CN102014131A - 结合离线检查与集中汇总的设备安全检查方法 - Google Patents
结合离线检查与集中汇总的设备安全检查方法 Download PDFInfo
- Publication number
- CN102014131A CN102014131A CN2010105660283A CN201010566028A CN102014131A CN 102014131 A CN102014131 A CN 102014131A CN 2010105660283 A CN2010105660283 A CN 2010105660283A CN 201010566028 A CN201010566028 A CN 201010566028A CN 102014131 A CN102014131 A CN 102014131A
- Authority
- CN
- China
- Prior art keywords
- inspection
- line
- check
- target
- centralized servers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种结合离线检查与集中汇总的设备安全检查方法,包括:S1:根据集中服务器中选择的检查目标及检查内容自动生成检查执行文件;S2:在选择的检查目标的设备上执行所述检查执行文件对设备进行离线安全检查,检查结束后在同目录下自动生成离线检查输出文件;S3:在集中服务器中导入所述离线检查输出文件自动进行合规检查。本发明实现了在离线状态下进行对设备的安全检查,并将检查结果存入集中服务器的数据库,能够及时监控设备安全状态,保障业务平稳、持续、安全地运行。
Description
技术领域
本发明涉及计算机网络信息安全技术领域,特别涉及一种结合离线检查与集中汇总的设备安全检查方法。
背景技术
在满足网络物理联通、相关端口和服务开放和管理上允许远程检查等条件的情况下,集中服务器上的安全检查系统通过网络直接获取被检查设备的待检查内容,根据安全知识库进行合规检查。这种方式现有技术只能在运行环境比较理想的情况下进行检查,当因网络或管理要求等因素无法对设备进行集中安全检查时,将无法实现对设备安全状态的全面掌控,会丧失对部分设备的安全状态监控,形成安全隐患,进而影响业务持续安全运行。
无法对设备进行集中安全检查的情况如下:
1、网络物理不可达;
2、因防火墙、路由器配置等原因造成的网络逻辑不可达;
3、检查技术依赖的网络服务不开放;
4、只允许该服务器管理员进行检查;
5、其他技术或管理因素导致无法进行自动检查。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何在离线,即无法进行集中汇总检查的情况下对设备进行安全检查,并且检查结果与集中汇总检查结果完全一致。
(二)技术方案
为解决上述技术问题,本发明提供了一种结合离线检查与集中汇总的设备安全检查方法,包括以下步骤:
S1:根据集中服务器中选择的检查目标及检查内容自动生成检查执行文件;
S2:在选择的检查目标的设备上执行所述检查执行文件对设备进行离线安全检查,检查结束后在同目录下自动生成离线检查输出文件;
S3:在集中服务器中导入所述离线检查输出文件自动进行合规检查。
其中,所述步骤S1具体包括:
从集中服务器中的设备信息库中选择被检查的检查目标;
在所述检查目标对应的安全知识库中选择需要的安全检查项作为检查内容;
生成所述检查执行文件,其中包含有检查目标的唯一标识和所述安全检查项的唯一标识。
其中,所述步骤S3具体包括:
导入离线检查输出文件到集中服务器后,集中服务器读取该文件内容;
根据离线检查输出文件中的检查目标唯一标识与服务器中的设备标识进行匹配;
匹配设备后,根据离线检查输出文件中的各安全检查项唯一标识与集中服务器中安全知识库中的安全标识逐项匹配;
根据匹配的安全检查项进行合规检查得出检查结果,并根据检查结果得到设备配置安全状态。
其中,所述步骤S3之后还包括步骤:
将检查结果存入集中服务器的数据库。
其中,所述检查目标包括:操作系统、数据库、中间件、路由器、交换机、防火墙、负载均衡器和存储设备。
(三)有益效果
本发明通过在集中服务器中生成检查执行文件,并在目标检查设备上执行该文件,并生成离线检查输出文件来判断设备的安全性,实现了在离线状态下进行对设备的安全检查,并将检查结果存入集中服务器的数据库,能够及时监控设备安全状态,保障业务平稳、持续、安全地运行。
附图说明
图1是本发明实施例的一种结合离线检查与集中汇总的设备安全检查方法流程图;
图2是图1中步骤S101的具体流程图;
图3是图1中步骤S103的具体流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本发明在网络可达、管理允许远程检查时,通过集中服务器对设备进行集中汇总检查。在网络不可达或不允许远程集中汇总检查时,可对设备进行离线安全检查。可执行离线检查的检查目标包括操作系统、数据库、中间件、路由器、交换机、防火墙、负载均衡器和存储设备等可进行集中汇总检查的所有设备。
离线安全检查流程如图1所示,包括:
步骤S101,根据集中服务器中选择的检查目标及检查内容自动生成检查执行文件。具体流程如图2所示,包括:
步骤S201,从集中服务器中的设备信息库中选择检查目标。
步骤S202,在选出的检查目标对应的安全知识库中选择需要的安全知识作为检查内容。安全知识库中存放各种类型的设备,即检查目标所包含的不同安全检查项,包括检查项名称、检查项说明、检查步骤说明、风险级别、检查脚本、是否合规的安全基线、加固方案等内容。
