SCAP是：“安全軟件產(chǎn)品間互相溝通軟件缺陷以及安全配置信息時(shí)，使用的一套標(biāo)準(zhǔn)化格式和系統(tǒng)命名方法。”SCAP的目的是通過標(biāo)準(zhǔn)化方法來(1)組織，(2)表達(dá)，(3)測(cè)量安全信息，為企業(yè)提供維護(hù)系統(tǒng)安全性的自動(dòng)化方法。更具體一點(diǎn)，NIST指南中列出了SCAP能夠維護(hù)企業(yè)系統(tǒng)安全性的三個(gè)方法，其中包括：

1、自動(dòng)驗(yàn)證補(bǔ)丁的安裝；

2、檢查系統(tǒng)安全配置；

3、檢查系統(tǒng)是否有被入侵的跡象。

SCAP開發(fā)的主要目的是為了幫助那些需要遵從美國聯(lián)邦桌面核心配置(FDCC)以及美國政府配置基準(zhǔn)（USGCB標(biāo)準(zhǔn)，從FDCC的命令要求中演變而來）的企業(yè)。經(jīng)過SCAP驗(yàn)證的掃描工具可以用來掃描受到影響的系統(tǒng)，并就這些系統(tǒng)是否遵從FDCC提供有關(guān)報(bào)告。這是一個(gè)節(jié)省時(shí)間的事物，可以幫助企業(yè)更好地準(zhǔn)備FDCC遵從審計(jì)。

SCAP有兩個(gè)主要元素：

首先，它是一個(gè)協(xié)議。SCAP由四個(gè)開放規(guī)范組成，這些規(guī)范規(guī)定了軟件之間交流缺陷和安全配置（這些內(nèi)容都是使用通用標(biāo)志符標(biāo)注的，并嵌入在XML中）的標(biāo)準(zhǔn)化格式和系統(tǒng)命名方法。從本質(zhì)上講，這是一種確立某些自動(dòng)化“on/off”開關(guān)檢驗(yàn)的方法，以檢查服務(wù)器或者臺(tái)式電腦是否遵從某種標(biāo)準(zhǔn)。這樣做很實(shí)用，因?yàn)槠漭敵鍪且环N標(biāo)準(zhǔn)化的非專用格式，可以在不同的企業(yè)中使用。每個(gè)規(guī)范又叫做一個(gè)SCAP組件。（NIST還給出了SCAPv1.0組件的更多信息。）

其次，SCAP包括軟件缺陷以及安全配置標(biāo)準(zhǔn)的參考數(shù)據(jù)，又叫做SCAP內(nèi)容。這些參考數(shù)據(jù)由NIST管理和國家安全部門（DHS）贊助的國家漏洞數(shù)據(jù)庫（NVD）提供。SCAP內(nèi)容在NVD中都可以找到。

因此，SCAP包括SCAP內(nèi)容（比如，參考數(shù)據(jù)）和SCAP組件（比如，安全規(guī)范）。為了讓它們有效地工作，SCAP的作者們把SCAP內(nèi)容和SCAP部件集成到了SCAP表述的檢查列表中，這種列表使用標(biāo)準(zhǔn)化語言描述正在討論的是什么平臺(tái)（通用平臺(tái)標(biāo)識(shí)）以及哪些安全設(shè)置應(yīng)該處理（通用暗渠配置標(biāo)識(shí)）。人們也可以使用這些檢查列表手動(dòng)設(shè)置有問題的系統(tǒng)。然而，設(shè)置的數(shù)量非常龐大，因此，自動(dòng)化系統(tǒng)，比如SCAP，會(huì)更受歡迎。

國家檢查列表工程（NCP）網(wǎng)站是SCAP表述的檢查列表資源庫。該網(wǎng)站中的一個(gè)FDCCWindowsXP檢查列表網(wǎng)頁如圖1所示：

圖1：FDCCWindowsXP檢查列表

提示一下，如果你查看該網(wǎng)頁中的SupportingResources支持資源選項(xiàng)，你會(huì)看到“HumanReadable”（易讀）或者“prose”（普通）版的設(shè)置。當(dāng)人們下載這些內(nèi)容時(shí)，該網(wǎng)頁會(huì)提供一個(gè)電子表格，其中包括政策設(shè)置和命名、CCE參考、注冊(cè)表設(shè)置，還有政策描述以及每個(gè)政策的聯(lián)邦桌面設(shè)置應(yīng)該是什么（比如，Disabled（禁用）、Disabled（啟用）等等）。圖2顯示了一個(gè)這樣的電子表格。

