NIST的安全內容自動化協議(SCAP)以及SCAP中文社群簡介

evancss發表於2013-04-12
協議

注:本文為原創,作者為@evan-css@清華諸葛建偉,歡迎您轉載但請保留作者資訊。

什麼是安全內容自動化協議(SCAP)

  SCAP(Security Content Automation Protocol:安全內容自動化協議)由NIST(National Institute of Standards and Technology:美國國家標準與技術研究院)提出,NIST期望利用SCAP解決三個棘手的問題:一是實現高層政策法規(如FISMA,ISO27000系列)等到底層實施的落地,二是將資訊保安所涉及的各個要素標準化(如統一漏洞的命名及嚴重性度量),三是將複雜的系統配置核查工作自動化。SCAP是當前美國比較成熟的一套資訊保安評估標準體系,其標準化、自動化的思想對資訊保安行業產生了深遠的影響。
  NIST將SCAP 分為兩個方面進行解釋:Protocol(協議)與Content(內容)。Protocol是指SCAP由一系列現有的公開標準構成,這些公開標準被稱為SCAP Element(SCAP元素)。Protocol規範了這些Element之間如何協同工作,Content指按照Protocol的約定,利用Element描述生成的應用於實際檢查工作的資料。例如,FDCC(Federal Desktop Core Configuration:聯邦桌面核心配置)、USGCB(United States Government Configuration Baseline:美國政府配置基線)等官方的檢查單資料格式均為SCAP Content。

SCAP Element(SCAP元素)

  SCAP版本1.0包含以下六個SCAP元素:XCCDF、OVAL、CVE、CCE、CPE、CVSS。這些標準在SCAP產生之前都已經存在,並在各自的領域發揮著重要作用。其中一些標準我們可能之前有所瞭解,如CVE、CVSS。當SCAP將它們整合後,其整體標準化的優勢變得十分明顯。SCAP為安全工具實現標準化提供瞭解決方案:標準的輸入資料格式、標準的處理方法和標準的輸出資料格式,這非常有利於安全工具之間實現資料交換。

        SCAP Element可以分為以下三種型別:語言類,用來描述評估內容和評估方法的標準,包括了XCCDF和OVAL(1.2版SCAP新增了OCIL);列舉類,描述對評估物件或配置項命名格式,並提供遵循這些命名的庫,包括了CVE、CCE、CPE;度量類,提供了對評估結果進行量化評分的度量方法,對應的元素是CVSS(1.2版SCAP新增了CCSS)。

XCCDF與OVAL

  XCCDF 是由NSA(National Security Agency:美國國家安全域性)與NIST共同開發,是一種用來定義安全檢查單、安全基線、以及其他類似文件的一種描述語言。XCCDF使用標準的XML語言格式按照一定的格式(Schema)對其內容進行描述。在SCAP中,XCCDF完成兩件工作:一是描述自動化的配置檢查單(Checkilist),二是描述安全配置指南和安全掃描報告。一個XCCDF 文件包含一個或多個Profile,每個Profile可以理解為一個檢查單。
  使用XCCDF無疑有許多好處,通過標準化能夠讓工具間的資料交換變得更加容易,能夠很方便地根據目標系統的不同情況對檢查項進行裁剪,而且無論是檢查單還是檢查結果能夠很容易地轉換成機器或人工能夠讀取的格式。
  OVAL由MITRE公司開發,是一種用來定義檢查項、脆弱點等技術細節的一種描述語言。OVAL同樣使用標準的XML格式來組織其內容。OVAL語言提供了足夠的靈活性,可以用於分析Windows、Linux等各種作業系統的系統狀態、漏洞、配置、補丁等情況,而且還能用於描述測試報告。OVAL使用簡潔的XML格式清晰地對與安全相關的系統檢查點作出描述,並且這種描述是機器可讀的,能夠直接應用到自動化的安全掃描中。OVAL的本質是Open(公開),這就意味著任何人都可以為OVAL的發展作出自己的貢獻,共享知識和經驗,避免重複勞動。
  XCCDF設計的目標是能夠支援與多種基礎配置檢查技術互動。其中推薦的、預設的檢查技術是MITRE公司的OVAL。在實際的SCAP應用中,XCCDF和OVAL往往是成對出現。

