CN111082968A - 网络设备安全配置合规性批量检查方法 - Google Patents
网络设备安全配置合规性批量检查方法 Download PDFInfo
- Publication number
- CN111082968A CN111082968A CN201911106745.5A CN201911106745A CN111082968A CN 111082968 A CN111082968 A CN 111082968A CN 201911106745 A CN201911106745 A CN 201911106745A CN 111082968 A CN111082968 A CN 111082968A
- Authority
- CN
- China
- Prior art keywords
- configuration
- network equipment
- configuration file
- file
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络设备安全配置合规性批量检查方法,包括以下步骤:(1)设置安全基线配置文件;(2)设置标准配置文件;(3)对网络设备配置变动进行检测;(4)网络设备配置变更审核,完成网络设备安全配置合规性检查。本发明的检查方法实现了所有网络交换机、路由器、防火墙等网络设备配置检查自动化比,对策略变更的情况,网络管理员可第一时间获取确认策略变更信息,核查准确率高,从而保障信息网络设备安全稳定运行。
Description
技术领域
本发明属于网络设备安全检测技术领域,具体涉及一种网络设备安全配置合规性批量检查方法。
背景技术
网络设备及部件是连接到网络中的物理实体,不论是局域网、城域网还是广域网,在物理上通常都是由网络设备和传输介质组成的。其中网络设备包括中继器、网桥、交换机、路由器、网关等基本网络设备及防火墙、防毒墙、入侵防御等网络安全设备。
网络设备的安全始终是信息网络安全的一个重要方面,如果网络设备本身的安全配置存在脆弱性,攻击者能够通过攻击控制网络设备来破坏系统和信息,严重时会导致信息泄露及网络出现大面积瘫痪。只有网络中所有结点都安全了,才能保证网络状况是安全的。通过构建有效的信息网络设备安全配置基线标准,并结合技术实现所有交换机、路由器、防火墙等网络设备策略变更情况的自动核查,能够提高各层级结点的有效安全防护,对提升企业信息系统安全稳定运行和保障安全生产具有重要意义。
然而,随着网络建设的不断发展,网络设备数量越来越多,设备品牌型号也越来越杂,导致设备安全配置方法各有不同,容易出现配置漏项、添项等错误;目前网络设备日常配置核查通常采用人工检查的方式,其不仅工作量巨大,而且效率低,容易出现检查漏项,无法确保严格执行网络配置安全设置要求;由于人工检查方式工作量大,容易导致管理员梳于检查,对网络设备安全现况缺乏了解,降低了网络安全防护能力。
发明内容
本发明的目的在于针对现有技术中存在的不足,提供了一种简单可行、检测效率高的网络设备安全配置合规性批量检查方法。
为了实现上述目的,本发明采用以下技术方案:
一种网络设备安全配置合规性批量检查方法,包括以下步骤:
(1)设置安全基线配置文件,即按照网络设备安全配置要求对网络设备设置对应的安全基线配置文件;
(2)设置标准配置文件,即使用步骤(1)中的安全基线配置文件对网络设备在运配置文件进行检测,对在运配置文件中不符合安全要求的配置项进行修改,确认在运配置文件的全部配置项符合安全要求后,将在运配置文件保存为网络设备的标准配置文件;
(3)对网络设备配置变动进行检测:
首先,获取网络设备的当前在运配置项,并且将其自动保存为网络设备的当前在运配置文件;
然后,每日定时使用步骤(2)的标准配置文件对自动保存的当前在运配置文件进行比较检测,生成检测结果文件,列出当前在运配置文件具体变动项;
(4)网络设备配置变更审核,即网络管理员通过检测结果文件对网络设备的当前在运配置变动项进行审核,如果变动项是需要保留的则将对标准配置文件进行更新,如果变动项是不需要保留的则考虑从网络设备的当前在运配置中删除或者延后处理;完成网络设备安全配置合规性检查。
本发明的优点:
1. 本发明实现了所有网络交换机、路由器、防火墙等网络设备配置规范化,避免出现配置漏项、添项等错误。
2. 本发明实现了所有网络交换机、路由器、防火墙等网络设备配置检查自动化比,对策略变更的情况,网络管理员可第一时间获取确认策略变更信息,从而保障信息网络设备安全稳定运行。
3. 本发明实现了所有网络交换机、路由器、防火墙等网络设备安全基线核查准确率100%,提高了信息系统安全防护水平。
4. 采用本发明的检查方法,任何人只需要查看该网络设备安全配置合规性批量检查工具生成的检测结果,便可获取网络设备配置安全状况,方便对网络进行安全加固,做好预防措施,保证网络设备的安全运行。
具体实施方式
以下结合实施例描述本发明,这些描述并不是对本发明内容作进一步的限定。
实施例:
一种网络设备安全配置合规性批量检查方法,包括以下步骤:
(1)设置安全基线配置文件,即按照网络设备安全配置要求对网络设备设置对应的安全基线配置文件;
(2)设置标准配置文件,即使用步骤(1)中的安全基线配置文件对网络设备在运配置文件进行检测,对在运配置文件中不符合安全要求的配置项进行修改,确认在运配置文件的全部配置项符合安全要求后,将在运配置文件保存为网络设备的标准配置文件;
(3)对网络设备配置变动进行检测:
首先,获取网络设备的当前在运配置项,并且将其自动保存为网络设备的当前在运配置文件;
然后,每日定时使用步骤(2)的标准配置文件对自动保存的当前在运配置文件进行比较检测,生成检测结果文件,列出当前在运配置文件具体变动项;
(4)网络设备配置变更审核,即网络管理员通过检测结果文件对网络设备的当前在运配置变动项进行审核,如果变动项是需要保留的则将对标准配置文件进行更新,如果变动项是不需要保留的则考虑从网络设备的当前在运配置中删除或者延后处理;完成网络设备安全配置合规性检查。
将上述实施例应用在XX供电局的实施流程:
1.根据网络设备安全配置要求,设置每种型号的网络设备对应的安全基线配置文件,保存在secure_base目录。文件名称格式为:设备类型-品牌型号.cfg。如华三3600交换机:SW-H3C3600.cfg。
2.使用安全基线配置文件对网络设备在运配置文件进行检测。
3.根据检测结果将在运配置文件中不符合安全要求的配置项全部修改后,作为各台网络设备的标准配置文件保存到standard文件夹,名称格式为:设备类型-公司-地点-楼层交换机序号-品牌型号.cfg,如XX局1号办公楼3楼3#交换机:SW-XXJ-BGL1-03F3-H3C3600.cfg。
4.设置网络设备将当前在运配置文件自动备份到cur目录。
5.设置windows计划任务,每日定时执行网络设备安全配置合规性批量检查工具程序。
6.每日定时通过网络设备安全配置合规性批量检查工具使用标准配置文件对保存的在运配置进行检测,比较标准配置文件与在运配置文件的MD5是否一致,如不一致使用xi_diff模块将标准配置文件与在运配置文件进行比较,生成检查结果文件。
7.网络管理员通过检查结果文件对网络设备在运配置进行审核,发现配置变动需要保留的,根据检查结果文件列出的变动位置更新到标准配置文件中,不需要保留的可以从设备在运配置中删除或延后处理。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
Claims (1)
1.一种网络设备安全配置合规性批量检查方法,其特征在于包括以下步骤:
(1)设置安全基线配置文件,即按照网络设备安全配置要求对网络设备设置对应的安全基线配置文件;
(2)设置标准配置文件,即使用步骤(1)中的安全基线配置文件对网络设备在运配置文件进行检测,对在运配置文件中不符合安全要求的配置项进行修改,确认在运配置文件的全部配置项符合安全要求后,将在运配置文件保存为网络设备的标准配置文件;
(3)对网络设备配置变动进行检测:
首先,获取网络设备的当前在运配置项,并且将其自动保存为网络设备的当前在运配置文件;
然后,每日定时使用步骤(2)的标准配置文件对自动保存的当前在运配置文件进行比较检测,生成检测结果文件,列出当前在运配置文件具体变动项;
(4)网络设备配置变更审核,即网络管理员通过检测结果文件对网络设备的当前在运配置变动项进行审核,如果变动项是需要保留的则将对标准配置文件进行更新,如果变动项是不需要保留的则考虑从网络设备的当前在运配置中删除或者延后处理;完成网络设备安全配置合规性检查。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911106745.5A CN111082968A (zh) | 2019-11-13 | 2019-11-13 | 网络设备安全配置合规性批量检查方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911106745.5A CN111082968A (zh) | 2019-11-13 | 2019-11-13 | 网络设备安全配置合规性批量检查方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111082968A true CN111082968A (zh) | 2020-04-28 |
Family
ID=70310874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911106745.5A Pending CN111082968A (zh) | 2019-11-13 | 2019-11-13 | 网络设备安全配置合规性批量检查方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111082968A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506351A (zh) * | 2014-12-18 | 2015-04-08 | 北京随方信息技术有限公司 | 在线全自动配置合规性安全审计方法及系统 |
| CN105228138A (zh) * | 2015-08-28 | 2016-01-06 | 广东电网有限责任公司信息中心 | 一种无线网络设备的安全性检测方法及系统 |
| CN106406295A (zh) * | 2016-12-02 | 2017-02-15 | 南京康尼机电股份有限公司 | 基于多工况的轨道交通车辆门系统故障诊断及预警方法 |
| CN106484838A (zh) * | 2016-09-30 | 2017-03-08 | 中国南方电网有限责任公司 | 基于数据挖掘的安全检查标准库动态更新方法 |
-
2019
- 2019-11-13 CN CN201911106745.5A patent/CN111082968A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506351A (zh) * | 2014-12-18 | 2015-04-08 | 北京随方信息技术有限公司 | 在线全自动配置合规性安全审计方法及系统 |
| CN105228138A (zh) * | 2015-08-28 | 2016-01-06 | 广东电网有限责任公司信息中心 | 一种无线网络设备的安全性检测方法及系统 |
| CN106484838A (zh) * | 2016-09-30 | 2017-03-08 | 中国南方电网有限责任公司 | 基于数据挖掘的安全检查标准库动态更新方法 |
| CN106406295A (zh) * | 2016-12-02 | 2017-02-15 | 南京康尼机电股份有限公司 | 基于多工况的轨道交通车辆门系统故障诊断及预警方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3297214B1 (en) | Systems and methods for automated determination of network device transiting data attributes | |
| US10922411B2 (en) | Intelligent event collection for cloud-based malware detection | |
| US9979695B2 (en) | Method, device, and system for monitoring a security network interface unit | |
| US10970396B2 (en) | Intelligent event collection for rolling back an endpoint state in response to malware | |
| CN104270467B (zh) | 一种用于混合云的虚拟机管控方法 | |
| CN107395395B (zh) | 安全防护系统的处理方法和装置 | |
| CN106850637B (zh) | 一种基于流量白名单的异常流量检测方法 | |
| Genge et al. | Experimental assessment of network design approaches for protecting industrial control systems | |
| Babay et al. | Deploying intrusion-tolerant scada for the power grid | |
| EP3493090A1 (en) | Control method and unit of mobile storage devices, and storage medium | |
| CN105224867A (zh) | 一种基于虚拟化环境下的主机安全加固方法 | |
| CN103593616A (zh) | 企业信息网络u盘病毒防控系统和方法 | |
| EP3767913A1 (en) | Systems and methods for correlating events to detect an information security incident | |
| US20210021613A1 (en) | Systems and methods for correlating events to detect an information security incident | |
| CN104702623A (zh) | Ip封锁方法及系统 | |
| CN108804248B (zh) | 一种卷实时保护数据的自动校验方法 | |
| US20180267889A1 (en) | System and method for altering application functionality | |
| CN111669371A (zh) | 一种适用于电力网络的网络攻击还原系统及方法 | |
| CN115361189A (zh) | 一种基于分布式防火墙安全策略智能管理的方法及系统 | |
| Morzhov et al. | Development and research of the PreFirewall network application for floodlight SDN controller | |
| EP2980697A1 (en) | System and method for altering a functionality of an application | |
| Dolezilek et al. | Cybersecurity based on IEC 62351 and IEC 62443 for IEC 61850 systems | |
| CN111082968A (zh) | 网络设备安全配置合规性批量检查方法 | |
| Paladi | Towards secure SDN policy management | |
| Lima et al. | BP-IDS: Using business process specification to leverage intrusion detection in critical infrastructures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200428 |