CN114978657B - 安全基线核查方法、装置、电子设备及存储介质 - Google Patents
安全基线核查方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114978657B CN114978657B CN202210534889.6A CN202210534889A CN114978657B CN 114978657 B CN114978657 B CN 114978657B CN 202210534889 A CN202210534889 A CN 202210534889A CN 114978657 B CN114978657 B CN 114978657B
- Authority
- CN
- China
- Prior art keywords
- checking
- item
- check
- verification
- items
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000012795 verification Methods 0.000 claims abstract description 105
- 238000013515 script Methods 0.000 claims abstract description 102
- 230000000007 visual effect Effects 0.000 claims abstract description 22
- 230000002787 reinforcement Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012550 audit Methods 0.000 claims description 6
- 238000001514 detection method Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/084—Configuration by using pre-existing information, e.g. using templates or copying from other elements
- H04L41/0843—Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
Abstract
本发明提供了一种安全基线核查方法、装置、电子设备及存储介质,其中方法包括:获取目标网络设备的配置信息;根据配置信息,生成对应的核查模板;所述核查模板中包括若干个核查项和与所述若干个核查项一一对应的若干个基准项;根据预先构建的基准库,生成所述核查模板的核查脚本文件;所述基准库中包括每一个核查项在对应不同基准项时所对应的脚本文件;在所述目标网络设备上运行所述核查脚本文件,并获取核查结果;根据所述核查结果生成可视化视图,并展示所述可视化视图。本方案,能够提高安全基线核查效率。
Description
技术领域
本发明实施例涉及安全技术领域,特别涉及一种安全基线核查方法、装置、电子设备及存储介质。
背景技术
近年来随着企业规模持续扩大,网络设备的数量和种类均呈现爆发式增长趋势。在网络设备的数量急剧增加的同时,企业网络面临的安全问题也随之变得更加严峻。在众多的安全问题中,由于网络设备的配置不当导致的安全风险一直以来都是造成信息安全问题的主要原因之一。目前主要通过对网络设备进行安全基线核查来应对设备安全配置方面的问题。
现有技术中,通过人工方式对网络设备进行安全基线核查。但是需要维护的网络设备数量巨大,且情境复杂,人工进行安全基线核查时效率较低。
发明内容
基于人工进行安全基线核查效率较低的问题,本发明实施例提供了一种安全基线核查方法、装置、电子设备及存储介质,能够提高安全基线核查效率。
第一方面,本发明实施例提供了一种安全基线核查方法,包括:
获取目标网络设备的配置信息;
根据所述配置信息,生成对应的核查模板;所述核查模板中包括若干个核查项和与所述若干个核查项一一对应的若干个基准项;
根据预先构建的基准库,生成所述核查模板的核查脚本文件;所述基准库中包括每一个核查项在对应不同基准项时所对应的脚本文件;
在所述目标网络设备上运行所述核查脚本文件,并获取核查结果;
根据所述核查结果生成可视化视图,并展示所述可视化视图。
优选地,所述配置信息是由安装在所述目标网络设备上的第三方安全工具识别并发送来的;所述配置信息包括操作系统、中间件和数据库中的至少一种核查对象;
所述生成对应的核查模板,包括:
根据所述配置信息,确定所述目标网络设备中包括的核查对象;
确定每一个核查对象所需核查的核查项,以及核查项对应的基准项;
将确定的核查项和基准项写入所述核查模板中。
优选地,所述基准库中还包括多个核查项和与每一个核查项分别对应的至少一个基准项;所述核查模板中的核查项以及基准项是用户从所述基准库中选择并输入的。
优选地,所述核查模板中的核查项和基准项是基于所述目标网络设备的核查特征自动确定的;所述核查特征包括应用领域、安全级别、历史核查项和历史基准项中至少一种。
优选地,所述在所述目标网络设备上运行所述核查脚本文件,并获取核查结果,包括:
将所述核查脚本文件发送至所述第三方安全工具,以使所述第三方安全工具获取所述目标网络设备的登录信息,并基于所述登录信息运行所述核查脚本文件;
接收所述第三方安全工具反馈的核查结果。
优选地,所述脚本文件包括:核查脚本和加固脚本;
在所述目标网络设备上运行所述核查脚本文件,包括:
针对每一个核查项,执行该核查项对应的核查脚本,当核查到该核查项不满足对应基准项的规范时,确定该核查项对应的风险情况;并根据所述风险情况确定是否运行该核查项对应的加固脚本。
优选地,所述可视化视图包括如下至少一种结果:满足基准项的规范的核查项统计结果、不满足基准项的规范的核查项统计结果、已加固核查项统计结果、未加固核查项统计结果和需人工介入核查的核查项统计结果。
第二方面,本发明实施例还提供了一种安全基线核查装置,包括:
配置信息获取单元,用于获取目标网络设备的配置信息;
核查模板生成单元,用于根据所述配置信息,生成对应的核查模板;所述核查模板中包括若干个核查项和与所述若干个核查项一一对应的若干个基准项;
脚本文件生成单元,用于根据预先构建的基准库,生成所述核查模板的核查脚本文件;所述基准库中包括每一个核查项在对应不同基准项时所对应的脚本文件;
核查结果获取单元,用于在所述目标网络设备上运行所述核查脚本文件,并获取核查结果;
视图展示单元,用于根据所述核查结果生成可视化视图,并展示所述可视化视图。
第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种安全基线核查方法、装置、电子设备及存储介质,通过目标网络设备的配置信息,可以生成包括核查项和基准项的核查模板,由于基准库中预先存储有每一个核查项在对应不同基准项时所对应的脚本文件,因此可以根据基准库生成核查模板的核查脚本文件,通过在目标网络设备上运行该核查脚本文件,从而可以实现对目标网络设备中各核查项的自动核查。可见本方案中,能够实现安全基线的自动核查,相对于人工核查,大大提高了核查效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种安全基线核查方法流程图;
图2是本发明一实施例提供的一种核查模板生成方法流程图;
图3是本发明一实施例提供的一种电子设备的硬件架构图;
图4是本发明一实施例提供的一种安全基线核查装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
安全基线是指网络设备上的信息系统要达到最基本的安全要求所需要满足的约定规则,即核查项的安全配置需要满足对应基准项的规范要求。人工对网络设备进行安全基线核查,需要人工登录网络设备确定网络设备所需的核查项以及对应的基准项,并逐一对每个核查项进行安全基线核查,以核查各检测项是否满足对应基准项的规范。由于人工核查方式效率较低,可以考虑预先构建每一个核查项在对应不同基准项时所对应的脚本文件,以能够利用脚本文件生成用于执行核查任务的核查脚本文件,以实现安全基线的自动核查。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种安全基线核查方法,该方法包括:
步骤100,获取目标网络设备的配置信息;
步骤102,根据所述配置信息,生成对应的核查模板;所述核查模板中包括若干个核查项和与所述若干个核查项一一对应的若干个基准项;
步骤104,根据预先构建的基准库,生成所述核查模板的核查脚本文件;所述基准库中包括每一个核查项在对应不同基准项时所对应的脚本文件;
步骤106,在所述目标网络设备上运行所述核查脚本文件,并获取核查结果;
步骤108,根据所述核查结果生成可视化视图,并展示所述可视化视图。
本发明实施例中,通过目标网络设备的配置信息,可以生成包括核查项和基准项的核查模板,由于基准库中预先存储有每一个核查项在对应不同基准项时所对应的脚本文件,因此可以根据基准库生成核查模板的核查脚本文件,通过在目标网络设备上运行该核查脚本文件,从而可以实现对目标网络设备中各核查项的自动核查。可见本方案中,能够实现安全基线的自动核查,相对于人工核查,大大提高了核查效率。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100,获取目标网络设备的配置信息。
其中,目标网络设备是需要进行安全基线核查的待核查设备,该目标网络设备的网络状态可以是处于联网状态,也可以是处于孤岛状态。
在本发明实施例中,当所述目标网络设备对应不同网络状态时,配置信息的获取方式以及配置信息所包含的内容均不同。下面对上述两种网络状态以及每种网络状态下配置信息的获取方式、配置信息所包含的内容分别进行说明。
第一种网络状态:联网状态。
在联外状态下,可以包括至少两种配置信息的获取方式。
第一种获取方式:通过堡垒机登录目标网络设备并识别得到;
第二种获取方式:由安装在目标网络设备上的第三方安全工具识别得到。
在第一种获取方式下,配置信息可以包括:操作系统、中间件和数据库中的至少一种核查对象。其中,操作系统可以包括Linux操作系统、Windows操作系统等。中间件是介于应用系统和系统软件之间的一类软件,比如,tomcat、apache等。数据库是一种数据集合,比如,oracle、mysql等。
具体地,可以预先创建识别脚本文件,该识别脚本文件中包括识别命令;通过堡垒机登录目标网络设备并在目标网络设备上执行该识别脚本文件。该识别脚本文件用于识别目标网络设备上的操作系统、该操作系统中安装的中间件、数据库等。
由于在第一种获取方式下,需要预先获知目标网络设备的IP地址、登录信息,才能够实现配置信息的获取以及安全基线的核查,因此,配置信息还包括IP地址和登录信息;且该IP地址和登录信息需要由用户人工配置得到。
在第二种获取方式下,配置信息可以包括:操作系统、中间件和数据库中的至少一种核查对象。
其中,第三方安全工具安装在目标网络设备上,用于对目标网络设备进行安全检测。由于第三方安全工具在目标网络设备上可以获取到目标网络设备的登录信息,在对目标网络设备进行核查时,也可以利用该第三方安全工具进行核查,因此,该配置信息中可以不包括目标网络设备的IP地址和登录信息。
具体地,与第一种获取方式同理,可以预先创建识别脚本文件,该识别脚本文件中包括识别命令;将该识别脚本文件发送给目标网络设备上安装的第三方安全工具,由该第三方安全工具运行该识别脚本文件以获取配置信息,并接收第三方安全工具发送的配置信息。
第二种网络状态:孤岛状态。
在目标网络设备处于孤岛状态下,则需要由人工方式获取目标网络设备的配置信息。
然后,针对步骤102,基于所述配置信息,生成对应的核查模板。其中,核查模板中包括若干个核查项和与该若干个核查项一一对应的若干个基准项。
核查项为核查对象包括的项目。比如,核查对象为中间件,那么核查项可以包括中间件1、中间件2、中间件3……。
基准项为核查项的安全配置所需达到的规范。比如,中间件1可以对应基准项A、基准项B和基准项C。
需要说明的是,相同核查项在对应多个基准项时,表示对该核查项所需达到的规范要求不同。
在本发明一个实施例中,无论目标网络设备处于上述哪种网络状态,采用哪种配置信息的获取方式,在生成核查模板时,请参考图2,均可以按照如下步骤200~204来生成:
步骤200,根据所述配置信息,确定所述目标网络设备中包括的核查对象。
比如,目标网络设备中的核查对象包括操作系统、中间件和数据库,且该目标网络设备中的操作系统为Windows操作系统、中间件包括中间件1~10,数据库包括数据库1~3。
步骤202,确定每一个核查对象所需核查的核查项,以及核查项对应的基准项。
步骤204,将确定的核查项和基准项写入所述核查模板中。
由于核查对象包括的项目较多,部分项目的安全配置程度并不需要过度关注,因此,可以只对安全配置程度关注度较高的项目进行核查即可,因此,确定的核查项可以为Windows操作系统、中间件1~5,数据库1~2;并进一步确定每一个核查项对应的基准项。
在本发明一个实施例中,在确定核查项和基准项时,可以通过两种方式进行确定:
第一种确定方式:手动确定。
第二种确定方式:自动确定。
下面对上述两种确定方式分别进行说明。
在第一种确定方式中,预先构建基准库,基准库中包括多个核查项和与每一个核查项分别对应的至少一个基准项;核查模板中的核查项以及基准项是用户从所述基准库中选择并输入的。
具体地,响应于用户发起的核查模板选择指令,将基准库中包括的与对应核查对象对应的各核查项以及核查项对应的至少一个基准项进行展示;响应于用户发起的核查模板生成指令,获取用户选择的核查项以及核查项对应的基准项,生成该核查模板。通过将基准库中的核查项和基准项进行展示,用户可以根据展示自定义生成核查模板,使得生成的核查模板更贴近用户真实核查意图,对用户更加关注的核查项进行安全基线核查,增强了安全基线核查的灵活性,提高用户体验。
在第二种确定方式中,核查模板中的核查项和基准项是基于所述目标网络设备的核查特征自动确定的;所述核查特征包括应用领域、安全级别、历史核查项和历史基准项中至少一种。
核查特征可以是在获取配置信息时一同获取得到,也可以是由用户人工对该核查特征进行配置。
不同应用领域、安全级别所关注的核查项不同,且核查项对应的基准项也不完全相同,比如,金融领域所关注的核查项为中间件1、2,程序开发领域所关注的核查项为中间件3、4。具体实现时,可以预先构建不同应用领域与每一个核查对象所对应的核查项、基准项的第一对应关系,构建不同安全级别与每一个核查对象所对应的核查项、基准项的第二对应关系;通过第一对应关系和/或第二对应关系确定出每一个核查对象所对应的核查项和核查项对应的基准项;当利用不同核查特征确定出多个不同的核查项和核查项对应的基准项时,可以将确定出的多个核查项取并集,确定核查模板中的核查项;若由不同核查特征针对相同核查项确定出不同基准项时,则将规范最高的基准项确定为该核查项的基准项。
举例来说,针对应用领域这一核查特征确定出核查项、基准项包括:中间件1和中间件2,中间件1对应基准项11,中间件2对应基准项21;针对安全级别这一核查特征确定出核查项、基准项包括:中间件1和中间件3,中间件1对应基准项12,中间件3对应基准项31;针对历史核查项这一核查特征可以确定出中间件1和中间件2;针对历史基准项这一核查特征可以确定出中间件1对应基准项12,中间件2对应基准项22。其中,将确定出的核查项取并集,得到核查项为:中间件1、中间件2和中间件3。针对中间件1,基准项12的规范高于基准项11的规范,因此确定中间件1对应基准项12;针对中间件2,基准项22的规范高于基准项21的规范,因此确定中间件2对应基准项22;确定中间件3对应基准项31。
接下来针对步骤104,根据预先构建的基准库,生成所述核查模板的核查脚本文件。
本发明实施例中,可以预先构建基准库,基准库中包括每一个核查项在对应不同基准项时对应的脚本文件。
当核查模板确定之后,则核查模板中的核查项和基准项已经确定,通过基准库可以获取到对应的脚本文件,将各基准项对应的脚本文件合并,得到该核查模板的核查脚本文件。
继续针对步骤106,在目标网络设备上运行核查脚本文件,并获取核查结果。
在本发明实施例中,在目标网络设备上运行核查脚本文件可以采用不同方式来实现,具体地:
第一种实现方式,与第一种网络状态的第一种获取方式相对应,通过堡垒机登录目标网络设备运行该核查脚本文件;
第二种实现方式,与第一种网络状态的第二种获取方式相对应,由安装在目标网络设备上的第三方安全工具运行该核查脚本文件;
第三种实现方式,与第二种获取方式相对应,在对目标网络设备进行安全基线核查时,人工将核查脚本文件拷贝至目标网络设备中,以在目标网络设备中运行该核查脚本文件。
下面主要针对第二种实现方式进行说明。
在该第二种实现方式中,本步骤106具体包括:将所述核查脚本文件发送至所述第三方安全工具,以使所述第三方安全工具获取所述目标网络设备的登录信息,并基于所述登录信息运行所述核查脚本文件;接收所述第三方安全工具反馈的核查结果。
由于第三方安全工具是安装在目标网络设备中的,且第三方安全工具用于对目标网络设备进行安全检测,因此具有在目标网络设备中运行脚本的权限,通过将核查脚本文件发送至第三方安全工具以与第三方安全工具进行联动,使得该第三方安全工具运行核查脚本文件实现对目标网络设备的安全基线核查,使得安全基线核查过程相对于堡垒机方式更加便捷。
无论上述哪一种实现方式,进一步地,脚本文件包括:核查脚本和加固脚本;其中,核查脚本用于对核查项进行核查,加固脚本用于对核查项进行加固;
那么,本步骤106中在所述目标网络设备上运行所述核查脚本文件,具体包括:针对每一个核查项,执行该核查项对应的核查脚本,当核查到该核查项不满足对应基准项的规范时,确定该核查项对应的风险情况;并根据所述风险情况确定是否运行该核查项对应的加固脚本。
本发明一个实施例中,在确定该核查项对应的风险情况时,可以基于该核查项的核查结果,确定与基准项的差距,将该差距确定为核查项对应的风险情况。
优选地,可以与第三方安全工具进行联动,以确定该核查项对应的风险情况。具体地,由第三方安全工具对该核查项进行安全检测,将安全检测结果确定为该核查项对应的风险情况。
举例来说,可以基于安全检测结果计算安全检测分值,根据预设赋值规则对安全检测结果中的安全特征进行赋值,将安全检测结果中各安全特征的赋值之和确定为安全检测分值。若安全检测分值大于预设阈值,则运行该核查项对应的加固脚本,否则,不运行该核查项对应的加固脚本。
本实施例中,通过在对核查项进行安全核查过程中,能够及时对风险情况较高的核查项进行加固处理,使得核查项能够满足基准项的规范,提高核查项的安全防御能力。
最后针对步骤108,根据所述核查结果生成可视化视图,并展示所述可视化视图。
本发明实施例中,可视化视图可以包括如下一种结果:满足基准项的规范的核查项统计结果、不满足基准项的规范的核查项统计结果、已加固核查项统计结果、未加固核查项统计结果和需人工介入核查的核查项统计结果。
除上述结果以外,还可以根据需求进行其它结果的展示,比如,展示目标网络设备的基本信息,以柱状图或饼状图等形式对满足基准项规范的核查项统计结果以及不满足基准项规范的核查统计结果进行图形绘制,并展示绘制的图形等。
本实施例中,通过将核查结果生成可视化视图并展示给用户,可以使得用户能够更直观的获取到目标网络设备的核查结果,对未加固核查项以及需要人工介入核查的核查项进行人工处理,增强对目标网络设备中安全基线的核查效果。
如图3、图4所示,本发明实施例提供了一种安全基线核查装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种安全基线核查装置所在电子设备的一种硬件架构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种安全基线核查装置,包括:
配置信息获取单元401,用于获取目标网络设备的配置信息;
核查模板生成单元402,用于根据所述配置信息,生成对应的核查模板;所述核查模板中包括若干个核查项和与所述若干个核查项一一对应的若干个基准项;
脚本文件生成单元403,用于根据预先构建的基准库,生成所述核查模板的核查脚本文件;所述基准库中包括每一个核查项在对应不同基准项时所对应的脚本文件;
核查结果获取单元404,用于在所述目标网络设备上运行所述核查脚本文件,并获取核查结果;
视图展示单元405,用于根据所述核查结果生成可视化视图,并展示所述可视化视图。
在本发明一个实施例中,所述配置信息是由安装在所述目标网络设备上的第三方安全工具识别并发送来的;所述配置信息包括操作系统、中间件和数据库中的至少一种核查对象;
所述核查模板生成单元,具体用于:
根据所述配置信息,确定所述目标网络设备中包括的核查对象;
确定每一个核查对象所需核查的核查项,以及核查项对应的基准项;
将确定的核查项和基准项写入所述核查模板中。
在本发明一个实施例中,所述基准库中还包括多个核查项和与每一个核查项分别对应的至少一个基准项;所述核查模板中的核查项以及基准项是用户从所述基准库中选择并输入的。
在本发明一个实施例中,所述核查模板中的核查项和基准项是基于所述目标网络设备的核查特征自动确定的;所述核查特征包括应用领域、安全级别、历史核查项和历史基准项中至少一种。
在本发明一个实施例中,所述核查结果获取单元,具体用于:将所述核查脚本文件发送至所述第三方安全工具,以使所述第三方安全工具获取所述目标网络设备的登录信息,并基于所述登录信息运行所述核查脚本文件;接收所述第三方安全工具反馈的核查结果。
在本发明一个实施例中,所述脚本文件包括:核查脚本和加固脚本;
所述核查结果获取单元,具体用于针对每一个核查项,执行该核查项对应的核查脚本,当核查到该核查项不满足对应基准项的规范时,确定该核查项对应的风险情况;并根据所述风险情况确定是否运行该核查项对应的加固脚本。
在本发明一个实施例中,所述可视化视图包括如下至少一种结果:满足基准项的规范的核查项统计结果、不满足基准项的规范的核查项统计结果、已加固核查项统计结果、未加固核查项统计结果和需人工介入核查的核查项统计结果。
可以理解的是,本发明实施例示意的结构并不构成对一种安全基线核查装置的具体限定。在本发明的另一些实施例中,一种安全基线核查装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种安全基线核查方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种安全基线核查方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
本发明各实施例至少具有如下有益效果:
1、在本发明一个实施例中,通过目标网络设备的配置信息,可以生成包括核查项和基准项的核查模板,由于基准库中预先存储有每一个核查项在对应不同基准项时所对应的脚本文件,因此可以根据基准库生成核查模板的核查脚本文件,通过在目标网络设备上运行该核查脚本文件,从而可以实现对目标网络设备中各核查项的自动核查。可见本方案中,能够实现安全基线的自动核查,相对于人工核查,大大提高了核查效率。
2、在本发明一个实施例中,通过将基准库中的核查项和基准项进行展示,用户可以根据展示自定义生成核查模板,使得生成的核查模板更贴近用户真实核查意图,对用户更加关注的核查项进行安全基线核查,增强了安全基线核查的灵活性,提高用户体验。
3、在本发明一个实施例中,由于第三方安全工具是安装在目标网络设备中的,且第三方安全工具用于对目标网络设备进行安全检测,因此具有在目标网络设备中运行脚本的权限,通过将核查脚本文件发送至第三方安全工具以与第三方安全工具进行联动,使得该第三方安全工具运行核查脚本文件实现对目标网络设备的安全基线核查,使得安全基线核查过程相对于堡垒机方式更加便捷。
4、在本发明一个实施例中,通过在对核查项进行安全核查过程中,能够及时对风险情况较高的核查项进行加固处理,使得核查项能够满足基准项的规范,提高核查项的安全防御能力。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种安全基线核查方法,其特征在于,包括:
获取目标网络设备的配置信息;
根据所述配置信息,生成对应的核查模板;所述核查模板中包括若干个核查项和与所述若干个核查项一一对应的若干个基准项;基准项为核查项的安全配置所需达到的规范;
根据预先构建的基准库,生成所述核查模板的核查脚本文件;所述基准库中包括每一个核查项在对应不同基准项时所对应的脚本文件;
在所述目标网络设备上运行所述核查脚本文件,并获取核查结果;
根据所述核查结果生成可视化视图,并展示所述可视化视图;
