force组织提供了最新的信息在互联网上威胁和漏洞通过通知,如X-Force保护警告和警报。随着威胁的信息,这些通知IBM空间站如何为客户提供信息产品和服务可以防止威胁。”

行业协会发展的安全在互联网上(ICASI)

常见的漏洞报告格式(CVRF)——CVRF为报告和共享提供了一个通用的XML框架漏洞信息在多个组织。CVRF、发现者、供应商、用户和协调人的安全响应全球努力能够分享关键vulnerability-related信息标准,non-vendor特定格式,从而加速信息传播,交换和事件解决。漏洞报告生产商将受益于更快的报告,和最终用户将获得更快更容易地找到相关的信息的能力。

互联网工程任务组(IETF)

事件对象描述交换格式(IODEF)规范(RFC 5070)——“事件对象描述交换格式(IODEF)定义了一个数据表示,提供了一个框架为一般信息共享交换计算机安全应急响应小组的关于计算机安全事件。本文档描述的信息模型IODEF和提供了一个相关的数据模型和XML模式指定的。”

IODEF——扩展的IODEF-Document类报告网络钓鱼(RFC 5901)——“这个文档扩展了事件对象描述交换格式(IODEF)中定义RFC5070支持网络钓鱼事件的报道,这是一个特定类型的欺诈行为。这些扩展是足够灵活以支持信息从活动在整个电子欺诈周期——从收到钓鱼网站吸引去功能化的集合。简单的报告和完整的法医报告都是可能的,为巩固多个事件”。

IODEF-Extension支持结构化网络安全信息(活跃的互联网标准)——“这个文档扩展了事件对象描述交换格式(IODEF)在RFC 5070中定义的(RFC5070)促进丰富网络安全网络实体之间的信息交换。它提供了嵌入结构化信息的能力,如标识符——和基于xml的信息。”

IODEF——扩展IODEF指南管理事件轻量级交换(活跃的互联网标准)——“这个文档提供了扩展管理事件轻量级的交换(英里)。英里描述事件的一个子集对象描述交换格式(IODEF)在RFC 5070中定义的。数据标记扩展的目的是标记或标记标签交换数据类别的信息有意义的事件信息的交换。这些数据标记扩展的目的是标记或标记标签交换数据信息交换在事件处理。数据标记包括敏感性和数据处理要求,可以防止可能的刑事误读数据中的错误。网络和信息安全事故通常导致损失的服务,人力和系统数据和资源。”

IODEF——指南扩展IODEF管理事件轻量级交流模板(活跃的互联网标准)——“这个文档提供了指南的扩展事件对象描述交换格式(IODEF) [RFC5070]交换事件管理数据,并包含一个互联网标准的模板描述这些扩展,为了缓解工作和提高扩展描述的质量。”

入侵检测消息交换格式(IDMEF)——IDMEF规范正在开发的入侵检测工作组,特许由因特网工程任务组(IETF),它定义了数据格式和信息交换共享程序感兴趣的入侵检测和响应系统,以及管理系统可能需要与它们进行交互。使用XML数据交换完成。指定的数据格式是使用XML DTD。

管理事件轻量级交易所(英里)——因特网工程任务组(IETF)英里工作组将“开发标准和扩展改进为目的的事件信息共享和处理功能基于工作开发的IETF扩展事件处理工作组(英寸)。事件对象描述交换格式(IODEF) RFC5070和实时网际网路防御(去掉)RFC6045英寸工作组开发了由国际计算机安全应急响应团队的行业感兴趣的满足一个全球社区的需要共享、处理和交换事件信息。创建的扩展和指导英里工作组协助csirt在一个组织的日常运营,服务提供者,执法,在国家层面。IODEF的应用和消除interdomain事件信息合作交流和分享最近扩大,需要扩展变得更加重要。努力继续部署IODEF和消除,以及延长他们支持特定用例覆盖报告和缓解当前的威胁,如反钓鱼扩展。”

实时网际网路防御(去掉)(IETF RFC) /-去掉“了积极的网际网路时促进共享事件处理数据通信的方式集成现有检测、跟踪、识别来源,和缓解一个完整的事件处理机制的解决方案。结合这些功能在一个通信系统提供了一种方法来获得更高的安全等级网络。”

实时网际网路防御(RID-T)消息传输(IETF RFC) /——“事件对象描述交换格式(IODEF)定义了一个通用的XML格式文档交换,和实时网际网路防御(去掉)定义了扩展IODEF用于合作处理安全事件在网络运营商和企业财团。这个文档指定了一个传输协议基于通过摆脱掉消息通过HTTP / TLS(传输层安全)”。

国际标准化组织(IS0) /国际电工委员会(IEC)

ISO / IEC 24772,指导避免漏洞通过语言的选择和使用——所有的编程语言都有未定义的构造,不完全定义,具体实现相关的,或者很难使用正确。因此,软件程序可以执行不同的作家。在某些情况下,攻击者可以利用这些漏洞的妥协的安全,安全和隐私的一个系统。国际标准化组织(ISO)、国际电工委员会(IEC)联合技术报告(TR) 9月29日,2010年题为“ISO / IEC TR 24772:2010、信息技术,编程语言,指导,避免漏洞通过语言编程语言的选择和使用”,描述类的编程语言漏洞——语言的特点,鼓励或允许编写的代码,其中包含应用程序漏洞。报告描述了51个漏洞在语言本身,以及20个额外的漏洞可以避免通过提供一组丰富的库例程。这份报告也可供购买http://www.iso.orghttp://www.ansi.org

保证情况下(ISO 15026 - 2)——“ISO / IEC 15026 - 2:2011指定最低要求的结构和内容,保证情况下改善保证案件的一致性和可比性,促进利益相关者沟通,工程决策,和其他用途的保证情况。保证案例包括一个顶级要求一个系统或产品的属性(或一组),系统论证关于这种说法,证据和明确的假设是这个论证的基础。认为通过多个从属权利要求的水平,这种结构化连接顶层索赔证据和论证假设。”

