CN113824717A - 一种配置检查方法及装置 - Google Patents

一种配置检查方法及装置 Download PDF

Info

Publication number
CN113824717A
CN113824717A CN202111101522.7A CN202111101522A CN113824717A CN 113824717 A CN113824717 A CN 113824717A CN 202111101522 A CN202111101522 A CN 202111101522A CN 113824717 A CN113824717 A CN 113824717A
Authority
CN
China
Prior art keywords
configuration
standard
data
checked
configuration data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111101522.7A
Other languages
English (en)
Other versions
CN113824717B (zh
Inventor
郭立春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111101522.7A priority Critical patent/CN113824717B/zh
Publication of CN113824717A publication Critical patent/CN113824717A/zh
Application granted granted Critical
Publication of CN113824717B publication Critical patent/CN113824717B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Stored Programmes (AREA)

Abstract

本申请提供一种配置检查方法及装置,应用于网络安全领域,方法包括:获取待检查实例的第一目标配置数据;对第一目标配置数据进行标准化处理,得到标准数据格式的第二目标配置数据;将第二目标配置数据与配置标准规则进行比对,以对待检查实例的配置进行检查;其中,配置标准规则根据标准配置数据以及策略模型生成。在上述方案中,可以直接根据预先得到的标准配置数据以及预先定义好的策略模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。

Description

一种配置检查方法及装置
技术领域
本申请涉及网络安全领域,具体而言,涉及一种配置检查方法及装置。
背景技术
随着信息化建设的不断发展,设备配置不当造成的后果越发严重,基于此,各检查机构和企业陆续发布出台了各自的配置核查标准,例如:工信部、金融、电信、电力能源等行业。而基于配置核查标准提出的信息安全等级保护,作为我国当前信息系统安全保护工作的重要工作,也是信息安全建设体系中最重要的部分。其中,信息系统包括主机(包括终端和服务器)、网络设备、存储设备、安全设备以及各种应用系统,等级保护对上述信息系统的身份鉴别、访问控制、安全审计、数据安全等多个层面做了要求。
现有技术中,一般需要通过人工编写设备或者应用软件的配置标准规则,以达到对设备或者应用软件的配置标准规则进行预置的目的,然后将设备或者应用软件的配置数据与上述配置标准规则进行分析比较,最终得出设备或者应用软件的配置是否符合规则。但是,通过人工编写配置标准规则效率慢且对编写人员的专业性要求较高。
发明内容
本申请实施例的目的在于提供一种配置检查方法及装置,用以解决通过人工编写配置标准规则效率慢且对编写人员的专业性要求较高的技术问题。
为了实现上述目的,本申请实施例所提供的技术方案如下所示:
第一方面,本申请实施例提供一种配置检查方法,包括:获取待检查实例的第一目标配置数据;对所述第一目标配置数据进行标准化处理,得到标准数据格式的第二目标配置数据;将所述第二目标配置数据与配置标准规则进行比对,以对所述待检查实例的配置进行检查;其中,所述配置标准规则根据预先得到的标准配置数据以及预先定义好的策略模型生成。在上述方案中,可以直接根据预先得到的标准配置数据以及预先定义好的策略模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,在所述获取待检查实例的第一目标配置数据之前,所述方法还包括:获取所述标准配置数据以及所述策略模型;根据所述标准配置数据以及所述策略模型生成所述配置标准规则。在上述方案中,可以获取标准配置数据以及策略模型,并基于标准配置数据以及测量模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,所述获取所述标准配置数据以及所述策略模型,包括:获取待检查配置范围;根据所述待检查配置范围确定所述标准配置数据以及所述策略模型。在上述方案中,可以首先获取需要对待检查实例进行检查的范围,即待检查配置范围,从而可以根据待检查配置范围确定标准配置数据以及策略模型,因此可以提高生成配置标准规则的效率。
在本申请的可选实施例中,所述根据所述待检查配置范围确定所述标准配置数据,包括:根据所述待检查配置范围确定待配置数据;为标准实例配置所述待配置数据;采集所述标准实例上的待配置数据,得到所述标准配置数据。在上述方案中,可以根据待检查配置范围确定待配置数据,并通过直接在标准实例上配置上述待配置数据,得到对应的标准配置数据。其中,由于直接通过采集配置好的标准配置数据,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,所述根据所述待检查配置范围确定所述策略模型,包括:根据所述待检查配置范围确定检查属性;根据所述检查属性生成所述策略模型。在上述方案中,可以根据待检查配置属性确定检查属性,从而生成策略模型。其中,由于直接生成策略模型,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,所述策略模型包括第一配置属性名称以及与所述第一配置属性名称对应的验证模式和验证偏向,所述标准配置数据包括第二配置属性名称以及与所述第二配置属性名称对应的实际配置值。在上述方案中,策略模型中可以包括属性名称、验证模式以及验证偏向,从而可以直接基于标准配置数据以及测量模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,所述根据所述标准配置数据以及所述策略模型生成所述配置标准规则,包括:将所述第一配置属性名称与所述第二配置属性名称进行匹配;在所述第一配置属性名称与所述第二配置属性名称匹配一致后,根据与所述第一配置属性名称对应的验证模式和验证偏向,以及与所述第二配置属性名称对应的实际配置值生成所述配置标准规则。在上述方案中,可以通过匹配配置属性名称,将标准配置数据以及策略模型对应起来,从而生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,所述验证模式包括数值比较、字符匹配以及日期比较,所述验证偏向包括负向、正向以及无偏向。
第二方面,本申请实施例提供一种配置检查装置,包括:第一获取模块,用于获取待检查实例的第一目标配置数据;处理模块,用于对所述第一目标配置数据进行标准化处理,得到标准数据格式的第二目标配置数据;比对模块,用于将所述第二目标配置数据与配置标准规则进行比对,以对所述待检查实例的配置进行检查;其中,所述配置标准规则根据预先得到的标准配置数据以及预先定义好的策略模型生成。在上述方案中,可以直接根据预先得到的标准配置数据以及预先定义好的策略模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,所述配置检查装置还包括:第二获取模块,用于获取所述标准配置数据以及所述策略模型;生成模块,用于根据所述标准配置数据以及所述策略模型生成所述配置标准规则。在上述方案中,可以获取标准配置数据以及策略模型,并基于标准配置数据以及测量模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,所述获第二获取模块具体用于:获取待检查配置范围;根据所述待检查配置范围确定所述标准配置数据以及所述策略模型。在上述方案中,可以首先获取需要对待检查实例进行检查的范围,即待检查配置范围,从而可以根据待检查配置范围确定标准配置数据以及策略模型,因此可以提高生成配置标准规则的效率。
在本申请的可选实施例中,所述获第二获取模块还用于:根据所述待检查配置范围确定待配置数据;为标准实例配置所述待配置数据;采集所述标准实例上的待配置数据,得到所述标准配置数据。在上述方案中,可以根据待检查配置范围确定待配置数据,并通过直接在标准实例上配置上述待配置数据,得到对应的标准配置数据。其中,由于直接通过采集配置好的标准配置数据,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,所述获第二获取模块还用于:根据所述待检查配置范围确定检查属性;根据所述检查属性生成所述策略模型。在上述方案中,可以根据待检查配置属性确定检查属性,从而生成策略模型。其中,由于直接生成策略模型,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,所述策略模型包括第一配置属性名称以及与所述第一配置属性名称对应的验证模式和验证偏向,所述标准配置数据包括第二配置属性名称以及与所述第二配置属性名称对应的实际配置值。在上述方案中,策略模型中可以包括属性名称、验证模式以及验证偏向,从而可以直接基于标准配置数据以及测量模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,所述生成模块具体用于:将所述第一配置属性名称与所述第二配置属性名称进行匹配;在所述第一配置属性名称与所述第二配置属性名称匹配一致后,根据与所述第一配置属性名称对应的验证模式和验证偏向,以及与所述第二配置属性名称对应的实际配置值生成所述配置标准规则。在上述方案中,可以通过匹配配置属性名称,将标准配置数据以及策略模型对应起来,从而生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
在本申请的可选实施例中,所述验证模式包括数值比较、字符匹配以及日期比较,所述验证偏向包括负向、正向以及无偏向。
第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如第一方面中的配置检查方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如第一方面中的配置检查方法。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举本申请实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种配置检查方法的流程图;
图2为本申请实施例提供的确定标准配置数据的具体实施方式的流程图;
图3为本申请实施例提供的确定策略模型的具体实施方式的流程图;
图4为本申请实施例提供的一种配置检查装置的结构框图;
图5为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图1,图1为本申请实施例提供的一种配置检查方法的流程图,该配置检查方法应用于电子设备,可以包括如下内容:
步骤S101:获取待检查实例的第一目标配置数据。
步骤S102:对第一目标配置数据进行标准化处理,得到标准数据格式的第二目标配置数据。
步骤S103:将第二目标配置数据与配置标准规则进行比对,以对待检查实例的配置进行检查;其中,配置标准规则根据预先得到的标准配置数据以及预先定义好的策略模型生成。
具体的,待检查实例指需要进行配置检查的设备或者应用软件。可以理解的是,根据应用场景的不同,待检查实例的数量可以为一个或者多个,本申请实施例对待检查实例的数量并不作具体的限定。举例来说,当需要对一个企业中所有员工的电脑进行配置检查时,待检查实例则指该企业中的所有电脑,数量为多个。
每一待检查实例上都有相应的配置,由于需要对其配置进行检查,因此电子设备首先可以获取待检查实例的第一目标配置数据。可以理解的是,电子设备获取的待检查实例的第一目标配置数据可以包括该待检查实例中的所有配置,也可以包括该待检查实例中的部分配置。
当第一目标配置数据包括该待检查实例中的部分配置时,作为一种实施方式,电子设备可以根据预先确定的配置范围获取该待检查实例中的部分配置;作为另一种实施方式,用户可以通过电子设备选择该待检查实例中的部分配置,以使电子设备获取到仅为选择到的部分配置。
然后,电子设备可以对第一目标配置数据进行标准化处理,得到标准数据格式的第二目标配置数据。其中,本申请实施例对标准化处理的具体实现方式以及标准数据格式的具体形式均不作具体的限定,本领域技术人员同样可以根据不同的应用场景进行合适的调整。例如:标准数据格式可以为TABLE格式、JSON格式、XML格式等;标准化处理的实现方式可以为通过正则化对数据进行解析、通过解析工具对数据进行解析等。
电子设备在得到第二目标配置数据之后,可以通过将第二目标配置数据与配置标准规则进行比对,实现对待检查实例的配置进行检查的目的。上述实施例中的配置标准规则可以根据预先得到的标准配置数据以及预先定义好的策略模型生成。其中,确定标准配置数据和策略模型,以及根据标准配置数据和策略模型生成配置标准规则的具体实施方式将在后续实施例中进行详细的说明,此处暂不介绍。
可以理解的是,根据生成的配置标准规则的不同,电子设备比对第二目标配置数据与配置标准规则的方式可能不同。作为一种实施方式,可以采用一一比对的方式,即将第二目标配置数据中的每一项配置数据与配置标准规则中对应的配置数据进行比较;作为另一种实施方式,也可以采用一对多、多对一或者多对多的方式,本申请实施例对此不作具体的限定。
除此之外,根据生成的配置标准规则的不同,电子设备对待检查实例进行检查后判断待检查实例是否合格的条件也不同。举例来说,当电子设备通过比对确定第二目标配置数据与配置标准规则一致时,可以认为该待检查实例合格;或者,当电子设备同构比对确定第二目标配置数据满足配置标准规则中的要求时,可以认为该待检查实例合格等。
