CN112380533A - 一种计算机终端安全基线核查方法 - Google Patents

Abstract

本发明涉及计算机终端安全基线核查技术领域，更具体地，涉及一种计算机终端安全基线核查方法，包括计算机终端安全基线核查系统，系统包括：基线配置模块、基线检测模块、报表及统计模块；核查方法包括以下步骤：S1.建立基线检查项描述数据模型；S2.通过所述基线配置模块对所述基线检查项描述数据模型进行预处理，形成基线核查模型；S3.通过所述基线检测模块解析所述基线核查模型，然后基于解析后的基线核查模型对计算机终端进行基线检测，并生成基线检测结果；S4.将所述基线检测结果发送至报表及统计模块进行汇总及分析展示。本发明能够为用户提供方便、灵活、易用的检查项及其检查点配置的功能，保证了基线检查库的可定制性及扩展性。

Description

一种计算机终端安全基线核查方法

技术领域

本发明涉及计算机终端安全基线核查技术领域，更具体地，涉及一种计算机终端安全基线核查方法。

背景技术

随着互联网技术的广泛应用，各类网络安全事件层出不穷。对于企业来说，既要面临来自外部网络的安全威胁，更要防范来自企业内部网络的安全问题。为进一步强化企业内部计算机终端的安全管理，企业内部通常可采用部署AD域系统、计算机终端管理系统等管理手段，参照业界或企业内部制定的安全基线标准，对计算机终端下发相应的安全策略，确保计算机终端系统配置能满足最基本的安全保障要求。但在实际应用中，计算机终端往往不能100％响应下发的安全策略，甚至存在部分未入域或未受计算机终端管理系统管控的计算机终端，导致在计算机终端方面容易产生系统安全配置方面的漏洞，给计算机终端带来运行的风险。针对此类情况，大部分企业多采用人工核查、写脚本核查、部署终端基线核查系统等方式进行基线的核查检测，以发现计算机终端在系统配置方面存在的问题。但人工核查的方式工作量大且效率低下；写脚本核查的方式不便于根据基线检测需求进行定制、扩展；使用部署终端基线核查系统的方式对使用人员具有一定技术要求且十分复杂。

公开号为CN103905270A的中国专利文献，公开了一种智能电网andriod系统安全基线自动化检查系统及检查方法，能实现快速、准确的定义针对各种已知智能电网安卓智能移动终端设备的安全基线检查模板，大大提高了智能电网安卓智能移动终端设备的安全基线检查范围和新智能电网安卓智能移动终端设备安全基线检查模板制定的灵活性，快速的将安全基线检查任务下发到指定的智能电网安卓系统智能移动终端设备。

但上述方案无法对基线检查项目进行通用化描述，不便于用户查询相关信息。

发明内容

本发明的目的在于克服现有技术的不足，提供一种计算机终端安全基线核查方法，能够为用户提供方便、灵活、易用的检查项及其检查点配置的功能，保证了基线检查库的可定制性及扩展性。

为解决上述技术问题，本发明采用的技术方案是：

提供一种计算机终端安全基线核查方法，包括计算机终端安全基线核查系统，所述核查系统包括：基线配置模块、基线检测模块、报表及统计模块；

所述核查方法包括以下步骤：

S1.建立基线检查项描述数据模型；

S2.在步骤S1之后，通过所述基线配置模块对所述基线检查项描述数据模型进行预处理，形成基线核查模型；

S3.在步骤S2之后，通过所述基线检测模块解析所述基线核查模型，然后基于解析后的基线核查模型对计算机终端进行基线检测，并生成基线检测结果；

S4.在步骤S3之后，将所述基线检测结果发送至报表及统计模块进行汇总及分析展示。

本发明提供一种计算机终端安全基线核查方法，通过引入通用化的基线检查项描述数据模型，对基线检查项目进行统一的数据模型通用化描述，并基于此模型为用户提供方便、灵活、易用的检查项及其检查点配置的功能，保证了基线检查库的可定制性及扩展性。

