CN110855652A - 安全基线配置合规检测方法、装置、计算机设备及介质 - Google Patents
安全基线配置合规检测方法、装置、计算机设备及介质 Download PDFInfo
- Publication number
- CN110855652A CN110855652A CN201911071331.3A CN201911071331A CN110855652A CN 110855652 A CN110855652 A CN 110855652A CN 201911071331 A CN201911071331 A CN 201911071331A CN 110855652 A CN110855652 A CN 110855652A
- Authority
- CN
- China
- Prior art keywords
- baseline
- configuration
- safety
- target
- standard
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本申请公开了一种安全基线配置合规检测方法、装置、计算机设备及介质,涉及信息安全技术领域,该方法包括:获取待核查的至少一条目标安全基线;获取与每一条所述目标安全基线对应的合乎规定的标准安全基线;对于每一条所述标准安全基线,根据所述标准安全基线对配置参数进行核查,所述配置参数为所述标准安全基线对应的目标安全基线所需要核查的参数;对于每一条所述标准安全基线,当所述配置参数核查不通过时,将所述标准安全基线替换所述标准安全基线对应的目标安全基线。本申请实施例提供的方案可以实现自动化地对目标安全基线进行基线配置检测,不需要人工手动检测,从而可以提高检测安全基线的效率。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种安全基线配置合规检测方法、装置、计算机设备及介质。
背景技术
当前,人们对网络设备的使用频率越来越高,同时,网络设备中存储和关联的用户私密信息也越来越多,因此,用户对网络设备的安全性要求也越来越高。
现有技术通过在网络设备上配置安全基线来维护数据的安全,其中,安全基线是指网络设备上的信息系统要达到最基本的安全要求所需要满足的约定规则。但随着网络设备上的网络规模的扩展,网络设备上的参数配置越来越复杂,因此容易出现参数错配,导致安全基线的内容发生篡改,使得网络运行的安全性降低。
传统技术中,采用人工对安全基线进行检测,但人工检测效率低下,且容易发生遗漏的问题。
发明内容
基于此,有必要针对上述存在的人工检测效率低下,且容易发生遗漏的问题,提供一种安全基线配置合规检测方法、装置、计算机设备及介质。
第一方面,本申请实施例提供了一种安全基线配置合规检测方法,该方法包括:
获取待核查的至少一条目标安全基线;
获取与每一条目标安全基线对应的合乎规定的标准安全基线;
对于每一条标准安全基线,根据标准安全基线对配置参数进行核查,配置参数为标准安全基线对应的目标安全基线所需要核查的参数;
对于每一条标准安全基线,当配置参数核查不通过时,将标准安全基线替换标准安全基线对应的目标安全基线。
在其中一个实施例中,获取待核查的至少一条目标安全基线,包括:
获取待核查的网络设备的安全基线配置文件,安全基线配置文件包括多条安全基线;
从安全基线配置文件中获取待核查的至少一条目标安全基线。
在其中一个实施例中,获取与每一条目标安全基线对应的合乎规定的标准安全基线,包括:
获取每一条目标安全基线的标识;
对于每一条目标安全基线,根据目标安全基线的标识从合规基线配置库获取合乎规定的标准安全基线,合规基线配置库包括多个用于生成标准安全基线的合乎规定的合规基线配置项。
在其中一个实施例中,根据目标安全基线的标识从合规基线配置库获取合乎规定的标准安全基线,包括:
根据目标安全基线的标识获取目标安全基线对应的至少一个基线配置项的子标识;
根据目标安全基线对应的至少一个基线配置项的子标识从合规基线配置库中获取子标识对应的目标合规基线配置项;
利用目标合规基线配置项生成标准安全基线。
在其中一个实施例中,该方法还包括:当配置参数核查不通过时,生成安全告警指示信息。
在其中一个实施例中,根据标准安全基线对配置参数进行核查,包括:
当配置参数与标准安全基线不匹配时,配置参数核查不通过;
当配置参数与标准安全基线匹配时,配置参数核查通过。
在其中一个实施例中,目标安全基线的标识包括核查对象、核查类型和核查项。
第二方面,本申请实施例提供了一种安全基线配置合规检测装置,该装置包括:
第一获取模块,用于获取待核查的至少一条目标安全基线;
第二获取模块,用于获取与每一条目标安全基线对应的合乎规定的标准安全基线;
