什么是ACAS？

ACAS代表"保证合规性评估解决方案"，它是一套商用现成品(COTS)软件应用程序，包含安全中心、漏洞扫描器、被动漏洞扫描器等工具。

ACAS最初于2012年开发，旨在满足国防部安全网络及其访问者统一安全需求。国防部对潜在承包商进行评估，为国防工业基础创建一套安全程序。任何需要访问SIPRNet等网络（一种政府专用的秘密互联网）的机构或承包商都必须使用这些程序。

相关公司与技术

Tenable公司

2012年，国防部选择了两家公司来开发ACAS工具套件，Tenable Inc.（当时称为Tenable Network Security）是其中较知名的一家。Tenable提供Tenable.sc、Tenable.io、Tenable.ad等产品，这些产品通常被统称为"Tenable"。

Perspecta公司

Perspecta是另一家参与开发ACAS的公司，最初是惠普企业服务(HPES)，经过多次并购重组后形成现在的Perspecta。

Nessus漏洞扫描器

Nessus是ACAS的关键组件，用作主动漏洞扫描器。它通过使用包含技术系统和配置数据的参考库工作，主要来源包括：

• STIGs：安全技术实施指南，针对特定应用程序或硬件设备的配置指南
• CVEs：通用漏洞披露，记录已识别的安全漏洞

Nessus使用这些参考库扫描系统并寻找漏洞，主动扫描通常每周执行一次，或在发现重大漏洞和系统重大变更时进行。

ACAS应用程序功能

被动漏洞扫描(PVS)

被动漏洞扫描是Nessus的另一面，像安全状态的运动检测器。它在网络数据包级别监控流量，检查漏洞迹象、未知或不需要的流量等问题。与需要激活扫描的Nessus不同，PVS始终在后台运行。

安全中心

安全中心是整体ACAS安全范式的中央控制室，是启动扫描和报告结果的地方：

• Tenable.sc：基于Nessus和Nessus PVS的常见本地扫描和控制系统
• Tenable.io：基于云的相同系统版本
• Tenable.ad：适用于依赖Active Directory的环境

谁需要使用ACAS？

ACAS不是框架，而是一套工具。这些工具用于满足各种安全框架的技术和操作要求（但不影响人员培训等其他要素）。

虽然Tenable/Nessus意义上的ACAS不是强制性的，但"使用技术解决方案验证安全性"意义上的ACAS是必需的。FedRAMP和CMMC等框架以及更高级别的安全许可要求都有技术需求，可以使用ACAS工具来满足。

即使在高安全级别下，这些工具也能工作。例如，Tenable Enclave Security专为非常严格的要求设计和构建，将满足FedRAMP High和CMMC Level 3的要求。