CN104125197B - 一种安全基线系统及其实现安全检查的方法 - Google Patents
一种安全基线系统及其实现安全检查的方法 Download PDFInfo
- Publication number
- CN104125197B CN104125197B CN201310146261.XA CN201310146261A CN104125197B CN 104125197 B CN104125197 B CN 104125197B CN 201310146261 A CN201310146261 A CN 201310146261A CN 104125197 B CN104125197 B CN 104125197B
- Authority
- CN
- China
- Prior art keywords
- information
- security
- safety
- baseline
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007689 inspection Methods 0.000 title claims abstract description 133
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000012545 processing Methods 0.000 claims abstract description 29
- 238000001514 detection method Methods 0.000 claims description 14
- 238000012544 monitoring process Methods 0.000 claims description 11
- 238000013515 script Methods 0.000 claims description 4
- 244000035744 Hura crepitans Species 0.000 claims description 3
- 230000004044 response Effects 0.000 abstract description 3
- 230000008859 change Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012552 review Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种安全基线系统及其实现安全检查的方法,包括漏洞信息获取单元主动获取漏洞信息;联动处理单元根据获得的漏洞信息确定目标设备,并生成检查信息;安全检查是单元按照生成的检查信息对目标设备进行安全检查。本申请通过主动方式积极地获取新发现的漏洞信息,适应了互联网领域这种变化比较丰富的网络,从而做到了对新发现的漏洞进行实时响应。进一步地,本申请通过按照用户的定制请求,建立用户安全基线库,允许用户调用自身定制的安全规则对系统进行安全检查,从而满足了安全检查的可定制需求。
Description
技术领域
本申请涉及网络安全技术,尤指一种安全基线系统及其实现安全检查的方法。
背景技术
随着互联网对社会的影响日益深入,安全事件发生后给人们带来的损失也日益严重。安全运维人员和管理者越来越希望通过制定安全规范、对全网设备进行安全检查,以便在安全事件发生之前对其进行阻断。安全基线便是即有安全规范,对全网设备进行合规性检查的产品。其中,安全基线,是指一个信息系统的最小安全保证,即该信息系统需要满足的最基本的安全要求,在工程领域中,安全基线多指确保信息系统满足最小安全保证的安全产品。安全规范,是指为了确保通信网络上的相关设备达到最基本的防护能力要求而制定的一系列达标基准,是一套统一的安全设置指标。
美国国家标准和技术研究所(NIST)提出的安全内容自动化协议(SCAP,SecurityContent Automation Protocol)框架中,包含检查的标准、一致性标准等6个支撑标准,其检查内容及检查方式由国家漏洞数据库(NVD,National Vulnerability Database)和网络控制协议(NCP,Network Control Protocol)来提供。由此,SCAP框架便形成了一套针对系统的、标准化的、自动化的安全基线。
现有的安全基线产品均以此为框架进行设计,主要由安全基线库(规则化的安全规范)和安全检查系统组成,其中,安全检查系统根据安全基线库里的规则对网络设备、服务器、中间件、数据库,以及文件系统、进程、服务和网络端口等进行标准化检查。
目前,安全基线多用于电信运营企业。应用在电信运营企业的安全基线产品,根据工信部和企业的要求、参照其网络所有设备的配置手册制定安全规范并将其规则化,形成安全基线库,安全检查系统根据安全基线库,对全网进行标准化安全检查。由于电信运营领域安全规范相对固定、业务需求单一,安全基线实现时主要关注于标准化、自动化。然而,在互联网领域,各层面的漏洞频发,需要及时更新安全规范;各个业务线的安全需求不同,也需要提供可定制安全检查。其中,业务线,是指实现特定功能的互联网产品。
因此,对于象互联网领域这种变化比较丰富的网络来讲,现有安全基线产品的存在以下不足:安全基线库相对固定,无法对新发现的漏洞进行实时响应;业务人员也无法根据业务需求进行定制化的安全检查。
发明内容
为了解决上述技术问题,本申请提供了一种安全基线系统及其实现安全检查的方法,能够灵活地、实时地对网络进行安全检查,及时发现漏洞,更好地保障网络安全。
为了达到本申请目的,本申请提供一种安全基线系统,至少包括:漏洞信息获取单元、联动处理单元,以及安全检查单元;其中,
漏洞信息获取单元,用于主动获取漏洞信息,并将获得的漏洞信息输出给联动处理单元;