其他SCAP元素

  CVE(Common Vulnerabilities and Exposures:通用漏洞及披露)是包含了公眾已知的資訊保安漏洞的資訊和披露的集合。CCE(Common Configuration Enumeration:通用配置列舉)是用於描述計算機及裝置配置的標準化語言。CPE(Common Platform Enumeration:通用平臺列舉)是一種對應用程式、作業系統以及硬體裝置進行描述和標識的標準化方案。
  CVSS(Common Vulnerability Scoring System:通用漏洞評分系統)是一個行業公開標準,其被設計用來評測漏洞的嚴重程度,並幫助確定其緊急度和重要度。在SCAP版本1.2中,引入了另外兩個新標準:OCIL(Open Checklist Interactive Language:開放檢查單互動語言)和CCSS(Common Configuration Scoring System:通用配置評分系統)。OCIL能夠用來處理安全檢查中需要人工互動反饋才能完成的檢查項,CCSS作用與CVSS類似,不過CCSS關注的是系統配置缺陷的嚴重程度。

SCAP Content(SCAP內容)

  SCAP Content指的是遵照SCAP Protocol標準設計製作的用於自動化評估的資料,其實體是一個或多個XML檔案。一般來說正式釋出的SCAP Content至少包含兩個XML檔案,一個是XCCDF,另一個是OVAL,這些檔案能夠直接輸入到各類安全工具中執行實際的系統掃描。Content中也可以包含描述其他SCAPElement的XML檔案。按照SCAP Protocol標準組織的多個XML 檔案也被稱為SCAP Data Stream(SCAP資料流)。
  當前,無論是廠商、官方還是開源社群均提供了大量的SCAP Content。由於SCAP的開放性,這些資源為我們進行系統管理提供了很有價值的參考和極大的便利。
  廠商提供的SCAP Content
  Redhat在與SCAP整合方面做出了很多的努力,Redhat公司會定期釋出針對其企業版本的Linux(RHEL)進行補丁及配置檢查的OVAL檔案,這些檔案能夠在http://www.redhat.com/security/data/oval下載。Fedora是基於Redhat Linux的一個免費的桌面發行版,它同樣繼承了Redhat在與SCAP整合方面的優勢,大部分用於RHEL的SCAP內容能夠很好地使用在Fedora系統上。Microsoft在其Security Compliance Manager(安全合規性管理器)中提供了大量用於檢測Microsoft產品安全性的SCAP Content。
  NVD及其他官方提供的SCAP Content
  由NIST主導的NCP(National Checklist Program:美國國家檢查單專案)現已積累了大量的用於系統安全性檢查的SCAP Content,這些內容可以從NCP的官方網站http://web.nvd.nist.gov/view/ncp/repository處得到。NVD(National Vulnerability Database:美國國家漏洞庫)中所有的漏洞均使用SCAP標準中的OVAL、CVE與CCE描述,可以從其官方網站http://nvd.nist.gov獲取這些資源。此外,NIST還提供了FDCC、USGCB等專案的SCAP內容。

SCAP中文社群

  SCAP中文社群是一個開放的安全資訊聚合與利用平臺,其使命是促進SCAP系列標準在中國的採納與應用。當前的社群中整合了SCAP框架協議中的CVE、OVAL、CPE等3種網路安全相關標準資料庫。使用者可以方便地使用本站對CVE漏洞庫、OVAL漏洞檢查語言以及CPE平臺列表進行查詢。

  截止現在,SCAP中文社群主要收錄了近6萬條CVE資料(2002年以來),以及14000餘條OVAL資料。並提供了有史以來最為詳細的CVE中文解釋以和OVAL的判定邏輯表示式的解析。SCAP中文社群在深入分析大量資料的基礎上,完成了CVE與OVAL之間的對映:即如果一個CVE漏洞存在相應的OVAL漏洞檢查技術細節,那麼在在兩個資料之間會有直接的連結,點選相關連結能夠相互跳轉(如CVE-2013-0095),這為漏洞分析人員的工作提供了極大的方便。此外,社群還完成了與CNNVD完整庫的對映,通過CVE可以很方便地檢視相關的中國國家資訊保安漏洞庫資源。

在不久的將來,社群將會聚合更多的SCAP框架中的網路安全評估標準,如CCE、CWE、XCCDF;將與更多的權威資訊保安漏洞庫進行高度整合,如OSVDB、Exploit-db;而且將會為使用者提供針對性漏洞預警服務、OVAL漏洞與配置檢測資料來源、XCCDF基線配置檢查單等更為高階的功能。

更多資訊請登入SCAP中文社群網站:http://www.scap.org.cn

相關文章