安全内容自动化协议(英语:Security Content Automation ProtocolSCAP)是用于自动化漏洞管理、评估和条款符合检测的一套标准(例如,2002年的美国联邦信息安全管理法案英语Federal Information Security Management Act of 2002)。美国国家漏洞数据库英语National Vulnerability Database(NVD)就是美国政府为安全内容自动化协议制定的知识库。

目的

安全内容自动化协议(SCAP,读作“ess-cap”[1]),结合了一系列用于评估软件缺陷和安全相关问题的开放标准,用于系统测试来发现漏洞,并根据漏洞可能造成的影响提供评分标准。是意图将上述开放标准用于自动化漏洞管理、评估和条款符合检测的一套标准。SCAP定义了如下标准(SCAP协议组成)之间如何协调:

SCAP协议组成

从SCAP 1.1版开始

  • 开放清单互动语言(Open Checklist Interactive Language,OCIL)2.0版

从SCAP 1.2版开始

  • 资产鉴定
  • 资产报告格式(Asset Reporting Forma,ARF)
  • 通用配置评分系统(Common Configuration Scoring System,CCSS)
  • 安全自动化数据信任模型(Trust Model for Security Automation Data,TMSAD)

从SCAP 1.3版开始

  • 软体识别码(Software Identification,SWID)

SCAP检核表

安全内容自动化协议检核表建立电脑安全组态以及NIST SP 800-53英语NIST Special Publication 800-53控制框架之间的联结,并且进行标准化。SCAP会用在NIST风险管理框架的实现、评估及监控步骤中。在NIST的联邦信息安全管理法案英语Federal Information Security Management Act of 2002(FISMA)实施计划中,SCAP是其中的一部份。

SCAP确认方案

SCAP确认方案(SCAP Validation Program)是确认实施SCAP标准产品的能力。NIST的国家实验室自愿认可计划英语National Voluntary Laboratory Accreditation Program(NVLAP)有核可在此计划下的独立实验室来进行SCAP确认。

参考资料

外部链接

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.