通用标准(ISO 18045&ISO 15408)- - - - - -“ISO / IEC 18045:2008同伴文档ISO / IEC 15408,信息技术-安全技术评估标准安全。ISO / IEC 18045:2008定义的最小动作由一个评估者为了进行ISO / IEC 15408评估,使用标准ISO / IEC 15408中定义和评价证据。ISO / IEC 18045:2008没有定义评估者的行为对于某些高保证ISO / IEC 15408组件,哪里有还没有普遍认为指导。”

软件识别(SWID)规范(ISO 19770 - 2)——这个规范”为标签软件来优化其识别和建立规范管理”。适用于:平台提供商、软件提供商、标签提供者、消费者标签工具提供商和软件。

漏洞评估(ISO TR 20004)——“ISO / IEC TR 20004:2012改进AVA_VAN保证家庭活动定义在ISO / IEC 18045:2008并提供更具体的指导识别、选择和评估相关的潜在的漏洞来进行ISO / IEC 15408的评估软件评价的目标。[文件]利用共同的弱点枚举(CWE)和常见的攻击模式枚举和分类(CAPEC)支持范围的方法和实施ISO / IEC 18045:2008 (E)脆弱性分析活动。”

IT安全数据库

IT安全数据库椭圆形库——2010年11月创建,它安全数据库网站收集椭圆定义从源如椭圆形库,Red Hat, Suse, NVD, Apache等,并提供一个统一、简单易用的Web界面对他们所有IT安全相关项目包括补丁、漏洞和合规检查清单。

微软公司

微软的动态系统计划(DSI)——“动态系统计划(DSI)是微软及其合作伙伴的承诺提供“自我管理动态系统”来帮助IT团队捕获和使用知识来设计更易于管理系统和自动进行操作,从而减少成本和更多的时间来主动关注最重要的组织。”

微软安全公告id——安全公告和微软公司发行的报告。

微软的系统定义模型(SDM)——系统定义模型(SDM)是一种促成一致(团结)的线程启用集成创新从微软及其合作伙伴应用程序开发工具、操作系统、应用程序、硬件和管理工具。长效磺胺是用于创建一个模型的分布式系统的定义。长效磺胺”蓝图可以创建和操作各种软件工具和用于定义系统元素和捕获数据相关的开发、部署和操作,这样数据相关的整个生命周期。”

美国国土安全部(DHS)网络安全和通信安全办公室(DHS)

Build-Security-In—构建安全(BSI)是一个项目的软件保证(SwA)战略举措(SI)的办公室网络和通讯美国国土安全部(DHS)。“BSI内容是基于软件安全的原则从根本上是一个软件工程的问题,必须加以解决的一种系统化的方式在整个软件开发生命周期。BSI包含广泛的信息和链接最佳实践、工具、指导原则、规则、原则、和其他知识,帮助企业构建安全可靠的软件。”

国家标准与技术研究院(NIST)

语言/格式|注册表|兼容使用|标准化的流程

语言/格式

评估结果格式(ARF)-的一部分,国家标准与技术研究所(NIST)安全内容自动化协议(SCAP),论坛是“一个数据模型表达的传输格式的信息资产,以及资产之间的关系和报告。标准化数据模型促进了报告、关联和融合之间的资产信息和组织。论坛是供应商和技术中立的、灵活、适合各种各样的报告应用程序。”

评估汇总结果(ASR)-的一部分,国家标准与技术研究所(NIST)安全内容自动化协议(SCAPASR)是“一个数据模型表达的传输格式总结一个或多个资产组的信息。标准化的数据模型之间的促进总资产信息的交换和组织。ASR是供应商和技术中立的、灵活、适合各种各样的报告应用程序。”

普通配置得分系统ccs规范(NIST IR 7502)——“常见配置评分系统(ccs)是一组措施软件安全配置问题的严重性。开发ccs来源于CVSS测量由于软件缺陷漏洞的严重性。ccs可以帮助组织健全的决策是如何安全配置问题应该解决和提供的数据可以用于定量评估系统的整体安全态势。本报告定义提出措施ccs和方程被用来结合措施严重程度得分为每个配置问题。报告还提供了一些示例的ccs措施和分数将决定不同的安全配置问题集。”

通用平台枚举(CPE)- CPE是一个结构化的信息技术系统的命名方案,平台和包。基于统一资源标识符(URI)的通用语法,CPE包括结构化的名称格式,对一个系统的方法检查名称,描述格式文本和测试绑定到一个名称。

可扩展的配置清单描述格式(XCCDF)——XCCDF是由美国国家安全局(NSA)和国家标准与技术研究院(NIST)的规范语言提供一个“统一基础的安全检查表的表达,基准,和其他配置的指导,培养良好的安全实践的更广泛应用。”The default configuration checking technology for XCCDF is OVAL.

打开清单交互式语言(OCIL)——美国国家标准与技术研究院(NIST)跨部门报告(IR), OCIL”定义了一个框架,用于表达一组问题提交到用户和相应的程序来解释这些问题的反应。”OCIL "can be used in conjunction with [other] SCAP specifications such as XCCDF to help handle cases where lower-level checking languages such as OVAL are unable to automate a particular check. In short, OCIL provides a standardized approach to express and evaluate non-automated (i.e., manual) security checks."

