SCAP是:“安全软件产品间互相沟通软件缺陷以及安全配置信息时,使用的一套标准化格式和系统命名方法。”SCAP的目的是通过标准化方法来(1)组织,(2)表达,(3)测量安全信息,为企业提供维护系统安全性的自动化方法。更具体一点,NIST指南中列出了SCAP能够维护企业系统安全性的三个方法,其中包括:
1、自动验证补丁的安装;
2、检查系统安全配置;
3、检查系统是否有被入侵的迹象。
SCAP开发的主要目的是为了帮助那些需要遵从美国联邦桌面核心配置(FDCC)以及美国政府配置基准(USGCB标准,从FDCC的命令要求中演变而来)的企业。经过SCAP验证的扫描工具可以用来扫描受到影响的系统,并就这些系统是否遵从FDCC提供有关报告。这是一个节省时间的事物,可以帮助企业更好地准备FDCC遵从审计。
SCAP有两个主要元素:
首先,它是一个协议。SCAP由四个开放规范组成,这些规范规定了软件之间交流缺陷和安全配置(这些内容都是使用通用标志符标注的,并嵌入在XML中)的标准化格式和系统命名方法。从本质上讲,这是一种确立某些自动化“on/off”开关检验的方法,以检查服务器或者台式电脑是否遵从某种标准。这样做很实用,因为其输出是一种标准化的非专用格式,可以在不同的企业中使用。每个规范又叫做一个SCAP组件。(NIST还给出了SCAPv1.0组件的更多信息。)
其次,SCAP包括软件缺陷以及安全配置标准的参考数据,又叫做SCAP内容。这些参考数据由NIST管理和国家安全部门(DHS)赞助的国家漏洞数据库(NVD)提供。SCAP内容在NVD中都可以找到。
因此,SCAP包括SCAP内容(比如,参考数据)和SCAP组件(比如,安全规范)。为了让它们有效地工作,SCAP的作者们把SCAP内容和SCAP部件集成到了SCAP表述的检查列表中,这种列表使用标准化语言描述正在讨论的是什么平台(通用平台标识)以及哪些安全设置应该处理(通用暗渠配置标识)。人们也可以使用这些检查列表手动设置有问题的系统。然而,设置的数量非常庞大,因此,自动化系统,比如SCAP,会更受欢迎。
国家检查列表工程(NCP)网站是SCAP表述的检查列表资源库。该网站中的一个FDCCWindowsXP检查列表网页如图1所示:
图1:FDCCWindowsXP检查列表
提示一下,如果你查看该网页中的SupportingResources支持资源选项,你会看到“HumanReadable”(易读)或者“prose”(普通)版的设置。当人们下载这些内容时,该网页会提供一个电子表格,其中包括政策设置和命名、CCE参考、注册表设置,还有政策描述以及每个政策的联邦桌面设置应该是什么(比如,Disabled(禁用)、Disabled(启用)等等)。图2显示了一个这样的电子表格。
图2:易读版的FDCC设置
根据检查列表的SCAP协议自动化可操作性不同,可以分成不同的层次。我们把这些层次标记为I到IV。
层次I检查列表主要是文字性的东西,举个例子,叙述一个人如何手动改变产品配置。
层次II检查列表试图用专用的、机器易读的格式列出推荐的安全设置。
层次III检查列表使用SCAP协议,以机器可读、标准化的SCAP格式来整理他们的推荐安全设置。
层次IV检查列表包含层次III检查列表的所有属性。另外,它们能够用于产品生产,并已通过NIST验证,确保与其他通过SCAP验证的产品具有协同工作能力。层次IV检查列表还具有把低级安全设置映射到高级安全要求(就像FISMA的SP800-53控制框架)的能力。(注:国家漏洞数据库中所有的FDCC检查列表都属于层次IV。)
值得注意的是,那些有义务遵守联邦SCAP命令的企业,需要为他们的计算机安全自动化使用最高层次的检查列表。此外,人们还有内容验证程序计划,这些程序可以让供应商或者其他任何人在NVD上发表自己的检查内容,并把这些内容作为层次III或者层次IV检查列表的内容。不过,这个计划实施的时间还未确定。#p#
企业如何利用SCAP?
