CN105245392A - 基线检查修复方法及装置 - Google Patents
基线检查修复方法及装置 Download PDFInfo
- Publication number
- CN105245392A CN105245392A CN201410302940.6A CN201410302940A CN105245392A CN 105245392 A CN105245392 A CN 105245392A CN 201410302940 A CN201410302940 A CN 201410302940A CN 105245392 A CN105245392 A CN 105245392A
- Authority
- CN
- China
- Prior art keywords
- terminal
- baseline
- script
- inspection
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基线检查修复方法及装置,属于网络安全技术领域。方法包括:向终端发送检查脚本;根据预先配置的基线标准数据及终端执行检查脚本后返回的执行结果数据确定基线检查结果;向根据基线检查结果确定的每个满足修复条件的终端发送修复脚本;接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据。本发明通过向终端发送检查脚本,并根据预先配置的基线标准数据及终端执行检查脚本后返回的执行结果数据确定基线检查结果,再向根据基线检查结果确定的每个满足修复条件的终端发送修复脚本,并接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据,从而实现了基线检查和修复。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种基线检查修复方法及装置。
背景技术
随着网络安全技术的不断发展,为了保障终端的安全,经常要对终端中的操作系统进行安全检查,称为基线检查;其中,基线是指软件文档或源码等的一个稳定版本;通过基线检查找出操作系统存在的漏洞,称为基线漏洞,根据查找出的基线漏洞对基线进行修复。
目前,在进行基线检查修复时,人工将脚本上传到至少一个终端,由终端执行脚本,得到执行结果数据;人工根据执行结果数据判断每个终端的操作系统是否存在漏洞,得到基线检查结果;人工根据基线检查结果对基线进行修复。
在实现本发明的过程中,发明人发现上述技术至少存在以下问题:
由于在基线检查和修复的过程中,需要人工参与,致使基线检查和修复的效率较低,无法完成针对大规模终端进行基线检查和修复。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种基线检查修复方法及装置。所述技术方案如下:
第一方面,提供了一种基线检查修复方法,所述方法包括:
获取连接的至少一个终端的地址,并获取检查脚本,所述检查脚本根据预先配置的基线标准数据得到;
根据获取到的所有终端的地址确定所有终端中满足检查条件的终端;
向每个满足检查条件的终端发送所述检查脚本;
接收每个满足检查条件的终端执行所述检查脚本后返回的执行结果数据;
根据所述预先配置的基线标准数据及每个满足检查条件的终端返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果;
根据每个满足检查条件的终端对应的基线检查结果确定需要进行基线修复的终端,并根据每个需要进行基线修复的终端的地址确定满足修复条件的终端;
获取修复脚本,向每个满足修复条件的终端发送所述修复脚本,所述修复脚本根据基线检查结果及预先配置的基线标准数据得到;
接收每个满足修复条件的终端执行所述修复脚本后返回的执行结果数据。
第二方面,提供了一种基线检查修复装置,所述装置包括:
第一获取模块,用于获取连接的至少一个终端的地址;
第二获取模块,用于获取检查脚本,所述检查脚本根据预先配置的基线标准数据得到;
第一确定模块,用于根据获取到的所有终端的地址确定所有终端中满足检查条件的终端;
第一发送模块,用于向每个满足检查条件的终端发送所述检查脚本;
第一接收模块,用于接收每个满足检查条件的终端执行所述检查脚本后返回的执行结果数据;
第二确定模块,用于根据所述预先配置的基线标准数据及每个满足检查条件的终端返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果;
第三确定模块,用于根据每个满足检查条件的终端对应的基线检查结果确定需要进行基线修复的终端;
第四确定模块,用于根据每个需要进行基线修复的终端的地址确定满足修复条件的终端;
第三获取模块,用于获取修复脚本,所述修复脚本根据基线检查结果及预先配置的基线标准数据得到;
第二发送模块,用于向每个满足条件的终端发送所述修复脚本;
第二接收模块,用于接收每个满足修复条件的终端执行所述修复脚本后返回的执行结果数据。
本发明实施例提供的技术方案带来的有益效果是:
通过向每个满足检查条件的终端发送根据预先配置的基线标准数据得到的检查脚本,并根据预先配置的基线标准数据及每个满足检查条件的终端执行检查脚本后返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果,再向每个满足修复条件的终端发送根据基线检查结果及预先配置的基线标准数据得到的修复脚本,并接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据,从而实现基线自动检查及修复,提高了基线检查及修复的效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的基线检查修复方法的流程图;
图2是本发明另一实施例提供的基线检查修复方法的流程图;
图3是本发明另一实施例提供的检查结果数据的展示界面的示意图;
图4是本发明另一实施例提供的检查结果数据的查询界面的示意图;
图5是本发明另一实施例提供的基线自动检查程序的流程图;
图6是本发明另一实施例提供的基线自动修复程序的流程图;
图7是本发明另一实施例提供的基线检查修复装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
针对目前在进行基线检查修复时,需要人工参与,致使基线检查修复效率较低的问题,本发明实施例提供了一种基线检查修复方法,参见图1,方法流程包括:
101:获取连接的至少一个终端的地址,并获取检查脚本,检查脚本根据预先配置的基线标准数据得到;
102:根据获取到的所有终端的地址确定所有终端中满足检查条件的终端;
103:向每个满足检查条件的终端发送检查脚本;
104:接收每个满足检查条件的终端执行检查脚本后返回的执行结果数据;
105:根据预先配置的基线标准数据及每个满足检查条件的终端返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果;
106:根据每个满足检查条件的终端对应的基线检查结果确定需要进行基线修复的终端,并根据每个需要进行基线修复的终端的地址确定满足修复条件的终端;
107:获取修复脚本,向每个满足修复条件的终端发送修复脚本,修复脚本根据基线检查结果及预先配置的基线标准数据得到;
108:接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据。
本发明实施例提供的方法,通过向每个满足检查条件的终端发送根据预先配置的基线标准数据得到的检查脚本,并根据预先配置的基线标准数据及每个满足检查条件的终端执行检查脚本后返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果,再向每个满足修复条件的终端发送根据基线检查结果及预先配置的基线标准数据得到的修复脚本,并接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据,从而实现基线自动检查及修复,提高了基线检查及修复的效率。
本发明实施例提供了一种基线检查修复方法,该方法应用于服务器,结合上述图1所示的实施例的内容,对本发明实施例提供的方法进行详细地解释说明,参见图2,方法流程包括:
201:获取连接的至少一个终端的地址,并获取检查脚本,检查脚本根据预先配置的基线标准数据得到;
关于获取连接的至少一个终端的地址的方式,本实施例不作具体限定。具体实施时,可将连接的终端的地址导入ip.conf文件中,从而获取连接的至少一个终端的地址。其中,终端的地址包括但不限于IP(InternetProtocol,网际协议)地址。
关于获取检查脚本的方式,本实施例不作具体限定。具体实施时,由于检查脚本根据预先配置的基线标准数据得到,则可获取预先配置的基线标准数据,根据预先配置的基线标准数据获取检查脚本。其中,预先配置的基线标准数据包括但不限于基线各个项的策略值,基线的一个项是指终端的操作系统中的一个安全配置项,策略值可以为基线标准中指定的安全配置项参数。
在实际应用中,有各种不同的基线标准。因此,可根据实际需求灵活配置基线标准数据,本实施例不对预先配置的基线标准数据进行限定。例如,可根据运营商的基线标准配置基线标准数据。
202:根据获取到的所有终端的地址确定所有终端中满足检查条件的终端;
作为一种可选实施例,根据获取到的所有终端的地址确定所有终端中满足检查条件的终端,包括但不限于:
根据获取到的每个终端的地址检测每个终端的端口是否开启;
若检测到任一终端的端口开启,则获取任一终端的用户名及密码;
判断任一终端的用户名及密码是否正确;
若任一终端的用户名及密码正确,则确定任一终端为满足检查条件的终端。
关于检测每个终端的端口是否开启的方式,本实施例不作具体限定。具体实施时,可检查终端的SSH(SecureShell,安全外壳)服务是否开启;若终端的SSH服务开启,则检测到该终端的端口开启;若终端的SSH服务未开启,则记录到日志。其中,SSH为用户登录的加密协议,用于远程管理终端。
进一步地,关于获取终端的用户名及密码的方式,本实施例不作具体限定。具体实施时,可将终端的用户名及密码填入exp.conf文件,从而获取终端的用户名及密码。在任一终端的用户名及密码正确时,即可确定任一终端为满足检查条件的终端。另外,如果终端的端口未开启或用户名及密码不正确,则该终端不满足检查条件。
203:向每个满足检查条件的终端发送检查脚本;
关于向每个满足检查条件的终端发送检查脚本的方式,本实施例不作具体限定。具体实施时,如果检查脚本存储在main文件夹,则将main文件夹下的所有文件拷贝到每个满足检查条件的终端的/tmp/main目录下,从而实现向每个满足检查条件的终端发送检查脚本。其中,将main文件夹下的所有文件拷贝到每个满足检查条件的终端的/tmp/main目录的过程可通过expect进行交互式执行完成,从而无需人工输入和输出工作,即可完成向每个满足检查条件的终端发送检查脚本,提高了检查脚本的发送效率。
由于每个满足检查条件的终端的端口开启,并且用户名及密码正确,因此,通过向每个满足检查条件的终端发送检查脚本,使得发送的每个检查脚本均能被终端接收,进而终端可根据接收到的检查脚本进行操作,提高了基线检查的效率及执行检查脚本的稳定性。
另外,对于不满足检查条件的终端,不向该终端发送检查脚本,即不对该终端进行基线检查,并且将未检查的终端记录到日志,便于发现未检查的终端。
作为一种可选实施例,如果预先设置了端口流量,则在向每个满足检查条件的终端发送检查脚本时,还可根据预先设置的端口流量向每个满足检查条件的终端发送检查脚本。其中,本实施例不对端口流量的设置方式及预先设置的端口流量进行限定。具体实施时,如果终端配置了千兆网卡,并支持750M的吞吐量,则可使用限速工具(例如,wondersharper限速软件)将端口流量预先设置为50KB,1M=1024KB,使得终端接收检查脚本所占用的系统资源基本可以忽略。通过预先设置端口流量,避免了终端接收检查脚本的过程过多占用系统资源,保证业务安全。
需要说明的是,如果服务器采用的系统为redhatlinux5.5,使用的限速工具是wondersharper,由于wondersharper是Ubuntu系统的软件,可对wondersharper进行重新开发,更改配置和QoS(QualityofService,服务质量)的方法,使wondersharper能够成功转移到redhatlinux5.5系统中。
作为一种可选实施例,如果预先配置了扫描日期,还可根据预先配置的扫描日期向每个满足检查条件的终端发送检查脚本,从而实现了定时的基线检查。
204:接收每个满足检查条件的终端执行检查脚本后返回的执行结果数据;
在向每个满足检查条件的终端发送检查脚本后,即可使每个满足检查条件的终端通过执行接收到的检查脚本对基线进行检查,并返回得到的执行结果数据,从而接收每个满足检查条件的终端执行检查脚本后返回的执行结果数据。
其中,由于检查脚本根据预先配置的基线标准数据得到,并且预先配置的基线标准数据包括但不限于基线各个项的策略值,即可根据预先配置的基线标准数据检查基线的各个项,得到基线各个项的实际值,即终端中系统配置的值,并将基线各个项的实际值作为执行结果数据。
另外,如果在向每个满足检查条件的终端发送检查脚本时预先设置了端口流量,则在接收每个满足检查条件的终端执行检查脚本后返回的执行结果数据时,还可根据预先设置的端口流量接收每个满足检查条件的终端执行检查脚本后返回的执行结果数据。
作为一种可选实施例,接收每个满足检查条件的终端执行检查脚本后返回的执行结果数据之后,还包括但不限于:
向每个满足检查条件的终端发送检查脚本删除指令,使每个满足检查条件的终端根据检查脚本删除指令删除检查脚本。
通过使每个满足检查条件的终端根据脚本删除指令删除检查脚本,使得每个满足检查条件的终端无需存储已经执行过的检查脚本,节省了终端的存储空间。
205:根据预先配置的基线标准数据及每个满足检查条件的终端返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果;
关于根据预先配置的基线标准数据及每个满足检查条件的终端返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果的方式,本实施例不作具体限定。具体实施时,由于预先配置的基线标准数据包括了基线各个项的策略值,执行结果数据包括了基线各个项的实际值,每个满足检查条件的终端返回的执行结果数据可能相同或不同,则可将每个满足检查条件的终端返回的执行结果数据分别与预先配置的基线标准数据进行比较,根据每个满足检查条件的终端对应的比较结果确定每个满足检查条件的终端对应的基线各个项的检查结果,将每个满足检查条件的终端对应的所有基线项的检查结果作为该终端对应的基线检查结果。
其中,在将每个满足检查条件的终端返回的执行结果数据与预先配置的基线标准数据进行比较时,不同的基线项可能对应不同的比较结果,根据每个满足检查条件的终端对应的比较结果确定每个满足检查条件的终端对应的基线项的检查结果包括但不限于Success(成功)、Failure(失败)及Notes(提醒)。
以基线项为账户密码为例,若满足检查条件的终端1返回的执行结果数据中账户密码为8位,预先配置的基线标准数据中账户密码为6位,则终端1对应的比较结果为终端1返回的执行结果数据中账户密码的位数大于预先配置的基线标准数据中账户密码的位数。该比较结果表明终端1的操作系统中配置的账户密码位数安全,因此,根据终端1对应的比较结果确定终端1对应的该基线项的检查结果为Success。
若满足检查条件的终端1返回的执行结果数据中账户密码的类型包括大写字母、小写字母及数字,预先配置的基线标准数据中账户密码的类型包括大写字母、小写字母、数字及符号,则终端1对应的比较结果为预先配置的基线标准数据中账户密码的类型多于终端1返回的执行结果数据中账户密码的类型。该比较结果表明终端1的操作系统中配置的账户密码的类型不安全,因此,根据终端1对应的比较结果确定终端1对应的该基线项的检查结果为Failure。
当满足检查条件的终端返回的执行结果数据与预先配置的基线标准数据无法比较时,则可根据无法比较的比较结果确定该终端对应的基线项的检查结果为Notes。对于基线项的检查结果为Notes的基线可进行人工检查,从而有效避免基线漏洞。
进一步地,在根据预先配置的基线标准数据及每个满足检查条件的终端返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果后,即完成了基线检查,为了能够利用基线检查结果,本实施例提供的方法还包括后续步骤。
作为一种可选实施例,根据预先配置的基线标准数据及每个满足检查条件的终端返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果之后,还包括但不限于:
将每个满足检查条件的终端对应的基线检查结果中的检查结果数据进行格式转化,使格式转化后的检查结果数据的格式符合数据库的标准格式;
将格式转化后的检查结果数据存储到数据库。
由于基线检查结果中的检查结果数据的格式不符合数据库的标准格式,为了利用基线检查结果,本实施例提供的方法将基线检查结果中的检查结果数据进行格式转化,使格式转化后的检查结果数据的格式符合数据库的标准格式。关于格式转化的方式,本实施例不作具体限定。具体实施时,可根据不同的数据库的标准格式采用不同的格式转化方式。其中,可采用冒号“:”对检查结果数据进行分割。
由于格式转化后的检查结果数据符合数据库的标准格式,因而可自动将格式转化后的检查结果数据批量导入数据库,从而完成将格式转化后的检查结果数据存储到数据库。其中,数据库包括但不限于mysql。
进一步地,为了利用数据库中存储的检查结果数据,本实施例提供的方法还包括对检查结果数据进行展示的过程。关于展示检查结果数据的方式,本实施例不作具体限定。具体实施时,可使用Apache以及PHP(HypertextPreprocessor,超文本预处理器)展示检查结果数据。例如,对检查结果数据进行分页展示,每页固定展示30行检查结果数据。
检查结果数据的展示界面可以如图3所示。其中,基线的每个项以bencename(基线漏洞名称)表示,基线标准数据为policyvalue(策略值),执行结果数据为activevalue(实际值),检查结果以结果表示。另外,该展示界面还显示了终端的IP地址及扫描日期。
进一步地,针对检查结果数据较多的情况,为了能够快速地找到指定的检查结果数据,本实施例提供的方法还可对检查结果数据进行查询。关于查询检查结果数据的方式,本实施例不作具体限定。具体实施时,可通过查询条件查找指定的信息,完成对数据的过滤。
以图3中所示的检查结果数据为例,检查结果数据的查询界面可以如图4所示。获取在基线漏洞名称、策略值、IP及扫描日期中的任一项或多项查询条件对应的输入框中输入的查询值,在检测到查询按钮被点击后,查询与接收到的查询值对应的检查结果数据。
另外,参见图5所示的基线自动检查程序的流程图,步骤201至步骤203对应SSH服务是否开启、放弃并记录日志、用户名和密码是否正确以及流量控制,步骤204对应开始执行主程序,步骤205对应格式化数据、自动入库及前台数据呈现。
进一步地,通过上述步骤201至步骤205即完成了基线检查,为了利用基线检查结果对基线进行修复,本实施例提供的方法还包括后续步骤。
206:根据每个满足检查条件的终端对应的基线检查结果确定需要进行基线修复的终端,并根据每个需要进行基线修复的终端的地址确定满足修复条件的终端;
由于每个满足检查条件的终端对应的基线检查结果中包括了该终端对应的所有基线项的检查结果,因此,在根据每个满足检查条件的终端对应的基线检查结果确定需要进行基线修复的终端时,如果任一满足检查条件的终端对应任一基线项的检查结果为Failure,则将该满足检查条件的终端确定为需要进行基线修复的终端。
作为一种可选实施例,根据每个需要进行基线修复的终端的地址确定满足修复条件的终端,包括但不限于:
根据每个需要进行基线修复的终端的地址检测每个需要进行基线修复的终端的端口是否开启;
若检测到任一终端的端口开启,则获取任一终端的用户名及密码;
判断任一终端的用户名及密码是否正确;
若任一终端的用户名及密码正确,则确定任一终端为满足修复条件的终端。
其中,上述步骤201中获取到所有终端的地址,而所有终端中包括满足检查条件的终端,满足检查条件的终端又包括满足修复条件的终端,因此,需要进行基线修复的终端的地址可在根据上述获取到的所有终端的地址查找。关于查找方式,本实施例不作具体限定。例如,根据终端的IP地址查找。
检测每个终端的端口是否开启的方式以及获取终端的用户名及密码的方式与上述步骤202中提供的检测每个终端的端口是否开启的方式以及获取终端的用户名及密码的方式相同,具体可参见上述步骤202的内容,此处不再赘述。
207:获取修复脚本,向每个满足修复条件的终端发送修复脚本,修复脚本根据基线检查结果及预先配置的基线标准数据得到;
关于获取修复脚本的方式,本实施例不作具体限定。具体实施时,由于修复脚本根据基线检查结果及预先配置的基线标准数据得到,则可获取基线检查结果及预先配置的基线标准数据,根据基线检查结果及预先配置的基线标准数据获取修复脚本。其中,如果基线检查结果通过执行上述步骤201至步骤205提供的基线检查方法得到,则预先配置的基线标准数据与上述步骤201中的预先配置的基线标准数据相同,从而根据同一基线标准数据对基线进行检查及修复。
另外,如果在向每个满足检查条件的终端发送检查脚本时预先设置了端口流量,则在向每个满足修复条件的终端发送修复脚本时,还可根据预先设置的端口流量向每个满足修复条件的终端发送修复脚本。
208:接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据。
在向每个满足修复条件的终端发送修复脚本后,即可使终端通过执行接收到的修复脚本对基线进行修复,并返回得到的执行结果数据,从而接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据。
其中,由于修复脚本根据基线检查结果及预先配置的基线标准数据得到,并且预先配置的基线标准数据包括但不限于基线各个项的策略值,即可根据预先配置的基线标准数据修复基线的各个项的实际值,即修复终端中系统配置的值,得到执行结果数据。执行结果数据包括但不限于修复成功及修复失败。
另外,如果在向每个满足检查条件的终端发送检查脚本时预先设置了端口流量,则在接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据时,还可根据预先设置的端口流量接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据。
在实际应用中,每个修复项对应一个独立脚本,则可得到修复实例库,根据修复脚本中的基线检查结果查找终端中的修复项,执行修复脚本调用该修复项对应的独立脚本,使得基线修复更有针对性,并且有利于各个修复项的维护和调试排错。
另外,本实施例提供的方法在使终端执行修复脚本时,首先对修复的文件进行备份,备份文件可以为以.bak扩展名结尾的文件,本实施例不对文件备份的方式进行限定。通过文件备份,使得在基线修复的过程中出现问题或故障时,可及时进行回滚操作,保证了业务的安全。
为了提高基线修复的效率,本实施例提供的方法在执行修复脚本时,对待修复的数据进行检查,判断待修复的数据是否满足修复的条件;如果待修复的数据满足修复的条件,则对待修复的数据进行修复,从而完成基线修复;若不满足修复的条件,则将该待检的查数据记录到日志中,并检查下一个待修复的数据。其中,判断待修复的数据是否满足修复的条件包括但不限于验证文件是否存在、配置是否错误以及权限是否正确。
执行修复脚本所记录的日志如下所示:
作为一种可选实施例,接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据之后,还包括但不限于:
向每个满足修复条件的终端发送修复脚本删除指令,使每个满足修复条件的终端根据修复脚本删除指令删除修复脚本。
通过使每个满足修复条件的终端根据修复脚本删除指令删除修复脚本,使得每个满足修复条件的终端无需存储已经执行过的修复脚本,节省了终端的存储空间。
进一步地,在接收到每个满足修复条件的终端执行修复脚本后返回的执行结果数据后,即完成了基线修复,为了能够提高基线修复的准确性,本实施例提供的方法还包括后续步骤。
209:根据修复脚本检查每个满足修复条件的终端的基线是否正确修复;
关于根据修复脚本检查每个满足修复条件的终端的基线是否正确修复的方式,本实施例不作具体限定。通过根据修复脚本检查每个满足修复条件的终端的基线是否正确修复,即对修复的操作进行复查,保证了基线修复的准确性。
210:若任一终端的基线未正确修复,则对未正确修复的基线进行记录。
关于对未正确修复的基线进行记录的方式,本实施例不作具体限定。具体实施时,可将未正确修复的基线记录到日志,从而方便人工查看,调整修复脚本,完成对修复脚本的更新,进而正确修复基线。
另外,参见图6所示的基线自动修复程序的流程图,步骤206及步骤207对应SSH服务是否开启、放弃并记录日志、用户名和密码是否正确以及流量控制,步骤208至步骤210对应远程拷贝、修复脚本执行、检查修复结果及日志记录。
本实施例提供的方法,通过向每个满足检查条件的终端发送根据预先配置的基线标准数据得到的检查脚本,并根据预先配置的基线标准数据及每个满足检查条件的终端执行检查脚本后返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果,再向每个满足修复条件的终端发送根据基线检查结果及预先配置的基线标准数据得到的修复脚本,并接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据,从而实现基线自动检查及修复,提高了基线检查及修复的效率。
参见图7,本发明实施例提供了一种基线检查修复装置,该装置用于执行上述图1或图2所示的实施例提供的基线检查修复方法。该装置包括:
第一获取模块701,用于获取连接的至少一个终端的地址;
第二获取模块702,用于获取检查脚本,检查脚本根据预先配置的基线标准数据得到;
第一确定模块703,用于根据获取到的所有终端的地址确定所有终端中满足检查条件的终端;
第一发送模块704,用于向每个满足检查条件的终端发送检查脚本;
第一接收模块705,用于接收每个满足检查条件的终端执行检查脚本后返回的执行结果数据;
第二确定模块706,用于根据预先配置的基线标准数据及每个满足检查条件的终端返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果;
第三确定模块707,用于根据每个满足检查条件的终端对应的基线检查结果确定需要进行基线修复的终端;
第四确定模块708,用于根据每个需要进行基线修复的终端的地址确定满足修复条件的终端;
第三获取模块709,用于获取修复脚本,修复脚本根据基线检查结果及预先配置的基线标准数据得到;
第二发送模块710,用于向每个满足条件的终端发送修复脚本;
第二接收模块711,用于接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据。
作为一种可选实施例,第一确定模块703,包括:
第一检测单元,用于根据获取到的每个终端的地址检测每个终端的端口是否开启;
第一获取单元,用于当任一终端的端口开启时,获取任一终端的用户名及密码;
第一判断单元,用于判断任一终端的用户名及密码是否正确;
第一确定单元,用于当任一终端的用户名及密码正确时,则确定任一终端为满足检查条件的终端。
作为一种可选实施例,该装置,还包括:
转化模块,用于将每个满足检查条件的终端对应的基线检查结果中的检查结果数据进行格式转化,使格式转化后的检查结果数据的格式符合数据库的标准格式;
存储模块,用于将格式转化后的检查结果数据存储到数据库。
作为一种可选实施例,第四确定模块708,包括:
第二检测单元,用于根据每个需要进行基线修复的终端的地址检测每个需要进行基线修复的终端的端口是否开启;
第二获取单元,用于当任一终端的端口开启时,获取任一终端的用户名及密码;
第二判断单元,用于判断任一终端的用户名及密码是否正确;
第二确定单元,用于当任一终端的用户名及密码正确时,确定任一终端为满足修复条件的终端。
作为一种可选实施例,该装置,还包括:
检查模块,用于根据修复脚本检查每个满足修复条件的终端的基线是否正确修复;
记录模块,用于当任一终端的基线未正确修复时,对未正确修复的基线进行记录。
本发明实施例提供的装置,通过向每个满足检查条件的终端发送根据预先配置的基线标准数据得到的检查脚本,并根据预先配置的基线标准数据及每个满足检查条件的终端执行检查脚本后返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果,再向每个满足修复条件的终端发送根据基线检查结果及预先配置的基线标准数据得到的修复脚本,并接收每个满足修复条件的终端执行修复脚本后返回的执行结果数据,从而实现基线自动检查及修复,提高了基线检查及修复的效率。
需要说明的是:上述实施例提供的基线检查修复装置在对基线进行检查修复时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将基线检查修复装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的基线检查修复装置与基线检查修复方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基线检查修复方法,其特征在于,所述方法包括:
获取连接的至少一个终端的地址,并获取检查脚本,所述检查脚本根据预先配置的基线标准数据得到;
根据获取到的所有终端的地址确定所有终端中满足检查条件的终端;
向每个满足检查条件的终端发送所述检查脚本;
接收每个满足检查条件的终端执行所述检查脚本后返回的执行结果数据;
根据所述预先配置的基线标准数据及每个满足检查条件的终端返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果;
根据每个满足检查条件的终端对应的基线检查结果确定需要进行基线修复的终端,并根据每个需要进行基线修复的终端的地址确定满足修复条件的终端;
获取修复脚本,向每个满足修复条件的终端发送所述修复脚本,所述修复脚本根据基线检查结果及预先配置的基线标准数据得到;
接收每个满足修复条件的终端执行所述修复脚本后返回的执行结果数据。
2.根据权利要求1所述的方法,其特征在于,所述根据获取到的所有终端的地址确定所有终端中满足检查条件的终端,包括:
根据获取到的每个终端的地址检测每个终端的端口是否开启;
若检测到任一终端的端口开启,则获取所述任一终端的用户名及密码;
判断所述任一终端的用户名及密码是否正确;
若所述任一终端的用户名及密码正确,则确定所述任一终端为满足检查条件的终端。
3.根据权利要求1所述的方法,其特征在于,所述根据所述预先配置的基线标准数据及每个满足检查条件的终端返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果之后,还包括:
将每个满足检查条件的终端对应的基线检查结果中的检查结果数据进行格式转化,使格式转化后的检查结果数据的格式符合数据库的标准格式;
将格式转化后的检查结果数据存储到数据库。
4.根据权利要求1所述的方法,其特征在于,所述根据每个需要进行基线修复的终端的地址确定满足修复条件的终端,包括:
根据每个需要进行基线修复的终端的地址检测每个需要进行基线修复的终端的端口是否开启;
若检测到任一终端的端口开启,则获取所述任一终端的用户名及密码;
判断所述任一终端的用户名及密码是否正确;
若所述任一终端的用户名及密码正确,则确定所述任一终端为满足修复条件的终端。
5.根据权利要求1所述的方法,其特征在于,所述接收每个满足修复条件的终端执行所述修复脚本后返回的执行结果数据之后,还包括:
根据所述修复脚本检查每个满足修复条件的终端的基线是否正确修复;
若任一终端的基线未正确修复,则对未正确修复的基线进行记录。
6.一种基线检查修复装置,其特征在于,所述装置包括:
第一获取模块,用于获取连接的至少一个终端的地址;
第二获取模块,用于获取检查脚本,所述检查脚本根据预先配置的基线标准数据得到;
第一确定模块,用于根据获取到的所有终端的地址确定所有终端中满足检查条件的终端;
第一发送模块,用于向每个满足检查条件的终端发送所述检查脚本;
第一接收模块,用于接收每个满足检查条件的终端执行所述检查脚本后返回的执行结果数据;
第二确定模块,用于根据所述预先配置的基线标准数据及每个满足检查条件的终端返回的执行结果数据确定每个满足检查条件的终端对应的基线检查结果;
第三确定模块,用于根据每个满足检查条件的终端对应的基线检查结果确定需要进行基线修复的终端;
第四确定模块,用于根据每个需要进行基线修复的终端的地址确定满足修复条件的终端;
第三获取模块,用于获取修复脚本,所述修复脚本根据基线检查结果及预先配置的基线标准数据得到;
第二发送模块,用于向每个满足条件的终端发送所述修复脚本;
第二接收模块,用于接收每个满足修复条件的终端执行所述修复脚本后返回的执行结果数据。
7.根据权利要求6所述的装置,其特征在于,所述第一确定模块,包括:
第一检测单元,用于根据获取到的每个终端的地址检测每个终端的端口是否开启;
第一获取单元,用于当任一终端的端口开启时,获取所述任一终端的用户名及密码;
第一判断单元,用于判断所述任一终端的用户名及密码是否正确;
第一确定单元,用于当所述任一终端的用户名及密码正确时,则确定所述任一终端为满足检查条件的终端。
8.根据权利要求6所述的装置,其特征在于,所述装置,还包括:
转化模块,用于将每个满足检查条件的终端对应的基线检查结果中的检查结果数据进行格式转化,使格式转化后的检查结果数据的格式符合数据库的标准格式;
存储模块,用于将格式转化后的检查结果数据存储到数据库。
9.根据权利要求6所述的装置,其特征在于,所述第四确定模块,包括:
第二检测单元,用于根据每个需要进行基线修复的终端的地址检测每个需要进行基线修复的终端的端口是否开启;
第二获取单元,用于当任一终端的端口开启时,获取所述任一终端的用户名及密码;
第二判断单元,用于判断所述任一终端的用户名及密码是否正确;
第二确定单元,用于当所述任一终端的用户名及密码正确时,确定所述任一终端为满足修复条件的终端。
10.根据权利要求6所述的装置,其特征在于,所述装置,还包括:
检查模块,用于根据所述修复脚本检查每个满足修复条件的终端的基线是否正确修复;
记录模块,用于当任一终端的基线未正确修复时,对未正确修复的基线进行记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410302940.6A CN105245392A (zh) | 2014-06-27 | 2014-06-27 | 基线检查修复方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410302940.6A CN105245392A (zh) | 2014-06-27 | 2014-06-27 | 基线检查修复方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105245392A true CN105245392A (zh) | 2016-01-13 |
Family
ID=55042903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410302940.6A Pending CN105245392A (zh) | 2014-06-27 | 2014-06-27 | 基线检查修复方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105245392A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105897489A (zh) * | 2016-06-21 | 2016-08-24 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心服务器自动合规配置方法及装置 |
| CN105955728A (zh) * | 2016-04-26 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种基于用户自定义脚本的安全基线检查修复方式 |
| CN106790280A (zh) * | 2017-02-22 | 2017-05-31 | 深信服科技股份有限公司 | 网络攻击的应急排查方法及装置 |
| CN107229977A (zh) * | 2016-03-25 | 2017-10-03 | 中国移动通信集团内蒙古有限公司 | 一种主机安全基线自动加固方法及系统 |
| CN107403100A (zh) * | 2017-08-08 | 2017-11-28 | 四川长虹电器股份有限公司 | 基线配置自动化检测系统及方法 |
| CN111062039A (zh) * | 2019-11-25 | 2020-04-24 | 哈尔滨安天科技集团股份有限公司 | 多标准安全基准的检测方法、系统及目标主机、服务器 |
| CN113556252A (zh) * | 2021-07-23 | 2021-10-26 | 中信银行股份有限公司 | 一种网络设备基线配置检查与修复的方法和系统 |
| CN114978657A (zh) * | 2022-05-17 | 2022-08-30 | 安天科技集团股份有限公司 | 安全基线核查方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078562A1 (en) * | 2002-10-17 | 2004-04-22 | Maarten Koning | Health monitoring system for a partitioned architecture |
| CN102306258A (zh) * | 2011-09-23 | 2012-01-04 | 国网电力科学研究院 | 一种基于可配置知识库的unix主机安全配置审计方法 |
| CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
| CN102684927A (zh) * | 2012-05-31 | 2012-09-19 | 迈普通信技术股份有限公司 | 一种巡检网络设备的方法和装置 |
| CN103390132A (zh) * | 2012-05-07 | 2013-11-13 | 恒安嘉新(北京)科技有限公司 | 一种自动化的Unix系统安全配置检查方法 |
| CN103634167A (zh) * | 2013-12-10 | 2014-03-12 | 中国电信集团系统集成有限责任公司 | 云环境中对目标主机进行安全配置检查的方法和系统 |
-
2014
- 2014-06-27 CN CN201410302940.6A patent/CN105245392A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078562A1 (en) * | 2002-10-17 | 2004-04-22 | Maarten Koning | Health monitoring system for a partitioned architecture |
| CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
| CN102306258A (zh) * | 2011-09-23 | 2012-01-04 | 国网电力科学研究院 | 一种基于可配置知识库的unix主机安全配置审计方法 |
| CN103390132A (zh) * | 2012-05-07 | 2013-11-13 | 恒安嘉新(北京)科技有限公司 | 一种自动化的Unix系统安全配置检查方法 |
| CN102684927A (zh) * | 2012-05-31 | 2012-09-19 | 迈普通信技术股份有限公司 | 一种巡检网络设备的方法和装置 |
| CN103634167A (zh) * | 2013-12-10 | 2014-03-12 | 中国电信集团系统集成有限责任公司 | 云环境中对目标主机进行安全配置检查的方法和系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107229977A (zh) * | 2016-03-25 | 2017-10-03 | 中国移动通信集团内蒙古有限公司 | 一种主机安全基线自动加固方法及系统 |
| CN105955728A (zh) * | 2016-04-26 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种基于用户自定义脚本的安全基线检查修复方式 |
| CN105897489A (zh) * | 2016-06-21 | 2016-08-24 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心服务器自动合规配置方法及装置 |
| CN106790280A (zh) * | 2017-02-22 | 2017-05-31 | 深信服科技股份有限公司 | 网络攻击的应急排查方法及装置 |
| CN106790280B (zh) * | 2017-02-22 | 2020-07-10 | 深信服科技股份有限公司 | 网络攻击的应急排查方法及装置 |
| CN107403100A (zh) * | 2017-08-08 | 2017-11-28 | 四川长虹电器股份有限公司 | 基线配置自动化检测系统及方法 |
| CN111062039A (zh) * | 2019-11-25 | 2020-04-24 | 哈尔滨安天科技集团股份有限公司 | 多标准安全基准的检测方法、系统及目标主机、服务器 |
| CN113556252A (zh) * | 2021-07-23 | 2021-10-26 | 中信银行股份有限公司 | 一种网络设备基线配置检查与修复的方法和系统 |
| CN114978657A (zh) * | 2022-05-17 | 2022-08-30 | 安天科技集团股份有限公司 | 安全基线核查方法、装置、电子设备及存储介质 |
| CN114978657B (zh) * | 2022-05-17 | 2024-02-13 | 安天科技集团股份有限公司 | 安全基线核查方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105245392A (zh) | 基线检查修复方法及装置 | |
| US6804796B2 (en) | Method and test tool for verifying the functionality of a software based unit | |
| CN106331189B (zh) | 日志获取方法和装置、以及网管服务器 | |
| CN109981279B (zh) | 一种区块链系统、通信方法、装置、设备及介质 | |
| CN105099811A (zh) | 一种接口测试方法和装置 | |
| CN103873517A (zh) | 一种数据同步的方法、装置和系统 | |
| CN103248525A (zh) | 配置网络资源的方法及装置 | |
| CN115514680B (zh) | 用于验证模组兼容性的方法及装置、电子设备、存储介质 | |
| CN106034113A (zh) | 数据处理方法及装置 | |
| CN116204438A (zh) | 测试用例生成方法、自动化测试方法和相关装置 | |
| CN110969417A (zh) | 政务事项同步方法、装置、系统、计算机设备和存储介质 | |
| CN105657781A (zh) | 接入WiFi网络的方法及装置 | |
| CN109299116B (zh) | 一种数据同步方法、装置、设备及可读存储介质 | |
| CN109815112B (zh) | 基于功能测试的数据调试方法、装置及终端设备 | |
| CN108073630B (zh) | 一种基于动态化配置的业务搜索接入管理方法及系统 | |
| CN111666193B (zh) | 基于实时日志解析的终端功能监控与测试的方法与系统 | |
| CN112672086B (zh) | 一种音视频设备数据采集、分析、预警系统 | |
| CN104869107A (zh) | 一种身份验证方法、可穿戴设备、验证服务器及其系统 | |
| CN107888451B (zh) | 一种Web服务器的测试方法及装置 | |
| CN109408076A (zh) | 一种app批量发版方法、装置及系统 | |
| CN112612802A (zh) | 一种实时数据中台的处理方法、装置及平台 | |
| CN107172082B (zh) | 一种文件共享方法及系统 | |
| CN114490746B (zh) | 一种设备测试方法、装置、待测试设备及存储介质 | |
| CN113050925B (zh) | 区块链智能合约修复方法及装置 | |
| CN114675989A (zh) | 数据校验方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160113 |
|
| RJ01 | Rejection of invention patent application after publication |