安全内容自动化协议(SCAP): SCAP 1.2版技术规范(NIST SP 800 - 126)——“这个文档提供的技术规范1.2版本的安全内容自动化协议(SCAP)。SCAP(发音ess-cap)由一套规范的标准化的格式和命名软件缺陷和安全配置信息沟通,机器和人类。本文档定义了创建和处理SCAP源内容的要求。这些需求建立在个人SCAP组件规范中定义的需求。每个新要求有关一起使用多个组件规范或进一步限制单个组件规范之一。单个组件规范中的要求不重复这个文档;看到这些规范来查看他们的需求。”

注册表

常见的配置枚举(CCE)——CCE提供惟一标识符系统配置,以促进快速、准确的相关配置数据跨多个信息源和工具。

通用平台枚举(CPE)- CPE是一个结构化的信息技术系统的命名方案,平台和包。基于统一资源标识符(URI)的通用语法,CPE包括结构化的名称格式,对一个系统的方法检查名称,描述格式文本和测试绑定到一个名称。

常见的修复枚举(CRE)版本1.0 (NIST ir - 7831)“这个文档定义了共同修复枚举(CRE) 1.0规范。CRE是一套企业治理规范的一部分,使自动化和提高企业治理活动的相关性。每个CRE条目代表一个独特的修复活动,并被赋予一个全球唯一的CRE标识符(CRE-ID)。本规范描述CRE的核心概念,CRE条目的技术组件,概述了如何创建CRE条目,构建CRE-ID的技术要求,以及如何CRE-IDs可以转让。CRE-IDs旨在成为边界对象在企业安全管理中广泛可用的产品和信息领域,参与补救活动或做出断言补救行动。”

国家漏洞数据库(NVD)——美国国家标准与技术研究院(NIST)的国家漏洞数据库(NVD)“是一个全面的网络安全漏洞数据库,整合了所有美国政府公开脆弱性资源和产业资源提供参考。它是基于CVE漏洞命名标准和同步。”NVD also includes OVAL-IDs as references and is searchable by CVE-ID and OVAL-ID.

NIST信息安全自动化程序(ISAP)和安全内容自动化协议(SCAP)ISAP是一个美国政府机构参与项目由美国国家标准与技术研究院(NIST),使自动化和标准化的技术安全操作。SCAP的方法是使用特定的标准,使自动漏洞管理、测量、和政策合规评估(例如,FISMA合规)。NVD是美国政府为ISAP和SCAP内容存储库。

NIST的国家清单项目存储库——美国国家标准与技术研究院(NIST)的国家清单项目存储库是“美国政府的公开可用的库安全检查表(或标准),提供详细的低水平指导设置操作系统和应用程序的安全配置。大会党迁移其存储库清单符合安全内容自动化协议(SCAP)。”

NIST SCAP库- - - - - -创建2007年1月,美国国家标准与技术研究院(NIST)的安全内容自动化程序(SCAP)是一个公共的免费存储库安全内容——包括椭圆形内容被用于自动化技术控制合规活动,漏洞检查(包括应用程序配置错误和软件缺陷),测量和安全。

美国联邦桌面核心配置(FDCC)——FDCC OMB-mandated安全配置为微软Windows Vista和XP操作系统软件。Windows Vista FDCC基于微软安全指南的国防部定制Windows Vista和Internet Explorer 7.0。微软的Vista安全指南是通过与DISA共同努力,国家安全局,NIST。建议设置从DISA指南反映了共识,国家安全局,NIST的Windows Vista平台。Windows XP FDCC基于空军定制的专业Security-Limited功能(SSLF)建议在NIST SP 800 - 68和国防部定制的建议微软Internet Explorer 7.0的安全指南。

美国政府配置基线(USGCB)——USGCB提供“安全配置基线信息技术产品广泛部署在联邦机构。USGCB基线进化从联邦桌面核心配置授权。USGCB是一个联邦政府计划提供指导机构应该做些什么来改善和维护一个有效的配置设置主要关注安全”。

兼容使用

采用指南和使用安全内容自动化协议(SCAP) (NIST SP 800 - 117)——描述“SCAP的普遍使用,使建议[安全内容自动化协议(SCAP)]的用户。文档还提供了见解对采用SCAP IT产品和服务供应商的产品。SCAP不会取代现有的安全软件;相反,它可以嵌入到现有的软件支持。利用SCAP的能力,组织应该遵循这些建议。”

安全内容自动化协议(SCAP)验证程序提取测试需求文档(NIST ir - 7511)——定义产品所需的“需求和相关的测试程序来实现一个或多个安全内容自动化协议(SCAP)验证。基于一组定义的验证是授予SCAP功能和/或个人SCAP组件由独立实验室认可了SCAP(美国测试国家标准与技术研究院(NIST)国家自愿实验室认证程序。”

NIST SCAP-Validated工具的列表——一个产品列表,验证了美国国家标准与技术研究院(NIST)符合安全内容自动化协议(SCAP)及其组件标准。

使用指南脆弱性命名方案(CVE / CCE) (NIST SP 800 - 51)-提供“建议使用漏洞命名方案。文档涵盖了两个方案:CVE CCE。文档介绍方案和提出建议最终用户组织使用这些计划产生的名字。文档也为软件和服务供应商提供了建议他们应该如何使用漏洞名称和命名方案在他们的产品和服务。”

XCCDF翻译——一个免费的开源java工具,促进XCCDF的使用。

OCIL翻译——一个免费的基于java的工具评估OCIL文档。

标准化的流程

NIST安全内容自动化协议(SCAP)SCAP是一套”的规范,规范的格式和命名软件缺陷和安全配置信息沟通,机器和人类。SCAP的规范是一个多功能的框架支持自动配置、漏洞和补丁检查、测量技术控制合规活动和安全。SCAP的发展目标包括标准化系统安全管理,促进安全产品的互操作性,促进安全内容的使用标准的表情。”SCAPincorporates the following standards efforts: Open Vulnerability and Assessment Language (OVAL®), Extensible Configuration Checklist Description Format (XCCDF), Open Checklist Interactive Language (OCIL™), Common Platform Enumeration (CPE™), Common Configuration Enumeration (CCE™), Common Vulnerabilities and Exposures (CVE®), Asset Reporting Format (ARF), Common Vulnerability Scoring System (CVSS), and Common Configuration Scoring System (CCSS).

