安全内容自动化协议

安全内容自动化协议英語:SCAP)是用于自动化漏洞管理、评估和条款符合检测的一套标准(例如,2002年的美国联邦信息安全管理法案)。美国国家漏洞数据库(NVD)就是美国政府为安全内容自动化协议制定的知识库。

目的

安全内容自动化协议(SCAP,读作“ess-cap”[1]),结合了一系列用于评估软件缺陷和安全相关问题的开放标准,用于系统测试来发现漏洞,并根据漏洞可能造成的影响提供评分标准。是意图将上述开放标准用于自动化漏洞管理、评估和条款符合检测的一套标准。SCAP定义了如下标准(SCAP协议组成)之间如何协调:

SCAP协议组成

  • 通用漏洞披露(Common Vulnerabilities and Exposures,CVE)
  • 通用配置枚舉(Common Configuration Enumeration,CCE)
  • 通用平台枚舉(Common Platform Enumeration,CPE)
  • 通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)
  • 可擴展配置清單描述格式(Extensible Configuration Checklist Description Format,XCCDF)
  • 开放漏洞评估语言(Open Vulnerability and Assessment Language,OVAL)

从SCAP 1.1版开始

  • 開放清單互動語言(Open Checklist Interactive Language,OCIL)2.0版

从SCAP 1.2版开始

  • 资产鉴定
  • 资产报告格式(Asset Reporting Forma,ARF)
  • 通用配置评分系统(Common Configuration Scoring System,CCSS)
  • 安全自动化数据信任模型(Trust Model for Security Automation Data,TMSAD)

从SCAP 1.3版开始

  • 軟體識別碼(Software Identification,SWID)

SCAP檢核表

安全内容自动化协议檢核表建立電腦安全組態以及NIST SP 800-53控制框架之間的聯結,並且進行標準化。SCAP會用在NIST風險管理框架的實現、評估及監控步驟中。在NIST的联邦信息安全管理法案(FISMA)實施計劃中,SCAP是其中的一部份。

SCAP確認方案

SCAP確認方案(SCAP Validation Program)是確認實施SCAP標準產品的能力。NIST的國家實驗室自願認可計劃(NVLAP)有核可在此計劃下的獨立實驗室來進行SCAP確認。

參考資料

  1. Radack, Shirley; Kuhn, Rick. . IT Professional. 2011-02-04, 13 (1): 9–11 [2023-04-11]. ISSN 1520-9202. S2CID 5344382. doi:10.1109/MITP.2011.11. (原始内容存档于2023-04-26).

外部連結

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.