SCAP中文社區

SCAP（Security Content Automation Protocol：安全內容自動化協定）由NIST（National Institute of Standards and Technology：美國國家標準與技術研究院）提出，NIST期望利用SCAP解決三個棘手的問題：一是實現高層政策法規（如FISMA，ISO27000系列）等到底層實施的落地，二是將信息安全所涉及的各個要素標準化（如統一漏洞的命名及嚴重性度量），三是將複雜的系統配置核查工作自動化。SCAP是當前美國比較成熟的一套信息安全評估標準體系，其標準化、自動化的思想對信息安全行業產生了深遠的影響。

NIST將SCAP 分為兩個方面進行解釋：Protocol（協定）與Content（內容）。Protocol是指SCAP由一系列現有的公開標準構成，這些公開標準被稱為SCAP Element（SCAP元素）。Protocol規範了這些Element之間如何協同工作，Content指按照Protocol的約定，利用Element描述生成的套用於實際檢查工作的數據。例如，FDCC（Federal Desktop CoreConfiguration：聯邦桌面核心配置）、USGCB（United States Government ConfigurationBaseline：美國政府配置基線）等官方的檢查單數據格式均為SCAP Content。

SCAP版本1.0包含以下六個SCAP元素：XCCDF、OVAL、CVE、CCE、CPE、CVSS。這些標準在SCAP產生之前都已經存在，並在各自的領域發揮著重要作用。其中一些標準我們可能之前有所了解，如CVE、CVSS。當SCAP將它們整合後，其整體標準化的優勢變得十分明顯。SCAP為安全工具實現標準化提供了解決方案：標準的輸入數據格式、標準的處理方法和標準的輸出數據格式，這非常有利於安全工具之間實現數據交換。

信息安全評估行業對信息安全相關要素的標準化需求是迫切的，沒有規矩無以成方圓，沒有標準便無法得出可度量的評估結論。雖然當前事實上的行業標準CVE對已披露漏洞進行了一定程度的規範，但如何檢查漏洞、補丁及配置缺陷，如何規範平台名稱、脆弱點類別、配置缺陷名稱等在國內仍沒有可遵循的相關標準。而NIST提出的SCAP在信息安全評估標準化方面先行了一步，它正是為了解決這些標準化的問題而產生。創建SCAP中文社區的目的也在於此，我們希望通過SCAP中文社區的建立，能夠進一步促進中國信息安全標準化的進程和SCAP系列標準在中國的採納和套用。

SCAP中文社區高度集成了大量信息安全相關的標準和各種漏洞資料庫，並深入分析了這些數據之間的聯繫，形成了獨具特色的信息安全數據服務平台，在服務行業的同時，SCAP中文社區也是“職業黑客”們有效的信息來源，在此可以方便地獲取有關信息安全漏洞的詳盡資料和大量漏洞利用代碼。

CVE中文漏洞信息查詢是SCAP中文社區的一項重要功能，SCAP中文社區與“美國國家漏洞庫（NVD）"，“中國國家信息安全漏洞庫（CNNVD）”保持實時的同步更新，與Exploit-DB、PacketStorm等漏洞利用程式庫保持每日同步更新。為了提供更多有價值的信息，SCAP中文社區的CVE漏洞庫與OVAL資料庫進行了映射，與Exploit-DB、PacketStorm數據進行了連結，用戶可以通過豐富的檢索功能查找詳盡的漏洞資料。

OVAL是一種用來描述漏洞檢測方法的機器可識別語言，可以用來詳細的描述漏洞檢測的技術細節，並可導入自動化檢測工具中實施漏洞檢測工作。OVAL使用XML語言描述，且中間包含了嚴密的語法邏輯，SCAP中文社區使用XSL轉換技術，將OVAL語言XML轉換為易於人工閱讀的方式，非常適用於漏洞分析人員使用。

CCE是描述軟體配置缺陷的一種標準化格式，在信息安全風險評估中，配置缺陷的檢測是一項重要內容，使用CCE可以讓配置缺陷以標準的方式展現出來，便於配置缺陷評估的可度量化操作。SCAP中文社區與NVD保持實時的更新。