利用SCAP有效進行主機安全管理（二）

文/王珩 諸葛建偉

上一期我們向大家介紹了什么是SCAP、與SCAP相關的開源工具，以及如何利用SCAP和開源工具對系統進行安全性掃描。但是，我們不能滿足于使用現有的SCAP資源，如果想讓SCAP發揮更大的作用，我們需要進一步了解SCAP，去開發適合自身需求的SCAP Content。本文將對SCAP進行深入的探索，了解其技術細節并指導大家如何利用開源工具開發SCAP。

表1 XCCDF Rule數據結構

圖1 XCCDF文檔層次結構

SCAP技術細節

SCAP給安全評估帶來標準化的同時，也提供了一個開放的平臺。任何人都可以按照SCAP Protocol所指定的規范開發新的SCAP Content。開發SCAP Content之前，我們需要對每一種SCAP Element的文件格式進行了解，并應當清楚它們如何在一個完整的SCAP Content中進行交互。SCAP的核心是語言類Element，即XCCDF和OVAL，對SCAP的深入探索過程中將把它們作為重點進行介紹。

XCCDF技術細節

XCCDF文檔使用XML格式表述，由Benchmark、Profile、Group、Rule、Check、Value等元素構成，以樹的方式進行組織，如圖1所示。樹的最底層為Rule和Value，這兩個元素表達了XCCDF文檔中最細節的內容，每個Rule為一個檢查項，而Value指定了檢查過程中可能需要使用到的可變參數。Group用于將Rule和Value按照一定的邏輯關系組合成多個類別，Group可以嵌套，形成多級的結構。Profile用于完成檢查單的組合和裁剪工作，在Profile中使用select標記選擇一個或多個Rule id，構成包含多個Rule的檢查單，一個Profile對應一張檢查單，根據需要，一個XCCDF文檔可以包含多個Profile。樹的根節點是固定的，為Benchmark，根節點的屬性中保存了一些XCCDF文檔的基本屬性數據。

（1）XCCDF Rule（XCCDF規則）

Rule是XCCDF中描述檢查項的最細節內容，但它并沒有定義檢查項與系統交互的技術細節，這些技術細節是在OVAL文檔中定義的，XCCDF Rule中只是定義了一個指向OVAL文檔特定部分的指針（即OVAL Definition id）。常見的Rule內容如表1所示。

通常，Rule ID會被多個Profile引用。這種機制使得在一個XCCDF基準測試（Benchmark）文檔中能夠描述多個檢查單，而且檢查內容能夠根據需求方便地裁剪和組織，更加有利于上層規范（如FISMA、ISO27001等）到底層技術細節（OVAL定義）的落地。

（2）XCCDF Value（XCCDF取值）

XCCDF文檔支持由用戶自定義變量的值取值，使用Value元素來表達。表2是一個Value元素的示例數據，它定義了用戶的最短口令長度策略，在Operator（操作）中定義了進行合規判定時使用的操作符，本例中為Greater than or equal（大于或等），也就是說如果系統現有值大于或等于測試時使用的標準值，那么判定結果是合規的。檢查單的使用者可直接對這些值進行修改，或在Profile中使用refine-value定義一個新的值，以適應不同環境中的不同需求。

（3）典型的XCCDF文檔片段

下面展示了FDCC 1.2.1.0版的關于Windows XP系統配置描述的XCCDF文檔的整體結構，由于篇幅有限，我們只保留了能表明其整體架構的片段，并在其中加入了相關的說明性文字。通過這段XML代碼，更能夠加深我們對XCCDF文檔結構的理解。

表2 XCCDF Value數據結構

圖2 OVAL文檔層次結構

圖3 OVAL Definition層次結構

OVAL文檔提供了一種機器可讀的對系統進行安全評估的操作指南，它可用來描述系統的配置信息、分析系統的安全狀態、報告評估結果等。典型的OVAL文件由Definition（定義）、Test（測試）、Object（對象）、State（狀態）和Variable（變量）等要素構成，其文檔結構相對XCCDF來說比較簡單，主要是將各個要素以枚舉的方式列出，如圖2所示。

OVAL技術細節

Definition是OVAL中最重要的組成元素，它會引用一個或多個Test，根據Test的結果綜合判定整體的結果，Test引用Object和State與系統交互并得出檢查結果，State可以使用固定值或引用Variable中的變量。Definition、Test、State、Object和Variable各要素之間的邏輯關系如圖3所示。在圖3中，Definition1包含兩個Test，假設其判定標準為如果兩個Test均為True，那么整個Definition結果為True。例如，如果Test1測試結果為True，Test2測試結果為False，根據Definition1中的判定條件Test1=True AND Test2=True，整個Definition的測試結果為False。

（1）OVAL Definition（OVAL定義）

OVAL Definition用于描述如何對某一特定安全問題進行檢查，通常一個OVAL文檔中包含多個Definition。目前，主要有四類Definition： Vulnerability（漏洞），描述如何根據系統狀態判定系統中是否存在某個特定漏洞；Patch（補丁），與Vulnerability類似，但它更關注如何判定系統中是否安裝了某個特定補丁；Inventory（軟件），描述如何對系統中是否安裝了某個特定的軟件進行判定；Compliance（合規），描述如何對系統是否滿足某個特定的配置要求進行判定。表3 OVAL Definition數據結構是一個OVAL Definition的示例數據。

（2）OVAL Test（OVAL測試）

Test通過定義一組Object和State來執行測試，OVAL Test的數據結構如表4所示，而圖3則較為清晰地表達了Test中Object和State是如何相互配合執行測試的。

（3）OVAL Object（OVAL對象）

Object指明系統中用于測試的對象，由于OVAL中的Object分為多種類型，每種類型的Object數據結構各不相同，如下面是一個passworkpolicy_object的定義，可以看出系統策略類的Object只需要指明一個id即可被解釋器識別：

下面是一個registry_object的定義，可以看到注冊表類Object需要指明注冊表Hive、注冊表路徑和注冊表項目名稱：

表3 OVAL Definition數據結構

表4 OVAL Test數據結構

（4）OVAL State（OVAL狀態）

State指明用于測試的對象的狀態值，同Object類似，State也分為多種類型，每種類型的State數據結構不相同，下面是一個passwordpolicy_state的定義：

下面是一個registry_state的定義，用來識別注冊表中獲取的值能與字符串“Windows 7”相匹配，可以在Value中使用正則表達式以更好的完成字符串匹配工作。

可以看出，State中可以使得var_ref引用一個Variable對象表示State的值，或者直接將值寫入到value節點中。

（5）OVAL Variable（OVAL變量）

Variable定義了執行測試時State所需的值，其有三種類型：constant_variable（常量）、local_variable（本地變量）和external_variable（外部變量）。Constant_variable定義一個不能在運行時改變的值，local_variable定義在OVAL中直接使用的值，而external_variable通常用于將XCCDF的Value值傳遞到OVAL中。下面是一個external類型的Variable定義：

（6）典型的OVAL文檔片段

下面展示了USGCB 1.2.0.0版的用于Windows 7系統基線配置檢查的OVAL文檔的片段，通過這段XML代碼，更能夠加深我們對OVAL文檔結構的理解。

其它標準在XCCDF與OVAL中的融合

（1）CVE/CCE/CPE

在每個XCCDF Rule中均可以包含一個或多個ident元素，可在其中指出CVE、CCE或CPE標識的參考數據。如果Rule中包含OVAL Definition的鏈接，那么ident中所指的CVE、CCE及CPE參考應當與OVAL Definition中的參考一致。在XCCDF Rule中，ident使用system屬性指出參考數據的類型，如果Rule包含OVAL Definition的鏈接，那么OVAL Definition的類型應當與system屬性相適應。表5列出了XCCDF中ident元素的使用方法。

下面是一段用于檢查系統配置的XCCDF Rule中使用ident的示例：

（2）CVSS/CCSS

由于CVSS的基礎評分（base score）經常會根據系統環境的不同而發生變化，因此XCCDF文檔中并不直接引用CVSS。在CVE中，會包含對CVSS的引用。而CCSS則沒有此類問題，因此在XCCDF中，可以直接在Rule節點的weight屬性中引用CCSS的值（0到10）。下面是在XCCDF Rule中使用CCSS的示例：

eSCAPe開源項目

eSCAPe全稱是Enhanced SCAP Editor（增強的SCAP編輯器）是一個基于Java的跨平臺SCAP內容編輯器，可以從其官方網站http://www.g2-inc.com/escape下載最新版的eSCAPe。

eSCAPe支持XCCDF和OVAL兩種語言，我們不需要了解過多的SCAP技術細節便能輕松地使用eSCAPe輕松地創建或編輯SCAP內容。

在使用eSCAPe之前，需要計算機上安裝了JVM，我們可以從Oracle網站獲取Java Runtime Environment程序。環境準備就緒后，Windows用戶運行startEditor.bat，Linux用戶運行startEditor.sh啟動編輯器。

下面演示如何制作一個簡單的SCAP Content。首先點擊Wizard-Driven啟動向導。第一步需要我們選擇OVAL版本，定義OVAL命名空間標識，并選擇創建的OVAL Definition類型。需要注意的是，不同版本的OVAL語言格式會有所差別，請根據你的OVAL解釋器的版本選擇，否則可能會造成OVAL解析錯誤。

點擊Go!按鈕后，會出現編輯OVAL的對話框。在Title處輸入“To Test Windows Version is 6.1（測試Windows版本為6.1）”，在What is to be tested（測試對象）處選擇“Value of hivekey ame（注冊表值）”，在Registry Hive（注冊表Hive）處選擇“HKEY_LOCAL_MACHINE”，然后將內容填寫完整后點擊Next。

此時編輯器提示我們選擇文件保存位置，這里可以指定一個新的oval文件，或使用已有的OVAL文件，如果是已有文件，剛剛編輯的OVAL Definition會自動添加到舊文件中。需要注意文件名的格式必須是*-oval.xml。

保存完成后，eSCAPe會為我們自動生成兩個文件：winver-oval.xml和winver-xccdf.xml，下面我們便能使用OVALDi對剛剛創建的OVAL文件進行驗證了，將生成的winveroval.xml文件復制到OVALDi的目錄中，運行如下命令：

可以看到我們制作的OVAL文件被OVALDi成功地解析并執行了掃描。

使用Wizard-Driven模式能讓我們在不了解SCAP技術細節的情況下輕松地生成 SCAP內容，不過如果想要對SCAP內容進行更加深入的調整，需要使用功能更加豐富的Standard模式，讀者可自行嘗試。

表5 XCCDF Rule中的XCCDF Ident

SCAP在中國

目前，國內一些機構也開始了對SCAP及相關標準的研究與采納。目前各大安全廠商的產品開始了對諸如CVE、CVSS等標準的集成，國家信息中心在對FDCC等美國政府安全基線充分調研的基礎上提出了我國政務終端桌面核心配置（CGDCC），期望能夠借助SCAP提升政府終端計算機的安全防護能力。

清華大學網絡與信息安全實驗室亦對SCAP及其系列標準有較為深入的研究，并在SCAP協議的基礎上提出了NetSCAP，即網絡化的SCAP協議。NetSCAP充分利用SCAP標準化、自動化、資源豐富等優勢，實現了基于開放分類的SCAP內容存儲方案，將零散的SCAP資源有效組織成有機整體，能夠靈活地生成適應不同防護需求的安全基線檢查單。此外，NetSCAP在已有開源SCAP掃描工具的基礎上，實現了一套網絡化基線管理框架，實現了集中的SCAP內容分發、終端控制、檢查結果上報分析等功能。

本文對SCAP的技術細節以及如何生成SCAP Content進行了詳細的介紹。由于SCAP開放性、標準化的思想，其在信息安全分析、評估領域占有舉足輕重的地位，希望有更多的人能夠加入到SCAP研究、采納和發展的工作中來，讓它在我國的信息安全領域發揮更重要的作用。