CN107679692A - 一种安全基线管理系统及方法 - Google Patents
一种安全基线管理系统及方法 Download PDFInfo
- Publication number
- CN107679692A CN107679692A CN201710781865.XA CN201710781865A CN107679692A CN 107679692 A CN107679692 A CN 107679692A CN 201710781865 A CN201710781865 A CN 201710781865A CN 107679692 A CN107679692 A CN 107679692A
- Authority
- CN
- China
- Prior art keywords
- baseline
- template
- security baseline
- configuration item
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000007726 management method Methods 0.000 claims description 68
- 239000003795 chemical substances by application Substances 0.000 claims description 4
- 238000009434 installation Methods 0.000 claims description 3
- 239000000758 substrate Substances 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 6
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种安全基线管理系统及方法,其中安全基线管理系统包括:模板管理器,用于管理不同设备或系统的标准安全基线模板,所述标准安全基线模板中包括基线配置项以及获取配置项方法;基线管理器,用于管理所有受管理对象的安全基线,将模板库中的标准安全基线模板应用给每个受管理对象;采集器,用于将模板机的安全基线配置项收集到模板库中,还用于将受管理对象的安全基线配置项收集到配置库中。通过模块化的思路将基线模板和管理对象的安全基线分类管理,提升了安全管理灵活性;可以根据业务分布将管理对象分管到业务管理员;可以针对个别应用特殊需求灵活制定特殊安全基线模板。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种安全基线管理系统及方法。
背景技术
随着《中华人民共和国网络安全法》的版本和施行,信息安全越来越受到大众关注。随着信息技术不断发展,信息安全事件呈现增长态势,信息安全已成为企业信息化建设的重点。安全基线是安全体系中,对如何配置和管理计算机的详细描述,代表了安全相关的配置应该达到了最低限度。
为了方便批量管理安全基线,通常安全基线设计中会提供文件基线的文件和获取系统配置的方法。然而这种方法缺少灵活性,针对不同品牌和型号的设备或系统,需要制定很多的安全基线,而众多的安全基线需要不同技术领域的专家提供,很难在后续的维护中灵活管理。
发明内容
本发明所要解决的技术问题在于,提供一种安全基线管理系统及方法,以提升安全管理的灵活性。
为了解决上述技术问题,本发明提供一种安全基线管理系统,包括:
模板管理器,用于管理不同设备或系统的标准安全基线模板,所述标准安全基线模板中包括基线配置项以及获取配置项方法;
基线管理器,用于管理所有受管理对象的安全基线,将模板库中的标准安全基线模板应用给每个受管理对象;
采集器,用于将模板机的安全基线配置项收集到模板库中,还用于将受管理对象的安全基线配置项收集到配置库中。
其中,所述基板管理器还用于自定义标准安全基线模板,所述自定义标准安全基线模板包括基线配置项、基线配置项获取脚本和基线配置项备注说明。
其中,所述模板管理器还用于周期性扫描模板机的当前基线配置项,当发现基线配置项已被修改时,新建一个标准安全基线模板。
其中,所述基线管理器还用于对一个受管理对象应用多个标准安全基线模板。
其中,所述基线管理器还用于将被收集到配置库中的受管理对象的安全基线配置项与应用到当前服务器的标准安全基线模板中的安全基线配置项进行比对,并在出现差异项时通过消息器利用邮件或短信通知管理员进行整改。
其中,所述基线管理器还用于将所述差异项转化为特殊项写入到配置库中,与标准安全基线模板组合形成特殊安全基线模板,并应用到所述受管理对象。
其中,所述采集器通过在目标设备或系统中安装代理,采用执行脚本作业的方式在目标服务器上收集模板机的安全基线配置项以及受管理对象的安全基线配置项。
其中,所述安全基线管理系统还包括管理控制器,用于提供面向管理员和用户的管理界面。
本发明还提供一种安全基线管理方法,包括:
提供一模板管理器,所述模板管理器用于管理不同设备或系统的标准安全基线模板,所述标准安全基线模板中包括安全基线配置项以及获取配置项方法;