所述配置信息是由安装在所述目标网络设备上的第三方安全工具识别并发送来的;所述配置信息包括操作系统、中间件和数据库中的至少一种核查对象;
所述生成对应的核查模板,包括:根据所述配置信息,确定所述目标网络设备中包括的核查对象;确定每一个核查对象所需核查的核查项,以及核查项对应的基准项;将确定的核查项和基准项写入所述核查模板中;
所述基准库中还包括多个核查项和与每一个核查项分别对应的至少一个基准项,当相同核查项对应多个基准项时,表示对该核查项所需达到的规范要求不同;所述核查模板中的核查项和基准项是基于所述目标网络设备的核查特征自动确定的;所述核查特征包括应用领域、安全级别、历史核查项和历史基准项中至少一种。
2.根据权利要求1所述的方法,其特征在于,所述在所述目标网络设备上运行所述核查脚本文件,并获取核查结果,包括:
将所述核查脚本文件发送至所述第三方安全工具,以使所述第三方安全工具获取所述目标网络设备的登录信息,并基于所述登录信息运行所述核查脚本文件;
接收所述第三方安全工具反馈的核查结果。
3.根据权利要求1-2中任一所述的方法,其特征在于,所述脚本文件包括:核查脚本和加固脚本;
在所述目标网络设备上运行所述核查脚本文件,包括:
针对每一个核查项,执行该核查项对应的核查脚本,当核查到该核查项不满足对应基准项的规范时,确定该核查项对应的风险情况;并根据所述风险情况确定是否运行该核查项对应的加固脚本。
4.根据权利要求1-2中任一所述的方法,其特征在于,所述可视化视图包括如下至少一种结果:满足基准项的规范的核查项统计结果、不满足基准项的规范的核查项统计结果、已加固核查项统计结果、未加固核查项统计结果和需人工介入核查的核查项统计结果。
5.一种安全基线核查装置,其特征在于,包括:
配置信息获取单元,用于获取目标网络设备的配置信息;
核查模板生成单元,用于根据所述配置信息,生成对应的核查模板;所述核查模板中包括若干个核查项和与所述若干个核查项一一对应的若干个基准项;基准项为核查项的安全配置所需达到的规范;
脚本文件生成单元,用于根据预先构建的基准库,生成所述核查模板的核查脚本文件;所述基准库中包括每一个核查项在对应不同基准项时所对应的脚本文件;
核查结果获取单元,用于在所述目标网络设备上运行所述核查脚本文件,并获取核查结果;
视图展示单元,用于根据所述核查结果生成可视化视图,并展示所述可视化视图;
所述配置信息是由安装在所述目标网络设备上的第三方安全工具识别并发送来的;所述配置信息包括操作系统、中间件和数据库中的至少一种核查对象;
所述核查模板生成单元,具体用于:根据所述配置信息,确定所述目标网络设备中包括的核查对象;确定每一个核查对象所需核查的核查项,以及核查项对应的基准项;将确定的核查项和基准项写入所述核查模板中;
所述基准库中还包括多个核查项和与每一个核查项分别对应的至少一个基准项,当相同核查项对应多个基准项时,表示对该核查项所需达到的规范要求不同;所述核查模板中的核查项和基准项是基于所述目标网络设备的核查特征自动确定的;所述核查特征包括应用领域、安全级别、历史核查项和历史基准项中至少一种。
6.根据权利要求5所述的装置,其特征在于,所述核查结果获取单元,具体用于:将所述核查脚本文件发送至所述第三方安全工具,以使所述第三方安全工具获取所述目标网络设备的登录信息,并基于所述登录信息运行所述核查脚本文件;接收所述第三方安全工具反馈的核查结果。
7.根据权利要求5-6中任一所述的装置,其特征在于,所述脚本文件包括:核查脚本和加固脚本;
所述核查结果获取单元,具体用于针对每一个核查项,执行该核查项对应的核查脚本,当核查到该核查项不满足对应基准项的规范时,确定该核查项对应的风险情况;并根据所述风险情况确定是否运行该核查项对应的加固脚本。
8.根据权利要求5-6中任一所述的装置,其特征在于,所述可视化视图包括如下至少一种结果:满足基准项的规范的核查项统计结果、不满足基准项的规范的核查项统计结果、已加固核查项统计结果、未加固核查项统计结果和需人工介入核查的核查项统计结果。
9.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-4中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210534889.6A CN114978657B (zh) | 2022-05-17 | 2022-05-17 | 安全基线核查方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210534889.6A CN114978657B (zh) | 2022-05-17 | 2022-05-17 | 安全基线核查方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114978657A CN114978657A (zh) | 2022-08-30 |
| CN114978657B true CN114978657B (zh) | 2024-02-13 |
Family
ID=82983491
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210534889.6A Active CN114978657B (zh) | 2022-05-17 | 2022-05-17 | 安全基线核查方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978657B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117196539B (zh) * | 2023-11-01 | 2024-02-27 | 广州大学 | 一种安全基线自动化核查方法、系统、设备及介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1164235A (ja) * | 1997-08-26 | 1999-03-05 | Oki Electric Ind Co Ltd | 実装部品自動検査システムおよび実装部品検査基準設定装置および実装部品検査基準設定方法 |
| CN1862259A (zh) * | 2005-05-12 | 2006-11-15 | 欧姆龙株式会社 | 检查基准设定装置及方法、以及工序检查装置 |
| CN103368927A (zh) * | 2012-04-11 | 2013-10-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全配置核查设备和方法 |
| CN104009869A (zh) * | 2014-05-15 | 2014-08-27 | 华南理工大学 | 电力二次系统信息安全等级保护在线合规性检测方法 |
| CN105245392A (zh) * | 2014-06-27 | 2016-01-13 | 北京新媒传信科技有限公司 | 基线检查修复方法及装置 |
| CN106027335A (zh) * | 2016-07-14 | 2016-10-12 | 中国联合网络通信集团有限公司 | 一种安全基线核查方法及设备 |
| CN107294979A (zh) * | 2017-06-29 | 2017-10-24 | 国家计算机网络与信息安全管理中心 | 基于配置核查的网络安全评估方法和装置 |
| CN109743195A (zh) * | 2018-12-11 | 2019-05-10 | 中国联合网络通信集团有限公司 | 一种安全基线的核查方法和装置 |
| CN111062039A (zh) * | 2019-11-25 | 2020-04-24 | 哈尔滨安天科技集团股份有限公司 | 多标准安全基准的检测方法、系统及目标主机、服务器 |
| CN112685743A (zh) * | 2020-12-28 | 2021-04-20 | 北京珞安科技有限责任公司 | 一种主机安全基线自动加固方法及系统 |
| CN113505057A (zh) * | 2021-06-07 | 2021-10-15 | 广发银行股份有限公司 | 一种配置基线管理工具 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4370960B2 (ja) * | 2004-03-29 | 2009-11-25 | 三菱自動車エンジニアリング株式会社 | 車両の検査管理システム |
-
2022
- 2022-05-17 CN CN202210534889.6A patent/CN114978657B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1164235A (ja) * | 1997-08-26 | 1999-03-05 | Oki Electric Ind Co Ltd | 実装部品自動検査システムおよび実装部品検査基準設定装置および実装部品検査基準設定方法 |
| CN1862259A (zh) * | 2005-05-12 | 2006-11-15 | 欧姆龙株式会社 | 检查基准设定装置及方法、以及工序检查装置 |
| CN103368927A (zh) * | 2012-04-11 | 2013-10-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全配置核查设备和方法 |
| CN104009869A (zh) * | 2014-05-15 | 2014-08-27 | 华南理工大学 | 电力二次系统信息安全等级保护在线合规性检测方法 |
| CN105245392A (zh) * | 2014-06-27 | 2016-01-13 | 北京新媒传信科技有限公司 | 基线检查修复方法及装置 |
| CN106027335A (zh) * | 2016-07-14 | 2016-10-12 | 中国联合网络通信集团有限公司 | 一种安全基线核查方法及设备 |
| CN107294979A (zh) * | 2017-06-29 | 2017-10-24 | 国家计算机网络与信息安全管理中心 | 基于配置核查的网络安全评估方法和装置 |
| CN109743195A (zh) * | 2018-12-11 | 2019-05-10 | 中国联合网络通信集团有限公司 | 一种安全基线的核查方法和装置 |
| CN111062039A (zh) * | 2019-11-25 | 2020-04-24 | 哈尔滨安天科技集团股份有限公司 | 多标准安全基准的检测方法、系统及目标主机、服务器 |
| CN112685743A (zh) * | 2020-12-28 | 2021-04-20 | 北京珞安科技有限责任公司 | 一种主机安全基线自动加固方法及系统 |
| CN113505057A (zh) * | 2021-06-07 | 2021-10-15 | 广发银行股份有限公司 | 一种配置基线管理工具 |
Non-Patent Citations (2)
| Title |
|---|
| 基线配置核查平台与电网信息安全合规库的联合应用研究;张民磊;;数字技术与应用(第02期);全文 * |
| 大数据平台安全基线核查;周乐坤;;网络安全和信息化(第01期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114978657A (zh) | 2022-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11263071B2 (en) | Enabling symptom verification | |
| US20100161634A1 (en) | Best-value determination rules for an entity resolution system | |
| CN111160749A (zh) | 一种情报质量评估和情报融合方法及装置 | |
| CN114978657B (zh) | 安全基线核查方法、装置、电子设备及存储介质 | |
| CN112422574A (zh) | 风险账号的识别方法、装置、介质及电子设备 | |
| CN111124917A (zh) | 公共测试用例的管控方法、装置、设备及存储介质 | |
| CN110688111A (zh) | 业务流程的配置方法、装置、服务器和存储介质 | |
| US8090994B2 (en) | System, method, and computer readable media for identifying a log file record in a log file | |
| US11899770B2 (en) | Verification method and apparatus, and computer readable storage medium | |
| CN110879808B (zh) | 一种信息处理方法和装置 | |
| CN108512822B (zh) | 一种数据处理事件的风险识别方法和装置 | |
| CN104376397A (zh) | 一种数据实时分析方法及装置 | |
| CN107229565B (zh) | 测试方法和装置 | |
| CN107193721B (zh) | 一种生成日志的方法和装置 | |
| CN114358799B (zh) | 一种硬件信息管理方法、装置、电子设备及存储介质 | |
| US20230367884A1 (en) | Cyber attack scenario generation method and device | |
| CN114722401A (zh) | 一种设备安全测试方法、装置、设备及存储介质 | |
| CN114090514A (zh) | 分布式系统的日志检索方法及装置 | |
| CN114064510A (zh) | 功能测试方法、装置、电子设备和存储介质 | |
| CN112231232A (zh) | 确定测试数据模型及生成测试数据的方法、装置及设备 | |
| CN111400695B (zh) | 一种设备指纹生成方法、装置、设备和介质 | |
| CN108628909B (zh) | 信息推送方法和装置 | |
| CN111104274B (zh) | Ssd硬盘自动化测试方法、装置、设备及可读存储介质 | |
| CN114331167B (zh) | 一种冠军挑战者策略的管理方法、系统、介质和设备 | |
| CN109901997B (zh) | 金融系统升级方法及装置、电子设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |