CN102306258B - 一种基于可配置知识库的unix主机安全配置审计方法 - Google Patents
一种基于可配置知识库的unix主机安全配置审计方法 Download PDFInfo
- Publication number
- CN102306258B CN102306258B CN2011102859618A CN201110285961A CN102306258B CN 102306258 B CN102306258 B CN 102306258B CN 2011102859618 A CN2011102859618 A CN 2011102859618A CN 201110285961 A CN201110285961 A CN 201110285961A CN 102306258 B CN102306258 B CN 102306258B
- Authority
- CN
- China
- Prior art keywords
- security
- unix
- knowledge base
- audit
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000004458 analytical method Methods 0.000 claims abstract description 10
- 230000003014 reinforcing effect Effects 0.000 claims abstract description 7
- 238000012550 audit Methods 0.000 claims description 38
- 238000012360 testing method Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 14
- 238000013515 script Methods 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 6
- 239000003999 initiator Substances 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 2
- 230000008878 coupling Effects 0.000 claims description 2
- 238000010168 coupling process Methods 0.000 claims description 2
- 238000005859 coupling reaction Methods 0.000 claims description 2
- 238000012113 quantitative test Methods 0.000 claims 2
- 238000013475 authorization Methods 0.000 claims 1
- 238000004451 qualitative analysis Methods 0.000 claims 1
- 238000012216 screening Methods 0.000 abstract description 2
- 230000009286 beneficial effect Effects 0.000 abstract 1
- 238000001914 filtration Methods 0.000 abstract 1
- 238000012502 risk assessment Methods 0.000 abstract 1
- 238000012545 processing Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000009781 safety test method Methods 0.000 description 1
- 238000010408 sweeping Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于可配置知识库的UNIX主机安全配置审计方法。知识库包括用于安全审计的系统配置规则库及能为用户提供信息安全决策支撑的安全加固建议库,支持针对不同UNIX操作系统类型及安全审计需求对知识库进行灵活定制。本系统根据UNIX操作系统类型、审计需求等过滤条件对知识库提供的审计项进行筛选,实施UNIX主机系统的自动化配置审计、漏洞分析、风险评级、加固实施风险分析,并形成报表。本发明有利于及时发现主机系统存在的安全隐患,最终实现对UNIX主机系统的安全防护。
Description
技术领域
本发明涉及信息安全技术领域的安全评估方法,主要用于解决UNIX主机系统的安全配置审计问题。
背景技术
随着信息系统的飞速发展,信息系统的安全性,特别是信息系统使用的主机操作系统安全性已成为信息系统安全运行维护以及安全管理的重要问题。UNIX操作系统由于其较好的移植性、可操作性以及较强的网络和数据库支撑功能,已经成为企业大型业务系统搭建工作站平台以及操作平台的首选,因此对UNIX主机系统的安全管控和防御直接关系到信息系统安全稳定运行,及时对UNIX主机系统进行安全审计是保障信息系统安全的重要手段。
目前对主机系统的安全防护措施主要是采用防火墙、IDS、IPS等部署在信息系统外围或网络内部关键区域防范来自系统、网络内/外部的恶意攻击或误操作。不同的防护方法其效果不同,主要表现在对于外部攻击的响应以及对攻击的处理方式等方面,但借助于网络安全设备的防护方式,只能起到监控事件和提供事后审查依据的作用,无法使企业主动查找系统存在的漏洞,防范可能的攻击。因此,定期通过安全配置审计的方法对主机系统进行安全评估,及时发现系统存在的安全隐患,有针对性地进行安全加固才能积极、有效地防御来自系统内/外部的恶意攻击。
UNIX主机系统其区别于Windows的可视化操作的代码操作方式,缺乏相关操作技能的运行维护人员难以对UNIX主机系统进行全面安全监控。目前国内尚缺乏支持各类UNIX或Linux等类UNIX操作系统的通用安全检测工具,无法有效对其系统脆弱性进行检测,导致UNIX操作系统遭受口令破解、非法连接、文件篡改等攻击,可能引发企业敏感信息泄露、信息系统破坏等重大安全事件。
发明内容
针对现有技术的不足,本发明提出的是一种基于可配置知识库的UNIX主机安全配置审计方法,可根据不同的UNIX操作系统类型进行知识库的配置筛选,根据用户的审计需求对主机系统进行安全配置审计,以发现主机系统存在的安全隐患,最终实现对主机系统的安全防护。
本发明实现的技术方案如下:
在远程或本地主机上部署访问客户端。可根据用户审计需求以及主机操作系统类型选择可用配置知识库对指定的主机系统进行安全配置审计。安全审计成功后,将由扫描引擎将采集到的扫描信息返回给后台数据库,扫描信息与后台知识库进行匹配,最终生成审计报告。
客户端通过本方法进行主机系统审计时具体包括以下步骤:
1)安全配置审计发起方创建扫描任务,并提供被扫描的目标主机IP、登录用户名和口令、主机操作系统类型及可用的远程连接方式;
2)以可配置知识库为基础,安全配置审计发起方对扫描检测项目进行灵活定制;
3)扫描引擎通过通用接口,与目标主机建立通信信道;
4)扫描引擎获取知识库中相应的扫描指令,并进行结构化预处理,转化成扫描脚本;
5)扫描引擎通过可用信道对目标主机实施扫描,并采集目标主机系统Banner信息、口令策略、网络参数、文件系统权限、主机信任关系、日志审计配置等安全配置信息;
6)扫描引擎将采集的扫描结果进行解析以提取有效数据,采用Unicode编码进行数据转换后,将结果存入数据库;
7)报表引擎将数据库中的数据进行Unicode编码逆转换,将数据与知识库中的基准安全策略进行匹配,根据匹配结果提供评估结果以及安全建议,并生成评估报表。
所述可配置知识库采用Access实现,并独立于程序实现,可根据检测需求的不同灵活实现知识库的升级。知识库自身及其中的重要数据均进行加密处理,降低敏感数据泄露风险。
所述扫描客户端部署在主机系统上,通过批处理脚本,最大化适应各类UNIX系统,扫描过程依赖的数据传输协议支持可选加密安全特性。
本发明的进一步方案可以是:
所述扫描命令采用脚本批处理方式,不造成主机系统资源使用负荷。
本发明的进一步方案可以是:
所述客户端可以同时配置统一网络区域中多个主机,对多个主机实施批量串行或并行审计。
本发明的进一步方案可以是:
所述客户端对扫描采集的结果进行智能化分析,针对分析所得结论,基于知识库提供评估结果和安全建议。
本发明方法可以实现以下应用效果:
1)通过自动化审计代理,可以节省安全评估审计过程中人工逐项检查工作量以及避免重复劳动;
2)通过安全连接通信方式(SSH、https)可避免主机远程维护时产生的非安全连接通讯问题;
3)通过预置的知识库对主机系统最新安全漏洞、补丁信息以及各项安全策略进行脚本化处理,在审计运行时将占用的系统资源降低到最小,避免影响主机系统承载业务的正常运行;
4)通过远程安全连接与脚本运行方式,不影响被测系统正常运行,不改变被测系统及其支撑应用的任何属性,不在被测系统上遗留任何恶意代码和数据;
5)通过仿真环境检测试验,根据UNIX主机系统各类漏洞建设知识库,包括配置规则库以及安全实施建议库,能对操作风险及重要等级进行分析,能为主机系统的漏洞整改和安全加固提供依据及实施建议;
6)通过License文件授权方式,将客户端与安全设备进行硬件绑定,防止敏感主机系统的审计内容及结果外泄,保护用户信息的安全保密性。
附图说明
图1 本发明框架示意图。
图2 本发明操作流程。
图3 安全审计数据流示意图。
具体实施方式
以下结合附图对本发明作进一步说明。
如附图1所示,本方法以“可配置知识库”,包括UNIX配置规则库以及安全加固建议库为支撑,将用户需求以脚本形式传输到被测主机系统进行安全审计扫描,将扫描结果进行结构化数据转换后再次与知识库中标准配置规则以及安全加固建议库进行匹配,进行配置审计、漏洞分析、风险评级、加固实施风险分析,并形成报表,为用户提供安全审计评估结果以及安全实施建议。
“可配置知识库”采用Access实现,具备与用户需求及后台数据库进行远程独立匹配及分析功能,从而不影响被测主机承载业务的正常运行,并不在被测主机上留下操作痕迹。由于安全配置检测的信息量大、结构性差,在设计指令集时采用管道命令、awk脚本语言、词法分析、正则表达式等技术增强数据过滤和自动分析功能。
客户端采用License文件授权方式,与安装设备进行硬件绑定,其部署方式独立于被测主机系统,在操作时,需要验证其授权证书。附图2显示本方法包含的使用操作步骤:
1)安装客户端,验证授权证书,防止信息泄漏和防止篡改;
2)身份验证成功,用户添加审计任务;
3)客户端检测扫描进程,等待扫描结果返回;
4)用户提交报表生成需求;
5)生成分析报告;
6)任务结束,关闭连接。
对于相应的客户端,审计数据流如附图3所示:
1)通过客户端的操作接口将用户审计需求提交到用户进程。
2)任务进程将需求提交给知识库进行匹配,并由任务进程转化为扫描命令。
3) 任务进程将扫描命令提交给扫描进程,转化成扫描脚本。
4) 扫面进程执行扫描任务,对主机系统进行安全扫描,并获取主机相关安全配置信息。
5) 扫描进程将获取的安全配置信息返回到任务进程,转换为结构化数据。
6) 任务进程将结构化数据与可配置知识库再次进行匹配,提取相应的安全策略与风险分析结果。
7) 任务进程将分析结果提交给报表进程,生成包含扫描结果以及对应安全分析及安全建议的审计报告。
8) 任务进程将报表反馈给用户。
一个典型的交互示例:用户点击已安装客户端后,客户端检验安装主机的硬件信息,通过检验后进入操作页面。用户新建任务,输入审计需求,例如主机类型、扫描范围等,执行任务。客户端开始扫描进程,在扫描完成后提示扫描成功信息,用户根据需要选择是否生成报表,如需生成报表,选择主机范围以及报表格式,点击确认。用户根据提示打开报告,查看审计结果,包括主机安全配置情况、风险等级及相应安全整改实施建议。
Claims (1)
1.一种基于可配置知识库的UNIX主机安全配置审计方法,其特征在于:利用可配置知识库(1),实现对不同类型的UNIX主机的自动化安全配置审计(2);
所述的可配置知识库(1)针对不同类型的UNIX主机操作系统分别进行定制,可根据安全配置审计需求的不同灵活实现知识库的升级,所述的可配置知识库(1)包含UNIX配置规则库和安全加固建议库,其总体三层结构为{检测类别,{检测项目,{配置规则,安全加固建议}}},其中:
1)检测类别标识UNIX主机安全配置审计指标,涉及账户口令策略、网络与服务、内核网络参数、主机信任关系、文件系统、日志审计,每个检测类别包含若干检测项目;
2)检测项目对UNIX主机安全配置审计指标进行分解,细化至UNIX主机系统具体的安全配置,每个检测项目对应相应的配置规则和安全加固建议;
3)配置规则对应若干检测指令集合,是检测项目的具体实现,检测指令采用管道命令、awk脚本语言、词法分析、正则表达式技术,实现数据过滤和自动分析统计功能;
4)安全加固建议包括漏洞描述、安全风险等级、建议解决方案、加固整改风险和重要等级;其中,漏洞描述针对检测项目存在的安全风险进行客观定性分析;安全风险等级对检测项目存在的安全风险进行定量分析;建议解决方案以安全配置审计标准要求为依据,从安全加固整改的角度提供漏洞的解决方法;加固整改风险针对加固整改行为对UNIX主机系统安全性的影响进行分析;重要等级综合检测项目的安全风险和加固整改风险,对其对UNIX主机系统安全性的影响进行定量分析;
所述的自动化安全配置审计(2)所包含的步骤为:
步骤1)对安全配置审计发起方进行安全授权验证,若认证为合法授权用户则转步骤2),否则转步骤9);
步骤2)安全配置审计发起方创建扫描任务,并提供被扫描的目标主机IP、登录用户名和口令、主机操作系统类型及可用的远程连接方式;
步骤3)以可配置知识库(1)为基础,安全配置审计发起方对扫描检测项目进行灵活定制;
步骤4)启动扫描引擎,通过Telnet、SSH方式与目标主机建立通信通道,若连接成功则转步骤5),否则转步骤2);
步骤5)扫描引擎根据安全配置审计发起方定制的扫描检测项目,从可配置知识库(1)中获取目标主机操作系统类型专用的检测指令集合,并添加特殊标记对不同指令进行分隔,实现检测指令集合的结构化预处理;
步骤6)扫描引擎通过已建立的通信通道执行预处理后的检测指令,对目标主机实施安全配置检测,并采集目标主机系统Banner信息、口令策略、网络参数、文件系统权限、主机信任关系、日志审计配置信息;
步骤7)扫描引擎对检测结果进行语义解析,采用特殊标记匹配的方法识别不同指令对应的检测结果,并采用Unicode格式对获取的有效数据进行编码转换,避免检测结果中的特殊字符可能引发的异常,最后将编码后数据存入数据库;
步骤8)如果触发报表引擎,将数据库中相应的数据采用Unicode格式进行解码转换,并填充报表模版,以.xls文件形式及.html网页形式输出;
步骤9)全过程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102859618A CN102306258B (zh) | 2011-09-23 | 2011-09-23 | 一种基于可配置知识库的unix主机安全配置审计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102859618A CN102306258B (zh) | 2011-09-23 | 2011-09-23 | 一种基于可配置知识库的unix主机安全配置审计方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102306258A CN102306258A (zh) | 2012-01-04 |
| CN102306258B true CN102306258B (zh) | 2013-09-25 |
Family
ID=45380118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102859618A Active CN102306258B (zh) | 2011-09-23 | 2011-09-23 | 一种基于可配置知识库的unix主机安全配置审计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102306258B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104732149B (zh) * | 2013-12-18 | 2018-04-06 | 国家电网公司 | 操作系统的加固方法及装置 |
| CN103839008A (zh) * | 2014-03-21 | 2014-06-04 | 彭岸峰 | 一句话脚本后门和php变量函数后门免疫安全服务 |
| CN105245392A (zh) * | 2014-06-27 | 2016-01-13 | 北京新媒传信科技有限公司 | 基线检查修复方法及装置 |
| CN104346574A (zh) * | 2014-10-23 | 2015-02-11 | 武汉大学 | 基于配置规范的主机安全配置漏洞自动修复方法及系统 |
| CN104270389A (zh) * | 2014-10-23 | 2015-01-07 | 国网湖北省电力公司电力科学研究院 | 一种路由器/交换机安全配置漏洞自动修复方法及系统 |
| CN105791265A (zh) * | 2016-01-08 | 2016-07-20 | 国家电网公司 | 一种网元安全性检测方法及系统 |
| CN107146150A (zh) * | 2017-04-12 | 2017-09-08 | 国家电网公司 | 审计对象的审计方法、装置、存储介质及处理器 |
| CN108183887B (zh) * | 2017-12-12 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种基于自主授权的云端漏洞扫描策略配置方法及装置 |
| CN109033840B (zh) * | 2018-06-28 | 2021-08-03 | 成都飞机工业(集团)有限责任公司 | 一种对计算机终端进行保密检查的方法 |
| CN109271809A (zh) * | 2018-12-03 | 2019-01-25 | 南方电网科学研究院有限责任公司 | 一种数据库加固的方法、系统及相关装置 |
| CN110188089B (zh) * | 2019-05-31 | 2021-07-27 | 杭州安恒信息技术股份有限公司 | 一种数据库运维管控方法及装置 |
| CN111027100A (zh) * | 2019-11-15 | 2020-04-17 | 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 | 一种信息系统安全配置自动加固方法 |
| CN111382437A (zh) * | 2020-03-03 | 2020-07-07 | 思客云(北京)软件技术有限公司 | 基于配置分析引擎的缺陷检测方法、设备和计算机可读存储介质 |
| CN113672923A (zh) * | 2021-08-20 | 2021-11-19 | 北京安天网络安全技术有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
| CN115277204A (zh) * | 2022-07-28 | 2022-11-01 | 国网安徽省电力有限公司电力科学研究院 | 一种电力监控系统便携式网络安全配置核查加固设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761208A (zh) * | 2005-11-17 | 2006-04-19 | 郭世泽 | 网络信息系统的安全性及生存性评估的系统和方法 |
| CN101833621A (zh) * | 2010-04-27 | 2010-09-15 | 广州广电运通金融电子股份有限公司 | 终端安全审计方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6988226B2 (en) * | 2002-10-17 | 2006-01-17 | Wind River Systems, Inc. | Health monitoring system for a partitioned architecture |
-
2011
- 2011-09-23 CN CN2011102859618A patent/CN102306258B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761208A (zh) * | 2005-11-17 | 2006-04-19 | 郭世泽 | 网络信息系统的安全性及生存性评估的系统和方法 |
| CN101833621A (zh) * | 2010-04-27 | 2010-09-15 | 广州广电运通金融电子股份有限公司 | 终端安全审计方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 《基于知识库的Unix主机配置安全审计软件的设计与实现》;朱世顺等;《计算机与现代化》;20110915(第9期);第137-139页 * |
| 朱世顺等.《基于知识库的Unix主机配置安全审计软件的设计与实现》.《计算机与现代化》.2011,(第9期),第137-139页. |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102306258A (zh) | 2012-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102306258B (zh) | 一种基于可配置知识库的unix主机安全配置审计方法 | |
| CN108737425B (zh) | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 | |
| CN106411578B (zh) | 一种适应于电力行业的网站监控系统及方法 | |
| KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
| CN103391216B (zh) | 一种违规外联报警及阻断方法 | |
| CN104767757A (zh) | 基于web业务的多维度安全监测方法和系统 | |
| CN105119750A (zh) | 一种基于大数据的分布式信息安全运维管理平台 | |
| CN105138920A (zh) | 一种内网终端安全管理的实现方法 | |
| CN103150511B (zh) | 一种安全防护系统 | |
| CN106982194A (zh) | 漏洞扫描方法及装置 | |
| US10671723B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
| Buschle et al. | A Tool for automatic Enterprise Architecture modeling | |
| CN107273748A (zh) | 一种基于漏洞poc实现安卓系统漏洞检测的方法 | |
| WO2023216641A1 (zh) | 一种电力终端安全防护方法及系统 | |
| CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的系统与方法 | |
| CN101808093A (zh) | 一种对web安全进行自动化检测的系统和方法 | |
| CN102333090A (zh) | 一种内控堡垒主机及安全访问内网资源的方法 | |
| CN103049702A (zh) | 一种基于服务器层的安全加固策略 | |
| CN106230857A (zh) | 一种面向工控系统的主动式漏洞检测系统和检测方法 | |
| CN113407949A (zh) | 一种信息安全监控系统、方法、设备及存储介质 | |
| KR100918370B1 (ko) | 웹관리시스템 및 그 방법 | |
| CN114285761B (zh) | 一种基于视频录屏与ocr技术的跳板机违规操作检测方法 | |
| KR20090044202A (ko) | 웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를이용한 웹 보안 서비스 방법 및 그 시스템 | |
| CN110162978A (zh) | 一种终端安全风险评估管理方法、装置及系统 | |
| KR101226693B1 (ko) | 접근 제어 시스템으로 가상 패치하여 공개된 보안 취약점을 제거하는 데이터베이스 보안 관리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: NANJING NARI CO., LTD. STATE ELECTRIC NET CROP. Free format text: FORMER OWNER: NANJING NARI CO., LTD. Effective date: 20130206 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20130206 Address after: Nan Shui Road Gulou District of Nanjing city of Jiangsu Province, No. 8 210003 Applicant after: State Grid Electric Power Research Insititute Applicant after: Nanjing Nari Co., Ltd. Applicant after: State Grid Corporation of China Address before: Nan Shui Road Gulou District of Nanjing city of Jiangsu Province, No. 8 210003 Applicant before: State Grid Electric Power Research Insititute Applicant before: Nanjing Nari Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20171114 Address after: 211106 Jiangning City, Nanjing Province, the integrity of the road No. 19, Co-patentee after: NARI Technology Development Co., Ltd. Patentee after: State Grid Electric Power Research Insititute Co-patentee after: State Grid Corporation of China Address before: Nan Shui Road Gulou District of Nanjing city of Jiangsu Province, No. 8 210003 Co-patentee before: Nanjing Nari Co., Ltd. Patentee before: State Grid Electric Power Research Insititute Co-patentee before: State Grid Corporation of China |