在上述方案中,可以直接根据预先得到的标准配置数据以及预先定义好的策略模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
进一步的,在上述步骤S101之前,本申请实施例提供的配置检查方法还可以包括如下内容:
获取标准配置数据以及策略模型。
根据标准配置数据以及策略模型生成配置标准规则。
具体的,电子设备获取标准配置数据以及策略模型的方式有多种。举例来说,可以接收其他设备发送的标准配置数据以及策略模型;或者,可以从云端服务器中读取预先存储的标准配置数据以及策略模型;或者,可以自己确定标准配置数据以及策略模型等,本申请实施例对此不作具体的限定。
可以理解的是,电子设备获取标准配置数据以及策略模型的方式可以是相同的,也可以是不同的;电子设备可以同时获取标准配置数据以及策略模型,也可以不同时获取标准配置数据以及策略模型。本申请实施例对此同样不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整。
然后,电子设备可以根据获取到的标准配置数据以及策略模型生成对应的配置标准规则。
在上述方案中,可以获取标准配置数据以及策略模型,并基于标准配置数据以及测量模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
进一步的,上述获取标准配置数据以及策略模型的步骤可以包括如下内容:
获取待检查配置范围。
根据待检查配置范围确定标准配置数据以及策略模型。
具体的,与上述获取标准配置数据以及策略模型的实施例类似,电子设备获取待检查配置范围的方式也有多种。举例来说,可以接收其他设备发送的待检查配置范围;或者,可以从云端服务器中读取预先存储的待检查配置范围;或者,可以自己确定待检查配置范围等,本申请实施例对此同样不作具体的限定。
以电子设备自己确定待检查配置范围为例,电子设备可以实现对需要进行配置检查的待检查实例的配置进行圈定,确定需要进行配置检查的配置范围内各项配置的内容以及具体的检查要求。
进一步的以账户策略下的密码策略为例,电子设备确定的待检查配置范围中的内容可以包括密码复杂性要求、密码长度最小值、密码最短使用期限、密码最长使用期限、强制密码历史属性,电子设备确定的待检查配置范围中的具体检查要求可以包括密码符合复杂性要求、密码长度最小值为10、密码最短使用期限为2天、密码最长使用期限为90天、强制密码历史属性为5个记住的密码。
请参照表1,表1为本申请实施例提供的一种待检查配置范围的示意表。可以看出,在表1中,待检查配置范围包括账户策略下的密码策略中的密码复杂性要求(属性名称为MinimumPasswordLength,数据类型为数字)、密码长度最小值(属性名称为PasswordComplexity,数据类型为布尔)、密码最短使用期限(属性名称为MinimumPasswordAge,数据类型为数字)、密码最长使用期限(属性名称为MaximumPasswordAge,数据类型为数字)、强制密码历史属性(属性名称为PasswordHistorySize,数据类型为数字)。
表1一种待检查配置范围的示意表
配置范围 属性名称 数据类型
密码策略 MinimumPasswordLength 数字
密码策略 PasswordComplexity 布尔
密码策略 MaximumPasswordAge 数字
密码策略 MinimumPasswordAge 数字
密码策略 PasswordHistorySize 数字
然后,电子设备可以上述步骤中确定的待检查配置范围确定标准配置数据以及策略模型。
在上述方案中,可以首先获取需要对待检查实例进行检查的范围,即待检查配置范围,从而可以根据待检查配置范围确定标准配置数据以及策略模型,因此可以提高生成配置标准规则的效率。
进一步的,请参照图2,图2为本申请实施例提供的确定标准配置数据的具体实施方式的流程图,上述根据待检查配置范围确定标准配置数据的步骤可以包括以下内容:
步骤S201:根据待检查配置范围确定待配置数据。
步骤S202:为标准实例配置待配置数据。
步骤S203:采集标准实例上的待配置数据,得到标准配置数据。
具体的,电子设备在获取到待检查配置范围之后,可以根据待检查配置范围确定待配置数据,并将确定的待配置数据配置在标准实例上。其中,待配置数据包括需要配置在标准实例上的数据内容以及数据具体检查要求。
标准实例为多个待检查实例中的一个实例。作为一种实施方式,可以任选一个待检查实例作为标准实例;作为另一种实施方式,也可以根据一定的条件选择一个待检查实例作为标准实例,举例来说:多个待检查实例为一个企业中的多台电脑,可以选择企业主管的电脑作为标准实例。
以上述实施例中的密码符合复杂性要求、密码长度最小值为10、密码最短使用期限为2天、密码最长使用期限为90天、强制密码历史属性为5个记住的密码为例,需要配置在标准实例上的数据内容包括密码复杂性要求、密码长度最小值、密码最短使用期限、密码最长使用期限、强制密码历史属性,需要配置在标准实例上的数据具体检查要求包括密码符合复杂性要求、密码长度最小值为10、密码最短使用期限为2天、密码最长使用期限为90天、强制密码历史属性为5个记住的密码。
也就是说,需要在标准实例上将密码复杂性要求配置为密码符合复杂性要求、将密码长度的最小值配置为10、将密码最短使用期限配置为2天、将密码最长使用期限配置为90天、将强制密码历史属性配置为5个记住的密码。这样,再采集标准实例上的待配置数据,便可以得到标准配置数据。其中,标准配置数据可以包括第二配置属性名称以及与第二配置属性名称对应的实际配置值。
作为一种实施方式,可以通过远程登录到标准实例并执行命令,来实现对标准实例上的标准配置数据的采集。
在上述方案中,可以根据待检查配置范围确定待配置数据,并通过直接在标准实例上配置上述待配置数据,得到对应的标准配置数据。其中,由于直接通过采集配置好的标准配置数据,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
进一步的,请参照图3,图3为本申请实施例提供的确定策略模型的具体实施方式的流程图,上述根据待检查配置范围确定策略模型的步骤可以包括以下内容:
步骤S301:根据待检查配置范围确定检查属性。
步骤S302:根据检查属性生成策略模型。
具体的,电子设备在获取到待检查配置范围之后,可以根据待检查配置范围确定检查属性,然后根据检查属性生成对应的策略模型。其中,策略模型包括需要进行检查的配置的数据内容以及数据具体检查要求。
同样以上述实施例中的密码符合复杂性要求、密码长度最小值为10、密码最短使用期限为2天、密码最长使用期限为90天、强制密码历史属性为5个记住的密码为例,策略模型的数据内容包括密码复杂性要求、密码长度最小值、密码最短使用期限、密码最长使用期限、强制密码历史属性,策略模型的数据具体检查要求包括密码符合复杂性要求、密码长度最小值为10、密码最短使用期限为2天、密码最长使用期限为90天、强制密码历史属性为5个记住的密码。
也就是说,根据策略模型需要判断待检查实例上的配置数据是否符合密码复杂性要求、密码长度最小值是否大于10、密码最短使用期限是否大于2天、密码最长使用期限是否小于90天、强制密码历史属性是否为5个记住的密码。
作为一种实施方式,策略模型可以包括第一配置属性名称以及与第一配置属性名称对应的验证模式和验证偏向,而验证模式又可以包括数值比较、字符匹配以及日期比较,验证偏向又可以包括负向、正向以及无偏向。
其中,数值比较指对数值大小进行比较,结果有多种情况,例如:等于、大于等于、小于等于;字符匹配指对字符的一致性就行匹配,结果有多种情况,例如:“A”==“A”;日期比较指对日期数据进行比较,结果有多种情况,例如:等于、大于等于、小于等于。
验证偏向可以包含正向、负向以及无几种情况。具体的,验证偏向可以主要用于数值比较以及日期比较的场景,以及需要生成大于等于或小于等于的规则来设定的情况,例如:登录密码长度需要生成大于等于某个值的规则而不是小于等于的规则。其中,验证偏向可以包含正向、负向以及无几种情况,正向是指生成大于等于的规则,负向是指生成小于等于的规则,无是指生成相等比较的规则。
请参照表2,表2为本申请实施例提供的一种策略模型的示意表。可以看出,在表2中,策略模型包括属性名称、验证模式以及验证偏向。其中,属性名称为MinimumPasswordLength的验证模式为数值比较、验证偏向为正向;属性名称为PasswordComplexity的验证模式为字符匹配、验证偏向为无;属性名称为MaximumPasswordAge的验证模式为字符匹配、验证偏向为无;属性名称为MinimumPasswordAge的验证模式为日期比较、验证偏向为正向。
表2一种策略模型的示意表
属性名称 验证模式 验证偏向
MinimumPasswordLength 数值比较 正向
PasswordComplexity 字符匹配
MaximumPasswordAge 字符匹配
MinimumPasswordAge 日期比较 正向
在上述方案中,可以根据待检查配置属性确定检查属性,从而生成策略模型。其中,由于直接生成策略模型,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
进一步的,上述根据标准配置数据以及策略模型生成配置标准规则的步骤可以包括如下步骤:
将第一配置属性名称与第二配置属性名称进行匹配。
在第一配置属性名称与第二配置属性名称匹配一致后,根据与第一配置属性名称对应的验证模式和验证偏向,以及与第二配置属性名称对应的实际配置值生成配置标准规则。
具体的,电子设备可以以配置属性名称为关联依据,将标准配置数据以及策略模型关联起来,从而得到配置标准规则。也就是说,电子设备可以将标准配置数据中的第二配置属性名称以及策略模型中的第一配置属性名称进行匹配,当匹配到一致的配置属性名称时,可以将与第一配置属性名称对应的验证模式和验证偏向,和与第二配置属性名称对应的实际配置值关联起来,从而形成配置标准规则。
举例来说,第一配置属性名称为MinimumPasswordLength,其对应的验证模式和验证偏向分别为数值比较以及正向;第二配置属性名称为MinimumPasswordLength,其对应的实际配置值为10。由于两者的配置属性名称一致,因此将两者关联起来,形成检查登录密码最小长度必须大于等于10的规则。
请参照表3,表3为本申请实施例提供的一种配置标准规则的示意表。可以看出,在表3中,配置属性名称为MinimumPasswordLength对应的规则为检查登录密码最小长度必须大于等于10;配置属性名称为PasswordComplexity对应的规则为检查登录密码内容设置是否开启复杂度配置,密码需满足复杂度要求,密码要包含特殊符合、大小字、数字等;配置属性名称为MaximumPasswordAge对应的规则为检查登录密码最大可使用的时长是否大于等于90;配置属性名称为MinimumPasswordAge对应的规则为配置属性名称为检查登录密码最小使用期间是否小于等于2;PasswordHistorySize对应的规则为检查是否设备了登录密码记录历史次数是否大于等于5。
表3一种配置标准规则的示意表
Figure BDA0003271109450000171
Figure BDA0003271109450000181
在上述方案中,可以通过匹配配置属性名称,将标准配置数据以及策略模型对应起来,从而生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
请参照图4,图4为本申请实施例提供的一种配置检查装置的结构框图,该配置检查装置400可以包括:第一获取模块401,用于获取待检查实例的第一目标配置数据;处理模块402,用于对所述第一目标配置数据进行标准化处理,得到标准数据格式的第二目标配置数据;比对模块403,用于将所述第二目标配置数据与配置标准规则进行比对,以对所述待检查实例的配置进行检查;其中,所述配置标准规则根据预先得到的标准配置数据以及预先定义好的策略模型生成。
