SCAP เป็นตัวย่อสำหรับ Security Content Automation Protocol มีวัตถุประสงค์เพื่อใช้มาตรฐานความปลอดภัยที่ได้รับการยอมรับแล้วกับองค์กรที่ไม่มีอยู่ในขณะนี้หรือมีการใช้งานที่อ่อนแอ
กล่าวคือช่วยให้ผู้บริหารระบบรักษาความปลอดภัยสามารถสแกนคอมพิวเตอร์ซอฟต์แวร์และอุปกรณ์อื่น ๆ ตามพื้นฐานการรักษาความปลอดภัยที่กำหนดไว้เพื่อพิจารณาว่าแพตช์การกำหนดค่าและซอฟต์แวร์มีการใช้งานตามมาตรฐานที่เปรียบเทียบหรือไม่
ฐานข้อมูลช่องโหว่แห่งชาติ (National Vulnerability Database - NVD) คือที่เก็บเนื้อหาของรัฐบาลสหรัฐฯสำหรับ SCAP
บันทึก: มาตรฐานการรักษาความปลอดภัยบางอย่างที่คล้ายคลึงกับ SCAP ได้แก่ SACM (การรักษาความปลอดภัยอัตโนมัติและการตรวจสอบอย่างต่อเนื่อง), CC (Common Criteria), SWID (Software Identification) tags และ FIPS (Federal Information Processing Standards)
SCAP มีส่วนประกอบหลัก 2 ส่วน
มีสองส่วนหลักใน Security Content Automation Protocol:
เนื้อหา SCAP
โมดูลเนื้อหา SCAP เป็นเนื้อหาที่มีอิสระซึ่งพัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) และพาร์ทเนอร์ในอุตสาหกรรมโมดูลเนื้อหาถูกสร้างขึ้นจากการกำหนดค่า "ปลอดภัย" ที่ตกลงกันโดย NIST และคู่ค้าของ SCAP
ตัวอย่างเช่นการกำหนดค่ากลางของเดสก์ท็อปของรัฐบาลกลางซึ่งเป็นโครงสร้างพื้นฐานที่มีการรักษาความปลอดภัยในบางรุ่นของ Microsoft Windows เนื้อหาทำหน้าที่เป็นพื้นฐานสำหรับการเปรียบเทียบระบบที่สแกนโดยเครื่องมือสแกน SCAP
สแกนเนอร์ SCAP
สแกนเนอร์ SCAP เป็นเครื่องมือที่เปรียบเทียบคอมพิวเตอร์เป้าหมายหรือการกำหนดค่าของแอ็พพลิเคชันและ / หรือระดับแพทช์เทียบกับพื้นฐานของเนื้อหา SCAP
เครื่องมือนี้จะสังเกตการเบี่ยงเบนใด ๆ และจัดทำรายงาน เครื่องสแกน SCAP บางเครื่องยังมีความสามารถในการแก้ไขคอมพิวเตอร์เป้าหมายและนำไปปฏิบัติตามมาตรฐานที่กำหนด
มีเครื่องสแกน SCAP แบบเชิงพาณิชย์และแบบโอเพนซอร์สจำนวนมากซึ่งขึ้นอยู่กับชุดคุณลักษณะที่ต้องการ เครื่องสแกนเนอร์บางเครื่องมีไว้สำหรับการสแกนในระดับองค์กรในขณะที่เครื่องอื่นมีไว้สำหรับการใช้งานเครื่องคอมพิวเตอร์แต่ละเครื่อง
คุณสามารถดูรายการเครื่องมือ SCAP ได้ที่ NVD ตัวอย่างของผลิตภัณฑ์ SCAP ได้แก่ ThreatGuard, Tenable, Red Hat และ IBM BigFix
ผู้ขายซอฟต์แวร์ที่ต้องการผลิตภัณฑ์ของตนได้รับการตรวจสอบว่าเป็นไปตาม SCAP สามารถติดต่อห้องรับรองความถูกต้องของ SCAP ได้รับการรับรองจาก NVLAP