CN116561765A - 一种基于知识库的基线核查方法、装置、设备及存储介质 - Google Patents
一种基于知识库的基线核查方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116561765A CN116561765A CN202310571431.2A CN202310571431A CN116561765A CN 116561765 A CN116561765 A CN 116561765A CN 202310571431 A CN202310571431 A CN 202310571431A CN 116561765 A CN116561765 A CN 116561765A
- Authority
- CN
- China
- Prior art keywords
- checking
- target
- verification
- knowledge base
- item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012795 verification Methods 0.000 claims abstract description 131
- 238000004590 computer program Methods 0.000 claims description 14
- 238000009960 carding Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 238000013499 data model Methods 0.000 claims description 5
- 238000012216 screening Methods 0.000 claims description 4
- 230000008859 change Effects 0.000 abstract description 4
- 238000012423 maintenance Methods 0.000 description 11
- 230000004044 response Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 9
- 238000011161 development Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000008520 organization Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000009411 base construction Methods 0.000 description 2
- 238000003339 best practice Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000000750 progressive effect Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/027—Frames
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种基于知识库的基线核查方法、装置、设备及存储介质,涉及信息安全技术领域,包括:从核查知识库中选择待核查设备的目标设备信息,确定待核查设备对应的当前核查项;确定当前核查项对应的核查类型,根据核查类型以及当前核查项生成目标核查命令,对目标核查命令进行验证以获取目标核查命令的验证结果;根据验证结果确定当前核查项的标准值以及对比规则,基于目标设备信息、标准值以及对比规则生成当前核查项的目标内容,以根据目标内容进行基线核查操作;目标内容包括核查项名称、安全配置建议、目标核查命令、标准值以及对比规则。本申请提供了一种基于知识库的基线核查方法,能够快速响应基线标准变更,提升基线核查效率。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种基于知识库的基线核查方法、装置、设备及存储介质。
背景技术
基线核查是一种评估计算机系统是否符合安全标准的方法,它的目的是检查系统是否符合所需的安全控制要求,例如安全策略、法规、行业标准等。基线标准通常包括系统设置、应用程序配置、用户权限和安全策略等方面,基线核查则是通过对这些方面进行评估,来确定系统的安全性,可以通过手动核查、自动化核查或两者结合的方式进行。现有基线核查系统的主要功能一般为,按照既定的安全基线要求,内置默认类型的核查模板,通过远程登录目标系统的方式进行自动化基线核查。然而,现有的基线核查系统存在一个常见问题,即在定制化核查能力扩展难。
