摘要：

SCAP，Security Content Automation Protocol，即安全內(nèi)容自動(dòng)化協(xié)議。是由NIST（National Institute of Standards and Technology，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）提出，而且NIST還建立了信息安全類產(chǎn)品的SCAP兼容性認(rèn)證機(jī)制。

SCAP協(xié)議：

SCAP包含了Protocol（協(xié)議）與Content（內(nèi)容），協(xié)議是指SCAP由一系列現(xiàn)有的公開(kāi)標(biāo)準(zhǔn)構(gòu)成，這些公開(kāi)標(biāo)準(zhǔn)被稱為SCAP Element（SCAP元素），Protocol規(guī)范了這些Element之間如何協(xié)同工作。Content指按照Protocol的約定，利用Element描述的生成應(yīng)用于實(shí)際檢查工作的數(shù)據(jù)。

SCAP版本1.0包含六個(gè)SCAP元素：XCCDF、OVAL、CVE、CCE、CPE、CVSS。

SCAP元素的三種類型：

1、語(yǔ)言類，用來(lái)描述評(píng)估內(nèi)容和評(píng)估方法的標(biāo)準(zhǔn)，包括了XCCDF和OVAL（1.2版SCAP添加了OCIL）。

2、枚舉類，描述對(duì)評(píng)估對(duì)象或配置項(xiàng)命名格式，并提供遵循這些命名的庫(kù)，包括了CVE、CCE、CPE；

3、度量類，提供了對(duì)評(píng)估結(jié)果進(jìn)行量化評(píng)分的度量方法，對(duì)應(yīng)的元素是CVSS（1.2版SCAP添加了CCSS）。

SCAP元素關(guān)系圖：

XCCDF元素：

XCCDF是由NSA（National Security Agency：美國(guó)國(guó)家安全局）與NIST共同開(kāi)發(fā)，是一種用來(lái)定義安全檢查單、安全基線、以及其他類似文檔的一種描述語(yǔ)言。XCCDF使用標(biāo)準(zhǔn)的XML語(yǔ)言格式按照一定的格式（Schema）對(duì)其內(nèi)容進(jìn)行描述。在SCAP中，XCCDF完成兩件工作：一是描述自動(dòng)化的配置檢查單（Checkilist），二是描述安全配置指南和安全掃描報(bào)告。一個(gè)XCCDF 文檔包含一個(gè)或多個(gè)Profile，每個(gè)Profile可以理解為一個(gè)檢查單。

OVAL元素：

OVAL由MITRE公司開(kāi)發(fā)，是一種用來(lái)定義檢查項(xiàng)、脆弱點(diǎn)等技術(shù)細(xì)節(jié)的一種描述語(yǔ)言。OVAL使用了標(biāo)準(zhǔn)的XML格式內(nèi)容?？梢杂糜诜治鯳indows、Linux等各種操作系統(tǒng)的系統(tǒng)狀態(tài)、漏洞、配置、補(bǔ)丁等情況，而且還能用于描述測(cè)試報(bào)告。OVAL的本質(zhì)是Open（公開(kāi)）。

CVE元素：

CVE（Common Vulnerabilities andExposures：通用漏洞及披露）是包含了公眾已知的信息安全漏洞的信息和披露的集合。CCE（Common Configuration Enumeration：通用配置枚舉）是用于描述計(jì)算機(jī)及設(shè)備配置的標(biāo)準(zhǔn)化語(yǔ)言。CPE（Common Platform Enumeration：通用平臺(tái)枚舉）是一種對(duì)應(yīng)用程序、操作系統(tǒng)以及硬件設(shè)備進(jìn)行描述和標(biāo)識(shí)的標(biāo)準(zhǔn)化方案。

CVSS元素：

CVSS（Common Vulnerability Scoring System：通用漏洞評(píng)分系統(tǒng)）是一個(gè)行業(yè)公開(kāi)標(biāo)準(zhǔn)，其被設(shè)計(jì)用來(lái)評(píng)測(cè)漏洞的嚴(yán)重程度，并幫助確定其緊急度和重要度。在SCAP版本1.2中，引入了另外兩個(gè)新標(biāo)準(zhǔn)：OCIL（Open Checklist Interactive Language：開(kāi)放檢查單交互語(yǔ)言）和CCSS（Common Configuration Scoring System：通用配置評(píng)分系統(tǒng)）。OCIL能夠用來(lái)處理安全檢查中需要人工交互反饋才能完成的檢查項(xiàng)，CCSS作用與CVSS類似，不過(guò)CCSS關(guān)注的是系統(tǒng)配置缺陷的嚴(yán)重程度。

SCAP內(nèi)容：

SCAP Content指的是遵照SCAP Protocol標(biāo)準(zhǔn)設(shè)計(jì)制作的用于自動(dòng)化評(píng)估的數(shù)據(jù)，其實(shí)體是一個(gè)或多個(gè)XML文件。一般來(lái)說(shuō)正式發(fā)布的SCAP Content至少包含兩個(gè)XML文件，一個(gè)是XCCDF，另一個(gè)是OVAL，這些文件能夠直接輸入到各類安全工具中執(zhí)行實(shí)際的系統(tǒng)掃描。Content中也可以包含描述其他SCAPElement的XML文件。按照SCAP Protocol標(biāo)準(zhǔn)組織的多個(gè)XML 文件也被稱為SCAP Data Stream（SCAP數(shù)據(jù)流）。

SCAP的中文社區(qū)：

地址 -> http://www.scap.org.cn/

集成了SCAP框架協(xié)議的CVE、CVSS、OVAL、CCE、CPE、CWE等6種網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)，可提供用戶使用，可以方便的查詢CVE漏洞庫(kù)、OVAL漏洞檢查語(yǔ)言、CPE平臺(tái)列表。

SCAP協(xié)議概覽 -> http://wiki.scap.org.cn/scap/overview

SCAP開(kāi)源工具介紹 -> http://www.scap.org.cn/article_home_38.html

開(kāi)放漏洞與評(píng)估語(yǔ)言（OVAL）-> http://wiki.scap.org.cn/oval/architecture

SCAP的開(kāi)源項(xiàng)目：

1、OpenSCAP由Redhat主導(dǎo)開(kāi)發(fā)，是一個(gè)整合了SCAP中各標(biāo)準(zhǔn)的開(kāi)源框架，其為SCAP的使用者提供了一套簡(jiǎn)單易用的接口。

OpenSCAP、OVALDi、jOVALDi、eSCAPe等，這些開(kāi)源項(xiàng)目都會(huì)SCAP有一整套的開(kāi)發(fā)和利用體系，其中OpenSCAP、OVALDi用于執(zhí)行基于SCAP的掃描，而eSCAPe用于SCAPContent的生成。

地址 -> https://www.open-scap.org/

2、SCAP-Workbench，基于OpenSCAP框架的SCAP應(yīng)用之一。在OpenSCAP框架上實(shí)現(xiàn)了簡(jiǎn)單易用的圖形界面，具有配置檢查、檢查單剪裁、SCAP內(nèi)容編輯和報(bào)表生成等非常實(shí)用的功能，SCAP-Workbench使用Python語(yǔ)言開(kāi)發(fā)。

SCAP-Workbench Scanner，掃描器，SCAP-Workbench EditorXCCDF編輯器，可以很方便地編輯或生成XCCDF Benchmark文件。

地址 -> https://fedorahosted.org/scap-workbench/

地址 -> https://github.com/OpenSCAP/scap-workbench/

3、OVALDi由Mitre公司（OVAL語(yǔ)言的始創(chuàng)者）提供，OVALDi根據(jù)OVAL Definition（OVAL定義）收集主機(jī)的相關(guān)信息生成OVALSC（OVAL System Characteristics:OVAL系統(tǒng)概要）文件，通過(guò)對(duì)OVAL SC文件和標(biāo)準(zhǔn)的OVAL Definition進(jìn)行對(duì)比得到檢測(cè)結(jié)果。OVALDi是跨平臺(tái)的，能夠較好的支持各種操作系統(tǒng)，而且它能夠緊跟OVAL技術(shù)的發(fā)展，但它無(wú)法解析SCAP中除OVAL以外的其他元素。

地址 -> http://sourceforge.net/projects/ovaldi/

地址 -> http://usgcb.nist.gov/

4、jOVALDi是一個(gè)Java的OVAL開(kāi)源框架，它實(shí)現(xiàn)了諸如OVAL文檔解析、執(zhí)行掃描等常用的功能。jOVALDi是在jOVAL框架的基礎(chǔ)上按照OVALDi設(shè)計(jì)模式使用純Java語(yǔ)言編寫(xiě)的跨平臺(tái)OVAL解釋器和掃描器。

地址 -> https://github.com/joval/jOVAL