引言：SCAP（安全内容自动化协议）列举了各种软件产品的漏洞，各种与安全有关的软件配置问题，并提供了漏洞管理自动化的机制。它用开放性标准实现了自动化脆弱性管理、衡量和策略符合性评估。OpenSCAP 项目的目的是为了提供一个开放源码的框架，以让开源社群能够整合安全内容自动协议(SCAP) 标准的能力。

什么是SCAP

SCAP（安全内容自动化协议）列举了各种软件产品的漏洞和各种与安全有关的软件配置问题，并提供了漏洞管理自动化的机制。SCAP用开放性标准实现了自动化脆弱性管理、衡量和策略符合性评估。而OpenSCAP项目的目的则是为了提供一个开放源码的框架，从而让开源社群能够整合安全内容自动协议（SCAP)标准的能力。

SCAP包含两个主要元素：一个是协议，即一组标准化格式与术语的开放规范，通过SCAP，软件安全产品可以互通软件缺陷与安全配置信息，每一个规范也被称作一个SCAP组件；其次，SCAP包括软件缺陷与安全配置标准化的参考数据，也被称作SCAP内容。

下面列出了目前的SCAP 1.0协议组件，这些组件按类型分为：列举（Enumerations）组，为安全与产品相关的信息定义了标准表述符与目录；脆弱性测量与评分（Vulnerability Measurement and Scoring）组， SCAP版本1.0具体包含以下六个组件（如图1所示）：

图1 六个SCAP组件的示意图

OVAL(开放漏洞和评估语言)：主要是用于说明计算机的配置和发现的漏洞情况。

XCCDF(可扩展配置清单说明格式)：用于描述安全配置列表（Checklists）、基准点（Benchmarks）的相关文档。XCCDF一般用于描述目标系统安全配置规则，是一种为表达、组织和管理安全指导的语言。

CVE(通用漏洞披露)：是包含了公众所已知的信息安全的漏洞信息以及披露的集合。

CPE(通用平台枚举)：可以利用该平台列举出各项企业资产，从而为各项资产的数据提供基本的管理依据。

CCE(通用配置枚举)：其作用与CVE很相似，但是CCE主要用于处理错误配置问题。

CVSS(通用漏洞评价体系)：一种用于评估软件安全隐患的度量系统，同时它也可以以打分的方式帮助用户优先应对安全风险。

其中，在图1所示中，FISMA是法规，是美国政府制定的信息安全管理的法律依据。NIST是政府授权去制定和实施标准、技术援助的机构。而SCAP则是NIST为了实施符合FISMA的自动化要求而制定的一个协议。

安装OpenSCAP软件包

使用Yum命令即可在线安装OpenSCAP相关软件包：

#yum install openscap-utils scapsecurity-guide openscapengine-sce scapworkbench

说 明 ：“openscap-utils”是SCAP软件包，主要包括Oscap 命令行工具。该工具作为一个 OpenSCAP 库的前端，基于它处理的一种类型的 SCAP内容，将其功能分组模块化（子命令）。openscap-engine-sce 的安装包提供了脚本检查引擎（SCE）。SCE是SCAP的一个扩展协议，允许内容作者使用脚本语言去编写自己的安全内容，例如Bash语言，Python语言或者Ruby语言。“scap-security-guide”是SSG软件包，它包含了Linux 系统最新的一套安全策略。SSG安全内容可以在“/usr/share/xml/scap/ssg/rhel7/”目录下找到。scap-workbench是一个图形化的工具，它允许用户在本地或远程系统上执行配置和漏洞扫描，实现系统的修复，以及生成基于扫描评估的报告。

使用Oscap 命令行工具

检查Oscap版本的功能：

在安装完Oscap后，您可以检查您所安装Oscap 版本的功能，要显示此信息，请输入以下命令：

# oscap -V

命令输出的内容包括，系统版本（CVE、OVAL、CPE、CVSS），某个 Oscap 文件储存在什么位置，能使用什么样的SCAP对象，以及其他有用的信息。

扫描本地系统

Oscap最重要的功能是在本地系统上执行配置与漏洞扫描。通常包括有两种格式：OVAL格式以及XCCDF格式。

1.XCCDF文件格式

XCCDF语言被设计为支持信息交换、文档生成、组织化和情境化调整、自动一致性测试以及符合性评分。XCCDF语言主要是描述性质的，并不包含任何用来执行安全扫描的命令。然而，XCCDF文档可以作为其他SCAP组件的参考，而且就其本身而言，它也可以被用于制作合规策略，移植到除相关的评估文档（OVAL、OCIL）以外的所有目标平台。通常，可以用一组XML文件中包含一个XCCDF清单的方法来表示合规策略。该XCCDF文件通常指向了评估资源、多重OVAL，OCIL以及脚本检查引擎（SCE）文件。此外，该文件集可以包含有CPE字典文件和为此字典定义了对象的OVAL文件。

使用SSG XCCDF基准扫描系统。要在系统中为 xccdf_org.ssgproject.content_profile_rht-ccp 配置文件执行SSG XCCDF基准测试，请运行以下命令：

