SCAP是：“安全軟件產(chǎn)品間互相溝通軟件缺陷以及安全配置信息時，使用的一套標準化格式和系統(tǒng)命名方法。”SCAP的目的是通過標準化方法來(1)組織，(2)表達，(3)測量安全信息，為企業(yè)提供維護系統(tǒng)安全性的自動化方法。更具體一點，NIST指南中列出了SCAP能夠維護企業(yè)系統(tǒng)安全性的三個方法，其中包括：

1、自動驗證補丁的安裝；

2、檢查系統(tǒng)安全配置；

3、檢查系統(tǒng)是否有被入侵的跡象。

SCAP開發(fā)的主要目的是為了幫助那些需要遵從美國聯(lián)邦桌面核心配置(FDCC)以及美國政府配置基準（USGCB標準，從FDCC的命令要求中演變而來）的企業(yè)。經(jīng)過SCAP驗證的掃描工具可以用來掃描受到影響的系統(tǒng)，并就這些系統(tǒng)是否遵從FDCC提供有關(guān)報告。這是一個節(jié)省時間的事物，可以幫助企業(yè)更好地準備FDCC遵從審計。

SCAP有兩個主要元素：

首先，它是一個協(xié)議。SCAP由四個開放規(guī)范組成，這些規(guī)范規(guī)定了軟件之間交流缺陷和安全配置（這些內(nèi)容都是使用通用標志符標注的，并嵌入在XML中）的標準化格式和系統(tǒng)命名方法。從本質(zhì)上講，這是一種確立某些自動化“on/off”開關(guān)檢驗的方法，以檢查服務器或者臺式電腦是否遵從某種標準。這樣做很實用，因為其輸出是一種標準化的非專用格式，可以在不同的企業(yè)中使用。每個規(guī)范又叫做一個SCAP組件。（NIST還給出了SCAPv1.0組件的更多信息。）

其次，SCAP包括軟件缺陷以及安全配置標準的參考數(shù)據(jù)，又叫做SCAP內(nèi)容。這些參考數(shù)據(jù)由NIST管理和國家安全部門（DHS）贊助的國家漏洞數(shù)據(jù)庫（NVD）提供。SCAP內(nèi)容在NVD中都可以找到。

因此，SCAP包括SCAP內(nèi)容（比如，參考數(shù)據(jù)）和SCAP組件（比如，安全規(guī)范）。為了讓它們有效地工作，SCAP的作者們把SCAP內(nèi)容和SCAP部件集成到了SCAP表述的檢查列表中，這種列表使用標準化語言描述正在討論的是什么平臺（通用平臺標識）以及哪些安全設置應該處理（通用暗渠配置標識）。人們也可以使用這些檢查列表手動設置有問題的系統(tǒng)。然而，設置的數(shù)量非常龐大，因此，自動化系統(tǒng)，比如SCAP，會更受歡迎。

國家檢查列表工程（NCP）網(wǎng)站是SCAP表述的檢查列表資源庫。該網(wǎng)站中的一個FDCCWindowsXP檢查列表網(wǎng)頁如圖1所示：

圖1：FDCCWindowsXP檢查列表

提示一下，如果你查看該網(wǎng)頁中的SupportingResources支持資源選項，你會看到“HumanReadable”（易讀）或者“prose”（普通）版的設置。當人們下載這些內(nèi)容時，該網(wǎng)頁會提供一個電子表格，其中包括政策設置和命名、CCE參考、注冊表設置，還有政策描述以及每個政策的聯(lián)邦桌面設置應該是什么（比如，Disabled（禁用）、Disabled（啟用）等等）。圖2顯示了一個這樣的電子表格。

圖2：易讀版的FDCC設置

根據(jù)檢查列表的SCAP協(xié)議自動化可操作性不同，可以分成不同的層次。我們把這些層次標記為I到IV。

層次I檢查列表主要是文字性的東西，舉個例子，敘述一個人如何手動改變產(chǎn)品配置。

層次II檢查列表試圖用專用的、機器易讀的格式列出推薦的安全設置。

層次III檢查列表使用SCAP協(xié)議，以機器可讀、標準化的SCAP格式來整理他們的推薦安全設置。

層次IV檢查列表包含層次III檢查列表的所有屬性。另外，它們能夠用于產(chǎn)品生產(chǎn)，并已通過NIST驗證，確保與其他通過SCAP驗證的產(chǎn)品具有協(xié)同工作能力。層次IV檢查列表還具有把低級安全設置映射到高級安全要求（就像FISMA的SP800-53控制框架）的能力。（注：國家漏洞數(shù)據(jù)庫中所有的FDCC檢查列表都屬于層次IV。）

值得注意的是，那些有義務遵守聯(lián)邦SCAP命令的企業(yè)，需要為他們的計算機安全自動化使用最高層次的檢查列表。此外，人們還有內(nèi)容驗證程序計劃，這些程序可以讓供應商或者其他任何人在NVD上發(fā)表自己的檢查內(nèi)容，并把這些內(nèi)容作為層次III或者層次IV檢查列表的內(nèi)容。不過，這個計劃實施的時間還未確定。#p#

企業(yè)如何利用SCAP？

根據(jù)NIST，想要利用SCAP工具的企業(yè)應該遵守下列公開建議：

使用SCAP表述的安全配置檢查列表自動改善和監(jiān)控系統(tǒng)安全。SCAP表述的檢查列表會幫助你自動產(chǎn)生評估和規(guī)則遵從證據(jù)，該列表可以從上述國家檢查列表程序網(wǎng)站上下載。然而，值得注意的是，目前的SCAP版本不能修復或者修改實際配置與檢查列表之間的任何不同，這個功能未來會在SCAP工具中出現(xiàn)，目前在某些專用應用程序中已經(jīng)出現(xiàn)。

充分利用SCAP的優(yōu)勢，驗證你的系統(tǒng)是否遵從那些源自命令、標準和指導方針的高級安全要求，比如說FDCC。這還可以幫助企業(yè)更好地為FISMA審計做準備。

使用標準化的SCAP標識、標志符和產(chǎn)品名稱，比如通用漏洞批漏（CVE）、通用安全配置標識（CCE）和通用平臺標識（CPE）等命名方法。換句話說，使用一種通用語言可以讓漏洞或者批漏描述使用相同的術(shù)語，參考相同的MITRECVE/CCE/CPE數(shù)據(jù)庫。當企業(yè)之間進行對話、企業(yè)遇到安全相關(guān)的軟件缺陷、安全配置問題和平臺時，可以更好地理解系統(tǒng)漏洞和受影響的配置。

結(jié)合通用漏洞評分系統(tǒng)（CVSS），CVE以及CPE，你可以利用SCAP進行大量重復的漏洞測試和評分。因為SCAP能夠在分析中提供某些評分，所以你可以利用這些分數(shù)來畫出并確立各種趨勢，進行比較等等。

獲得并使用通過SCAP驗證的產(chǎn)品。美國聯(lián)邦結(jié)構(gòu)和那些支持美國政府機構(gòu)的公司必須使用通過SCAP驗證的FDCC掃描器，以便進行FDCC遵從測試和評估。

值得注意的是，NIST還確立了SCAP產(chǎn)品驗證程序和一個國家志愿者實驗室鑒定程序（NVLAP）。這些程序用來確保SCAP產(chǎn)品能夠得到有效的測試和驗證，以滿足SCAP要求。NIST還建立了一個鑒定實驗室以及通過驗證的產(chǎn)品列表。圖3顯示了目前已經(jīng)通過驗證的產(chǎn)品。

圖3：已通過SCAP驗證的產(chǎn)品（示例）

開發(fā)軟件或安全檢查列表時，采用SCAP并利用它的能力，從而證明了該軟件具有評估基本軟件配置的能力，而不是依靠更加昂貴的手動檢查或者專用檢查機制。

除了上述NISTSP800-117建議，NIST計算機科學家和項目經(jīng)理KarenScarfone還編寫了一個非常好的SCAP概述，這篇文章指出了SCAP的一般用法，列舉如下：

進行安全配置驗證：你可以把SCAP表述的檢查列表與系統(tǒng)實際配置相比較。你可以在實際部署之前用這些檢查列表驗證并審計一個系統(tǒng)。而且，你用檢查列表還可以把個人系統(tǒng)設置映射到高級別的要求上，比如FDCC，等等。

檢查系統(tǒng)是否有安全入侵跡象：如果你知道攻擊的特點，你就可以檢查被更改過的文件或者檢查是否存在惡意服務軟件。比如，如果你知道攻擊更改了某個.dll文件，你可以對相關(guān)文件進行檢查，看是否有任何改動。

優(yōu)點

SCAP正在向前發(fā)展和貫徹執(zhí)行，其主要原因是來自美國管理和預算辦公室的聯(lián)邦命令。人們正在采用SCAPv1.0，而且SCAP產(chǎn)品正在NIST認可的實驗室中進行開發(fā)和測試。KarenScarfone表示，當時預計1.1版在2010年年底出現(xiàn)，而1.2版的規(guī)范已經(jīng)在進行審查。

企業(yè)使用SCAP的潛在好處是什么？這里列出了幾項：

使用SCAP，你可以增加自動化程度、減少手動努力獲得評估結(jié)果、決定所需要的整改措施，因此可以節(jié)省大量成本。

由于你使用的是SCAP規(guī)定的通用語言，因此你的結(jié)果肯定是XML編碼，那么你就可以更容易地與其他SCAP系統(tǒng)用戶進行交流。此外，安全企業(yè)之間的設置問題就可以進行比較，因為漏洞都是用同樣的規(guī)律（CVSS，CVE和CPE）描述。

使用通過SCAP驗證的產(chǎn)品，企業(yè)可以更好地為FDCC審計做準備。

SCAP內(nèi)容的一個主要好處是能夠建立和修改自己的檢查列表。你沒有義務只使用FDCC/USGCB一種內(nèi)容，除非你要遵守政府的命令。

我想我們將來會聽到更多關(guān)于SCAP的執(zhí)行情況，而且，隨著新版協(xié)議的發(fā)布，自動化安全過程也會帶來更多好處。

美國政府配置基準（USGCB）將是FDCC的繼任者，它將包含Win7以及其他的操作系統(tǒng)，比如RedHat，Solaris等等（當他們的內(nèi)容最終確定以后）。USGCB預計會融合到SCAP1.1中。 

【編輯推薦】

1. 引入SCAP標準提高系統(tǒng)配置安全
2. 思科推出Videoscape綜合平臺打造電視用戶全新體驗
3. Scapy：交互式數(shù)據(jù)包處理工具
4. 首席科學家參與下一代安全Hash算法 角逐NIST競賽