Што азначае SCAP?
SCAP з'яўляецца абрэвіятурай для аўтаматызацыі пратаколу Content Security. Яго мэта складаецца ў тым, каб прымяніць ужо прыняты стандарт бяспекі для арганізацый, якія ў цяперашні час не маюць аднаго або маюць слабыя рэалізацыі.
Іншымі словамі, гэта дазваляе адміністратарам сістэмы бяспекі сканаваць кампутары, праграмнае забеспячэнне і іншыя прылады на аснове папярэдне пэўнага базавага ўзроўню бяспекі , каб вызначыць , з'яўляецца Ці канфігурацыя і праграмныя патчы рэалізаваны ў стандарце , што іх па параўнанні з.
База дадзеныя уразлівасцяў Нацыянальныя (NVD) з'яўляецца ўрад ЗША сховішчы кантэнту для СПОК.
Заўвага: Некаторыя стандарты бяспекі аналагічныя СПКИ ўключаюць SACM (Аўтаматызацыя бяспекі і бесперапынны маніторынг), CC (Common Criteria), SwiD (Праграмнае забеспячэнне ідэнтыфікацыя) тэг і FIPS (Federal Information Processing Standards).
СПДК мае два асноўных кампанента
Ёсць два асноўных частак пратаколу бяспекі Content Automation:
SCAP Змест
модулі кантэнту SCAP свабодна даступна ўтрыманне распрацаванага Нацыянальнага інстытутам стандартаў і тэхналогій (NIST) і яе галіна модулі кантэнту partners.The зробленыя з «бяспечных» канфігурацый, якія пагадзіліся на NIST і яго Scap партнёраў.
Прыклад можа служыць Федэральным Desktop Асноўных налад, які з'яўляецца бяспека загартаванай канфігурацыяй некаторых версій Microsoft Windows . Змест служыць у якасці базавай лініі для параўнання сістэм скануюцца з дапамогай сродкаў сканавання СПОК.
SCAP сканеры
Сканер СПОК ўяўляе сабой інструмент, які параўноўвае мэтавай кампутар або канфігурацыю прыкладання і / або ўзровень патча супраць гэтага базавага ўзроўню ўтрымання SCAP.
Інструмент адзначыць любыя адхіленні і падрыхтаваць справаздачу. Некаторыя сканеры SCAP таксама маюць магчымасць карэктаваць мэтавай кампутар і прывесці яго ў адпаведнасць са стандартнай базавай лініяй.
Ёсць шмат камерцыйных і адкрытых крыніцы сканараў SCAP даступныя ў залежнасці набору функцый, які пажаданы. Некаторыя сканеры прызначаныя для сканавання на ўзроўні прадпрыемства ў той час як іншыя прызначаныя для індывідуальнага выкарыстання ПК.
Вы можаце знайсці спіс Scap інструментаў у ПНВ. Некаторыя прыклады Scap прадуктаў ўключаюць ThreatGuard, лагічнае, Red Hat і IBM BigFix.
Вытворцы праграмнага забеспячэння, якія маюць патрэбу ў іх прадукце правераны як у адпаведнасці з СПКАМИ, могуць звярнуцца ў NVLAP акрэдытаваная лабараторыяй праверкі SCAP.