圖2：易讀版的FDCC設(shè)置

根據(jù)檢查列表的SCAP協(xié)議自動(dòng)化可操作性不同，可以分成不同的層次。我們把這些層次標(biāo)記為I到IV。

層次I檢查列表主要是文字性的東西，舉個(gè)例子，敘述一個(gè)人如何手動(dòng)改變產(chǎn)品配置。

層次II檢查列表試圖用專用的、機(jī)器易讀的格式列出推薦的安全設(shè)置。

層次III檢查列表使用SCAP協(xié)議，以機(jī)器可讀、標(biāo)準(zhǔn)化的SCAP格式來整理他們的推薦安全設(shè)置。

層次IV檢查列表包含層次III檢查列表的所有屬性。另外，它們能夠用于產(chǎn)品生產(chǎn)，并已通過NIST驗(yàn)證，確保與其他通過SCAP驗(yàn)證的產(chǎn)品具有協(xié)同工作能力。層次IV檢查列表還具有把低級(jí)安全設(shè)置映射到高級(jí)安全要求（就像FISMA的SP800-53控制框架）的能力。（注：國家漏洞數(shù)據(jù)庫中所有的FDCC檢查列表都屬于層次IV。）

值得注意的是，那些有義務(wù)遵守聯(lián)邦SCAP命令的企業(yè)，需要為他們的計(jì)算機(jī)安全自動(dòng)化使用最高層次的檢查列表。此外，人們還有內(nèi)容驗(yàn)證程序計(jì)劃，這些程序可以讓供應(yīng)商或者其他任何人在NVD上發(fā)表自己的檢查內(nèi)容，并把這些內(nèi)容作為層次III或者層次IV檢查列表的內(nèi)容。不過，這個(gè)計(jì)劃實(shí)施的時(shí)間還未確定。#p#

企業(yè)如何利用SCAP？

根據(jù)NIST，想要利用SCAP工具的企業(yè)應(yīng)該遵守下列公開建議：

使用SCAP表述的安全配置檢查列表自動(dòng)改善和監(jiān)控系統(tǒng)安全。SCAP表述的檢查列表會(huì)幫助你自動(dòng)產(chǎn)生評(píng)估和規(guī)則遵從證據(jù)，該列表可以從上述國家檢查列表程序網(wǎng)站上下載。然而，值得注意的是，目前的SCAP版本不能修復(fù)或者修改實(shí)際配置與檢查列表之間的任何不同，這個(gè)功能未來會(huì)在SCAP工具中出現(xiàn)，目前在某些專用應(yīng)用程序中已經(jīng)出現(xiàn)。

充分利用SCAP的優(yōu)勢(shì)，驗(yàn)證你的系統(tǒng)是否遵從那些源自命令、標(biāo)準(zhǔn)和指導(dǎo)方針的高級(jí)安全要求，比如說FDCC。這還可以幫助企業(yè)更好地為FISMA審計(jì)做準(zhǔn)備。

使用標(biāo)準(zhǔn)化的SCAP標(biāo)識(shí)、標(biāo)志符和產(chǎn)品名稱，比如通用漏洞批漏（CVE）、通用安全配置標(biāo)識(shí)（CCE）和通用平臺(tái)標(biāo)識(shí)（CPE）等命名方法。換句話說，使用一種通用語言可以讓漏洞或者批漏描述使用相同的術(shù)語，參考相同的MITRECVE/CCE/CPE數(shù)據(jù)庫。當(dāng)企業(yè)之間進(jìn)行對(duì)話、企業(yè)遇到安全相關(guān)的軟件缺陷、安全配置問題和平臺(tái)時(shí)，可以更好地理解系統(tǒng)漏洞和受影響的配置。

結(jié)合通用漏洞評(píng)分系統(tǒng)（CVSS），CVE以及CPE，你可以利用SCAP進(jìn)行大量重復(fù)的漏洞測(cè)試和評(píng)分。因?yàn)镾CAP能夠在分析中提供某些評(píng)分，所以你可以利用這些分?jǐn)?shù)來畫出并確立各種趨勢(shì)，進(jìn)行比較等等。

獲得并使用通過SCAP驗(yàn)證的產(chǎn)品。美國聯(lián)邦結(jié)構(gòu)和那些支持美國政府機(jī)構(gòu)的公司必須使用通過SCAP驗(yàn)證的FDCC掃描器，以便進(jìn)行FDCC遵從測(cè)試和評(píng)估。