在本申请实施例中,可以直接根据预先得到的标准配置数据以及预先定义好的策略模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
进一步的,所述配置检查装置400还包括:第二获取模块,用于获取所述标准配置数据以及所述策略模型;生成模块,用于根据所述标准配置数据以及所述策略模型生成所述配置标准规则。
在本申请实施例中,可以获取标准配置数据以及策略模型,并基于标准配置数据以及测量模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
进一步的,所述获第二获取模块具体用于:获取待检查配置范围;根据所述待检查配置范围确定所述标准配置数据以及所述策略模型。
在本申请实施例中,可以首先获取需要对待检查实例进行检查的范围,即待检查配置范围,从而可以根据待检查配置范围确定标准配置数据以及策略模型,因此可以提高生成配置标准规则的效率。
进一步的,所述获第二获取模块还用于:根据所述待检查配置范围确定待配置数据;为标准实例配置所述待配置数据;采集所述标准实例上的待配置数据,得到所述标准配置数据。
在本申请实施例中,可以根据待检查配置范围确定待配置数据,并通过直接在标准实例上配置上述待配置数据,得到对应的标准配置数据。其中,由于直接通过采集配置好的标准配置数据,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
进一步的,所述获第二获取模块还用于:根据所述待检查配置范围确定检查属性;根据所述检查属性生成所述策略模型。
在本申请实施例中,可以根据待检查配置属性确定检查属性,从而生成策略模型。其中,由于直接生成策略模型,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
进一步的,所述策略模型包括第一配置属性名称以及与所述第一配置属性名称对应的验证模式和验证偏向,所述标准配置数据包括第二配置属性名称以及与所述第二配置属性名称对应的实际配置值。
在本申请实施例中,策略模型中可以包括属性名称、验证模式以及验证偏向,从而可以直接基于标准配置数据以及测量模型生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
进一步的,所述生成模块具体用于:将所述第一配置属性名称与所述第二配置属性名称进行匹配;在所述第一配置属性名称与所述第二配置属性名称匹配一致后,根据与所述第一配置属性名称对应的验证模式和验证偏向,以及与所述第二配置属性名称对应的实际配置值生成所述配置标准规则。
在本申请实施例中,可以通过匹配配置属性名称,将标准配置数据以及策略模型对应起来,从而生成配置标准规则,并根据配置标准规则对待检查实例的第一目标配置数据进行检查。其中,由于无需通过人工编写配置标准规则,而是直接生成配置标准规则,因此可以提高生成配置标准规则的效率,并且可以降低对编写人员的专业性要求。
进一步的,所述验证模式包括数值比较、字符匹配以及日期比较,所述验证偏向包括负向、正向以及无偏向。
请参照图5,图5为本申请实施例提供的一种电子设备的结构框图,该电子设备500包括:至少一个处理器501,至少一个通信接口502,至少一个存储器503和至少一个通信总线504。其中,通信总线504用于实现这些组件直接的连接通信,通信接口502用于与其他节点设备进行信令或数据的通信,存储器503存储有处理器501可执行的机器可读指令。当电子设备500运行时,处理器501与存储器503之间通过通信总线504通信,机器可读指令被处理器501调用时执行上述配置检查方法。
例如,本申请实施例的处理器501通过通信总线504从存储器503读取计算机程序并执行该计算机程序可以实现如下方法:步骤S101:获取待检查实例的第一目标配置数据。步骤S102:对第一目标配置数据进行标准化处理,得到标准数据格式的第二目标配置数据。步骤S103:将第二目标配置数据与配置标准规则进行比对,以对待检查实例的配置进行检查;其中,配置标准规则根据预先得到的标准配置数据以及预先定义好的策略模型生成。
处理器501可以是一种集成电路芯片,具有信号处理能力。上述处理器501可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器503可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
可以理解,图5所示的结构仅为示意,电子设备500还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备500可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备500也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。于本申请实施例中,配置检查方法中的设备端可以采用图5示出的电子设备500实现。
本申请实施例还提供一种计算机程序产品,包括存储在非暂态计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令被计算机执行时,计算机能够执行上述实施例中配置检查方法的步骤,例如包括:获取待检查实例的第一目标配置数据;对所述第一目标配置数据进行标准化处理,得到标准数据格式的第二目标配置数据;将所述第二目标配置数据与配置标准规则进行比对,以对所述待检查实例的配置进行检查;其中,所述配置标准规则根据预先得到的标准配置数据以及预先定义好的策略模型生成。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (11)

1.一种配置检查方法,其特征在于,包括:
获取待检查实例的第一目标配置数据;
对所述第一目标配置数据进行标准化处理,得到标准数据格式的第二目标配置数据;
将所述第二目标配置数据与配置标准规则进行比对,以对所述待检查实例的配置进行检查;其中,所述配置标准规则根据预先得到的标准配置数据以及预先定义好的策略模型生成。
2.根据权利要求1所述的配置检查方法,其特征在于,在所述获取待检查实例的第一目标配置数据之前,所述方法还包括:
获取所述标准配置数据以及所述策略模型;
根据所述标准配置数据以及所述策略模型生成所述配置标准规则。
3.根据权利要求2所述的配置检查方法,其特征在于,所述获取所述标准配置数据以及所述策略模型,包括:
获取待检查配置范围;
根据所述待检查配置范围确定所述标准配置数据以及所述策略模型。
4.根据权利要求3所述的配置检查方法,其特征在于,所述根据所述待检查配置范围确定所述标准配置数据,包括:
根据所述待检查配置范围确定待配置数据;
为标准实例配置所述待配置数据;
采集所述标准实例上的待配置数据,得到所述标准配置数据。
5.根据权利要求3所述的配置检查方法,其特征在于,所述根据所述待检查配置范围确定所述策略模型,包括:
根据所述待检查配置范围确定检查属性;
根据所述检查属性生成所述策略模型。
6.根据权利要求2-5任一项所述的配置检查方法,其特征在于,所述策略模型包括第一配置属性名称以及与所述第一配置属性名称对应的验证模式和验证偏向,所述标准配置数据包括第二配置属性名称以及与所述第二配置属性名称对应的实际配置值。
7.根据权利要求6所述的配置检查方法,其特征在于,所述根据所述标准配置数据以及所述策略模型生成所述配置标准规则,包括:
将所述第一配置属性名称与所述第二配置属性名称进行匹配;
在所述第一配置属性名称与所述第二配置属性名称匹配一致后,根据与所述第一配置属性名称对应的验证模式和验证偏向,以及与所述第二配置属性名称对应的实际配置值生成所述配置标准规则。
8.根据权利要求6所述的配置检查方法,其特征在于,所述验证模式包括数值比较、字符匹配以及日期比较,所述验证偏向包括负向、正向以及无偏向。
9.一种配置检查装置,其特征在于,包括:
第一获取模块,用于获取待检查实例的第一目标配置数据;
处理模块,用于对所述第一目标配置数据进行标准化处理,得到标准数据格式的第二目标配置数据;
比对模块,用于将所述第二目标配置数据与配置标准规则进行比对,以对所述待检查实例的配置进行检查;其中,所述配置标准规则根据预先得到的标准配置数据以及预先定义好的策略模型生成。
10.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-8任一项所述的配置检查方法。
11.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-8任一项所述的配置检查方法。
CN202111101522.7A 2021-09-18 2021-09-18 一种配置检查方法及装置 Active CN113824717B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111101522.7A CN113824717B (zh) 2021-09-18 2021-09-18 一种配置检查方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111101522.7A CN113824717B (zh) 2021-09-18 2021-09-18 一种配置检查方法及装置

Publications (2)

Publication Number Publication Date
CN113824717A true CN113824717A (zh) 2021-12-21
CN113824717B CN113824717B (zh) 2023-04-18

Family

ID=78922607

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111101522.7A Active CN113824717B (zh) 2021-09-18 2021-09-18 一种配置检查方法及装置

Country Status (1)

Country Link
CN (1) CN113824717B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115361290A (zh) * 2022-07-01 2022-11-18 北京百度网讯科技有限公司 配置比对方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108536485A (zh) * 2018-03-30 2018-09-14 全球能源互联网研究院有限公司 大数据平台配置检查方法、装置、终端及可读存储介质
CN109522746A (zh) * 2018-11-07 2019-03-26 平安医疗健康管理股份有限公司 一种数据处理方法、电子设备及计算机存储介质
CN110633571A (zh) * 2019-09-30 2019-12-31 广州竞远安全技术股份有限公司 一种高效的信息系统安全配置在线核查方法及核查装置
US20200118376A1 (en) * 2016-12-21 2020-04-16 Beijing Pony Media Culture Development Co., Ltd. Server-recommended digital ticket checking mechanisms

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200118376A1 (en) * 2016-12-21 2020-04-16 Beijing Pony Media Culture Development Co., Ltd. Server-recommended digital ticket checking mechanisms
CN108536485A (zh) * 2018-03-30 2018-09-14 全球能源互联网研究院有限公司 大数据平台配置检查方法、装置、终端及可读存储介质
CN109522746A (zh) * 2018-11-07 2019-03-26 平安医疗健康管理股份有限公司 一种数据处理方法、电子设备及计算机存储介质
CN110633571A (zh) * 2019-09-30 2019-12-31 广州竞远安全技术股份有限公司 一种高效的信息系统安全配置在线核查方法及核查装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115361290A (zh) * 2022-07-01 2022-11-18 北京百度网讯科技有限公司 配置比对方法、装置、电子设备及存储介质
CN115361290B (zh) * 2022-07-01 2024-02-27 北京百度网讯科技有限公司 配置比对方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN113824717B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
US8595171B2 (en) System and method for rule set validation
CN109474578B (zh) 报文消息校验方法、装置、计算机设备和存储介质
US20120116984A1 (en) Automated evaluation of compliance data from heterogeneous it systems
CN110597511B (zh) 一种页面自动生成方法、系统、终端设备及存储介质
WO2019019636A1 (zh) 用户身份识别方法、电子装置及计算机可读存储介质
CN109359277B (zh) 数据监控方法、设备及计算机存储介质
WO2021184995A1 (zh) 数据处理方法及数据标准管理系统
CN111124917B (zh) 公共测试用例的管控方法、装置、设备及存储介质
CN107133233B (zh) 一种配置数据查询的处理方法及装置
CN111475494A (zh) 一种海量数据处理方法、系统、终端及存储介质
CN114595481A (zh) 一种应答数据的处理方法、装置、设备和存储介质
CN113824717B (zh) 一种配置检查方法及装置
US20160378817A1 (en) Systems and methods of identifying data variations
CN109241163B (zh) 电子凭证的生成方法及终端设备
CN108255950B (zh) 数据存储方法及终端设备
CN113419719A (zh) 一种基于业务场景的接口用例生成方法及系统
CN112085611A (zh) 数据异步核验方法、装置、电子设备及存储介质
CN110795308A (zh) 一种服务器检验方法、装置、设备及存储介质
CN104753741A (zh) 一种网卡测试性能调节的方法及装置
CN114006819A (zh) 一种检测策略生成及装置、数据传输方法及装置
US9329805B1 (en) Host oriented automatic verification of best practices
CN111581213B (zh) 信息记录方法、装置、以及设备
CN110351330B (zh) 数据上传方法、装置、计算机设备及存储介质
CN114510507A (zh) 一种数据校验方法、装置、终端设备及介质
CN110119337B (zh) 一种数据分析方法、装置及服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant