使用 OSCAL 将加拿大的网络安全要求表述为 "合规即代码"

开放安全控制评估语言 (OSCAL) 是由美国国家标准与技术研究所 (NIST) 领导的一个项目，它允许安全专业人员以机器可读的格式表达与控制相关的信息。以这种方式表达合规性信息允许安全从业人员使用自动化工具来支持数据分析，同时可以更轻松地满足翻译和可访问性等下游需求。在美国，亚马逊云科技与 NIST 和 FedRAMP 计划密切合作，以推动 OSCAL 的采用，并且是第一家在 2022 年以 OSCAL 格式提交 FedRAMP 系统安全计划（SSP）的云服务提供商。

在加拿大，加拿大网络安全中心（CCCS）是国家网络安全技术机构。CCCS 发布网络安全建议和指南，包括 ITSG-33 附录 3A，这是一份以 NIST 特别出版物 800-53 为基础的安全控制措施目录。当 CCCS 最近发布基于 NIST 800-53 修订版 5 的新云安全配置文件时，我们开展了一个在 OSCAL 中对相关信息进行编码的项目。在 OSCAL 中表达 CCCS 的目录和配置文件信息有助于自动化分析，包括与 NIST 和 FedRAMP 发布的 OSCAL 目录和配置文件进行比较。这篇文章探讨了我们在 OSCAL 中表达 CCCS 简介所采用的方法，以及未来工作的机会。

OSCAL 基础知识

就本次讨论而言，有两个重要的 OSCAL 概念需要理解：目录和配置文件。目录是安全控制措施的集合，例如 NIST 800-53 或 ITSG-33。OSCAL 目录使用 JSON、XML 或 YAML 以结构化和机器可读的格式表示特定控件信息，包括语句、参数和实现指南。

OSCAL 配置文件从目录（和其他配置文件）中导入控件，并提供更具体的实施指导。例如，FedRAMP 中级配置文件从 NIST 800-53 中选择一部分控件，为某些参数指定限制条件，并提供评估指导。配置文件还可以在导入控件时对其进行修改，事实证明，这对我们的目的非常有用。

在 OSCAL 中表达 CCCS 控件

由于 CCCS 的 ITSG-33 基于 NIST 800-53，因此大多数 NIST 控件无需修改即可用于 CCCS 配置文件。但是，在某些情况下，CCCS 修改了 NIST 800-53 控制措施的措辞；例如，将提及的美国机构或标准替换为加拿大的同等内容，或者添加针对 CCCS 的其他内容。因此，在 OSCAL 中表达 CCCS 要求的第一步是创建对控制级别进行必要修改的配置文件。在某些情况下，CCCS 还创建了不属于 NIST 800-53 的控件；这些控件在单独的目录中指定。

解析 OSCAL 配置文件后，将汇编来自上游目录及其导入控件的配置文件中的信息（包括修改），并以目录的形式表示。通过解析 ITSG-33 修改配置文件，我们可以以编程方式生成完整的 ITSG-33 目录，其中包含 NIST 800-53 控件、CCCS 控件和所需的修改。

CCCS 云安全配置文件

CCCS 创建了两个用于评估云服务的安全性的配置文件：CCCS 中型和受保护的 B 高价值资产（PBHVA）。除了许多参数的值外，这些配置文件中的每一个都指定了 ITSG-33 中的一系列控件。根据 CCCS 以电子表格形式发布的配置文件，我们从每个配置文件中提取了控制和参数信息，并用 OSCAL 表示。该练习还为前面讨论的 ITSG-33 修改配置文件的创建提供了信息，该配置文件记录了 CCCS 对 NIST 800-53 控件所做的控制级别更改，以及 CCCS 特定控制措施的单独目录。

资源

为了支持加拿大安全界进一步开展这项工作，我们在 GitHub 上发布了作为该项目的一部分创建的 OSCAL 文件，包括：

• CCCS 特定控制目录
• ITSG-33 修改配置文件和已解析的目录
• CCCS Medium 配置文件、已解析的目录和 CSV
• PBVHA 个人资料、已解析的目录和 CSV

我们使用开源工具 oscal-cli 来验证我们创建的 OSCAL 文件的结构，并将配置文件解析为目录。

今后的工作

亚马逊云科技有兴趣进一步探索使用 OSCAL 来帮助我们和我们的客户尽可能高效地遵守 CCCS 要求。将来，我们想探索如何使用 OSCAL 数据和工具来支持将 ITSG-33 目录和 CCCS 配置文件高效翻译成法语，以及以无障碍格式显示合规信息。

如果你对这篇文章有反馈，请在下面的评论部分提交评论。