CN105099733A - 安全管控平台中设备安全管理的方法和系统 - Google Patents
安全管控平台中设备安全管理的方法和系统 Download PDFInfo
- Publication number
- CN105099733A CN105099733A CN201410184557.5A CN201410184557A CN105099733A CN 105099733 A CN105099733 A CN 105099733A CN 201410184557 A CN201410184557 A CN 201410184557A CN 105099733 A CN105099733 A CN 105099733A
- Authority
- CN
- China
- Prior art keywords
- information
- equipment
- network
- control platform
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全管控平台中设备安全管理的方法和系统,涉及网络信息安全技术领域。本发明实施例能通过已有设备信息发现全部在网设备,发现未录入安全管控平台的未知设备和发生变化的已知设备,弥补现有设备管理方法在系统运行一段时间后,设备信息随着系统变化逐渐失效的缺点,全面准确的发现在网的未知设备,分布式多进程并发自动化采集的架构极大的提高了未知设备的发现效率,使企业清楚了解网络中设备的存在情况,提高企业对信息安全的掌控力度。还能根据设备网络划分情况自动的动态的生成的PING脚本能够PING出所有可能连通的IP。还能通过已知设备的MAC/IP地址集对采集到的MAC/IP地址进行归并,以减少误报。
Description
技术领域
本发明涉及网络信息安全技术领域,特别涉及一种安全管控平台中设备安全管理的方法和系统。
背景技术
随着互联网的快速发展和普及,各大企业加大了IT系统的建设投入,使得各种应用系统和用户数量不断增加,网络规模迅速扩大,企业面临的信息安全问题也愈见突出。通过建设安全管控平台,按照行业的标准来做细粒度的管理,真正做到对于内部网络的严格管理,控制、限制和追踪用户的行为,判定用户的行为是否对企业内部网络的安全运行带来威胁。但对于未纳入安全管控平台的设备,我们无法有效对其进行审计和控制,大量脱离管理的未知设备成为常见安全风险的主要来源。
现有技术主要采用人工录入的方式对设备进行管理、审计、检查,难以发现未录入设备,难以实现精准、实时、全面的设备管理,无法有效限制设备的随意调整,无法长期保证设备信息与实际情况保持一致,无法确保长期符合企业信息安全管理标准要求,也无法实现对不断积累的大量设备合理性的有效判断。
现有的设备管理方法存在诸多缺点,主要问题在于:
1)无法发现未录入安全管控平台的设备。
现有安全管控平台依赖于人工录入的设备信息,但在中大型企业中私有网络结构复杂、设备数量和设备种类众多,在录入的过程中很容易出现遗漏的情况,现有资源管理系统缺乏核实发现未接入资源管理系统的在网设备的能力和手段。
2)无法掌握设备当前的存在情况。
设备的相关信息在其生命周期内会不断发生改变,如变更IP、变更操作系统或变更承载业务。随着时间的推移,安全检查系统中最初录入的信息会逐渐失效,不能反映设备当前的准确状态,对安全检查及其后续的数据挖掘分析都会造成影响,使安全检查系统逐渐丧失准确性,进而降低企业安全管控力度。
设备可能存在下述几种状态:
已退网断电:因设备更新或建设新系统,该设备已退网断电。
变更用途:IP、操作系统调整,或承载的业务发生变化。
等等。
3)人工核查设备信息费时费力。
中大型企业的私有网中可能存在数千甚至数万台设备,并涉及多个业务系统,人工核查设备及信息的方法不仅需要各业务系统的紧密配合,还需大量的时间与人力,工作量巨大。
综上,掌握设备实际存在情况,是全网各类安全检查、风险评估和事件分析工作中的基础;所有维护全部通过安全管控平台是全网安全的保障。目前的人工核查的方法费时费力且无法满足管理需求,我们亟需一种自动化的核查方法。
发明内容
鉴于上述问题,本发明实施例提供一种安全管控平台中设备安全管理的方法和系统,能够利用安全管控平台中的已有设备对网络中的所有设备进行自动发现及信息采集,进而达到对安全管控平台内部各设备进行更精准更可靠的安全管理的目的。
本发明实施例采用了如下技术方案:
本发明一个实施例提供了一种安全管控平台中设备安全管理的方法,所述方法包括:
安全管控平台中的已知设备根据任务调度信息启动未知网络设备发现操作;
所述已知设备获取在网的网络设备并采集设备信息;
将采集到的设备信息与安全管控平台已有设备信息相比对,生成设备信息不一致的设备信息列表;
安全管控平台根据所述设备信息不一致的设备信息列表对已有设备信息进行更新;
安全管控平台根据更新后的已有设备信息对平台内的设备进行安全管理。
所述已知设备获取在网的网络设备并采集设备信息包括:
所述已知设备在任务调度信息所选网段内分布式并发建立未知网络设备发现任务;
根据各分布式并发未知网络设备发现任务,获取所选网段内全部在网的网络设备;
登录所述网络设备采集所需设备信息。
所述根据各分布式并发未知网络设备发现任务,获取所选网段内全部在网的网络设备包括:
所述已知设备根据各分布式并发未知网络设备发现任务获取网络划分信息,并根据所述网络划分信息生成PING脚本;所述网络划分信息包括IP地址和子网掩码;
根据各分布式并发未知网络设备发现任务在所选网段内逐一执行所述PING脚本进行PING操作,激活ARP表,激活后的ARP表中包括所选网段内各网络设备的IP地址和MAC地址,从而获取到所选网段内全部在网的网络设备。
所述获取所选网段内全部在网的网络设备之后还包括:
判断所述在网的网络设备是否已选择关联登录;
若已选择关联登录,则执行所述登录所述网络设备采集所需设备信息;
若未选择关联登录,则记录并反馈未选择关联登录的网络设备;
所述方法还包括:
所述安全管控平台接收到反馈的未选择关联登录的网络设备后,针对未选择关联登录的网络设备生成关联登录开启设置指令;
接收关联登录开启的设置结果,将已开启关联登录的网络设备的发现任务添加到任务调度信息中。
所述登录所述网络设备采集所需设备信息包括:
所述已知设备根据所述网络设备的连接方式建立连接;
根据所述网络设备的设备类型,获取所述网络设备的版本信息;
查询所述网络设备的版本信息对应的采集指令集;所述采集指令集中包括针对该网络设备需采集的全部设备信息的指令集合;
执行所述采集指令集中的各指令,采集该网络设备需采集的全部设备信息。
所述已知设备获取在网的网络设备并采集设备信息之后还包括:
根据IP地址或MAC地址对应网卡的设备归属,对采集到的设备信息进行归并处理,将归属同一设备的多个网卡对应的IP地址或MAC地址的多个设备信息归并到同一网络设备上;
所述将采集到的设备信息与安全管控平台已有设备信息相比对,生成设备信息不一致的设备信息列表包括:
根据采集到的设备信息中的MAC地址,查找是否是安全管控平台已有设备;
若是安全管控平台已有设备,比对采集到的设备信息与安全管控平台已有设备信息是否一致,不一致则将采集到的设备信息添加至需更新设备列表;
若不是安全管控平台已有设备,则将采集到的设备信息添加至未知设备列表;
所述安全管控平台根据所述设备信息不一致的设备信息列表对已有设备信息进行更新包括:
所述安全管控平台根据所述需更新设备列表中的信息更新已有设备信息;将所述未知设备列表中的设备信息添加至已有设备信息中;
所述方法还包括:
根据获取的未知设备的MAC地址和/或IP地址,通过设备指纹方式获取所述未知设备的主机名和系统版本信息,以便安全管控平台根据所述主机名和系统版本信息对所述未知设备进行安全管理。
另外,本发明实施例还提供了一种安全管控平台中设备安全管理的系统,所述系统包括:
启动模块,用于安全管控平台中的已知设备根据任务调度信息启动未知网络设备发现操作;
获取采集模块,用于所述已知设备获取在网的网络设备并采集设备信息;
比对模块,用于将采集到的设备信息与安全管控平台已有设备信息相比对,生成设备信息不一致的设备信息列表;
更新模块,用于安全管控平台根据所述设备信息不一致的设备信息列表对已有设备信息进行更新;
安全管理模块,用于安全管控平台根据更新后的已有设备信息对平台内的设备进行安全管理。
所述获取采集模块包括:
分布并发单元,用于所述已知设备在任务调度信息所选网段内分布式并发建立未知网络设备发现任务;
获取单元,用于根据各分布式并发未知网络设备发现任务,获取所选网段内全部在网的网络设备;
采集单元,用于登录所述网络设备采集所需设备信息。
所述分布并发单元包括:
网络划分获取子单元,用于所述已知设备根据各分布式并发未知网络设备发现任务获取网络划分信息,并根据所述网络划分信息生成PING脚本;所述网络划分信息包括IP地址和子网掩码;
脚本执行子单元,用于根据各分布式并发未知网络设备发现任务在所选网段内逐一执行所述PING脚本进行PING操作,激活ARP表,激活后的ARP表中包括所选网段内各网络设备的IP地址和MAC地址,从而获取到所选网段内全部在网的网络设备;
所述获取采集模块还包括:
判断单元,用于获取所选网段内全部在网的网络设备之后,判断所述在网的网络设备是否已选择关联登录;
执行单元,用于当所述判断单元的判断结果为已选择关联登录,则启动所述采集单元;
反馈单元,用于当所述判断单元的判断结果为未选择关联登录,则记录并反馈未选择关联登录的网络设备;
所述系统还包括:
设置指令生成模块,用于所述安全管控平台接收到反馈的未选择关联登录的网络设备后,针对未选择关联登录的网络设备生成关联登录开启设置指令;
任务添加模块,用于当所述安全管控平台接收到关联登录开启的设置结果,将已开启关联登录的网络设备的发现任务添加到任务调度信息中;
所述采集单元包括:
连接建立子单元,用于所述已知设备根据所述网络设备的连接方式建立连接;
版本信息获取子单元,用于根据所述网络设备的设备类型,获取所述网络设备的版本信息;
采集指令集获取子单元,用于查询所述网络设备的版本信息对应的采集指令集;所述采集指令集中包括针对该网络设备需采集的全部设备信息的指令集合;
指令执行子单元,用于执行所述采集指令集中的各指令,采集该网络设备需采集的全部设备信息。
所述系统还包括:
归并模块,用于所述获取采集模块获取在网的网络设备并采集设备信息之后,根据IP地址或MAC地址对应网卡的设备归属,对采集到的设备信息进行归并处理,将归属同一设备的多个网卡对应的IP地址或MAC地址的多个设备信息归并到同一网络设备上;
所述比对模块包括:
已有设备查找单元,用于根据采集到的设备信息中的MAC地址,查找是否是安全管控平台已有设备;
更新信息添加单元,用于若所述已有设备查找单元的查找结果为是安全管控平台已有设备,比对采集到的设备信息与安全管控平台已有设备信息是否一致,不一致则将采集到的设备信息添加至需更新设备列表;
未知信息添加单元,用于若所述已有设备查找单元的查找结果为不是安全管控平台已有设备,则将采集到的设备信息添加至未知设备列表;
所述更新模块具体用于:
所述安全管控平台根据所述需更新设备列表中的信息更新已有设备信息;将所述未知设备列表中的设备信息添加至已有设备信息中;
所述系统还包括:未知设备所属信息获取模块,用于根据获取的未知设备的MAC地址和/或IP地址,通过设备指纹方式获取所述未知设备的主机名和系统版本信息,以便安全管控平台根据所述主机名和系统版本信息对所述未知设备进行安全管理。
本发明实施例提供一种安全管控平台中设备安全管理的方法和系统,安全管控平台中的已知设备根据任务调度信息启动未知网络设备发现操作;所述已知设备获取在网的网络设备并采集设备信息;将采集到的设备信息与安全管控平台已有设备信息相比对,生成设备信息不一致的设备信息列表;安全管控平台根据所述设备信息不一致的设备信息列表对已有设备信息进行更新;安全管控平台根据更新后的已有设备信息对平台内的设备进行安全管理。可见,本发明实施例能够通过已有设备信息发现全部在网设备,进而发现未录入安全管控平台的未知设备和发生变化的已知设备,弥补了现有的设备管理方法在系统运行一段时间后,设备信息随着系统变化逐渐失效的缺点,可以全面准确的发现在网的未知设备,分布式多进程并发自动化采集的架构极大的提高了未知设备的发现效率,使企业可以清楚的了解网络中设备的存在情况,进而提高了企业对信息安全的掌控力度。
进一步的,本发明实施例还能够根据设备网络划分情况动态生成PING命令,充分考虑到ARP表有过期时间,超过该时间的ARP信息会被清除,本发明实施例中使用PING命令来激活ARP表,使其包含所有可达的设备的IP和MAC信息,从而能够自动获取到最全面的ARP表,也就是说,根据设备网络划分情况自动的动态的生成的PING脚本能够PING出所有可能连通的IP。