核查模块,用于对于每一条标准安全基线,根据标准安全基线对配置参数进行核查,配置参数为标准安全基线对应的目标安全基线所需要核查的参数;
处理模块,用于对于每一条标准安全基线,当配置参数核查不通过时,将标准安全基线替换标准安全基线对应的目标安全基线。
第三方面,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该计算机程序被该处理器执行时实现上述第一方面的方法的步骤。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面的方法的步骤。
本申请实施例提供的技术方案带来的有益效果至少包括:
网络设备的服务器(以下简称服务器)可以获取待核查的至少一条目标安全基线,并获取与每一条目标安全基线对应的合乎规定的标准安全基线;对于每一条标准安全基线,服务器可以根据标准安全基线对配置参数进行核查,其中,配置参数是该标准安全基线对应的目标安全基线所需要核查的参数。对于每一条标准案件基线,当配置参数核查不通过时,则将该标准安全基线替换该标准安全基线对应的目标安全基线。本申请实施例中,配置参数是通过了目标安全基线的审核,并作为历史信息记录下来的参数,当配置参数核查不通过时,表示配置参数不符合标准安全基线的要求。此时,说明目标安全基线相对于标准安全基线发生了变化,即目标安全基线发生了篡改,因此将该标准安全基线替换该标准安全基线对应的目标安全基线,实现对目标安全基线的修改。本申请实施例提供的方案可以实现自动化地对目标安全基线进行基线配置检测,不需要人工手动检测,从而可以提高检测安全基线的效率。
附图说明
图1为本申请实施例提供的安全基线配置合规检测方法的实施环境的示意图;
图2为本申请实施例提供的安全基线配置合规检测方法的另一种实施环境的示意图;
图3为本申请实施例提供的一种安全基线配置合规检测方法的流程图;
图4为本申请实施例提供的另一种安全基线配置合规检测方法的流程图;
图5为本申请实施例提供的另一种安全基线配置合规检测方法的流程图;
图6为本申请实施例提供的一种安全基线配置合规检测装置的框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
随着计算机软件信息技术的快速发展,网络安全问题成为当前社会的重点关注问题。现代社会中,人们对网络设备的使用率越来越高,网络设备中存储和关联的用户私密信息也越来越多,然而处于互联网中的网络设备常常会受到网络攻击,为保证数据安全,人们对网络设备的安全性要求也越来越高。
现有技术通过在网络设备上配置安全基线来维护数据的安全,其中,安全基线是指网络设备上的信息系统要达到最基本的安全要求所需要满足的约定规则。但随着网络设备上的网络规模的扩展,网络设备上的参数配置越来越复杂,因此容易出现参数错配,导致安全基线的内容发生篡改,使得网络运行的安全性降低。
有鉴于此,周期性地对安全基线进行基线配置检测是非常有必要的。现有方案中,一般采用人工方式进行基线配置检测,因此基线配置检测不够智能化,而且人工检测效率低,容易发生遗漏的问题。
本申请实施例提供一种安全基线配置合规检测方法、装置、计算机设备及介质,可以自动化地进行基线配置检测,提高工作效率。该安全基线配置合规检测方法中,网络设备的服务器(以下简称服务器)可以获取待核查的至少一条目标安全基线,并获取与每一条目标安全基线对应的合乎规定的标准安全基线;对于每一条标准安全基线,服务器可以根据标准安全基线对配置参数进行核查,其中,配置参数是该标准安全基线对应的目标安全基线所需要核查的参数。对于每一条标准案件基线,当配置参数核查不通过时,则将该标准安全基线替换该标准安全基线对应的目标安全基线。本申请实施例中,配置参数是通过了目标安全基线的审核,并作为历史信息记录下来的参数,当配置参数核查不通过时,表示配置参数不符合标准安全基线的要求。此时,说明目标安全基线相对于标准安全基线发生了变化,即目标安全基线发生了篡改,因此将该标准安全基线替换该标准安全基线对应的目标安全基线,实现对目标安全基线的修改。本申请实施例提供的方案可以实现自动化地对目标安全基线进行基线配置检测,不需要人工手动检测,从而可以提高检测安全基线的效率。
下面,将对本申请实施例提供的安全基线配置合规检测方法所涉及到的实施环境进行简要说明。
请参考图1,图1是本申请实施例提供的安全基线配置合规检测方法所涉及到的一种实施环境的示意图,该实施环境可以如图1所示,包括在服务器上安装有安全基线检测程序的网络设备(图1中示出了一台电脑),其中,安全基线检测程序可以被网络设备的服务器调用以采用本申请实施例提供的安全基线配置合规检测方法对网络设备的信息系统的安全基线进行检测。