由于技术不断发展和安全威胁不断演变,现有的基线标准可能随时过时或不足以保护系统免受最新的攻击;因此,组织需要不断更新和改进其基线标准,以确保其系统得到适当的保护,这就需要自动化基线核查系统中内置的模板同步进行更新,但这些系统一般由各个安全厂商维护,通常需要较长的时间周期并经过大量的修改和调整,才能适应特定的核查环境和核查要求,时效性差,难以对突发的安全事件进行及时响应;即便对于某些开放了用户自定义核查功能的系统,由于基线模板的数据结构复杂、不同设备类型配置文件差异大、检查命令语法要求高、调试过程复杂等原因,需要用户投入专业的运维人员进行专业的培训后,才能在该系统中进行自定义核查功能的开发,学习和运维成本较高且受核查系统的限定较多,扩展性不强。因此,如何提升安全响应速度和基线核查效率,成立亟待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种基于知识库的基线核查方法、装置、设备及存储介质,能够通过简单配置即可根据自定义需求生成自动化核查命令及模板的方案,以快速响应基线标准的变更,方便定制化核查能力的扩展,以提升安全响应速度和基线核查效率。其具体方案如下:
第一方面,本申请公开了一种基于知识库的基线核查方法,包括:
从预先构建的核查知识库中选择待核查设备的目标设备信息,并确定所述待核查设备对应的当前核查项;
确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,并对所述目标核查命令进行验证以获取所述目标核查命令的验证结果;
根据所述验证结果确定所述当前核查项的标准值以及对比规则,并基于所述目标设备信息、所述标准值以及所述对比规则生成所述当前核查项的目标内容,以根据所述目标内容进行基线核查操作;所述目标内容包括核查项名称、安全配置建议、所述目标核查命令、所述标准值以及所述对比规则。
可选的,所述从预先构建的核查知识库中选择待核查设备的目标信息,并确定所述待核查设备对应的当前核查项之前,还包括:
对不同来源的基线标准数据进行筛选、整合,以得到整理后数据;所述不同来源包括工信部基线标准、各行业类基线标准以及CIS基线标准;
将若干设备的设备类型、设备操作系统版本、设备名称、核查项、核查命令以及配置建议信息进行分类梳理,得到梳理后信息;
根据所述核查知识库的数据结构要求对所述整理后数据进行处理,以将所述整理后数据转换为结构化和标准化的数据,并根据所述结构化和标准化的数据以及所述梳理后信息构建所述核查知识库。
可选的,所述根据所述结构化和标准化的数据以及所述梳理后信息构建所述核查知识库之后,还包括:
基于用户需求根据预先构建的所述核查知识库提供的数据模板将通过预设输入接口获取到的核查数据存储至所述核查知识库,以完成对所述核查知识库的扩充。
可选的,所述目标设备信息包括:所述待核查设备的设备类型、设备名称以及设备操作系统版本。
可选的,所述确定所述待核查设备对应的当前核查项,包括:
根据用户的核查要求确定所述待核查设备对应的所述当前核查项;
或,基于所述核查知识库的层次数据模型选择所述待核查设备对应的基线类型,以根据所述基线类型确定所述待核查设备对应的所述当前核查项;
或,根据所述核查知识库中保存的与所述待核查设备对应的搜索关键字从所述核查知识库中搜索相应的核查项,以得到所述当前核查项。
可选的,所述确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,包括:
确定所述当前核查项的核查类型,基于所述核查类型调用相应的命令生成器,以便所述命令生成器根据所述当前核查项的属性值生成若干条核查命令,并从所述若干条核查命令中确定出所述目标核查命令。
可选的,所述对所述目标核查命令进行验证以获取所述目标核查命令的验证结果,包括:
对所述目标核查命令进行验证,判断所述目标核查命令的验证结果是否符合预设条件;
若否,则重新跳转至所述确定所述待核查设备对应的当前核查项的步骤;
或,对所述目标核查命令进行手动调整至满足所述预设条件。
第二方面,本申请公开了一种基于知识库的基线核查装置,包括:
设备信息获取模块,用于从预先构建的核查知识库中选择待核查设备的目标设备信息;
核查项确定模块,用于确定所述待核查设备对应的当前核查项;
验证结果获取模块,用于确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,并对所述目标核查命令进行验证以获取所述目标核查命令的验证结果;
基线核查模块,用于根据所述验证结果确定所述当前核查项的标准值以及对比规则,并基于所述目标设备信息、所述标准值以及所述对比规则生成所述当前核查项的目标内容,以根据所述目标内容进行基线核查操作;所述目标内容包括核查项名称、安全配置建议、所述目标核查命令、所述标准值以及所述对比规则。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现前述的基于知识库的基线核查方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的基于知识库的基线核查方法。
由上可知,本申请基于知识库进行基线核查,首先从预先构建的核查知识库中选择待核查设备的目标设备信息,并确定所述待核查设备对应的当前核查项;确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,并对所述目标核查命令进行验证以获取所述目标核查命令的验证结果;根据所述验证结果确定所述当前核查项的标准值以及对比规则,并基于所述目标设备信息、所述标准值以及所述对比规则生成所述当前核查项的目标内容,以根据所述目标内容进行基线核查操作;所述目标内容包括核查项名称、安全配置建议、所述目标核查命令、所述标准值以及所述对比规则。可见,本申请从构建知识库的角度出发,提供一种通过简单配置即可根据自定义需求,生成自动化核查命令及模板的方案,以快速响应基线标准变更,方便定制化核查能力的扩展,以提升安全响应速度和核查效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种基于知识库的基线核查方法流程图;
图2为本申请公开的一种核查知识库主要结构示意图;
图3为本申请公开的一种核查命令生成逻辑示意图;
图4为本申请公开的一种具体的基于知识库的基线核查方法流程图;
图5为本申请公开的一种基于知识库的基线核查装置结构示意图;
图6为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有支持自定义核查功能的系统,大多是基于内置的默认基线模板,对检查项、检查命令、标准值比对等内容进行简单调整;或者根据用户的自定义核查要求,在系统的限定功能范围内,由运维人员完全从无到有开发所需的核查模板。基于内置的默认基线模板进行简单调整,修改范围有限,扩展性差,无法满足定制化的基线核查要求;由运维人员完全开发核查模板,对开发人员的能力要求高,关键人员依赖性强,人为因素影响大,且开发代价较大;不管是哪种方案,均无法达到既高效又便捷的满足组织定制化的核查需求。为解决上述技术问题,本申请公开了一种基于知识库的基线核查方法,能够快速响应基线标准变更,方便定制化核查能力的扩展,以提升安全响应速度和核查效率。
参见图1所示,本发明实施例公开了一种基于知识库的基线核查方法,包括:
步骤S11、从预先构建的核查知识库中选择待核查设备的目标设备信息,并确定所述待核查设备对应的当前核查项。
本实施例中,如图2所示,核查知识库包含不同版本的主机、中间件、数据库、网络设备等设备类型的常见基线核查内容;由于设备分类及配置层级存在明确的递进关系,因此采用层次数据模型来表示核查知识库的数据结构;在核查知识库中,每个层级都包含多个子级,而子级又包含下一级子级,形成树状结构,同时每个节点存储了自己的属性信息。内置有默认的核查知识库,也可以根据组织的基线标准的要求,对核查知识库进行扩充,按照知识库数据模板,进行核查数据的填写,之后将数据自动转换为知识库内容。对于内置默认数据库的数据来源为,对不同来源的基线标准数据进行筛选、整合,以得到整理后数据;所述不同来源包括工信部基线标准、各行业类基线标准以及CIS(Center for InternetSecurity,互联网安全中心)基线标准;其中,CIS是一个非营利性组织,致力于提供网络安全相关的最佳实践、安全咨询和安全工具等服务。将若干设备的设备类型、设备操作系统版本、设备名称、核查项、核查命令以及配置建议信息进行分类梳理,得到梳理后信息;根据所述核查知识库的数据结构要求对所述整理后数据进行处理,以将所述整理后数据转换为结构化和标准化的数据,并根据所述结构化和标准化的数据以及所述梳理后信息构建所述核查知识库。即对工信部基线标准、各行业类基线标准、CIS基线标准等不同来源的基线标准数据进行筛选、整合;将常见的核查设备类型、版本、核查项、核查命令、配置建议等内容进行分类梳理,按照知识库数据结构要求对数据进行处理,转换为结构化和标准化的数据后入库,形成知识库的基础。其中,基线标准:即安全基线标准,通常由行业标准、最佳实践和法规指南等制定,以确保组织或系统的安全性能达到最低要求,并符合适用的安全法规和标准;通常包括系统配置、服务配置、用户权限和安全配置等方面内容。知识库采用层次数据结构,每一层级数据节点都有其所特有的属性;将不同设备的操作手册、配置手册等进行数据化处理,以关联到不同层级数据节点,尽可能的填充每一个数据节点的属性,为自定义核查的智能化提供基础。对于个性化的基线标准,可以按照知识库提供的格式化数据模板进行填写后,自动导入知识库,不断丰富知识库。