联动处理单元,用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备,生成检查信息并推送给安全检查单元;
安全检查单元,用于根据接收到的来自联动处理单元的检查信息,调用自身存储有的安全基线库,对目标设备进行安全检查;
所述联动处理单元包括联动接口,及预先设置的资产信息库;其中,
联动接口,用于以所述漏洞信息为索引,在资产信息库中查询可能受到获得的漏洞信息影响的设备,将其作为目标设备;将漏洞信息、目标设备信息,以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息,并推送给所述安全检查单元。
所述安全基线系统,还用于接收来自用户的定制请求,建立用于用户指定安全检查的用户安全基线库。
所述漏洞信息获取单元包括:一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本;
和/或用于主动上报漏洞信息的漏洞检测平台。
所述安全检查单元包括安全基线库、安全检查系统,以及用于存储检查结果的存储空间;其中,
安全检查系统,用于根据接收到的所述检查信息中的基线模板标识,调用安全基线库中对应的基线模板对所述目标设备进行检查,同时将检查结果保存在存储空间。
所述安全检查单元还包括告警模块,和/或结果展示模块;其中,告警模块,用于对检查结果进行告警;结果展示模块,用于输出检查结果。
所述安全检查系统,具体用于根据调用的所述基线模板中的安全规则,将目标设备的所述检查信息中的指定参数值与标准值进行比对,如果一致,表明检查结果为目标设备安全;如果不一致,表明检查结果为目标设备存在漏洞;
保存得到的检查结果,在目标设备存在漏洞时,通知告警模块和/或结果展示模块;
所述告警模块进行告警,和/或结果展示模块输出检查结果。
所述安全检查单元中还包括:检查控制平台,用于接收来自用户的定制请求,建立用于用户指定安全检查的用户安全基线库。
当所述安全基线库包括系统安全基线库和用户安全基线库时,所述安全检查系统,还用于判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则,如果有,判断用户安全规则是否安全,并在该用户安全规则安全时,对所述目标设备进行安全检查;
如果判断出被调用的所述基线模板中的安全规则中仅包含有系统安全规则,则直接对所述目标设备进行安全检查。
本申请还提供一种安全基线系统实现安全检查的方法,包括:主动获取漏洞信息;根据获得的漏洞信息确定目标设备,并生成检查信息;
按照生成的检查信息对目标设备进行安全检查;
所述确定目标设备并生成检查信息包括:
以所述漏洞信息为索引,在预先设置的资产信息库中查询可能受到获得的漏洞信息影响的设备,将其作为检查目标设备;将漏洞信息、目标设备信息,以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息。
所述获取漏洞信息包括:从不同的漏洞检查发布网站定期获取、和/或由漏洞检测平台主动上报。
所述获取漏洞信息为从不同的漏洞检查发布网站定期获取;
所述定期获取包括:按照预先设置固定的时间与频率获取;或者,按照根据不同网站更新的时间、频率设置不同的获取时间与频率来获取;或者,网站更新触发获取。
所述获取包括:主动抓取;或者,分析网站的网络摘要RSS文件而获得;或者,通过网站提供数据接口访问获得。
所述获取漏洞信息为:由漏洞检测平台主动上报;
所述主动上报包括:所述漏洞检测平台实时、或定期上报新发现的漏洞。
所述漏洞信息分为漏洞概要信息与漏洞详细信息;所述确定目标设备具体包括:以所述漏洞概要信息为索引,在所述资产信息库中查询可能受影响的设备:如果查询结果不为空,则查询结果为目标设备;如果查询结果为空,目标设备为全网设备。
所述按照生成的检查信息对目标设备进行安全检查包括:
根据所述检查信息中的基线模板标识,调用预先设置的安全基线库中对应的基线模板对目标设备进行检查,同时保存检查结果。
该方法还包括:输出检查结果。
所述调用基线模板对目标设备进行检查包括:根据调用的所述基线模板中的安全规则,将所述目标设备的检查信息中的指定参数值与标准值进行比对,如果一致,检查结果为目标设备安全;如果不一致,检查结果为目标设备存在漏洞。
该方法还包括:按照用户的定制请求,将用户输入的用户安全规则存储在用户安全基线库中。
该方法还包括:对所述用户安全规则进行权限的设置,使其对指定用户公开。
所述安全基线库包括系统安全基线库和用户安全基线库;该方法还包括:
判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则,如果有,判断用户安全规则是否安全,并在该用户安全规则安全时,对所述目标设备进行安全检查;
如果被调用的所述基线模板中的安全规则中仅包含有系统安全规则,则直接对所述目标设备进行安全检查。
所述判断用户安全规则是否安全包括:通过设置危险命令库、和/或设置沙箱方式实现。
本申请提供的方案包括漏洞信息获取单元主动获取漏洞信息;联动处理单元根据获得的漏洞信息确定目标设备,并生成检查信息;安全检查是单元按照生成的检查信息对目标设备进行安全检查。本申请通过主动方式积极地获取新发现的漏洞信息,适应了互联网领域这种变化比较丰富的网络,从而做到了对新发现的漏洞进行实时响应。进一步地,本申请通过按照用户的定制请求,建立用户安全基线库,允许用户调用自身定制的安全规则对系统进行安全检查,从而满足了安全检查的可定制需求。与现有技术相比,本申请安全基线系统除了具有标准化、自动化特性外,还具有主动性、及时性、可定制性以及与其它安全产品的联动性,满足了互联网领域应用的需求。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本申请技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