提供一基线管理器,所述基线管理器用于管理所有受管理对象的安全基线,将模板库中的标准安全基线模板应用给每个受管理对象;
提供一采集器,所述采集器用于将模板机的安全基线配置项收集到模板库中,还用于将受管理对象的安全基线配置项收集到配置库中。
其中,所述安全基线管理方法还包括:
定义标准安全基线模板的配置项以及获取配置项方法;
按照定义的标准安全基线标准模板配置模板机;
通过采集器从模板机采集安全基线配置项;
新建标准安全基线模板,并保存配置项到配置库中。
其中,所述安全基线管理方法还包括:
为管理对象应用标准安全基线模板;
通过采集器从管理对象采集安全基线配置项,并保存到配置库;
将采集的安全基线配置项与应用到当前服务器的标准安全基线模板中的安全基线配置项进行比对,判断是否匹配,如果不匹配则通过消息器通知管理员进行整改。
其中,如果采集的安全基线配置项与应用到当前服务器的标准安全基线模板中的安全基线配置项不匹配,进一步判断对差异项是否进行特殊化处理,若是,则将差异项转化为特殊项写入到配置库,与标准安全基线模板组合形成特殊安全基线模板,并应用到所述受管理对象;若否,则按照当前应用的标准安全基线模板进行整改。
本发明实施例的有益效果在于:通过模块化的思路将基线模板和管理对象的安全基线分类管理,提升了安全管理灵活性;可以根据业务分布将管理对象分管到业务管理员;可以针对个别应用特殊需求灵活制定特殊安全基线模板。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一一种安全基线管理系统的结构示意图。
图2是本发明实施例二中安全基线模板的管理方法流程示意图。
图3是本发明实施例二中安全基线的管理方法流程示意图。
具体实施方式
以下各实施例的说明是参考附图,用以示例本发明可以用以实施的特定实施例。
请参照图2所示,本发明实施例一提供一种安全基线管理系统,包括:
模板管理器1,用于管理不同设备或系统的标准安全基线模板,所述标准安全基线模板中包括安全基线配置项以及获取配置项方法;
基线管理器2,用于管理所有受管理对象的安全基线,将模板库4中的标准安全基线模板应用给每个受管理对象;
采集器3,用于将模板机的安全基线配置项收集到模板库4中,还用于将受管理对象的安全基线配置项收集到配置库5中。
本发明实施例通过模块化的思路将基线模板和管理对象的安全基线分类管理,提升安全管理的灵活性。
具体地,模板管理器1管理不同品牌和型号的设备或系统的标准安全基线模板,并允许自定义标准安全基线模板,模板中包括基线配置项以及获取基线配置项方法。自定义标准安全基线模板包括三部分:基线配置项、基线配置项获取脚本和基线配置项备注说明。基线模板管理员需要为每个基线配置项定义基线配置项获取脚本和基线配置项备注说明,最后由模板管理器整合成完整的标准安全基线模板。基线配置项获取脚本支持的语言包括shell、bat、perl、python、Powershell等。
模板管理器1通过控制采集器3将模板机的基线配置项收集到模板库4中,模板管理器器1可将不同品牌和型号的设备或系统分权给不同技术领域的人员管理,并且可以提供版本管理。
模板管理器1周期性扫描模板机的当前基线配置项,当模板管理器1发现基线配置项指标已被修改时,将新建一个标准安全基线模板。
基线管理器2允许一个受管理对象应用多个标准安全基线模板,比如一台Linux安装了ORACLE和Weblogic应用程序,需要为这台服务器应用Linux操作系统模板、ORACLE数据库模板、Weblogic模板。
基线管理器2周期性通过采集器3将受管理对象的安全基线配置项收集到配置库5中,将被收集到配置库中的受管理对象的安全基线配置项与应用到当前服务器的标准安全基线模板中的安全基线配置项进行比对,并在出现差异项时通过消息器利用邮件或短信通知管理员进行整改。具体地,判断是否对差异项进行特殊化处理,若是,则将与标准安全模板对比后的差异项转化为特殊项写入到配置库5,此时对此受管理对象的模板即是由标准安全基线模板和特殊项组合而成的特殊安全基线模板;若否则按照当前应用的标准安全基线模板进行整改。
采集器3通过在目标设备或系统中安装代理(Agent),采用执行脚本作业的方式在目标服务器上收集模板机的安全基线配置项以及受管理对象的安全基线配置项。
本实施例安全基线管理系统还包括管理控制器7,用于提供面向管理员和用户的管理界面。
相应于本发明实施例一一种安全基线管理系统,本发明实施例二提供一种安全基线管理方法,包括:
提供一模板管理器,所述模板管理器用于管理不同设备或系统的标准安全基线模板,所述标准安全基线模板中包括基线配置项以及获取配置项方法;
提供一基线管理器,所述基线管理器用于管理所有受管理对象的安全基线,将模板库中的标准安全基线模板应用给每个受管理对象;
提供一采集器,所述采集器用于将模板机的安全基线配置项收集到模板库中,还用于将受管理对象的安全基线配置项收集到配置库中。
进一步地,请再参照图2所示,本实施例安全基线管理方法还包括:
定义标准安全基线模板的配置项以及获取配置项方法;
按照定义的标准安全基线标准模板配置模板机;
通过采集器从模板机采集安全基线配置项;
新建标准安全基线模板,并保存配置项到配置库中。
进一步地,请再参照图3所示,本实施例安全基线管理方法还包括:
为管理对象应用标准安全基线模板;
通过采集器从管理对象采集安全基线配置项,并保存到配置库;
将采集的安全基线配置项与应用到当前服务器的标准安全基线模板中的安全基线配置项进行比对,判断是否匹配,如果不匹配则通过消息器通知管理员进行整改。
如果采集的安全基线配置项与应用到当前服务器的标准安全基线模板中的安全基线配置项不匹配,进一步判断对差异项是否进行特殊化处理,若是,则将差异项转化为特殊项写入到配置库,与标准安全基线模板组合形成特殊安全基线模板,并应用到所述受管理对象;若否,则按照当前应用的标准安全基线模板进行整改。
通过上述说明可知,本发明实施例的有益效果在于:通过模块化的思路将基线模板和管理对象的安全基线分类管理,提升了安全管理灵活性;可以根据业务分布将管理对象分管到业务管理员;可以针对个别应用特殊需求灵活制定特殊安全基线模板。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (12)
1.一种安全基线管理系统,其特征在于,包括:
模板管理器,用于管理不同设备或系统的标准安全基线模板,所述标准安全基线模板中包括基线配置项以及获取配置项方法;
基线管理器,用于管理所有受管理对象的安全基线,将模板库中的标准安全基线模板应用给每个受管理对象;
采集器,用于将模板机的安全基线配置项收集到模板库中,还用于将受管理对象的安全基线配置项收集到配置库中。
2.根据权利要求1所述的安全基线管理系统,其特征在于,所述基板管理器还用于自定义标准安全基线模板,所述自定义标准安全基线模板包括基线配置项、基线配置项获取脚本和基线配置项备注说明。
3.根据权利要求1所述的安全基线管理系统,其特征在于,所述模板管理器还用于周期性扫描模板机的当前基线配置项,当发现基线配置项已被修改时,新建一个标准安全基线模板。
4.根据权利要求1所述的安全基线管理系统,其特征在于,所述基线管理器还用于对一个受管理对象应用多个标准安全基线模板。
5.根据权利要求1所述的安全基线管理系统,其特征在于,所述基线管理器还用于将被收集到配置库中的受管理对象的安全基线配置项与应用到当前服务器的标准安全基线模板中的安全基线配置项进行比对,并在出现差异项时通过消息器利用邮件或短信通知管理员进行整改。
6.根据权利要求5所述的安全基线管理系统,其特征在于,所述基线管理器还用于将所述差异项转化为特殊项写入到配置库中,与标准安全基线模板组合形成特殊安全基线模板,并应用到所述受管理对象。
7.根据权利要求1所述的安全基线管理系统,其特征在于,所述采集器通过在目标设备或系统中安装代理,采用执行脚本作业的方式在目标服务器上收集模板机的安全基线配置项以及受管理对象的安全基线配置项。
8.根据权利要求1所述的安全基线管理系统,其特征在于,还包括管理控制器,用于提供面向管理员和用户的管理界面。
9.一种安全基线管理方法,其特征在于,包括:
提供一模板管理器,所述模板管理器用于管理不同设备或系统的标准安全基线模板,所述标准安全基线模板中包括安全基线配置项以及获取配置项方法;
提供一基线管理器,所述基线管理器用于管理所有受管理对象的安全基线,将模板库中的标准安全基线模板应用给每个受管理对象;
提供一采集器,所述采集器用于将模板机的安全基线配置项收集到模板库中,还用于将受管理对象的安全基线配置项收集到配置库中。
10.根据权利要求9所述的安全基线管理方法,其特征在于,还包括:
定义标准安全基线模板的配置项以及获取配置项方法;
按照定义的标准安全基线标准模板配置模板机;
通过采集器从模板机采集安全基线配置项;
新建标准安全基线模板,并保存配置项到配置库中。
11.根据权利要求9所述的安全基线管理方法,其特征在于,还包括:
为管理对象应用标准安全基线模板;
通过采集器从管理对象采集安全基线配置项,并保存到配置库;
将采集的安全基线配置项与应用到当前服务器的标准安全基线模板中的安全基线配置项进行比对,判断是否匹配,如果不匹配则通过消息器通知管理员进行整改。
12.根据权利要求11所述的安全基线管理方法,其特征在于,如果采集的安全基线配置项与应用到当前服务器的标准安全基线模板中的安全基线配置项不匹配,进一步判断对差异项是否进行特殊化处理,若是,则将差异项转化为特殊项写入到配置库,与标准安全基线模板组合形成特殊安全基线模板,并应用到所述受管理对象;若否,则按照当前应用的标准安全基线模板进行整改。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710781865.XA CN107679692A (zh) | 2017-09-02 | 2017-09-02 | 一种安全基线管理系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710781865.XA CN107679692A (zh) | 2017-09-02 | 2017-09-02 | 一种安全基线管理系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107679692A true CN107679692A (zh) | 2018-02-09 |
