使用 OSCAL 表达加拿大网络安全要求作为合规代码 安全博客
- 2026-01-27 13:03:31
- 6
基于 OSCAL 表达加拿大网络安全合规要求
关键要点
使用 OSCAL 可以更高效地表达加拿大网络安全的合规要求。CCCS加拿大网络安全中心依据 NIST 80053 开发了安全控制清单。OSCAL 允许将合规信息以机器可读的格式传达,便于自动化分析。AWS 与 CCCS 合作,发布了多个 OSCAL 文件与资源。将来计划利用 OSCAL 更有效地支持 ITSG33 的翻译和合规信息的易用性。在数字化的时代,表达合规性的信息至关重要。开放安全控制评估语言OSCAL 是由美国国家标准与技术局NIST 提出的一个项目,它允许安全专业人士以机器可读的格式表达与控制相关的信息。这一方式使得安全从业者能够利用自动化工具来支持数据分析,并且简化了下游需求的解决,比如翻译和可访问性方面。在美国,亚马逊云服务AWS 与 NIST 以及 FedRAMP 项目紧密合作,促进了 OSCAL 的采用,并于2022年成为首个以 OSCAL 格式提交 FedRAMP 系统安全计划SSP的云服务提供商。
在加拿大,加拿大网络安全中心CCCS 是国家技术性网络安全权威机构。CCCS 发布的网络安全建议和指导材料中包含ITSG33 附录 3A,这是基于 NIST 特别出版物 80053 的安全控制目录。近期,CCCS 发布了基于 NIST 80053 第五版的新云安全配置文件,我们启动了一个项目,以 OSCAL 编码相关信息。将 CCCS 的目录和配置文件信息以 OSCAL 表达,可以支持自动化分析,包括与 NIST 和 FedRAMP 发布的 OSCAL 目录与配置文件进行比较。本文探讨了我们如何用 OSCAL 表达 CCCS 的配置文件,并展望未来的工作机会。
OSCAL 基础知识
在本次讨论中,有两个重要的 OSCAL 概念需要理解:目录 和 配置文件。目录是安全控制的集合,比如 NIST 80053 或 ITSG33。OSCAL 目录以结构化且机器可读的格式表达控制特定的信息,包括语句、参数和实施指导,使用的格式可以是 JSON、XML 或 YAML。
OSCAL 配置文件则从目录和其他配置文件导入控制,并表达更具体的实施指导。例如,FedRAMP 中等 配置文件选择了 NIST 80053 中部分控制,并对某些参数指定了约束,提供了评估指导。配置文件在导入控制时也可以修改控制,这为我们的工作带来了极大帮助。
在 OSCAL 中表达 CCCS 控制
由于 CCCS 的 ITSG33 基于 NIST 80053,大多数 NIST 控制可以在不修改的情况下用于 CCCS 配置文件。然而,在某些情况下,CCCS 对 NIST 80053 控制的语言进行了修改;例如,将对美国机构或标准的提及替换为加拿大相应的内容,或添加了特定于 CCCS 的其他信息。因此,在 OSCAL 中表达 CCCS 要求的第一步是创建一个配置文件,进行必要的控制级修改。在某些情况下,CCCS 还创建了不属于 NIST 80053 的控制,这些控制在一个单独的目录中进行了说明。
当一个 OSCAL 配置文件被解析时,它所导入的上游目录和配置文件的信息与修改一起组装,形成一个新的目录。通过解析 ITSG33 修改配置文件,我们可以通过程序化的方式生成完整的 ITSG33 目录,包括 NIST 80053 控制、CCCS 控制及所需的修改。
CCCS 云安全配置
CCCS 创建了两个用于评估云服务安全性的配置文件:CCCS 中等配置和保护 B 高价值资产PBHVA配置。每个配置文件都指定了 ITSG33 中的一些控制,并提供了一系列参数值。我们从 CCCS 发布的电子表格中反向提取信息,将控制和参数信息以 OSCAL 形式表达出来。这一过程也为 ITSG33 修改配置的创建提供了重要的信息,该配置捕获了 CCCS 对 NIST 80053 控制作出的修改,以及单独的 CCCS 特定控制目录。
资源链接
为了进一步促进加拿大安全社区的这一工作,我们在GitHub上发布了本项目中创建的 OSCAL 文件,包括:
资源类型内容描述CCCS 特定控制目录包括 CCCS 针对的安全控制。ITSG33 修改配置及解析的目录包括 CCCS 对 NIST 80053 的修改信息。CCCS 中等配置以及解析的目录和 CSV包含 CCCS 的中等配置内容。PBHVA 配置及解析目录和 CSV提供 PBHVA 配置的详细信息。我们使用了一个开源工具 oscalcli 来验证创建的 OSCAL 文件结构,并将配置文件解析为目录。
未来展望
AWS 期待进一步探索使用 OSCAL 的潜力,以帮助我们及客户更高效地遵循 CCCS 的要求。在未来,我们希望探讨如何使用 OSCAL 数据和工具,来支持 ITSG33 目录和 CCCS 配置文件的法语翻译,以及以可访问的格式呈现合规信息。
如您对本文有任何反馈,欢迎在下方的 评论 部分留言。
关于作者
Michael Davie 是 AWS 安全保障项目在加拿大的负责人。他与客户、监管机构以及 AWS 团队合作,帮助提升安全云的采用和使用标准。Michael 在加拿大的国防、情报和技术领域具有超过 20 年的经验,并持有专业工程师执照。
标签: 加拿大, 政府, OSCAL, 公共部门, 安全博客
迅猛兔加速器免费下载