可选的,本申请实施例中,用户通过配置参数成功登录信息系统之后,网络设备可以记录下用户登录信息系统所输入的配置参数,形成历史登录数据。网络设备可以从历史登录数据中读取配置参数。
可选的,网络设备可以是路由器、电脑以及交换机等。
请参考图2,提供一种网络设备的服务器(以下简称为服务器),该服务器的内部结构图可以如图2所示,该服务器包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该服务器的处理器用于提供计算和控制能力。该服务器的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该服务器的数据库用于存储合规基线配置库。该服务器的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种安全基线配置合规检测方法。
图2中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的终端的限定,具体的终端可以包括比图2中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
请参考图3,其示出了本申请实施例提供的一种安全基线配置合规检测方法的流程图,该安全基线配置合规检测方法可以应用于图2所示的服务器中。如图3所示,该安全基线配置合规检测方法可以包括以下步骤:
步骤301、服务器获取待核查的至少一条目标安全基线。
本申请实施例中,网络设备的信息系统中可以存储有该网络设备的安全基线配置文件,安全基线配置文件中包括多条在网络设备的信息系统上已经配置好的安全基线。该些安全基线的作用是对网络设备的信息系统的各项配置参数进行审核,审核通过,则用户可以根据配置参数登录网络设备的信息系统。审核不通过,则用户无法登录网络设备的信息系统。其中配置参数可以是:密码、账号或者信息系统所开放的端口信息等。
相应的,本申请实施例中,服务器获取待核查的至少一条目标安全基线的过程可以包括步骤A1-A2:
A1、服务器获取待核查的网络设备的安全基线配置文件。
可选的,服务器可以周期性地获取网络设备的安全基线配置文件。
可选的,服务器可以接收到外部终端发送的基线配置检测指令,并根据基线配置检测指令获取网络设备的安全基线配置文件。
A2、服务器从安全基线配置文件中获取待核查的至少一条目标安全基线。
本申请实施例中,目标安全基线为安全配置文件中的多条安全基线中的任意一个。
步骤302、服务器获取与每一条目标安全基线对应的合乎规定的标准安全基线。
本申请实施例中,合乎规定的标准安全基线是指符合《电信网和互联网安全防护基线配置要求以及检测要求》规定的基线。
一般而言,当目标安全基线没有篡改时,目标安全基线的内容应当与标准安全基线的内容一致。例如目标安全基线A对应的标准安全基线A’的内容为:账号密码不能为弱密码。那么该目标安全基线A的内容也应该为:账号密码不能为弱密码。
本申请实施例中,对于每一条目标安全基线,如图4所示,服务器获取与目标安全基线对应的合乎规定的标准安全基线的过程可以包括以下步骤:
步骤401、服务器获取每一条目标安全基线的标识。
其中,目标安全基线的标识可以是目标安全基线的名称和/或编号。可选的,目标安全基线的名称可以是账号口令、日志安全、协议安全以及其他业务类型的安全,在此不做穷举。
可选的,当目标安全基线的标识为目标安全基线的编号时,目标安全基线的标识可以包括核查对象、核查类型和核查项。例如:目标安全基线的编号为NE-账号口令-01,其中,NE代表所检测的网络设备,账号口令为基线名称,01为账号口令的一个检查项。
步骤402、对于每一条目标安全基线,服务器根据目标安全基线的标识从合规基线配置库获取合乎规定的标准安全基线。
本申请实施例中,可以根据《电信网和互联网安全防护基线配置要求以及检测要求》的规定,预先建立正确的安全基线名称、安全基线编号以及安全基线的正则表达式等内容,其中,安全基线名称、安全基线编号以及安全基线的正则表达式等内容分别构成基线配置项,且为符合《电信网和互联网安全防护基线配置要求以及检测要求》规定的合规基线配置项,该些合规基线配置项可以构成合规基线配置库。
在一种可选的实现方式中,合规基线配置库中还可以存储有安全基线的标识与合规基线配置项的对应关系。
服务器可以根据目标安全基线的标识以及上述对应关系,从合规基线配置库中获取该目标安全基线对应的目标合规基线配置项,并基于目标合规基线配置项获得标准安全基线。
在另一种可选的实现方式中,对于每一条目标安全基线,如图5所示,服务器根据目标安全基线的标识从合规基线配置库获取合乎规定的标准安全基线的过程可以包括以下步骤:
步骤501、服务器可以根据目标安全基线的标识获取目标安全基线对应的至少一个基线配置项的子标识。
其中,目标安全基线可以由一个或者多个基线配置项组成。为了便于与目标安全基线的标识进行区分,本申请实施例中,将基线配置项的标识定义为子标识。