#oscap xccdf eval--profile rht-ccp

--results /tmp/′hostname′-ssgresults.xml

--report /var/www/html/′hostname′-ssgresults.html

--cpe /usr/share/xml/scap/ssg/content/ssg-rhel7-cpedictionary.xml

/usr/share/xml/scap/ssg/content/ssgrhel7-xccdf.xml

其中屏幕输出界面如图2所示。

Result：图中“fail”（红色字符）表示存在安全漏洞。Result：“pass”（绿 色字符）表示通过安全检查。

这份结果报告将会以“localhost.localdomainssg-results.html”文件为名储存在“/var/www/html/”目录下。我们可以使用浏览器打开这个检查结果文件。

2.OVAL文件格式

OVAL（开放式漏洞评估语言）是SCAP中必不可少的和最初始的组成部分。有别于其他工具或者自定义脚本，OVAL语言以声明的形式描述了资源的理想状态。OVAL语言代码不能被直接执行，而是依靠一个叫做扫描软件的OVAL解释工具去执行。OVAL所具备的声明性质保证了受评估系统的状态不会被意外地改变，这一点是非常重要的，因为安全扫描工具通常运行在可能获取的最高权限上。为了评估来自由SSG数据流文件代表的安全策略中的特别的OVAL定义，请运行以下命令：

图2 屏幕输出界面

图3 工作界面

# oscap oval eval--id oval：ssg：def：100--results scan-ovalresults.xml /usr/share/xml/scap/ssg/rhel7/ssgrhel7-ds.xml

OVAL的扫描结果将会以“scan-oval-results.xml”文件格式的方式保存在当前目录中。

使用 SCAP工作台

SCAP Workbench是一个图形化的工具，它允许用户在本地或远程系统上执行配置和漏洞扫描，从而实现系统的修复，以及生成基于扫描评估的报告。与Oscap命令行实用工具比起来，SCAP工作台只具备有限的功能。SCAP工作台也可以处理只以XCCDF文件和数据流文件形式存在的安全内容。安装SCAP Workbench软件包后通过终端即可启动，其工作界面如图3所示。

CAP工作台窗口包含许多交互式组件，简单介绍一下主要组件：

Title（输入文件）：该字段包含了所选安全策略的完整路径。

Tailoring（裁剪）可以对XCCDF中所定义的检查单进行剪裁和调整，该下拉列表框显示的是将被应用于所选安全策略中的清单的名称。如果存在不止一个清单，您可以通过点击此下拉列表框来选择一个特定的清单。该下拉列表框会通知您给定安全策略的定制情况。您可以通过点击该下拉列表框来选择自定义规则，这些规则将会被应用在系统评估中。默认值是“no tailoring”，这意味着所使用的安全策略将不会有任何改变。如果您对所选的安全配置文件做了任何改动，可以通过点击“Save Tailoring”按钮以XML文档的方式保存这些改动内容。

Profile（配置文件）：该下拉列表框包含所选安全策略配置文件的名称。通过点击该下拉列表框，您可以从给定的XCCDF或者数据流文件中筛选出安全配置文件。若要创建一个继承了所选安全策略配置文件属性的新配置文件，请点击“Customize”按钮。

Target（目标）：这两个单选按钮允许您选择待评估系统是本地计算机还是远程计算机。

Status bar（状态栏）：这是一种图形化的工具条，指示着正在执行的操作状态。

Oline Remediation（在线修复）：该复选框允许在系统评估中开启修复功能。如果您选中该复选框，SCAP工作台将尝试校正那些无法匹配策略定义状态的系统设置。

Scan（扫描）：该按钮允许启动对指定系统的评估。

图4 扫描系统结束后的界面

使用SACP 工作台扫描系统

SACP工作台的主要功能是依照给定的XCCDF或者数据流文件，在被选中的系统中执行安全扫描。若要评估您的系统有没有违反所选的安全策略，请遵循下列步骤：

首先通过点击“File”和“Open Content”按钮打开相应的XCCDF或者数据流文件来选择一项安全策略。然后点击“Scan（扫描）”开始扫描系统，当系统扫描结束以后，新的按钮包括：“Clear” 和“Save Report”以 及“Show Report”，会出现并取代“Scan”按钮如图4所示。

说明：

pass（绿 色 字 符）：目标系统（及其相关组件）满足所有规则的条件XCCDF。

fail（红色字符）：目标系统（其特定的组件）不符合某些条件的XCCDF规则。

除了“fail”和“pass”两个最常见的选项，还有几个选项。

error：没有能够完成规则评估。

notapplicable：规则并不适用于在此系统上进行测试(可以理解为扫描规则不匹配的)。

unknown：未知错误。

总结

本文从整体上介绍了什么是SCAP，SCAP的组成元素，SCAP元素之间的关系和SCAP相关的开源工具，以及如何利用SCAP和开源工具对系统进行配置合规性扫描。可以看到使用SCAP能够非常方便地对系统配置合规性进行自动化评估。