进一步的,本发明实施例中,考虑到一台设备有多个网卡,每个网卡有一个IP和一个MAC,为减少误报,通过系统中网络设备的MAC/IP地址集对采集到的MAC/IP地址进行归并,也就是说,通过查找系统中登记的各网络设备所对应的MAC/IP地址集,获取采集到的MAC/IP地址对应网络设备归属情况,进而根据IP地址或MAC地址对应网卡的设备归属,对采集到的设备信息进行归并处理,将归属同一设备的多个网卡对应的IP地址或MAC地址的多个设备信息归并到一台网络设备上。
附图说明
图1为本发明实施例提供的一种安全管控平台中设备安全管理的方法流程图;
图2为本发明实施例中采集设备信息的方法流程图;
图3为本发明实施例中PING脚本自动生成的方法流程图;
图4为本发明实施例中分析生成并展示设备信息不一致的设备信息列表的方法流程图;
图5为本发明实施例中提供的一种安全管控平台中设备安全管理系统结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例能够实现利用安全管控平台中的已有设备对网络中的所有设备进行自动发现及信息采集,不仅可自动发现网络中未纳入平台的设备,还可发现平台已有设备在其生命周期内的变更IP、变更操作系统或变更承载业务等情况。不仅节省了大量的人力物力,大幅提升了设备信息核查的效率,还克服了设备信息随着系统变化逐渐失效的缺点,通过每天或每周的定时自动化检查,及时掌握网络变化情况,打好安全基础。
参见图1,本发明实施例提供一种安全管控平台中设备安全管理的方法,具体包括如下步骤:
S101:安全管控平台中的已知设备根据任务调度信息启动未知网络设备发现操作。
需要说明的是,安全管控平台中的已有设备为已知设备,未纳入安全管控平台中的设备为未知设备。
任务调度信息中包括有位置网络设备发现操作的各项调度任务信息,比如什么时间哪些已知设备启动对哪些网段进行未知设备发现任务等等。
安全管控平台中的任何一台已知设备均可执行未知网络设备发现操作,实际应用中,根据任务调度信息,可以一台或多台已知设备同时启动未知网络设备的发现操作。
S102:所述已知设备获取在网的网络设备并采集设备信息。
具体的,所述已知设备获取在网的网络设备并采集设备信息包括:
所述已知设备在任务调度信息所选网段内分布式并发建立未知网络设备发现任务;
根据各分布式并发未知网络设备发现任务,获取所选网段内全部在网的网络设备;
登录所述网络设备采集所需设备信息。
其中,所述根据各分布式并发未知网络设备发现任务,获取所选网段内全部在网的网络设备包括:
所述已知设备根据各分布式并发未知网络设备发现任务获取网络划分信息,并根据所述网络划分信息生成PING脚本;所述网络划分信息包括IP地址和子网掩码;
根据各分布式并发未知网络设备发现任务在所选网段内逐一执行所述PING脚本进行PING操作,激活ARP表,激活后的ARP表中包括所选网段内各网络设备的IP地址和MAC地址,从而获取到所选网段内全部在网的网络设备。
需要说明的是,因ARP表有过期时间,超过该时间的ARP信息会被清除,所以需要使用PING命令来激活ARP表,使其包含所有可达的设备的IP和MAC信息。PING脚本会在该网络设备上ping所有可能连通的IP。
一种优选的实现方式可以是,执行PING命令,每PING预置数量(比如500个)IP后,会执行一次ARP信息采集命令,之后再次执行剩余IP的PING操作及信息采集命令。
优选的,所述获取所选网段内全部在网的网络设备之后还包括:
判断所述在网的网络设备是否已选择关联登录;
若已选择关联登录,则执行所述登录所述网络设备采集所需设备信息;
若未选择关联登录,则记录并反馈未选择关联登录的网络设备。
进一步的,本发明实施例所述方法还包括:
所述安全管控平台接收到反馈的未选择关联登录的网络设备后,针对未选择关联登录的网络设备生成关联登录开启设置指令;
接收关联登录开启的设置结果,将已开启关联登录的网络设备的发现任务添加到任务调度信息中,以便下次根据调度任务重新发现这些已开启关联登录设置的网络设备并采集其设备信息。
进一步的,所述登录所述网络设备采集所需设备信息包括如下子步骤:
子步骤1:所述已知设备根据所述网络设备的连接方式建立连接。
需要说明的是,本发明实施例中,已知设备建立与各网络设备之间连接的过程中,可以自动根据网络设备的连接方式等信息采用对应的连接方式(包括连接协议等)建立连接。具体而言,在服务器上根据定义好的设备连接方式信息和其管辖的服务器,分布式的并发建立到被检查设备的网络连接。支持多种连接协议,包括Telnet/SSH和RDP等。
子步骤2:根据所述网络设备的设备类型,获取所述网络设备的版本信息。
子步骤3:查询所述网络设备的版本信息对应的采集指令集;所述采集指令集中包括针对该网络设备需采集的全部设备信息的指令集合。
需要说明的是,由于版本信息不同,对应的采集指令集也有所不同。查找到该设备的版本信息采集命令后,执行该命令,根据设备的具体版本获取需采集信息的所有命令,需采集的信息包括:设备ARP信息表、设备MAC地址表、设备路由信息表、设备接口信息表和设备配置信息。
子步骤4:执行所述采集指令集中的各指令,采集该网络设备需采集的全部设备信息。
S103:将采集到的设备信息与安全管控平台已有设备信息相比对,生成设备信息不一致的设备信息列表。
作为进一步方案,所述已知设备获取在网的网络设备并采集设备信息之后还包括:
根据IP地址或MAC地址对应网卡的设备归属,对采集到的设备信息进行归并处理,将归属同一设备的多个网卡对应的IP地址或MAC地址的多个设备信息归并到同一网络设备上。
考虑到一台设备有多个网卡,每个网卡有一个IP和一个MAC,为减少误报,通过系统中网络设备的MAC/IP地址集对采集到的MAC/IP地址进行归并,也就是说,通过查找系统中登记的各网络设备所对应的MAC/IP地址集,获取采集到的MAC/IP地址对应网络设备归属情况,进而根据IP地址或MAC地址对应网卡的设备归属,对采集到的设备信息进行归并处理,将归属同一设备的多个网卡对应的IP地址或MAC地址的多个设备信息归并到一台网络设备上。
相应的,所述将采集到的设备信息与安全管控平台已有设备信息相比对,生成设备信息不一致的设备信息列表包括:
根据采集到的设备信息中的MAC地址,查找是否是安全管控平台已有设备;
若是安全管控平台已有设备,比对采集到的设备信息与安全管控平台已有设备信息是否一致,不一致则将采集到的设备信息添加至需更新设备列表;
