什么是DISA STIG?概述+STIG安全

什么是 DISA STIG？

DISA STIG （DISA—國防信息系統局）是指提供技術指南（STIG—安全技術實施指南）的組織。

DISA 是國防部 (DoD) 的一部分。它是一個為國防部工作的所有機構和個人提供IT和通信支持的戰斗支援機構。DISA負責監督組織、交付和管理國防相關信息的IT和技術方面。這包括STIG指南。這些指南概述了組織應如何處理及管理軟件和系統的安全性。

什么是STIG安全？

STIG安全是指安全技術信息指南(STIG)，是DISA的安全指南。DoD已經維護和更新了100多個STIG。

完整的STIG安全列表

有一個完整的STIG安全列表，提供了有關DoD IA和支持IA的設備/系統標準的關鍵更新。每個STIG都提供技術指導，以保護可能容易受到攻擊的信息系統/軟件。

國防部定期更新 STIG，以確保開發人員能夠：

●  正確配置硬件和軟件。
●  實施安全協議。
●  組織培訓流程。

您可以使用STIG列表來識別代碼中的潛在漏洞。

但使用 STIG 列表的最佳方法是將其與SAST工具配對。像Klocwork等SAST工具可以幫助工程師更快速地識別安全漏洞。

什么是DISA STIG合規級別？

DISA STIG合規級別共有三個，這里稱為類別。這三種類別表明未能解決特定漏洞的風險的嚴重程度。

級別從重到輕，分別為：

Category I

Category I是指將直接和立即導致機密性、可用性或完整性損失的任何漏洞。此外，這些漏洞可能允許未經授權訪問機密數據或設施。這可能導致拒絕服務或訪問。

這些風險是最嚴重的。它們可能導致人員傷亡、設施損壞或任務失敗。如果您不解決這些風險，您將不會獲得運營授權。

唯一的例外是：

●  當系統處于臨界狀態時。
●  當系統使用失敗可能導致任務失敗時。

Category II
Category II是指任何可能導致損失機密性、可用性或完整性的漏洞。

二類漏洞可以：
●  導致 I 類漏洞。
●  導致人身傷害、設備或設施損壞。
●  降級任務。

Category III
Category III是指任何會降低保護機密性、可用性或完整性措施的漏洞。

三類漏洞可以：
●  導致II類漏洞。
●  延遲從中斷中恢復。
●  影響數據和信息的準確性。

什么是DISA合規性？

實現安全編碼標準的最佳方法是使用靜態代碼分析器—比如Klocwork。

1. 獲取 Klocwork

靜態代碼分析器強制執行編碼規則并標記安全違規行為。Klocwork帶有代碼安全分類規則，以確保軟件安全。

每一項包括：

●  完整記錄的規則執行和消息解釋。
●  完全可配置的規則處理。
●  安全審計的合規報告。

2. 使用Klocwork查看STIG安全列表

運行靜態分析是開發安全軟件過程的重要組成部分。您可以使用它來符合IEC 61508要求。

Klocwork 還可以根據安全漏洞列表檢查您的代碼。它會自動標記違規行為并強制執行安全編碼指南。此外，Klocwork 提供有關您代碼合規性的安全報告。

使用Klocwork確保DISA STIG安全

DISA STIG安全指南對于確保軟件安全來講十分重要。使用 Klocwork 可以幫助您確保代碼安全。這是因為 Klocwork 是C、C++、C#、Java 和 JavaScript編碼語言最值得信賴的靜態分析工具。

更多信息請訪問：http://www.softtest.cn/show/232.html