安全內容自動化協定

安全內容自動化協定(英語:Security Content Automation ProtocolSCAP)是用於自動化漏洞管理、評估和條款符合檢測的一套標準(例如,2002年的美國聯邦資訊保安管理法案英語Federal Information Security Management Act of 2002)。美國國家漏洞資料庫英語National Vulnerability Database(NVD)就是美國政府為安全內容自動化協定制定的知識庫。

目的

安全內容自動化協定(SCAP,讀作「ess-cap」[1]),結合了一系列用於評估軟件缺陷和安全相關問題的開放標準,用於系統測試來發現漏洞,並根據漏洞可能造成的影響提供評分標準。是意圖將上述開放標準用於自動化漏洞管理、評估和條款符合檢測的一套標準。SCAP定義了如下標準(SCAP協定組成)之間如何協調:

SCAP協定組成

從SCAP 1.1版開始

  • 開放清單互動語言(Open Checklist Interactive Language,OCIL)2.0版

從SCAP 1.2版開始

  • 資產鑑定
  • 資產報告格式(Asset Reporting Forma,ARF)
  • 通用組態評分系統(Common Configuration Scoring System,CCSS)
  • 安全自動化數據信任模型(Trust Model for Security Automation Data,TMSAD)

從SCAP 1.3版開始

  • 軟件識別碼(Software Identification,SWID)

SCAP檢核表

安全內容自動化協定檢核表建立電腦安全組態以及NIST SP 800-53英語NIST Special Publication 800-53控制框架之間的聯結,並且進行標準化。SCAP會用在NIST風險管理框架的實現、評估及監控步驟中。在NIST的聯邦資訊保安管理法案英語Federal Information Security Management Act of 2002(FISMA)實施計劃中,SCAP是其中的一部份。

SCAP確認方案

SCAP確認方案(SCAP Validation Program)是確認實施SCAP標準產品的能力。NIST的國家實驗室自願認可計劃英語National Voluntary Laboratory Accreditation Program(NVLAP)有核可在此計劃下的獨立實驗室來進行SCAP確認。

參考資料

  1. ^ Radack, Shirley; Kuhn, Rick. Managing Security: The Security Content Automation Protocol. IT Professional. 2011-02-04, 13 (1): 9–11 [2023-04-11]. ISSN 1520-9202. S2CID 5344382. doi:10.1109/MITP.2011.11. (原始內容存檔於2023-04-26). 

外部連結