SCAP是：“安全軟件產品間互相溝通軟件缺陷以及安全配置信息時，使用的一套標準化格式和系統命名方法。”SCAP的目的是通過標準化方法來(1)組織，(2)表達，(3)測量安全信息，為企業提供維護系統安全性的自動化方法。更具體一點，NIST指南中列出了SCAP能夠維護企業系統安全性的三個方法，其中包括：

1、自動驗證補丁的安裝；

2、檢查系統安全配置；

3、檢查系統是否有被入侵的跡象。

SCAP開發的主要目的是為了幫助那些需要遵從美國聯邦桌面核心配置(FDCC)以及美國政府配置基準（USGCB標準，從FDCC的命令要求中演變而來）的企業。經過SCAP驗證的掃描工具可以用來掃描受到影響的系統，并就這些系統是否遵從FDCC提供有關報告。這是一個節省時間的事物，可以幫助企業更好地準備FDCC遵從審計。

SCAP有兩個主要元素：

首先，它是一個協議。SCAP由四個開放規范組成，這些規范規定了軟件之間交流缺陷和安全配置（這些內容都是使用通用標志符標注的，并嵌入在XML中）的標準化格式和系統命名方法。從本質上講，這是一種確立某些自動化“on/off”開關檢驗的方法，以檢查服務器或者臺式電腦是否遵從某種標準。這樣做很實用，因為其輸出是一種標準化的非專用格式，可以在不同的企業中使用。每個規范又叫做一個SCAP組件。（NIST還給出了SCAPv1.0組件的更多信息。）

其次，SCAP包括軟件缺陷以及安全配置標準的參考數據，又叫做SCAP內容。這些參考數據由NIST管理和國家安全部門（DHS）贊助的國家漏洞數據庫（NVD）提供。SCAP內容在NVD中都可以找到。

因此，SCAP包括SCAP內容（比如，參考數據）和SCAP組件（比如，安全規范）。為了讓它們有效地工作，SCAP的作者們把SCAP內容和SCAP部件集成到了SCAP表述的檢查列表中，這種列表使用標準化語言描述正在討論的是什么平臺（通用平臺標識）以及哪些安全設置應該處理（通用暗渠配置標識）。人們也可以使用這些檢查列表手動設置有問題的系統。然而，設置的數量非常龐大，因此，自動化系統，比如SCAP，會更受歡迎。

國家檢查列表工程（NCP）網站是SCAP表述的檢查列表資源庫。該網站中的一個FDCCWindowsXP檢查列表網頁如圖1所示：

圖1：FDCCWindowsXP檢查列表

提示一下，如果你查看該網頁中的SupportingResources支持資源選項，你會看到“HumanReadable”（易讀）或者“prose”（普通）版的設置。當人們下載這些內容時，該網頁會提供一個電子表格，其中包括政策設置和命名、CCE參考、注冊表設置，還有政策描述以及每個政策的聯邦桌面設置應該是什么（比如，Disabled（禁用）、Disabled（啟用）等等）。圖2顯示了一個這樣的電子表格。

圖2：易讀版的FDCC設置

根據檢查列表的SCAP協議自動化可操作性不同，可以分成不同的層次。我們把這些層次標記為I到IV。

層次I檢查列表主要是文字性的東西，舉個例子，敘述一個人如何手動改變產品配置。

層次II檢查列表試圖用專用的、機器易讀的格式列出推薦的安全設置。

層次III檢查列表使用SCAP協議，以機器可讀、標準化的SCAP格式來整理他們的推薦安全設置。

層次IV檢查列表包含層次III檢查列表的所有屬性。另外，它們能夠用于產品生產，并已通過NIST驗證，確保與其他通過SCAP驗證的產品具有協同工作能力。層次IV檢查列表還具有把低級安全設置映射到高級安全要求（就像FISMA的SP800-53控制框架）的能力。（注：國家漏洞數據庫中所有的FDCC檢查列表都屬于層次IV。）

值得注意的是，那些有義務遵守聯邦SCAP命令的企業，需要為他們的計算機安全自動化使用最高層次的檢查列表。此外，人們還有內容驗證程序計劃，這些程序可以讓供應商或者其他任何人在NVD上發表自己的檢查內容，并把這些內容作為層次III或者層次IV檢查列表的內容。不過，這個計劃實施的時間還未確定。#p#

企業如何利用SCAP？

根據NIST，想要利用SCAP工具的企業應該遵守下列公開建議：

使用SCAP表述的安全配置檢查列表自動改善和監控系統安全。SCAP表述的檢查列表會幫助你自動產生評估和規則遵從證據，該列表可以從上述國家檢查列表程序網站上下載。然而，值得注意的是，目前的SCAP版本不能修復或者修改實際配置與檢查列表之間的任何不同，這個功能未來會在SCAP工具中出現，目前在某些專用應用程序中已經出現。

充分利用SCAP的優勢，驗證你的系統是否遵從那些源自命令、標準和指導方針的高級安全要求，比如說FDCC。這還可以幫助企業更好地為FISMA審計做準備。

使用標準化的SCAP標識、標志符和產品名稱，比如通用漏洞批漏（CVE）、通用安全配置標識（CCE）和通用平臺標識（CPE）等命名方法。換句話說，使用一種通用語言可以讓漏洞或者批漏描述使用相同的術語，參考相同的MITRECVE/CCE/CPE數據庫。當企業之間進行對話、企業遇到安全相關的軟件缺陷、安全配置問題和平臺時，可以更好地理解系統漏洞和受影響的配置。

結合通用漏洞評分系統（CVSS），CVE以及CPE，你可以利用SCAP進行大量重復的漏洞測試和評分。因為SCAP能夠在分析中提供某些評分，所以你可以利用這些分數來畫出并確立各種趨勢，進行比較等等。

獲得并使用通過SCAP驗證的產品。美國聯邦結構和那些支持美國政府機構的公司必須使用通過SCAP驗證的FDCC掃描器，以便進行FDCC遵從測試和評估。

值得注意的是，NIST還確立了SCAP產品驗證程序和一個國家志愿者實驗室鑒定程序（NVLAP）。這些程序用來確保SCAP產品能夠得到有效的測試和驗證，以滿足SCAP要求。NIST還建立了一個鑒定實驗室以及通過驗證的產品列表。圖3顯示了目前已經通過驗證的產品。

圖3：已通過SCAP驗證的產品（示例）

開發軟件或安全檢查列表時，采用SCAP并利用它的能力，從而證明了該軟件具有評估基本軟件配置的能力，而不是依靠更加昂貴的手動檢查或者專用檢查機制。

除了上述NISTSP800-117建議，NIST計算機科學家和項目經理KarenScarfone還編寫了一個非常好的SCAP概述，這篇文章指出了SCAP的一般用法，列舉如下：

進行安全配置驗證：你可以把SCAP表述的檢查列表與系統實際配置相比較。你可以在實際部署之前用這些檢查列表驗證并審計一個系統。而且，你用檢查列表還可以把個人系統設置映射到高級別的要求上，比如FDCC，等等。

檢查系統是否有安全入侵跡象：如果你知道攻擊的特點，你就可以檢查被更改過的文件或者檢查是否存在惡意服務軟件。比如，如果你知道攻擊更改了某個.dll文件，你可以對相關文件進行檢查，看是否有任何改動。

優點

SCAP正在向前發展和貫徹執行，其主要原因是來自美國管理和預算辦公室的聯邦命令。人們正在采用SCAPv1.0，而且SCAP產品正在NIST認可的實驗室中進行開發和測試。KarenScarfone表示，當時預計1.1版在2010年年底出現，而1.2版的規范已經在進行審查。

企業使用SCAP的潛在好處是什么？這里列出了幾項：

使用SCAP，你可以增加自動化程度、減少手動努力獲得評估結果、決定所需要的整改措施，因此可以節省大量成本。

由于你使用的是SCAP規定的通用語言，因此你的結果肯定是XML編碼，那么你就可以更容易地與其他SCAP系統用戶進行交流。此外，安全企業之間的設置問題就可以進行比較，因為漏洞都是用同樣的規律（CVSS，CVE和CPE）描述。

使用通過SCAP驗證的產品，企業可以更好地為FDCC審計做準備。

SCAP內容的一個主要好處是能夠建立和修改自己的檢查列表。你沒有義務只使用FDCC/USGCB一種內容，除非你要遵守政府的命令。

我想我們將來會聽到更多關于SCAP的執行情況，而且，隨著新版協議的發布，自動化安全過程也會帶來更多好處。

美國政府配置基準（USGCB）將是FDCC的繼任者，它將包含Win7以及其他的操作系統，比如RedHat，Solaris等等（當他們的內容最終確定以后）。USGCB預計會融合到SCAP1.1中。 

【編輯推薦】

1. 引入SCAP標準提高系統配置安全
2. 思科推出Videoscape綜合平臺打造電視用戶全新體驗
3. Scapy：交互式數據包處理工具
4. 首席科學家參與下一代安全Hash算法 角逐NIST競賽