值得注意的是，NIST還確立了SCAP產(chǎn)品驗(yàn)證程序和一個(gè)國家志愿者實(shí)驗(yàn)室鑒定程序（NVLAP）。這些程序用來確保SCAP產(chǎn)品能夠得到有效的測(cè)試和驗(yàn)證，以滿足SCAP要求。NIST還建立了一個(gè)鑒定實(shí)驗(yàn)室以及通過驗(yàn)證的產(chǎn)品列表。圖3顯示了目前已經(jīng)通過驗(yàn)證的產(chǎn)品。

圖3：已通過SCAP驗(yàn)證的產(chǎn)品（示例）

開發(fā)軟件或安全檢查列表時(shí)，采用SCAP并利用它的能力，從而證明了該軟件具有評(píng)估基本軟件配置的能力，而不是依靠更加昂貴的手動(dòng)檢查或者專用檢查機(jī)制。

除了上述NISTSP800-117建議，NIST計(jì)算機(jī)科學(xué)家和項(xiàng)目經(jīng)理KarenScarfone還編寫了一個(gè)非常好的SCAP概述，這篇文章指出了SCAP的一般用法，列舉如下：

進(jìn)行安全配置驗(yàn)證：你可以把SCAP表述的檢查列表與系統(tǒng)實(shí)際配置相比較。你可以在實(shí)際部署之前用這些檢查列表驗(yàn)證并審計(jì)一個(gè)系統(tǒng)。而且，你用檢查列表還可以把個(gè)人系統(tǒng)設(shè)置映射到高級(jí)別的要求上，比如FDCC，等等。

檢查系統(tǒng)是否有安全入侵跡象：如果你知道攻擊的特點(diǎn)，你就可以檢查被更改過的文件或者檢查是否存在惡意服務(wù)軟件。比如，如果你知道攻擊更改了某個(gè).dll文件，你可以對(duì)相關(guān)文件進(jìn)行檢查，看是否有任何改動(dòng)。

優(yōu)點(diǎn)

SCAP正在向前發(fā)展和貫徹執(zhí)行，其主要原因是來自美國管理和預(yù)算辦公室的聯(lián)邦命令。人們正在采用SCAPv1.0，而且SCAP產(chǎn)品正在NIST認(rèn)可的實(shí)驗(yàn)室中進(jìn)行開發(fā)和測(cè)試。KarenScarfone表示，當(dāng)時(shí)預(yù)計(jì)1.1版在2010年年底出現(xiàn)，而1.2版的規(guī)范已經(jīng)在進(jìn)行審查。

企業(yè)使用SCAP的潛在好處是什么？這里列出了幾項(xiàng)：

使用SCAP，你可以增加自動(dòng)化程度、減少手動(dòng)努力獲得評(píng)估結(jié)果、決定所需要的整改措施，因此可以節(jié)省大量成本。

由于你使用的是SCAP規(guī)定的通用語言，因此你的結(jié)果肯定是XML編碼，那么你就可以更容易地與其他SCAP系統(tǒng)用戶進(jìn)行交流。此外，安全企業(yè)之間的設(shè)置問題就可以進(jìn)行比較，因?yàn)槁┒炊际怯猛瑯拥囊?guī)律（CVSS，CVE和CPE）描述。

使用通過SCAP驗(yàn)證的產(chǎn)品，企業(yè)可以更好地為FDCC審計(jì)做準(zhǔn)備。

SCAP內(nèi)容的一個(gè)主要好處是能夠建立和修改自己的檢查列表。你沒有義務(wù)只使用FDCC/USGCB一種內(nèi)容，除非你要遵守政府的命令。

我想我們將來會(huì)聽到更多關(guān)于SCAP的執(zhí)行情況，而且，隨著新版協(xié)議的發(fā)布，自動(dòng)化安全過程也會(huì)帶來更多好處。

美國政府配置基準(zhǔn)（USGCB）將是FDCC的繼任者，它將包含Win7以及其他的操作系統(tǒng)，比如RedHat，Solaris等等（當(dāng)他們的內(nèi)容最終確定以后）。USGCB預(yù)計(jì)會(huì)融合到SCAP1.1中。 

【編輯推薦】

1. 引入SCAP標(biāo)準(zhǔn)提高系統(tǒng)配置安全
2. 思科推出Videoscape綜合平臺(tái)打造電視用戶全新體驗(yàn)
3. Scapy：交互式數(shù)據(jù)包處理工具
4. 首席科學(xué)家參與下一代安全Hash算法 角逐NIST競(jìng)賽