CN116723123A

CN116723123A - 一种工控主机安全配置核查管理方法、终端及存储介质

Info

Publication number: CN116723123A
Application number: CN202310865491.5A
Authority: CN
Inventors: 赵樑佑; 阮涛; 张宙; 郦建新
Original assignee: Zhejiang Qi'an Information Technology Co ltd
Current assignee: Zhejiang Qi'an Information Technology Co ltd
Priority date: 2023-07-13
Filing date: 2023-07-13
Publication date: 2023-09-08
Anticipated expiration: 2043-07-13
Also published as: CN116723123B

Abstract

本发明公开了一种工控主机安全配置核查管理方法、终端及存储介质，方法包括：获取与待核查主机的连接方式；判断连接方式是否为网络模式；若否，则为USB模式，发布核查文件包；若是，则检查是否为单台主机；若是单台主机，则进行单台主机识别，成功识别单台主机；若不是单台主机，则进行多台主机识别，成功识别多台主机；在成功识别主机后，进行配置核查，得到核查结果，并临时保存核查结果，核查结果包括检查结果和取证结果；根据核查结果生成核查报告。该方法实现了工控主机核查自动化和核查报告自动生成与导出，提升配置核查业务流的便捷性，实现减人增效。

Description

一种工控主机安全配置核查管理方法、终端及存储介质

技术领域

本发明涉及安全配置核查技术领域，具体涉及一种工控主机安全配置核查管理方法、终端及存储介质。

背景技术

当前电力监控系统的主机配置存在诸多隐患，具体包括：主机网卡、外设使用、账户安全性低、开启非必需服务、文件访问权限控制不严格、审计日志不全面以及内部参数配置不当等。

当前核查工作通过现场人员按照核查操作规范手动逐项核查，并通过拍照取证方式整理汇总成备案报告，核查步骤繁琐、耗时长、且容易出现核查项遗漏等问题，核查报告无法自动生成，除静态密码外，核查与加固行为不受控，且配置加固记录无法追溯，事后难追责，对于现场人员来说，当前的配置核查形态便捷性有待提升；对于审计管理人员来说，当前的配置核查与加固的安全性有待加强。当前的核查工作存在的问题如下：

1.手动核查：耗时久、易漏查、易出错；

2.核查报告手动汇总：工作量大；

3.核查加固未形成闭环，加固不受控；

4.审计日志不全面，无法追溯；

5.人工选取核查依据，缺乏自匹配。

发明内容

针对现有技术中的缺陷，本发明提供一种工控主机安全配置核查管理方法、终端及存储介质，能对工控主机或其他设备进行配置核查并生成报告，降低核查人员工作量。

第一方面，本发明提供的一种工控主机安全配置核查管理方法，包括：

获取与待核查主机的连接方式；

判断连接方式是否为网络模式；

若否，则为USB模式，发布核查文件包；

若是，则检查是否为单台主机；

若是单台主机，则进行单台主机识别，成功识别单台主机；

若不是单台主机，则进行多台主机识别，成功识别多台主机；

在成功识别主机后，进行配置核查，得到核查结果，并临时保存核查结果，所述核查结果包括检查结果和取证结果；

根据所述核查结果生成核查报告。

第二方面，本发明提供的一种工控主机安全配置核查管理终端，包括处理器、输入设备、输出设备和存储器，所述处理器分别与输入设备、输出设备和存储器连接，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行上述实施例描述的方法。

第三方面，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述实施例描述的方法。

本发明的有益效果：

本发明实施例提供的一种工控主机安全配置核查管理方法，实现了工控主机核查自动化和核查报告自动生成与导出，提升配置核查业务流的便捷性，实现减人增效。

本发明实施例提供的一种工控主机安全配置核查管理终端和计算机可读存储介质，与上述一种工控主机安全配置核查管理方法出于相同的发明构思，具有相同的有益效果。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1示出了本发明第一实施例所提供的一种工控主机安全配置核查管理方法的流程图；

图2示出了进行主机识别的具体方法；

图3示出了进行配置核查的具体方法；

图4示出了对未通过的检查项进行加固处理的具体方法；

图5示出了对配置加固项进行还原的具体方法；

图6示出了本发明另一实施例所提供的一种工控主机安全配置核查管理终端的结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

并且，上述部分术语除了可以用于表示方位或位置关系以外，还可能用于表示其他含义，例如术语“上”在某些情况下也可能用于表示某种依附关系或连接关系。对于本领域普通技术人员而言，可以根据具体情况理解这些术语在本申请中的具体含义。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

图1示出了本发明第一实施例所提供的一种工控主机安全配置核查管理方法的流程图，该方法包括以下步骤：

获取与待核查主机的连接方式；

判断连接方式是否为网络模式；

若否，则为USB模式，发布核查文件包；

若是，则检查是否为单台主机；

若是单台主机，则进行单台主机识别，成功识别单台主机；

在成功识别主机后，进行配置核查，得到核查结果，并临时保存核查结果，核查结果包括检查结果和取证结果；

根据所述核查结果生成核查报告。

其中，检查结果有三种状态：已通过、未通过和不适用，取证结果有四种状态：已取证、待上传、未取证和待补充。通过上述步骤实现了工控主机核查自动化和核查报告自动生成与导出，提升配置核查业务流的便捷性，实现减人增效。

本发明实施例的一种工控主机安全配置核查管理方法可部署在PAD上，通过与待核查主机进行网络连接(SSH)或USB连接，对工控主机进行安全配置核查，核查内容包括：操作系统、安全配置、网络配置检查、探针配置合规性检查、物理端口使用情况检查。检查项包括：口令合规性检查、登录限制检查、高危端口禁用、审计功能启用、多余软件禁用、探针网络白名单检查、探针端口白名单检查、物理端口检查、口令合规性检查。通过对主机和主机版本识别、自动执行配置核查程序得到核查结果，记录核查结果，输出核查报告，用户可查询核查结果记录。核查结果包括检查结果和取证结果，检查结果包括已通过和未通过，可以对未通过的检查项进行加固处理得到加固数据，并记录加固信息，对检查项加固后还可以进行配置加固项还原。

如图2所示，示出了进行单台主机识别和多台主机识别的方法流程图。其中，进行单台主机识别的具体方法包括：

获取输入设备的IP和端口；

判断root远程访问是否被禁；

在未被禁时提示输入root账户和口令，在被禁时提示输入普通账户和口令，再提权；

判断端口是否可通；

在端口可通时判断输入的root账户和口令或普通账户和口令是否正确，在端口不通时提示端口不通，然后返回获取输入设备的IP和端口；

若输入的root账户和口令正确，则完成主机识别，若输入的root账户和口令或普通账户和口令不正确，则进行报错提示，提示“待核查主机账密不正确”，然后返回执行提示输入root账户和口令；

若输入的普通账户和口令正确，则判断是否填写提取账户和口令信息及填写的信息是否正确；

若信息正确则完成主机识别，若未填写信息或填写信息不正确则进行报错提示，未填写信息时提示“当前账户权限不足”，填写信息不正确时提示“待核查主机sudo账密不正确”，均返回输入普通账户和口令，再提权。

进行多台主机识别的具体方法包括：

判断待核查主机是否同网段；

若不是，则判定为不同网段设备，需进行多次核查；

若是，则获取输入的IP网段和端口；

判断待核查主机是否同账密；

若是同账密，则判断root远程访问是否被禁；

若不是同账密，则判定为不同账密同网段设备，需进行多次核查。

如图3所示，进行配置核查的具体方法包括：

获取核查策略中的配置核查参数，初始化配置核查任务的返回值；

将所述初始化配置核查任务的返回值与待核查主机的检查项的标识进行匹配；

若匹配，则进行配置核查，得到核查结果；

若不匹配，则得到无法匹配的核查结果；

临时保存核查结果以供查询。

在得到核查结果后，用户可以点击其中的一条核查结果进行查看。若核查结果处于核查未完成状态，则需要对核查结果进行操作，操作之后将核查结果进行封装。若核查结果处于记录待封装状态，则需要将核查结果进行封装。若核查结果已封装，则生成核查结果记录。

如图4所示，对未通过的检查项进行加固处理的具体方法包括：

根据未通过的检查项获取加固数据，初始化加固的返回值；

将所述初始化加固的返回值与未通过的检查项的标识进行匹配；

判断是否相匹配；

若不匹配，则临时保存加固数据；

若匹配，则匹配加固项；

利用加固数据对所述检查项进行加固，临时保存加固数据。

通过上述加固处理的步骤实现了对未通过的检查项进行加固，实现加固可控，加固记录可追溯、可查询。

如图5所示，对配置加固项进行还原的具体方法包括：

获取加固信息记录；

判断加固信息记录是否属于待核查主机；

若是，则获取需要还原的加固项信息进行还原；

若否，则结束。

通过上述对配置加固项进行还原的方法步骤，实现了加固项还原和记录配置还原结果，用户可查询和追溯配置还原结果。

如图6所示，示出了本发明的另一实施例还提供一种工控主机安全配置核查管理终端结构示意图，该终端包括处理器、输入设备、输出设备和存储器，所述处理器分别与输入设备、输出设备和存储器连接，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行上述实施例描述的方法。

应当理解，在本发明实施例中，所称处理器可以是中央处理单元(CentralProcessing Unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

输入设备可以包括触控板、指纹采传感器(用于采集用户的指纹信息和指纹的方向信息)、麦克风等，输出设备可以包括显示器(LCD等)、扬声器等。

该存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如，存储器还可以存储设备类型的信息。

具体实现中，本发明实施例中所描述的处理器、输入设备、输出设备可执行本发明实施例提供的方法实施例所描述的实现方式，也可执行本发明实施例所描述的系统实施例的实现方式，在此不再赘述。

在本发明还提供一种计算机可读存储介质的实施例，计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，程序指令当被处理器执行时使所述处理器执行上述实施例描述的方法。

所述计算机可读存储介质可以是前述实施例所述的终端的内部存储单元，例如终端的硬盘或内存。所述计算机可读存储介质也可以是所述终端的外部存储设备，例如所述终端上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(SecureDigital,SD)卡，闪存卡(Flash Card)等。进一步地，所述计算机可读存储介质还可以既包括所述终端的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述终端所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的终端和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露终端和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims

1.一种工控主机安全配置核查管理方法，其特征在于，包括：

获取与待核查主机的连接方式；

判断连接方式是否为网络模式；

若否，则为USB模式，发布核查文件包；

若是，则检查是否为单台主机；

若是单台主机，则进行单台主机识别，成功识别单台主机；

根据所述核查结果生成核查报告。

2.如权利要求1所述的方法，其特征在于，所述检查结果包括已通过和未通过，对未通过的检查项进行加固处理得到加固数据，并记录加固信息。

3.如权利要求2所述的方法，其特征在于，所述加固处理的具体方法包括：

根据未通过的检查项获取加固数据，初始化加固的返回值；

根据检查项的标识进行操作系统匹配，判断是否相匹配；

若不匹配，则提示无法匹配到操作系统；

若匹配，则匹配加固项；

利用加固数据对所述检查项进行加固；

临时保存加固数据。

4.如权利要求3所述的方法，其特征在于，在所述记录加固信息步骤之后还包括：对配置加固项进行还原。

5.如权利要求4所述的方法，其特征在于，所述对配置加固项进行还原的具体方法包括：

获取加固信息记录；

判断加固信息记录是否属于待核查主机；

若是，则获取需要还原的加固项信息进行还原；

若否，则结束。

6.如权利要求1所述的方法，其特征在于，所述进行单台主机识别的具体方法包括：

获取输入设备的IP和端口；

判断root远程访问是否被禁；

判断端口是否可通；

在端口可通时判断输入的root账户和口令或普通账户和口令是否正确，在端口不通时提示端口不通；

若输入的root账户和口令正确，则完成主机识别，若输入的root账户和口令或普通账户和口令不正确，则进行报错提示；

若信息正确则完成主机识别，若未填写或填写信息不正确则进行报错提示。

7.如权利要求1所述的方法，其特征在于，所述进行多台主机识别的具体方法包括：

判断待核查主机是否同网段；

若不是，则判定为不同网段设备，需进行多次核查；

若是，则获取输入的IP网段和端口；

判断待核查主机是否同账密；

若是同账密，则判断root远程访问是否被禁；

8.如权利要求1所述的方法，其特征在于，所述进行配置核查的具体方法包括：

获取配置核查参数，初始化配置核查任务的返回值；

根据待核查主机的检查项的标识匹配相应的操作系统；

若匹配，则进行配置核查，得到核查结果；

若不匹配，则提示无法匹配到操作系统；

临时保存核查结果。

9.一种工控主机安全配置核查管理终端，包括处理器、输入设备、输出设备和存储器，所述处理器分别与输入设备、输出设备和存储器连接，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，其特征在于，所述处理器被配置用于调用所述程序指令，执行如权利要求1-8任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-8任一项所述的方法。