SCAP дегеніміз не?
SCAP - Қауіпсіздік Мазмұны автоматтандыру хаттамасының қысқартылуы. Оның мақсаты қазірде жоқ немесе әлсіз іске асырылған ұйымдарға бұрын қабылданған қауіпсіздік стандартын қолдану болып табылады.
Басқаша айтқанда, қауіпсіздік әкімшілеріне конфигурация мен бағдарламалық жасақтама патчтары салыстырылатын стандарттарға сәйкес келетінін анықтау үшін алдын ала берілген қауіпсіздік негізіне негізделген компьютерлерді, бағдарламалық жасақтамаларды және басқа құрылғыларды қарап шығуға мүмкіндік береді.
Ұлттық осалдылық дерекқоры (NVD) - SCAP үшін АҚШ үкіметтік мазмұнының репозиторийі.
Ескерту: SCAP-ге ұқсас кейбір қауіпсіздік стандарттарына SACM (Қауіпсіздікті автоматтандыру және үздіксіз мониторинг), CC (жалпы критерийлер), SWID (Бағдарламалық қамтамасыз етуді анықтау) тегтері және FIPS (Федералды ақпаратты өңдеу стандарттары) кіреді.
SCAP екі негізгі компоненттері бар
Қауіпсіздік Мазмұны автоматтандыру хаттамасының екі негізгі бөлімі бар:
SCAP мазмұны
SCAP мазмұны модульдері - Стандарттар мен технологиялар ұлттық институты (NIST) және оның салалық серіктестері әзірлеген еркін қол жетімді мазмұн. Мазмұндық модульдер NIST және оның SCAP серіктестері келісетін «қауіпсіз» конфигурациялардан жасалады.
Мысал ретінде Microsoft Windows жүйесінің кейбір нұсқаларының қауіпсіздігін күшейтетін конфигурация болып табылатын Федеральды Үстелдің Негізгі Конфигурациясы болады. Мазмұн SCAP сканерлеу құралдарымен сканерленетін жүйелерді салыстыру үшін негіз ретінде қызмет етеді.
SCAP сканерлері
SCAP сканері - мақсатты компьютерді немесе бағдарламаның конфигурациясын және / немесе түзету деңгейін SCAP мазмұнының негізін салыстыратын құрал.
Құрал кез-келген ауытқуларды ескеріп, есеп жасайды. Кейбір SCAP сканерлері мақсатты компьютерді түзетуге және оны стандартты деңгейге сәйкес келтіруге мүмкіндігі бар.
Қажетті мүмкіндіктер жиынына байланысты қол жетімді көптеген коммерциялық және ашық дерекқор SCAP сканерлері бар. Кейбір сканерлер кәсіпорынның деңгейінде сканерлеуге арналған, ал басқалары жеке компьютерді пайдалануға арналған.
НВД-да SCAP құралдарының тізімін таба аласыз. SCAP өнімдерінің кейбір мысалдары ThreatGuard, Tenable, Red Hat және IBM BigFix.
SCAP стандарттарына сәйкес өз өнімдерін растауды қажет ететін өнім жеткізушілер NVLAP аккредиттелген SCAP тексеру зертханасына хабарласуы мүмкін.