CN115204539A - 主机安全基线管理方法、装置、设备及介质 - Google Patents
主机安全基线管理方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115204539A CN115204539A CN202110377596.7A CN202110377596A CN115204539A CN 115204539 A CN115204539 A CN 115204539A CN 202110377596 A CN202110377596 A CN 202110377596A CN 115204539 A CN115204539 A CN 115204539A
- Authority
- CN
- China
- Prior art keywords
- detection
- baseline
- host
- security baseline
- item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims description 49
- 238000001514 detection method Methods 0.000 claims abstract description 868
- 230000008439 repair process Effects 0.000 claims abstract description 169
- 238000012795 verification Methods 0.000 claims abstract description 149
- 238000000034 method Methods 0.000 claims abstract description 54
- 238000012545 processing Methods 0.000 claims abstract description 35
- 230000008569 process Effects 0.000 claims description 21
- 238000011084 recovery Methods 0.000 claims description 6
- 238000009434 installation Methods 0.000 claims description 4
- 238000005192 partition Methods 0.000 claims description 4
- 238000012360 testing method Methods 0.000 claims description 4
- 241000109539 Conchita Species 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 claims description 3
- 235000019580 granularity Nutrition 0.000 claims description 3
- 230000001105 regulatory effect Effects 0.000 claims description 2
- 230000006870 function Effects 0.000 description 11
- 230000003993 interaction Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 238000011156 evaluation Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000008878 coupling Effects 0.000 description 5
- 238000010168 coupling process Methods 0.000 description 5
- 238000005859 coupling reaction Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000014509 gene expression Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/20—Administration of product repair or maintenance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- General Health & Medical Sciences (AREA)
- Water Supply & Treatment (AREA)
- Public Health (AREA)
- Data Mining & Analysis (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种主机安全基线管理方法、装置、设备及介质,方法包括:向待检主机或主机组下发安全基线检测指令;接收所述待检主机或主机组上报的根据所述安全基线检测项集合所采集的主机安全基线检测参数信息;对所述主机安全基线检测参数信息进行主机安全基线的合规校验处理;若所述主机安全基线的合规校验未通过,则展示或向所述待检主机或主机组推送主机安全基线风险告警信息;根据所述主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理。本申请实施例能降低检测的复杂度,提高修复效率以及修复全面性,可广泛应用于计算机安全技术领域。
Description
技术领域
本发明涉及计算机安全技术领域,尤其是一种主机安全基线管理方法、装置、设备及介质。
背景技术
安全基线是对如何配置和管理计算机的详细描述,它描述了实现计算机安全运行的所有相关配置设置,包括服务和应用程序设置,操作系统组件的配置,权限设置等。
CIS是互联网安全中心(Center for Internet Security)的缩写,它为国际上通用的安全基线标准规范定义了一系列安全基线的检测项及风险等级标准。
相关技术对主机安全基线的检测主要是通过对每个安全基线检测项实现一个检测逻辑,然后根据各个检测逻辑在客户端完成检测项的检测及校验。其中,各个安全基线检测项的检测逻辑相互独立无法实现共用,而且各个基线检测逻辑之间的耦合度高,当待检测的安全基线检测项数量较多时,要分别部署多个检测逻辑的效率较低,增加了检测的复杂度。
另外,相关技术在完成安全基线的检测之后,通常只提供修复意见,之后再进行人工修复,修复效率低;而且,人工修复的过程容易因疏忽导致修复项目遗漏,存在修复不全面的问题。
发明内容
有鉴于此,本申请实施例提供了一种主机安全基线管理方法、装置、设备及介质,以提高主机安全基线的检测效率,并且提高主机安全基线的修复效率和修复的全面性。
本申请实施例的一方面提供了一种主机安全基线管理方法,包括:
向待检主机或主机组下发安全基线检测指令,其中,所述安全基线检测指令包括针对所述待检主机或主机组所配置的安全基线检测项集合,所述安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项;
接收所述待检主机或主机组上报的根据所述安全基线检测项集合所采集的主机安全基线检测参数信息;
对所述主机安全基线检测参数信息进行主机安全基线的合规校验处理;
若所述主机安全基线的合规校验未通过,则展示或向所述待检主机或主机组推送主机安全基线风险告警信息;
根据所述主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理。
本申请实施例的另一方面还提供了一种主机安全基线管理装置,包括:
第一模块,用于向待检主机或主机组下发安全基线检测指令,其中,所述安全基线检测指令包括针对所述待检主机或主机组所配置的安全基线检测项集合,所述安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项;
第二模块,用于接收所述待检主机或主机组上报的根据所述安全基线检测项集合所采集的主机安全基线检测参数信息;
第三模块,用于对所述主机安全基线检测参数信息进行主机安全基线的合规校验处理;
第四模块,用于若所述主机安全基线的合规校验未通过,则展示或向所述待检主机或主机组推送主机安全基线风险告警信息;
第五模块,用于根据所述主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理。
本申请实施例的另一方面还提供了一种电子设备,包括处理器以及存储器;
所述存储器用于存储程序;
所述处理器执行所述程序实现如前面所述的主机安全基线管理方法。
本申请实施例的另一方面还提供了一种计算机可读存储介质,所述存储介质存储有程序,所述程序被处理器执行实现如前面所述的主机安全基线管理方法。
本申请实施例还公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行前面的主机安全基线管理方法。
本发明的实施例的主机安全基线管理方法,首先向待检主机或主机组下发安全基线检测指令,其中,所述安全基线检测指令包括针对所述待检主机或主机组所配置的安全基线检测项集合,所述安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项,本申请实施例从每个安全基线检测项中拆分得到多个元检测点,进而通过每个元检测点的检测逻辑实现检测,相较于部署每个安全基线检测项的检测逻辑,使得部署每个元检测点的检测逻辑更加快速高效,另外,不同安全基线检测项之间存在共有的元检测点,因此不同安全基线检测项可以共用同一个元检测点的检测逻辑,提高了检测逻辑的实现效率;接着,本申请实施例接收所述待检主机或主机组上报的根据所述安全基线检测项集合所采集的主机安全基线检测参数信息;对所述主机安全基线检测参数信息进行主机安全基线的合规校验处理;若所述主机安全基线的合规校验未通过,则展示或向所述待检主机或主机组推送主机安全基线风险告警信息;根据所述主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理;本申请实施例能够根据主机安全基线风险告警信息,对检出的主机安全基线风险进行自动修复,能够有效提高修复效率以及修复的全面性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的一种实施环境的示意图;
图2为本申请实施例提供的主机安全基线管理方法的流程图;
图3为本申请实施例提供的进行数据备份的步骤流程图;
图4为本发明实施例提供的终端设备的第一界面示意图;
图5为本发明实施例提供的终端设备的第二界面示意图;
图6为本申请实施例提供的主机安全基线检测及修复过程的步骤流程图;
图7为本申请实施例提供的主机安全基线管理装置的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
为便于对本申请实施例的理解,下面先对本申请涉及的相关概念进行简单介绍:
安全基线:安全基线是一个系统的最小安全保证,即该系统最基本需要满足的安全要求。系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡,而安全基线正是这个平衡的合理的分界线。安全基线的意义在于为达到最基本的防护要求而制定的一系列规则,任何安全基线检测都是围绕不同安全基线展开。安全基线包括但不限于服务和应用程序设置,操作系统组件的配置,权限设置等。
互联网安全中心(Center for Internet Security,简称CIS),CIS为国际上通用的安全基线标准,规范定义了一系列安全基线的检测项及风险等级标准。
VxFS(Veritas File System):VxFS是一个商业日志记录文件系统,也是基于扩展区的意向日志记录文件系统。VxFS设计用于要求高性能和高可用性,并且可以处理大量数据的操作环境。VxFS的主要组件包括:日志记录、扩展区、文件系统磁盘布局。
相关技术中,在对主机安全基线进行检测的过程中,通常是对每个安全基线检测项实现一个检测逻辑,完成对检测项的检测和校验。但在这种检测方式下,每个安全基线检测项的检测逻辑不能复用,耦合度较高,增加了安全基线检测的复杂度,导致检测效率低下。同时,由于主机安全基线检测的复杂度较高,检测过程耗时较长,且占用较多的主机资源。
另外,相关技术中缺乏自动修复安全基线的方案,在完成主机安全基线的检测后,往往需要用户根据安全基线风险的修复建议来手动修复安全基线。在手动修复基线过程中,除了修复效率低下,还可能出现因为用户理解或能力问题导致的修复不全面,或者修复出错的情况,导致安全基线修复失败。
因此,本申请实施例提供了一种主机安全基线管理方法,首先向待检主机或主机组下发安全基线检测指令,其中,安全基线检测指令包括针对待检主机或主机组所配置的安全基线检测项集合,安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项,本申请实施例从每个安全基线检测项中拆分得到多个元检测点,进而通过每个元检测点的检测逻辑实现检测,相较于部署每个安全基线检测项的检测逻辑,使得部署每个元检测点的检测逻辑更加快速高效,另外,不同安全基线检测项之间存在共有的元检测点,因此不同安全基线检测项可以共用同一个元检测点的检测逻辑,提高了检测逻辑的实现效率;接着,本申请实施例接收待检主机或主机组上报的根据安全基线检测项集合所采集的主机安全基线检测参数信息;对主机安全基线检测参数信息进行主机安全基线的合规校验处理;若主机安全基线的合规校验未通过,则展示或向待检主机或主机组推送主机安全基线风险告警信息;根据主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理;本申请实施例能够根据主机安全基线风险告警信息,对检出的主机安全基线风险进行自动修复,能够有效提高修复效率以及修复的全面性。
参考图1,其示出了本申请实施例的一种实施环境的示意图,在该实施环境中,包括至少一台终端设备101。其中,终端设备可以例如是个人计算机(Personal Computer,PC)、手机、智能手机、个人数字助手(Personal Digital Assistant,PDA)、可穿戴设备、掌上电脑PPC(Pocket PC)、平板电脑等。可以理解的是,安全基线为终端设备安全运行的最低要求的配置,因此对安全基线进行有效检测,并根据对安全基线的检测结果,对终端设备的安全基线修复,有利于维持终端设备安全平稳运行。
可以理解的是,本申请实施例的主机安全基线管理可以针对系统、软件、服务中不安全配置进行管理,即,主机可以包括网络设备、安全设备、服务器、中间件或终端设备等任意设备,上述终端设备仅作为示例性说明,在此不作限定。同时,本申请实施例针对的安全基线管理对象可以是一台主机设备(例如待检主机),也可以是多台主机设备(例如主机组),在此不做限定。
另外,终端设备可以是任何一种可通过键盘、触摸板、触摸屏、遥控器、语音交互或手写设备等一种或多种方式进行人机交互的电子产品,终端设备可以接收用户发送的指令,该指令用来执行本申请实施例的主机安全基线管理方法。在本申请实施例中,终端设备可以对一台或多台主机进行安全基线管理。
如图1所示,为了保证终端设备101能够安全运行,对终端设备进行安全基线的管理,终端设备首先向待检主机或主机组下发安全基线检测指令,其中,安全基线检测指令包括针对待检主机或主机组所配置的安全基线检测项集合,安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项;接着接收待检主机或主机组上报的根据安全基线检测项集合所采集的主机安全基线检测参数信息;然后对主机安全基线检测参数信息进行主机安全基线的合规校验处理;若主机安全基线的合规校验未通过,则展示或向待检主机或主机组推送主机安全基线风险告警信息;最后根据主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理。本申请实施例通过对各个元检测点进行检测,其中,不同安全基线检测项中共同存在的第一元检测点的检测结果可以共用,而且各个元检测点之间的耦合度低,相较于直接对每个安全基线检测项进行检测,能够降低检测的复杂度;另外,本申请实施例根据主机安全基线的检测结果,对主机安全基线中存在的风险和故障进行自动修复,能够有效提高修复效率以及修复的全面性。示例性地,如图1所示,在终端设备101进行主机安全基线的检测以及主机安全基线的修复。
可以理解的是,本申请实施例所公开的主机安全基线管理方法的实施环境中,也可以用区块链进行数据存储;即在实施的过程中,可以从区块链中已有的区块获取其他区块链节点的主机安全基线的参数数据;将主机安全基线的参数数据打包成新的区块上传至区块链中。通过区块链的去中心化的数据存储方式,数据更为公开安全,也同时避免了恶意的数据篡改。另外,本申请实施例所公开的主机安全基线管理方法的结果数据(例如第一检测结果、第二检测结果、第三检测结果以及自动修复指令等),也可以通过区块链进行存储,以使得区块链中所有区块都能实时获取并运用上述结果数据。
另外,本申请实施例通过图1示例性说明了其中一种应用场景,即终端设备主动执行主机安全基线的管理方法,无需用户主动输入相关内容。在另一些应用场景中,可以由用户主动向终端设备输入指令,该指令要求终端设备进行待检主机或主机组的安全基线检测,以及根据主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理。可以理解的是,用户可以输入同一个指令进行安全基线的检测以及修复,也可以输入不同的指令,由一个指令控制终端设备进行安全基线的检测,并由另一个指令控制终端设备根据主机安全基线的检测结果进行主机安全基线的修复。本申请实施例不对具体应用场景进行限定,上述图1的应用场景仅作为示例性说明。
参考图2,图2为本申请实施例提供的主机安全基线管理方法的流程图,该方法可以应用于图1中的终端设备101来实现。参考图2,本申请实施例的主机安全基线管理方法可以由上述终端设备或者任意具有数据处理能力的装置上执行,例如可以在个人计算机上执行,该方法具体包括但不限于步骤S100-S500:
S100、向待检主机或主机组下发安全基线检测指令,其中,安全基线检测指令包括针对待检主机或主机组所配置的安全基线检测项集合,安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项;
具体地,本申请实施例中提到的安全基线检测,是指对主机内安全基线进行扫描,检测是否存在安全风险。检测扫描的对象包括系统基线和组件基线,而本申请实施例提到的安全基线检测项,是指安全基线需要检测的系统或者组件中,由于配置、设置不当等原因可能导致存在的主机安全风险项。由于在每次主机安全基线检测过程中,需要对多个安全基线检测项进行扫描检测,因此终端设备获取主机安全基线中的安全基线检测项集合,该安全基线检测项集合包括多个安全基线检测项,而该安全基线检测项又可以拆分成多个元检测点。
