CN110633571A - 一种高效的信息系统安全配置在线核查方法及核查装置 - Google Patents
一种高效的信息系统安全配置在线核查方法及核查装置 Download PDFInfo
- Publication number
- CN110633571A CN110633571A CN201910939147.XA CN201910939147A CN110633571A CN 110633571 A CN110633571 A CN 110633571A CN 201910939147 A CN201910939147 A CN 201910939147A CN 110633571 A CN110633571 A CN 110633571A
- Authority
- CN
- China
- Prior art keywords
- checking
- information
- target equipment
- configuration
- security configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种高效的信息系统安全配置在线核查方法及核查装置。所述方法包括更新核查端标准化安全配置核查信息;根据用户请求确定目标设备并在线获取其基础信息以匹配标准化安全配置核查信息后发送给目标设备获取返回的配置信息;配置信息与标准化安全配置核查信息的安全配置标准比对分析;各配置信息比对分析完毕后,将检查情况生成核查报告或推送到下游应用场景。所述装置包括第一通讯模块、第二通讯模块、第一处理模块、第二处理模块。本发明将最简指令及最小计算量代码发送到目标设备,将复杂代码脚本的计算负荷转到核查端,确保目标设备业务不受影响,同时避免安全专员知识不同导致检查效果差异大的问题,有效节约人工成本,提高测评效率。
Description
技术领域
本发明属于计算机安全技术领域,具体涉及一种测评效率高、目标设备测评负荷低、可避免安全专员人为因素影响的高效信息系统安全配置在线核查方法及核查装置。
背景技术
一般企业内部系统都部署了大量业务服务设备来保障生产力,由于设备的操作系统本身不存在绝对的安全,在关键的服务被入侵后往往会蒙受巨大的经济损失,而实事正是攻击者利用了系统存在不安全防护配置,又或者是安全专家知识层面不一致导致安全事件发生。
现有技术中,对信息系统的安全配置一般通过手工方式进行核查,不仅测评效率低,而且可靠性难以保证。当然,也有采用专用设备进行核查,但应用范围狭窄,仅适用于特定信息系统的安全性核查。此外,也有通过将预设定的安全配置规则发送指令给目标设备进行计算,然后获取目标设备计算后返回的结果,最后由预设定的安全配置规则决定目标设备是否存在安全风险;虽然此种方法测评效率高、通用性强,但目标设备计算安全配置规则发送指令的负荷较强,当目标设备本身硬件条件相对较差时,不仅可能会影响自身的业务,而且测评效率较低。
发明内容
本发明的第一目的在于提供一种测评效率高、目标设备测评负荷低、可避免安全专员人为因素影响高效的信息系统安全配置在线核查方法;第二目的在于提供一种高效的信息系统安全配置在线核查装置。
本发明的第一目的是这样实现的:包括更新、匹配并获取、分析、输出步骤,具体包括:
A、更新:与核查服务端在线同步更新标准化安全配置核查信息至核查端;
B、匹配并获取:根据用户发送的核查请求,确定需要核查的设备为目标设备,在线获取目标设备的基础信息,根据目标设备的基础信息匹配对应的标准化安全配置核查信息,将已匹配的标准化安全配置核查信息发送给目标设备,然后获取目标设备返回的配置信息;
C、分析:将目标设备返回的配置信息与标准化安全配置核查信息中预设的安全配置标准进行比对分析;
D、输出:在目标设备各项配置信息比对分析完毕后,将分析的各项检查内容情况生成核查报告或推送到下游应用场景中。
本发明的第二目的是这样实现的:包括
第一通讯模块,用于在线同步更新核查服务端的标准化安全配置核查信息至核查端;
第二通讯模块,用于获取目标设备的基础信息,读取第一处理模块已匹配的标准化安全配置核查信息,通过标准访问协议发送到目标设备中运行;
第一处理模块,用于根据第二通讯模块获取的目标设备基础信息,匹配对应的标准化安全配置核查信息,以及用于接收目标设备运行标准化安全配置核查信息后返回的配置信息;
第二处理模块,用于根据第一模块内容提供一个特定的脚本和代码执行环境,根据第一处理模块接收的目标设备安全配置信息,以预设的分析脚本和代码分析出结果。
本发明的有益效果:本发明通过获取目标设备指定的配置信息,将指定配置信息与预设定的安全配置规则进行匹配,然后将安全配置规则中采用以现有技术中任意的最简化指令及最小计算量技术优化后的代码发送到目标设备进行计算,最后将计算结果返回核查端用预设定的安全配置规则进行自动分析,从而决定目标设备是否存在安全风险。本发明由于将以最简化指令及最小计算量的代码发送到目标设备,以减轻目标设备的测评负荷和大幅度缩短与目标设备通讯的时长,而将现有技术中目标设备需要高负荷计算的复杂代码脚本转移到测评装置中,从而确保目标设备自身的业务不仅不受影响,而且能够有效避免不同知识层面的安全专员核查效果不一致的问题,有效节约人工成本,提供了测评效率。
附图说明
图1为本发明之信息安全测评方法基本流程示意图;
图2为本发明的标准化安全配置核查信息结果示意图;
图3为本发明之信息安全测评装置基本结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的说明,但不以任何方式对本发明加以限制,基于本发明教导所作的任何变更或改进,均属于本发明的保护范围。
如图1所示,本发明之高效的信息系统安全配置在线核查方法,包括更新、匹配并获取、分析、输出步骤,具体包括:
A、更新:与核查服务端在线同步更新标准化安全配置核查信息至核查端;
B、匹配并获取:根据用户发送的核查请求,确定需要核查的设备为目标设备,在线获取目标设备的基础信息,根据目标设备的基础信息匹配对应的标准化安全配置核查信息,将已匹配的标准化安全配置核查信息发送给目标设备,然后获取目标设备返回的配置信息;
C、分析:将目标设备返回的配置信息与标准化安全配置核查信息中预设的安全配置标准进行比对分析;
D、输出:在目标设备各项配置信息比对分析完毕后,将分析的各项检查内容情况生成核查报告或推送到下游应用场景中。
如图2所示,所述标准化安全配置核查信息包括:
核查点,为标准化安全配置核查信息的最小基础单元,用于预设定核查代码、整改建议以及核查分析脚本和代码;
核查项,为标准化安全配置核查信息的基础单元,用于预设定多个核查点之间的关系,并决定目标设备的某一项标准是否符合要求;
核查模板,为标准化安全配置核查信息的最大基础单元,用于预设定区分不同设备之间的核查项之中的差异。
所述核查点中的核查代码以最简化及在目标设备最小计算量方式表达,并在所述核查分析脚本和代码中做精准计算与匹配;所述核查模板根据目标设备的操作系统类型及访问协议分类设置。
所述核查代码为发送给目标设备以执行安全检查项的代码,所述核查代码包括口令复杂度、关键服务状态、危险配置项;所述整改建议为对目标设备不满足安全配置标准的配置信息项,描述目标设备安全配置的标准配置方法;所述核查分析脚本和代码为目标设备执行核查代码的返回结果进行预设的处理脚本和代码。
所述B步骤包括如下分步骤:
B1、获取目标设备信息:根据用户发送的核查请求,确定需要核查的设备为目标设备,在线获取目标设备的操作系统类型及访问协议;
B2、匹配核查模板:根据目标设备的操作系统类型及访问协议,将目标设备通过手动或自动关联对应的核查模板;
B3、获取核查信息:将已关联的核查模板发送给目标设备执行核查,然后接收目标设备核查后返回的配置信息;
所述C步骤中,根据目标设备返回的配置信息,将核查模板中不同核查代码与相应的核查点进行关联,然后根据核查点预设的核查分析脚本和代码进行分析与处理,最后通过多个核查点的分析与处理,由检查项确定最终目标设备的检查项是否满足要求。
所述B2步骤后还进一步通过远程访问目标设备并发送核查代码,然后收集目标设备内的某个或者某些应用软件的关键配置;所述核查代码的发送均控制在一个会话内,目标设备运行核查代码返回包括未处理的核查内容。
如图3所示,本发明之高效的信息系统安全配置在线核查装置,包括
第一通讯模块,用于在线同步更新核查服务端的标准化安全配置核查信息至核查端;
第二通讯模块,用于获取目标设备的基础信息,读取第一处理模块已匹配的标准化安全配置核查信息,通过标准访问协议发送到目标设备中运行;
第一处理模块,用于根据第二通讯模块获取的目标设备基础信息,匹配对应的标准化安全配置核查信息,以及用于接收目标设备运行标准化安全配置核查信息后返回的配置信息;
第二处理模块,用于根据第一模块内容提供一个特定的脚本和代码执行环境,根据第一处理模块接收的目标设备安全配置信息,以预设的分析脚本和代码分析出结果。
本发明还包括第一输出模块,用于将多个第二处理模块处理后的内容进行汇总和确认,提示存在风险的安全配置项;第二处理模块执行后,第一输出模块通过处理结果统计目标设备的检查情况,通过web形式展示给用户确认。
本发明还包括第二输出子模块,用于推送目标设备的核查情况到下游系统中,不同的下游业务系统按照与其约定好的数据格式主动推送,完成检查工作。
实施例
如图1所示,高效的信息系统安全配置在线核查方法,包括下述步骤:
S1100、与核查服务端在线同步更新标准化安全配置核查信息至核查端;
其中,标准化安全配置核查信息包括:
核查点,为标准化安全配置核查信息的最小基础单元,用于预设定核查代码、整改建议以及核查分析脚本和代码;
核查项,为标准化安全配置核查信息的基础单元,用于预设定多个核查点之间的关系,并决定目标设备的某一项标准是否符合要求;
核查模板,为标准化安全配置核查信息的最大基础单元,用于预设定区分不同设备之间的核查项之中的差异。
其中,核查点中的核查代码是发送给目标设备以执行安全检查项的代码,包括口令复杂度、关键服务状态、危险配置项等;核查员采用最简化及在目标设备最小计算量的方式来写出匹配的脚本代码,然后核查员根据经验积累和反复调试,通过采用如LUA、正则表达式等方式,在核查分析脚本和代码中做精准计算与匹配。
其中,整改建议为对目标设备不满足安全配置标准的配置信息项,描述目标设备安全配置的标准配置方法;核查分析脚本和代码为目标设备执行核查代码的返回结果进行预设的处理脚本和代码。
S1210、根据用户发送的核查请求,确定需要核查的设备为目标设备,在线获取目标设备的操作系统类型及访问协议等基础信息。
S1220、根据目标设备的操作系统类型(如:“windows”、“linux”、“unix”、“oracle”、“mysql”等操作系统和软件)及访问协议等基础信息,将目标设备通过手动或自动关联对应的核查模板。
S1225、通过远程访问目标设备并发送核查代码,然后收集目标设备内的某个或者某些应用软件的关键配置;核查代码的发送均控制在一个会话内,目标设备运行核查代码返回包括未处理的核查内容。
S1230、将已关联的核查模板发送给目标设备执行核查,然后接收目标设备核查后返回的配置信息。
S1300、根据目标设备返回的配置信息,将核查模板中不同核查代码与相应的核查点进行关联,然后根据核查点预设的核查分析脚本和代码进行分析与处理,最后通过多个核查点的分析与处理,由检查项确定最终目标设备的检查项是否满足要求。
S1400、在目标设备各项配置信息比对分析完毕后,核查端调用各项检查内容情况写入系统数据表生成核查报告,其中的一个表为设备核查表,用于存放目标设备检查结果。
当用户发送查询目标设备核查情况请求时,核查端获取设备核查表内容提供用户确认。当部分下游应用需要使用目标设备核查报告作为输入参数时,同样也是通过设备核查表记录的内容作为基础数据,通过协商格式返回到下游应用中。
Claims (10)
1.一种高效的信息系统安全配置在线核查方法,其特征在于包括更新、匹配并获取、分析、输出步骤,具体包括:
A、更新:与核查服务端在线同步更新标准化安全配置核查信息至核查端;
B、匹配并获取:根据用户发送的核查请求,确定需要核查的设备为目标设备,在线获取目标设备的基础信息,根据目标设备的基础信息匹配对应的标准化安全配置核查信息,将已匹配的标准化安全配置核查信息发送给目标设备,然后获取目标设备返回的配置信息;
C、分析:将目标设备返回的配置信息与标准化安全配置核查信息中预设的安全配置标准进行比对分析;
D、输出:在目标设备各项配置信息比对分析完毕后,将分析的各项检查内容情况生成核查报告或推送到下游应用场景中。
2.根据权利要求1所述高效的信息系统安全配置在线核查方法,其特征在于所述标准化安全配置核查信息包括:
核查点,为标准化安全配置核查信息的最小基础单元,用于预设定核查代码、整改建议以及核查分析脚本和代码;
核查项,为标准化安全配置核查信息的基础单元,用于预设定多个核查点之间的关系,并决定目标设备的某一项标准是否符合要求;
核查模板,为标准化安全配置核查信息的最大基础单元,用于预设定区分不同设备之间的核查项之中的差异。
3.根据权利要求2所述高效的信息系统安全配置在线核查方法,其特征在于所述核查点中的核查代码以最简化及在目标设备最小计算量方式表达,并在所述核查分析脚本和代码中做精准计算与匹配;所述核查模板根据目标设备的操作系统类型及访问协议分类设置。
4.根据权利要求3所述高效的信息系统安全配置在线核查方法,其特征在于所述核查代码为发送给目标设备以执行安全检查项的代码,所述核查代码包括口令复杂度、关键服务状态、危险配置项;所述整改建议为对目标设备不满足安全配置标准的配置信息项,描述目标设备安全配置的标准配置方法;所述核查分析脚本和代码为目标设备执行核查代码的返回结果进行预设的处理脚本和代码。
5.根据权利要求3所述高效的信息系统安全配置在线核查方法,其特征在于所述B步骤包括如下分步骤:
B1、获取目标设备信息:根据用户发送的核查请求,确定需要核查的设备为目标设备,在线获取目标设备的操作系统类型及访问协议;
B2、匹配核查模板:根据目标设备的操作系统类型及访问协议,将目标设备通过手动或自动关联对应的核查模板;
B3、获取核查信息:将已关联的核查模板发送给目标设备执行核查,然后接收目标设备核查后返回的配置信息。
6.根据权利要求5所述高效的信息系统安全配置在线核查方法,其特征在于所述C步骤中,根据目标设备返回的配置信息,将核查模板中不同核查代码与相应的核查点进行关联,然后根据核查点预设的核查分析脚本和代码进行分析与处理,最后通过多个核查点的分析与处理,由检查项确定最终目标设备的检查项是否满足要求。
7.根据权利要求5所述高效的信息系统安全配置在线核查方法,其特征在于所述B2步骤后还进一步通过远程访问目标设备并发送核查代码,然后收集目标设备内的某个或者某些应用软件的关键配置;所述核查代码的发送均控制在一个会话内,目标设备运行核查代码返回包括未处理的核查内容。
8.一种高效的信息系统安全配置在线核查装置,其特征在于包括
第一通讯模块,用于在线同步更新核查服务端的标准化安全配置核查信息至核查端;
第二通讯模块,用于获取目标设备的基础信息,读取第一处理模块已匹配的标准化安全配置核查信息,通过标准访问协议发送到目标设备中运行;
第一处理模块,用于根据第二通讯模块获取的目标设备基础信息,匹配对应的标准化安全配置核查信息,以及用于接收目标设备运行标准化安全配置核查信息后返回的配置信息;
第二处理模块,用于根据第一模块内容提供一个特定的脚本和代码执行环境,根据第一处理模块接收的目标设备安全配置信息,以预设的分析脚本和代码分析出结果。
9.根据权利要求8所述高效的信息系统安全配置在线核查装置,其特征在于还包括第一输出模块,用于将多个第二处理模块处理后的内容进行汇总和确认,提示存在风险的安全配置项;第二处理模块执行后,第一输出模块通过处理结果统计目标设备的检查情况,通过web形式展示给用户确认。
10.根据权利要求8所述高效的信息系统安全配置在线核查装置,其特征在于还包括第二输出子模块,用于推送目标设备的核查情况到下游系统中,不同的下游业务系统按照与其约定好的数据格式主动推送,完成检查工作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910939147.XA CN110633571A (zh) | 2019-09-30 | 2019-09-30 | 一种高效的信息系统安全配置在线核查方法及核查装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910939147.XA CN110633571A (zh) | 2019-09-30 | 2019-09-30 | 一种高效的信息系统安全配置在线核查方法及核查装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110633571A true CN110633571A (zh) | 2019-12-31 |
Family
ID=68973519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910939147.XA Pending CN110633571A (zh) | 2019-09-30 | 2019-09-30 | 一种高效的信息系统安全配置在线核查方法及核查装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110633571A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113114487A (zh) * | 2021-03-29 | 2021-07-13 | 中盈优创资讯科技有限公司 | 城域网设备配置规范性的检查方法及装置 |
| CN113824717A (zh) * | 2021-09-18 | 2021-12-21 | 北京天融信网络安全技术有限公司 | 一种配置检查方法及装置 |
| CN114157572A (zh) * | 2021-11-29 | 2022-03-08 | 中国光大银行股份有限公司 | 一种安全配置核查系统及方法 |
| CN116739307A (zh) * | 2023-08-09 | 2023-09-12 | 广东电网有限责任公司 | 一种检定单元核查调度方法、系统、设备及存储介质 |
| CN117332458A (zh) * | 2023-09-27 | 2024-01-02 | 国网山东省电力公司聊城供电公司 | 基于多模式多系统引擎的安全配置核查方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368927A (zh) * | 2012-04-11 | 2013-10-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全配置核查设备和方法 |
| CN108900527A (zh) * | 2018-07-20 | 2018-11-27 | 南京方恒信息技术有限公司 | 一种安全配置核查系统 |
| CN109743195A (zh) * | 2018-12-11 | 2019-05-10 | 中国联合网络通信集团有限公司 | 一种安全基线的核查方法和装置 |
-
2019
- 2019-09-30 CN CN201910939147.XA patent/CN110633571A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368927A (zh) * | 2012-04-11 | 2013-10-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全配置核查设备和方法 |
| CN108900527A (zh) * | 2018-07-20 | 2018-11-27 | 南京方恒信息技术有限公司 | 一种安全配置核查系统 |
| CN109743195A (zh) * | 2018-12-11 | 2019-05-10 | 中国联合网络通信集团有限公司 | 一种安全基线的核查方法和装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113114487A (zh) * | 2021-03-29 | 2021-07-13 | 中盈优创资讯科技有限公司 | 城域网设备配置规范性的检查方法及装置 |
| CN113824717A (zh) * | 2021-09-18 | 2021-12-21 | 北京天融信网络安全技术有限公司 | 一种配置检查方法及装置 |
| CN114157572A (zh) * | 2021-11-29 | 2022-03-08 | 中国光大银行股份有限公司 | 一种安全配置核查系统及方法 |
| CN116739307A (zh) * | 2023-08-09 | 2023-09-12 | 广东电网有限责任公司 | 一种检定单元核查调度方法、系统、设备及存储介质 |
| CN117332458A (zh) * | 2023-09-27 | 2024-01-02 | 国网山东省电力公司聊城供电公司 | 基于多模式多系统引擎的安全配置核查方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110633571A (zh) | 一种高效的信息系统安全配置在线核查方法及核查装置 | |
| WO2019019636A1 (zh) | 用户身份识别方法、电子装置及计算机可读存储介质 | |
| CN108491304B (zh) | 电子装置、业务系统风险控制方法及存储介质 | |
| CN110766167B (zh) | 交互式特征选择方法、设备及可读存储介质 | |
| CN113360144B (zh) | 软件开发的辅助处理方法、设备、存储介质及程序产品 | |
| CN107133233B (zh) | 一种配置数据查询的处理方法及装置 | |
| CN111769638B (zh) | 操作票校验方法、装置、设备及存储介质 | |
| CN110910193B (zh) | 一种基于rpa技术的订单信息录入方法及其装置 | |
| CN110716843B (zh) | 系统故障分析处理方法、装置、存储介质及电子设备 | |
| CN112685077A (zh) | 数据修改方法、系统、计算机设备及计算机可读存储介质 | |
| CN110717315B (zh) | 系统数据批量修改方法、装置、存储介质及电子设备 | |
| US20170372237A1 (en) | System and method for producing models for asset management from requirements | |
| CN111553655A (zh) | 经办历史的展现方法及系统 | |
| CN111475526A (zh) | 基于oracle数据的时序数据转换方法、及其相关设备 | |
| US9239770B2 (en) | Apparatus and method for extracting restriction condition | |
| CN115062304A (zh) | 风险识别方法、装置、电子设备及可读存储介质 | |
| CN112232031A (zh) | 电力物联网边缘数据模型校验方法、装置及存储介质 | |
| CN108255629B (zh) | 断点数据获取方法及终端设备 | |
| CN115795322B (zh) | 铁路配置数据比对方法、装置、电子设备及存储介质 | |
| CN111813694B (zh) | 测试方法、测试装置、电子设备及可读存储介质 | |
| CN112926872B (zh) | 一种iso体系的系统管理方法 | |
| CN117891433A (zh) | 订单流程化管理系统及其运行方法和相关介质 | |
| CN115359488A (zh) | 票据信息获取方法、服务器、客户端以及可读存储介质 | |
| CN111711269A (zh) | 一种软压板状态的控制方法、装置、设备及存储介质 | |
| CN113821575A (zh) | 数据检核方法、装置、设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191231 |
|
| RJ01 | Rejection of invention patent application after publication |