SCAP标准简介详解.PDFVIP

atsec information security Tel: +86- 10 Fax: +86-10 本文为atsec 和作者技术共享类文章，旨在共同探讨信息安全业界的相关话题。转载请注明： atsec 和作者名称。 SCAP 标准简介 atsec 张力 2010 年12 月 关键词：SCAP、OVAL、CPE、CVE、CCE、CVSS 2010 年11 月7 日至16 日，IETF79 研讨会在北京召开，全球范围内数以千计的科研工作 者参加了这次盛会，其中一个很重要的议题就是讨论将安全内容自动化协议（SCAP：Security Content Automation Protocol ）引入IETF 标准化，使之成为真正意义上的全球标准。 1 SCAP 的产生背景 由于计算机通信技术的飞速发展，美国联邦政府强烈的意识到由于计算机系统配置问题而 暴漏出越来越多的安全漏洞，为此，2007 年美国联邦预算管理办公室 （OMB：Office of Management and Budget ）提出要求所有的政府部门开始试行联邦桌面核心配置计划 （FDCC： Federal Desktop Core Configuration ）。2008 年则开始强制执行。FDCC 最初是由美国国家标 准与技术研究所联合OMB、DHS （Department of Homeland Security）、NSA （National Security Agency ）以及Microsoft 共同开发，用于美国空军Windows XP 的公共安全配置，2008 年6 月 发布第一个版本FDCC1.0，在本文发稿前最新的版本为2009 年8 月发布的1.2 版本。 FDCC 定义了针对Windows XP 与 Vista 操作系统的公共配置准则。为了检测FDCC 的合 规性，NIST 开发了安全内容自动化协议SCAP，以标准化的方式表达与使用安全数据，以及进 行安全问题评估。最初主要针对于Windows 操作系统开发检查列表 （checklist），后来逐步扩 展到UNIX 系统，web 浏览器，反病毒软件以及防火墙等。 SCAP 提供了一种自动、标准化的方法来维护企业系统的安全，如实现安全配置基线，验 证当前的补丁程序，进行系统安全配置设置的持续性监测，检查系统的折衷标记 （sign of compromise ），以及能在任意设定时刻给出系统的安全状态。SCAP 的提出主要源于如下几个 方面的原因：  大量的以及多样的系统需要保护。 大多数组织有需要保护的一些系统，针对每个系统有众多的应用需要保护。一般一个企业 内部装有多种操作系统及上千种的应用软件，每个系统或应用都有自己的补丁机制及安全 配置管理。相同的软件在不同主机上的保护机制也可能会有些许的不同。一个单独的主机 y t 针对它的操作系统与应用也会有上千种安全配置设置。所有这些因素使得决定每个系统上 i r u 需要什么样的安全变化，快速、正确、一致地实现这些变化，以及验证安全配置更为复杂。 c e  快速响应新的威胁。 s 一些组织经常需要重新配置软件或安装补丁以消除新发现地或