元,指单元,元检测点是指安全基线检测最小的检测单元。本申请实施例将安全基线检测项拆分成元检测点,对元检测点进行检测,由于元检测点需要检测的内容更少,逻辑更简单,对比起相关技术中直接对安全基线检测项进行检测的方案,本申请实施例的主机安全基线管理方法中对元检测点的检测有助于降低检测的复杂度,提高检测效率。
需要说明的是,元检测点的确定并不是将安全基线检测项进行简单拆分成更小的项目,而是根据不同安全基线检测项需要的验证规则,对安全基线检测项进行逻辑性的重新整合、分类。示例性地,例如在本次主机安全基线检测中,安全基线检测项A中需要检测端口a和端口c的开放情况,而安全基线检测项B需要检测端口b和端口c的开放情况。假如是相关技术中的方案,由于相关技术中是以安全基线检测项作为单位,则需要对安全基线检测项A和安全基线检测项B分别设置不同的验证规则,而且因为在安全基线检测项中可能不止需要检测某个端口的开放情况,还需要检测某个模块的加载情况等等,所以在设置验证规则的时候需要考虑多种情况,导致验证规则十分复杂。而本申请实施例提出将安全基线检测项拆分成元检测点,对于上述情况,则可以首先找出安全基线检测项A和安全基线检测项B中同时需要检测端口c的开放情况,并将端口c的开放情况检测确定为元检测点C,在执行安全基线检测项A的检测时,可以使用元检测点C所对应的验证规则对安全基线检测项A中的端口c进行检测;同理,也使用元检测点C所对应的验证规则对安全基线检测项B中的端口c进行检测,实现验证规则的复用,从而提高验证规则的实现效率。同时,由于安全基线检测项A中的端口c已经有专门的元检测点C来进行检测,则安全基线检测项A中的其他检测项目(例如端口a的开放情况),则采用其他元检测点对应的验证规则来检测,也就是说同一个安全基线检测项中各个元检测点的验证规则之间互不干扰,从而降低了元检测点之间的耦合度,有助于降低安全基线检测过程中的检测复杂度。
S200、接收待检主机或主机组上报的根据安全基线检测项集合所采集的主机安全基线检测参数信息。
具体地,主机安全基线检测参数信息是指元检测点的参数信息。本申请实施例在进行主机安全基线的合规校验处理的时候,需要结合主机安全基线的各个元检测点的参数信息,例如,当元检测点为网络配置检测的时候,该元检测点对应的参数信息为网络配置信息;当元检测点为内核加载检测的时候,该元检测点对应的参数信息为内核加载信息。本申请实施例获取扫描对象的参数信息,并对获取到的参数进行验证分析,得到安全基线的检测结果,因此终端设备以元检测点为单位,获取系统基线和组件基线中至少一个扫描对象的参数信息,以进行后续的验证分析。
S300、对主机安全基线检测参数信息进行主机安全基线的合规校验处理。
具体地,本申请实施例针对安全基线检测项集合中每个安全基线检测项的检测内容,确定每个安全基线检测项的所有元检测点,由于不同安全基线检测项之间可以存在相同的元检测点,例如上述步骤S100中提到的“安全基线检测项A和安全基线检测项B中同时需要检测端口c的开放情况”,因此,本申请实施例将同时存在于多个不同安全基线检测项中的元检测点确定为第一元检测点,并将单独存在于一个安全基线检测项的元检测点确定为第二元检测点,并根据第一元检测点和第二元监测点进行主机安全基线的合规校验处理。其中,本申请实施例在后续对元检测点的合规检测过程中可以省去对不同安全基线检测项中第一元检测点的重复检测,能够提高检测效率。
主机安全基线检测参数信息包括网络配置,内核加载模块,文件系统,配置文件配置项参数中的至少一项,本申请实施例获取到主机安全基线检测参数信息后,根据元检测点对应的合规验证模式对该元检测点进行第一合规验证。示例性地,合规验证模式包括正则匹配模式。正则匹配是指利用一系列正则表达式来对该元检测点的参数信息进行匹配,正则表达式是对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符以及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。通过对该元检测点参数信息进行正则匹配,完成第一合规验证,得到该元检测点的第一检测结果,第一检测结果为验证通过或者是验证不通过。
S400、若主机安全基线的合规校验未通过,则展示或向待检主机或主机组推送主机安全基线风险告警信息。
具体地,主机安全基线风险告警信息用于描述本次安全基线检测中安全基线检测项的情况,因此风险告警信息包括以下至少之一:风险安全基线检测项名称、风险内容描述或风险修复意见;可以理解是,风险告警信息还可以包括风险等级,检测时间等等;用户可以根据风险告警信息来决定是否进行后续的安全基线修复步骤。
通过步骤S400,本申请实施例获取合规验证结果以及风险告警信息,并通过终端设备显示出来,令用户可以直观了解本次主机安全基线的检测结果。
可以理解的是,本申请实施例提出的主机安全基线管理方法,可以是终端设备自行发起,也可以由用户发起。而在本申请实施例中,当安全基线检测完毕,终端设备也可以根据合规验证结果以及风险告警信息自发对安全基线进行自动修复,也可以由用户通过终端设备显示界面上的人机交互选项发起自动修复。可以理解的是,本申请实施例的自动修复过程可以应用于图1中的终端设备101来实现,也可以在任意具有数据处理能力且设置有安全基线的装置上执行主机安全基线管理方法,例如可以在个人计算机上执行。
S500、根据主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理。
具体地,终端设备根据主机安全基线风险告警信息,生成安全基线修复配置,以对主机安全基线进行修复。可以理解的是,用户可以根据需要选择想要进行自动修复的安全基线检测项,则终端设备收到的安全基线修复配置可以是对用户选定的安全基线检测项进行修复,也可以对所有有风险的安全基线检测项进行修复。当安全基线修复完成,则生成修复结果。
需要说明的是,本申请实施例在一次自动修复过程中,可以修复一个或多个元检测点。当完成对元检测点的修复后,生成修复结果。示例性的,由于安全基线检测项包含多个元检测点,每次合规验证的结果可以包含对多个元检测点的检测结果,当安全基线检测项中存在多个元检测点的合规验证通过,且多个元检测点的合规验证不通过时,可以只对合规验证未通过的元检测点进行修复,以降低修复工作量,提高修复效率。或者,当多个元检测点的合规验证不通过时,可以根据多个元检测点的重要程度,例如判断这些元检测点是否对安全基线的运行造成实质性影响,而针对性地对这些能够造成实质性影响的元检测点进行修复。
本申请实施例在完成对主机安全基线的检测的前提下,能够根据主机安全基线的检测结果对主机安全基线中存在的风险和故障进行自动修复,能够有效提高修复效率以及修复的全面性。
在一些实施例中,对主机安全基线检测参数信息进行主机安全基线的合规校验处理,包括S310-S330:
S310、对安全基线检测项集合中所有元检测点进行第一合规验证,得到第一检测结果;其中,安全基线检测项集合包括第一元检测点和第二元检测点,第一元检测点存在于至少两个不同的安全基线检测项中,第二元检测点存在于唯一的安全基线检测项中。
具体地,本申请实施例以元检测点为单位,对元检测点进行检测。对元检测点进行的检测称为第一合规验证。需要说明的是,第一合规验证可以包括多种验证规则或者是验证方式,对安全基线检测项内的元检测点可以使用相同或不同的验证规则,完成第一合规验证后,对于每个元检测点都可以得到该元检测点的检测结果,这些对所有元检测点进行第一合规验证后得到的检测结果称为第一检测结果,第一检测结果表征该元检测点是否通过第一合规验证。
S320、从第一检测结果中提取每个安全基线检测项中包含的第一元检测点和第二元检测点对应的第一合规验证结果,对每个安全基线检测项进行第二合规验证,得到每个安全基线检测项的第二检测结果。
具体地,根据前面的描述可以得知,将安全基线检测项拆分成多个元检测点进行检测,可以降低检测的复杂度。而安全基线检测项中包含多个元检测点,需要整合每个安全基线检测项中多个元检测点的第一检测结果,对安全基线检测项进行第二合规验证。需要说明的是,不同安全基线检测项中可能包含相同的第一元检测点,因此本申请可以无需对多个安全基线检测项中相同的第一元检测点进行重复检测,只需要根据一次检测的结果,在多个安全基线检测项中重复利用,能够提高检测效率。另外,第二合规验证可以包括多种验证规则或者是验证方式,对不同安全基线检测项可以使用相同或不同的验证规则,完成第二合规验证后,对于每个安全基线检测项都可以得到该安全基线检测项的检测结果,这些对安全基线检测项进行第二合规验证后得到的检测结果称为第二检测结果,第二检测结果表征该安全基线检测项是否通过第二合规验证。
S330、将安全基线检测项集合中每个安全基线检测项的第二检测结果进行逻辑与或运算,生成待检主机或主机组的第三检测结果。
具体地,在上述步骤得到安全基线检测项的第二检测结果,由于每次主机安全基线检测时需要检测安全基线检测项集合中的所有安全基线检测项,因此将安全基线检测项集合中每个安全基线检测项的第二检测结果汇总,生成主机安全基线的第三检测结果从而完成本次主机安全基线检测。第三检测结果包括本次安全基线检测的总体评价,总体评价为通过或者是未通过。可以理解的是,第三检测结果的判定可以根据所有安全基线检测项的通过率来决定,不同的安全基线检测项可以有不同的权重,例如安全基线检测项的通过率低于50%则判断本次安全基线检测的总体评价为未通过;通过率高于或等于50%则为通过。
本申请实施例通过步骤S310-S330,实现主机安全基线的检测,对各个元检测点进行检测,各个元检测点之间的耦合度低,能够降低检测的复杂度。
在一些实施例中,S310中对安全基线检测项集合中所有元检测点进行第一合规验证,得到第一检测结果的步骤,包括步骤S311-S313:
