引入SCAP标准提高系统配置安全
2021-10-11
来源:易榕旅网
Technology and Study・技术探讨 引入S C AP标准提高系统配置安全 张力 (Atsec北京1 00085) 【摘要】随着计算机通信技术的飞速发展,由系统配置而导致的安全问题越来越多.安全内容自动化协议(SCAP)为系统配置的标 准化以及对系统配置的脆弱性评估提供了一种统一的方法。越来越多的厂商 组织与社团已加入到SCAP的研究与发展中.也推 动了SCAP成为真正意义的全球标准。 【关键词】SCAP:OVAL;CPE;CVE:CCE CVSS The Introduction of SCAP Standard to Improve the Safety System Configuration Zhang Li’ tsec Beiifng 100085) [Abstract]With the rapid development of computer communication technology,the increasing security issues are caused by system configuration,and the SCAP protocol provides a uniifed approach for the standardization of system configuration and the vulnerability assessment of system ocnfiguration. More and more companies,organizations and communities have added to the research and development of SCAP,and also contribute it to a truly global standard. [Keywords]SCAP,OVAL,CPE,CVE.CCE,CVSS 1.SCAP的产生背景 SCAP提供了一种自动、标准化的方法来维护企业系统的 由于计算机通信技术的飞速发展,美国联邦政府强烈地 安全,如实现安全配置基线,验证当前的补丁程序,进行系统 意识到由于计算机系统配置问题而暴漏出越来越多的安全漏 安全配置设置的持续性监测,检查系统的折衷标记(Sign of 洞,为此,2007年美国联邦预算管理办公室(OMB:Office of Compromise)以及能在任意设定时刻给出系统的安全状态。 Management and Budget)提出要求所有的政府部门开始 SCAP的提出主要源于几个方面原因。 试行联邦桌面核心配置计划(FDCC:Federal Desktop Core 大量的以及多样的系统需要保护 Configuration)。2008年则开始强制执行。 大多数组织有需要保护的一些系统,针对每个系统有众多 FDCC最初是由美国国家标准与技术研究所联合OMB、 的应用需要保护。一般一个企业内部装有多种操作系统及上 DHS(Department of Homeland Secu ̄y)、NSA(National 千种的应用软件,每个系统或应用都有自己的补丁机制及安全 Security Agency)以及Microsoft共同开发,用于美国空军 配置管理。相同的软件在不同主机上的保护机制也可能会有 Windows XP的公共安全配置,2008年6月发布第一个版本 些许的不同。一个单独的主机针对它的操作系统与应用也会 FDCC1.0,最新的版本为2009年8月发布的1.2版本。 有上千种安全配置设置。所有这些因素使得决定每个系统上 FDCC定义了针对Windows XP与Vista操作系统的公 需要什么样的安全变化,快速、正确、一致地实现这些变化以及 共配置准则。为了检测FDCC的合规性,NIST开发了安全 验证安全配置更为复杂。 内容自动化协议(SCAP),以标准化的方式表达与使用安全数 快速响应新的威胁 据以及进行安全问题评估。最初主要针对于Windows操作 一些组织经常需要重新配置软件或安装补丁以消除新发 系统开发检查列表(ChecMist),后来逐步扩展到Unix系统, 现地或成为攻击者目标的脆弱性。在2009年,有多达5,700 Web浏览器、反病毒软件以及防火墙等。 个软件缺陷被加入到美国国家脆弱性数据库(NVD:National ・22・2010.12・WWW.infosting.org 技术探讨・Technology and Study Vulnerability Database)。 与CVE标识项,MITRE公司拥有OVAL数据库,并且维护 缺乏互操作性 大多数系统安全工具采用私有格式、命名法、测量方法与内 容,如补丁管理与脆弱性管理软件。例如,如果脆弱性扫描器没有 采用标准化的弱点命名法,安全管理人员将不清楚多个扫描器的 扫描结果报告是否指向相同的脆弱性。这种互操作性的缺乏将导 致安全}乎估的不一致性,延迟制作决定以及做出及时的修正。 CCE标识项的列表。每一个SCAP组件提供唯一的功能,可 以被独立地运用,但是联合的运用能带来更大的好处,例如,用 XCCDF格式依据CPE表达CCE的能力形成了用于SCAP 表达检查列表的基本元素,换句话说,SCAP表达的检查列表 用一种标准化的语言(XCCDF)来表达所讨论的平台是什么 (CPE),访问什么安全设置(CCE)。运用SCAP表达检查列 2.SCAP协议框架 SCAP包含两个主要元素。首先,它是一个协议,一组标 准化格式与术语的开放规范,通过它软件安全产品可以互通软 件缺陷与安全配置信息,每一个规范也被称作一个SCAP组 表可以很容易的帮助组织实现对系统的安全控制,进行安全监 测,自动化高级安全需求的合规性报告。 总之检查列表用SCCDF来描述评估什么,用oVAI.在目标 系统做相应的测试,用CPE标识检查列表是有效的以及运行测试 件;其次,SCAP包括软件缺陷与安全配置标准化的参考数据, 也被称作SCAP内容。 表l列出了目前的SCAPI.0协议组件,这些组件按类 的平台,用CCE标识在检查列表中被访问或被评估的安全配置设 置,用CVE参考已知的脆弱性,CVSS用于分级这些脆弱性。 2.1 XCCDF 型分为:列举(Enumerations)组,为安全与产品相关的信息 定义了标准表述符与目录;脆弱性测量与评分(Vulnerability Measurement and Scoring)组,用于测量脆弱性特征以及 根据这些特征给予评分l表述与检查语言(Expression and Checking Languages)组,运用XML Schema说明检查列表, XCCDF基本数据模型由四个主要的对象数据类型组成。 基准(Benchmark) 可以简单理解为检查列表,一个 XCCDF只能拥有一个基准对象,它相当于一个容器,包含条 目及其它的对象。 条目(Item)条目是一个基准对象中的命名要素,每一条 目有一个唯一的参考ID。 条目包含三种类型。 a)组(C,rom)这种类型条目可以包含其 产生检查列表报告,以及说明用于检查列表的低级测试过程。 关于SCAP内容,存在多个资源,例如NVD拥有CPE 表1 SCAP 1 0协议组件 它条目,即一个组可以包含其它的组以及规则 SCAP镪懈 列举 橇遴| \ 蹩 经 |l 与值。一个组可以被选择,也可以不被选择。 b)规则(Rule) 这种类型条目定义具 通用配置列举 定义了与安全相关的系 MITRE Corporation (CCE:Common Configuration 统配置项的标准标识符 Enumeration) 与目录 通用平台列举 定义了平台及版本大多 MITRE Corporation (CPE:Common PI atfo rm 标准名称与目录 Enumeration} 体的检查规则,可以拥有检查参考与评分权 重。一个规则可以被选择,也可以不配选择。 C)值(Value)这种类型条目是一命名 的数据值,可以理解为允许用户为每种规则 预定义的可选值。 通用脆弱性与漏洞列举 定义了与软件缺陷相关 MITRE Corporation (CVE:Common VulnerabiIities 的标准标识符与目录 and Exposures) 脆弱性测量与评分 轮廓(Profile) 轮廓定义了对规则、组 通用脆弱性评分系统 定义了脆弱性对系统影 F0rum of Incident Response 与值对象的共性收集。 (CVSS:Common Vulnerability 响的评分 and Seou ritY Team s Scoring System) (FIRST) 测试结果(TestResult) 测试结果对象 表述与检查语言 记录单独的设备或系统的合规性测试结果。 扩展配置检查列表描述格式 定义了检查列表与检查 National Security Agency (X C CD F:E Xt e n si bI e 报告的XML描述格式 (NSA)and NIST 图1显示了这几种数据对象类型的关系。 Configu ratiOI3 CheckIi st Description FOrmat) XCCDF的目的是提供一种统一的方式 开放脆弱性评估描述语言 定义了用于检查列表的 MITRE Corporation (OVAL:Open VulnerabiIity 低级测试过程 and Assessment Language) 描述安全检查列表与检查列表的评估结果。 XCCDF文档由一个或多个XCCDF规则组 成。每一个XCCDF规则是系统中一个技术 信息安全与技术・2010.12・23・ Technology and Study・技术探讨 个系统。 个基准对应一个楂啬 4表的完整 描谜 一详细清单定义:定义条件以决定是否软件的特定部分被 安装在系统上。 /1;螽 嘴 合规性定义:定义条件以决定是否计算机已符合特定的 策略或配置描述。 OVAL语言借助XML语法描述,包含三种核心的 豹规则与lil墨 霍 _}—1 i 定义的 — 共性定义 Schema,即OVAL定义Schema,对以上四种类型的OVAL 图1 定义进行描述;OVAL系统特征Schema,根据系统的实际特 征进行相应的编码描述;OVAL结果Schema,是对分析结果 检查点的高级定义。一个规则没有直接说明怎样做一个检查, 而是间接的通过OVAL的定义文件来说明相应的检查方法。 2.2 OVAL 的详细编码描述。 图2说明了怎样运用OVAL三种核心Schema描述与分 析一个实际系统脆弱性过程。 OVAL用于表达标准化的、机器可读的规则,这些规则能 用于评估系统的状态。在SCAP框架下,OVAL通常用于决 定存在的缺陷与不安全配置。一套用于检查安全问题的指令 (例如:一不正确的最小口令长度设置)被称作一个OVAL定 2.3 CPE、CVE与CCE 这部分描述来了SCAP1.0中的三个列举规范:CPE 2.2, CCE 5与CVE。SCAP列举基本上都包含一个ID,一个相关 的描述或定义,与一个支持的参考列表。下面对每一个规范以 及它们之间的相互依赖关系给予说明。 CPE 2.2是对操作系统、硬件与软件的标准命名规范,它 使得不同的组织可以共享相同的名字,以及针对特定平台获得 相同的解决方案。一个单独的CPE命名语法如下: cpe:/{part}:{vendor}:{product}:{version}:{update}: {edition}:{language} 义(Definition),包含一个或多个OVAL定义的文件称为一个 OVAL定义文件。 有四种类型的OVAL定义: 脆弱性定义:定义了针对特定的脆弱性的出现,在计算机 上必须存在的条件。 补丁定义:定义条件以决定是否一个特定的补丁适合一 图2 ・24・2010.12・WWW infosting.org 技术探讨・Technology and Study 例如,“cpe:/o:redhat:enterprise_linux:2.1::es”是指 CVE ID:CVE-2000-0001 DescriptiOn:RealMedia server allows remote attackers to cause a denia1 of service via a long ramgen request. RedHat企业服务器版2.1,“O 指示这个CPE描述一个操作 系统。在这个例子中,“edition”域是空白,表示这个CPE应 用于RedHat企业版服务器2.1的所有版本。CPE在sCAP 中应用有几种方式。 References:BUGTRAQ:19991222 RealMedia Server XCCDF:在一个XCCDF检查列表中,CPE名字能用 于标识一个XCCDF对象(Benchmark、Profile,Group或 5.0 Crasher(rmscrash.C) BID:888.URL:http://WWW.8ecl】一ty 0cl】s.corn/bid/888 Rule)应用的硬件或软件平台。 CCE:CCE通过关联CPE用以说明配置缺陷发生的平台。 CVE:CVE被关联到CPE描述的一个或多个平台。这种 映射关系被保存在NVD中。 CCE 5用于标准化安全配置问题与条目。每一种安全相 关的配置问题被分配一个唯一的ID以便于快速、精确地发现 多个信息源与工具之间配置数据的相互关系。MITRE公司 维护与出版CCE列表,每个CCE条目包括5种属性:一个唯 一的ID,一个配置问题的描述,CCE的逻辑参数,相关的技术 机制,与附加信息源的参考。下面是一个用于Windows XP 中GeE条目的例子。 CCE ID:CCE-3108-8 Definition:The correct service permissions for the Telnet service should be assigned. Parameters:(1)set of accounts(2)list of permissions Technical Mechanisms:(1)set via Security Tempiares(2)defined by Group Policy References:Listed at http://cce.mitre.org/lists/ cce_list.html 在一个XCCDF检查列表中,CCE用于说明哪些安全配 置设置应被检查,OVAL运用CCE条目也是同样的目的。 CVE用于标准化公共已知的软件缺陷。这种通用的命名机 制允许多个组织间共享数据,有效地集成服务于工具。例如,一 个纠错工具可以运用几个扫描器与检测传感器的eVE信息来制 定一种集成的风险消除解决方案。CVE的好处表现在几方面: 公共已知软件缺陷的全面的列表 一个全球唯一的名字来标识每一个脆弱性; 讨论脆弱性特性与风险的基础; 是用户集成脆弱性信息到不同工具与服务的方式。 每个CVE条目由一个唯一名字,一个简短描述与参考组成。 下面是一CVE条目的例子。 2.4 CVSS CVSs2.0提供了一种可重复的方法以评估和表达软件缺 陷的风险。运用这种共享的评分模型可以很容易的比较脆弱性 的严重程度。CVSS提供了三种尺度用以权重脆弱性的评分。 基本因素——脆弱性的内在因素决定的基本分数。 时间因素——捕捉随时间而改变的外部因素,考虑时间 因素来调整基本分数。 环境因素——标识了~个组织操作环境的上下文中这种 脆弱性的严重程度。 CVSS可以帮助组织理解多种脆弱性的相对重要性,从而 使他们能有效地评估、优化与消除脆弱性。因为每周会公开发 布数百个脆弱性问题,因此找到一种容易的方法标识哪些脆 弱性会对系统带来重要的影响是非常重要的。NVD分析专家 为所有的CVE条目计算与发布CVSS基本评分,但是每个组 织将根据他们特定的时间因素与环境因素来裁剪基本评分以 得到实际的脆弱性评分。 5.标准的评估认证 NIST已经建立了SCAP产品认证体系与SCAP实验 室委任体系,这些体系一起确保SCAP产品的测试与验证 过程。SCAP测评实验室需要经过美国国家实验室自愿认 可计划(NVLAP)的授权。实验室~经授权,实验室就可 以根据NISTIR (National Institute of Standards and Technology Interagency Report)751 1中的DTR(Derived Test Requirements)的描述进行SCAP产品测试。 产品经测试后,测评实验室将发布测试报告(包括特定产 品的需求列表,被需要的开发商文档,由实验室做的详细的测 试总结)给SCAP产品认证体系,产品认证体系专家将审阅测 试报告,然后发布产品认证。 一个产品可以被认证符合六个SCAP组件规范的一个或 多个,或单独的符合一个特定的SCAP能力。所谓SCAP能 力不是指产品类型,而是产品运用SCAP的方式,如认证的 脆弱性扫描器、认证的配置扫描器、入侵检测与预防、漏洞修 信息安全与技术・2010.12・25・ Techno l ogy and Study・技术探讨 补、错误配置修补、设备管理、脆弱性数据库等等。 Confiurations.https://datatracker。igeff.org/doc/draft— landfield-scap-naming/. 随着SCAP被应用到更多类型的安全工具,SCAP能力 列表将随着时间而不断发展。SCAP认证体系保证一个产品 符合一套SCAP能力与/或一个或多个SCAP组件规范。 [4]Open Vulnerability and Assessment Language (OVAL).http://ova1.mitre.org/. 如果没有重新认证的话,SCAP产品的认证有效期仅为一 年,这保证SCAP产品始终与SCAP技术发展同步,持续的结 合SCAP的参考数据为基础,使用最新的与改进的方法对产 品进行重新测试。 [5】Common Configuration Enumeration(CCE).http:// cce.mitre.org/. 【6】Common Platform Enumeration(CPE).http://cpe. mitre.org/. 4.SCAP展望 目前,全球已有30个厂商获得了扫描与审计产品的 scAP认证。不难发现越来越多的厂商、组织与社团加入 到SCAP的研究与发展中,它已经成为业界事实上的标准, 目前正式发布的版本为SCAP 1.0(包括XCCDF i.1.4、 OVAL 5.3与5.4,CPE 2.2、CCE 5、CVE与CVSS 2.0), SCAP1.1目前处于修订中,并且sCAP已经正式提交IETF [7】 Common Vulnerabilities and Exposures(CVE). http://cve.mitre.org/. [8】Common Vulnerability Scoring System(CVSS). http:,, p .ifrst.org/cvss/. 【9】National Voluntary Laboratory Accreditation Program(NVLAP).http://ts.nist.gov/standards/ accreditation/index.cfm. 讨论组,不久的将来即会成为正式的全球标准。 【10】SCAP Validated Tools.http://nvd.nist.gov/ scapproducts.cfm. 参考文献 【1】SCAP Homepage.http://scap.nist.gov. 【2]The Extensible Configuration Checklist Description Format(XCCDF)Version 1.1.4.htt!as://datatracker. ietf.org/doc/draft—waltermire—scap-xccdf/. 【11】National Checklist Program.http://ch ̄dists.nist.gov. 【121 National Vulnerability Datal ̄se.http://nvd.nist.gov. 作者简介: 张力{1973一).男.西安电子科技大学硕士.高级咨询顾问:主要从 事FIPS与CC方面的研究 咨询与测评工作。 【3】Naming Conventions for Vulnerabilities and 【上接第21页】会有错? 科学家们的努力。 不过,现在也已经有一些系统使用多重认证的方式了,就 是不仅仅需要密码,还需要认证你的个人特征和你持有的物理 设备才能通过。比如先要检测你的指纹或视网膜,通过之后还 需要插入你的USB Key或者刷卡,最后再输入密码。相信, 即使在不遥远的将来,密码也不会被淘汰,它只会不断地更换 自己存在的方式而已。 5.展望下一代密码 传统的密码已经被证实不安全了,还有一次性临时密码、 加密狗都可以被破解或计算出来,也许在未来超级计算机的威 力之下,破解一个3000位的无规则密码也只需要3秒钟时间, 那么我们还需要考虑使用“字符”来做密码吗? 于是新的密码品种——下一代密码就应运而生了,我给它 取个名字叫NGP(Next Generation Password),有生物密 码,如视网膜识别、指纹识别、DNA识别、血型识别、性别识别、 参考文献 [1】Mark Burnett.Perfect passwords:selection,protcteion, authentication.Syngress Publishing,Inc.,2005. 感情识别、心跳脉搏识别;还有物理密码,如重量识别、温度识 别、湿度识别、语音识别、光识别、颜色识别、气体识别、气味识 别等等都可以起到控制开关的作用。 想象一下未来只有在特定的重量、温度和湿度的情况下, 作者简介: 再加上视网膜、指纹、语音、DNA、血型识别通过之后才能打开 保险箱,多牛气。当然这只是一个幻想,能不能实现还要依靠 ・何伊圣(1990一),男,蓝盾信息安全技术股份有限公司攻防研究员 擅长渗透测试与w曲漏洞挖掘。 26・2010.12・WWW.infosting.org