即基于用户需求根据预先构建的所述核查知识库提供的数据模板将通过预设输入接口获取到的核查数据存储至所述核查知识库,以完成对所述核查知识库的扩充。步骤如下:填写核查设备的类型、名称、版本、基线类型、核查项等;按照核查项的具体核查内容及验证步骤,确定核查项的核查类型,并填写核查项相关属性如文件路径,配置关键字、服务名、端口号等;对于核查项属性,若数据模板中有关联的可选项,可在选项中选择相应内容,若无,则手动填写;尽可能全的填写核查项属性;将数据导入后自动生成核查知识库。这样一来,通过知识库便可以基于每种基线标准,提供对应的自动化基线核查模板;根据用户需求,高效便捷的进行自定义核查;作为用户的智能检索知识库,方便各种类型资产的运维。且知识库可扩充,可根据安全基线要求不断丰富知识库,从而覆盖更多核查内容。
本实施例中,所述目标设备信息包括:所述待核查设备的设备类型、设备名称以及设备操作系统版本。所述确定所述待核查设备对应的当前核查项,包括:根据用户的核查要求确定所述待核查设备对应的所述当前核查项;或,基于所述核查知识库的层次数据模型选择所述待核查设备对应的基线类型,以根据所述基线类型确定所述待核查设备对应的所述当前核查项;或,根据所述核查知识库中保存的与所述待核查设备对应的搜索关键字从所述核查知识库中搜索相应的核查项,以得到所述当前核查项。这样一来,通过简单的选择配置,即可生成自动化核查项,自动核查项生成便捷,不依赖运维人员核查模板开发能力,减少学习成本;且时效性强,不受安全公司安全策略更新时间影响。
步骤S12、确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,并对所述目标核查命令进行验证以获取所述目标核查命令的验证结果。
本实施例中,确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,包括:确定所述当前核查项的核查类型,基于所述核查类型调用相应的命令生成器,以便所述命令生成器根据所述当前核查项的属性值生成若干条核查命令,并从所述若干条核查命令中确定出所述目标核查命令。如图3所示,在确定所述待核查设备对应的当前核查项之后,命令生成模块根据核查项的核查类型,调用相应的命令生成器,根据核查项的属性值,自动生成核查命令;其中,核查命令:即基线核查命令,指用于检查系统或设备是否符合安全基线标准的命令,是基线核查自动化的基础;基线核查命令可以帮助管理员快速检查系统的安全配置,发现潜在的安全风险。在命令生成过程中,可能会生成多条命令,最终自动评估出最佳方案。且选出的最佳方案需要进行验证,即对所述目标核查命令进行验证以获取所述目标核查命令的验证结果,对所述目标核查命令进行验证,判断所述目标核查命令的验证结果是否符合预设条件;若否,则重新跳转至所述确定所述待核查设备对应的当前核查项的步骤;或,对所述目标核查命令进行手动调整至满足所述预设条件。也就是说,当前的目标核查命令需要符合用户的需求,判断命令执行以及结果是否正常,若是,则进行下一步的操作,若否,则对命令进行手动调整,使之更满足用户需求以及自定义的需求,从而进行下一步操作,或重新生成目标核查命令。这样一来,使得调试过程可视化,提升核查操作本身的安全性,对于运维人员友好。
步骤S13、根据所述验证结果确定所述当前核查项的标准值以及对比规则,并基于所述目标设备信息、所述标准值以及所述对比规则生成所述当前核查项的目标内容,以根据所述目标内容进行基线核查操作;所述目标内容包括核查项名称、安全配置建议、所述目标核查命令、所述标准值以及所述对比规则。
本实施例中,在得到所述目标核查命令的验证结果之后,基于获取的所述验证结果确定所述当前核查项的标准值以及对比规则,也是根据核查要求,确定该核查项的标准值及对比规则;并自动生成该核查项的完整内容,包括核查项名称、安全配置建议、核查命令、标准值、对比规则等。这样自动化的生成核查项的目标内容,以根据所述目标内容进行基线核查操作,不再依赖运维人员核查模板开发能力,从而减少了学习成本。
由上可知,本申请基于知识库进行基线核查,首先从预先构建的核查知识库中选择待核查设备的目标设备信息,并确定所述待核查设备对应的当前核查项;确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,并对所述目标核查命令进行验证以获取所述目标核查命令的验证结果;根据所述验证结果确定所述当前核查项的标准值以及对比规则,并基于所述目标设备信息、所述标准值以及所述对比规则生成所述当前核查项的目标内容,以根据所述目标内容进行基线核查操作;所述目标内容包括核查项名称、安全配置建议、所述目标核查命令、所述标准值以及所述对比规则。可见,本申请从构建知识库的角度出发,提供一种通过简单配置即可根据自定义需求,生成自动化核查命令及模板的方案,以快速响应基线标准变更,方便定制化核查能力的扩展,以提升安全响应速度和核查效率。
参见图4所示,本发明实施例公开了一种具体的基于知识库的基线核查方法,包括:
本实施例中,根据自定义基线核查要求,在知识库中选择相应的核查配置,自动生成对应的核查项,步骤如下:首先选择待核查设备的类型、名称、版本等;再按照核查要求,选择对应的核查项;可按照知识库层次数据结构选择对应的基线类型,然后选择正确的核查项;也可按照核查项关键字进行搜索,以快速选择核查项;在确定核查项后,命令生成模块根据核查项的核查类型,调用相应的命令生成器,根据核查项的属性值,自动生成核查命令;在命令生成过程中,可能会生成多条命令,最终自动评估出最佳方案;之后自动对生成的核查命令进行验证并展示执行过程和结果;并根据命令验证情况判断是否正常决定是否需要重新生成或者对命令进行手动调整;然后按照核查要求,确定该核查项的标准值及对比规则;最终自动生成该核查项的完整内容,包括核查项名称、安全配置建议、核查命令、标准值、对比规则等。
在一种具体的实施例中,由于CentOS 8系统突发安全漏洞,漏洞检查策略尚未更新,但是已知关闭ssh(Secure Shell,安全外壳协议)服务即可避免攻击,因此组织希望对所有相关系统进行统一核查,先对开启了ssh服务的系统进行紧急加固;但是组织现有的针对CentOS 8系统核查的基线标准中,并没有规定要关闭ssh服务,因此需要对该项进行临时的自定义核查;首先在知识库中依次选择“主机”设备类型、“Linux”类、“CentOS”操作系统、“8”版本、“服务配置”基线类型以及“ssh”服务;识别到该核查项的核查类型为“服务核查”,调用“服务核查命令生成器”,自动生成核查命令:ps-ef|grep ssh;并将命令执行结果进行展示;之后根据命令执行结果,确定该核查项的对比标准值为“sshd”,选择比对规则为“字符串不包含”,即命令结果中不包含“sshd”,则认为该核查项符合要求;然后生成完整自动核查项,名称为“核查ssh服务是否关闭”,包含自动核查命令和相关的安全配置建议等内容;最终将该自动核查项进行下发,对所有的CentOS 8系统进行统一核查。
由上可知,本申请提供了一种基于知识库的自定义基线核查方法,在丰富的核查知识库基础上,通过简单的选择和配置,即可生成自动化核查项,以满足定制化的基线核查需求,快速响应基线标准变更,提升安全响应速度和核查效率。且时效性强,不受安全公司安全策略更新时间影响;自动核查项生成便捷,不依赖运维人员核查模板开发能力,减少学习成本;调试过程可视化,提升了核查操作本身的安全性,对于运维人员友好;知识库可扩充的优点,使得运维人员可根据安全基线要求不断丰富知识库,从而覆盖更多核查内容。
参见图5所示,本发明实施例公开了一种基于知识库的基线核查装置,包括:
设备信息获取模块11,用于从预先构建的核查知识库中选择待核查设备的目标设备信息;
核查项确定模块12,用于确定所述待核查设备对应的当前核查项;
验证结果获取模块13,用于确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,并对所述目标核查命令进行验证以获取所述目标核查命令的验证结果;
基线核查模块14,用于根据所述验证结果确定所述当前核查项的标准值以及对比规则,并基于所述目标设备信息、所述标准值以及所述对比规则生成所述当前核查项的目标内容,以根据所述目标内容进行基线核查操作;所述目标内容包括核查项名称、安全配置建议、所述目标核查命令、所述标准值以及所述对比规则。
由上可知,本申请基于知识库进行基线核查,首先从预先构建的核查知识库中选择待核查设备的目标设备信息,并确定所述待核查设备对应的当前核查项;确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,并对所述目标核查命令进行验证以获取所述目标核查命令的验证结果;根据所述验证结果确定所述当前核查项的标准值以及对比规则,并基于所述目标设备信息、所述标准值以及所述对比规则生成所述当前核查项的目标内容,以根据所述目标内容进行基线核查操作;所述目标内容包括核查项名称、安全配置建议、所述目标核查命令、所述标准值以及所述对比规则。可见,本申请从构建知识库的角度出发,提供一种通过简单配置即可根据自定义需求,生成自动化核查命令及模板的方案,以快速响应基线标准变更,方便定制化核查能力的扩展,以提升安全响应速度和核查效率。
在一些具体的实施例中,所述设备信息获取模块11,还可以包括:
数据整理单元,用于对不同来源的基线标准数据进行筛选、整合,以得到整理后数据;所述不同来源包括工信部基线标准、各行业类基线标准以及CIS基线标准;
信息梳理单元,用于将若干设备的设备类型、设备操作系统版本、设备名称、核查项、核查命令以及配置建议信息进行分类梳理,得到梳理后信息;
知识库构建单元,用于根据所述核查知识库的数据结构要求对所述整理后数据进行处理,以将所述整理后数据转换为结构化和标准化的数据,并根据所述结构化和标准化的数据以及所述梳理后信息构建所述核查知识库。
在一些具体的实施例中,所述知识库构建单元,还可以包括:
知识库扩充子单元,用于基于用户需求根据预先构建的所述核查知识库提供的数据模板将通过预设输入接口获取到的核查数据存储至所述核查知识库,以完成对所述核查知识库的扩充。
在一些具体的实施例中,所述核查项确定模块12,具体可以包括:
第一核查项确定单元,用于根据用户的核查要求确定所述待核查设备对应的所述当前核查项;
第二核查项确定单元,用于或,基于所述核查知识库的层次数据模型选择所述待核查设备对应的基线类型,以根据所述基线类型确定所述待核查设备对应的所述当前核查项;
第三核查项确定单元,用于或,根据所述核查知识库中保存的与所述待核查设备对应的搜索关键字从所述核查知识库中搜索相应的核查项,以得到所述当前核查项。
在一些具体的实施例中,所述验证结果获取模块13,具体可以包括:
目标核查命令确定单元,用于确定所述当前核查项的核查类型,基于所述核查类型调用相应的命令生成器,以便所述命令生成器根据所述当前核查项的属性值生成若干条核查命令,并从所述若干条核查命令中确定出所述目标核查命令。
在一些具体的实施例中,所述验证结果获取模块13,具体可以包括:
验证结果判断单元,用于对所述目标核查命令进行验证,判断所述目标核查命令的验证结果是否符合预设条件;
跳转单元,用于若否,则重新跳转至所述确定所述待核查设备对应的当前核查项的步骤;
命令调整单元,用于或,对所述目标核查命令进行手动调整至满足所述预设条件。
进一步的,本申请实施例还公开了一种电子设备,图6是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图6为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的基于知识库的基线核查方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的基于知识库的基线核查方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的基于知识库的基线核查方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种基于知识库的基线核查方法,其特征在于,包括:
从预先构建的核查知识库中选择待核查设备的目标设备信息,并确定所述待核查设备对应的当前核查项;
确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,并对所述目标核查命令进行验证以获取所述目标核查命令的验证结果;
根据所述验证结果确定所述当前核查项的标准值以及对比规则,并基于所述目标设备信息、所述标准值以及所述对比规则生成所述当前核查项的目标内容,以根据所述目标内容进行基线核查操作;所述目标内容包括核查项名称、安全配置建议、所述目标核查命令、所述标准值以及所述对比规则。
2.根据权利要求1所述的基于知识库的基线核查方法,其特征在于,所述从预先构建的核查知识库中选择待核查设备的目标信息,并确定所述待核查设备对应的当前核查项之前,还包括:
对不同来源的基线标准数据进行筛选、整合,以得到整理后数据;所述不同来源包括工信部基线标准、各行业类基线标准以及CIS基线标准;
将若干设备的设备类型、设备操作系统版本、设备名称、核查项、核查命令以及配置建议信息进行分类梳理,得到梳理后信息;
根据所述核查知识库的数据结构要求对所述整理后数据进行处理,以将所述整理后数据转换为结构化和标准化的数据,并根据所述结构化和标准化的数据以及所述梳理后信息构建所述核查知识库。
3.根据权利要求1所述的基于知识库的基线核查方法,其特征在于,所述根据所述结构化和标准化的数据以及所述梳理后信息构建所述核查知识库之后,还包括:
基于用户需求根据预先构建的所述核查知识库提供的数据模板将通过预设输入接口获取到的核查数据存储至所述核查知识库,以完成对所述核查知识库的扩充。
4.根据权利要求1所述的基于知识库的基线核查方法,其特征在于,所述目标设备信息包括:所述待核查设备的设备类型、设备名称以及设备操作系统版本。
5.根据权利要求1所述的基于知识库的基线核查方法,其特征在于,所述确定所述待核查设备对应的当前核查项,包括:
根据用户的核查要求确定所述待核查设备对应的所述当前核查项;
或,基于所述核查知识库的层次数据模型选择所述待核查设备对应的基线类型,以根据所述基线类型确定所述待核查设备对应的所述当前核查项;
或,根据所述核查知识库中保存的与所述待核查设备对应的搜索关键字从所述核查知识库中搜索相应的核查项,以得到所述当前核查项。
6.根据权利要求1至5任一项所述的基于知识库的基线核查方法,其特征在于,所述确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,包括:
确定所述当前核查项的核查类型,基于所述核查类型调用相应的命令生成器,以便所述命令生成器根据所述当前核查项的属性值生成若干条核查命令,并从所述若干条核查命令中确定出所述目标核查命令。
7.根据权利要求6所述的基于知识库的基线核查方法,其特征在于,所述对所述目标核查命令进行验证以获取所述目标核查命令的验证结果,包括:
对所述目标核查命令进行验证,判断所述目标核查命令的验证结果是否符合预设条件;
若否,则重新跳转至所述确定所述待核查设备对应的当前核查项的步骤;
或,对所述目标核查命令进行手动调整至满足所述预设条件。
8.一种基于知识库的基线核查装置,其特征在于,包括:
设备信息获取模块,用于从预先构建的核查知识库中选择待核查设备的目标设备信息;
核查项确定模块,用于确定所述待核查设备对应的当前核查项;
验证结果获取模块,用于确定所述当前核查项对应的核查类型,根据所述核查类型以及所述当前核查项生成目标核查命令,并对所述目标核查命令进行验证以获取所述目标核查命令的验证结果;
基线核查模块,用于根据所述验证结果确定所述当前核查项的标准值以及对比规则,并基于所述目标设备信息、所述标准值以及所述对比规则生成所述当前核查项的目标内容,以根据所述目标内容进行基线核查操作;所述目标内容包括核查项名称、安全配置建议、所述目标核查命令、所述标准值以及所述对比规则。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至7任一项所述的基于知识库的基线核查方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的基于知识库的基线核查方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310571431.2A CN116561765A (zh) | 2023-05-18 | 2023-05-18 | 一种基于知识库的基线核查方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310571431.2A CN116561765A (zh) | 2023-05-18 | 2023-05-18 | 一种基于知识库的基线核查方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116561765A true CN116561765A (zh) | 2023-08-08 |
Family
ID=87501602
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310571431.2A Pending CN116561765A (zh) | 2023-05-18 | 2023-05-18 | 一种基于知识库的基线核查方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116561765A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117196539A (zh) * | 2023-11-01 | 2023-12-08 | 广州大学 | 一种安全基线自动化核查方法、系统、设备及介质 |
CN117332458A (zh) * | 2023-09-27 | 2024-01-02 | 国网山东省电力公司聊城供电公司 | 基于多模式多系统引擎的安全配置核查方法及系统 |
-
2023
- 2023-05-18 CN CN202310571431.2A patent/CN116561765A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117332458A (zh) * | 2023-09-27 | 2024-01-02 | 国网山东省电力公司聊城供电公司 | 基于多模式多系统引擎的安全配置核查方法及系统 |
CN117196539A (zh) * | 2023-11-01 | 2023-12-08 | 广州大学 | 一种安全基线自动化核查方法、系统、设备及介质 |
CN117196539B (zh) * | 2023-11-01 | 2024-02-27 | 广州大学 | 一种安全基线自动化核查方法、系统、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN116561765A (zh) | 一种基于知识库的基线核查方法、装置、设备及存储介质 | |
US9475359B2 (en) | Systems and methods for displaying a hierarchical set of building management system information | |
KR100970823B1 (ko) | 그래프 분석 및 동기화를 위한 방법 및 시스템 | |
US20110087650A1 (en) | Creation and use of causal relationship models in building management systems and applications | |
JP3590688B2 (ja) | アプリケーションを導入するための導入計画オブジェクトを構築する方法、及びそのシステム | |
US9467344B2 (en) | Mechanism to display graphical IT infrastructure using configurable smart navigation | |
KR101013233B1 (ko) | 의미적 그리고 기능적 관계에 따라 포털 페이지상의포틀릿의 자동적 배치를 위한 시스템 | |
US20160132551A1 (en) | System and method for building business service model | |
US8839107B2 (en) | Context based script generation | |
US20070174308A1 (en) | Data warehousing systems and methods having reusable user transforms | |
US20080115104A1 (en) | Software development system and method for intelligent document output based on user-defined rules | |
CA3050159C (en) | Artificial intelligence (ai) based automatic rule generation | |
US8126693B2 (en) | Method and system for modeling, validating and automatically resolving goals and dependencies between elements within a topology | |
US20090006519A1 (en) | Managing a computing environment | |
US20020046208A1 (en) | Objects in a computer system | |
US8126692B2 (en) | Method and system for modeling, validating and automatically resolving goals and dependencies between elements within a topology | |
US20220188448A1 (en) | System and method for implementing mandatory access control on queries of a self-describing data system | |
CN109101428A (zh) | 一种ui自动化测试系统 | |
CN111694547A (zh) | 一种基于数据状态变化的自动编码数据处理应用设计工具 | |
US20110145735A1 (en) | Model driven content development | |
CN110515827A (zh) | 自动化测试方法、装置、计算机设备及存储介质 | |
US20120239680A1 (en) | Generating database scripts for executing business rules related to enterprise software in a database runtime environment | |
EP2615541A1 (en) | Computer implemented method, apparatus, network server and computer program product | |
US20050114308A1 (en) | User customizable reporting | |
CN108459842A (zh) | 一种模型配置方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |