我已被分配到 STIG 我们当前的 rhel7 服务器,当我去“public.cyber.mil/stigs/downloads”下载 zip 文件以导入 stigviewer 时,我看到两个文件。
Red Hat Enterprise Linux 7 STIG - Ver 3,Rel 3
Red Hat Enterprise Linux 7 STIG Benchmark - Ver 3, Rel 3
有人可以解释一下两者之间有什么区别以及我应该使用哪一个吗?
答案1
正如 @GregAskew 所说,“STIG”用于手动审查,“STIG 基准”用于自动 SCAP 工具。如果您需要执行完整审查,则应使用完整的“STIG”(而不是基准),因为它将包含许多无法自动化的检查点,例如创建特定系统文档或特定组织政策的文档。