FISMA合规报告
联邦信息安全管理法(FISMA)提供了一个全面的框架,帮助联邦机构实施保护数据和信息系统安全的过程和系统控制。FISMA是基于美国国家标准与技术研究所(NIST)等技术机构的一套标准和建议。NIST制定标准和指导方针,如特殊出版物800-53修订版(SP800-53r4),联邦机构可以使用这些标准和指导方针来建立他们的FISMA合规项目。NIST制定的指南定义了管理、运行、控制和运行信息系统的最低要求。
FISMA合规报告旨在帮助您评估组织在遵守特定FISMA要求方面的情况。Metasploit Pro报告了从下列家族和安全控制中选择需求的结果:
- 访问控制——AC7
- 意识和培训- - - - - - 2
- 配置管理- cm-7
- 识别和身份验证- IA-2、IA-5和IA-7
- 风险评估——RA-5
- 系统和信息完整性- SI-2和SI-10
该报告通过指出每个FISMA要求的通过或不通过状态来显示遵从性结果。调查结果应作为FISMA要求测试的附录,而不是作为实际审核。欲了解更多关于这些要求的信息,请访问国家脆弱性数据库:http://web.nvd.nist.gov/view/800-53/Rev4.
为了帮助您浏览数据以找到关键信息,报告被组织为以下几个部分:
- 执行摘要
- 详细研究结果
执行摘要
执行摘要列出了Metasploit Pro测试的每个Fisma要求的通过或失败状态。
详细研究结果
详细调查结果部分提供了Metasploit Pro报告的每个FISMA需求的技术细节。FISMA遵从性报告将列出不符合为每个需求定义的标准的每个主机。
FISMA要求AC-7
FISMA Requirment AC-7要求对用户所做的无效登录尝试的数量执行强制限制。此要求决定了每个组织根据其安全策略设置此速率。但是,出于本报告的目的,如果在60秒内为特定公众提供超过3个失败的登录,则主机将失败此要求。此速率被认为是合理的默认值。
对于失败此要求的每个主机,本节报告以下信息:
- 尝试登录的主机的IP地址和名称
- 主机上的操作系统
- 每个凭据的公共值,私有类型,私有价值,原点类型和原点详细信息,在彼此的60秒内导致超过3个失败的登录
FISMA要求在2
FISMA要求AT-2要求为系统用户提供安全意识培训。培训计划的内容应由组织根据其需要和要求来制定。如果主机存在被成功利用的漏洞,则该主机将无法满足此要求。
对于失败此要求的每个主机,本节报告以下信息:
- 主机的IP地址和名称
- 主机上的操作系统
- 发现的漏洞,用于利用漏洞的模块以及漏洞发生时的时间戳
FISMA要求CM-7
FISMA要求CM-7规定每个主机应具有一个主要功能。如果主机运行不止一个主要服务,例如HTTP、HTTPS、DNS、FTP、MySQL、Postgres、DB2和MSSQL,则主机将无法满足此要求。但是,当主机同时运行HTTP和HTTPS时,会出现一个例外。由于这两个服务经常一起公开以支持一个应用程序,所以允许它们在同一主机上运行。
对于失败此要求的每个主机,本节报告以下信息:
- 主机的IP地址和名称
- 主机上的操作系统
- 主机上运行的主要服务
FISMA要求IA-2
FISMA要求IA-2要求主持人唯一标识和验证用户。主机将失败此要求它允许使用常见用户名的有效登录,例如用户,root,管理员,admin,tomcat,cisco,manager,sa,postgres或guest。如果使用空白密码以成功验证服务,则主机也将失败此要求。
对于失败此要求的每个主机,本节报告以下信息:
- 登录所使用的主机的IP地址和名称
- 主机上的操作系统
- 用于凭据的公共值,私有类型,私有值,原点类型和原点详细信息
FISMA要求IA-5
FISMA要求IA-5任务要求系统验证者(如密码和令牌)进行正确创建,分发和管理。此要求可确保验证器不附带默认身份验证凭据并强制执行最小密码要求。如果允许使用常见的用户名,例如用户,root,管理员,admin,tomcat,cisco,manager,sa,postgres或guest虚拟机等,则主机将失败此要求。如果使用空白密码以成功验证服务,则主机也将失败此要求。
对于失败此要求的每个主机,本节报告以下信息:
- 登录所使用的主机的IP地址和名称
- 主机上的操作系统
- 用于凭据的公共值,私有类型,私有值,原点类型和原点详细信息
FISMA要求IA-7
FISMA要求IA-7要求验证机制使用可接受的加密方法。如果它具有以下任何服务,则主机将失败以下要求:Telnet,shell,rexec,rlogin或pop3。如果是具有打开的HTTP服务的思科设备,主机也将失败此要求。
对于失败此要求的每个主机,本节报告以下信息:
- 主机的IP地址和名称
- 主机上的操作系统
- 主机上运行的主要服务
FISMA要求RA-5
FISMA需求RA-5要求定期执行漏洞扫描。如果主机存在被成功利用的漏洞,则该主机将无法满足此要求。
对于失败此要求的每个主机,本节报告以下信息:
- 主机的IP地址和名称
- 主机上的操作系统
- 发现的漏洞,用于利用漏洞的模块以及漏洞发生时的时间戳
FISMA要求SI-2
FISMA要求SI-2要求必须报告所有存在安全缺陷的系统。所有已知的漏洞必须应用最新的供应商安全补丁。如果主机存在被成功利用的漏洞,则该主机将无法满足此要求。
对于失败此要求的每个主机,本节报告以下信息:
- 主机的IP地址和名称
- 主机上的操作系统
- 发现的漏洞,用于利用漏洞的模块以及漏洞发生时的时间戳
FISMA要求SI-10
FISMA要求SI-10要求信息系统输入的语法和语义与格式和内容的指定定义匹配。如果主机存在被成功利用的漏洞,则该主机将无法满足此要求。
对于失败此要求的每个主机,本节报告以下信息:
- 主机的IP地址和名称
- 主机上的操作系统
- 发现的漏洞,用于利用漏洞的模块以及漏洞发生时的时间戳
Fisma合规性报告选择
设置 |
选项 |
|---|---|
输出格式 |
Pdf, html, word, RTF |
报告期权 |
面具发现凭证—屏蔽报告中的所有凭据,包括纯文本密码、散列和SSH密钥。FISMA合规报告将密码替换为 |
报告部分 |
执行摘要 |