根据NIST,想要利用SCAP工具的企业应该遵守下列公开建议:
使用SCAP表述的安全配置检查列表自动改善和监控系统安全。SCAP表述的检查列表会帮助你自动产生评估和规则遵从证据,该列表可以从上述国家检查列表程序网站上下载。然而,值得注意的是,目前的SCAP版本不能修复或者修改实际配置与检查列表之间的任何不同,这个功能未来会在SCAP工具中出现,目前在某些专用应用程序中已经出现。
充分利用SCAP的优势,验证你的系统是否遵从那些源自命令、标准和指导方针的高级安全要求,比如说FDCC。这还可以帮助企业更好地为FISMA审计做准备。
使用标准化的SCAP标识、标志符和产品名称,比如通用漏洞批漏(CVE)、通用安全配置标识(CCE)和通用平台标识(CPE)等命名方法。换句话说,使用一种通用语言可以让漏洞或者批漏描述使用相同的术语,参考相同的MITRECVE/CCE/CPE数据库。当企业之间进行对话、企业遇到安全相关的软件缺陷、安全配置问题和平台时,可以更好地理解系统漏洞和受影响的配置。
结合通用漏洞评分系统(CVSS),CVE以及CPE,你可以利用SCAP进行大量重复的漏洞测试和评分。因为SCAP能够在分析中提供某些评分,所以你可以利用这些分数来画出并确立各种趋势,进行比较等等。
获得并使用通过SCAP验证的产品。美国联邦结构和那些支持美国政府机构的公司必须使用通过SCAP验证的FDCC扫描器,以便进行FDCC遵从测试和评估。
值得注意的是,NIST还确立了SCAP产品验证程序和一个国家志愿者实验室鉴定程序(NVLAP)。这些程序用来确保SCAP产品能够得到有效的测试和验证,以满足SCAP要求。NIST还建立了一个鉴定实验室以及通过验证的产品列表。图3显示了目前已经通过验证的产品。
图3:已通过SCAP验证的产品(示例)
开发软件或安全检查列表时,采用SCAP并利用它的能力,从而证明了该软件具有评估基本软件配置的能力,而不是依靠更加昂贵的手动检查或者专用检查机制。
除了上述NISTSP800-117建议,NIST计算机科学家和项目经理KarenScarfone还编写了一个非常好的SCAP概述,这篇文章指出了SCAP的一般用法,列举如下:
进行安全配置验证:你可以把SCAP表述的检查列表与系统实际配置相比较。你可以在实际部署之前用这些检查列表验证并审计一个系统。而且,你用检查列表还可以把个人系统设置映射到高级别的要求上,比如FDCC,等等。
检查系统是否有安全入侵迹象:如果你知道攻击的特点,你就可以检查被更改过的文件或者检查是否存在恶意服务软件。比如,如果你知道攻击更改了某个.dll文件,你可以对相关文件进行检查,看是否有任何改动。
优点
SCAP正在向前发展和贯彻执行,其主要原因是来自美国管理和预算办公室的联邦命令。人们正在采用SCAPv1.0,而且SCAP产品正在NIST认可的实验室中进行开发和测试。KarenScarfone表示,当时预计1.1版在2010年年底出现,而1.2版的规范已经在进行审查。
企业使用SCAP的潜在好处是什么?这里列出了几项:
使用SCAP,你可以增加自动化程度、减少手动努力获得评估结果、决定所需要的整改措施,因此可以节省大量成本。
由于你使用的是SCAP规定的通用语言,因此你的结果肯定是XML编码,那么你就可以更容易地与其他SCAP系统用户进行交流。此外,安全企业之间的设置问题就可以进行比较,因为漏洞都是用同样的规律(CVSS,CVE和CPE)描述。
使用通过SCAP验证的产品,企业可以更好地为FDCC审计做准备。
SCAP内容的一个主要好处是能够建立和修改自己的检查列表。你没有义务只使用FDCC/USGCB一种内容,除非你要遵守政府的命令。
我想我们将来会听到更多关于SCAP的执行情况,而且,随着新版协议的发布,自动化安全过程也会带来更多好处。
美国政府配置基准(USGCB)将是FDCC的继任者,它将包含Win7以及其他的操作系统,比如RedHat,Solaris等等(当他们的内容最终确定以后)。USGCB预计会融合到SCAP1.1中。
【编辑推荐】