Family
ID=61135081
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710781865.XA Pending CN107679692A (zh) | 2017-09-02 | 2017-09-02 | 一种安全基线管理系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107679692A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109460400A (zh) * | 2018-12-12 | 2019-03-12 | 国网江苏省电力有限公司南京供电分公司 | 一种电力监控系统安全基线库的建立系统及方法 |
CN109743195A (zh) * | 2018-12-11 | 2019-05-10 | 中国联合网络通信集团有限公司 | 一种安全基线的核查方法和装置 |
CN110334248A (zh) * | 2019-06-26 | 2019-10-15 | 京东数字科技控股有限公司 | 一种系统配置信息处理方法和装置 |
CN111814152A (zh) * | 2020-07-09 | 2020-10-23 | 北京嘀嘀无限科技发展有限公司 | 一种安全评估方法、装置、电子设备及介质 |
CN112380533A (zh) * | 2020-11-17 | 2021-02-19 | 广东电网有限责任公司江门供电局 | 一种计算机终端安全基线核查方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013044141A2 (en) * | 2011-09-22 | 2013-03-28 | Capgemini U.S. Llc | Process transformation and transitioning apparatuses, methods and systems |
CN103414585A (zh) * | 2013-08-01 | 2013-11-27 | 华南师范大学 | 建立业务系统的安全基线的方法和装置 |
CN103905270A (zh) * | 2014-03-11 | 2014-07-02 | 国网湖北省电力公司信息通信公司 | 智能电网andriod系统安全基线自动化检查系统及检查方法 |
CN104270389A (zh) * | 2014-10-23 | 2015-01-07 | 国网湖北省电力公司电力科学研究院 | 一种路由器/交换机安全配置漏洞自动修复方法及系统 |
CN104346574A (zh) * | 2014-10-23 | 2015-02-11 | 武汉大学 | 基于配置规范的主机安全配置漏洞自动修复方法及系统 |
CN105915533A (zh) * | 2016-05-23 | 2016-08-31 | 浪潮电子信息产业股份有限公司 | 一种安全评估方法、装置及系统 |
CN106202428A (zh) * | 2016-07-13 | 2016-12-07 | 浪潮电子信息产业股份有限公司 | 一种自定义脚本类型基线项目的管理方法与系统 |
-
2017
- 2017-09-02 CN CN201710781865.XA patent/CN107679692A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013044141A2 (en) * | 2011-09-22 | 2013-03-28 | Capgemini U.S. Llc | Process transformation and transitioning apparatuses, methods and systems |
CN103414585A (zh) * | 2013-08-01 | 2013-11-27 | 华南师范大学 | 建立业务系统的安全基线的方法和装置 |
CN103905270A (zh) * | 2014-03-11 | 2014-07-02 | 国网湖北省电力公司信息通信公司 | 智能电网andriod系统安全基线自动化检查系统及检查方法 |
CN104270389A (zh) * | 2014-10-23 | 2015-01-07 | 国网湖北省电力公司电力科学研究院 | 一种路由器/交换机安全配置漏洞自动修复方法及系统 |
CN104346574A (zh) * | 2014-10-23 | 2015-02-11 | 武汉大学 | 基于配置规范的主机安全配置漏洞自动修复方法及系统 |
