SCAP

Share

|

보안 콘텐츠 자동화 프로토콜 (SCAP)가 CVE, CVSS, CPE는, XCCDF, 그리고 OVAL 포함 표준의 지배적인 제품군입니다. NIST의 방법과 이러한 모든 프로토콜 함께 자동화된 방식으로 작업을 정의합니다 SCAP 콘텐츠를 유지하고있다. 그것은 또한 모든 NVD 이러한 기준의 내용을 포함하고있습니다.

SCAP 또한, 다양한 공개 표준과의 호환성을 위해 제품을 평가하는데 도움을 제품의 유효성 검사 프로그램이있다. NIST는, 검증 분야에 대한 자세한 설명을 제공합니다 여기에 검증 가능한 영역의 감각을 줄 약식 :

연방 데스크탑 코어 구성 (FDCC) 스캐너 : 감사 능력 및 대상 시스템의 평가와 제품의 주문은 미국 정부가 기획 예산과 메모 남 - 07 - 18 결과했다 FDCC 요구 사항과 준수를 확인할 수있습니다. 그 메모는 미국 정보 기술을 제공하는 애플 리케이션을 증명한다 완벽하게 작동되고 올바르게 작동하는 시스템 FDCC를 사용하여 만들어진.

• 인증된 구성 스캐너 : 감사 기능 및 구성 요구 사항의 로그를 사용하여 대상 시스템에 정의된 설정과 권한에 대한 준수 여부를 확인하려면 대상 시스템의 평가와 제품.

�

• 인증된 보안 취약점 및 패치 스캐너 : 능력을 찾습니다 알려진 소프트웨어 결함의 존재를 파악하고 정책에 정의된 패치 대상 시스템 로그를 사용하여 권한에 대한 준수 여부를 확인하려면 소프트웨어 패치 상태를 평가 대상 시스템의 스캔을 가진 제품.

�

• 인증되지 않은 취약점 스캐너 : 네트워크를 통해 대상 시스템의 평가에 의해 능력이 알려진 소프트웨어 결함의 존재를 확인 가진 제품.

�

• 침입 탐지 및 방지 시스템 : 제품 모니터링 시스템 또는 무단 또는 악의적인 활동을위한 네트워크. IPS는 적극적으로 대상 시스템이나 네트워크가 이러한 활동에 대해 보호할 수있습니다.

�

• 패치 치료 : 능력에 정의된 패치 정책을 준수 대상 시스템에 패치를 설치할 수있습니다.

�

• 잘못된 치료 : 능력은 대상 시스템의 구성을 변경하기 위해서는 구성 집합을 정의한 권고안을 준수으로 가져옵니다.

�

• 설치 및 제품의 라이선스를 포함한 자산 관리 : 능력을 적극적으로 감사를 발견하고, 평가하는 자산의 특성,; 세계 내에 위치, 네트워크, 또는 엔터 프라이즈, 소유권 및 기타 관련 정보에 대한 워크 스테이션, 서버 및 자산 등의 라우터.

�

• 자산 데이터베이스 : 능력을 수동적으로 저장할 수 있으며, 설치 및 제품의 라이선스를 포함한 자산의 특성,보고, 세계에서 위치, 네트워크, 또는 엔터 프라이즈, 소유권 및 기타 관련 정보에 대한 워크 스테이션, 서버 등과 같은 자산 및 라우터.

취약점 데이터베이스 : 보안의 카탈로그 관련 소프트웨어의 결함 문제와 CVEs 어디에 해당 레이블이 포함된 제품. 이 데이터는 사용자가 액세스할 수 검색 기능이나 데이터 피드를 통해 만든 소프트웨어 결함, 추가 정보에 대한 참조에 대한 설명을 포함한다 (예를 들어, 패치 또는 보안 권고에 대한 링크), 그리고 점수에 미치는 영향.

• 잘못된 데이터베이스 : 보안의 카탈로그와 관련된 구성 문제와 CVEs 어디에 해당 레이블이 포함된 제품.

�

• 악성 소프트웨어 도구 : 능력을 확인하고 바이러스의 존재에 대한 보고서를 대상 시스템에 트로이 목마, 스파이웨어 또는 기타 악성 코드.

언제 제품의 평가 및 검증, 그것을 위해 이러한 영역 중 하나 또는 이상. 제품의 상태를 검증 NIST의 공개 웹 사이트에 게시됩니다. 웰빙 품질이나 제품의 신뢰성을 보장하지 않습니다 검증;만이 그 기준에 명시된 SCAP 프로그램 설정을 준수합니다.

---