掌握SCAP NIST指南　使用SCAP工具自动维护安全（上）

　　当提到安全内容自动化协议(SCAP)时，人们会有许多问题：它是什么，它如何工作，它怎样在一个企业中起作用?

　　本文的目的就是介绍一下SCAP是什么，企业何时以及如何依靠该协议来增强企业的安全性。

　　什么是SCAP?

　　根据SCAP NIST指南，SCAP(可以读成"S-CAP" (ESS'-cap)，也可以每个字母单独念：S-C-A-P)是：“安全软件产品间互相沟通软件缺陷以及安全配置信息时，使用的一套标准化格式和系统命名方法。”

　　SCAP的目的是通过标准化方法来1) 组织，2) 表达，3) 测量安全信息，为企业提供维护系统安全性的自动化方法。

　　更具体一点，NIST指南中列出了SCAP能够维护企业系统安全性的三个方法，其中包括：

　　自动验证补丁的安装;

　　检查系统安全配置;

　　检查系统是否有被入侵的迹象。

　　SCAP开发的主要目的是为了帮助那些需要遵从美国联邦桌面核心配置(FDCC)以及美国政府配置基准(USGCB，该标准从FDCC的命令要求中演变而来)的企业。经过SCAP验证的扫描工具可以用来扫描受到影响的系统，并就这些系统是否遵从FDCC提供有关报告。这是一个节省时间的事物，可以帮助企业更好地准备FDCC遵从审计。

　　SCAP有两个主要元素：

　　首先，它是一个协议。SCAP由四个开放规范组成，这些规范规定了软件之间交流缺陷和安全配置(这些内容都是使用通用标志符标注的，并嵌入在XML中)的标准化格式和系统命名方法。从本质上讲，这是一种确立某些自动化“on/off”开关检验的方法，以检查服务器或者台式电脑是否遵从某种标准。这样做很实用，因为其输出是一种标准化的非专用格式，可以在不同的企业中使用。每个规范又叫做一个SCAP组件。(NIST还给出了SCAP v1.0 组件的更多信息。)

　　其次，SCAP包括软件缺陷以及安全配置标准的参考数据，又叫做SCAP内容。这些参考数据由NIST管理和国家安全部门(DHS)赞助的国家漏洞数据库(NVD)提供。SCAP内容在NVD中都可以找到。

　　因此，SCAP包括SCAP内容(比如，参考数据)和SCAP组件(比如，安全规范)。为了让它们有效地工作，SCAP的作者们把SCAP内容和SCAP部件集成到了SCAP表述的检查列表中，这种列表使用标准化语言描述正在讨论的是什么平台(通用平台标识)以及哪些安全设置应该处理(通用暗渠配置标识)。人们也可以使用这些检查列表手动设置有问题的系统。然而，设置的数量非常庞大，因此，自动化系统，比如SCAP，会更受欢迎。

　　国家检查列表工程(NCP)网站是SCAP表述的检查列表资源库。该网站中的一个FDCC Windows XP检查列表网页如图1所示：

图1：FDCC Windows XP检查列表

　　提示一下，如果你查看该网页中的Supporting Resources支持资源选项，你会看到“Human Readable”(易读)或者“prose”(普通)版的设置。当人们下载这些内容时，该网页会提供一个电子表格，其中包括政策设置和命名、CCE参考、注册表设置，还有政策描述以及每个政策的联邦桌面设置应该是什么(比如，Disabled(禁用)、Disabled(启用)等等)。图2显示了一个这样的电子表格。

图2：易读版的FDCC设置

　　根据检查列表的SCAP协议自动化可操作性不同，可以分成不同的层次。我们把这些层次标记为I到IV。

　　层次I检查列表主要是文字性的东西，举个例子，叙述一个人如何手动改变产品配置。

　　层次II检查列表试图用专用的、机器易读的格式列出推荐的安全设置。

　　层次III检查列表使用SCAP协议，以机器可读、标准化的SCAP格式来整理他们的推荐安全设置。

　　层次IV检查列表包含层次III检查列表的所有属性。另外，它们能够用于产品生产，并已通过NIST验证，确保与其他通过SCAP验证的产品具有协同工作能力。层次IV检查列表还具有把低级安全设置映射到高级安全要求(就像FISMA的SP 800-53控制框架)的能力。(注：国家漏洞数据库中所有的FDCC检查列表都属于层次IV。)

　　值得注意的是，那些有义务遵守联邦SCAP命令的企业，需要为他们的计算机安全自动化使用最高层次的检查列表。此外，人们还有内容验证程序计划，这些程序可以让供应商或者其他任何人在NVD上发表自己的检查内容，并把这些内容作为层次III或者层次IV检查列表的内容。不过，这个计划实施的时间还未确定。