安全內容自動化協定

安全內容自動化協定（英語：Security Content Automation Protocol，SCAP）是用於自動化漏洞管理、評估和條款符合檢測的一套標準（例如，2002年的美國聯邦資訊保安管理法案（英語：Federal Information Security Management Act of 2002））。美國國家漏洞資料庫（英語：National Vulnerability Database）（NVD）就是美國政府為安全內容自動化協定制定的知識庫。

目的[編輯]

安全內容自動化協定（SCAP，讀作「ess-cap」^[1]），結合了一系列用於評估軟件缺陷和安全相關問題的開放標準，用於系統測試來發現漏洞，並根據漏洞可能造成的影響提供評分標準。是意圖將上述開放標準用於自動化漏洞管理、評估和條款符合檢測的一套標準。SCAP定義了如下標準（SCAP協定組成）之間如何協調：

SCAP協定組成[編輯]

• 通用漏洞披露（Common Vulnerabilities and Exposures，CVE）
• 通用組態枚舉（Common Configuration Enumeration，CCE）
• 通用平台枚舉（英語：Common Platform Enumeration）（Common Platform Enumeration，CPE）
• 通用漏洞評分系統（英語：Common Vulnerability Scoring System）（Common Vulnerability Scoring System，CVSS）
• 可延伸組態清單描述格式（英語：Extensible Configuration Checklist Description Format）（Extensible Configuration Checklist Description Format，XCCDF）
• 開放漏洞評估語言（英語：Open Vulnerability and Assessment Language）（Open Vulnerability and Assessment Language，OVAL）

從SCAP 1.1版開始

• 開放清單互動語言（Open Checklist Interactive Language，OCIL）2.0版

從SCAP 1.2版開始

• 資產鑑定
• 資產報告格式（Asset Reporting Forma，ARF）
• 通用組態評分系統（Common Configuration Scoring System，CCSS）
• 安全自動化數據信任模型（Trust Model for Security Automation Data，TMSAD）

從SCAP 1.3版開始

• 軟件識別碼（Software Identification，SWID）

SCAP檢核表[編輯]

安全內容自動化協定檢核表建立電腦安全組態以及NIST SP 800-53（英語：NIST Special Publication 800-53）控制框架之間的聯結，並且進行標準化。SCAP會用在NIST風險管理框架的實現、評估及監控步驟中。在NIST的聯邦資訊保安管理法案（英語：Federal Information Security Management Act of 2002）（FISMA）實施計劃中，SCAP是其中的一部份。

SCAP確認方案[編輯]

SCAP確認方案（SCAP Validation Program）是確認實施SCAP標準產品的能力。NIST的國家實驗室自願認可計劃（英語：National Voluntary Laboratory Accreditation Program）（NVLAP）有核可在此計劃下的獨立實驗室來進行SCAP確認。

參考資料[編輯]

外部連結[編輯]

• Security Content Automation Protocol web site （頁面存檔備份，存於互聯網檔案館）
• National Vulnerability Database web site （頁面存檔備份，存於互聯網檔案館）
• Mitre "Making Security Measurable" web site （頁面存檔備份，存於互聯網檔案館）
• SCAP Search （頁面存檔備份，存於互聯網檔案館）
• FISMA （頁面存檔備份，存於互聯網檔案館）
• NVLAP accredited SCAP validation laboratory （頁面存檔備份，存於互聯網檔案館）
• SCAP validated products web page （頁面存檔備份，存於互聯網檔案館）

權威控制資料庫：各地 以色列 美國