字体选择：【大】　【中】　【小】

其他SCAP元素 　　CVE（Common Vulnerabi li ties andExposures：通用漏洞及披露）是包含了公众已知的信息安全漏洞的信息和披露的集合。CCE（Common Configuration Enumeration：通用配置枚举）是用于描述计算机及设备配置的标准化语言。CPE（Common Platform Enumeration：通用平台枚举）是一种对应用程序、操作系统以及硬件设备进行描述和标识的标准化方案。 　　CVSS（Common Vulnerability Scoring System：通用漏洞评分系统）是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定其紧急度和重要度。在SCAP版本1.2中，引入了另外两个新标准：OCIL（Open Checklist Interactive Language：开放检查单交互语言）和CCSS（Common Configuration Scoring System：通用配置评分系统）。OCIL能够用来处理安全检查中需要人工交互反馈才能完成的检查项，CCSS作用与CVSS类似，不过CCSS关注的是系统配置缺陷的严重程度。 　　SCAP Content（SCAP内容） 　　SCAP Content指的是遵照SCAP Protocol标准设计制作的用于自动化评估的数据，其实体是一个或多个XML文件。一般来说正式发布的SCAP Content至少包含两个XML文件，一个是XCCDF，另一个是OVAL，这些文件能够直接输入到各类安全工具中执行实际的系统扫描。Content中也可以包含描述其他SCAPElement的XML文件。按照SCAP Protocol标准组织的多个XML 文件也被称为SCAP Data Stream（SCAP数据流）。 　　当前，无论是厂商、官方还是开源社区均提供了大量的SCAP Content。由于SCAP的开放性，这些资源为我们进行系统管理提供了很有价值的参考和极大的便利。 　　厂商提供的SCAP Content 　　Redhat在与SCAP整合方面做出了很多的努力，Redhat公司会定期发布针对其企业版本的Linux（RHEL）进行补丁及配置检查的OVAL文件，这些文件能够在http://www.redhat.com/security/data/oval下载。Fedora是基于Redhat Linux的一个免费的桌面发行版，它同样继承了Redhat在与SCAP整合方面的优势，大部分用于RHEL的SCAP内容能够很好地使用在Fedora系统上。Microsoft在其Security Compliance Manager（安全合规性管理器）中提供了大量用于检测Microsoft产品安全性的SCAP Content。 　　NVD及其他官方提供的SCAP Content 　　由NIST主导的NCP（National Checklist Program：美国国家检查单项目）现已积累了大量的用于系统安全性检查的SCAP Content，这些内容可以从NCP的官方网站http://web.nvd.nist.gov/view/ncp/repository处得到。NVD（National Vulnerability Database：美国国家漏洞库）中所有的漏洞均使用SCAP标准中的OVAL、CVE与CCE描述，可以从其官方网站http://nvd.nist.gov获取这些资源。此外，NIST还提供了FDCC、USGCB等项目的SCAP内容。 首页 上一页 1 2 3 4 5 6 7 下一页 尾页

页面功能　【打印】 【关闭】 【我有话说】