安全内容自动化协议
安全内容自动化协议(英语:Security Content Automation Protocol,SCAP)是用于自动化漏洞管理、评估和条款符合检测的一套标准(例如,2002年的美国联邦资讯安全管理法案)。美国国家漏洞数据库(NVD)就是美国政府为安全内容自动化协议制定的知识库。
目的
编辑安全内容自动化协议(SCAP,读作“ess-cap”[1]),结合了一系列用于评估软件缺陷和安全相关问题的开放标准,用于系统测试来发现漏洞,并根据漏洞可能造成的影响提供评分标准。是意图将上述开放标准用于自动化漏洞管理、评估和条款符合检测的一套标准。SCAP定义了如下标准(SCAP协议组成)之间如何协调:
SCAP协议组成
编辑- 通用漏洞披露(Common Vulnerabilities and Exposures,CVE)
- 通用配置枚举(Common Configuration Enumeration,CCE)
- 通用平台枚举(Common Platform Enumeration,CPE)
- 通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)
- 可扩展配置清单描述格式(Extensible Configuration Checklist Description Format,XCCDF)
- 开放漏洞评估语言(Open Vulnerability and Assessment Language,OVAL)
从SCAP 1.1版开始
- 开放清单交互语言(Open Checklist Interactive Language,OCIL)2.0版
从SCAP 1.2版开始
- 资产鉴定
- 资产报告格式(Asset Reporting Forma,ARF)
- 通用配置评分系统(Common Configuration Scoring System,CCSS)
- 安全自动化数据信任模型(Trust Model for Security Automation Data,TMSAD)
从SCAP 1.3版开始
- 软件标识符(Software Identification,SWID)
SCAP检核表
编辑安全内容自动化协议检核表建立电脑安全配置以及NIST SP 800-53控制框架之间的联结,并且进行标准化。SCAP会用在NIST风险管理框架的实现、评估及监控步骤中。在NIST的联邦资讯安全管理法案(FISMA)实施计划中,SCAP是其中的一部分。
SCAP确认方案
编辑SCAP确认方案(SCAP Validation Program)是确认实施SCAP标准产品的能力。NIST的国家实验室自愿认可计划(NVLAP)有核可在此计划下的独立实验室来进行SCAP确认。
参考资料
编辑- ^ Radack, Shirley; Kuhn, Rick. Managing Security: The Security Content Automation Protocol. IT Professional. 2011-02-04, 13 (1): 9–11 [2023-04-11]. ISSN 1520-9202. S2CID 5344382. doi:10.1109/MITP.2011.11. (原始内容存档于2023-04-26).
外部链接
编辑- Security Content Automation Protocol web site (页面存档备份,存于互联网档案馆)
- National Vulnerability Database web site (页面存档备份,存于互联网档案馆)
- Mitre "Making Security Measurable" web site (页面存档备份,存于互联网档案馆)
- SCAP Search (页面存档备份,存于互联网档案馆)
- FISMA (页面存档备份,存于互联网档案馆)
- NVLAP accredited SCAP validation laboratory (页面存档备份,存于互联网档案馆)
- SCAP validated products web page (页面存档备份,存于互联网档案馆)