CN105915533A (zh) * | 2016-05-23 | 2016-08-31 | 浪潮电子信息产业股份有限公司 | 一种安全评估方法、装置及系统 |
CN106202428A (zh) * | 2016-07-13 | 2016-12-07 | 浪潮电子信息产业股份有限公司 | 一种自定义脚本类型基线项目的管理方法与系统 |
Non-Patent Citations (1)
Title |
---|
张民磊: "基线配置核查平台与电网信息安全合规库的联合应用研究", 《安全技术》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109743195A (zh) * | 2018-12-11 | 2019-05-10 | 中国联合网络通信集团有限公司 | 一种安全基线的核查方法和装置 |
CN109460400A (zh) * | 2018-12-12 | 2019-03-12 | 国网江苏省电力有限公司南京供电分公司 | 一种电力监控系统安全基线库的建立系统及方法 |
CN109460400B (zh) * | 2018-12-12 | 2022-04-08 | 国网江苏省电力有限公司南京供电分公司 | 一种电力监控系统安全基线库的建立系统及方法 |
CN110334248A (zh) * | 2019-06-26 | 2019-10-15 | 京东数字科技控股有限公司 | 一种系统配置信息处理方法和装置 |
CN110334248B (zh) * | 2019-06-26 | 2020-09-01 | 京东数字科技控股有限公司 | 一种系统配置信息处理方法和装置 |
CN111814152A (zh) * | 2020-07-09 | 2020-10-23 | 北京嘀嘀无限科技发展有限公司 | 一种安全评估方法、装置、电子设备及介质 |
CN112380533A (zh) * | 2020-11-17 | 2021-02-19 | 广东电网有限责任公司江门供电局 | 一种计算机终端安全基线核查方法 |
CN112380533B (zh) * | 2020-11-17 | 2023-12-15 | 广东电网有限责任公司江门供电局 | 一种计算机终端安全基线核查方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107679692A (zh) | 一种安全基线管理系统及方法 | |
CN102708466A (zh) | 项目管理系统 | |
CN107370835A (zh) | 一种基于sdn和nfv技术的云计算中心网络架构 | |
CN109376011A (zh) | 虚拟化系统中管理资源的方法和装置 | |
CN106648589A (zh) | 一种svn源代码的在线管理和共享查看的系统及方法 | |
CN103078940A (zh) | 在云计算操作系统中进行资源申请审批的方法和系统 | |
CN105187434A (zh) | 基于多应用系统的用户账号管控方法及系统 | |
CN108021461A (zh) | 提升社交圈子数据处理性能的方法及装置 | |
CN104125281A (zh) | 云数据中心申请资源审批状态记录方法及装置 | |
CN107360103A (zh) | 一种操作维护系统和资源调度方法 | |
PH12020500143A1 (en) | Transaction processing management method in management system | |
CN104754040A (zh) | 用于端到端云服务虚拟化的系统 | |
WO2015127693A1 (zh) | 信息安全管理系统 | |
CN204600487U (zh) | 一种警用人体信息采集系统 | |
CN206788930U (zh) | 一种快递签收系统 | |
CN109978316A (zh) | 一种企业it数据资源配置管理系统 | |
CN107609166A (zh) | 一种基于云管理平台的数据调度系统 | |
CN104202256B (zh) | 一种云操作系统与负载均衡设备间的单向联动方法 | |
CN209313868U (zh) | 一种分布式云储存系统 | |
CN206100076U (zh) | 一种基于增强现实的危险源辨识及控制系统 | |
CN202049564U (zh) | 一种电子票据处理装置 | |
CN207939555U (zh) | 一种基于云基础架构的智慧平台 | |
CN207264370U (zh) | 一种用于电子交易的显示装置 | |
CN103365728B (zh) | 面向硬实时服务组合的主机资源可满足性检测方法 | |
CN206282355U (zh) | 一种人员及安全管理系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180209 |