网络安全学习笔记工具篇（三）——OpenSCAP简介

网络安全学习笔记工具篇（三）——OpenSCAP简介

一、背景

信息安全态势日趋严重，对我们网络安全工作提出了更高的要求，遵循一定的网络安全框架的同时，我们需要在各个不同的环节部署不同的安全措施形成纵深防御体系。服务器侧的安全基线在安全管理中是一个基础性的工作，是整个体系中不可缺少的一环，但是也是一个比较麻烦的工作，一方面是因为企业中通常服务器数量较多，有各种不同版本的操作系统；另外一方面是因为企业通常没有能力去制定适合自己的安全基线，或者大多数的安全基线都是安全人员“想当然”制定的，从各种渠道摘抄汇总，然后进行取舍而来。带来的问题是基线缺失、基线不完整等等。在没有购买商业产品的情况下，要么我们自己写脚本，要么使用开源工具对系统进行基线设置以及进行基线核查。

接下来将要介绍的是OpenSCAP项目，OpenSCAP是一个开源的项目，该项目包括一系列的工具及大量的安全策略。SCAP协议是一个由美国NIST维护的标准，OpenSCAP项目是一组使用和实施该标准的开源工具，在2014年获得了NIST颁发的SCAP1.2认证。使用OpenSCAP可以进行安全合规检查修复以及脆弱性评估。由于与OpenSCAP相关的术语较多，本文先对相关的术语、策略、工具等内容进行介绍，在后续再介绍OpenSCAP工具的具体操作。本文中的大量内容来自OpenSCAP官网Content Automation Protocol(SCAP)，安全内容自动化协议，目前SCAP协议技术规范是SCAP 1.3。SCAP是一套用于交换安全自动化内容的规范，用于评估配置遵从性和检测易受攻击软件版本。

参考链接：

​

​Configuration Enumeration(CCE)：通用配置枚举，CCE清单为安全相关的系统配置问题提供了一个唯一的标识符用于改进工作流，通过在大量信息源及工具中的配置数据促进快速和精确的关联。

参考链接：​​Platform Enumeration (CPE)：通用平台枚举，是一个描述及标识应用、操作系统及硬件设备在当前企业计算资产中的标准方法。CPE不描述一个系统中特定的产品实例，相反，它描述的是一个抽象的类别。

参考链接：​​Weakness Enumeration (CWE) ：CWE称为通用脆弱性枚举，是由社区开发的软件脆弱性清单。CWE致力于详细描述已知安全脆弱性及缺陷。同时也提供了阻止、实施及减少脆弱性的相关信息。

参考链接：​​Script Check Engine(SCE)：SCAP的扩展，用于允许SCAP策略执行脚本

参考链接：​​Vulnerability and Assessment Language(OVAL)：开放漏洞评估语言，在国际范围内，免费给公众使用，OVAL是一个信息安全社区致力于标准化如何评估及报告计算机系统的机器状态。OVAL包括了一种用于编码系统细节的语言，以及社区所维护的内容集。

参考链接：​​Extensible ConfigurationChecklist Description Format(XCCDF) ：可扩展配置清单描述格式，是一种特别的语言用于编写安全检查清单、基线以及类似相关的文档。一个XCCDF文档代表了一些目标系统的安全配置规则的结构化集合。

参考链接：​​for Internet Security(CIS)：互联网安全中心

参考链接：​​Reporting Format(ARF)：资产报告格式，合并了多个结果的文件，包括OVAL结果及XCCDF结果，通常也被称为结果数据流（Result DataStream）

11、SCAP Security Guide(SSG)：SSG是一种使用SCAP文档形式写的安全策略。在SSG中创建的安全策略包括了很多计算机安全领域以及最佳实践解决方案。包含了描述得非常详细的规则以及证明过的修复脚本。SSG中的安全策略有各种平台的系统，包括Fedora, Red Hat Enterprise Linux, Mozilla Firefox and others。注意，现在没有CentOS，我在百度上找了一个适合CentOS的安全策略。

参考链接：​​Policy也被称为SCAP content，或者被称为content，是所有合规策略的中心，他决定了应该如何设置以及检查什么内容。

参考链接：​​scanner 也称为Tool，通过读取SCAP 安全策略来检查系统是否合规。Scanner会逐条读取策略中所有的规则，并且报告该规则是否满足，如果所有的规则都检查通过，则说明系统与该策略合规。OpenSCAP的工具较多，这里截取官网上的一张图片如下图所示：

相关的工具包括OpenSCAP Base、SCAP Workbench、OSCAP Anaconda Addon、OpenSCAP Daemon、SCAPtimony 等，相关的工具以“分层”的方式构成了OpenSCAP的生态系统。

1、OpenSCAPBase 是最底层的一个工具，可以用于在单个系统上进行合规扫描。

2、SCAPWorkbench 是一个图形化界面的工具，其主要使用的是OpenSCAP Base的相关功能。

3、OSCAP Anaconda Addon用于当系统需要高级的安全级别时，在系统初始化的时候就进行合规基线检查及修复。最简单的使用OSCAP Anaconda Addon的方法是使用内置该功能的Linux发行版本，目前只有 Red Hat Enterprise Linux 7 Update 2支持，其他的版本需要自已构建该功能及策略。

4、OpenSCAPDaemon 用于持续的扫描多个系统，不管是运行在裸金属上的还是虚拟机上的，甚至可以执行容器的合规扫描。

相关的链接可参考：​​Policy也称为SCAP content，通常我们不需要精通如何写一个安全策略，很多策略都在线可获取，并且以标准的SCAP检查清单形式。但是没有任何策略可以在所有的地方都完全适用，这需要我们根据自身的安全风险以及业务需求，另外我们也可以根据已经有的安全策略进行修改调整为适合我们自身使用的策略。

（一）、策略规范

1、​​SecurityTechnical Implementation Guides (STIGs) ​​ ：美国国防部指定的政府计算机如何进行配置及管理的安全技术实施指南。

2、​​The United States GovernmentConfiguration Baseline (USGCB) ​​：美国政府配置基线，是美国联邦的一个倡议，用于为各政府机构提供应该做什么的指导，指导如何提高和维护一个聚焦于安全的有效的配置设置。

3、​​Payment CardIndustry Data Security Standard (PCI DSS) ​​：处理信用卡信息及支付信息的安全标准，这是一个专用的信息安全标准用于处理信用卡的组织。

（二）、SCAP Content

1、SCAP Secruity Guide

2、NIST SCAP Content，国家漏洞数据库中的国家检查程序（NCP）仓库为广泛范围的产品提供了大众可以使用的安全策略，在NIST SP800-70中进行定义。参考链接：​​Hat 的OVAL仓库包含了与RedHat相关的安全公告，参考链接：​​linux的OVAL信息数据库提供了通过产品、RPM包名称以及版本的已修复的安全事故的索引，用于安全合规检查。参考链接：​​http://ftp.suse.com/pub/projects/security/oval/​​

（三）、SSG中可用的安全策略

SSG中并不是只有一个安全策略，而是包含了一系列的策略，这里不再列举，具体可以参考下面的链接：

​​http://open-scap.org/security-policies/choosing-policy/​​

五、总结

由于OpenSCAP涉及到的概念、术语、工具众多，因此在本篇中首先介绍了OpenSCAP相关的概念，然后介绍了相关的术语，最后介绍了工具以及安全策略。后续将介绍如何使用工具对系统进行基线扫描，如何修改基线。另外需要补充一句的是在当前维护的SSG策略中并没有找到CentOS系列的策略，在​​https://ncp.nist.gov/repository​​中有找到CentOS6的策略，或者可以参考知乎上的这篇文件中的链接进行下载https://zhuanlan.zhihu.com/p/138233344。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。