图1为本申请安全基线系统的组成结构示意图;
图2为本申请安全基线系统实现安全检查的方法的流程图;
图3为本申请安全基线系统的实施例的组成结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下文中将结合附图对本申请的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在本申请一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1为本申请安全基线装置的组成结构示意图,如图1所示,至少包括:漏洞信息获取单元、联动处理单元,以及安全检查单元,其中,
漏洞信息获取单元,用于主动获取漏洞信息,并将获得的漏洞信息输出给联动处理单元。新发现的漏洞包括从不同的漏洞监测与发布网站定期获取、和/或由漏洞检测平台主动上报。具体地,如图3所示,
包括一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本;和/或用于主动上报漏洞信息的漏洞检测平台。
联动处理单元,用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备,生成检查信息并推送给安全检查单元。具体地,如图3所示,
联动处理单元包括联动接口,以及资产信息库。其中,资产信息库用于保存网络层信息如IP地址、域名、路由等;系统层信息如操作系统类型、版本等;应用层信息如软件名称、软件版本、软件配置、产品线信息、人员信息等;以及设备信息如设备标识等。
联动接口,具体用于以漏洞信息为索引,在预先设置的资产信息库中查询可能受到获得的漏洞信息影响的设备,将其作为目标设备;将漏洞信息、目标设备信息,以及用于标识安全基线库中不同基线模板(即安全基线库中不同安全规则)的基线模板标识组装生成检查信息,并推送给安全检查单元。其中,基线模板与基线模版标识的对应关系可以是约定的对应规则,也可以是预先定义好的对应关系表具体实现属于本领域技术人员的惯用技术手段,这里不再赘述。
安全检查单元,用于根据接收到的来自联动处理单元的检查信息,调用自身存储有的安全基线库,对目标设备进行安全检查。具体地,如图3所示,
包括安全基线库、安全检查系统,以及用于存储检查结果的存储空间、告警模块及结果展示模块,其中,
安全检查系统,用于根据接收到的检查信息中的基线模板标识,调用安全基线库中对应的基线模板对目标设备进行检查,同时将检查结果保存在村写出空间,还可以通过告警模块和/或结果展示模块输出检查结果如告警。具体地,安全检查系统根据调用的基线模板中的安全规则,将目标设备的检查信息中的指定参数值与标准值进行比对,如果一致,检查结果为目标设备安全;如果不一致,检查结果为目标设备存在漏洞。之后,安全检查单元保存得到的检查结果,在目标设备存在漏洞时,进行告警处理,比如通过短信、邮件、即时消息等进行告警。
进一步,安全检查单元中还包括检查控制平台,用于接收来自用户的定制请求,建立用于用户指定安全检查的用户安全基线库。本申请中,对原有安全基线库进行扩充,将其分为系统安全基线库和用户安全基线库。其中,系统安全基线库,用于存储统一、通用的系统安全规则;用户安全基线库,用于存储用户自定制的用户安全规则。本申请的安全基线系统通过允许用户调用自身定制的安全规则对系统进行安全检查,从而满足了安全检查的可定制需求。
当安全基线库包括系统安全基线库和用户安全基线库时,用户可以选择的安全规则包括:系统安全基线库中的系统安全规则、用户自己定制用户安全基线库中的用户安全规则、以及共享给用户的用户安全规则。在用户需要调用安全基线库时,
安全检查系统,还用于判断调用的基线模板中的安全规则中是否包含有用户安全规则,如果有,进一步判断用户安全规则是否安全。若该用户安全规则安全,则对目标设备进行安全检查;
如果判断出被调用的安全规则中仅包含有系统安全规则,则直对目标设备进行发安全检查。
进一步地,如果判断出该用户安全规则不安全,则不对目标设备进行安全检查,并将是由于用户安全规则不安全而导致不做安全检查的原因存入数据库中。
图2为本申请安全基线系统实现安全检查的方法的流程图,下面结合图2,对本申请系统及方法进行详细描述。
如图2所示,本申请方法包括以下步骤:
步骤200:主动获取漏洞信息。
本步骤中,新发现的漏洞信息可以包括从不同的漏洞检查发布网站定期获取、和/或由漏洞检测平台主动上报。其中,
从不同的漏洞监测与发布网站定期获取包括:漏洞信息获取单元定期主动从漏洞监测与发布网站获取最新的漏洞信息。其中,定期的形式可以是但不限于:预先设置固定的时间与频率;或者,根据不同网站更新的时间、频率设置不同的获取时间与频率;或者,网站更新触发获取动作等。获取漏洞监测与发布网站信息的方式可以是但不限于:主动抓取;或者,分析网站的网络摘要(RSS)文件而获得;或者,网站提供数据接口访问获得等。
由漏洞检测平台主动上报包括:漏洞检测平台实时或定期将新发现的漏洞上报给漏洞信息获取单元。其中漏洞检测平台可以通过扫描日志、扫描代码、或人工提供等方式来获取漏洞。
本步骤中,关于获取漏洞的具体实现方法是本领域技术人员可以灵活采用现有技术实现的,其具体实现方法并不属于本申请的保护范围,也不用于限定本申请的保护范围。本申请强调的是,通过主动方式积极地获取新发现的漏洞信息,以适应互联网领域这种变化比较丰富的网络,从而做到对新发现的漏洞进行实时响应。
步骤201:根据获得的漏洞信息确定目标设备,并生成检查信息。
具体包括:联动处理单元以漏洞信息为索引,在预先设置的资产信息库中查询可能受到获得的漏洞信息影响的设备,将其作为检查目标设备;将漏洞信息、目标设备信息,以及用于标识安全基线库中不同基线模板(即安全基线库中不同安全规则)的基线模板标识组装生成检查信息。其中,资产信息库用于保存网络层信息如IP地址、域名、路由等;系统层信息如操作系统类型、版本等;应用层信息如软件名称、软件版本、软件配置、产品线信息、人员信息等;以及设备信息如设备标识等。
所述的漏洞信息分为漏洞概要信息与漏洞详细信息。其中,漏洞概要信息包括:发现漏洞的软件、网络设备、服务器、中间件、数据库名称及其受影响的版本号,危险进程名称,危险服务名称,危险端口,以及公共漏洞和暴露名称(CVE ID)、漏洞描述、漏洞发现时间等漏洞相关简要信息。漏洞详细信息包括:漏洞概要信息,以及引发该漏洞的系统文件或配置文件名称、字段名称、字段值、标准值等详细信息。
本步骤中的确定目标设备具体包括:联动处理单元以漏洞概要信息如发现漏洞的软件、网络设备、服务器、中间件、数据库名称及其受影响的版本号为索引,在资产信息库中查询可能受影响的设备:如果查询结果不为空,则查询结果为目标设备;如果查询结果为空,比如资产信息库不便以进程名称、端口号、服务名称等为关键字建立数据表,那么,要是以此为关键值查询,结果必然为空,此时,目标设备为全网设备。
本步骤中,漏洞信息、检查信息可以以任意格式组装,比如:json格式、文本文件、数组等,具体采用哪种格式,由安全基线系统的各功能单元如漏洞信息获取单元、联动处理单元,以及安全检查单元预先约定。组装格式确定后,如何实现组装是本领域技术人员的惯用技术手段,这不再赘述。
步骤202:按照生成的检查信息对目标设备进行安全检查。
本步骤中,安全检查单元接收到检查信息后,根据检查信息中的基线模板标识,调用其中设置的安全基线库中对应的基线模板对目标设备进行检查,同时保存检查结果,还可以输出检查结果如告警。其中,调用基线模板对目标设备进行检查包括:根据调用的安全规则,将目标设备的检查信息中的指定参数值与标准值进行比对,如果一致,检查结果为目标设备安全;如果不一致,检查结果为目标设备存在漏洞。之后,安全检查单元保存得到的检查结果,在目标设备存在漏洞时,进行告警处理,比如通过短信、邮件、即时消息等进行告警。
下面结合以具体实施例对本申请方法进行详细描述。
第一实施例,假设漏洞详细信息包括:基础软件名称(name)myname发现漏洞;受影响版本号(version)为m.n1、m.n2、m.n3;漏洞原因为其文件(file)a中字段(key)b的值(val)为c;字段b的标准值(std)为d;漏洞CVE ID为1234;漏洞描述(info)为xyz;漏洞发现时间(time)为YY-MM-DD。
联动处理单元接收到的漏洞信息为:
{name:myname,version:m.n1|m.n2|m.n3,file:a,key:b,val:c,std:d,CVE_ID:1234,time:YY-MM-DD,info:xyz};
联动处理单元根据name和version字段,组合出三组索引值(myname,m.n1),(myname,m.n2),(myname,m.n3),分别以此为条件在资产信息库中查询出可能受影响的设备,假设分别为(x1,y1,z1),(x2,y2,z2),(x3,y3,z3);
联动处理单元将漏洞信息、目标设备、基线模板标识(第一实施例中假设为tempalte:T1)组装生成检查信息分别为:{name:myname,version:m.n1,file:a,key:b,val:c,std:d,CVE_ID:1234,time:YY-MM-DD,info:xyz,machine:[x1,y1,z1],tempalte:T1};
{name:myname,version:m.n2,file:a,key:b,val:c,std:d,CVE_ID:1234,time:YY-MM-DD,info:xyz,machine:[x2,y2,z2],tempalte:T1};
{name:myname,version:m.n3,file:a,key:b,val:c,std:d,CVE_ID:1234,time:YY-MM-DD,info:xyz,machine:[x3,y3,z3],tempalte:T1},并将生成的检查信息推送给安全检查单元;
安全检查单元接收到检查信息后,根据检查信息中的基线模板标识,调用其中设置的安全基线库中对应的基线模板对目标设备进行检查,同时保存检查结果,还可以输出检查结果如告警。
第二实施例,假设漏洞概要信息包括:发现漏洞(name),其表现为存在危险进程p1,漏洞CVE ID为1234;漏洞描述(info)为xyz;漏洞发现时间(time)为YY-MM-DD。
联动处理单元接收到的漏洞信息为:{name:p1,version:null,file:null,key:null,val:null,std:null,CVE_ID:1234,time:YY-MM-DD,info:xyz};
联动处理单元根据name和version字段,组合索引值(p1,null),并以此为条件在资产信息库中查询出可能受影响的设备结果为空(null)。
联动处理单元将漏洞信息、目标设备、基线模板标识(第二实施例中假设为tempalte:T1)组装生成检查信息为:{name:p1,version:null,file:null,key:null,val:null,std:null,CVE_ID:1234,time:YY-MM-DD,info:xyz,machine:null,tempalte:T1},并将生成的检查信息推送给安全检查单元;
由于machine字段为null,安全检查单元接收到检查信息后,根据检查信息中的基线模板标识,调用其中设置的安全基线库中对应的基线模板对全网设备进行检查,同时保存检查结果,还可以输出检查结果如告警。检查系统接受检查信息,并进行检查。
本申请方法还包括:按照用户的定制请求,建立用于用户指定安全检查的用户安全基线库。本申请中,对原有安全基线库进行扩充,将其分为系统安全基线库和用户安全基线库。其中,系统安全基线库,用于存储统一、通用的系统安全规则;用户安全基线库,用于存储用户自定制的用户安全规则。本申请的安全基线系统通过允许用户调用自身定制的安全规则对系统进行安全检查,从而满足了安全检查的可定制需求。
按照用户的定制请求,建立用户安全基线库的方法具体包括:用户通过安全检查单元的检查控制平台,输入自定制的用户安全规则,检查控制平台将用户输入的用户安全规则存储在用户安全基线库。用户安全基线库中的用户安全规则包括:在系统安全基线库中的通用安全规则无法满足特殊业务需求时、或者为了掌握其业务线设备状态或者排查问题等原因时,用户自己制定的,默认仅对该用户自身可见的用户安全规则。进一步地,该用户指定的用户安全规则,可以请求安全检查系统对其权限的设置,对指定用户公开即共享给该指定用户。
下面举例进行说明,假设系统安全数据库中存储有系统安全规则s1、s2、s3,为了满足各自业务需求,假设用户A需要安全规则s1、s2、s3、u1、u2,用户B需要安全规则s2,s3、b1;另外,用户A还需要安全规则q1,以了解业务线各设备的状态。
用户A自定制安全规则包括:在检查控制平台,用户A提交自定制的用户安全规则u1、u2、q1;用户B提交自定制的用户安全规则b1;这样,用户安全规则包括u1、u2、q1、b1在检查控制平台规则列表中的记录rcd_u1、rcd_u2、rcd_q1、rdc_b1以及对应的检查脚本rcd_u1.py、rcd_u2.py、rcd_q1.py、rcd_b1.py。检查控制平台将rcd_u1、rcd_u2、rcd_q1、rcd_b1、rcd_u1.py、rcd_u2.py、rcd_q1.py,以及rcd_b1.py存入用户安全基线库中。其中,用户安全基线库可以是数据库、目录、文件等形式,其具体形式预先设定。
这样,用户A可以调用安全规则s1、s2、s3、u1、u2、q1进行安全检查;用户B可调用安全规则s1、s2、s3、b1进行安全检查。
进一步地,如果用户A将其定制的用户安全规则u1、u2、q1分享给用户B,那么,用户A只需将分享请求及指定分享的用户B的信息发送给检查控制平台,检查控制平台会将用户安全规则u1、u2、q1的权限设置为对指定用户B公开,这样,用户B可以调用安全规则s1、s2、s3、u1、u2、q1、b1进行安全检查。
需要说明的是,当安全基线库包括系统安全基线库和用户安全基线库时,用户可以选择的安全规则包括:系统安全基线库中的系统安全规则、用户自己定制用户安全基线库中的用户安全规则、以及共享给用户的用户安全规则。在用户需要调用安全基线库时,本申请方法还包括:
判断调用的基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则,如果有,进一步判断用户安全规则是否安全,并在该用户安全规则安全时,对目标设备进行安全检查;
如果被调用的基线模板中的安全规则中仅包含有系统安全规则,则直接对目标设备进行安全检查。
其中,可以通过设置危险命令库、和/或设置沙箱等方式,判断用户安全规则是否安全,具体实现属于本领域技术人员惯用技术手段,这里不再赘述。
方案包括漏洞信息获取单元主动获取漏洞信息;联动处理单元根据获得的漏洞信息确定目标设备,并生成检查信息;安全检查是单元按照生成的检查信息对目标设备进行安全检查。本申请通过主动方式积极地获取新发现的漏洞信息,适应了互联网领域这种变化比较丰富的网络,从而做到了对新发现的漏洞进行实时响应。进一步地,本申请通过按照用户的定制请求,建立用户安全基线库,允许用户调用自身定制的安全规则对系统进行安全检查,从而满足了安全检查的可定制需求。与现有技术相比,本申请安全基线系统除了具有标准化、自动化特性外,还具有主动性、及时性、可定制性以及与其它安全产品的联动性,满足了互联网领域应用的需求。
本领域的技术人员应该明白,上述的本申请实施例所提供的装置的各组成部分,以及方法中的各步骤,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上。可选地,它们可以用计算装置可执行的程序代码来实现。从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
虽然本申请所揭露的实施方式如上,但所述的内容仅为便于理解本申请而采用的实施方式,并非用以限定本申请。任何本申请所属领域内的技术人员,在不脱离本申请所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本申请的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (21)
1.一种安全基线系统,其特征在于,包括:漏洞信息获取单元、联动处理单元,以及安全检查单元;其中,
漏洞信息获取单元,用于主动获取漏洞信息,并将获得的漏洞信息输出给联动处理单元;
联动处理单元,用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备,生成检查信息并推送给安全检查单元;
安全检查单元,用于根据接收到的来自联动处理单元的检查信息,调用自身存储有的安全基线库,对目标设备进行安全检查;
所述联动处理单元包括联动接口,及预先设置的资产信息库;其中,
联动接口,用于以所述漏洞信息为索引,在资产信息库中查询可能受到获得的漏洞信息影响的设备,将其作为目标设备;将漏洞信息、目标设备信息,以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息,并推送给所述安全检查单元。
2.根据权利要求1所述的安全基线系统,其特征在于,所述安全基线系统,还用于接收来自用户的定制请求,建立用于用户指定安全检查的用户安全基线库。
3.根据权利要求1或2所述的安全基线系统,其特征在于,所述漏洞信息获取单元包括:一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本;
和/或用于主动上报漏洞信息的漏洞检测平台。
4.根据权利要求1所述的安全基线系统,其特征在于,所述安全检查单元包括安全基线库、安全检查系统,以及用于存储检查结果的存储空间;其中,
安全检查系统,用于根据接收到的所述检查信息中的基线模板标识,调用安全基线库中对应的基线模板对所述目标设备进行检查,同时将检查结果保存在存储空间。
5.根据权利要求4所述的安全基线系统,其特征在于,所述安全检查单元还包括告警模块,和/或结果展示模块;其中,
告警模块,用于对检查结果进行告警;结果展示模块,用于输出检查结果。
6.根据权利要求5所述的安全基线系统,其特征在于,所述安全检查系统,具体用于根据调用的所述基线模板中的安全规则,将目标设备的所述检查信息中的指定参数值与标准值进行比对,如果一致,表明检查结果为目标设备安全;如果不一致,表明检查结果为目标设备存在漏洞;
保存得到的检查结果,在目标设备存在漏洞时,通知告警模块和/或结果展示模块;
所述告警模块进行告警,和/或结果展示模块输出检查结果。
7.根据权利要求5所述的安全基线系统,其特征在于,所述安全检查单元中还包括:检查控制平台,用于接收来自用户的定制请求,建立用于用户指定安全检查的用户安全基线库。
8.根据权利要求7所述的安全基线系统,其特征在于,当所述安全基线库包括系统安全基线库和用户安全基线库时,
所述安全检查系统,还用于判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则,如果有,判断用户安全规则是否安全,并在该用户安全规则安全时,对所述目标设备进行安全检查;
如果判断出被调用的所述基线模板中的安全规则中仅包含有系统安全规则,则直接对所述目标设备进行安全检查。
9.一种安全基线系统实现安全检查的方法,其特征在于,包括:主动获取漏洞信息;根据获得的漏洞信息确定目标设备,并生成检查信息;
按照生成的检查信息对目标设备进行安全检查;
其中,所述确定目标设备并生成检查信息包括:
以所述漏洞信息为索引,在预先设置的资产信息库中查询可能受到获得的漏洞信息影响的设备,将其作为检查目标设备;将漏洞信息、目标设备信息,以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息。
10.根据权利要求9所述的方法,其特征在于,所述获取漏洞信息包括:从不同的漏洞检查发布网站定期获取、和/或由漏洞检测平台主动上报。
11.根据权利要求9所述的方法,其特征在于,所述获取漏洞信息为从不同的漏洞检查发布网站定期获取;
所述定期获取包括:按照预先设置固定的时间与频率获取;或者,按照根据不同网站更新的时间、频率设置不同的获取时间与频率来获取;或者,网站更新触发获取。
12.根据权利要求11所述的方法,其特征在于,所述获取包括:主动抓取;或者,分析网站的网络摘要RSS文件而获得;或者,通过网站提供数据接口访问获得。
13.根据权利要求9所述的方法,其特征在于,所述获取漏洞信息为:由漏洞检测平台主动上报;
所述主动上报包括:所述漏洞检测平台实时、或定期上报新发现的漏洞。
14.根据权利要求9所述的方法,其特征在于,所述漏洞信息分为漏洞概要信息与漏洞详细信息;所述确定目标设备具体包括:
以所述漏洞概要信息为索引,在所述资产信息库中查询可能受影响的设备:如果查询结果不为空,则查询结果为目标设备;如果查询结果为空,目标设备为全网设备。
15.根据权利要求9所述的方法,其特征在于,所述按照生成的检查信息对目标设备进行安全检查包括:
根据所述检查信息中的基线模板标识,调用预先设置的安全基线库中对应的基线模板对目标设备进行检查,同时保存检查结果。
16.根据权利要求15所述的方法,其特征在于,该方法还包括:输出检查结果。
17.根据权利要求15或16所述的方法,其特征在于,所述调用基线模板对目标设备进行检查包括:根据调用的所述基线模板中的安全规则,将所述目标设备的检查信息中的指定参数值与标准值进行比对,如果一致,检查结果为目标设备安全;如果不一致,检查结果为目标设备存在漏洞。
18.根据权利要求9所述的方法,其特征在于,该方法还包括:按照用户的定制请求,将用户输入的用户安全规则存储在用户安全基线库中。
19.根据权利要求18所述的方法,其特征在于,该方法还包括:对所述用户安全规则进行权限的设置,使其对指定用户公开。
20.根据权利要求15所述的方法,其特征在于,所述安全基线库包括系统安全基线库和用户安全基线库;该方法还包括:
判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则,如果有,判断用户安全规则是否安全,并在该用户安全规则安全时,对所述目标设备进行安全检查;
如果被调用的所述基线模板中的安全规则中仅包含有系统安全规则,则直接对所述目标设备进行安全检查。
21.根据权利要求20所述的方法,其特征在于,所述判断用户安全规则是否安全包括:通过设置危险命令库、和/或设置沙箱方式实现。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310146261.XA CN104125197B (zh) | 2013-04-24 | 2013-04-24 | 一种安全基线系统及其实现安全检查的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310146261.XA CN104125197B (zh) | 2013-04-24 | 2013-04-24 | 一种安全基线系统及其实现安全检查的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104125197A CN104125197A (zh) | 2014-10-29 |
| CN104125197B true CN104125197B (zh) | 2017-08-08 |
Family
ID=51770463
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310146261.XA Active CN104125197B (zh) | 2013-04-24 | 2013-04-24 | 一种安全基线系统及其实现安全检查的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104125197B (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104537305B (zh) * | 2014-12-31 | 2017-12-15 | 北京奇安信科技有限公司 | 网站漏洞检测方法和系统 |
| CN105991554B (zh) * | 2015-02-04 | 2019-06-11 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和设备 |
| CN104966021A (zh) * | 2015-05-21 | 2015-10-07 | 浪潮电子信息产业股份有限公司 | 一种安全基线数据文件的建立和解析方法及装置 |
| CN105740723A (zh) * | 2016-01-28 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | 一种安全基线的管理方法与系统 |
| CN105955728A (zh) * | 2016-04-26 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种基于用户自定义脚本的安全基线检查修复方式 |
| CN106202428A (zh) * | 2016-07-13 | 2016-12-07 | 浪潮电子信息产业股份有限公司 | 一种自定义脚本类型基线项目的管理方法与系统 |
| CN106027575A (zh) * | 2016-08-01 | 2016-10-12 | 湖南润安危物联科技发展有限公司 | 客户端及安全检查装置与方法 |
| CN106845244A (zh) * | 2016-12-19 | 2017-06-13 | 郑州云海信息技术有限公司 | 一种检测方法及装置 |
| CN106850283B (zh) * | 2017-01-19 | 2020-12-25 | 金华市智甄通信设备有限公司 | 一种基于事件驱动的云ac告警处理系统及方法 |
| CN107194256A (zh) * | 2017-03-21 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 安全资产基线加固方法及装置 |
| CN107277021A (zh) * | 2017-06-26 | 2017-10-20 | 云南电网有限责任公司信息中心 | 一种新公开漏洞影响范围识别与修复管理系统及方法 |
| CN107483410A (zh) * | 2017-07-21 | 2017-12-15 | 中国联合网络通信集团有限公司 | 网络安全管理方法及装置 |
| CN107977225B (zh) * | 2017-12-06 | 2020-11-10 | 国网江苏省电力有限公司电力科学研究院 | 一种安全漏洞的统一描述方法和描述系统 |
| CN109977677A (zh) * | 2017-12-28 | 2019-07-05 | 平安科技(深圳)有限公司 | 漏洞信息收集方法、装置、设备及可读存储介质 |
| CN109344621B (zh) * | 2018-09-17 | 2021-10-22 | 郑州云海信息技术有限公司 | 一种安全基线检测方法、装置、设备及可读存储介质 |
| CN109639631A (zh) * | 2018-10-30 | 2019-04-16 | 国网陕西省电力公司信息通信公司 | 一种网络安全巡检系统及巡检方法 |
| CN109460400B (zh) * | 2018-12-12 | 2022-04-08 | 国网江苏省电力有限公司南京供电分公司 | 一种电力监控系统安全基线库的建立系统及方法 |
| CN110135127B (zh) * | 2019-04-11 | 2021-04-30 | 北京亿赛通科技发展有限责任公司 | 一种基于沙箱的文档分布式基线化系统及导入和分发方法 |
| CN110414237A (zh) * | 2019-06-12 | 2019-11-05 | 武汉青藤时代网络科技有限公司 | 一种基于终端设备的自动化基线检查方法 |
| CN110298179B (zh) * | 2019-07-10 | 2021-11-16 | 中国民航信息网络股份有限公司 | 开源框架安全漏洞检测方法及装置 |
| CN112825093B (zh) * | 2019-11-21 | 2024-03-12 | 北京天融信网络安全技术有限公司 | 安全基线检查方法、主机、服务器、电子设备及存储介质 |
| CN113625663B (zh) * | 2020-05-07 | 2024-05-17 | 宝武碳业科技股份有限公司 | 一种综合态势管控系统 |
| CN111859405A (zh) * | 2020-07-31 | 2020-10-30 | 深信服科技股份有限公司 | 一种威胁免疫框架、方法、设备及可读存储介质 |
| CN111967778A (zh) * | 2020-08-19 | 2020-11-20 | 杭州铂钰信息科技有限公司 | 一种基于安全基线模型的数据安全检测方法及系统 |
| CN112148545B (zh) * | 2020-10-26 | 2024-09-03 | 腾讯科技(深圳)有限公司 | 嵌入式系统的安全基线检测方法以及安全基线检测系统 |
