www.dbappsecurity.com.cn400-6059-110网络安全技术标准体系和下一代网络安全架构研究安全运营部-黄承开目录CONTENTS 01网络安全技术标准体系发展 02下一代网络安全架构 03AiCSO落地的成果1. 网络安全技术标准体系发展第一代网络安全技术标准体系MSM Making Security Measurable (mitre.org)第一代网络安全技术标准体系MSM•软件质量保证•应用安全•威胁信息共享•脆弱性管理•配置管理•威胁情报分析•入侵检测•补丁管理•事件协同•供应链管理•企业报告•缓解•系统评估•恶意软件保护•资产管理•Open Vulnerability and Assessment Language (OVAL®)•Malware Attribute Enumeration and Characterization (MAEC™)•Cyber Observable Expression (CybOX™)•Structured Threat Information Expression (STIX™)•Trusted Automated eXchangeof Indicator Information (TAXII™)•Common Platform Enumeration (CPE) Specifications•Extensible Configuration Checklist Description Format (XCCDF)•Open Checklist Interactive Language (OCIL)•Common Weakness Scoring System (CWSS™)•Common Weakness Risk Analysis Framework (CWRAF™)•Common Vulnerability Scoring System (CVSS)•Policy Language for Assessment Results Reporting (PLARR)•Assessment Results Format (ARF)•Asset Summary Reporting (ASR)•Common Frameworks for Vulnerability Disclosure and Response (CVRF)•Technical Specification for the Security Content Automation Protocol (SCAP): SCAP Version 1.2 (NIST SP 800-126)•Common Configuration Scoring System CCSS Specification (NIST IR 7502)•Structured Assurance Case Metamodel(SACM) Specification (OMG)•Real-time Inter-network Defense (RID) (IETF/RFC)•Transport of Real-time Inter-network Defense (RID-T) Messages (IETF/RFC)•Knowledge Discovery Metamodel(KDM) (OMG/ISO 19506)•Software Identification (SWID) Specification (ISO 19770-2)•Incident Object Description Exchange Format (IODEF) [RFC 5070]•Extensions to the IODEF-Document Class for Reporting Phishing [RFC 5901]•IODEF-Extension to Support Structured Cybersecurity Information [Active Internet-Drafts]•Guidelines for Extensions to IODEF for Managed Incident Lightweight Exchange [Active Internet-Drafts]•Guidelines for Extensions to IODEF for Managed Incident Lightweight Exchange Template [Active Internet-Drafts]第一代网络安全技术标准体系MSM•2007-2013•MITRE=（安标委+研究所+工信部+厂商）•花最多的钱请最牛的人干最先进的事情•枚举、语言、库、认证•在MSM之前还开发了CVE等影响力巨大的标准•Cve/Cvss/cpe/oval…移交给了NIST成为了SCAP•Stix/taxii移交给了OASIS小结•MSM是网络安全界的巴比伦塔，失败的教训也如出一辙•创业未半而中道崩殂第二代网络安全技术标准体系SCAP Security Content Automation Protocol | CSRC (nist.gov)•安全内容自动化协议（SCAP）是来自社区理念的可互操作规范的综合。社区参与是SCAP 的强大力量，因为安全自动化社区确保SCAP 功能中反映尽可能广泛的使用案例。此网站旨在支持社区继续参与。从本网站，您将发现与NIST 安全自动化议程相关的现有SCAP 规范和新兴规范的信息。您被邀请参加，无论是监控社区对话还是领导更实质性的活动，如规范作者。•NIST 的安全自动化议程比现代SCAP 的漏洞管理应用范围更广。许多不同的安全活动和纪律都可以从标准化的表达和报告中受益。我们设想在合规、补救和网络监控方面进一步扩大，并鼓励您对这些和额外学科做出的贡献。NIST 也在制定此扩展计划，因此请尽早和经常与SCAP 团队沟通，以确保适当的协调工作。 第二代网络安全技术标准体系SCAPNVD 是美国政府存储的基于标准的漏洞管理数据存储库，使用安全内容自动化协议（SCAP）表示。这些数据实现了漏洞管理、安全测量和合规性的自动化。NVD 包括安全检查表引用、安全相关软件缺陷、配置错误、产品名称和影响指标的数据库。NVD -Home (nist.gov)国家清单计划（NCP）由NIST SP 800-70定义，是美国政府公开的安全检查表（或基准）存储库，为设置操作系统和应用程序的安全配置提供详细的低级指导。NCP 提供各种格式的检查表的元数据和链接，包括符合安全内容自动化协议（SCAP）的清单。SCAP 使已验证的安全产品能够使用NCP 检查表自动执行配置检查。NCP -Information (nist.gov)