CAESARS 框架 扩展： 企业持续监控 技术参考模型（第 ⼆稿） Peter Mell、 DavidWaltermire、 Larry Feldman、 Harold Booth、 AlfredOuyang、 Zach Ragland 和 TimothyMcBride 从英语翻译成中⽂(简体) - www.onlinedoctranslator.comCAESARS 框架扩展： 企业持续监控技术参考 模型（第 ⼆稿） NIST 机构间报告 7756 （第 ⼆ 稿） 彼得·梅尔、 ⼤卫·沃尔特⽶尔、 拉⾥·费尔 德曼、 哈罗德·布斯、 扎克·拉格兰、 阿尔弗 雷德·欧阳和蒂莫西·⻨克布莱德 计算机 安全 计算机安全部信息技术实验室国家标准与技术 研究所盖瑟斯堡， MD 20899-8930 2012 年 1 ⽉ 美国商务部 秘书约翰·E· 布赖森 美国国家标准与技术研究院 Patrick D. Gallagher， 标准与技术部副部⻓ 兼董 事NISTIR 7756， 第⼆稿 ‒ 2012 年 1 ⽉ 计算机系统技术报告 美国国家标准与技术研究院 (NIST) 的信息技术实验室 (ITL) 通过为美国的测量和标准基础设施提供技 术领导⼒来促进美国经济和公共福利。 ITL 开发测试、 测试⽅法、 参考数据、 概念验证实施和技术分 析， 以推进信息技术的开发和⽣产性使⽤。 ITL 的职责包括为联邦计算机系统中敏感的⾮机密信息的成 本效益安全和隐私制定技术、 物理、 ⾏政和管理标准和指南。 这份跨机构报告讨论了 ITL 在计算机安 全⽅⾯的研究、 指导和外展⼯作， 以及它与⾏业、 政府和学术组织的合作活动。 美国国家标准与技术研究所跨部⻔报告 7756 35 ⻚ (2012 年 1 ⽉） 为了充分描述实验程序或概念， 本⽂档中可能会标识某些商业实体、 设备或材 料。 此类标识并不意味着美国国家标准与技术研究院的推荐或认可， 也不意味 着实体、 材料或设备必须是为此⽬的最好的。 2NISTIR 7756， 第⼆稿 ‒ 2012 年 1 ⽉ 致谢 作者要感谢开发国⼟安全部 (DHS) 联邦⽹络安全部在连续监控架构⽅⾯的开创性⼯作的原始研究团 队。 持续资产评估、 态势感知和⻛险评分 (CAESARS) 架构1，在 MITRE ⽀持下创建， 构成了这项⼯ 作的基础。 此外， 我们要感谢以下个⼈对持续监测研究团队的参与、 富有洞察⼒的想法和对这项⼯作的审查： 来 ⾃国家安全局的 Stephen York、 Peter Sell 和 David Minge； 来⾃ Booz Allen Hamilton 的 Adam Halbardier、 Adam Humenansky、 Joe Debra 和 Amit Mannan； 和来⾃ MITRE 的 Mark Crout。 最后， 我们要感谢美国⾸席信息官委员会的信息安全和⾝份管理⼩组委员会 (ISIMC) 持续安全监控 在我们创建本出版物时的领导和指导。 我们要特别感谢前任和现任联合主席2：美国陆军上校 Michael Jones、 国务院 (DOS) 的 John Streufert、 国防部⻓办公室 (OSD) 的 Kevin Dulany 和国 ⼟安全部的 Timothy McBride （也 是作者之⼀）。 本出版物是通过以下组织的合作完成的： - 美国国家标准与技术研究院（Peter Mell、 David Waltermire、 Harold Booth） - 国⼟安全部（蒂 莫西⻨克布赖德） - 博思艾伦汉密尔顿（拉 ⾥费尔德曼， 扎克拉格兰） - MITRE （阿 尔弗雷德·欧阳） 抽象的 本出版物及其⽀持⽂档介绍了⼀个企业持续监控技术参考模型， 该模型扩展了 DHS 联邦⽹络安全 CAESARS 架构提供的框架。 此扩展⽀持附加功能， 更详细地定义每个⼦系统， 并进⼀步利⽤安全⾃动 化标准。 它还扩展了 CAESARS 以允许需要多层架构的⼤型实施， 并专注于必要的层间通信。 本⽂档的 ⽬标是通过提供⼀个参考模型来促进企业持续监控， 该参考模型使组织能够汇总从各种安全⼯具中收 集的数据、 分析该数据、 执⾏评分、 启⽤⽤⼾查询并提供整体态势感知。 观众 本出版物适⽤于计划实施、 开发产品或⽀持企业持续监控功能的⼈员。 该模型⼴泛适⽤于各种⽹ 络， 包括 1 http:// www.dhs.gov/ xlibrary/ assets/ fns- caesars.pdf . 2 联合主席在管理和预算办公室⽹站上列出 https:// max.omb.gov/ community/ display/ Egov/ Continuous+Monitoring+Working+Group+Members。 3NISTIR 7756， 第⼆稿 ‒ 2012 年 1 ⽉ ⼯业、 ⽂职政府、 州政府、 部落和军事⽹络。 本⽂档的预期⽤⼾包括⾸席信息安全官、 ⾸席技术官、 安全⼯具供应商、 安全⼯具测试实验室、 安全计划经理、 企业架构师和安全采购⼈员。 虽然不是先决条件， 但也可以通过阅读 DHS CAESARS 架构来更好地理解 CAESARS 框架和我们的扩 展3. 3 http:// www.dhs.gov/ xlibrary/ assets/ fns- caesars.pdf . 4NISTIR 7756， 第⼆稿 ‒ 2012 年 1 ⽉ ⽬录 1. 简介和⽂档概述 ................................................................ ..................................7 1.1 简介 ................................................... ..................................................... ............. 7 1.2 ⽂档概述.................................................................. ..................................................... ... 8 2. 持续安全监控的定义和范围 ................................................... .......9 2.1 定义 ................................................... ..................................................... ..................... 9 2.2 作⽤域和外部系统接⼝ ................................................... ...................... 10 3. 持续监控的企业架构视图.......................................... ...11 4. 基础⼯作................................................................ ..................................................... ............14 4.1 CAESARS 参考架构概述 ................................................... ...... 14 4.1.1 传感器⼦系统 ................................................... ................................................15 4.1.2 数据库⼦系统 ................................................... ..............................15 4.1.3 分析/⻛险评分⼦系统 ................................... ....................................16 4.1.4 演⽰/报告⼦系统 ................................... .....................16 4.2 CAESARS 参考架构的局限性 ................................................................ .... 16 4.2.1 缺乏接⼝规范.................................................................. ......................16 4.2.2 对企业服务总线的依赖.......................... .............16 4.2.3 不完整的通信有效载荷规范......................................................16 4.2.4 缺乏描述⼦系统功能的规范......