若不是安全管控平台已有设备,则将采集到的设备信息添加至未知设备列表。
也就是说,一种具体实施例中,最终生成的设备信息不一致的设备信息列表包括两个,一个是需更新设备列表,其中记录已知设备的设备信息有更新的内容,另一个是未知设备列表,其中记录有新发现的未知设备信息。这样,更便于展示及更新。
进一步的,本发明实施例所述方法还包括:在设备信息采集结束后,关闭网络连接,释放资源。
S104:安全管控平台根据所述设备信息不一致的设备信息列表对已有设备信息进行更新。
优选的,所述安全管控平台根据所述设备信息不一致的设备信息列表对已有设备信息进行更新包括:
所述安全管控平台根据所述需更新设备列表中的信息更新已有设备信息;将所述未知设备列表中的设备信息添加至已有设备信息中。
优选的,本发明实施例提供的所述方法还可以进一步包括:
根据获取的未知设备的MAC地址和/或IP地址,通过设备指纹方式获取所述未知设备的主机名和系统版本信息,以便安全管控平台根据所述主机名和系统版本信息对所述未知设备进行安全管理。
S105:安全管控平台根据更新后的已有设备信息对平台内的设备进行安全管理。
本发明实施例中,首先会选择采集的设备范围,然后根据选择设备的设备类型和其连接信息,连接到设备上采集所需信息。采集信息包括:设备ARP信息表、设备MAC地址表、设备路由信息表、设备接口信息表和设备配置信息。为保证采集信息的全面准确,在网络设备上对可达网段进行逐一的Ping操作,用于获取全部的在网设备信息。本发明实施例能够实现利用安全管控平台中的已有设备对网络中的所有设备进行自动发现及信息采集,不仅可自动发现网络中未纳入平台的设备,还可发现平台已有设备在其生命周期内的变更IP、变更操作系统或变更承载业务等情况。不仅节省了大量的人力物力,大幅提升了设备信息核查的效率,还克服了设备信息随着系统变化逐渐失效的缺点,例如通过每天或每周的定时自动化检查,能够及时掌握网络变化情况,打好安全基础。
可见,本发明实施例能够通过已有设备信息发现全部在网设备,进而发现未录入安全管控平台的未知设备和发生变化的已知设备,弥补了现有的设备管理方法在系统运行一段时间后,设备信息随着系统变化逐渐失效的缺点,可以全面准确的发现在网的未知设备,分布式多进程并发自动化采集的架构极大的提高了未知设备的发现效率,使企业可以清楚的了解网络中设备的存在情况,进而提高了企业对信息安全的掌控力度。
进一步的,本发明实施例还能够根据设备网络划分情况动态生成PING命令,充分考虑到ARP表有过期时间,超过该时间的ARP信息会被清除,本发明实施例中使用PING命令来激活ARP表,使其包含所有可达的设备的IP和MAC信息,从而能够自动获取到最全面的ARP表,也就是说,根据设备网络划分情况自动的动态的生成的PING脚本能够PING出所有可能连通的IP。
进一步的,本发明实施例中,考虑到一台设备有多个网卡,每个网卡有一个IP和一个MAC,为减少误报,通过系统中网络设备的MAC/IP地址集对采集到的MAC/IP地址进行归并,也就是说,通过查找系统中登记的各网络设备所对应的MAC/IP地址集,获取采集到的MAC/IP地址对应网络设备归属情况,进而根据IP地址或MAC地址对应网卡的设备归属,对采集到的设备信息进行归并处理,将归属同一设备的多个网卡对应的IP地址或MAC地址的多个设备信息归并到一台网络设备上。
参见图2,为本发明实施例中采集设备信息的一种具体实现方法。
步骤S201:在服务器上选择被检查设备,并确定是否关联登录。如果选择关联登录,则在该设备上发现的设备,如果是已知设备并且在其权限范围内,则继续登录该设备采集信息,关联登录不限制次数。被检查设备应是网络设备,如果是主机,则根据该主机的默认网关设置找到其所连接的网络设备。
步骤S202:在服务器上根据定义好的设备连接方式信息和其管辖的服务器,分布式的并发建立到被检查设备的网络连接。支持多种连接协议,包括Telnet/SSH和RDP等。
步骤S203:根据被检查设备的设备类型,执行特定检查脚本。需要说明的是,针对不同的设备类型,生成的检查脚本的方法也有所不同,本发明实施例中,可以根据获取到的设备类型,自动生成对应的检查脚本。
步骤S204:如果开启关联登录,则根据采集到的MAC地址信息,到系统中查找该设备是否已存在,如果该设备是已知设备,则执行S202描述的操作建立网络连接。如果是该设备是未知网络设备,将未知网络设备信息返回服务器。
步骤S205:在建立了网络连接后,登录所有设备采集相关信息后,将结果返回服务器中。
步骤S206:检查结束后关闭网络连接,释放资源。
参见图3,为本发明实施例中PING脚本自动生成的一种具体实现方法。
步骤S301:根据所选设备的设备类型,获取该设备的查询设备版本的信息采集命令。
步骤S302:查找到该设备的版本信息采集命令后,执行该命令,根据设备的具体版本获取需采集信息的所有命令,需采集的信息包括:设备ARP信息表、设备MAC地址表、设备路由信息表、设备接口信息表和设备配置信息,等等。
步骤S303:首先,获取网络设备网络划分情况的信息(IP地址和子网掩码),该信息用于生成PING脚本。因ARP表有过期时间,超过该时间的ARP信息会被清除,所以需要使用PING命令来激活ARP表,使其包含所有可达的设备的IP和MAC信息。PING脚本会在该网络设备上ping所有可能连通的IP。
步骤S304:执行PING命令,每PING500个IP后,会执行一次ARP信息采集命令,之后执行剩余的信息采集命令。
步骤S305:将执行命令的结果解析后返回服务器,用于后续的归并分析。
参见图4,为本发明实施例中分析生成并展示设备信息不一致的设备信息列表的一种具体实现方法。
步骤S401:汇总本次采集的所有MAC地址和IP地址,IP地址包含设备IP和其配置的备机、Syslog服务器和SNMP服务器等IP地址。
步骤S402:因一台设备上有多个IP,为减少误报,通过已知设备的MAC/IP地址集对采集到的MAC/IP地址进行归并,将多个MAC/IP归并到一台已知设备上。
步骤S403:归并后形成已知设备列表和未知设备列表,对于每个未知的MAC/IP地址,使用集成的网络工具,通过设备指纹的方式发现其主机名和系统版本信息,便于管理员确认未知设备。
步骤S404:将已知设备和补全后的未知设备展示给管理员,由管理员进行后续处理。
参见图5,本发明实施例提供一种安全管控平台中设备安全管理的系统,所述系统包括:
启动模块501,用于安全管控平台中的已知设备根据任务调度信息启动未知网络设备发现操作;
获取采集模块502,用于所述已知设备获取在网的网络设备并采集设备信息;
比对模块503,用于将采集到的设备信息与安全管控平台已有设备信息相比对,生成设备信息不一致的设备信息列表;
更新模块504,用于安全管控平台根据所述设备信息不一致的设备信息列表对已有设备信息进行更新;
安全管理模块505,用于安全管控平台根据更新后的已有设备信息对平台内的设备进行安全管理。
其中,所述获取采集模块502包括:
分布并发单元,用于所述已知设备在任务调度信息所选网段内分布式并发建立未知网络设备发现任务;
获取单元,用于根据各分布式并发未知网络设备发现任务,获取所选网段内全部在网的网络设备;
采集单元,用于登录所述网络设备采集所需设备信息。
具体的,所述分布并发单元包括:
网络划分获取子单元,用于所述已知设备根据各分布式并发未知网络设备发现任务获取网络划分信息,并根据所述网络划分信息生成PING脚本;所述网络划分信息包括IP地址和子网掩码;
和,脚本执行子单元,用于根据各分布式并发未知网络设备发现任务在所选网段内逐一执行所述PING脚本进行PING操作,激活ARP表,激活后的ARP表中包括所选网段内各网络设备的IP地址和MAC地址,从而获取到所选网段内全部在网的网络设备。
优选的,所述获取采集模块还包括:
判断单元,用于获取所选网段内全部在网的网络设备之后,判断所述在网的网络设备是否已选择关联登录;
执行单元,用于当所述判断单元的判断结果为已选择关联登录,则启动所述采集单元;
反馈单元,用于当所述判断单元的判断结果为未选择关联登录,则记录并反馈未选择关联登录的网络设备。
相应的,所述系统还包括:
设置指令生成模块,用于所述安全管控平台接收到反馈的未选择关联登录的网络设备后,针对未选择关联登录的网络设备生成关联登录开启设置指令;
任务添加模块,用于当所述安全管控平台接收到关联登录开启的设置结果,将已开启关联登录的网络设备的发现任务添加到任务调度信息中。
作为优选的,所述采集单元包括:
连接建立子单元,用于所述已知设备根据所述网络设备的连接方式建立连接;
版本信息获取子单元,用于根据所述网络设备的设备类型,获取所述网络设备的版本信息;
采集指令集获取子单元,用于查询所述网络设备的版本信息对应的采集指令集;所述采集指令集中包括针对该网络设备需采集的全部设备信息的指令集合;
指令执行子单元,用于执行所述采集指令集中的各指令,采集该网络设备需采集的全部设备信息。
进一步的,所述系统还包括:
归并模块,用于所述获取采集模块获取在网的网络设备并采集设备信息之后,根据IP地址或MAC地址对应网卡的设备归属,对采集到的设备信息进行归并处理,将归属同一设备的多个网卡对应的IP地址或MAC地址的多个设备信息归并到同一网络设备上。
具体的,所述比对模块包括:
已有设备查找单元,用于根据采集到的设备信息中的MAC地址,查找是否是安全管控平台已有设备;
更新信息添加单元,用于若所述已有设备查找单元的查找结果为是安全管控平台已有设备,比对采集到的设备信息与安全管控平台已有设备信息是否一致,不一致则将采集到的设备信息添加至需更新设备列表;
未知信息添加单元,用于若所述已有设备查找单元的查找结果为不是安全管控平台已有设备,则将采集到的设备信息添加至未知设备列表。
相应的,所述更新模块具体用于:
所述安全管控平台根据所述需更新设备列表中的信息更新已有设备信息;将所述未知设备列表中的设备信息添加至已有设备信息中;
作为优选方案,所述系统还包括:
未知设备所属信息获取模块,用于根据获取的未知设备的MAC地址和/或IP地址,通过设备指纹方式获取所述未知设备的主机名和系统版本信息,以便安全管控平台根据所述主机名和系统版本信息对所述未知设备进行安全管理。
需要说明的是,本发明系统实施例中的各个模块或者单元的工作原理和处理过程可以参见上述图1-图4所示方法实施例中的相关描述,此处不再赘述。
可见,本发明实施例能够通过已有设备信息发现全部在网设备,进而发现未录入安全管控平台的未知设备和发生变化的已知设备,弥补了现有的设备管理方法在系统运行一段时间后,设备信息随着系统变化逐渐失效的缺点,可以全面准确的发现在网的未知设备,分布式多进程并发自动化采集的架构极大的提高了未知设备的发现效率,使企业可以清楚的了解网络中设备的存在情况,进而提高了企业对信息安全的掌控力度。
进一步的,本发明实施例还能够根据设备网络划分情况动态生成PING命令,充分考虑到ARP表有过期时间,超过该时间的ARP信息会被清除,本发明实施例中使用PING命令来激活ARP表,使其包含所有可达的设备的IP和MAC信息,从而能够自动获取到最全面的ARP表,也就是说,根据设备网络划分情况自动的动态的生成的PING脚本能够PING出所有可能连通的IP。
进一步的,本发明实施例中,考虑到一台设备有多个网卡,每个网卡有一个IP和一个MAC,为减少误报,通过系统中网络设备的MAC/IP地址集对采集到的MAC/IP地址进行归并,也就是说,通过查找系统中登记的各网络设备所对应的MAC/IP地址集,获取采集到的MAC/IP地址对应网络设备归属情况,进而根据IP地址或MAC地址对应网卡的设备归属,对采集到的设备信息进行归并处理,将归属同一设备的多个网卡对应的IP地址或MAC地址的多个设备信息归并到一台网络设备上。
为了便于清楚描述本发明实施例的技术方案,在发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定。
本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤:(方法的步骤),所述的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种安全管控平台中设备安全管理的方法,其特征在于,所述方法包括:
安全管控平台中的已知设备根据任务调度信息启动未知网络设备发现操作;
所述已知设备获取在网的网络设备并采集设备信息;
将采集到的设备信息与安全管控平台已有设备信息相比对,生成设备信息不一致的设备信息列表;
安全管控平台根据所述设备信息不一致的设备信息列表对已有设备信息进行更新;
安全管控平台根据更新后的已有设备信息对平台内的设备进行安全管理。
2.根据权利要求1所述的安全管控平台中设备安全管理的方法,其特征在于,所述已知设备获取在网的网络设备并采集设备信息包括:
所述已知设备在任务调度信息所选网段内分布式并发建立未知网络设备发现任务;
根据各分布式并发未知网络设备发现任务,获取所选网段内全部在网的网络设备;
登录所述网络设备采集所需设备信息。
3.根据权利要求2所述的安全管控平台中设备安全管理的方法,其特征在于,所述根据各分布式并发未知网络设备发现任务,获取所选网段内全部在网的网络设备包括:
所述已知设备根据各分布式并发未知网络设备发现任务获取网络划分信息,并根据所述网络划分信息生成PING脚本;所述网络划分信息包括IP地址和子网掩码;
根据各分布式并发未知网络设备发现任务在所选网段内逐一执行所述PING脚本进行PING操作,激活ARP表,激活后的ARP表中包括所选网段内各网络设备的IP地址和MAC地址,从而获取到所选网段内全部在网的网络设备。
4.根据权利要求2所述的安全管控平台中设备安全管理的方法,其特征在于,所述获取所选网段内全部在网的网络设备之后还包括:
判断所述在网的网络设备是否已选择关联登录;
若已选择关联登录,则执行所述登录所述网络设备采集所需设备信息;
若未选择关联登录,则记录并反馈未选择关联登录的网络设备;
所述方法还包括:
所述安全管控平台接收到反馈的未选择关联登录的网络设备后,针对未选择关联登录的网络设备生成关联登录开启设置指令;
接收关联登录开启的设置结果,将已开启关联登录的网络设备的发现任务添加到任务调度信息中。
5.根据权利要求2所述的安全管控平台中设备安全管理的方法,其特征在于,所述登录所述网络设备采集所需设备信息包括:
所述已知设备根据所述网络设备的连接方式建立连接;
根据所述网络设备的设备类型,获取所述网络设备的版本信息;
查询所述网络设备的版本信息对应的采集指令集;所述采集指令集中包括针对该网络设备需采集的全部设备信息的指令集合;
执行所述采集指令集中的各指令,采集该网络设备需采集的全部设备信息。
6.根据权利要求3所述的安全管控平台中设备安全管理的方法,其特征在于,所述已知设备获取在网的网络设备并采集设备信息之后还包括:
根据IP地址或MAC地址对应网卡的设备归属,对采集到的设备信息进行归并处理,将归属同一设备的多个网卡对应的IP地址或MAC地址的多个设备信息归并到同一网络设备上;
所述将采集到的设备信息与安全管控平台已有设备信息相比对,生成设备信息不一致的设备信息列表包括:
根据采集到的设备信息中的MAC地址,查找是否是安全管控平台已有设备;
若是安全管控平台已有设备,比对采集到的设备信息与安全管控平台已有设备信息是否一致,不一致则将采集到的设备信息添加至需更新设备列表;
若不是安全管控平台已有设备,则将采集到的设备信息添加至未知设备列表;
所述安全管控平台根据所述设备信息不一致的设备信息列表对已有设备信息进行更新包括:
所述安全管控平台根据所述需更新设备列表中的信息更新已有设备信息;将所述未知设备列表中的设备信息添加至已有设备信息中;
所述方法还包括:
根据获取的未知设备的MAC地址和/或IP地址,通过设备指纹方式获取所述未知设备的主机名和系统版本信息,以便安全管控平台根据所述主机名和系统版本信息对所述未知设备进行安全管理。
7.一种安全管控平台中设备安全管理的系统,其特征在于,所述系统包括:
启动模块,用于安全管控平台中的已知设备根据任务调度信息启动未知网络设备发现操作;
获取采集模块,用于所述已知设备获取在网的网络设备并采集设备信息;
比对模块,用于将采集到的设备信息与安全管控平台已有设备信息相比对,生成设备信息不一致的设备信息列表;
更新模块,用于安全管控平台根据所述设备信息不一致的设备信息列表对已有设备信息进行更新;
安全管理模块,用于安全管控平台根据更新后的已有设备信息对平台内的设备进行安全管理。
8.根据权利要求7所述的安全管控平台中设备安全管理的系统,其特征在于,所述获取采集模块包括:
分布并发单元,用于所述已知设备在任务调度信息所选网段内分布式并发建立未知网络设备发现任务;
获取单元,用于根据各分布式并发未知网络设备发现任务,获取所选网段内全部在网的网络设备;
采集单元,用于登录所述网络设备采集所需设备信息。
9.根据权利要求8所述的安全管控平台中设备安全管理的系统,其特征在于,所述分布并发单元包括:
网络划分获取子单元,用于所述已知设备根据各分布式并发未知网络设备发现任务获取网络划分信息,并根据所述网络划分信息生成PING脚本;所述网络划分信息包括IP地址和子网掩码;
脚本执行子单元,用于根据各分布式并发未知网络设备发现任务在所选网段内逐一执行所述PING脚本进行PING操作,激活ARP表,激活后的ARP表中包括所选网段内各网络设备的IP地址和MAC地址,从而获取到所选网段内全部在网的网络设备;
所述获取采集模块还包括:
判断单元,用于获取所选网段内全部在网的网络设备之后,判断所述在网的网络设备是否已选择关联登录;
执行单元,用于当所述判断单元的判断结果为已选择关联登录,则启动所述采集单元;
反馈单元,用于当所述判断单元的判断结果为未选择关联登录,则记录并反馈未选择关联登录的网络设备;
所述系统还包括:
设置指令生成模块,用于所述安全管控平台接收到反馈的未选择关联登录的网络设备后,针对未选择关联登录的网络设备生成关联登录开启设置指令;
任务添加模块,用于当所述安全管控平台接收到关联登录开启的设置结果,将已开启关联登录的网络设备的发现任务添加到任务调度信息中;
所述采集单元包括:
连接建立子单元,用于所述已知设备根据所述网络设备的连接方式建立连接;
版本信息获取子单元,用于根据所述网络设备的设备类型,获取所述网络设备的版本信息;
采集指令集获取子单元,用于查询所述网络设备的版本信息对应的采集指令集;所述采集指令集中包括针对该网络设备需采集的全部设备信息的指令集合;
指令执行子单元,用于执行所述采集指令集中的各指令,采集该网络设备需采集的全部设备信息。
10.根据权利要求9所述的安全管控平台中设备安全管理的系统,其特征在于,所述系统还包括:
归并模块,用于所述获取采集模块获取在网的网络设备并采集设备信息之后,根据IP地址或MAC地址对应网卡的设备归属,对采集到的设备信息进行归并处理,将归属同一设备的多个网卡对应的IP地址或MAC地址的多个设备信息归并到同一网络设备上;
所述比对模块包括:
已有设备查找单元,用于根据采集到的设备信息中的MAC地址,查找是否是安全管控平台已有设备;
更新信息添加单元,用于若所述已有设备查找单元的查找结果为是安全管控平台已有设备,比对采集到的设备信息与安全管控平台已有设备信息是否一致,不一致则将采集到的设备信息添加至需更新设备列表;
未知信息添加单元,用于若所述已有设备查找单元的查找结果为不是安全管控平台已有设备,则将采集到的设备信息添加至未知设备列表;
所述更新模块具体用于:
所述安全管控平台根据所述需更新设备列表中的信息更新已有设备信息;将所述未知设备列表中的设备信息添加至已有设备信息中;
所述系统还包括:未知设备所属信息获取模块,用于根据获取的未知设备的MAC地址和/或IP地址,通过设备指纹方式获取所述未知设备的主机名和系统版本信息,以便安全管控平台根据所述主机名和系统版本信息对所述未知设备进行安全管理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410184557.5A CN105099733B (zh) | 2014-05-04 | 2014-05-04 | 安全管控平台中设备安全管理的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410184557.5A CN105099733B (zh) | 2014-05-04 | 2014-05-04 | 安全管控平台中设备安全管理的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105099733A true CN105099733A (zh) | 2015-11-25 |
CN105099733B CN105099733B (zh) | 2018-08-21 |
Family
ID=54579359
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410184557.5A Active CN105099733B (zh) | 2014-05-04 | 2014-05-04 | 安全管控平台中设备安全管理的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105099733B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106647397A (zh) * | 2016-12-22 | 2017-05-10 | 北京金风科创风电设备有限公司 | 风电场联网设备列表的获取方法及装置 |
CN107360271A (zh) * | 2017-08-22 | 2017-11-17 | 顺丰科技有限公司 | 网络设备信息获取及ip地址自动分割方法、系统及设备 |
CN107508716A (zh) * | 2017-10-13 | 2017-12-22 | 北京椰子树信息技术有限公司 | 一种安全策略的检查方法和系统 |
CN111935514A (zh) * | 2020-08-17 | 2020-11-13 | 浪潮天元通信信息系统有限公司 | 一种网络机顶盒安全防护方法 |
CN111970141A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 基于ip地址和mac地址相似性的办公网硬件资产划分方法 |
CN114826788A (zh) * | 2022-06-29 | 2022-07-29 | 南通绿拓信息科技有限公司 | 一种基于信息安全的设备管控系统 |
CN115514675A (zh) * | 2022-09-19 | 2022-12-23 | 北京威努特技术有限公司 | 一种网络架构合规性的自动检查方法与装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101588265A (zh) * | 2009-05-21 | 2009-11-25 | 北京华环电子股份有限公司 | 一种获取网络信息的方法及装置 |
CN101873232A (zh) * | 2010-07-27 | 2010-10-27 | 迈普通信技术股份有限公司 | 设备唯一性判断方法以及ip网络发现服务器 |
CN103002318A (zh) * | 2012-12-05 | 2013-03-27 | 深圳创维数字技术股份有限公司 | 一种数字电视接收终端的自动测试方法及自动测试系统 |
US20130132569A1 (en) * | 2010-04-28 | 2013-05-23 | Juniper Networks, Inc. | Using endpoint host checking to classify unmanaged devices in a network and to improve network location awareness |
CN103346911A (zh) * | 2013-06-27 | 2013-10-09 | 上海斐讯数据通信技术有限公司 | 一种唯一定位oam从设备的方法 |
-
2014
- 2014-05-04 CN CN201410184557.5A patent/CN105099733B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101588265A (zh) * | 2009-05-21 | 2009-11-25 | 北京华环电子股份有限公司 | 一种获取网络信息的方法及装置 |
US20130132569A1 (en) * | 2010-04-28 | 2013-05-23 | Juniper Networks, Inc. | Using endpoint host checking to classify unmanaged devices in a network and to improve network location awareness |
CN101873232A (zh) * | 2010-07-27 | 2010-10-27 | 迈普通信技术股份有限公司 | 设备唯一性判断方法以及ip网络发现服务器 |
CN103002318A (zh) * | 2012-12-05 | 2013-03-27 | 深圳创维数字技术股份有限公司 | 一种数字电视接收终端的自动测试方法及自动测试系统 |
CN103346911A (zh) * | 2013-06-27 | 2013-10-09 | 上海斐讯数据通信技术有限公司 | 一种唯一定位oam从设备的方法 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106647397A (zh) * | 2016-12-22 | 2017-05-10 | 北京金风科创风电设备有限公司 | 风电场联网设备列表的获取方法及装置 |
CN106647397B (zh) * | 2016-12-22 | 2019-09-10 | 北京金风科创风电设备有限公司 | 风电场联网设备列表的获取方法及装置 |
CN107360271A (zh) * | 2017-08-22 | 2017-11-17 | 顺丰科技有限公司 | 网络设备信息获取及ip地址自动分割方法、系统及设备 |
CN107360271B (zh) * | 2017-08-22 | 2019-12-27 | 顺丰科技有限公司 | 网络设备信息获取及ip地址自动分割方法、系统及设备 |
CN107508716A (zh) * | 2017-10-13 | 2017-12-22 | 北京椰子树信息技术有限公司 | 一种安全策略的检查方法和系统 |
CN111970141A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 基于ip地址和mac地址相似性的办公网硬件资产划分方法 |
CN111935514A (zh) * | 2020-08-17 | 2020-11-13 | 浪潮天元通信信息系统有限公司 | 一种网络机顶盒安全防护方法 |
CN114826788A (zh) * | 2022-06-29 | 2022-07-29 | 南通绿拓信息科技有限公司 | 一种基于信息安全的设备管控系统 |
CN115514675A (zh) * | 2022-09-19 | 2022-12-23 | 北京威努特技术有限公司 | 一种网络架构合规性的自动检查方法与装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105099733B (zh) | 2018-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105099733A (zh) | 安全管控平台中设备安全管理的方法和系统 | |
CN113067728B (zh) | 一种网络安全攻防试验平台 | |
Shiravi et al. | Toward developing a systematic approach to generate benchmark datasets for intrusion detection | |
US8949418B2 (en) | Firewall event reduction for rule use counting | |
US8464219B1 (en) | Scalable control system for test execution and monitoring utilizing multiple processors | |
CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
CN105141448B (zh) | 一种日志的采集方法及装置 | |
CN102739802A (zh) | 面向业务应用的it集中运维分析系统 | |
CN105659245A (zh) | 上下文感知的网络取证 | |
CN107295010A (zh) | 一种企业网络安全管理云服务平台系统及其实现方法 | |
CN105119757A (zh) | 一种企业服务器运维自动化的方法与系统 | |
CN104683127A (zh) | 一种设备弱口令集中核查的方法和系统 | |
CN114584401A (zh) | 一种面向大规模网络攻击的追踪溯源系统及方法 | |
US20200287802A1 (en) | Methods and systems for analysis of process performance | |
CN105490826A (zh) | 基于自动发现的配置管理系统及方法 | |
CN109905492A (zh) | 基于分布式模块化数据中心的安全运营管理系统及方法 | |
Eden et al. | Forensic readiness for SCADA/ICS incident response | |
CN109787844A (zh) | 一种配网主站通信故障快速定位系统 | |
CN112422330A (zh) | 一种企业网络IPv6代际升迁全生命周期管理的方法 | |
CN108174400A (zh) | 一种终端设备的数据处理方法及系统、设备 | |
CN114338172A (zh) | 一种移动网络靶场系统以及网络流量攻击模拟方法 | |
US20080072321A1 (en) | System and method for automating network intrusion training | |
CN113824801B (zh) | 一种智能融合终端统一接入管理组件系统 | |
CN112637873A (zh) | 基于无人系统无线通信网络的鲁棒性测试方法及装置 | |
CN102377473B (zh) | 卫星移动通信网的网控中心 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: Room 813, 8 / F, 34 Haidian Street, Haidian District, Beijing 100080 Patentee after: BEIJING ULTRAPOWER INFORMATION SAFETY TECHNOLOGY Co.,Ltd. Address before: 100089 Beijing city Haidian District wanquanzhuang Road No. 28 Wanliu new building block A room 604 Patentee before: BEIJING ULTRAPOWER INFORMATION SAFETY TECHNOLOGY Co.,Ltd. |