例如,目标安全基线B的标识为NE-账号口令-01,那么目标安全基线B对应的基线配置项的子标识可以是NE、账号口令和01。
步骤502、服务器可以根据目标安全基线对应的至少一个基线配置项的子标识从合规基线配置库中获取子标识对应的目标合规基线配置项。
例如,服务器可以根据子标识NE从合规基线配置库中获取子标识NE对应的基线配置项,举例而言,子标识“NE”对应的目标合规基线配置项可以是:不允许存在弱密码。子标识“账号口令”对应的目标基线配置项可以是:账号密码。子标识“01”对应的目标基线配置项可以是:使用时间不大于3个月。其中,弱密码即容易被破译的密码,多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名等,例如“123456”、“abc123”、“Michael”等。
本申请实施例中,从合规基线配置库中根据目标安全基线对应的至少一个基线配置项的子标识选择出来的合规基线配置项为目标合规基线配置项。
步骤503、服务器可以根据目标基线配置项生成标准安全基线。
承接上文举例,服务器可以根据获取的三个目标基线配置项:“不允许存在弱密码”“账号密码”“使用时间不大于3个月”生成标准安全基线。
例如,生成的标准安全基线的内容可以是:帐号不允许存在弱密码、帐号的使用时间不大于3个月的有效期。
本申请实施例中,对于每一条目标安全基线,服务器可以获得一条标准安全基线。
步骤303、对于每一条标准安全基线,服务器根据标准安全基线对配置参数进行核查。
可选的,配置参数可以是账号、密码和信息系统所开放的端口信息。配置参数为标准安全基线对应的目标安全基线所需要核查的参数。
当目标安全基线核查配置参数,配置参数通过核查,则登录成功。当目标安全基线核查配置参数,配置参数未通过核查,则登录不成功。本申请实施例中,服务器可以从历史记录数据中获取配置参数,即服务器获取的配置参数是用户成功登录时输入的参数,也即是通过了目标安全基线核查的参数。
可选的,获取的配置参数可以是用户最近一次登录信息系统所输入的配置参数。例如,服务器获取用户最近一次登录信息系统所输入的密码。
在一种可选的实现方式中,服务器可以通过检测配置参数与标准安全基线是否匹配来对配置参数进行核查。具体的,当配置参数与标准安全基线不匹配时,配置参数核查不通过;当配置参数与标准安全基线匹配时,配置参数核查通过。
举例而言,例如:标准安全基线M的内容是:帐号不允许存在弱密码和帐号的使用时间不大于3个月的有效期。服务器获取的配置参数M为:123456,配置参数N的使用时间为2个月。
服务器可以判断配置参数N是否为弱密码和配置参数N的使用时间是否大于3个月。判断结果为:配置参数N为弱密码,使用时间不大于3个月。也就是说,配置参数N与标准安全基线M不匹配,因此配置参数核查不通过。
相应的,例如:服务器获取的配置参数H为:123/MCH_456,配置参数N的使用时间为2个月。在这种情况下,相对于标准安全基线M,服务器可以判断配置参数H是否为弱密码,配置参数H的使用时间是否大于3个月。判断结果为:配置参数H不为弱密码,使用时间不大于2个月。也即配置参数H与标准安全基线M匹配,因此配置参数核查通过。
步骤304、对于每一条标准安全基线,当配置参数核查不通过时,服务器将标准安全基线替换为标准安全基线对应的目标安全基线。
本申请实施例中,配置参数核查不通过表示:配置参数不能通过标准安全基线的核查,但却可以通过目标安全基线的核查。这种情况表名,目标安全基线发生了篡改。基于此,本申请实施例中,服务器可以用标准安全基线替换该标准安全基线对应的目标安全基线。
例如,目标安全基线L的标识为:NE-账号口令-01,根据目标安全基线L的标识获取的标准安全基线L’与目标安全基线L相对应。
当配置参数核查不通过时,服务器可以将标准安全基线L’替换目标安全基线L。通过修改目标安全基线,使得目标安全基线的实质内容与标准安全基线一致,从而实现了对目标安全基线进行基线检测配置的目的。
可选的,当配置参数核查不通过时,服务器可以生成安全告警指示信息。
可选的,服务器可以将安全告警指示信息通过即时通讯工具发送给管理人员持有的终端设备。即时通讯工具可以是QQ、微信、MSN以及邮件等信息。
需要说明的是,本申请实施例中,配置参数核查通过表示配置参数符合通过标准安全基线,默认为目标安全基线与标准安全基线一致,在此情况下,服务器无需处理,可以进行下一条目标安全基线的检测。
本申请实施例提供的安全基线配置合规检测方法,可以自动化地进行基线配置检测,提高工作效率。该安全基线配置合规检测方法中,网络设备的服务器(以下简称服务器)可以获取待核查的至少一条目标安全基线,并获取与每一条目标安全基线对应的合乎规定的标准安全基线;对于每一条标准安全基线,服务器可以根据标准安全基线对配置参数进行核查,其中,配置参数是该标准安全基线对应的目标安全基线所需要核查的参数。对于每一条标准案件基线,当配置参数核查不通过时,则将该标准安全基线替换该标准安全基线对应的目标安全基线。本申请实施例中,配置参数是通过了目标安全基线的审核,并作为历史信息记录下来的参数,当配置参数核查不通过时,表示配置参数不符合标准安全基线的要求。此时,说明目标安全基线相对于标准安全基线发生了变化,即目标安全基线发生了篡改,因此将该标准安全基线替换该标准安全基线对应的目标安全基线,实现对目标安全基线的修改。本申请实施例提供的方案可以实现自动化地对目标安全基线进行基线配置检测,不需要人工手动检测,从而可以提高检测安全基线的效率。
请参考图6,其示出了本申请实施例提供的一种安全基线配置合规检测装置的框图,该安全基线配置合规检测装置可以配置在图2所示实施环境中的服务器中。如图6所示,该安全基线配置合规检测装置可以包括第一获取模块601、第二获取模块602、核查模块603和处理模块603,其中:
第一获取模块601,用于获取待核查的至少一条目标安全基线;
第二获取模块602,用于获取与每一条目标安全基线对应的合乎规定的标准安全基线;
核查模块603,用于对于每一条标准安全基线,根据标准安全基线对配置参数进行核查,配置参数为标准安全基线对应的目标安全基线所需要核查的参数;
处理模块604,用于对于每一条标准安全基线,当配置参数核查不通过时,将标准安全基线替换标准安全基线对应的目标安全基线。
在本申请的一个实施例中,第一获取模块601还用于获取待核查的网络设备的安全基线配置文件,安全基线配置文件包括多条安全基线;从安全基线配置文件中获取待核查的至少一条目标安全基线。
在本申请的一个实施例中,第二获取模块602还用于获取每一条目标安全基线的标识;对于每一条目标安全基线,根据目标安全基线的标识从合规基线配置库获取合乎规定的标准安全基线,合规基线配置库包括多个用于生成标准安全基线的合乎规定的合规基线配置项。
在本申请的一个实施例中,第二获取模块602还用于根据目标安全基线的标识获取目标安全基线对应的至少一个基线配置项的子标识;根据目标安全基线对应的至少一个基线配置项的子标识从合规基线配置库中获取子标识对应的目标合规基线配置项;利用目标合规基线配置项生成标准安全基线。
在本申请的一个实施例中,处理模块604还用于当配置参数核查不通过时,生成安全告警指示信息。
在本申请的一个实施例中,核查模块603还用于当配置参数与标准安全基线不匹配时,配置参数核查不通过;
当配置参数与标准安全基线匹配时,配置参数核查通过。
在本申请的一个实施例中,目标安全基线的标识包括核查对象、核查类型和核查项。
在本申请的一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
获取待核查的至少一条目标安全基线;获取与每一条目标安全基线对应的合乎规定的标准安全基线;对于每一条标准安全基线,根据标准安全基线对配置参数进行核查,配置参数为标准安全基线对应的目标安全基线所需要核查的参数;对于每一条标准安全基线,当配置参数核查不通过时,将标准安全基线替换标准安全基线对应的目标安全基线。
在本申请的一个实施例中,处理器执行计算机程序时还可以实现以下步骤:获取待核查的网络设备的安全基线配置文件,安全基线配置文件包括多条安全基线;从安全基线配置文件中获取待核查的至少一条目标安全基线。
在本申请的一个实施例中,处理器执行计算机程序时还可以实现以下步骤:获取每一条目标安全基线的标识;对于每一条目标安全基线,根据目标安全基线的标识从合规基线配置库获取合乎规定的标准安全基线,合规基线配置库包括多个用于生成标准安全基线的合乎规定的合规基线配置项。
在本申请的一个实施例中,处理器执行计算机程序时还可以实现以下步骤:根据目标安全基线的标识获取目标安全基线对应的至少一个基线配置项的子标识;根据目标安全基线对应的至少一个基线配置项的子标识从合规基线配置库中获取子标识对应的目标合规基线配置项;利用目标合规基线配置项生成标准安全基线。
在本申请的一个实施例中,处理器执行计算机程序时还可以实现以下步骤:当配置参数核查不通过时,生成安全告警指示信息。
在本申请的一个实施例中,处理器执行计算机程序时还可以实现以下步骤:当配置参数与标准安全基线不匹配时,配置参数核查不通过;当配置参数与标准安全基线匹配时,配置参数核查通过。
在本申请的一个实施例中,处理器执行计算机程序时还可以实现以下步骤:目标安全基线的标识包括核查对象、核查类型和核查项。
本申请实施例提供的计算机设备,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
在本申请的一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取待核查的至少一条目标安全基线;获取与每一条目标安全基线对应的合乎规定的标准安全基线;对于每一条标准安全基线,根据标准安全基线对配置参数进行核查,配置参数为标准安全基线对应的目标安全基线所需要核查的参数;对于每一条标准安全基线,当配置参数核查不通过时,将标准安全基线替换标准安全基线对应的目标安全基线。
在本申请的一个实施例中,计算机程序被处理器执行时还可以实现以下步骤:获取待核查的网络设备的安全基线配置文件,安全基线配置文件包括多条安全基线;从安全基线配置文件中获取待核查的至少一条目标安全基线。
在本申请的一个实施例中,计算机程序被处理器执行时还可以实现以下步骤:获取每一条目标安全基线的标识;对于每一条目标安全基线,根据目标安全基线的标识从合规基线配置库获取合乎规定的标准安全基线,合规基线配置库包括多个用于生成标准安全基线的合乎规定的合规基线配置项。
在本申请的一个实施例中,计算机程序被处理器执行时还可以实现以下步骤:根据目标安全基线的标识获取目标安全基线对应的至少一个基线配置项的子标识;根据目标安全基线对应的至少一个基线配置项的子标识从合规基线配置库中获取子标识对应的目标合规基线配置项;利用目标合规基线配置项生成标准安全基线。
在本申请的一个实施例中,计算机程序被处理器执行时还可以实现以下步骤:当配置参数核查不通过时,生成安全告警指示信息。
在本申请的一个实施例中,计算机程序被处理器执行时还可以实现以下步骤:当配置参数与标准安全基线不匹配时,配置参数核查不通过;当配置参数与标准安全基线匹配时,配置参数核查通过。
在本申请的一个实施例中,计算机程序被处理器执行时还可以实现以下步骤:目标安全基线的标识包括核查对象、核查类型和核查项。
本申请实施例提供的计算机可读存储介质,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种安全基线配置合规检测方法,其特征在于,所述方法包括:
获取待核查的至少一条目标安全基线;
获取与每一条所述目标安全基线对应的合乎规定的标准安全基线;
对于每一条所述标准安全基线,根据所述标准安全基线对配置参数进行核查,所述配置参数为所述标准安全基线对应的目标安全基线所需要核查的参数;
对于每一条所述标准安全基线,当所述配置参数核查不通过时,将所述标准安全基线替换所述标准安全基线对应的目标安全基线。
2.根据权利要求1所述的方法,其特征在于,所述获取待核查的至少一条目标安全基线,包括:
获取待核查的网络设备的安全基线配置文件,所述安全基线配置文件包括多条安全基线;
从所述安全基线配置文件中获取所述待核查的至少一条目标安全基线。
3.根据权利要求1所述的方法,其特征在于,所述获取与每一条所述目标安全基线对应的合乎规定的标准安全基线,包括:
获取每一条所述目标安全基线的标识;
对于每一条所述目标安全基线,根据所述目标安全基线的标识从合规基线配置库获取合乎规定的所述标准安全基线,所述合规基线配置库包括多个用于生成所述标准安全基线的合乎规定的合规基线配置项。
4.根据权利要求3所述的方法,其特征在于,所述根据所述目标安全基线的标识从合规基线配置库获取合乎规定的所述标准安全基线,包括:
根据所述目标安全基线的标识获取所述目标安全基线对应的至少一个基线配置项的子标识;
根据所述目标安全基线对应的至少一个基线配置项的子标识从所述合规基线配置库中获取所述子标识对应的目标合规基线配置项;
利用所述目标合规基线配置项生成所述标准安全基线。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述配置参数核查不通过时,生成安全告警指示信息。
6.根据权利要求1所述的方法,其特征在于,所述根据所述标准安全基线对配置参数进行核查,包括:
当所述配置参数与所述标准安全基线不匹配时,所述配置参数核查不通过;
当所述配置参数与所述标准安全基线匹配时,所述配置参数核查通过。
7.根据权利要求3所述的方法,其特征在于,所述目标安全基线的标识包括核查对象、核查类型和核查项。
8.一种安全基线配置合规检测装置,其特征在于,所述装置包括:
第一获取模块,用于获取待核查的至少一条目标安全基线;
第二获取模块,用于获取与每一条所述目标安全基线对应的合乎规定的标准安全基线;
核查模块,用于对于每一条所述标准安全基线,根据所述标准安全基线对配置参数进行核查,所述配置参数为所述标准安全基线对应的目标安全基线所需要核查的参数;
处理模块,用于对于每一条所述标准安全基线,当所述配置参数核查不通过时,将所述标准安全基线替换所述标准安全基线对应的目标安全基线。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911071331.3A CN110855652A (zh) | 2019-11-05 | 2019-11-05 | 安全基线配置合规检测方法、装置、计算机设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911071331.3A CN110855652A (zh) | 2019-11-05 | 2019-11-05 | 安全基线配置合规检测方法、装置、计算机设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110855652A true CN110855652A (zh) | 2020-02-28 |
Family
ID=69598452
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911071331.3A Pending CN110855652A (zh) | 2019-11-05 | 2019-11-05 | 安全基线配置合规检测方法、装置、计算机设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110855652A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111767549A (zh) * | 2020-07-09 | 2020-10-13 | 中国工商银行股份有限公司 | 检测方法和装置 |
| CN113625686A (zh) * | 2021-07-29 | 2021-11-09 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于工业控制协议的安全基线核查系统及方法 |
| CN113791973A (zh) * | 2021-08-23 | 2021-12-14 | 湖北省农村信用社联合社网络信息中心 | 基于农信系统的兼容性基线检测方法及系统 |
| CN114629690A (zh) * | 2022-02-24 | 2022-06-14 | 广东电网有限责任公司 | 设备安全基线合规检测方法、装置和计算机设备 |
| CN114915431A (zh) * | 2021-01-29 | 2022-08-16 | 中移(苏州)软件技术有限公司 | 一种状态检测方法、节点、系统以及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104346574A (zh) * | 2014-10-23 | 2015-02-11 | 武汉大学 | 基于配置规范的主机安全配置漏洞自动修复方法及系统 |
| CN106559249A (zh) * | 2015-09-30 | 2017-04-05 | 中国联合网络通信集团有限公司 | 检查安全基线的方法及装置 |
| CN107194256A (zh) * | 2017-03-21 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 安全资产基线加固方法及装置 |
| CN109743195A (zh) * | 2018-12-11 | 2019-05-10 | 中国联合网络通信集团有限公司 | 一种安全基线的核查方法和装置 |
-
2019
- 2019-11-05 CN CN201911071331.3A patent/CN110855652A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104346574A (zh) * | 2014-10-23 | 2015-02-11 | 武汉大学 | 基于配置规范的主机安全配置漏洞自动修复方法及系统 |
| CN106559249A (zh) * | 2015-09-30 | 2017-04-05 | 中国联合网络通信集团有限公司 | 检查安全基线的方法及装置 |
| CN107194256A (zh) * | 2017-03-21 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 安全资产基线加固方法及装置 |
| CN109743195A (zh) * | 2018-12-11 | 2019-05-10 | 中国联合网络通信集团有限公司 | 一种安全基线的核查方法和装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111767549A (zh) * | 2020-07-09 | 2020-10-13 | 中国工商银行股份有限公司 | 检测方法和装置 |
| CN111767549B (zh) * | 2020-07-09 | 2023-09-05 | 中国工商银行股份有限公司 | 检测方法和装置 |
| CN114915431A (zh) * | 2021-01-29 | 2022-08-16 | 中移(苏州)软件技术有限公司 | 一种状态检测方法、节点、系统以及存储介质 |
| CN114915431B (zh) * | 2021-01-29 | 2024-05-24 | 中移(苏州)软件技术有限公司 | 一种状态检测方法、节点、系统以及存储介质 |
| CN113625686A (zh) * | 2021-07-29 | 2021-11-09 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于工业控制协议的安全基线核查系统及方法 |
| CN113791973A (zh) * | 2021-08-23 | 2021-12-14 | 湖北省农村信用社联合社网络信息中心 | 基于农信系统的兼容性基线检测方法及系统 |
| CN113791973B (zh) * | 2021-08-23 | 2022-09-06 | 湖北省农村信用社联合社网络信息中心 | 基于农信系统的兼容性基线检测方法及系统 |
| CN114629690A (zh) * | 2022-02-24 | 2022-06-14 | 广东电网有限责任公司 | 设备安全基线合规检测方法、装置和计算机设备 |
| CN114629690B (zh) * | 2022-02-24 | 2023-12-29 | 广东电网有限责任公司 | 设备安全基线合规检测方法、装置和计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110855652A (zh) | 安全基线配置合规检测方法、装置、计算机设备及介质 | |
| CN110460571B (zh) | 业务系统漏洞处理方法、装置、计算机设备和存储介质 | |
| CN109474578B (zh) | 报文消息校验方法、装置、计算机设备和存储介质 | |
| CN108573371B (zh) | 数据审批方法、装置、计算机设备和存储介质 | |
| CN109446068B (zh) | 接口测试方法、装置、计算机设备和存储介质 | |
| CN111191281A (zh) | 数据脱敏处理方法、装置、计算机设备及存储介质 | |
| CN110489415B (zh) | 一种数据更新方法及相关设备 | |
| CN110083384B (zh) | 应用程序编程接口创建方法以及装置 | |
| CN108924258B (zh) | 后台信息推送方法、装置、计算机设备和存储介质 | |
| CN110798446B (zh) | 邮件批量授权方法、装置、计算机设备及存储介质 | |
| WO2019144548A1 (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN109542734A (zh) | 事件处理方法、装置、计算机设备及存储介质 | |
| CN110750766B (zh) | 权限验证方法、装置、计算机设备和存储介质 | |
| CN111124421B (zh) | 区块链智能合约的异常合约数据检测方法和装置 | |
| CN111125748A (zh) | 越权查询的判断方法、装置、计算机设备和存储介质 | |
| CN110083782A (zh) | 电子保单的查看方法、装置、计算机设备和存储介质 | |
| CN112199441B (zh) | 基于大数据平台的数据同步处理方法、装置、设备及介质 | |
| CN111752819B (zh) | 一种异常监控方法、装置、系统、设备和存储介质 | |
| CN112860549A (zh) | 一种测试样本的获取方法及装置 | |
| CN112613893A (zh) | 一种用户恶意注册识别方法、系统、设备及介质 | |
| CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| CN110460585B (zh) | 设备身份识别方法、装置、计算机设备以及存储介质 | |
| CN110162941A (zh) | 一种终端登录信息保存方法 | |
| CN111708795B (zh) | 对象标识生成方法、更新方法、装置、计算机设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200228 |