S311、对安全基线检测项集合中所有元检测点进行分类与规整处理,确定不同细粒度的元检测点类型。
具体地,元检测点的确定并不是将安全基线检测项进行简单拆分成更小的项目,而是根据不同安全基线检测项需要的验证规则,对安全基线检测项进行逻辑性的重新分类,整合。因此需要对各个安全基线检测项中拆分出来的元检测点进行分类,确定不同细粒度的元检测点的类型。又由于不同的安全基线检测项中可能存在相同类型的元检测点,因此元检测点和安全基线检测项可以是多对多的关系。即每项安全基线检测项可以由多个元检测点组成,同时每个元检测点对应着一个或多个不同的安全基线检测项。
S312、为每种元检测点类型确定对应的合规验证模式。
具体地,本申请实施例根据元检测点的类型,为元检测点确定对应的合规验证模式。
S313、根据主机安全基线检测参数信息,通过元检测点对应的合规验证模式对元检测点进行第一合规验证,得到每个元检测点的第一合规验证结果,并将所有元检测点的第一合规验证结果作为第一检测结果;其中,合规验证模式包括正则匹配模式。
具体地,上述提到元检测点的参数信息包括网络配置,内核加载模块,文件系统,配置文件配置项参数中的至少一项,本申请实施例获取到各个元检测点的参数信息后,根据元检测点对应的合规验证模式对该元检测点进行第一合规验证。示例性地,合规验证模式包括正则匹配模式。正则匹配是指利用一系列正则表达式来对该元检测点的参数信息进行匹配,正则表达式是对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。通过对该元检测点参数信息进行正则匹配,完成第一合规验证,得到该元检测点的第一检测结果,第一检测结果为验证通过或者是验证不通过。
通过步骤S311-S313,本申请实施例完成对元检测点的分类,并根据元检测点的类型确定对应的合规验证模式;然后,根据元检测点的参数信息,通过元检测点对应的合规验证模式对安全基线检测项内的所有元检测点进行第一合规验证,得到每个元检测点的第一检测结果。
在一些实施例中,上述步骤S320包括S321-S322:
S321、获取安全基线检测项中所有第一元检测点和第二元检测点的第一合规验证结果。
具体地,由于安全基线检测项中包含多个元检测点,则完成第一合规验证后,可以获取到该安全基线检测项内所有元检测点(包括第一元检测点和第二元检测点)的第一检测结果。
S322、对所有第一元检测点和第二元检测点的第一合规验证结果进行逻辑与或运算,得到安全基线检测项的第二检测结果。
具体地,元检测点是对安全基线检测项的重新分类、整合,从另一个角度来说,安全基线检测项可以看做是若干元检测点的逻辑组合,因此对元检测点对应的第一检测结果进行逻辑与或运算,能够得到安全基线检测项的第二检测结果。在逻辑与或运算中,使用AND表示与,用OR表示或。示例性地,假设该安全基线检测项包含四个元检测点a、b、c和d,则可以设置逻辑运算(a OR b)AND(c AND d),该逻辑运算表示元检测点a或b检测通过并且c和d检测通过,若该逻辑运算为真,则该安全基线检测项的第二检测结果为通过;若该逻辑运算为假,则该安全基线检测项的第二检测结果为未通过。
通过步骤S321-S322,本申请实施例对所有元检测点的第一检测结果进行逻辑与或运算,获得该安全基线检测项的第二检测结果。
在一些实施例中,上述步骤S200接收待检主机或主机组上报的根据安全基线检测项集合所采集的主机安全基线检测参数信息,包括步骤S201-S202:
S201、接收主机安全基线检测参数信息,其中,主机安全基线检测参数信息包括以下至少之一:网络配置信息、内核加载信息、文件系统信息或配置文件信息。
具体地,本申请实施例在对元检测点进行第一合规验证的时候,需要结合各个元检测点的参数信息,例如,当元检测点为网络配置检测的时候,该元检测点对应的参数信息为网络配置信息;当元检测点为内核加载检测的时候,该元检测点对应的参数信息为内核加载信息。本申请实施例获取扫描对象的参数信息,并对获取到的参数进行验证分析,得到安全基线的检测结果,因此终端设备以元检测点为单位,获取系统基线和组件基线中至少一个扫描对象的参数信息,以进行后续的验证分析。
S202、从主机安全基线检测参数信息中确定元检测点中未加载文件系统的第一参数信息以及加载文件系统后被禁用的第二参数信息。
其中,第一参数信息和第二参数信息用于输入合规验证模式中进行第一合规验证,得到第一检测结果。
具体地,本申请实施例的第一参数信息表示未加载文件系统,也就是说对于当前待检主机或主机组来说,获取到第一参数信息表示没有加载到指定的文件系统。需要说明的是,客观上存在着不同的安全基线检测项都需要加载文件系统的情况,因此不同的安全基线检测项可以共用同一个元检测点的验证规则。示例性地,当不同的安全基线检测项共用一个元检测点,对于安全基线检测项A中的模块a,获取到的第一参数信息可以是当前安全基线未加载模块a;而对于安全基线检测项B中的模块b,获取到的第一参数信息可以是当前安全基线未加载模块b;此时,对于模块a和模块b是否加载的检测,可以共用一个元检测点的验证规则来实现,具体只需要把验证规则中的模块名称等参数进行替换就能实现对不同模块的检测。本申请实施例通过元检测点的验证规则复用来提高验证规则的实现效率。
具体地,本申请实施例的第二参数信息用于表示文件系统已加载,但文件系统已被禁用的情况。示例性地,当不同的安全基线检测项共用一个元检测点,对于安全基线检测项A中的模块a,获取到的第二参数信息可以是当前安全基线已加载模块a,且已经禁用模块a;而对于安全基线检测项B中的模块b,获取到的第二参数信息可以是当前安全基线已经加载模块b,且已经禁用模块b。本申请实施例通过元检测点的验证规则复用来提高验证规则的实现效率。
参照图3,图3为本申请实施例提供的进行数据备份的步骤流程图,图3所示的所有步骤均为本申请实施例提供的主机安全基线管理方法的步骤之一,图3中进行数据备份的方法包括但不限于步骤S600-S1000:
S600、获取安全基线检测项集合中的检测项信息,检测项信息包括以下至少之一:检测项名称、检测项内容描述、检测项的修复意见或检测项的风险等级。
具体地,根据前面的描述可以得知,安全基线检测项集合中包含多个安全基线检测项,在完成对安全基线检测项的检测后,获取安全基线检测项的信息。这些安全基线检测项的信息称为检测项信息,检测项信息包括以下至少之一:检测项名称、检测项内容描述、检测项的修复意见或检测项的风险等级。可以理解的是,对于用户来说,进行主机安全基线检测的目的是查看主机中哪里存在风险,也就是说检测的系统基线或者是组件基线中的检测出来的风险项是用户所关心的,用户可以根据检测项信息了解本次主机安全基线检测中有哪些安全基线检测项存在风险,风险等级是何种程度,再决定是否需要进行后续的安全基线修复工作。
S700、获取安全基线检测项与元检测点之间的逻辑关系信息;其中,逻辑关系信息用于表征该安全基线检测项中是否包含该元检测点。
具体地,安全基线检测项为多个元检测点的逻辑组合,因此可以获取安全基线检测项与元检测点之间的逻辑关系信息,其中,逻辑关系信息用于表征该安全基线检测项中是否包含该元检测点;根据逻辑关系信息,以便后续设计合适的逻辑运算式,根据各个元检测点的第一检测结果确定安全基线检测项的第二检测结果。
S800、获取元检测点的元检测点信息,元检测点信息包括以下至少之一:元检测点名称或合规验证的规则参数。
具体地,获取元检测点的元检测点信息,元检测点信息包括元检测点名称或合规验证的规则参数中的至少一项。由于存在不同种类的元检测点,因此可以获取元检测点的名称来对元检测点加以区分。其中,合规验证模式包括正则匹配模式,正则匹配模式是指通过事先定义好的“规则字符串”对字符串进行过滤。则在本申请实施例中,获取到的合规验证的规则参数担当“规则字符串”的角色,通过规则参数与获取到的元检测点的参数信息进行正则匹配,确定该元检测点的第一合规验证是否通过,获得通过或者是未通过的第一检测结果。由于不同种类的元检测点的合规验证模式不同,因此获取到合规验证的规则参数也可以用于对元检测点进行区分。获取到元检测点信息后,终端设备可以根据元检测点信息,以元检测点为单位获取参数信息,以便后续进行第一合规验证。
可以理解的是,在第一合规验证过程中可以获取合规验证的规则参数,也就是说本申请实施例支持用户自定义规则参数,进行自定义的安全基线检测。另外,本申请实施例也支持现行的基线检测标准,例如安全基线CIS国际标准所规定的安全基线检测项。
S900、获取第一检测结果和第二检测结果。
S1000、将检测项信息、逻辑关系信息、元检测点信息、第一检测结果以及第二检测结果存储于多个数据库表中。
通过步骤S600-S1000,本申请实施例获取到包括检测项信息、逻辑关系信息、元检测点信息以及合规验证结果在内的多种数据,并将这些数据分别存储在不同的数据库表中。
在一些实施例中,待检主机或主机组的安全基线包括系统基线和组件基线,上述步骤S100向待检主机或主机组下发安全基线检测指令,包括S110-S130:
S110、获取系统基线中的第一安全基线检测项集合,其中,系统基线包括以下至少之一:windows系统基线、windowssever系统基线、centos系统基线或者ubuntu系统基线。
具体地,根据前面的描述可以得知,主机安全基线扫描的对象包括系统基线和组件基线,终端设备获取系统基线中的若干安全基线检测项,这些安全基线检测项的集合称为第一安全基线检测项集合。示例性地,系统基线可以为多个windows/Linux系统基线,包括但不限于windows 10,centos6/7/8,windows sever2008,windows sever2012,windowssever2019,ubuntu12/14/16/18,debian7/8/9/10等。
S120、获取组件基线中的第二安全基线检测项集合,其中,组件基线包括数据库基线以及web应用基线。
具体地,根据前面的描述可以得知,主机安全基线扫描的对象包括系统基线和组件基线,终端设备获取系统基线中的若干安全基线检测项,这些安全基线检测项的集合称为第一安全基线检测项集合。组件基线可以为多个主流数据库,web应用等的组件基线,包括但不限于NGINX,MongoDB,Oracle_MySQL_Enterprise_Edition,CIS_Oracle_MySQL_Community_Server,PostgreSQL,Kubernetes,Apache等。
S130、根据第一安全基线检测项集合和第二安全基线检测项集合,向待检主机或主机组下发安全基线检测指令。
其中,安全基线检测项包括以下至少之一:文件权限项、弱密码项、风险端口开放度项、文件系统分区设置项、安全启动设置项、访问控制项、安装更新及补丁设置项、主机服务检查项、网络参数检查项、防火墙配置项、网络协议配置项、日志记录设置项或root权限登录设置项。
通过步骤S110-S120,终端设备扫描主机中的系统基线获得第一安全基线检测项集合,扫描组件基线获得第二安全基线检测项集合,以确定本次主机安全基线检测中需要检测的安全基线检测项。
需要说明的是,本申请实施例中提到的安全基线检测项是指安全基线需要检测的系统或者组件中可能存在的主机安全风险项,这些安全基线检测项包括但不限于文件权限,弱密码,风险端口开放,文件系统分区设置,安全启动设置,访问控制,安装更新及补丁设置,主机服务检查,网络参数检查,防火墙配置,网络协议配置,日志记录设置,root权限登录设置等。
可以理解的是,在每次主机安全基线检测过程中,这些安全基线检测项可以灵活组合,组成安全基线检测项集合。该集合的具体组合方式可以根据用户的需求决定,也可以对不同安全基线检测项制定不同的检测周期,例如每隔30天对文件系统分区设置进行一次扫描,每隔60天对网络参数进行一次扫描。同理,该集合也可以包含必测项和选测项,例如安装更新及补丁设置、防火墙配置设置为必测项,日志记录设置、root权限登录设置等设置为选测项。本申请实施例不对安全基线检测项集合中安全基线检测项的具体组合方式作具体限定。
在一些实施例中,上述步骤S500根据主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理,包括S501-S503:
S501、根据安全基线风险告警信息匹配待检主机或主机组中待修复的安全基线检测项。
具体地,如前面,第三检测结果是由第二检测结果汇总得到的,而第二检测结果为对安全基线检测项进行第二合规验证得到的,因此根据第三检测结果,可以确定主机安全基线中存在风险的安全基线检测项,也就是安全基线风险告警信息。在一次自动修复过程中,可以修复一个或多个安全基线检测项。
S502、根据待修复的安全基线检测项确定待修复的元检测点。
具体地,如前面,本申请实施例将安全基线检测项拆分为若干元检测点,以元检测点为单位进行第一合规验证,然后对根据安全基线检测项与元检测点的逻辑关系进行第二合规验证,将获得的第二检测结果汇总获得第三检测结果,则完成主机安全基线的检测。因此,可以通过待修复的安全基线检测项确定该安全基线检测项中待修复的元检测点。
S503、根据待修复的元检测点生成安全基线修复配置,以对待修复的元检测点进行自动修复处理并生成修复结果。
具体地,本申请实施例中的主机安全基线自动修复方法,是以元检测点为基本单位进行修复的;终端设备根据自动修复指令,对待修复的元检测点进行修复,在一次自动修复过程中,可以修复一个或多个元检测点。当完成对元检测点的修复后,生成修复结果。需要说明的是,由于安全基线检测项包含多个元检测点,可以只对第一合规验证未通过的元检测点进行修复,第一合规验证通过的元检测点无需修复,以降低修复工作量。
示例性的,本申请实施例在自动修复处理的过程中,可以对待检主机或主机组中的一个异常元检测点进行修复,可以对多个异常元检测点组合的异常安全基线检测项进行修复,也可以对安全基线检测项集合中的所有异常安全基线检测项进行修复,以上修复处理过程均可根据待检主机或主机组的运行状况来确定,例如只有一个元检测点会对待检主机或主机组造成运行影响时,则可以只对该元检测点进行修复,以减少修复工作量并提高修复效率,本申请在此不对修复对象进行限定。
通过步骤S501-S503,本申请实施例根据第三检测结果对应的风险告警信息,确定主机安全基线中待修复的安全基线检测项,并根据待修复的安全基线检测项确定待修复的元检测点,以元检测点为单元进行自动修复,并生成修复结果。
在一些实施例中,还提供了获取风险告警信息的方法,获取风险告警信息的方法包括步骤S504-S505:
S504、获取主机安全基线风险告警信息,主机安全基线风险告警信息包括以下至少之一:风险安全基线检测项名称、风险内容描述或风险修复意见。
具体地,风险告警信息用于描述本次安全基线检测中安全基线检测项的情况,因此风险告警信息包括以下至少之一:风险安全基线检测项名称、风险内容描述或风险修复意见;可以理解是,风险告警信息还可以包括风险等级,检测时间等等;用户可以根据风险告警信息来决定是否进行后续的安全基线修复步骤。
S505、显示主机安全基线风险告警信息。
具体地,通过终端设备的输出设备来显示本次安全基线检测的第三检测结果以及风险告警信息。参照图4,图4为本发明实施例提供的终端设备的第一界面示意图。如图4所示,终端设备根据本申请实施例提供的主机安全基线管理方法对主机的安全基线进行检测,通过上述步骤获得第三检测结果以及风险告警信息,并在终端设备的第一界面901上显示第三检测结果以及风险告警信息。显示内容可以以圆环图、表格等多种方式展现。示例性地,例如前面,第三检测结果可以由所有安全基线检测项的通过率来决定,则在显示界面上可以同时展示第三检测结果910和所有安全基线检测项的通过率920,并使用表格的形式展现风险告警信息930。
另外,参照图5,图5为本发明实施例提供的终端设备的第二界面示意图,如图5所示,终端设备在显示界面上展示了更为详细的风险告警信息1010,包括详细的风险内容描述、处理建议,另外,第二界面1001还展示了人机交互选项1020,人机交互选项包括但不限于重新检测、忽略风险和自动修复,用户可以通过人机交互选项选择对特定的安全基线检测项或者全部安全基线检测项发起指定操作,指定操作包括但不限于重新检测、忽略风险和自动修复。
本申请实施例通过图4展示执行了主机安全基线管理方法后获得的第三检测结果以及风险告警信息;通过图5展示了更详细的风险告警信息以及人机交互选项,用户通过终端设备的界面了解当前终端设备的主机安全基线存在哪些安全风险,清晰直观;用户还可以通过人机交互选项自行选择对各个安全基线检测项的后续操作。
通过步骤S504-S505,本申请实施例获取第三检测结果以及风险告警信息,并通过终端设备显示出来,令用户可以直观了解本次主机安全基线的检测结果。
可以理解的是,本申请实施例提出的主机安全基线管理方法,可以是终端设备自行发起,也可以由用户发起。而在本申请实施例中,当安全基线检测完毕,终端设备也可以根据第三检测结果以及风险告警信息自发对安全基线进行自动修复,也可以由用户通过如图5所示的人机交互选项发起自动修复。可以理解的是,本申请实施例的自动修复过程可以应用于图1中的终端设备101来实现,也可以在任意具有数据处理能力且设置有安全基线的装置上执行主机安全基线管理方法,例如可以在个人计算机上执行。
在一些实施例中,还包括发送修复结果的步骤,发送修复结果的方法包括但不限于步骤S506-S507:
S506、获取修复结果。
具体地,终端设备获取修复结果,该修复结果包括修复成功结果和修复失败结果。当所有待修复的元检测点修复完毕,则生成修复成功结果;当存在没有修复成功的元检测点,则生成修复失败结果。
S507、根据修复结果生成修复状态信息,将修复状态信息发送至服务器。
具体地,终端设备根据获取到的修复结果生成修复状态信息,修复结果包括修复成功结果和修复失败结果,因此修复成功结果对应生成修复成功状态,修复失败结果对应生成修复失败原因,终端设备将生成的修复状态信息发送至服务器,搭载在云上的服务器可以是指一台服务器,或者是指由若干台服务器组成的服务器集群,又或者是指一个云计算服务中心。服务器可以用于接收主机安全基线修复的修复状态信息,并将这些修复状态信息存储起来,便于主机安全基线日常维护时溯源修复记录。
通过步骤S506-S507,本申请实施例根据修复结果生成修复状态信息,并将修复状态信息发送至服务器。
在一些实施例中,还提供了数据还原的方法,该方法包括S508-S509:
S508、根据安全基线修复配置,确定待修复的配置信息。
具体地,安全基线修复配置可以是终端设备收到的自动修复指令,用于确定待修复的配置信息,待修复的配置信息包括但不限于在自动修复过程中可能会进行更改的系统配置、文件等信息。
S509、根据待修复的配置信息生成备份信息,备份信息用于将修复后的待检主机或主机组的主机安全基线恢复到修复前的主机安全基线。
具体地,上述待修复的配置信息包括系统配置和文件等,根据待修复的配置信息生成备份信息,即将修复过程中可能修改的文件备份到本地及后台,将修复过程中可能修改的系统配置备份到后台,系统配置的备份信息可以包含配置项的路径信息以及对应的值。本申请实施例通过生成备份信息,可以有效提高自动修复过程中的容灾能力及可恢复性,当自动修复过程中出现问题,用户可以根据备份信息,将安全基线检测项回滚到自动修复前的状态。本申请实施例中,回滚以元检测点为基本单元,将每个元检测点修复过程中修改的文件,配置等信息依次恢复回滚到修复前的状态,例如文件回滚就是将备份在本地或者后台的文件替换恢复为修复前备份的文件;而配置回滚就是将备份在后台的系统设置,配置信息恢复为修复前的状态。
可以理解的是,在完成对主机安全基线的修复之后,可以对修复好的安全基线检测项重新发起一次检测,根据本申请实施例提出的主机安全基线管理方法进行检测,若检测通过,则表示本次自动修复成功,生成修复成功结果;若检测不通过,则生成修复失败结果。
通过步骤S508-S509,本申请实施例根据自动修复指令,确定待修复的配置信息,并根据待修复的配置信息生成备份信息,将包括系统配置和文件在内的信息备份到本地、后台,以便有需要时可以将修复后的主机安全基线恢复到修复前的主机安全基线。
综上,本申请实施例可以获取安全基线检测项的第三检测结果;然后根据第三检测结果,生成自动修复指令;并响应于自动修复指令的触发,对主机安全基线进行修复,生成修复结果。本申请实施例能够根据主机安全基线的检测结果,对主机安全基线中存在的风险和故障进行自动修复,能够有效提高修复效率以及修复的全面性。
基于上述实施例提到的主机安全基线管理方法中包括的安全基线检测过程以及安全基线修复过程,下面阐述终端设备执行安全基线检测和安全基线修复的过程,参照图6,图6为本申请实施例提供的主机安全基线检测及修复过程的步骤流程图,该方法包括但不限于步骤S1100-S2300:
S1100、建立与待检主机或主机组的通讯连接,向建立通讯连接的待检主机或主机组下发安全基线检测指令。
具体地,本申请实施例可以通过如图1所示的移动终端101向待检主机或主机组下发安全基线检测指令,例如可以是安全基线扫描配置,扫描配置包括针对待检主机或主机组所配置的安全基线检测项集合,安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项。示例性的,可以在控制台选择要扫描的主机安全基线项目,并发起扫描检测,具体是通过下发扫描配置来进行检测,其中,扫描配置包括了扫描的系统,检测项及对应的数据采集脚本等信息。
S1200、接收待检主机或主机组上报的根据安全基线检测项集合所采集的主机安全基线检测参数信息。
具体地,本申请实施例扫描收集所有元检测点需要的合规参数数据,例如网络配置,内核加载模块,文件系统,配置文件配置项参数等。示例性的,对于模块加载类型的元检测点,则需要收集上报已加载的所有模块的信息。本申请实施例的数据采集以元检测点为基本单位进行采集。步骤S1200的具体实现方法可参考前面步骤S200所示。
S1300、根据主机安全基线检测参数信息对安全基线检测项集合中所有元检测点进行第一合规验证。
具体地,本申请实施例可以获取多个元检测点的合规参数,其中,获取合规参数的途径可以是终端设备的本地文件,或者是服务器存储的文件。本申请实施例根据获取到的元检测点的合规参数,将元检测点的参数数据和元检测点的合规参数进行第一合规验证,输出第一检测结果。第一检测结果表征当前元检测点是否通过第一合规检验。步骤S1300的具体实现方法可参考前面步骤S310所示。
S1400、从第一检测结果中提取每个安全基线检测项中包含的第一元检测点和第二元检测点对应的第一合规验证结果,对每个安全基线检测项进行第二合规验证,得到每个安全基线检测项的第二检测结果。
具体地,本申请实施例在进行第一合规验证,输出第一检测结果后,由于安全基线检测项是多个元检测点的逻辑组合,因此可以通过多个元检测点的第一检测结果进行逻辑与或运算,对安全基线检测项进行逻辑与或运算验证,也就是第二合规验证,从而获得第二检测结果。步骤S1400的具体实现方法可参考前面步骤S320所示。
S1500、将安全基线检测项集合中每个安全基线检测项的第二检测结果进行逻辑与或运算,生成待检主机或主机组的第三检测结果。
具体地,本申请实施例汇总所有安全基线检测项的第二检测结果,生成第三检测结果。第三检测结果包括本次安全基线检测的总体评价,总体评价为通过或者是未通过。步骤S1500的具体实现方法可参考前面步骤S330所示。
S1600、根据第三检测结果,判断主机安全基线检测的合规校验处理是否通过。
具体地,本申请实施例可以根据第三检测结果来确定合规校验处理是否通过,示例性的,第三检测结果的判定可以根据所有安全基线检测项的通过率来决定,不同的安全基线检测项可以有不同的权重,例如安全基线检测项的通过率低于50%则判断本次安全基线检测的总体评价为未通过;通过率高于或等于50%则为通过。
S1700、若主机安全基线的合规校验未通过,则展示或向待检主机或主机组推送主机安全基线风险告警信息。
具体地,本申请实施例的风险告警信息包括未通过的安全基线检测项及修复建议等信息。示例性的,若合规验证没有通过,则可以通过终端设备的显示界面展示风险告警信息,包括未通过的安全基线检测项及修复建议等信息,用户根据这些风险信息可以自行决定是否发起安全基线的自动修复,例如可以通过图1所示的终端设备101发起自动修复指令。
S1800、响应于自动修复指令的触发,根据主机安全基线风险告警信息下发安全基线修复配置。
具体地,本申请实施例响应于终端设备101发出的自动修复指令,确定执行安全基线的自动修复,则下发修复配置文件。其中,修复配置文件内容包括:待修复的检测项信息,待修复的检测项备份信息等。其中,待修复的检测项信息是指在一次修复过程中可以修复多个未通过的检测项,每个检测项包含一个或多个待修复的元检测点,每个元检测点包含一组修复指令,另外,检测项备份信息是指每个检测项包含一个或多个元检测点,每个元检测点包含一组备份指令。
S1900、对修复过程中要修改的设置和文件等信息进行备份,对检出的主机安全基线风险进行自动修复处理。
具体地,为了提高自动修复过程中的容灾能力及可恢复性,本申请实施例对包括但不限于对修复过程中会改动的配置、文件、系统设置等信息进行备份。其中,对于文件,备份方式可以为将目标文件备份到本地及后台;而对于系统配置和配置信息,备份方式可以为将待备份数据保存到后台,备份数据包括配置项的路径信息及对应的值。
S2000、对所有存在风险的元检测点进行修复完成情况的检查,判断是否所有存在风险的元检测点都完成修复。
具体地,本申请实施例可以对存在风险的元检测点进行自动修复,例如,未通过合规校验的元检测点为“确保未加载freevxfs模块”,则本申请实施例可以使用的针对该元检测点的修复指令为:rmmodfreevxfs。类似地,本申请可以完成所有存在风险的元检测点的修复。完成修复后,本申请实施例通过步骤S2000判断是否所有存在风险的元检测点都完成修复,以确保安全基线修复完成。
S2100、对完成修复后的安全基线检测项重新发起合规校验处理。
具体地,本申请实施例在完成基线风险修复后,可以对修复的检测项重新发起一次检测,如果合规检测结果通过,则向终端设备或云端服务器返回修复成功的信息,否则将检测不通过的检测项信息进行上报,检测不通过的检测项信息包括检测失败的元检测点及检测失败原因等信息。
S2200、根据对修复后的安全基线检测项的合规校验处理结果,展示自动修复结果。
S2300、响应于回滚处理指令,将自动修复过程中修改的文件,配置等信息依次恢复回滚到修复前的状态。
具体地,本申请实施例的回滚处理指令可以包括文件数据恢复指令、系统信息恢复指令以及配置信息恢复指令等。
通过步骤S1100-S2300,本申请实施例在终端设备执行主机安全基线管理方法,首先下发安全基线检测指令,确定需要检测的安全基线检测项和元检测点,然后以元检测点为单位,采集所需要的参数,并将采集到的参数和获取到的元检测点合规参数进行第一合规验证,获得第一检测结果。当所有元检测点都检测完毕,根据各个元检测点的逻辑关系,对安全基线检测项进行第二合规验证,获得第二检测结果,并将第二检测结果汇总得到第三检测结果,根据第三检测结果判断本次主机安全基线的合规验证是否通过。若本次主机安全基线的检测未通过,则通过终端设备的展示界面展示包括未通过的安全基线检测项在内的风险信息,用户可以直观查看风险信息,并通过人机交互选项发起安全基线的自动修复。当终端系统判断需要进行自动修复,则首先下发修复配置,确定需要检测的项目及备份指令,将自动修复过程中可能会更改的系统配置和文件等均进行备份保存,待所有检测项自动修复完毕后,再重新进行一次主机安全基线检测,来确定本次自动修复是否通过,并在终端系统的显示界面展示修复结果。当自动修复完成,用户可以选择将检测项恢复回滚到修复前的状态,终端设备根据回滚操作的系列指令以及存储在本地或后台的备份信息,将每个元检测点修复过程中修改的文件,配置等信息依次恢复回滚到修复前的状态。
参照图7,图7为本申请实施例提供的主机安全基线管理装置的结构示意图,该管理装置1401可以应用于图1所示的终端设备101,比如该装置可以通过硬件或者软硬结合的方式实现终端设备101的部分或者全部功能,以实现如前面主机安全基线管理方法中的步骤。如图7所示,该管理装置1401可以包括:
第一模块1410,用于向待检主机或主机组下发安全基线检测指令,其中,安全基线检测指令包括针对待检主机或主机组所配置的安全基线检测项集合,安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项;
第二模块1420,用于接收待检主机或主机组上报的根据安全基线检测项集合所采集的主机安全基线检测参数信息;
第三模块1430,用于对主机安全基线检测参数信息进行主机安全基线的合规校验处理;
第四模块1440,用于若主机安全基线的合规校验未通过,则展示或向待检主机或主机组推送主机安全基线风险告警信息;
第五模块1450,用于根据主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理。
在一些实施例中,上述管理装置还可以包括核心处理模块单元,该核心处理模块单元可以包括备份回滚模块、修复模块、修复验证模块、通信模块以及控制台模块。
具体地,本申请实施例的修复模块可以作为自动修复的核心模块,用于对每个安全基线检测项进行自动修复。
当上述修复模块完成对安全基线检测项的自动修复后,可以调用修复验证模块对所有安全基线检测项进行基线安全检测,如果检测结果通过,则通过待检主机或主机组向云服务器或终端设备上报修复成功状态的信息,如果检测结果不通过,则上报修复失败原因等信息。
上述通信模块用于实现移动终端和云服务器之间的的数据通信下发及上报等功能。
另外,在通过上述修复模块对安全基线检测项进行自动修复前,可以通过备份回滚模块将需要修复改动的配置、文件等信息进行备份记录,在需要时用户可选择回滚恢复到修复前的状态。
本申请实施例还可以通过控制台模块对自动修复策略进行配置,并且向修复模块下发自动修复指令,以控制修复模块执行修复处理;还可以响应于用户输入的结果展示指令,将修复结果进行展示。
综上,本申请实施例提供的管理装置,首先向待检主机或主机组下发安全基线检测指令,其中,安全基线检测指令包括针对待检主机或主机组所配置的安全基线检测项集合,安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项,本申请实施例从每个安全基线检测项中拆分得到多个元检测点,进而通过每个元检测点的检测逻辑实现检测,相较于部署每个安全基线检测项的检测逻辑,使得部署每个元检测点的检测逻辑更加快速高效,另外,不同安全基线检测项之间存在共有的元检测点,因此不同安全基线检测项可以共用同一个元检测点的检测逻辑,提高了检测逻辑的实现效率;接着,本申请实施例接收待检主机或主机组上报的根据安全基线检测项集合所采集的主机安全基线检测参数信息;对主机安全基线检测参数信息进行主机安全基线的合规校验处理;若主机安全基线的合规校验未通过,则展示或向待检主机或主机组推送主机安全基线风险告警信息;根据主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理;本申请实施例能够根据主机安全基线风险告警信息,对检出的主机安全基线风险进行自动修复,能够有效提高修复效率以及修复的全面性。
本申请实施例还提供了一种电子设备,该设备包括处理器以及存储器;
存储器存储有程序;
处理器执行程序以执行图2所示的主机安全基线管理方法;
该电子设备具有运行本申请实施例提出的消息队列的功能,例如个人计算机(Personal Computer,PC)、手机、智能手机、个人数字助手(Personal Digital Assistant,PDA)、可穿戴设备、掌上电脑PPC(Pocket PC)、平板电脑等。
在本申请实施例中,该终端设备所包括的处理器具有以下功能:
向待检主机或主机组下发安全基线检测指令,其中,安全基线检测指令包括针对待检主机或主机组所配置的安全基线检测项集合,安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项;
接收待检主机或主机组上报的根据安全基线检测项集合所采集的主机安全基线检测参数信息;
对主机安全基线检测参数信息进行主机安全基线的合规校验处理;
若主机安全基线的合规校验未通过,则展示或向待检主机或主机组推送主机安全基线风险告警信息;
根据主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理。
本申请实施例还公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行图2所示的主机安全基线管理方法。
在一些可选择的实施例中,在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如,取决于所涉及的功能/操作,连续示出的两个方框实际上可以被大体上同时地执行或方框有时能以相反顺序被执行。此外,在本发明的流程图中所呈现和描述的实施例以示例的方式被提供,目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的,其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。
此外,虽然在功能性模块的背景下描述了本发明,但应当理解的是,除非另有相反说明,的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中,或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是,有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说,考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下,在工程师的常规技术内将会了解该模块的实际实现。因此,本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是,所公开的特定概念仅仅是说明性的,并不意在限制本发明的范围,本发明的范围由所附权利要求书及其等同方案的全部范围来决定。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
以上是对本发明的较佳实施进行了具体说明,但本发明并不限于实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (14)
1.一种主机安全基线管理方法,其特征在于,包括:
向待检主机或主机组下发安全基线检测指令,其中,所述安全基线检测指令包括针对所述待检主机或主机组所配置的安全基线检测项集合,所述安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项;
接收所述待检主机或主机组上报的根据所述安全基线检测项集合所采集的主机安全基线检测参数信息;
对所述主机安全基线检测参数信息进行主机安全基线的合规校验处理;
若所述主机安全基线的合规校验未通过,则展示或向所述待检主机或主机组推送主机安全基线风险告警信息;
根据所述主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理。
2.根据权利要求1所述的主机安全基线管理方法,其特征在于,所述对所述主机安全基线检测参数信息进行主机安全基线的合规校验处理,包括:
对所述安全基线检测项集合中所有元检测点进行第一合规验证,得到第一检测结果;其中,所述安全基线检测项集合包括第一元检测点和第二元检测点,所述第一元检测点存在于至少两个不同的安全基线检测项中,所述第二元检测点存在于唯一的安全基线检测项中;
从所述第一检测结果中提取每个所述安全基线检测项中包含的所述第一元检测点和所述第二元检测点对应的第一合规验证结果,对每个所述安全基线检测项进行第二合规验证,得到每个所述安全基线检测项的第二检测结果;
将所述安全基线检测项集合中每个所述安全基线检测项的所述第二检测结果进行逻辑与或运算,生成所述待检主机或主机组的第三检测结果。
3.根据权利要求2所述的主机安全基线管理方法,其特征在于,所述对所述安全基线检测项集合中所有元检测点进行第一合规验证,得到第一检测结果,包括:
对所述安全基线检测项集合中所有元检测点进行分类与规整处理,确定不同细粒度的元检测点类型;
为每种所述元检测点类型确定对应的合规验证模式;
根据所述主机安全基线检测参数信息,通过所述元检测点对应的合规验证模式对所述元检测点进行所述第一合规验证,得到每个所述元检测点的第一合规验证结果,并将所有元检测点的第一合规验证结果作为第一检测结果;
其中,所述合规验证模式包括正则匹配模式。
4.根据权利要求2所述的主机安全基线管理方法,其特征在于,所述从所述第一检测结果中提取每个所述安全基线检测项中包含的所述第一元检测点和所述第二元检测点对应的第一合规验证结果,对每个所述安全基线检测项进行第二合规验证,得到每个所述安全基线检测项的第二检测结果,包括:
获取所述安全基线检测项中所有第一元检测点和第二元检测点的第一合规验证结果;
对所述所有第一元检测点和第二元检测点的第一合规验证结果进行逻辑与或运算,得到所述安全基线检测项的第二检测结果。
5.根据权利要求3所述的主机安全基线管理方法,其特征在于,所述接收所述待检主机或主机组上报的根据所述安全基线检测项集合所采集的主机安全基线检测参数信息,包括:
接收主机安全基线检测参数信息,其中,所述主机安全基线检测参数信息包括以下至少之一:网络配置信息、内核加载信息、文件系统信息或配置文件信息;
从所述主机安全基线检测参数信息中确定所述元检测点中未加载文件系统的第一参数信息以及加载所述文件系统后被禁用的第二参数信息;
其中,所述第一参数信息和所述第二参数信息用于输入所述合规验证模式中进行所述第一合规验证,得到所述第一检测结果。
6.根据权利要求2-5任一项所述的主机安全基线管理方法,其特征在于,所述方法还包括数据备份的步骤,该步骤包括:
获取所述安全基线检测项集合中的检测项信息,所述检测项信息包括以下至少之一:检测项名称、检测项内容描述、检测项的修复意见或检测项的风险等级;
获取所述安全基线检测项与元检测点之间的逻辑关系信息;其中,所述逻辑关系信息用于表征该安全基线检测项中是否包含该元检测点;
获取所述元检测点的元检测点信息,所述元检测点信息包括以下至少之一:元检测点名称或合规验证的规则参数;
获取所述第一检测结果和所述第二检测结果;
将所述检测项信息、所述逻辑关系信息、所述元检测点信息、所述第一检测结果以及所述第二检测结果存储于多个数据库表中。
7.根据权利要求5所述的主机安全基线管理方法,其特征在于,所述待检主机或主机组的安全基线包括系统基线和组件基线,所述向待检主机或主机组下发安全基线检测指令,包括:
获取所述系统基线中的第一安全基线检测项集合,其中,所述系统基线包括以下至少之一:windows系统基线、windowssever系统基线、centos系统基线或者ubuntu系统基线;
获取所述组件基线中的第二安全基线检测项集合,其中,所述组件基线包括数据库基线以及web应用基线;
根据所述第一安全基线检测项集合和所述第二安全基线检测项集合,向待检主机或主机组下发安全基线检测指令;
其中,所述安全基线检测项包括以下至少之一:文件权限项、弱密码项、风险端口开放度项、文件系统分区设置项、安全启动设置项、访问控制项、安装更新及补丁设置项、主机服务检查项、网络参数检查项、防火墙配置项、网络协议配置项、日志记录设置项或root权限登录设置项。
8.根据权利要求1所述的主机安全基线管理方法,其特征在于,所述根据所述主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理,包括:
根据所述安全基线风险告警信息匹配所述待检主机或主机组中待修复的安全基线检测项;
根据所述待修复的安全基线检测项确定待修复的元检测点;
根据所述待修复的元检测点生成所述安全基线修复配置,以对所述待修复的元检测点进行自动修复处理并生成修复结果。
9.根据权利要求8所述的主机安全基线管理方法,其特征在于,所述方法还包括:
获取所述主机安全基线风险告警信息,所述主机安全基线风险告警信息包括以下至少之一:风险安全基线检测项名称、风险内容描述或风险修复意见;
显示所述主机安全基线风险告警信息。
10.根据权利要求8或9所述的主机安全基线管理方法,其特征在于,所述方法还包括:
获取所述修复结果,所述修复结果包括修复成功结果和修复失败结果;
根据所述修复结果生成修复状态信息,将所述修复状态信息发送至服务器进行解析处理;
其中,所述修复状态信息包括修复成功状态或修复失败原因。
11.根据权利要求10所述的主机安全基线管理方法,其特征在于,所述方法还包括数据还原的步骤,该步骤包括:
根据所述安全基线修复配置,确定待修复的配置信息;
根据所述待修复的配置信息生成备份信息,所述备份信息用于将修复后的所述待检主机或主机组的主机安全基线恢复到修复前的所述主机安全基线。
12.一种主机安全基线管理装置,其特征在于,包括:
第一模块,用于向待检主机或主机组下发安全基线检测指令,其中,所述安全基线检测指令包括针对所述待检主机或主机组所配置的安全基线检测项集合,所述安全基线检测项集合包括至少一个由多个元检测点逻辑与或组合而成的安全基线检测项;
第二模块,用于接收所述待检主机或主机组上报的根据所述安全基线检测项集合所采集的主机安全基线检测参数信息;
第三模块,用于对所述主机安全基线检测参数信息进行主机安全基线的合规校验处理;
第四模块,用于若所述主机安全基线的合规校验未通过,则展示或向所述待检主机或主机组推送主机安全基线风险告警信息;
第五模块,用于根据所述主机安全基线风险告警信息下发安全基线修复配置,以对检出的主机安全基线风险进行自动修复处理。
13.一种电子设备,其特征在于,包括处理器以及存储器;
所述存储器用于存储程序;
所述处理器执行所述程序实现如权利要求1-11中任一项所述的方法。
14.一种计算机可读存储介质,其特征在于,所述存储介质存储有程序,所述程序被处理器执行实现如权利要求1-11中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110377596.7A CN115204539A (zh) | 2021-04-08 | 2021-04-08 | 主机安全基线管理方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110377596.7A CN115204539A (zh) | 2021-04-08 | 2021-04-08 | 主机安全基线管理方法、装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115204539A true CN115204539A (zh) | 2022-10-18 |
Family
ID=83570482
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110377596.7A Pending CN115204539A (zh) | 2021-04-08 | 2021-04-08 | 主机安全基线管理方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115204539A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116016261A (zh) * | 2022-12-26 | 2023-04-25 | 广州市保伦电子有限公司 | 一种系统运维方法、装置及设备 |
-
2021
- 2021-04-08 CN CN202110377596.7A patent/CN115204539A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116016261A (zh) * | 2022-12-26 | 2023-04-25 | 广州市保伦电子有限公司 | 一种系统运维方法、装置及设备 |
CN116016261B (zh) * | 2022-12-26 | 2024-05-14 | 广东保伦电子股份有限公司 | 一种系统运维方法、装置及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11226892B2 (en) | Analyzing software test failures using natural language processing and machine learning | |
CN107291911B (zh) | 一种异常检测方法和装置 | |
CN110088744B (zh) | 一种数据库维护方法及其系统 | |
US20090292743A1 (en) | Modeling user access to computer resources | |
US11327742B2 (en) | Affinity recommendation in software lifecycle management | |
US7617086B2 (en) | Monitoring simulating device, method, and program | |
JP2017201470A (ja) | 設定支援プログラム、設定支援方法及び設定支援装置 | |
EP3163445B1 (fr) | Mécanisme d'analyse de corrélation lors de la dégradation des performances d'une chaîne applicative | |
EP3726386A1 (en) | Systems and methods for operating a virtual power environment | |
CN110971464A (zh) | 一种适合灾备中心的运维自动化系统 | |
CN113590432A (zh) | 数据库的巡检方法与装置 | |
CN110063042A (zh) | 一种数据库故障的响应方法及其终端 | |
CN111694612A (zh) | 配置检查方法、装置、计算机系统及存储介质 | |
US9734042B1 (en) | System, method, and computer program for automated parameterized software testing | |
CN108804257B (zh) | 终端状态检测方法、装置、终端及存储介质 | |
CN114490375A (zh) | 应用程序的性能测试方法、装置、设备及存储介质 | |
US20120204149A1 (en) | Discovery-based migration correctness testing | |
US8090994B2 (en) | System, method, and computer readable media for identifying a log file record in a log file | |
US9405657B2 (en) | Application architecture assessment system | |
US9720685B2 (en) | Software development activity | |
CN115204539A (zh) | 主机安全基线管理方法、装置、设备及介质 | |
CN113051180A (zh) | 测试任务的监测方法、装置、设备及存储介质 | |
CN112000539A (zh) | 一种巡检方法及装置 | |
CN116662197A (zh) | 一种接口自动化测试方法、系统、计算机和可读存储介质 | |
CN112131090B (zh) | 业务系统性能监控方法及装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |