OVAL学习笔记
它提供了足够的灵活性,可以用于分析Windows、Linux、Unix以及各种嵌入式操作系统的系统状态、漏洞、配置、补丁等情况,并且还能用于描写叙述測试报告。
OVAL可以清晰地对与安全相关的检查点作出描写叙述,并且这样的描写叙述是机器可读的。可以直接应用到自己主动化的安全扫描中。OVAL的核心是“公开”(Open)。这就意味着不论什么人都可以为OVAL的发展作出自己的贡献,共享知识和经验,避免反复劳动。
实际上XCCDF设计的目标是可以支持与多种基础配置检查技术交互。
当中推荐的。默认的检查技术是MITRE公司的OVAL。
在实际的SCAP应用中。XCCDF和OVAL往往是成对出现,XCCDF定义检查单。而OVAL定义每一个检查项的详细实施细节。
OVAL以XML格式描写叙述。包括例如以下几种XML格式(Schema):OVAL定义格式(OVAL Definition Schema),OVAL系统特性格式(OVAL System Characteristics Schema)与OVAL结果格式(OVAL Result Schema)。OVAL系统特性格式用于描写叙述系统信息快照。该快照可用于和OVAL定义文件进行匹配以得出评估结果,OVAL结果格式用于描写叙述评估结果。
在三种OVAL格式中,OVAL定义格式占有较为重要的位置,OVAL定义格式提供了一种机器可读的对系统进行安全评估的操作指南,它可用来描写叙述系统的配置信息、分析系统的安全状态、报告评估结果等。典型的OVAL定义格式的XML文档由定义(Definition)、測试(Test)、对象(Object)、状态(State)和变量(Variable)等要素构成,其结构比較简单。主要是将各个要素以枚举的方式列出。例如以下图所看到的。
“定义”是最重要的构成元素,它会引用一个或多个“測试”,依据“測试”的结果综合判定总体的结果,“測试”使用“对象”和“状态”与系统交互并得出检查结果,“状态”能够使用固定值或引用“变量”中的值。OVAL各组成要素之间的逻辑关系例如以下图。
在下图中,Definition1包括两个“測试”Test1和Test2,假设其判定标准为AND的逻辑关系,那么假设两个Test均为True,整个Definition1结果为True。举例来说,假设Test1測试结果为True,Test2測试结果为False,依据Definition1中的判定条件Test1=True
AND Test2=True,整个Definition的測试结果为False。
OVAL定义
“定义”(Definition)用于描写叙述怎样对某一特定安全问题进行检查。通常一个OVAL文档中包括多个“定义”。主要有四类定义,各自是漏洞(Vulnerability):描写叙述怎样依据系统状态判定系统中是否存在某个特定漏洞;补丁(Patch):与漏洞定义类似。但它更关注怎样判定系统中是否安装了某个特定补丁。软件(Inventory):描写叙述怎样对系统中是否安装了某个特定的软件进行判定;合规(Compliance):描写叙述怎样对系统是否满足某个特定的配置要求进行判定。表1是一个OVAL定义的演示样例数据。
规则字段 | 释义 | 演示样例数据 |
---|---|---|
id | Definition的标识。必须是全局唯一的 | oval:gov.nist.usgcb.winseven:def:7 |
version | Definition的版本号 | 2 |
class | 指定Definition的类别(漏洞、补丁、软件、合规等) | Compliance |
metadata(元标记): | ||
title | Definition的标题 | Minimum Password Length |
affected | 会受到影响的操作系统或应用程序名称及版本号 | Microsoft Windows 7 |
references | 此Definition与其他检查单或文档的映射关系 | NIST SP800-68 Appendix A,1.4b http://cce.mitre.org CCE-9357-5 |
description | Definition的描写叙述 | Minimum Password Length |
Criteria(判定标准): | ||
extend_definition definition_ref | 还有一个Definition的标识(当此Definition须要协同使用还有一个Definition时) | oval:gov.nist.cpe.oval:def:1 |
extend_definition comment | 一般用于指出协同使用上述Definition的原因,本例中是用于判定目标操作系统是否符合要求 | Windows 7 is installed |
criterion test_ref | 此Definition所使用的Test的标识 | oval:gov.nist.usgcb.winseven:tst:36 |
criterion comment | 一般是一段人工可读的语言用于描写叙述出上述Test的检測行为 | Minimum Password Length is greater than or equal to the prescribed value |
OVAL測试
“測试”(Test)通过定义一组OVAL对象(Object)和OVAL状态(State)运行。OVAL 測试的数据结构如表2所看到的。而图2则较为清晰地表达了OVAL測试中OVAL对象与OVAL状态是怎样相互配合运行測试。
规则字段 | 释义 | 演示样例数据 |
---|---|---|
測试类型 | 通过不同的节点名字表达不同的測试类型,如文件、注冊表、策略等 | passwordpolicy_test |
id | 此Test的唯一标识 | oval:gov.nist.usgcb.winsseven:tst:36 |
version | Test的版本号 | 2 |
check_existence | 是否要求必需存在(如注冊表键值) | at_least_one_exists |
object_ref | 此Test使用的Object的id | oval:gov.nist.usgcb.winseven:obj:27 |
state_ref | 此Test使用的State的id | oval:gov.nist.usgcb.winseven:ste:33 |
OVAL对象
“对象”(Object)用来描写叙述測试主体,因为測试主体类别众多(如注冊表、组策略、文件、软件包等),因此Object的类型也非常多,且每种类型的数据结构各不同样。以下是一个passworkpolicy_object的定义,能够看出系统策略类的OVAL对象仅仅须要指明一个id就可以被解释器识别:
<passwordpolicy_object id="oval:gov.nist.usgcb.windowsseven:obj:27" version="2"/>
以下是一个registry_object的定义。能够看到注冊表类OVAL对象须要指明注冊表Hive、注冊表键和注冊表项的名称:
<registry_object id="oval:gov.nist.usgcb.winseven:obj:16" version="2">
<hive>HKEY_LOCAL_MACHINE</hive>
<key>SOFTWARE\Policies\Microsoft\PCHealth\ErrorReporting\DW</key>
<name>DWAllowHeadless</name>
</registry_object>
OVAL状态
“状态”(State)用来描写叙述測试主体的參考状态值。同OVAL对象类似,State也分为多种类型,每种类型的数据结构不同样,以下是一个passwordpolicy_state的定义:
<passwordpolicy_state id="oval:gov.nist.usgcb.winseven:ste:33" version="2">
<min_passwd_len operation="greater than or equal" datatype="int" var_ref="oval:gov.nist.usgcb.winseven:var:22"/>
</passwordpolicy_state>
能够在Value中使用正則表達式以更好的完毕字符串匹配工作。以下是一个registry_state的定义,用来识别注冊表中获取的值能与字符串“Windows 7”相匹配。
<registry_state id="oval:org.mitre.oval:ste:5027" version="4" comment="Matches with Windows 7">
<value operation="pattern match">
^[a-zA-Z0-9\(\)\s]*[Ww][Ii][Nn][Dd][Oo][Ww][Ss] 7[a-zA-Z0-9\(\)\s]*$
</value></registry_state>
能够看出,OVAL状态中能够使用var_ref引用一个OVAL变量表示OVAL状态的值。或者直接将值写入到value节点中。
OVAL变量
“变量”(Variable)定义了执行測试时State所需的值,其有三种类型:常量(constant_variable)、本地变量(local_variable)和外部变量(external_variable)。常量定义一个不能在执行时改变的值,本地变量定义在OVAL中直接使用的值。而外部变量通经常使用于将XCCDF的Value值传递到OVAL中。以下是一个外部变量的定义:
<external_variable comment="Minimum Password Length is greater than or equal to the prescribed value" datatype="int" id="oval:gov.nist.usgcb.winseven:var:22" version="2"></external_variable>
以下是小弟自己写的验证系统是否为win10的oval:
<? xml version="1.0" encoding="UTF-8"?> -<oval_definitions xsi:schemaLocation="http://oval.mitre.org/XMLSchema/oval-definitions-5 oval-definitions-schema.xsd http://oval.mitre.org/XMLSchema/oval-definitions-5#windows windows-definitions-schema.xsd http://oval.mitre.org/XMLSchema/oval-definitions-5#independent independent-definitions-schema.xsd http://oval.mitre.org/XMLSchema/oval-common-5 oval-common-schema.xsd" xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:oval="http://oval.mitre.org/XMLSchema/oval-common-5" xmlns:oval-def="http://oval.mitre.org/XMLSchema/oval-definitions-5"> <generator> <oval:product_name>The OVAL Repository</oval:product_name> <oval:schema_version>5.10.1</oval:schema_version> <oval:timestamp>2015-07-24T02:18:25.200-04:00</oval:timestamp> </generator> <definitions> <definition xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5" class="inventory" version="3" id="oval:org.mitre.oval:def:28779"> <metadata> <title>Microsoft Windows 10 Insider Preview is installed</title> <affected family="windows"> <platform>Microsoft Windows 10 Insider Preview</platform> </affected> <reference ref_id="microsoft_windows_10_insider_preview" source="ICM"/> <description>The operating system installed on the system is Microsoft Windows 10 Insider Preview.</description> <oval_repository> <dates> <submitted date="2015-05-07T08:31:03"> <contributor organization="ALTX-SOFT">Maria Mikhno</contributor> </submitted> <status_change date="2015-05-12T14:33:42.950-04:00">DRAFT</status_change> <status_change date="2015-06-01T04:00:20.683-04:00">INTERIM</status_change> <status_change date="2015-06-22T04:00:44.312-04:00">ACCEPTED</status_change> </dates> <status>ACCEPTED</status> </oval_repository> </metadata> <criteria> <criterion test_ref="oval:org.mitre.oval:tst:99" comment="the installed operating system is part of the Microsoft Windows family"/> <criterion test_ref="oval:org.mitre.oval:tst:138532" comment="Check if Microsoft Windows 10 Insider Preview is installed"/> </criteria> </definition> </definitions> <tests> <family_test xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5#independent" version="1" id="oval:org.mitre.oval:tst:99" comment="the installed operating system is part of the Microsoft Windows family" check="only one" check_existence="at_least_one_exists"> <object object_ref="oval:org.mitre.oval:obj:99"/> <state state_ref="oval:org.mitre.oval:ste:99"/> </family_test> <registry_test xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5#windows" version="1" id="oval:org.mitre.oval:tst:138532" comment="Check if Microsoft Windows 10 Insider Preview is installed" check="all" check_existence="at_least_one_exists"> <object object_ref="oval:org.mitre.oval:obj:5590"/> <state state_ref="oval:org.mitre.oval:ste:38384"/> </registry_test> </tests> <objects> <family_object xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5#independent" version="1" id="oval:org.mitre.oval:obj:99" comment="This is the default family object. Only one family object should exist."/> <registry_object xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5#windows" version="1" id="oval:org.mitre.oval:obj:5590" comment="This registry key identifies the Windows ProductName"> <hive datatype="string">HKEY_LOCAL_MACHINE</hive> <key datatype="string">SOFTWARE\Microsoft\Windows NT\CurrentVersion</key> <name datatype="string">ProductName</name> </registry_object> </objects> <states> <family_state xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5#independent" version="2" id="oval:org.mitre.oval:ste:99" comment="Microsoft Windows family"> <family operation="case insensitive equals">windows</family> </family_state> <registry_state xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5#windows" version="1" id="oval:org.mitre.oval:ste:38384" comment="The registry key matches with Windows 10 Insider Preview"> <value operation="pattern match">^.*Windows.*10.*Insider.*Preview.*$</value> </registry_state> </states> </oval_definitions>
OVAL学习笔记的更多相关文章
- 平衡树学习笔记(6)-------RBT
RBT 上一篇:平衡树学习笔记(5)-------SBT RBT是...是一棵恐怖的树 有多恐怖? 平衡树中最快的♂ 不到200ms的优势,连权值线段树都无法匹敌 但是,通过大量百度,发现RBT的代码 ...
- 平衡树学习笔记(5)-------SBT
SBT 上一篇:平衡树学习笔记(4)-------替罪羊树 所谓SBT,就是Size Balanced Tree 它的速度很快,完全碾爆Treap,Splay等平衡树,而且代码简洁易懂 尤其是插入节点 ...
- 平衡树学习笔记(3)-------Splay
Splay 上一篇:平衡树学习笔记(2)-------Treap Splay是一个实用而且灵活性很强的平衡树 效率上也比较客观,但是一定要一次性写对 debug可能不是那么容易 Splay作为平衡树, ...
- 平衡树学习笔记(2)-------Treap
Treap 上一篇:平衡树学习笔记(1)-------简介 Treap是一个玄学的平衡树 为什么说它玄学呢? 还记得上一节说过每个平衡树都有自己的平衡方式吗? 没错,它平衡的方式是......rand ...
- js学习笔记:webpack基础入门(一)
之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...
- PHP-自定义模板-学习笔记
1. 开始 这几天,看了李炎恢老师的<PHP第二季度视频>中的“章节7:创建TPL自定义模板”,做一个学习笔记,通过绘制架构图.UML类图和思维导图,来对加深理解. 2. 整体架构图 ...
- PHP-会员登录与注册例子解析-学习笔记
1.开始 最近开始学习李炎恢老师的<PHP第二季度视频>中的“章节5:使用OOP注册会员”,做一个学习笔记,通过绘制基本页面流程和UML类图,来对加深理解. 2.基本页面流程 3.通过UM ...
- 2014年暑假c#学习笔记目录
2014年暑假c#学习笔记 一.C#编程基础 1. c#编程基础之枚举 2. c#编程基础之函数可变参数 3. c#编程基础之字符串基础 4. c#编程基础之字符串函数 5.c#编程基础之ref.ou ...
- JAVA GUI编程学习笔记目录
2014年暑假JAVA GUI编程学习笔记目录 1.JAVA之GUI编程概述 2.JAVA之GUI编程布局 3.JAVA之GUI编程Frame窗口 4.JAVA之GUI编程事件监听机制 5.JAVA之 ...
随机推荐
- adb shell中的am pm命令
adb shell中的am pm命令,一些自己的见解和大多数官网的翻译. am命令 am全称activity manager,你能使用am去模拟各种系统的行为,例如去启动一个activity,强制停止 ...
- Adobe After Effects CS6 操作记录
安装 After Effects CS6 在Mac OS 10.12.5 上无法直接安装, 需要浏览到安装的执行文件后才能进行 https://helpx.adobe.com/creative-clo ...
- github不能访问、加载css、js解决办法
很奇怪,白天在公司还能正常访问github,晚上回来访问却有问题,表现症状是页面加载慢,并且页面样式明显错乱. 在chrome下用F12开发者工具一看,有2条css和2条js 404 了,猜想应该是g ...
- ASP.NET WebForm Form表单如何实现MVC那种“自动装配”效果呢?
我们知道ASP.NET MVC有个强大的地方就是Form表单提交到action的时候,可以直接将Form的参数直接装配到action的参数实体对象中 比如 action方法 Register(User ...
- centos7 修改中文字符集 How to avoid having to `export LC_ALL=“zh_CN.UTF-8”` upon each SSH connection
Each time I SSH to my Fedora Server, the locale setting is not right. $ locale locale: Cannot set LC ...
- Linux-使用 yum 升级 gcc 到 4.8
wget http://people.centos.org/tru/devtools-2/devtools-2.repo mv devtools-2.repo /etc/yum.repos.d yum ...
- Spring3.0.3使用之异常解决
2010-10-29 温馨提示: 以下异常仅在Spring3.0.3版本中遇到,其他版本可能也会遇到,读者可作参考.不保证会顺利通过. 近期在学习Spring3的一些 ...
- 线程同步之mutex和event区别
之前只是用过 关键段来对同进程不同线程进行互斥,防止对同一份资源或代码段的竞争: mutex可以理解为不同进程或者同一进程内防止对同一份资源的竞争: event更多的是同步,当然也是不同进程或者同一进 ...
- 寻找自己的道路——与技术同胞共勉 一种划分为七个阶段的道路:自信=>意志=>布局=>切入点=>团队=>渠道=>产品
寻找自己的道路——与技术同胞共勉 每个人的幸福都是不一样的.我喜欢田园式的生活,在人多的地方总是不舒服. 对我来说,最幸福莫过于在工作中做着自己喜欢的事情.闲暇时,在能够眺望江边的地方,端着一杯红酒, ...
- 树莓派UFW防火墙简单设置
ufw是一个主机端的iptables类防火墙配置工具,比较容易上手.如果你有一台暴露在外网的树莓派,则可通过这个简单的配置提升安全性. 安装方法 sudo apt-get install ufw 当然 ...