SCAP是安全内容自动化协议的首字母缩写。其目的是将已经接受的安全标准应用于当前没有或具有弱实现的组织。
换句话说,它允许安全管理员基于预定的安全基线扫描计算机,软件和其他设备,以确定配置和软件补丁是否实现为与它们进行比较的标准。
国家漏洞数据库(NVD)是SCAP的美国政府内容存储库。
注意: 类似于SCAP的一些安全标准包括SACM(安全自动化和连续监视),CC(通用标准),SWID(软件标识)标签和FIPS(联邦信息处理标准)。
SCAP有两个主要组件
安全内容自动化协议有两个主要部分:
SCAP内容
SCAP内容模块是由美国国家标准与技术研究院(NIST)及其行业合作伙伴开发的免费内容。内容模块由NIST及其SCAP合作伙伴同意的“安全”配置制成。
一个例子是联邦桌面核心配置,它是某些版本的Microsoft Windows的安全加固配置。该内容可作为SCAP扫描工具扫描系统比较的基准。
SCAP扫描仪
SCAP扫描程序是一种工具,用于将目标计算机或应用程序的配置和/或修补程序级别与SCAP内容基准的级别进行比较。
该工具将记录任何偏差并生成报告。某些SCAP扫描仪还能够更正目标计算机并使其符合标准基准。
根据所需的功能集,有许多商用和开源SCAP扫描仪可用。一些扫描仪用于企业级扫描,而其他扫描仪用于个人PC使用。
您可以在NVD上找到SCAP工具列表。 SCAP产品的一些示例包括ThreatGuard,Tenable,Red Hat和IBM BigFix。
需要验证其产品符合SCAP要求的软件供应商可以联系NVLAP认可的SCAP验证实验室。
