第 9 章 管理安全合规性
安全合规管理是定义安全策略的持续流程,审计系统符合这些政策,并解决不合规实例。任何非合规均根据机构的配置管理策略进行管理。安全策略涵盖了从主机特定于行业范围的范围,因此需要其定义灵活性。
使用 Satellite,您可以在所有注册的主机上调度合规审计和报告。
9.1. 安全内容自动化协议
Satellite 使用安全内容自动化协议(SCAP)标准来定义安全策略。
SCAP 是基于 XML 的多个规格的框架,如可扩展检查列表配置描述格式(XCCDF)和开放漏洞和评估语言(OVAL)中描述的漏洞。这些规格被封装为 数据流文件。
XCCDF 中的清单项目(也称为 规则 )表达了系统项目所需的配置。例如,规则可以指定没有人可以使用 root 用户帐户通过 SSH 登录主机。规则可以分组到一个或多个 XCCDF 配置集 中,允许多个配置集共享规则。
OpenSCAP 扫描程序工具针对规则评估主机上的系统项目,并在资产报告格式(ARF)中生成报告,然后返回到 Satellite 来监控和分析。
表 9.1. OpenSCAP 扫描程序支持的 SCAP Framework 1.3 中的规格
| 标题 | 描述 | 版本 |
| SCAP | 安全内容自动化协议 | 1.3 |
| XCCDF | 可扩展配置检查列表描述格式 | 1.2 |
| OVAL | 开放漏洞和评估语言 | 5.11 |
| - | 资产识别 | 1.1 |
| ARF | 资产报告格式 | 1.1 |
| CCE | 常见配置枚举 | 5.0 |
| CPE | 常见平台枚举 | 2.3 |
| CVE | 常见的漏洞和风险 | 2.0 |
| CVSS | 通用漏洞评分系统 | 2.0 |
其他资源
- 有关 SCAP 的更多信息,请参阅 OpenSCAP 项目。
