Ինչ է նշանակում SCAP- ը
SCAP- ը Անվտանգության բովանդակության ավտոմատացման արձանագրության հապավումը է: Դրա նպատակն է կիրառել արդեն ընդունված անվտանգության ստանդարտը այն կազմակերպություններին, որոնք ներկայումս չունեն, կամ թույլ ներդրումներ ունեն:
Այլ կերպ ասած, այն թույլ է տալիս անվտանգության ադմինիստրատորներին ստուգել համակարգիչներ, ծրագրային ապահովիչներ եւ այլ սարքեր, որոնք հիմնված են կանխորոշված անվտանգության հիմունքների վրա, որոշելու համար, թե արդյոք կոնֆիգուրացիա եւ ծրագրային ապահովման պատյաններ իրականացվում են այն ստանդարտի համեմատությամբ, որին համեմատվում են:
Ազգային խոցելիության տվյալների շտեմարանը (NVD) ԱՄՆ-ի կառավարական բովանդակության պահուստն է SCAP- ի համար:
Նշում. ՍՊԱԾ-ի նման որոշ անվտանգության ստանդարտը ներառում է SACM (անվտանգության ավտոմատացում եւ շարունակական մոնիտորինգ), ՍԴ (Ընդհանուր չափորոշիչներ), SWID (Software Identification) պիտակները եւ FIPS (Federal Information Processing Standards):
SCAP- ն ունի երկու հիմնական բաղադրիչ
Անվտանգության բովանդակության ավտոմատացման արձանագրության մեջ կան երկու հիմնական մաս:
SCAP Բովանդակություն
SCAP- ի պարունակության մոդուլները ազատորեն հասանելի են բովանդակություն, որը մշակվել է Ստանդարտների եւ տեխնոլոգիաների ազգային ինստիտուտի (NIST) եւ դրա ոլորտի գործընկերների հետ: Բովանդակության մոդուլները պատրաստված են «անվտանգ» կոնֆիգուրացիաներից, որոնք համաձայն են NIST- ի եւ նրա SCAP- ի գործընկերների հետ:
Օրինակ, Դաշնային Desktop Core Configuration- ը, որը Microsoft Windows- ի որոշ տարբերակների անվտանգության ամրապնդված կազմաձեւումն է: Բովանդակությունը ծառայում է որպես հիմք, SCAP- ի սկանավորման գործիքների կողմից սկանավորվող համակարգերի համեմատության համար:
SCAP սկաներներ
SCAP սկաների մի գործիք է, որը համեմատում է թիրախային համակարգչի կամ հավելվածի կոնֆիգուրացիայի եւ / կամ պատկերի մակարդակի հետ, SCAP բովանդակության բազայինի հետ:
Գործիքը նշում է ցանկացած շեղում եւ հանդես է գալիս զեկույց: Որոշ SCAP սկաներներ նույնպես ունակ են ուղղել նպատակային համակարգիչը եւ այն համապատասխանեցնել ստանդարտ բազայինին:
Կան բազմաթիվ առեւտրային եւ բաց կոդով SCAP սկաներներ: Որոշ սկաներներ նախատեսված են ձեռնարկության մակարդակի սկանավորման համար, իսկ մյուսները նախատեսված են անհատական PC օգտագործման համար:
Դուք կարող եք գտնել NVD- ի SCAP- ի գործիքների ցանկը: SCAP- ի արտադրանքի որոշ օրինակներ ներառում են ThreatGuard, Tenable, Red Hat եւ IBM BigFix:
Ծրագրային ապահովման մատակարարները, որոնք իրենց արտադրանքը պետք է վավերացվեն որպես SCAP- ի համապատասխան, կարող են դիմել NVLAP- ի հավատարմագրված SCAP վավերացման լաբորատորիա: