CN103106368A - 一种面向等级保护的漏洞扫描方法 - Google Patents
一种面向等级保护的漏洞扫描方法 Download PDFInfo
- Publication number
- CN103106368A CN103106368A CN2013100590339A CN201310059033A CN103106368A CN 103106368 A CN103106368 A CN 103106368A CN 2013100590339 A CN2013100590339 A CN 2013100590339A CN 201310059033 A CN201310059033 A CN 201310059033A CN 103106368 A CN103106368 A CN 103106368A
- Authority
- CN
- China
- Prior art keywords
- task
- scanning
- module
- scan
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种面向等级保护的漏洞扫描方法,从等级保护的角度提出了一个系统安全漏洞的分类。本发明采用Client/Server模式,Server端负责运行安全扫描进程,通过任务协商模块、任务分析模块分解、任务接收模块来执行的安全扫描,并由等保分类库根据扫描对象等级的差异进行漏洞脚本库插件的加载;Client用来配置安全等级需求,提供友好的交互界面,通过任务提交模块请求服务端进程都指定的目标对象进行规定安全保护等级的扫描,最终得到分类漏洞的扫描报告及目标系统的等级保护风险分析报告。本发明对漏洞脚本库按照等级保护划分原则进行了规划,并在扫描引擎中加入了任务模块,有效的提高了扫描效率。
Description
技术领域
本发明属于漏洞扫描方法,特别是面向等级保护的漏洞扫描方法。
背景技术
随着网络技术的飞速发展,网络安全问题不仅成为了社会关注的热点,也得到了政府的高度重视。2004年9月,由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护的实施意见》(公通字[2004]66号),明确了实施等级保护的基本做法。2007年6月,上述四单位又联合下发了《信息安全等级保护管理办法》(公通字[2007]43号),规范了等级保护的管理。
大部分系统的安全评定首先需要通过检查工具对系统进行安全漏洞检测来确定安全评估因素,对于系统安全漏洞的检测,作为安全评估的重要环节,对整个“等级保护”体系中具有极为重要的意义。将“等级保护”的概念与漏洞扫描系统进行有机的结合,对于提高漏洞扫描的针对性。促进“等级保护”的实施和发展,具有比较大的现实意义。
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障安全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
发明内容
1、本发明的目的。
本发明提供一种面向等级保护的漏洞扫描方法, 通过对OpenVAS开源漏洞库的规划分类,使系统的扫描效率有了大幅的提升,加入等保匹配规则后,系统在基本不影响扫描速度的情况下做出了正确的匹配。
2、本发明所采用的技术解决方案
面向等级保护的漏洞扫描方法,采用Client/Server模式,Server端负责运行安全扫描进程,通过任务协商模块、任务分析模块分解、任务接收模块来执行的安全扫描,并由等保分类库根据扫描对象等级的差异进行漏洞脚本库插件的加载;Client用来配置安全等级需求,提供友好的交互界面,通过任务提交模块请求服务端进程都指定的目标对象进行规定安全保护等级的扫描,最终得到分类漏洞的扫描报告及目标系统的等级保护风险分析报告。
漏洞脚本库按照等级保护划分原则分为用户、系统审计、安全标记、结构化、访问验证四大类,然后再针对每一大类的具体情况按照树状结构将其下属的漏洞脚本分为四十四个小类包括Remote file access、General、RPC等,并针对等级保护级别差异以及目标对象自身特点加入特定的漏洞库选择规则。
所述Client端包括任务管理模块,对扫描任务进行管理,包括新建扫描任务、删除扫描任务、修改扫描任务、启动、停止扫描任务。所述Server端包括扫描引擎,包括两大部分:通信模块和任务模块;通信模块主要完成与客户端的数据交换,一方面从扫描客户端接受各种控制命令和扫描请求,另一方面,将扫描结果向客户端进行传送;扫描操作人员指明要执行的扫描任务,提交给Client的通信模块,扫描引擎中的通信模块接收到请求后再将任务传递给任务模块进行处理,后者通过漏洞扫描插件完成检查,将所得信息返回Client并动态生成结果报告。
任务协商模块、任务分解模块、任务接收模块三个模块组成的任务扫描模块是单独运行的模块实体,其自身不受控于扫描线程,接收来自扫描器前段的指令,调度扫描任务的运行,调度是根据不同的等保策略调度不同的漏洞扫描插件。
扫描代理模块与对应不同等级的插件信息获取是核心,它提供一个扩展的API接口,对用户透明。与具体任务交互的功能以及对Client端发送的数据包的解析,及用户界面的展现交由Server端任务进程进行处理。
3、本发明的有益效果。
本发明与现有技术相比,其显著优点:
1) 对开源系统库进行了规划分类,提高了扫描效率;
2) 能够增强针对性和扩展性;
3) 对漏洞库脚本进行了规划,方便今后对漏洞库系统组织与调用;
4) 能够适应于不同级别的等级保护对象的安全弱点检测。
附图说明
图1是系统结构示意图。
图2是漏洞库分类结构示意图。
具体实施方式
实施例
此方法采用Client/Server模式。Server端负责运行安全扫描进程,通过任务协商、分解、接受模块来执行一个特定的安全扫描,并由等保分类库根据扫描对象等级的差异进行漏洞库插件的加载;客户端用来配置安全等级需求,提供友好的交互界面,通过任务提交模块请求服务端进程都指定的目标对象进行规定安全保护等级的扫描,最终得到分类漏洞的扫描报告及目标系统的等级保护风险分析报告。
系统结构示意图如图1所示,本方法的包括如下基本功能模块:
任务管理。对扫描任务进行管理,包括新建扫描任务、删除扫描任务、修改扫描任务、启动、停止扫描任务等;
报告管理。对服务器端返回的扫描结果进行处理,包括生成分析报告、保存扫描结果等;
扫描引擎。对通讯模块接收的任务进行执行,对目标对象进行漏洞扫描,包括目标对象的等级保护级别、工作状态、系统信息、服务及端口状态等;
系统配置。对C/S进行配置,如等级保护分类库、连接超时时间、通讯模块读取数据的超时时间、漏洞库是否自动更新、是否创建日志文件等;
通信模块。用于Client端和Server端进行任务的提交以及扫描结果的反馈。
漏洞库管理。对漏洞库中插件进行管理。
该框架中,扫描代理模块与对应不同等级的插件信息获取是核心,它提供一个扩展的API接口,对用户透明。与具体任务交互的功能以及对Client端发送的数据包的解析,及用户界面的展现交由Server端任务进程进行处理。
对漏洞脚本库进行了规划:先将整个漏洞脚本按照等级保护划分原则分为用户、系统审计、安全标记、结构化、访问验证四大类。然后再针对每一大类的具体情况按照树状结构将其下属的漏洞脚本分为四十四个小类,,包含Remote file access、General、RPC、NIS、Databases等。漏洞库分类结构示意图如图2所示。该漏洞库存放所有的漏洞检测脚本,系统自身内部建有一套漏洞检测脚本,对于每个漏洞,利用其相应的模拟攻击代码都可以用该脚本编制一个扫描该属性的插件,这些插件提供统一的结构为扫描引擎所调用。脚本基于统一的格式,在属性描述部分包含漏洞的各种属性,在扫描代码部分提供分类、高效的扫描代码函数,以提供给用户基于扫描功能的插件配置和等级保护配置。
在分类基础上,针对等级保护级别差异以及目标对象自身特点加入特定的漏洞库选择规则。以等级保护第三项中的一项“网络访问控制”为例,在其具体测评要求中包含如下几条:1)应检查边界的网络设备,查看其是都对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;2)应检查主要网络设备,查看是否有访问控制措施(如VLAN,访问控制列表、MAC地址绑定)控制便携式和移动式设备接入网络。
如图1的结果图所示,扫描引擎分为两大部分:通信模块和任务模块。通信模块主要完成与客户端的数据交换,一方面从扫描客户端接受各种控制命令和扫描请求,另一方面,将扫描结果向客户端进行传送。扫描操作人员在UI中指明要执行的扫描任务,提交给Client的通信模块,扫描引擎中的通信模块接收到请求后再将任务传递给任务模块进行处理,后者通过漏洞扫描插件完成检查,将所得信息返回Client并动态生成结果报告。
任务扫描模块是实际执行分布式加载和漏洞扫描的程序实体。主要分为三个部分:任务协商、任务分解、任务接受。三个模块接受来自扫描器前段的指令,调度扫描任务的运行。调度是根据不同的等保策略调度不同的漏洞扫描插件。具体应用方法是任务模块为每一个扫描任务都声称一个IDL接口,并且对扫描任务的属性、操作和之间的关系进行转换。以一个系统审计级的扫描任务(Scan_System_Audit)为例,该任务分割及转换方法如下:
1)扫描定义转换。IDL使用关键字interface定义接口,在任务分割中,Scan_System_Audit继承IDL中任务定义IDE _System_Audit ,扫描任务定义转换为:{private : Interface Scan_System_Audit : IDE _System_Audit};
2)扫描属性的转换。IDL接口属性字attribute表示。如Scan_System_Audit类属性中IP转换对应IDL接口属性为:Attribute IP;
3)扫描方法的转换。Scan_System_Audit中定义的扫描方法转换对应的IDL接口为:SystemConfig();
4)扫描关系转换。Scan_System_Audit 和分级保护中的用户级扫描 Scan_User 之间存在多对多的关系,在接口中,这个关系通过生成 Scan_User 类型的属性来描述,定义为: Typedef interface <Scan_User> Scan_System_Audit_def ; Attribute Scan_System_Audit_def Scan_System_Audit.
上述实施例不以任何方式限制本发明,凡是采用等同替换或等效变换的方式获得的技术方案均落在本发明的保护范围内。
Claims (6)
1. 一种面向等级保护的漏洞扫描方法,其特征在于:采用Client/Server模式,Server端负责运行安全扫描进程,通过任务协商模块、任务分析模块分解、任务接收模块来执行的安全扫描,并由等保分类库根据扫描对象等级的差异进行漏洞脚本库插件的加载;Client用来配置安全等级需求,提供友好的交互界面,通过任务提交模块请求服务端进程都指定的目标对象进行规定安全保护等级的扫描,最终得到分类漏洞的扫描报告及目标系统的等级保护风险分析报告。
2. 根据权利要求1所述的面向等级保护的漏洞扫描方法,其特征在于:漏洞脚本库按照等级保护划分原则分为用户、系统审计、安全标记、结构化、访问验证四大类,然后再针对每一大类的具体情况按照树状结构将其下属的漏洞脚本分为四十四个小类。
3. 根据权利要求2所述的面向等级保护的漏洞扫描方法,其特征在于:漏洞脚本小类包括Remote file access、General、RPC。
4. 根据权利要求1所述的面向等级保护的漏洞扫描方法,其特征在于:所述Client端包括任务管理模块,对扫描任务进行管理,包括新建扫描任务、删除扫描任务、修改扫描任务、启动、停止扫描任务。
5. 根据权利要求1所述的面向等级保护的漏洞扫描方法,其特征在于:所述Server端包括扫描引擎,包括两大部分:通信模块和任务模块;通信模块主要完成与客户端的数据交换,一方面从扫描客户端接受各种控制命令和扫描请求,另一方面,将扫描结果向客户端进行传送;扫描操作人员指明要执行的扫描任务,提交给Client的通信模块,扫描引擎中的通信模块接收到请求后再将任务传递给任务模块进行处理,后者通过漏洞扫描插件完成检查,将所得信息返回Client并动态生成结果报告。
6. 根据权利要求1所述的面向等级保护的漏洞扫描方法,其特征在于:任务协商模块、任务分解模块、任务接收模块三个模块接收来自扫描器前段的指令,调度扫描任务的运行,调度是根据不同的等保策略调度不同的漏洞扫描插件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100590339A CN103106368A (zh) | 2013-02-26 | 2013-02-26 | 一种面向等级保护的漏洞扫描方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100590339A CN103106368A (zh) | 2013-02-26 | 2013-02-26 | 一种面向等级保护的漏洞扫描方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103106368A true CN103106368A (zh) | 2013-05-15 |
Family
ID=48314219
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013100590339A Pending CN103106368A (zh) | 2013-02-26 | 2013-02-26 | 一种面向等级保护的漏洞扫描方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103106368A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929429A (zh) * | 2014-04-24 | 2014-07-16 | 北京邮电大学 | 基于RESTful Web服务的网络漏洞扫描系统及方法 |
| CN106790280A (zh) * | 2017-02-22 | 2017-05-31 | 深信服科技股份有限公司 | 网络攻击的应急排查方法及装置 |
| CN107171979A (zh) * | 2017-06-30 | 2017-09-15 | 广州市品高软件股份有限公司 | 基于云计算和sdn的漏洞扫描方法及系统 |
| CN108345797A (zh) * | 2017-08-03 | 2018-07-31 | 清华大学无锡应用技术研究院 | 处理器的检测方法、检测装置以及检测系统 |
| CN108595963A (zh) * | 2018-04-26 | 2018-09-28 | 杭州迪普科技股份有限公司 | 一种漏洞扫描方法和装置 |
| CN108769005A (zh) * | 2018-05-25 | 2018-11-06 | 深圳市量智信息技术有限公司 | 一种网络空间漏洞归并平台web系统 |
| CN109391636A (zh) * | 2018-12-20 | 2019-02-26 | 广东电网有限责任公司 | 一种基于等级保护资产树的漏洞治理方法及装置 |
| CN109977670A (zh) * | 2019-03-12 | 2019-07-05 | 福建天晴数码有限公司 | 基于插件加载的安卓应用安全监测方法、存储介质 |
| US10642981B2 (en) | 2017-02-20 | 2020-05-05 | Wuxi Research Institute Of Applied Technologies Tsinghua University | Checking method, checking device and checking system for processor |
| CN111385249A (zh) * | 2018-12-28 | 2020-07-07 | 中国电力科学研究院有限公司 | 一种脆弱性检测方法 |
| CN111385253A (zh) * | 2018-12-28 | 2020-07-07 | 中国电力科学研究院有限公司 | 一种面向配电自动化系统网络安全的脆弱性检测系统 |
| CN111444508A (zh) * | 2018-12-27 | 2020-07-24 | 北京奇虎科技有限公司 | 基于虚拟机实现的cpu漏洞检测装置及方法 |
| CN113051571A (zh) * | 2019-12-27 | 2021-06-29 | 中国移动通信集团湖南有限公司 | 一种误报漏洞的检测方法、装置及计算机设备 |
| CN114500116A (zh) * | 2022-04-14 | 2022-05-13 | 杭州海康威视数字技术股份有限公司 | 视频物联网设备自愈安全扫描方法、系统及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710642A (zh) * | 2012-06-01 | 2012-10-03 | 北京神州绿盟信息安全科技股份有限公司 | 系统漏洞扫描方法及设备 |
| CN102779252A (zh) * | 2012-06-29 | 2012-11-14 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描器及其插件调度方法 |
| CN102880830A (zh) * | 2011-07-15 | 2013-01-16 | 华为软件技术有限公司 | 一种原始测试数据的采集方法及装置 |
-
2013
- 2013-02-26 CN CN2013100590339A patent/CN103106368A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102880830A (zh) * | 2011-07-15 | 2013-01-16 | 华为软件技术有限公司 | 一种原始测试数据的采集方法及装置 |
| CN102710642A (zh) * | 2012-06-01 | 2012-10-03 | 北京神州绿盟信息安全科技股份有限公司 | 系统漏洞扫描方法及设备 |
| CN102779252A (zh) * | 2012-06-29 | 2012-11-14 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描器及其插件调度方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王超等: "面向等级保护的漏洞扫描系统的设计与实现", 《核电子学与探测技术》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929429A (zh) * | 2014-04-24 | 2014-07-16 | 北京邮电大学 | 基于RESTful Web服务的网络漏洞扫描系统及方法 |
| CN103929429B (zh) * | 2014-04-24 | 2017-07-21 | 北京邮电大学 | 基于RESTful Web服务的网络漏洞扫描系统及方法 |
| US10642981B2 (en) | 2017-02-20 | 2020-05-05 | Wuxi Research Institute Of Applied Technologies Tsinghua University | Checking method, checking device and checking system for processor |
| CN106790280A (zh) * | 2017-02-22 | 2017-05-31 | 深信服科技股份有限公司 | 网络攻击的应急排查方法及装置 |
| CN107171979A (zh) * | 2017-06-30 | 2017-09-15 | 广州市品高软件股份有限公司 | 基于云计算和sdn的漏洞扫描方法及系统 |
| CN108345797B (zh) * | 2017-08-03 | 2019-03-12 | 清华大学无锡应用技术研究院 | 处理器的检测方法、检测装置以及检测系统 |
| CN108345797A (zh) * | 2017-08-03 | 2018-07-31 | 清华大学无锡应用技术研究院 | 处理器的检测方法、检测装置以及检测系统 |
| CN108595963A (zh) * | 2018-04-26 | 2018-09-28 | 杭州迪普科技股份有限公司 | 一种漏洞扫描方法和装置 |
| CN108769005A (zh) * | 2018-05-25 | 2018-11-06 | 深圳市量智信息技术有限公司 | 一种网络空间漏洞归并平台web系统 |
| CN109391636A (zh) * | 2018-12-20 | 2019-02-26 | 广东电网有限责任公司 | 一种基于等级保护资产树的漏洞治理方法及装置 |
| CN111444508A (zh) * | 2018-12-27 | 2020-07-24 | 北京奇虎科技有限公司 | 基于虚拟机实现的cpu漏洞检测装置及方法 |
| CN111385249A (zh) * | 2018-12-28 | 2020-07-07 | 中国电力科学研究院有限公司 | 一种脆弱性检测方法 |
| CN111385253A (zh) * | 2018-12-28 | 2020-07-07 | 中国电力科学研究院有限公司 | 一种面向配电自动化系统网络安全的脆弱性检测系统 |
| CN111385253B (zh) * | 2018-12-28 | 2023-05-23 | 中国电力科学研究院有限公司 | 一种面向配电自动化系统网络安全的脆弱性检测系统 |
| CN111385249B (zh) * | 2018-12-28 | 2023-07-18 | 中国电力科学研究院有限公司 | 一种脆弱性检测方法 |
| CN109977670A (zh) * | 2019-03-12 | 2019-07-05 | 福建天晴数码有限公司 | 基于插件加载的安卓应用安全监测方法、存储介质 |
| CN113051571A (zh) * | 2019-12-27 | 2021-06-29 | 中国移动通信集团湖南有限公司 | 一种误报漏洞的检测方法、装置及计算机设备 |
| CN114500116A (zh) * | 2022-04-14 | 2022-05-13 | 杭州海康威视数字技术股份有限公司 | 视频物联网设备自愈安全扫描方法、系统及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103106368A (zh) | 一种面向等级保护的漏洞扫描方法 | |
| CA2946224C (en) | Method and apparatus for automating the building of threat models for the public cloud | |
| CN110310205B (zh) | 一种区块链数据监控方法、装置、设备和介质 | |
| CN107273748B (zh) | 一种基于漏洞poc实现安卓系统漏洞检测的方法 | |
| CN102468971A (zh) | 权限管理方法和装置、权限控制方法和装置 | |
| Hu et al. | Development and operation analysis of spectrum monitoring subsystem 2.4–2.5 GHz range | |
| CN102663545A (zh) | 一种基于智能手机的配电网检修作业管理系统 | |
| Soto et al. | Towards a Federation of Smart City Services. | |
| CN113114498A (zh) | 一种可信区块链服务平台的架构系统及其构建方法 | |
| CN103414585A (zh) | 建立业务系统的安全基线的方法和装置 | |
| US20170270602A1 (en) | Object manager | |
| CN109905492A (zh) | 基于分布式模块化数据中心的安全运营管理系统及方法 | |
| CN106603721A (zh) | 一种远程控制的方法及系统、一种远程控制客户端 | |
| Yin et al. | Extending the problem frames approach for capturing non-functional requirements | |
| CN113360475A (zh) | 基于内网终端的数据运维方法、装置、设备及存储介质 | |
| Ki-Aries et al. | From requirements to operation: components for risk assessment in a pervasive system of systems | |
| Hecht et al. | Cybersecurity risk assessment in smart grids | |
| CN111917592A (zh) | 一种异构品牌网络设备的集中操作方法及装置 | |
| CN110209722A (zh) | 一种用于数据交换的数据接口 | |
| CN115994771A (zh) | 面向大宗商品交易存证数据的实时采集与溯源方法及系统 | |
| Yin et al. | Ubiquitous power Internet of Things technology for equipment monitoring | |
| CN110759191B (zh) | 基于5g智慧园区电梯控制方法 | |
| CN113434217A (zh) | 漏洞扫描方法、装置、计算机设备及介质 | |
| CN114157572A (zh) | 一种安全配置核查系统及方法 | |
| Jørgensen et al. | Addressing Cybersecurity In Energy Island |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Li Qianmu Inventor after: Wang Huan Inventor after: Xia Bin Inventor after: Qi Yong Inventor after: Hou Jun Inventor before: Li Qianmu Inventor before: Wang Huan Inventor before: Xia Bin Inventor before: Qi Yong Inventor before: Hou Jun |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130515 |