步骤S203,根据上述检查内容自动生成检查执行文件,其中包含有检查目标唯一标识和对应的安全检查项的唯一标识。
根据检查目标不同,检查执行文件有多种类型,以下表中检查操作系统Linux的检查执行文件为例来说明。
表1Linux系统下的检查执行文件
其中,第一行为离线检查任务唯一标识,第二行为离线检查子任务唯一标识的开始标识,第三行和第四行为检查命令,第五行为离线检查子任务唯一标识的结束标识。一个离线检查任务可包含多个检查目标,每个检查目标是一个子任务,在生成检查执行文件时,每个子任务唯一对应一个检查目标,通过离线检查子任务唯一标识可得到检查目标唯一标识和在该检查目标上执行的安全检查项的唯一标识。
步骤S102,在选择的检查目标的设备上执行所述检查执行文件对设备进行离线安全检查,检查结束后在同目录下自动生成离线检查输出文件。可以使用U盘、移动硬盘等移动存储装置把执行文件拷贝到检查目标的设备上,然后在检查目标的设备上执行检查,或把检查执行文件拷贝到笔记本上,把笔记本接入局域网后通过telnet或ssh(Secure Shell)等方式连接到检查目标的设备上,然后执行检查执行文件。其中,检查执行文件通过执行脚本的方式利用多种技术手段获取检查目标的安全配置信息,如Windows管理规范(WindowsManagement Instrumentation,WMI)、Windows中的批处理文件bat、linux或unix中的Shell脚本(shell script),或者其它检查目标所提供的技术手段。
对应步骤S101中的检查执行文件的离线检查输出文件的例子如下表所示:
表2离线检查输出文件
其中,第一行为离线检查任务唯一标识,第二行为离线检查子任务唯一标识的开始标识,第三行和第四行为检查执行文件中检查命令获取的配置信息,第五行为离线检查子任务唯一标识的结束标识。
步骤S103,在集中服务器中导入所述离线检查输出文件自动进行合规检查,具体包括:
步骤S301,导入离线检查输出文件到集中服务器后,集中服务器读取该文件内容。
步骤S302,根据所述离线检查输出文件中的检查目标唯一标识与服务器中的设备标识进行匹配。
步骤S303,匹配设备后,根据离线检查输出文件中的各安全检查项唯一标识与集中服务器中安全知识库逐项匹配。
步骤S304,根据匹配的安全检查项进行合规检查得出检查结果,并根据检查结果得到设备配置安全状态。离线检查的合规检查和集中汇总检查方式相同,离线检查输出文件导入到集中服务器中后,集中服务器会用系统中设置的满足要求的基线配置信息与设备当前的配置信息进行比较,满足基线配置信息则为合规,不满足则为不合规,这个过程称为合规检查。如:比如某台设备密码长度要求是6,执行检查后该检查项的值为6,导入集中服务器后集中服务器中设定长度至少为8,所以该密码长度的检查项的结果是不合规。
其中,步骤S103之后还包括将检查结果存入集中服务器的数据库,以便以后可根据检查结果产生报表或进行数据挖掘。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (5)
1.一种结合离线检查与集中汇总的设备安全检查方法,其特征在于,包括以下步骤:
S1:根据集中服务器中选择的检查目标及检查内容自动生成检查执行文件;
S2:在选择的检查目标的设备上执行所述检查执行文件对设备进行离线安全检查,检查结束后在同目录下自动生成离线检查输出文件;
S3:在集中服务器中导入所述离线检查输出文件自动进行合规检查。
2.如权利要求1所述的结合离线检查与集中汇总的设备安全检查方法,其特征在于,所述步骤S1具体包括:
从集中服务器中的设备信息库中选择被检查的检查目标;
在所述检查目标对应的安全知识库中选择需要的安全检查项作为检查内容;
生成所述检查执行文件,其中包含有检查目标的唯一标识和所述安全检查项的唯一标识。
3.如权利要求1所述的结合离线检查与集中汇总的设备安全检查方法,其特征在于,所述步骤S3具体包括:
导入离线检查输出文件到集中服务器后,集中服务器读取该文件内容;
根据离线检查输出文件中的检查目标唯一标识与服务器中的设备标识进行匹配;
匹配设备后,根据离线检查输出文件中的各安全检查项唯一标识与集中服务器中安全知识库中的安全标识逐项匹配;
根据匹配的安全检查项进行合规检查得出检查结果,并根据检查结果得到设备配置安全状态。
4.如权利要求3所述的结合离线检查与集中汇总的设备安全检查方法,其特征在于,所述步骤S3之后还包括步骤:
将检查结果存入集中服务器的数据库。
5.如权利要求1~4中任一项所述的结合离线检查与集中汇总的设备安全检查方法,其特征在于,所述检查目标包括:操作系统、数据库、中间件、路由器、交换机、防火墙、负载均衡器和存储设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010566028 CN102014131B (zh) | 2010-11-25 | 2010-11-25 | 结合离线检查与集中汇总的设备安全检查方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010566028 CN102014131B (zh) | 2010-11-25 | 2010-11-25 | 结合离线检查与集中汇总的设备安全检查方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102014131A true CN102014131A (zh) | 2011-04-13 |
| CN102014131B CN102014131B (zh) | 2013-04-24 |
Family
ID=43844142
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010566028 Active CN102014131B (zh) | 2010-11-25 | 2010-11-25 | 结合离线检查与集中汇总的设备安全检查方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102014131B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882852A (zh) * | 2012-09-03 | 2013-01-16 | 北京神州绿盟信息安全科技股份有限公司 | 安全配置核查系统和方法 |
| CN103368927A (zh) * | 2012-04-11 | 2013-10-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全配置核查设备和方法 |
| CN110245041A (zh) * | 2019-06-18 | 2019-09-17 | 上海电气泰雷兹交通自动化系统有限公司 | 一种Windows配置健康检查装置 |
| CN112825093A (zh) * | 2019-11-21 | 2021-05-21 | 北京天融信网络安全技术有限公司 | 安全基线检查方法、主机、服务器、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115244A1 (en) * | 2001-12-17 | 2003-06-19 | International Business Machines Corporation | Automatic data interpretation and implem entation using performance capacity management framework over many servers |
| CN101616137A (zh) * | 2008-06-26 | 2009-12-30 | 中兴通讯股份有限公司 | 主机安全接入方法、隔离方法及安全接入和隔离的系统 |
| CN101820413A (zh) * | 2010-01-08 | 2010-09-01 | 中国科学院软件研究所 | 一种网络安全最佳防护策略的选择方法 |
-
2010
- 2010-11-25 CN CN 201010566028 patent/CN102014131B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115244A1 (en) * | 2001-12-17 | 2003-06-19 | International Business Machines Corporation | Automatic data interpretation and implem entation using performance capacity management framework over many servers |
| CN101616137A (zh) * | 2008-06-26 | 2009-12-30 | 中兴通讯股份有限公司 | 主机安全接入方法、隔离方法及安全接入和隔离的系统 |
| CN101820413A (zh) * | 2010-01-08 | 2010-09-01 | 中国科学院软件研究所 | 一种网络安全最佳防护策略的选择方法 |
Non-Patent Citations (1)
| Title |
|---|
| 向永谦 等: "基于vSphere的安全管理套件", 《全国计算机安全学术交流会论文集第二十五卷》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368927A (zh) * | 2012-04-11 | 2013-10-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全配置核查设备和方法 |
| CN103368927B (zh) * | 2012-04-11 | 2016-12-14 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全配置核查设备和方法 |
| CN102882852A (zh) * | 2012-09-03 | 2013-01-16 | 北京神州绿盟信息安全科技股份有限公司 | 安全配置核查系统和方法 |
| CN110245041A (zh) * | 2019-06-18 | 2019-09-17 | 上海电气泰雷兹交通自动化系统有限公司 | 一种Windows配置健康检查装置 |
| CN110245041B (zh) * | 2019-06-18 | 2022-12-13 | 上海电气泰雷兹交通自动化系统有限公司 | 一种Windows配置健康检查装置 |
| CN112825093A (zh) * | 2019-11-21 | 2021-05-21 | 北京天融信网络安全技术有限公司 | 安全基线检查方法、主机、服务器、电子设备及存储介质 |
| CN112825093B (zh) * | 2019-11-21 | 2024-03-12 | 北京天融信网络安全技术有限公司 | 安全基线检查方法、主机、服务器、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102014131B (zh) | 2013-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11902120B2 (en) | Synthetic data for determining health of a network security system | |
| US10681046B1 (en) | Unauthorized device detection in a heterogeneous network | |
| US11265291B2 (en) | Malicious packet filtering by a hypervisor | |
| US8677484B2 (en) | Providing protection against unauthorized network access | |
| US9038086B2 (en) | End to end modular information technology system | |
| US11533325B2 (en) | Automatic categorization of IDPS signatures from multiple different IDPS systems | |
| CN105718785A (zh) | 用于免认证组态的计算机实施方式与系统 | |
| US8321617B1 (en) | Method and apparatus of server I/O migration management | |
| CN102014131B (zh) | 结合离线检查与集中汇总的设备安全检查方法 | |
| CN106487633B (zh) | 一种虚拟机异常的监测方法和装置 | |
| CN110855784A (zh) | 代理服务器节点选择方法、电子设备、系统及介质 | |
| US9871814B2 (en) | System and method for improving security intelligence through inventory discovery | |
| TzeTzuen et al. | Greening digital forensics: Opportunities and challenges | |
| US20160246270A1 (en) | Method of controlling a data center architecture equipment | |
| CN107623699A (zh) | 一种基于云环境的加密系统 | |
| Dayabhai et al. | The role of virtualization in a smart-grid enabled substation automation system | |
| CN102868594B (zh) | 一种消息处理方法和装置 | |
| CN106533818A (zh) | 基于nfv资源池的监控方法和通信方法、系统以及设备 | |
| CN107465544A (zh) | 一种设置fru的系统及方法 | |
| CN102111294A (zh) | 安全检查方法 | |
| US20240031328A1 (en) | Entity matching across telemetries | |
| US10579032B2 (en) | Power distribution unit interface system | |
| US20150163166A1 (en) | Cloud Computing Infrastructure, Method and Application | |
| SEKINE et al. | Development and Evaluation of a Dynamic Security Evaluation System for the Cloud System Operation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20110413 Assignee: BEIJING ULTRAPOWER INFORMATION SAFETY TECHNOLOGY CO., LTD. Assignor: Beijing Shenzhou Taiyue Software Co., Ltd. Contract record no.: 2015990000489 Denomination of invention: Device safety check method combining off-line check and central summary Granted publication date: 20130424 License type: Exclusive License Record date: 20150623 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 818, 8 / F, 34 Haidian Street, Haidian District, Beijing 100080 Patentee after: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. Address before: 100107, No. 1, building 13, court 22, Beiyuan Road, Beijing, Chaoyang District Patentee before: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |