当提到安全内容自动化协议（SCAP）时，人们会有许多问题：它是什么，它如何工作，它怎样在一个企业中起作用？

　　本文的目的就是介绍一下SCAP是什么，企业何时以及如何依靠该协议来增强企业的安全性。

　　什么是SCAP？

　　根据SCAP NIST指南（英文网站有pdf下载），SCAP（可以读成"S-CAP" (ESS'-cap)，也可以每个字母单独念：S-C-A-P）是：“安全软件产品间互相沟通软件缺陷以及安全配置信息时，使用的一套标准化格式和系统命名方法。”

　　SCAP的目的是通过标准化方法来1) 组织，2) 表达，3) 测量安全信息，为企业提供维护系统安全性的自动化方法。

　　更具体一点，NIST指南中列出了SCAP能够维护企业系统安全性的三个方法，其中包括：

• 自动验证补丁的安装；
• 检查系统安全配置；
• 检查系统是否有被入侵的迹象。

　　SCAP开发的主要目的是为了帮助那些需要遵从美国联邦桌面核心配置(FDCC)以及美国政府配置基准（USGCB，该标准从FDCC的命令要求中演变而来）的企业。经过SCAP验证的扫描工具可以用来扫描受到影响的系统，并就这些系统是否遵从FDCC提供有关报告。这是一个节省时间的事物，可以帮助企业更好地准备FDCC遵从审计。

　　SCAP有两个主要元素：

• 首先，它是一个协议。SCAP由四个开放规范组成，这些规范规定了软件之间交流缺陷和安全配置（这些内容都是使用通用标志符标注的，并嵌入在XML中）的标准化格式和系统命名方法。从本质上讲，这是一种确立某些自动化“on/off”开关检验的方法，以检查服务器或者台式电脑是否遵从某种标准。这样做很实用，因为其输出是一种标准化的非专用格式，可以在不同的企业中使用。每个规范又叫做一个SCAP组件。（NIST还给出了SCAP v1.0 组件的更多信息。）
• 其次，SCAP包括软件缺陷以及安全配置标准的参考数据，又叫做SCAP内容。这些参考数据由NIST管理和国家安全部门（DHS）赞助的国家漏洞数据库（NVD）提供。SCAP内容在NVD中都可以找到。

　　因此，SCAP包括SCAP内容（比如，参考数据）和SCAP组件（比如，安全规范）。为了让它们有效地工作，SCAP的作者们把SCAP内容和SCAP部件集成到了SCAP表述的检查列表中，这种列表使用标准化语言描述正在讨论的是什么平台（通用平台标识）以及哪些安全设置应该处理（通用暗渠配置标识）。人们也可以使用这些检查列表手动设置有问题的系统。然而，设置的数量非常庞大，因此，自动化系统，比如SCAP，会更受欢迎。

　　国家检查列表工程（NCP）网站是SCAP表述的检查列表资源库。该网站中的一个FDCC Windows XP检查列表网页如图1所示：

图1：FDCC Windows XP检查列表

　　提示一下，如果你查看该网页中的Supporting Resources支持资源选项，你会看到“Human Readable”（易读）或者“prose”（普通）版的设置。当人们下载这些内容时，该网页会提供一个电子表格，其中包括政策设置和命名、CCE参考、注册表设置，还有政策描述以及每个政策的联邦桌面设置应该是什么（比如，Disabled（禁用）、Disabled（启用）等等）。图2显示了一个这样的电子表格。

图2：易读版的FDCC设置

　　根据检查列表的SCAP协议自动化可操作性不同，可以分成不同的层次。我们把这些层次标记为I到IV。

• 层次I检查列表主要是文字性的东西，举个例子，叙述一个人如何手动改变产品配置。
• 层次II检查列表试图用专用的、机器易读的格式列出推荐的安全设置。
• 层次III检查列表使用SCAP协议，以机器可读、标准化的SCAP格式来整理他们的推荐安全设置。
• 层次IV检查列表包含层次III检查列表的所有属性。另外，它们能够用于产品生产，并已通过NIST验证，确保与其他通过SCAP验证的产品具有协同工作能力。层次IV检查列表还具有把低级安全设置映射到高级安全要求（就像FISMA的SP 800-53控制框架）的能力。（注：国家漏洞数据库中所有的FDCC检查列表都属于层次IV。）

　　值得注意的是，那些有义务遵守联邦SCAP命令的企业，需要为他们的计算机安全自动化使用最高层次的检查列表。此外，人们还有内容验证程序计划，这些程序可以让供应商或者其他任何人在NVD上发表自己的检查内容，并把这些内容作为层次III或者层次IV检查列表的内容。不过，这个计划实施的时间还未确定。