安全内容自动化协议(SCAP)验证(NIST ir - 7511)——这个文档”描述的要求必须满足产品实现SCAP验证。基于一组定义的验证是授予SCAP功能和/或个人SCAP组件由独立实验室认可了SCAP NIST国家自愿实验室测试的认证程序。”

联邦信息系统和组织的信息安全持续的监控(SP 800 - 137)——“信息安全持续的监控(或弹性体)被定义为维持持续的对信息安全的认识,漏洞和威胁来支持组织的风险管理决策。2这个出版地址安全控制的评估和分析的有效性和组织安全状态按照组织的风险容忍度。安全控制测量实现的正确性和有效性如何充分实现的控制满足组织的需要按照当前的风险承受能力(即。是按照安全计划实现的控制来解决威胁和安全计划足够)。组织安全状态是决定使用指标建立的组织最好的传达一个组织的信息和信息系统的安全状况,以及组织弹性给出已知威胁信息。”

指导选择信息技术安全产品(NIST SP 800 - 36)——“本指南旨在帮助组织做出明智的决定在选择安全产品。这里列出的类别的产品包括操作控制,如入侵检测和防火墙等技术控制。本指南应该使用与其他NIST出版物开发一个全面的方法来管理一个组织的IT安全和需求。导游首先定义了广泛的安全产品类别,然后指定产品类型在这些类别。本指南解释和提供了一个列表的特征和相关组织在选择过程中应该问的问题。”

创建一个补丁和漏洞管理项目(NIST SP 800 - 40版2)——“本文档提供指导创建一个安全补丁和漏洞管理程序和测试程序的有效性。主要的观众是安全经理负责设计和实现程序。然而,这份文件也包含一些有用的信息,系统管理员和操作人员负责(即应用补丁和部署解决方案。和企业相关信息测试补丁修补软件)。”

信息安全测试和评估技术指南(NIST SP 800 - 115)——“本文档是一个指南的基本技术方面进行信息安全评估。提出了技术测试和检查方法和技术,一个组织可能使用作为评估的一部分,并提供见解在执行和评估的潜在影响他们可能对系统和网络。评估成功和有积极的影响系统的安全状况,最终整个组织,元素之外的执行测试和检查必须支持的技术过程。建议对这些活动包括一个健壮的规划过程,根本原因分析,定制的报告是也提出了指导。”

指导方针确保公共Web服务器(NIST SP 800 - 44版2)——本文档的目的是“推荐安全实践设计,实施和操作公开访问Web服务器,包括相关的网络基础设施问题。一些联邦机构可能需要超越这些建议或适应他们在其他方面来满足其独特的需求。本意是作为联邦部门和机构的建议,但它可能是用于私营部门在自愿的基础上。这个文档可以使用组织感兴趣增强安全在现有和未来的Web服务器系统减少的数量和频率与Web相关的安全事件。本文提出了适用于所有系统的通用原则。”

使用指南脆弱性命名方案(CVE / CCE) (NIST SP 800 - 51)——“这个文档的目的是提供建议使用漏洞命名方案。文档涵盖了两个方案:CVE CCE。文档介绍方案和提出建议最终用户组织使用这些计划产生的名字。文档也为软件和服务供应商提供了建议他们应该如何使用漏洞名称和命名方案在他们的产品和服务。”

指南评估联邦信息系统的安全控制(NIST SP 800 - 53 - a)——“这个刊物的目的是提供指导方针,建立有效的安全评估计划和一组全面的评估程序安全控制的有效性在信息系统支持联邦政府的执行机构。中定义的安全控制指南适用于特别出版800 - 53(修改),联邦信息系统和组织的安全管理建议出版。”“这满足的要求联邦信息安全管理法案》(FISMA)和满足或超过信息安全需求建立了执行机构的行政管理和预算局(OMB)在圆形- 130附录III,联邦安全自动化信息资源。”

计算机安全应急处理指南(NIST SP 800 - 61修改1)——这出版物旨在帮助组织降低计算机安全事件的风险通过提供实用的指导方针有效且高效地响应事件。它包括准则建立一个有效的应急响应程序,但文档的重点检测,分析,排列优先级,和处理事件。鼓励组织调整建议和解决方案来满足他们的特定的安全和任务需求。

美国国家清单项目的产品:用户和开发者指南清单(NIST SP 800 - 70修改2)——“本文档描述了安全配置检查表和他们的好处,并解释了如何使用NIST国家清单项目(NCP)来查找和检索清单。文档还描述了政策,程序,参与全国大会党和一般要求。”

工业控制系统(ICS)安全指南(NIST SP 800 - 82)——“这个文档的目的是为确保工业控制系统提供指导(ICS),包括监控和数据采集(SCADA)系统,分布式控制系统(DCS),和其他执行控制功能的系统。文档概述了ICS和典型系统的拓扑结构,识别这些系统典型的威胁和漏洞,并提供推荐的安全对策以减少相关的风险。因为有许多不同类型的集成电路与不同程度的潜在风险和影响,文档提供了一个列表的许多不同的方法和技术来保护ICS。文档不应该纯粹用作清单安全的一个特定的系统。鼓励读者在他们的系统上执行风险评估和调整建议和解决方案来满足他们的特定的安全,业务和运营需求。”

指南将法医技术集成到事件反应(NIST SP 800 - 86)——“这出版物旨在帮助组织调查计算机安全事件和故障排除一些信息技术(IT)运营问题通过提供实用的指导执行计算机和网络取证。导游介绍法医从IT视图,而不是执法视图。具体来说,出版物描述了过程执行有效取证活动对于不同数据源并提供建议,包括文件,操作系统(OS),网络流量和应用程序”。

入侵检测和预防系统(idp)指南(NIST SP 800 - 94)——“这出版物旨在帮助组织了解入侵检测系统(IDS)和入侵防御系统(IPS)技术在设计、实现、配置、安全,监控,和维护入侵检测和预防系统(idp)。它提供了实用、实际指导四类的国内流离失所者的产品:网络,无线,网络行为分析和基于主机的。”

信息安全测试和评估技术指南(NIST SP 800 - 115)——“这个文档的目的是为组织提供指导计划和执行技术信息安全测试和评估,分析发现,和开发缓解策略。它提供了实用的建议设计,实施和维护有关的技术信息安全测试和评估流程和程序,可用于多个目的寻找漏洞的系统或网络和验证符合政策或其他要求。本指南并不打算提供一个全面的信息安全测试或评估项目,而是一个概述的技术安全检测和评估的关键要素与强调特定的技术,他们的好处和局限性,对其使用和建议。”

采用指南和使用安全内容自动化协议(SCAP) (NIST SP 800 - 117)——“这个文档的目的是提供一个概览的安全内容自动化协议(SCAP) 1.0版。本文档讨论SCAP在概念层面,关注组织如何使用SCAP-enabled工具来增强他们的安全状况。它也解释了产品和服务供应商如何采用SCAP 1.0版本功能在他们的产品。SCAP的新版本发布,本文档将根据需要更新,以反映任何结果的差异SCAP使用和采用。”

技术规范的安全内容自动化协议(SCAP): SCAP Version 1.2 (NIST SP 800 - 126)——“这个文档提供的技术规范1.2版本的安全内容自动化协议(SCAP)。SCAP(发音ess-cap)由一套规范的标准化的格式和命名软件缺陷和安全配置信息沟通,机器和人类。本文档定义了创建和处理SCAP源内容的要求。这些需求建立在个人SCAP组件规范中定义的需求。每个新要求有关一起使用多个组件规范或进一步限制单个组件规范之一。单个组件规范中的要求不重复这个文档;看到这些规范来查看他们的需求。”

联邦信息系统和组织的信息安全持续的监控(NIST SP 800 - 137)——“这条指导原则的目的是协助组织的发展(信息安全持续的监控(或弹性体))战略和或弹性体的实现程序,提供了认识的威胁和漏洞,可见性组织的资产,和部署安全控制的有效性。”

概述的问题在测试中入侵检测系统(NIST ir - 7007)——“在入侵检测系统成为无处不在的防御在今天的网络,目前我们没有全面、科学严谨的方法来测试这些系统的有效性。本文探讨了类型所需的性能度量,已经使用在过去。(本文评论)许多过去的评估,设计评估这些指标。[摘要]还讨论这一领域的障碍,阻碍了成功的测量和研究建议为了提高我们的测量能力。”

可扩展的配置清单描述格式规范(XCCDF)版本1.2 (NIST ir - 7275修改4)——“这个报告的规范定义了可扩展的配置清单描述格式(XCCDF) 1.2版。报告还定义并解释了需求,XCCDF 1.2(即文档和产品。一致性、软件)必须符合规范。”

普通危险得分系统(CVSS)及其适用性联邦机构系统(NIST ir - 7435)CVSS”为交流提供了一个开放的框架的特点和影响它的漏洞。国家漏洞数据库(NVD)提供特定的CVSS分数公开已知的漏洞。联邦机构可以使用联邦信息处理标准(FIPS) 199安全类别NVD CVSS分数获得影响分数,根据每个机构的环境。”"CVSS enables IT managers, vulnerability bulletin providers, security vendors, application vendors and researchers to all benefit by adopting this common language of scoring IT vulnerabilities."

安全内容自动化协议(SCAP) 1.0版本验证项目测试需求(NIST ir - 7511修订3)——描述了“要求必须满足产品实现SCAP验证。基于一组定义的验证是授予SCAP功能和/或个人SCAP组件由独立实验室认可了SCAP NIST国家自愿实验室测试的认证程序。”

常见的误用评分系统(cms):度量软件功能滥用漏洞(NIST ir - 7517)- cms”由一组措施滥用软件功能漏洞的严重性。软件功能滥用脆弱性存在当信任假设设计软件功能可以被滥用时,违反安全。滥用漏洞允许攻击者使用出于恶意目的的功能是为了是有益的。cms来源于普通危险得分系统(CVSS),开发漏洞由于软件缺陷的严重程度得分。”"CMSS enables organizations to make security decisions based on a standardized quantitative assessment of their vulnerability to software feature misuse."

系统和网络安全缩略词和缩写(NIST ir - 7581)——“这个报告包含一个选择列表缩略词和缩写系统和网络安全方面普遍接受或喜欢的定义。其目的是作为联邦机构的资源和其他用户的系统和网络安全出版物。”

智能电网的网络安全指南(NIST ir - 7628);NIST ir - 7628 _vol1.pdf;NIST ir - 7628 _vol2.pdf;和NIST ir - 7628 _vol3.pdf——“三卷本报告,NISTIR 7628,智能电网的网络安全指南提供了一个分析框架,组织可以使用他们开发有效的网络安全策略根据特定组合的智能Grid-related特点、风险和漏洞。组织多样化的社区智能电网攸关事业提供能源管理服务的制造商的电动汽车和充电基站可以使用的方法和支持信息在报告中提出了作为风险评估的指导,然后确定并应用适当的安全需求,以减轻这种风险。”

打开漏洞评估语言(椭圆形)验证程序导出测试需求(NIST ir - 7669)——描述了”要求,必须满足产品实现椭圆验证。验证获得基于一组定义的椭圆功能由独立的实验室已经认可了椭圆形NIST国家自愿实验室测试的认证程序。”

提出了一个企业开放规范补救自动化框架(NIST ir - 7670)——“这个报告检验企业修复技术用例,这些用例识别高层要求,并提出了一套新兴规范,满足这些需求。”

规范开放清单交互式语言(OCIL)版本2.0 (NIST ir - 7692)——“这个报告定义的2.0版本开放清单交互式语言(OCIL)。OCIL的目的是提供一个标准化的基础表达调查问卷和相关信息,如问题的答案和最终的问卷调查结果,以便调查问卷可以使用一个标准化的、机器可读的方式与人类互动和使用信息存储在以前的数据收集工作。OCIL文档是基于可扩展标记语言(XML)的。本报告定义并解释了IT产品的要求和OCIL文档维护和OCIL 2.0规范必须满足一致性。”

1.1规范的资产报告格式(NIST ir - 7694)——“这个规范描述了资产报告格式(ARF),一个数据模型表达的传输格式的信息资产和资产和报告之间的关系。标准化数据模型促进了报告、关联和融合之间的资产信息和组织。ARF是供应商和技术中立的、灵活、适合各种各样的报告应用程序。ARF的目的是提供一个统一基础报告结果的表达,促进更广泛应用良好的管理实践。ARF可以用于任何类型的资产,不仅资产。”

共同的平台枚举:字典规范版本2.3 (NIST ir - 7697)——“本报告定义了通用平台枚举(CPE)字典版本2.3规范。CPE字典规范是一堆CPE的一部分规范,支持各种用例相关的信息技术(IT)产品描述和命名。个体CPE字典库的产品名称,存储库中的每个名称识别一个独特的类的产品在世界上。这个规范定义了CPE的语义字典数据模型和规则与CPE字典创建和管理。这个报告还定义和解释了需求的产品和服务,包括CPE词典,必须满足一致性的CPE字典版本2.3规范。”

共同的平台枚举:适用性语言规范版本2.3 (NIST ir - 7698)“本报告定义了共同平台枚举(CPE)适用性语言版本2.3规范。CPE适用性语言规范是一堆CPE的一部分规范,支持各种用例相关的产品描述和命名。CPE适用性语言数据模型构建的其他CPE规范来提供所需的功能允许CPE用户构造复杂分组CPE的名字来描述它的平台。这些团体被称为适用性语句,因为他们是用来指定的平台特定的指导,政策等应用。本报告定义CPE适用性语言的语义数据模型和IT产品的要求和CPE适用性语言文件必须满足一致性的CPE适用性语言版本2.3规范。”

凯撒框架扩展:一个企业持续的监控技术参考架构(NIST ir - 7756)——“这出版企业持续的监控技术提供了一个参考体系结构扩展框架提供的国土安全部的凯撒架构。目标是促进企业持续的监控通过提供一个参考架构,使组织总收集在不同类型的安全工具的数据,分析这些数据,进行评分,让用户查询,并提供总体态势感知。模型设计的重点在于使组织实现此功能通过利用现有的安全工具,从而避免复杂和资源密集的定制工具集成工作。”

安全风险分析企业网络使用概率攻击图(NIST ir - 7788)——“更准确地评估企业的安全系统,一个人必须理解如何组合和利用漏洞攻击阶段。漏洞可以使用概率建模组成攻击图,显示所有路径的攻击,允许增量网络渗透。攻击可能传播通过攻击图,产生一种新颖的方法来衡量企业系统的安全风险。这个度量风险缓解分析用于最大化企业系统的安全性。这种方法基于概率攻击图可以用来评估和加强企业网络的总体安全。”

事件管理自动化协议(EMAP)EMAP是一个“套可互操作的规范设计标准化的通信事件管理数据。EMAP是一个新兴的协议在NIST安全自动化程序,和是一个点对类似的自动化协议等安全内容自动化协议(SCAP)。SCAP标准化配置的数据模型和脆弱性管理域,EMAP重点规范数据模型相关事件和审计管理。高层,EMAP的目标是使标准化内容、表示、交换、相关性、搜索、存储、优先级和审计的事件记录在一个组织的IT环境。”

Novell公司。

Novell公司库的椭圆形的内容——2010年7月创建,SUSE Linux Enterprise椭圆形固定安全事故信息数据库索引被产品,RPM包名称和版本用于安全合规检查。

对象管理组织(OMG)

知识发现的元模型(OMG / ISO 19506)股——对象管理组织(OMG)股是一个“普遍中间表示对于现有的软件系统及其操作环境,定义常见的深层语义集成所需的元数据应用生命周期管理工具。股的目的是作为软件现代化,OMG的基础IT投资组合管理和软件保证。KDM是知识发现的元模型软件。它定义了一个共同的词汇知识与软件工程相关的工件,无论实现编程语言和运行时平台——一个清单的项目软件挖掘工具应该发现和软件分析工具可以使用。股的目的是使知识之间的集成工具。”

OMG业务词汇表和业务规则的语义(SBVR)表述——对象管理组织(OMG) SBVR规范表述”定义了词汇和记录业务词汇的语义规则,业务事实,和业务规则;以及一个XMI模式交换业务词汇表和业务规则的组织和软件工具之间。”

结构化的保证情况下元模型(SACM)规范(OMG)——对象管理组织(OMG)“SACM由两种规格:论证元模型(ARM)和软件保证证据的元模型(SAEM)。臂通过允许他们能够有效地促进项目简洁地以结构化的方式履行其保证需求他们的系统和服务。手臂可以交换不同厂商的不同工具之间的结构参数。每个手臂实例代表的观点主张的利益相关者提供的参数来考虑。SAEM建立必要的细粒度模型的证据元素所需的详细的合规和风险分析。SAEM的结构提供了逻辑设计的基础地轻易建成工具存储、交叉引用,评估和报告的要素系统中软件保证证据。”

打开Web应用程序安全性项目(OWASP)

OWASP前十名——开放的Web应用程序安全项目(OWASP)前十是一个国际共识的十个最关键的Web应用程序安全漏洞。根据OWASP网站:“采用OWASP十大也许是最有效的第一步改变软件开发组织中的文化为一个生产安全的代码”。The list uses常见的弱点枚举(CWE™)标识符来唯一地标识它所描述的问题。

积极的技术CJSC

积极的技术椭圆形库——创建2012年5月,椭圆形的积极技术CJSC库从各种来源收集的内容包括椭圆定义。

红帽公司。

Red Hat勘误表id——安全报告出具红帽公司。

红帽公司库的椭圆形的内容——创建2006年5月,椭圆形的Red Hat库内容由椭圆形补丁定义对应于Red Hat勘误表安全警告。

RUS-CERT

常见的消息交换格式(CAIF)——CAIF是一种基于xml的格式由大学RUS-CERT斯图加特,德国、存储和交换安全公告方式规范化。它提供了一组基本但全面的设计元素来描述与安全相关的问题的主要方面。集合的元素可以很容易地扩展到反映的是暂时的,异国情调,或新的需求每个文档的方式。CAIF文档能够结合椭圆定义。

SANS研究所

SANS二十SANS网络安全风险是一个共识的最关键的网络安全威胁和漏洞,帮助组织确定”,新的威胁和漏洞构成最大风险,应该如何分配资源,以确保最可能的和破坏性的攻击处理。”

二十个最重要的控制和有效的网络防御和连续FISMA合规指标——这战略与国际研究中心(CSIS)文档是由无。“网络攻击和防御专家网络安全所涉及的联邦机构最集中的知识所使用的攻击技术对政府和国防工业基地确定二十关键操作(称为安全“控制”),组织必须采取如果他们希望阻止或减轻已知攻击和攻击,可以合理预期在短期内。他们测试他们的建议来保护联邦系统以确定他们是否也会停止或减轻攻击已知用来对付金融机构,发现前20名在政府控制本质上是相同的,国防工业基地、金融机构和零售商。对于每个控件的20,专家确定特定的(实际)攻击,控制停止或减轻,照亮的最佳实践在自动化控制(15控制,可以自动)和定义的测试,可以确定每个控件是否有效地实施。结果文档称为审计指南和共识,一旦全面审查,预计将成为标准基线测量计算机安全的组织,可能会受到攻击。”

SecPod技术

SecPod技术椭圆形饲料和存储库——2010年12月创建,SecPod椭圆定义专业饲料,还举办了存储库,是一个服务提供漏洞、库存、合规、和补丁定义覆盖大多数CVE的各种操作系统,企业服务器和应用程序。

Secunia

Secunia咨询idSecunia ApS -软件漏洞发现或协调。

安全数据库

安全数据库的存储库——创建于2012年2月,安全数据库Web站点提供了一个椭圆形的镜子库和链接椭圆形在可能的情况下定义的警报

电脑

安全性关注Bugtraq id——标识符分配给新兴的软件漏洞。安全重点网站也可搜索常见的漏洞和风险敞口(CVE®)标识符(CVE-ID)。

赛门铁克公司

赛门铁克DeepSight id从赛门铁克公司——病毒定义和安全更新。

TagVault.org

软件识别(SWID)标记——TagVault.org的标准化SWID标签“记录独特的安装的软件应用程序的信息,包括它的名称,版本,版本,无论是包的一部分。SWID标签支持软件可以利用库存和资产管理计划和保证活动。SWID标签指定的结构在国际标准ISO / IEC 19770 - 2:2009。”SWID tags, which can be assigned by software publishers as well software purchasing organizations, make it "possible to automate the processes of gathering software inventory data for use in reporting and in other initiatives such as managing software entitlement compliance or understanding what assurance activities a software item has been through."

ToolsWatch.org

默认的密码枚举(DPE)——DPE努力提供“结构化违约枚举网络设备的攻击的登录和口令时,应用程序和操作系统。的主要目标是增加“密码审计扫描仪”互操作性的潜力。任何一种工具集成XML DPE方案将能够识别和报告默认访问特定设备上的配置,软件或操作系统。考虑的好处SecurityMetrics标准原则,DPE整合了[通用平台枚举(CPE)]命名方案…描述信息技术系统,平台和包。”

us - cert

us - cert脆弱性指出,技术警报、和安全公告- us - cert发布各种各样的漏洞信息,描述的可从us - cert的网站在一个可搜索的数据库格式,并发表“us - cert脆弱性笔记”http://www.kb.cert.org/vuls/。us - cert还发布“技术网络安全警报”http://www.us-cert.gov/cas/techalerts/提供及时的信息目前的安全问题,漏洞和攻击,并在“网络安全公告”http://www.us-cert.gov/cas/bulletins/提供每周总结新的漏洞和补丁信息时可用。

Web应用程序安全联盟(WASC)

WASC分类网络安全威胁——Web应用程序安全联盟(WASC)威胁分类是“合作努力澄清和组织网站的安全威胁”。The members of the WASC have created this project to "develop and promote industry standard terminology for describing these issues. Application developers, security professionals, software vendors, and compliance auditors will have the ability to access a consistent language for Web security related issues."

组织支持标准化

反间谍软件联盟——ASC是“致力于建设一个共识的定义和最佳实践辩论周围的间谍软件和其他可能不需要的技术。组成的反间谍软件公司、学者和消费者团体,ASC旨在汇集多样化视角控制间谍软件和其他可能不需要的技术问题。”

国家保护安全管理局(NPSA)——NPSA“保护国家安全提供防护安全的建议。保护安全的到位,或建筑设计,安全措施或协议,这样可以阻止威胁,检测到,或攻击的后果最小化”。我们提供的建议物理安全、人员安全、网络安全/信息保障。”

NIST FISMA标准的努力——《联邦信息安全管理法案》(FISMA)实现项目成立于2003年1月生产的几个关键国会立法要求的安全标准和指导方针。这些出版物包括FIPS 199、FIPS 200和NIST特殊出版物800 - 53年,800 - 59和800 - 60。额外的安全指导文件正在开发项目的支持虽然不是直接喊FISMA立法。这些出版物包括NIST特殊出版物800 - 37岁,800 - 53 - 800 - 53年,。美国国家标准与技术研究院(NIST)计算机安全部门继续生产支持FISMA可用的其他安全标准和指导方针http://csrc.nist.gov/publications/nistpubs/

NIST软件保证指标和工具评估(SAMATE)项目——美国国家标准与技术研究院(NIST) SAMATE项目支持国土安全部的软件保证工具和研发需求识别程序。目标是识别、增强和开发的软件保证工具,确保软件过程和产品符合要求,标准和程序。“NIST领导(A)测试软件评估工具,(B)测量工具的有效性,和(C)识别的差距的工具和方法。”

打开Web应用程序安全性项目(OWASP)——OWASP是一个开放的社区努力致力于使组织开发、购买和维护可以信任的应用程序。OWASP”倡导者接近应用程序安全性作为人、流程和技术问题,因为应用程序安全最有效的方法包括在所有这些领域的改进。”Similar to other open-source software projects, OWASP produces many types of materials in a collaborative, open way and all of its tools, documents, forums, and chapters are free and open to anyone interested in improving application security.

TagVault.org——TagVault.org是一个“非营利性认证权威软件标签,主要集中在软件识别标签(按照ISO / IEC 19770 - 2)和软件权利标签(按照ISO / IEC 19770 - 3)”。"It is the registration authority for software identification tags (SWID tags). TagVault is a member-driven organization that provides a forum for sharing information and resources about software tags among software publishers, tool providers and SAM practitioners. TagVault provides a shared library of technical knowledge and software tools including consistent cross-vendor, cross-platform APIs."

TERENA计算机安全事件响应团队工作组(TF-CSIRT)——带有研究和教育网络协会(TERENA)是一个协会的组织参与“计算机网络基础设施和服务的提供和使用的研究和教育在欧洲。TERENA的主要成员是国家研究和教育网络组织(NRENs)和大量的国家在欧洲。”TERENA's TF-CSIRT Task Force "promotes the collaboration between Computer Security Incident Response Teams (CSIRTs) in Europe. The main goals of the Task Force are to provide a forum for exchanging experiences and knowledge, establish pilot services for the European CSIRTs community, promote common standards and procedures for responding to security incidents, and assist the establishment of new CSIRTs and the training of CSIRTs staff."

英国网络安全与信息保障办公室(OCSIA)——OCSIA是英国政府的内阁办公室单位提供“战略方向和坐标有关的行动在英国加强网络安全与信息保障”。

英国通信电子安全集团(CESG)CESG”保护英国的切身利益,提供政策和帮助通信和电子数据的安全,工作与产业界和学术界的合作。”

美国空军与微软企业协议——美国空军在2005年1月进入两个service-wide合同与微软公司所有软件空军台式电脑配置三种安全设置配置,满足空军的要求。微软负责识别漏洞和实现跨企业的修复。

标准化的身体

分布式管理任务小组,Inc . (DMTF)——DMTF工作组是一个国际行业”组织致力于管理标准的发展和促进互操作性为企业和互联网环境。”DMTF standards "provide common management infrastructure components for instrumentation, control and communication in a platform-independent and technology neutral way."

国际标准化组织(ISO)——ISO是“世界上最大的开发商和出版商的国际标准。ISO是一个网络的国家标准机构162个国家,每个国家一个成员,在日内瓦与中央秘书处,瑞士、坐标系统。ISO是一个非政府组织,形成一个公共和私营部门之间的桥梁”。"ISO has more than 18,500 International Standards and other types of normative documents in its current portfolio. ISO's work programme ranges from standards for traditional activities, such as agriculture and construction, through mechanical engineering, manufacturing and distribution, to transport, medical devices, information and communication technologies, and to standards for good management practice and for services.

国际电信联盟(ITU)——ITU”是联合国专门机构对信息和通信技术——信息通信技术”。ITU分配“全球无线电频谱和卫星轨道,发展[s]技术标准,确保无缝互连网络和技术,和[s]努力改善全球ict缺医少药社区。”"ITU standards (called Recommendations) are fundamental to the operation of today's ICT networks. Without ITU standards you couldn't make a telephone call or surf the Internet. For Internet access, transport protocols, voice and video compression, home networking, and myriad other aspects of ICTs, hundreds of ITU standards allow systems to work - locally and globally." "In a typical year, ITU will produce or revise upwards of 150 standards covering everything from core network functionality to next-generation services such as IPTV. If your product or service requires any kind of international buy-in, you need to be part of the standardization discussions in ITU's Telecommunication Standardization Sector (ITU-T)."

互联网工程任务组(IETF)——IETF是“一个开阔的国际社会的网络设计师,运营商、供应商,和研究人员关注互联网体系结构的演变和互联网的运行平稳。”IETF's mission is "to make the Internet work better by producing high quality, relevant technical documents that influence the way people design, use, and manage the Internet." The actual technical work of the IETF is done in its working groups, which are organized by topic into several areas, such as: routing, transport, security, operations management, real-time applications and infrastructure, etc.

对象管理组织,Inc . (OMG)OMG是一个“国际会员开放,非营利性计算机行业协会”的使命是“开发、与我们的全球会员企业集成标准,提供真实的价值。”OMG Task Forces develop enterprise integration standards for a wide range of technologies and industries. Technologies include real-time, embedded and specialized systems, analysis & design, architecture-driven modernization, and middleware. Industries include modeling and integration, C4I, finance, government, healthcare, legal compliance, life sciences research, manufacturing technology, robotics, software-based communications, and space.

Open Group——开放组织是一个全球性的联盟,使业务目标的实现通过开放的发展,厂商中立的标准和认证在各种学科领域关键企业,包括:企业架构、云计算、企业管理、平台、产品生命周期、实时和嵌入式系统,安全,语义互操作性和面向服务的体系结构。“开放组织为企业架构标准和认证项目已经采用了全世界。”

可信计算组(TCG)- TCG)是一个非营利组织形成开发、定义和促进开放,独立于供应商,全球行业标准,支持基于硬件的根的信任,可互操作的可信计算平台。”