OpenSCAP（CentOS8.5）-安全加固&漏洞评估

一、主要功能

OpenSCAP是RedHat支持的开源项目，可提供安全合规检查和漏洞评估。

1、安全合规：安全合规是计算机系统符合特定安全策略的状态。在不断变化的计算机安全世界中，每天都在发现和修补新的漏洞，因此强制执行安全合规性必须是一个持续的过程。它还需要包括一种对安全策略进行调整的方法，以及定期评估和风险监测。OpenSCAP生态系统提供工具和可定制的策略，以快速、经济且灵活地实施此类流程。

2、漏洞评估：漏洞评估是识别和分类系统漏洞的过程。系统存在未修补的漏洞可能会产生一系列后果，漏洞被攻击者利用可能导致严重损害。在21世纪，任何组织都必须及时检查识别存在

二、安全策略

NIST SP 800-171

NIST SP 800-53

ANSSI

FBI CJIS

HIPAA

ISO 27001-2013

PCI-DSS Requirement

三、工具介绍

SCAP scanner也称为Tool，通过读取SCAP安全策略来检查系统是否合规。Scanner会逐条读取策略中所有的规则，并且报告该规则是否满足，如果所有的规则都检查通过，则说明系统与该策略合规。

相关的工具包括OpenSCAP Base、SCAP Workbench、OSCAP Anaconda Addon、OpenSCAP Daemon SCAPtimony等，相关的工具以“分层”的方式构成了OpenSCAP的生态系统。

1、OpenSCAPBase是最底层的一个工具，可以用于在单个系统上进行合规扫描。

2、SCAPWorkbench是一个图形化界面的工具，其主要使用的是OpenSCAPBase的相关功能。

3、OSCAPAnacondaAddon用于当系统需要高级的安全级别时，在系统初始化的时候就进行合规基线检查及修复。最简单的使用OSCAPAnacondaAddon的方法是使用内置该功能的Linux发行版本，目前只有Red Hat EnterpriseLinux7Update2支持，其他的版本需要自已构建该功能及策略。

4、OpenSCAPDaemon用于持续的扫描多个系统，不管是运行在裸金属上的还是虚拟机上的，甚至可以执行突哭的会规扫描

四、用户手册：在线文档

五、导出报告截图

1、修复前：评分55.7

2、修复后：评分98.4