进一步地，在步骤S1中，所述基线检查项描述数据模型由基线库、基线、基线检查项、检查点以树状结构进行构建。

进一步地，所述基线库由多个基线组成，所述基线由基线检查项集合组成。

进一步地，所述基线检查项集合由多个基线检查项组成，所述基线检查项由检查点集合组成。

进一步地，所述基线配置模块包括基线编辑组件、基线查看组件，所述步骤S2的具体步骤如下：

S21.通过基线编辑组件对所述基线检查项描述数据模型中各基线的属性进行编辑与存储，然后形成基线核查模型；

S22.在步骤S21之后，通过基线查看组件对所述基线核查模型进行可视化展示。

进一步地，在步骤S21中，所述基线核查模型为XML格式的基线检查项描述数据模型。

进一步地，所述基线检测模块包括模型解析组件、基线检查项检测组件、基线结果生成组件，所述步骤S3的具体步骤如下：

S31.通过模型解析组件提取所述基线核查模型中各基线的属性以及基线检查项集合，并进一步解析出基线检查项和基线检查项的属性，然后形成基线库数据结构体；

S32.在步骤S31之后，基线检查项检测组件根据所述基线库数据结构体，对每个基线中的基线检查项进行检测；

S33.在步骤S32之后，对不同的基线检查项，根据所述基线检查项的属性进行检查确认，然后生成基线检测结果；

S34.在步骤S33之后，通过基线结果生成组件对基线检测结果进行汇总，形成检测结果数据结构体。

进一步地，在步骤S31中，所述基线的属性包括基线类型、基线名称、基线描述；所述基线检查项的属性包括检查项ID、检查项名称、检查模式、适用系统版本、适用系统位数；其中，所述检查模式用于定义在进行基线检查项检测时对检查点的检查方式。

进一步地，在步骤S33中，针对计算机终端的不同基线检查项，根据其相对应的检查模式进行检查点的确认，然后生成基线检测结果。

进一步地，所述报表及统计模块包括检测结果解析组件、结果统计及展示组件，所述步骤S4的具体步骤如下：

S41.通过检测结果解析组件对所述基线检测结果进行解析，获取基线库中各基线检查项的检查结果；

S42.在步骤S41之后，通过结果统计及展示组件对各基线检查项的检查结果以表格形式进行统计及汇总展示。

与现有技术相比，本发明的有益效果是：

本发明提供一种计算机终端安全基线核查方法，引入通用化的基线检查项描述数据模型，对基线检查项目进行统一的数据模型通用化描述，并基于此模型为用户提供方便、灵活、易用的检查项及其检查点配置的功能，保证了基线检查库的可定制性及扩展性。本发明还能够提高终端安全基线核查工作的效率及准确率，并形成结构化的检测结果，有利于后续的结果汇总及分析工作的开展。

附图说明

图1为本发明一种计算机终端安全基线核查方法的流程图。

图2为本发明一种计算机终端安全基线核查系统的结构示意图。

图3为本发明基线库的组成示意图。

图4为本发明基线的属性构成示意图。

图5为本发明基线检查项属性构成示意图。

具体实施方式

下面结合具体实施方式对本发明作进一步的说明。其中，附图仅用于示例性说明，表示的仅是示意图，而非实物图，不能理解为对本专利的限制；为了更好地说明本发明的实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

本发明实施例的附图中相同或相似的标号对应相同或相似的部件；在本发明的描述中，需要理解的是，若有术语“上”、“下”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此附图中描述位置关系的用语仅用于示例性说明，不能理解为对本专利的限制，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

实施例1

如图1至图5所示为本发明一种计算机终端安全基线核查方法的第一实施例，包括计算机终端安全基线核查系统，核查系统包括：基线配置模块、基线检测模块、报表及统计模块。

核查方法包括以下步骤：

S1.建立基线检查项描述数据模型。

其中，基线检查项描述数据模型由基线库、基线、基线检查项、检查点四类实体以树状结构进行构建。基线库由多个基线组成，是所有基线的集合；基线由基线检查项集合组成，基线是一个特定类型的基线检查项集合，而基线检查项集合由多个基线检查项组成，基线检查项由检查点集合组成，检查点集合由多个检查点组成。

S2.在步骤S1之后，利用基线配置模块按基线检查项描述数据模型进行基线配置，形成基线核查模型。

其中，基线配置模块包括基线编辑组件、基线查看组件，步骤S2的具体步骤如下：

S21.通过基线编辑组件对基线检查项描述数据模型中各基线、基线检查项涉及的信息进行编辑，并按基线检查项描述数据模型、采用树状的保存结构进行保存，形成基线核查模型；其中，基线核查模型为XML格式的基线检查项描述数据模型；

S22.在步骤S21之后，基线查看组件能够为用户提供可视化的基线检查项配置界面，通过基线查看组件对基线核查模型进行可视化展示；基线查看组件与基线编辑组件通过基线库相关联。

S3.在步骤S2之后，通过基线检测模块解析基线核查模型，然后基于解析后的基线核查模型对计算机终端进行基线检测，并生成基线检测结果。

其中，基线检测模块包括模型解析组件、基线检查项检测组件、基线结果生成组件，三者由主线程依次调用完成基线检测工作，步骤S3的具体步骤如下：

S31.通过模型解析组件加载基线核查模型，然后提取基线核查模型中各基线的属性信息以及基线检查项集合信息，并进一步解析出基线检查项和基线检查项的属性信息，然后形成基线库数据结构体；基线库数据结构体与基线库相对应；

具体地，基线的属性信息包括基线类型、基线名称、基线描述；其中，基线类型包括但不限于：高危端口检测、黑名单软件检测、白名单软件检测、安全防护软件检测、多余服务检测、关键系统补丁检测、Windows功能检测、病毒特征库及补丁更新检测、账号检测、UKEY密码检测、自定义注册表键值检测。

还有，如图4和图5所示，基线检查项属于特定的某个基线，基线检查项的属性信息包括检查项ID、检查项名称、检查模式、适用系统版本、适用系统位数；检查项ID用于唯一标识基线检查项；检查点是某一基线检查项在检测时的一系列参考值，根据基线检查项的检查模式及检查点参考值，决定基线检查项是否通过检测；检查模式用于定义在进行基线检查项检测时对检查点的检查方式。

其中，检查模式包括但不限于：

(I)排除所有检查点：在该终端上不能包含所有列举的检查点值。例如在高危端口检测时，检查点为445、135、137、139等，则当检查点所列的端口全部不开放时，该基线检查项通过检测；

(II)包含所有检查点：在该终端上应包含所有列举的检查点值。例如在检查安全防护软件时，杀毒软件基线检查项检查点为进程A和进程B，则当终端上同时存在进程A和进程B时，该基线检查项通过检测；

(III)包含至少一个检查点：在该终端上应包含至少一个所列举的检查点值。例如在关键系统补丁检测时，补丁A基线检查项检查点为补丁编号a1和补丁编号a2，则当终端上已安装编号a1或编号a2的补丁时，该基线检查项通过检测；

(IV)仅能包含检查点：在该终端上应只能包含所列举的检查点值。例如管理员账号基线检查项，检查点为admin，则当终端上仅有admin一个管理员账号时，该基线检查项通过；

(V)结果需为空：要求在该终端上对应基线检查项输出应为空。例如在检测网络共享基线检查项时，若终端上不存在任何网络共享条目，则该基线检查项通过；

(VI)检查更新时间：要求在该终端上特定对象的更新时间小于特定值。例如在病毒库更新检测时，检查点包含病毒库文件路径及更新天数，当该病毒库文件更新时间小于更新天数时，则该基线检查项通过；

(VII)检查点表达式运算：可对所列举的检查点，按定义的运算表达式进行逻辑运算，从而判定基线检查项是否通过；该检查模式是对以上6种固定模式的补充，灵活性较大，支持对检查点进行与、或、非、包含、大小比较等多种逻辑运算方式。

S32.在步骤S31之后，基线检查项检测组件根据基线库数据结构体，对每个基线中的基线检查项进行检测；

S33.在步骤S32之后，针对计算机终端的不同基线检查项，根据其相对应的检查模式进行检查点的确认，然后生成基线检测结果；

例如，对于高危端口检测项，检查模式为排除所有检查点，检查点为445、135、137、139，则检测运算条件：【list[445,135,137,139]not in计算机开放的所有端口(All_PORTS)】，如果运算条件为真则，该检测项通过；

S34.在步骤S33之后，通过基线结果生成组件对基线检测结果进行汇总，形成检测结果数据结构体。

S4.在步骤S3之后，将基线检测结果发送至报表及统计模块进行汇总及分析展示。

实施例2

本实施例与实施例1类似，所不同之处在于，本实施例中，报表及统计模块包括检测结果解析组件、结果统计及展示组件，二者由主线程依次调用完成数据汇总及展示工作，步骤S4的具体步骤如下：

S41.通过检测结果解析组件对JSON字符串格式的检测结果数据结构体进行解析，获取基线库中各基线检查项的检查结果；

S42.在步骤S41之后，通过结果统计及展示组件对各基线检查项的检查结果以表格形式进行统计及汇总展示。

本发明提供标准化的计算机终端安全基线核查系统，将终端安全基线的检查项目、口径进行统一，能够提高终端安全基线核查工作的效率及准确率，形成结构化的检测结果，有利于后续的结果汇总及分析工作的开展。

本发明通过基线库、基线、基线检查项、检查点四类实体，对基线检查项目进行统一的数据模型通用化描述，为基线库定制自定义配置、基线自动检测及结果生成提供统一的数据模型支撑。基线配置模块结合基线检查项描述数据模型，为用户提供方便的检查项及其检查点配置的功能，通过选择不同的检查模式灵活支撑高危端口检测、黑名单软件检测、白名单软件检测、安全防护软件检测、多余服务检测、关键系统补丁检测、Windows功能检测、病毒特征库及补丁更新检测、账号检测、UKEY密码检测等类型的基线项定义及检测，极大地降低用户的技术门槛要求，能够解决现有基线核查系统难以支撑某些特定检查项的问题，例如，软件白名单、软件黑名单、杀毒软件病毒库版本、UKEY PIN码等。同时，在以上相对固定的基线项的基础上，提供自定义注册表键值检测的功能，配合检查点表达式运算检查模式，方便将对基线的检查转化对注册表键值的逻辑运算，保证了基线检查库的可定制性及扩展性。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。

Claims (10)

1.一种计算机终端安全基线核查方法，其特征在于，包括计算机终端安全基线核查系统，所述核查系统包括：基线配置模块、基线检测模块、报表及统计模块；

所述核查方法包括以下步骤：

S1.建立基线检查项描述数据模型；

S2.在步骤S1之后，通过所述基线配置模块对所述基线检查项描述数据模型进行预处理，形成基线核查模型；

S3.在步骤S2之后，通过所述基线检测模块解析所述基线核查模型，然后基于解析后的基线核查模型对计算机终端进行基线检测，并生成基线检测结果；

S4.在步骤S3之后，将所述基线检测结果发送至报表及统计模块进行汇总及分析展示。

2.根据权利要求1所述的计算机终端安全基线核查方法，其特征在于，在步骤S1中，所述基线检查项描述数据模型由基线库、基线、基线检查项、检查点以树状结构进行构建。

3.根据权利要求2所述的计算机终端安全基线核查方法，其特征在于，所述基线库由多个基线组成，所述基线由基线检查项集合组成。

4.根据权利要求3所述的计算机终端安全基线核查方法，其特征在于，所述基线检查项集合由多个基线检查项组成，所述基线检查项由检查点集合组成。

5.根据权利要求3所述的计算机终端安全基线核查方法，其特征在于，所述基线配置模块包括基线编辑组件、基线查看组件，所述步骤S2的具体步骤如下：

S21.通过基线编辑组件对所述基线检查项描述数据模型中各基线的属性进行编辑与存储，然后形成基线核查模型；

S22.在步骤S21之后，通过基线查看组件对所述基线核查模型进行可视化展示。

6.根据权利要求5所述的计算机终端安全基线核查方法，其特征在于，在步骤S21中，所述基线核查模型为XML格式的基线检查项描述数据模型。

7.根据权利要求4所述的计算机终端安全基线核查方法，其特征在于，所述基线检测模块包括模型解析组件、基线检查项检测组件、基线结果生成组件，所述步骤S3的具体步骤如下：

S31.通过模型解析组件提取所述基线核查模型中各基线的属性以及基线检查项集合，并进一步解析出基线检查项和基线检查项的属性，然后形成基线库数据结构体；

S32.在步骤S31之后，基线检查项检测组件根据所述基线库数据结构体，对每个基线中的基线检查项进行检测；

S33.在步骤S32之后，对不同的基线检查项，根据所述基线检查项的属性进行检查确认，然后生成基线检测结果；

S34.在步骤S33之后，通过基线结果生成组件对基线检测结果进行汇总，形成检测结果数据结构体。

8.根据权利要求7所述的计算机终端安全基线核查方法，其特征在于，在步骤S31中，所述基线的属性包括基线类型、基线名称、基线描述；所述基线检查项的属性包括检查项ID、检查项名称、检查模式、适用系统版本、适用系统位数；其中，所述检查模式用于定义在进行基线检查项检测时对检查点的检查方式。

9.根据权利要求7所述的计算机终端安全基线核查方法，其特征在于，在步骤S33中，针对计算机终端的不同基线检查项，根据其相对应的检查模式进行检查点的确认，然后生成基线检测结果。

10.根据权利要求4所述的计算机终端安全基线核查方法，其特征在于，所述报表及统计模块包括检测结果解析组件、结果统计及展示组件，所述步骤S4的具体步骤如下：

S41.通过检测结果解析组件对所述基线检测结果进行解析，获取基线库中各基线检查项的检查结果；

S42.在步骤S41之后，通过结果统计及展示组件对各基线检查项的检查结果以表格形式进行统计及汇总展示。

Images