科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全掌握SCAP NIST指南 使用SCAP工具自动维护安全(上)

掌握SCAP NIST指南 使用SCAP工具自动维护安全(上)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

当提到安全内容自动化协议(SCAP)时,人们会有许多问题:它是什么,它如何工作,它怎样在一个企业中起作用?本文上半部分的目的就是介绍一下SCAP是什么。

来源:TechTarget中国 2011年4月18日

关键字: SCAP 安全策略

  • 评论
  • 分享微博
  • 分享邮件

  当提到安全内容自动化协议(SCAP)时,人们会有许多问题:它是什么,它如何工作,它怎样在一个企业中起作用?

  本文的目的就是介绍一下SCAP是什么,企业何时以及如何依靠该协议来增强企业的安全性。

  什么是SCAP?

  根据SCAP NIST指南,SCAP(可以读成"S-CAP" (ESS'-cap),也可以每个字母单独念:S-C-A-P)是:“安全软件产品间互相沟通软件缺陷以及安全配置信息时,使用的一套标准化格式和系统命名方法。”

  SCAP的目的是通过标准化方法来1) 组织,2) 表达,3) 测量安全信息,为企业提供维护系统安全性的自动化方法。

  更具体一点,NIST指南中列出了SCAP能够维护企业系统安全性的三个方法,其中包括:

  自动验证补丁的安装;

  检查系统安全配置;

  检查系统是否有被入侵的迹象。

  SCAP开发的主要目的是为了帮助那些需要遵从美国联邦桌面核心配置(FDCC)以及美国政府配置基准(USGCB,该标准从FDCC的命令要求中演变而来)的企业。经过SCAP验证的扫描工具可以用来扫描受到影响的系统,并就这些系统是否遵从FDCC提供有关报告。这是一个节省时间的事物,可以帮助企业更好地准备FDCC遵从审计。

  SCAP有两个主要元素:

  首先,它是一个协议。SCAP由四个开放规范组成,这些规范规定了软件之间交流缺陷和安全配置(这些内容都是使用通用标志符标注的,并嵌入在XML中)的标准化格式和系统命名方法。从本质上讲,这是一种确立某些自动化“on/off”开关检验的方法,以检查服务器或者台式电脑是否遵从某种标准。这样做很实用,因为其输出是一种标准化的非专用格式,可以在不同的企业中使用。每个规范又叫做一个SCAP组件。(NIST还给出了SCAP v1.0 组件的更多信息。)

  其次,SCAP包括软件缺陷以及安全配置标准的参考数据,又叫做SCAP内容。这些参考数据由NIST管理和国家安全部门(DHS)赞助的国家漏洞数据库(NVD)提供。SCAP内容在NVD中都可以找到。

  因此,SCAP包括SCAP内容(比如,参考数据)和SCAP组件(比如,安全规范)。为了让它们有效地工作,SCAP的作者们把SCAP内容和SCAP部件集成到了SCAP表述的检查列表中,这种列表使用标准化语言描述正在讨论的是什么平台(通用平台标识)以及哪些安全设置应该处理(通用暗渠配置标识)。人们也可以使用这些检查列表手动设置有问题的系统。然而,设置的数量非常庞大,因此,自动化系统,比如SCAP,会更受欢迎。

  国家检查列表工程(NCP)网站是SCAP表述的检查列表资源库。该网站中的一个FDCC Windows XP检查列表网页如图1所示:

FDCC Windows XP检查列表

图1:FDCC Windows XP检查列表

  提示一下,如果你查看该网页中的Supporting Resources支持资源选项,你会看到“Human Readable”(易读)或者“prose”(普通)版的设置。当人们下载这些内容时,该网页会提供一个电子表格,其中包括政策设置和命名、CCE参考、注册表设置,还有政策描述以及每个政策的联邦桌面设置应该是什么(比如,Disabled(禁用)、Disabled(启用)等等)。图2显示了一个这样的电子表格。

易读版的FDCC设置

图2:易读版的FDCC设置

  根据检查列表的SCAP协议自动化可操作性不同,可以分成不同的层次。我们把这些层次标记为I到IV。

  层次I检查列表主要是文字性的东西,举个例子,叙述一个人如何手动改变产品配置。

  层次II检查列表试图用专用的、机器易读的格式列出推荐的安全设置。

  层次III检查列表使用SCAP协议,以机器可读、标准化的SCAP格式来整理他们的推荐安全设置。

  层次IV检查列表包含层次III检查列表的所有属性。另外,它们能够用于产品生产,并已通过NIST验证,确保与其他通过SCAP验证的产品具有协同工作能力。层次IV检查列表还具有把低级安全设置映射到高级安全要求(就像FISMA的SP 800-53控制框架)的能力。(注:国家漏洞数据库中所有的FDCC检查列表都属于层次IV。)

  值得注意的是,那些有义务遵守联邦SCAP命令的企业,需要为他们的计算机安全自动化使用最高层次的检查列表。此外,人们还有内容验证程序计划,这些程序可以让供应商或者其他任何人在NVD上发表自己的检查内容,并把这些内容作为层次III或者层次IV检查列表的内容。不过,这个计划实施的时间还未确定。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章