【网络安全常用术语解读】SCAP详解

本文主要介绍什么是SCAP,SCAP的产生背景是怎样的,SCAP有什么用途,有哪些组件,各个组件的用途是什么?

SCAP产生背景

由于计算机和网络技术的快速发展,越来越多的软件和系统被应用到企业和机构中,这些软件和系统的安全问题也日益凸显。传统的安全措施,如防火墙、入侵检测等,已经无法满足新的安全需求。因此,需要一种新的方法来管理和验证软件和系统的安全性,SCAP应运而生。SCAP通过建立安全配置标准库,对资产进行统一管理,并提供自动化的验证工具,帮助组织识别、评估和管理其计算机资产(特别是软件和系统)中的安全风险。总的来说,SCAP的产生背景主要源于以下几点:

  • 大量及复杂多样的系统需要保护:一般组织或企业都会安装多种操作系统及上千种应用软件,相同的软件在不同的主机上保护机制各不相同,主机本身的安全配置也有差异,每个系统上需要什么样的安全策略,如何快速、正确一致地实现这些策略要求,则更为复杂,SCAP的出现解决了此难题。
  • 快速响应新的威胁:当前 NVD中已经披露的漏洞已经多达20W+个,SCAP的出现可以解决漏洞检测问题;
  • 安全工具缺乏互操作性:不同安全工具采用了私有的格式、漏洞及组件命名方法,会导致漏洞的检测和评估不具共享性,难以得到及时有效的修复。

简介

SCAP(Security Content Automation Protocol)是一种安全自动化协议,是由NIST建立的一套规范,主要用于处理网络安全漏洞和安全信息。它提供了一种标准的方法来描述、交换和管理网络安全数据,以便自动检测、响应和缓解网络安全威胁。

SCAP的主要目标是提高网络安全自动化程度,促进安全社区、企业和政府机构之间的协作,以便更有效地识别、应对和预防网络安全威胁。在实际应用中,SCAP规范被广泛应用于安全扫描工具、漏洞管理系统和自动化安全报告等领域。

SCAP组件及定义

SCAP最新版本为1.3(2018年发布,点击获取), 主要包括以下12个组件:

组件描述维护组织地址
CCE(Common Configuration Enumeration)通用配置枚举定义了安全相关的系统配置项的标准标识符与目录,以便于在多个信息源和工具之间快速准确地关联配置数据。MITREhttps://nvd.nist.gov/config/cce/index
CPE(Common Platform Enumeration)通用平台枚举定义了平台及版本的标准名称与目录MITREhttp://scap.nist.gov/schema/cpe/2.3/cpe-naming_2.3.xsd
CVE(Common Vulnerabilities and Exposures通用漏洞与披露定义了与软件缺陷相关的标准标识符与目录MITREhttp://cve.mitre.org/
CVSS(Common Vulnerability Scoring System)通用漏洞评分系统一种对软件缺陷特征进行分类并根据这些特征分配严重性分数的方法FIRSThttps://www.first.org/cvss/specification-document
OCIL(Open Checklist Interactive Language)OCIL是一种用于表示从人员或其他数据收集工作所做的现有数据存储中收集信息的检查的语言https://scap.nist.gov/schema/ocil/2.0/ocil-2.0.xsd
SWID(Software Identification)用于表示软件标识符和相关元数据的格式ISOhttp://standards.iso.org/iso/19770/-2/2015/schema.xsd
XCCDF(Extensible Configuration Checklist Description Format)扩展配置检测列表描述格式定义了检查列表与检查报告XML描述格式NSA、NISThttps://scap.nist.gov/schema/xccdf/1.2/xccdf_1.2.xsd
OVAL(Open Vulnerability and Assessment Language)开放脆弱性评估描述语言定义了用于检查列表的低级测试过程MITREhttps://github.com/OVALProject/Language/tree/5.11.2/schemas
CCSS (Common Configuration Scoring System)用于测量系统安全配置问题的相对严重性的系统
AI(Asset Identification)用于基于已知标识符和/或关于资产的已知信息唯一地识别资产的格式NISThttps://scap.nist.gov/schema/asset-identification/1.1/asset-identification_1.1.0.xsd
ARF (Asset Reporting Format )一种表示资产信息传输格式以及资产与报告之间关系的格式NISThttps://scap.nist.gov/schema/asset-reporting-format/1.1/asset-reporting-format_1.1.0.xsd
TMSAD (Trust Model for Security Automation Data )在通用信任模型中使用数字签名的规范,适用于其他安全自动化规范NISThttps://scap.nist.gov/schema/tmsad/1.0/tmsad_1.0.xsd

Note:一句话总结, 检查列表用XCCDF来描述评估什么, 用OVAL在目标系统做相应的测试, 用CPE标识检查列表是有效的以及运行测试的平台, 用CCE标识在检查列表中被访问或被评估的安全配置设置,用CVE参考已知的脆弱性, CVSS用于分级这些脆弱性 。

已经支持SCAP的安全工具

1、OpenSCAP
在这里插入图片描述
2、McAfee
在这里插入图片描述

3、Tenable
在这里插入图片描述
4、Qualys
在这里插入图片描述

  • 想了解更多关于CVSS的信息,可参阅【网络安全常用术语解读】CVSS详解
  • 想了解更多关于CVSS的信息,可参阅【网络安全常用术语解读】CWE详解
  • 想了解更多关于CVSS的信息,可参阅【网络安全常用术语解读】CPE详解
  • 想了解更多关于CVSS的信息,可参阅【网络安全常用术语解读】CVE详解

参考

[1] https://csrc.nist.gov/Projects/scap-validation-program/validated-products-and-modules
[2] https://www.open-scap.org/features/scap-components/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/309858.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

slf4j+logback源码加载流程解析

Logger log LoggerFactory.getLogger(LogbackDemo.class);如上述代码所示,在项目中通常会这样创建一个Logger对象去打印日志。 然后点进去,会走到LoggerFactory的getILoggerFactory方法,如下代码所示。 public static ILoggerFactory getILo…

java go c++ 开源全文搜索引擎

Apache Lucene Java 全文搜索框架 许可证:Apache-2.0 开发语言:Java 官网:https://lucene.apache.org/ Apache Lucene 是完全用 Java 编写的高性能、功能齐全的全文检索引擎架构,提供了完整的查询引擎和索引引擎、部分文本分析引…

Java项目:101SpringBoot仓库管理系统

博主主页:Java旅途 简介:分享计算机知识、学习路线、系统源码及教程 文末获取源码 一、项目介绍 仓库管理系统基于SpringBootMybatis开发,系统使用shiro框架做权限安全控制,超级管理员登录系统后可根据自己的实际需求配角色&…

iptables 防火墙(二)

目录 1. SNAT 策略及应用 1.1 SNAT策略概述 1. 只开启路由转发,未设置地址转换的情况 2. 开启路由转发,并设置SNAT转换的情况 1.2 SNAT策略的应用 1. 2.1 共享固定IP上网 (1)打开网关的路由转发 (2)…

WPF 消息日志打印帮助类:HandyControl+NLog+彩色控制台打印+全局异常捕捉

文章目录 前言相关文章Nlog配置HandyControl配置简单使用显示效果文本内容 全局异常捕捉异常代码运行结果 前言 我将简单的HandyControl的消息打印系统和Nlog搭配使用,简化我们的代码书写 相关文章 .NET 控制台NLog 使用 WPF-UI HandyControl 控件简单实战 C#更改…

【动态规划精选题目】3、简单多状态模型

此动态规划系列主要讲解大约10个系列【后续持续更新】 本篇讲解简单多状态模型中的9道经典题,会在讲解题目同时给出AC代码 目录 1、按摩师 2、力扣198:打家劫舍1 3、打家劫舍II 4、删除并获得点数 5、 粉刷房子 6、力扣309:买卖股票的最佳时机含冷冻期 7、 买…

如何确定微服务项目中Spring Boot、Spring Cloud、Spring Cloud Alibaba三者之间的版本

文章目录 1. 版本说明2. 版本依赖关系(推荐使用)3. 用脚手架快速生成微服务的pom.xml 本文描述如何确定微服务项目的Spring Boot、Spring Cloud、Spring Cloud Alibaba的版本。 1. 版本说明 我们知道Spring Boot、Spring Cloud、Spring Cloud Alibaba的版本选择一致性非常重要…

【华为数据之道学习笔记】7-5通过感知能力推进企业业务数字化

感知数据在华为信息架构中的位置 感知可以应用于广泛的物理世界和数字世界,感知范围可以从人、物、作业、地点扩展到复杂环境。成熟的用例倾向于以物和人为中心。而在企业中,只有将感知数据纳入整体的数据体系中,才能发挥感知数据的价值。 华…

代码随想录-刷题第四十二天

0-1背包理论基础 0-1背包问题介绍 0-1背包问题:有n件物品和一个最多能背重量为w 的背包。第i件物品的重量是weight[i],得到的价值是value[i] 。每件物品只能用一次,求解将哪些物品装入背包里物品价值总和最大。 0-1背包问题可以使用回溯法进…

Java关键字(1)

Java中的关键字是指被编程语言保留用于特定用途的单词。这些关键字不能用作变量名或标识符。以下是Java中的一些关键字: public:表示公共的,可以被任何类访问。 private:表示私有的,只能被定义该关键字的类访问。 cl…

【STM32】STM32学习笔记-定时器定时中断 定时器外部时钟(14)

00. 目录 文章目录 00. 目录01. 定时器中断相关API1.1 TIM_InternalClockConfig1.2 TIM_TimeBaseInit1.3 TIM_TimeBaseInitTypeDef1.4 TIM_ClearFlag1.5 TIM_ITConfig1.6 TIM_Cmd1.7 中断服务函数1.8 TIM_ETRClockMode2Config 02. 定时器定时中断接线图03. 定时器定时中断示例0…

智能对话意图分析服务接口

机器人聊天,智能助手,内容生成,智能办公,智能辅助,智能搜索 一、接口介绍 通过接收用户提出的问题、输入的图片和文档等需求,准确识别其对话意图,并触发相应的回复。同时,整合了AP…