当提到安全内容自动化协议（SCAP）时，人们会有许多问题。在上一部分《掌握SCAP NIST指南　使用SCAP工具自动维护安全（上）》中，我们重点介绍了SCAP的概念，功能和作用。本文我们将介绍企业应该如何企业如何利用SCAP。

　　企业如何利用SCAP？

　　根据NIST，想要利用SCAP工具(英文网站有pdf下载）的企业应该遵守下列公开建议：

• 使用SCAP表述的安全配置检查列表自动改善和监控系统安全。SCAP表述的检查列表会帮助你自动产生评估和规则遵从证据，该列表可以从上述国家检查列表程序网站上下载。然而，值得注意的是，目前的SCAP版本不能修复或者修改实际配置与检查列表之间的任何不同，这个功能未来会在SCAP工具中出现，目前在某些专用应用程序中已经出现。
• 充分利用SCAP的优势，验证你的系统是否遵从那些源自命令、标准和指导方针的高级安全要求，比如说FDCC。这还可以帮助企业更好地为FISMA审计做准备。
• 使用标准化的SCAP标识、标志符和产品名称，比如通用漏洞批漏（CVE）、通用安全配置标识（CCE）和通用平台标识（CPE）等命名方法。换句话说，使用一种通用语言可以让漏洞或者批漏描述使用相同的术语，参考相同的MITRE CVE/CCE/CPE数据库。当企业之间进行对话、企业遇到安全相关的软件缺陷、安全配置问题和平台时，可以更好地理解系统漏洞和受影响的配置。
• 结合通用漏洞评分系统（CVSS），CVE以及CPE，你可以利用SCAP进行大量重复的漏洞测试和评分。因为SCAP能够在分析中提供某些评分，所以你可以利用这些分数来画出并确立各种趋势，进行比较等等。
• 获得并使用通过SCAP验证的产品。美国联邦结构和那些支持美国政府机构的公司必须使用通过SCAP验证的FDCC扫描器，以便进行FDCC遵从测试和评估。

　　值得注意的是，NIST还确立了SCAP产品验证程序和一个国家志愿者实验室鉴定程序（NVLAP）。这些程序用来确保SCAP产品能够得到有效的测试和验证，以满足SCAP要求。NIST还建立了一个鉴定实验室以及通过验证的产品列表。图3显示了目前已经通过验证的产品。

图3：已通过SCAP验证的产品（示例）

• 开发软件或安全检查列表时，采用SCAP并利用它的能力，从而证明了该软件具有评估基本软件配置的能力，而不是依靠更加昂贵的手动检查或者专用检查机制。

　　除了上述NIST SP 800-117建议，NIST计算机科学家和项目经理Karen Scarfone还编写了一个非常好的SCAP概述（.pdf），这篇文章指出了SCAP的一般用法，列举如下：

• 进行安全配置验证：你可以把SCAP表述的检查列表与系统实际配置相比较。你可以在实际部署之前用这些检查列表验证并审计一个系统。而且，你用检查列表还可以把个人系统设置映射到高级别的要求上，比如FDCC，等等。
• 检查系统是否有安全入侵迹象：如果你知道攻击的特点，你就可以检查被更改过的文件或者检查是否存在恶意服务软件。比如，如果你知道攻击更改了某个.dll文件，你可以对相关文件进行检查，看是否有任何改动。

　　优点

　　SCAP正在向前发展和贯彻执行，其主要原因是来自美国管理和预算办公室的联邦命令。人们正在采用SCAP v1.0，而且SCAP产品正在NIST认可的实验室中进行开发和测试。Karen Scarfone表示，当时预计1.1版在2010年年底出现，而1.2版的规范已经在进行审查。

　　企业使用SCAP的潜在好处是什么？这里列出了几项：

• 使用SCAP，你可以增加自动化程度、减少手动努力获得评估结果、决定所需要的整改措施，因此可以节省大量成本。
• 由于你使用的是SCAP规定的通用语言，因此你的结果肯定是XML编码，那么你就可以更容易地与其他SCAP系统用户进行交流。此外，安全企业之间的设置问题就可以进行比较，因为漏洞都是用同样的规律（CVSS，CVE和CPE）描述。
• 使用通过SCAP验证的产品，企业可以更好地为FDCC审计做准备。
• SCAP内容的一个主要好处是能够建立和修改自己的检查列表。你没有义务只使用FDCC/USGCB一种内容，除非你要遵守政府的命令。

　　我想我们将来会听到更多关于SCAP的执行情况，而且，随着新版协议的发布，自动化安全过程也会带来更多好处。

　　美国政府配置基准（USGCB）将是FDCC的继任者，它将包含Win7以及其他的操作系统，比如Red Hat，Solaris等等（当他们的内容最终确定以后）。USGCB预计会融合到SCAP 1.1中。