| CN112380533B (zh) * | 2020-11-17 | 2023-12-15 | 广东电网有限责任公司江门供电局 | 一种计算机终端安全基线核查方法 |
| CN112667463A (zh) * | 2020-12-22 | 2021-04-16 | 中国银联股份有限公司 | 一种应用系统基线状态监控方法及装置 |
| CN112818307B (zh) * | 2021-02-25 | 2024-05-28 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
-
2013
- 2013-04-24 CN CN201310146261.XA patent/CN104125197B/zh active Active
Non-Patent Citations (3)
| Title |
|---|
| 安全基线风险评估技术的研究;彭霄;《中国优秀硕士论文电子期刊网》;20110315;正文第四章 * |
| 网络安全漏洞信息系统的研究;杨晓彦;《中国优秀硕士论文电子期刊网》;20070615;全文 * |
| 网络安全漏洞分析知识库系统的设计与实现;孙力行;《中国优秀硕士论文电子期刊网》;20120715;正文第三章 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104125197A (zh) | 2014-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104125197B (zh) | 一种安全基线系统及其实现安全检查的方法 | |
| US10445069B2 (en) | System and method for generating an application structure for an application in a computerized organization | |
| CN111861140B (zh) | 一种业务处理方法、装置、存储介质和电子装置 | |
| US10313215B2 (en) | Monitoring of computer network resources having service level objectives | |
| CN111460129B (zh) | 标识生成的方法、装置、电子设备和存储介质 | |
| US11362912B2 (en) | Support ticket platform for improving network infrastructures | |
| US8166143B2 (en) | Methods, systems and computer program products for invariant representation of computer network information technology (IT) managed resources | |
| US10135728B2 (en) | Partial switching of network traffic | |
| CN111711534B (zh) | 网络服务质量分析方法、装置、系统、设备和存储介质 | |
| US11805146B2 (en) | System and method for detection promotion | |
| CN110716912A (zh) | 一种sql性能检测方法及服务器 | |
| CN112149112A (zh) | 一种基于职权分离的企业信息安全管理方法 | |
| CN112491943A (zh) | 数据请求方法、装置、存储介质和电子设备 | |
| CN115757318A (zh) | 日志查询方法、装置、存储介质以及电子设备 | |
| CN115604103A (zh) | 云计算系统的配置方法、装置、存储介质以及电子设备 | |
| US11582345B2 (en) | Context data management interface for contact center | |
| CN114385503A (zh) | 接口测试方法、装置、设备及存储介质 | |
| Casalino et al. | Detection of configuration vulnerabilities in distributed (web) environments | |
| CN113778780A (zh) | 应用稳定性的确定方法、装置、电子设备和存储介质 | |
| US20240289464A1 (en) | Techniques for the unification of raw cyber data collected from different sources for vulnerability management | |
| CN115842716B (zh) | 故障服务器的确定方法、装置、设备以及存储介质 | |
| CN115168489B (zh) | 基于区块链的数据存证方法和装置 | |
| US12028360B1 (en) | Techniques for multi-tenant vulnerability scanning utilizing sensitive data | |
| CN117234951B (zh) | 应用系统的功能测试方法、装置、计算机设备、存储介质 | |
| CN112529594B (zh) | 一种物资质检方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |