【网络安全常用术语解读】SCAP详解

本文主要介绍什么是SCAP,SCAP的产生背景是怎样的,SCAP有什么用途,有哪些组件,各个组件的用途是什么?

SCAP产生背景

由于计算机和网络技术的快速发展,越来越多的软件和系统被应用到企业和机构中,这些软件和系统的安全问题也日益凸显。传统的安全措施,如防火墙、入侵检测等,已经无法满足新的安全需求。因此,需要一种新的方法来管理和验证软件和系统的安全性,SCAP应运而生。SCAP通过建立安全配置标准库,对资产进行统一管理,并提供自动化的验证工具,帮助组织识别、评估和管理其计算机资产(特别是软件和系统)中的安全风险。总的来说,SCAP的产生背景主要源于以下几点:

  • 大量及复杂多样的系统需要保护:一般组织或企业都会安装多种操作系统及上千种应用软件,相同的软件在不同的主机上保护机制各不相同,主机本身的安全配置也有差异,每个系统上需要什么样的安全策略,如何快速、正确一致地实现这些策略要求,则更为复杂,SCAP的出现解决了此难题。
  • 快速响应新的威胁:当前 NVD中已经披露的漏洞已经多达20W+个,SCAP的出现可以解决漏洞检测问题;
  • 安全工具缺乏互操作性:不同安全工具采用了私有的格式、漏洞及组件命名方法,会导致漏洞的检测和评估不具共享性,难以得到及时有效的修复。

简介

SCAP(Security Content Automation Protocol)是一种安全自动化协议,是由NIST建立的一套规范,主要用于处理网络安全漏洞和安全信息。它提供了一种标准的方法来描述、交换和管理网络安全数据,以便自动检测、响应和缓解网络安全威胁。

SCAP的主要目标是提高网络安全自动化程度,促进安全社区、企业和政府机构之间的协作,以便更有效地识别、应对和预防网络安全威胁。在实际应用中,SCAP规范被广泛应用于安全扫描工具、漏洞管理系统和自动化安全报告等领域。

SCAP组件及定义

SCAP最新版本为1.3(2018年发布,点击获取), 主要包括以下12个组件:

组件 描述 维护组织 地址
CCE(Common Configuration Enumeration) 通用配置枚举定义了安全相关的系统配置项的标准标识符与目录,以便于在多个信息源和工具之间快速准确地关联配置数据。 MITRE https://nvd.nist.gov/config/cce/index
CPE(Common Platform Enumeration) 通用平台枚举定义了平台及版本的标准名称与目录 MITRE http://scap.nist.gov/schema/cpe/2.3/cpe-naming_2.3.xsd
CVE(Common Vulnerabilities and Exposures 通用漏洞与披露定义了与软件缺陷相关的标准标识符与目录 MITRE http://cve.mitre.org/
CVSS(Common Vulnerability Scoring System) 通用漏洞评分系统一种对软件缺陷特征进行分类并根据这些特征分配严重性分数的方法 FIRST https://www.first.org/cvss/specification-document
OCIL(Open Checklist Interactive Language) OCIL是一种用于表示从人员或其他数据收集工作所做的现有数据存储中收集信息的检查的语言 https://scap.nist.gov/schema/ocil/2.0/ocil-2.0.xsd
SWID(Software Identification) 用于表示软件标识符和相关元数据的格式 ISO http://standards.iso.org/iso/19770/-2/2015/schema.xsd
XCCDF(Extensible Configuration Checklist Description Format) 扩展配置检测列表描述格式定义了检查列表与检查报告XML描述格式 NSA、NIST https://scap.nist.gov/schema/xccdf/1.2/xccdf_1.2.xsd
OVAL(Open Vulnerability and Assessment Language) 开放脆弱性评估描述语言定义了用于检查列表的低级测试过程 MITRE https://github.com/OVALProject/Language/tree/5.11.2/schemas
CCSS (Common Configuration Scoring System) 用于测量系统安全配置问题的相对严重性的系统
AI(Asset Identification) 用于基于已知标识符和/或关于资产的已知信息唯一地识别资产的格式 NIST https://scap.nist.gov/schema/asset-identification/1.1/asset-identification_1.1.0.xsd
ARF (Asset Reporting Format ) 一种表示资产信息传输格式以及资产与报告之间关系的格式 NIST https://scap.nist.gov/schema/asset-reporting-format/1.1/asset-reporting-format_1.1.0.xsd
TMSAD (Trust Model for Security Automation Data ) 在通用信任模型中使用数字签名的规范,适用于其他安全自动化规范 NIST https://scap.nist.gov/schema/tmsad/1.0/tmsad_1.0.xsd

Note:一句话总结, 检查列表用XCCDF来描述评估什么, 用OVAL在目标系统做相应的测试, 用CPE标识检查列表是有效的以及运行测试的平台, 用CCE标识在检查列表中被访问或被评估的安全配置设置,用CVE参考已知的脆弱性, CVSS用于分级这些脆弱性 。

已经支持SCAP的安全工具

1、OpenSCAP

2、McAfee

3、Tenable

4、Qualys

参考

[1] https://csrc.nist.gov/Projects/scap-validation-program/validated-products-and-modules

[2] https://www.open-scap.org/features/scap-components/

相关推荐
.Ayang9 小时前
文件上传漏洞
网络·计算机网络·安全·web安全·网络安全·系统安全·网络攻击模型
HUODUNYUN12 小时前
小程序免备案
网络·web安全·小程序·1024程序员节
速盾cdn12 小时前
速盾:如何有效防止服务器遭受攻击?
网络·安全·web安全
姝光14 小时前
本地启动浏览器,并禁用web安全性,解决本地启动时,服务端强制要求https协议导致请求不通的问题
web安全·https
南暮思鸢14 小时前
PaoluGPT——千里挑一
web安全·网络安全·知识分享·write up·ctf比赛·hackergame 2024
网安-轩逸16 小时前
【网络安全】身份认证
网络·安全·web安全
网络安全-杰克17 小时前
关于网络安全里蜜罐的详细介绍
安全·web安全·php
网络安全工程师老王18 小时前
web3+web2安全/前端/钱包/合约测试思路——尝试前端绕过直接上链寻找漏洞
安全·web安全·网络安全·信息安全·web3
?crying19 小时前
蓝队基础4 -- 安全运营与监控
网络·安全·web安全
茶颜悦色vv19 小时前
蓝队知识浅谈(中)
网络·web安全·网络安全