WO2016180088A1

WO2016180088A1 - 一种配置信息的合规检测方法和装置

Info

Publication number: WO2016180088A1
Application number: PCT/CN2016/077019
Authority: WO
Inventors: 滕志猛; 蒋璐峥; 沈岷; 周娜; 霍玉臻; 严为
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-05-11
Filing date: 2016-03-22
Publication date: 2016-11-17
Also published as: CN106301817A

Abstract

一种配置信息的合规检测方法和装置。所述方法，包括：对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果；对比所述第一核查结果和所述第二核查结果，得到对比结果；根据所述对比结果，输出评估结果。

Description

一种配置信息的合规检测方法和装置

技术领域

本文涉及但不限于通信领域，涉及一种配置信息的合规检测方法和装置。

背景技术

随着网络的开放性、互联性及共享程度的扩大，企业越来越依赖信息和网络技术。随着网络安全威胁越来越大，而单一的安全技术或安全设备无法满足网络对安全的要求，企业对网络安全的部署变得日趋复杂，而安全设备产品种类繁多，搭建环境具有多样性，而设备上的策略配置愈趋繁琐，这对技术人员的水平要求很高，往往很多企业的技术人员没有足够的安全领域相关知识，导致在安全设备上进行的配置存在诸多隐患。

Skybox Security调查发现，58％的企业在他们的NGFW(Next generation firewall，下一代防火墙)上部署了100条以上的规则，而35％的公司每月执行100次以上变更，频繁变更易导致配置错误。据Gartner统计，99％的防火墙安全事件均是由防火墙的配置错误而引起。企业需要一种自动检测安全设备配置策略合规性的方法，将技术和管理有机的结合起来，对网络安全进行统一管理和控制，提高整体安全水平。

信息安全策略是否合规是通过配置核查来进行评估。相关的核查技术只有利用核查库条目进行已有配置的逐项核查，但针对配置的变更或配置文件的选择并没有好的方法，因此，亟需提出一种改进的策略合规检测方法来解决配置变更管理混乱无序的问题。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提供一种配置信息的合规检测方法和装置，解决了配置变更管理混乱无序的问题。

本发明实施例提供了如下技术方案：

一种配置信息的合规检测方法，包括：

对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果；

对比所述第一核查结果和所述第二核查结果，得到对比结果；

根据所述对比结果，输出评估结果。

可选地，所述根据所述对比结果，输出评估结果包括：

根据所述对比结果，得到变更内容；

对所述变更内容进行风险评估，得到评估结果；

输出所述评估结果。

可选地，

所述输出所述评估结果，包括：

当所述变更内容的个数为至少两个时，输出每个变更内容对应的评估结果；

在所述输出所述评估结果之后，所述方法还包括：

接收对所述变更内容的选择结果，并根据所述变更内容的选择结果，确定最终使用的配置信息；或者，

根据每个变更内容对应的评估结果，输出对选择所述变更内容的建议信息，其中，所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。

可选地，所述确定最终使用的配置信息之后，所述方法还包括：

通知利用所述最终使用的配置信息完成配置操作。

可选地，所述输出对选择所述变更内容的建议信息之后，所述方法还包括：

通知对所述建议信息中遵从度低于阈值的变更内容进行修改。

一种配置信息的合规检测装置，包括：

检测模块，设置为对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果；

对比模块，设置为对比所述第一核查结果和所述第二核查结果，得到对比结果；

处理模块，设置为根据所述对比结果，输出评估结果。

可选地，所述处理模块包括：

获取单元，设置为根据所述对比结果，得到变更内容；

评估单元，设置为根据所述变更内容，对所述变更内容进行风险的评估，得到评估结果；

输出单元，设置为输出所述评估结果。

可选地，

所述输出单元是设置为当所述变更内容的个数为至少两个时，输出每个变更内容对应的评估结果；

所述处理模块还包括：

处理单元，设置为：接收对所述变更内容的选择结果；并根据所述变更内容的选择结果，确定最终使用的配置信息；或者，根据每个变更内容对应的评估结果，输出对选择所述变更内容的建议信息，其中所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。

可选地，所述装置还包括：

第一通知模块，设置为在确定最终使用的配置信息之后，通知利用所述最终使用的配置信息完成配置操作。

可选地，所述装置还包括：

第二通知模块，设置为在输出对选择所述变更内容的建议信息之后，通知对所述建议信息中遵从度低于阈值的变更内容进行修改。

本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可执行指令，所述计算机可执行指令被执行时实现上述配置信息的合规检测方法。

本发明实施例提供的技术方案，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测，解决了配置变更管理混乱无序的问题。

在阅读并理解了附图和详细描述后，可以明白其它方面。

附图说明

图1为本发明实施例一提供的配置信息的合规检测方法的流程图；

图2为本发明实施例二提供的配置信息的合规检测方法的流程图；

图3为本发明实施例三提供的配置信息的合规检测方法的流程图；

图4为本发明实施例四提供的配置信息的合规检测方法的流程图；

图5为本发明实施例五提供的配置信息的合规检测方法的流程图；

图6为本发明实施例六提供的配置信息的合规检测方法的流程图；

图7为本发明实施例七提供的配置信息的合规检测装置的结构图；

图8为本发明实施例七提供的配置信息的合规检测装置的另一结构图。

具体实施方式

下面将结合附图及具体实施例对本发明实施例的技术方案作进一步的详细描述。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

实施例一

图1为本发明实施例提供的配置信息的合规检测方法的流程图。图1所示方法包括：

步骤101、对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果；

步骤102、对比所述第一核查结果和所述第二核查结果，得到对比结果；

步骤103、根据所述对比结果，输出评估结果。

本发明实施例提供的配置信息的合规检测方法，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，对该对比结果进行分析，核查该对比结果存在的差异。评估结果是对差异之处给出判断，对于差异之处为不合规的内容，或者带来更大风险的内容，可以给出告警或者建议不进行变更。通过上述技术方案可以实现对配置信息的合规性检测。

在实际应用中，可以利用知识库实现对配置信息的核查，其中，知识库包括各种丰富配置核查库(配置核查库可以由多条配置核查条目组成)，例如各种风险库、合规库、基线库等，这些核查库和核查条目可以从不同维度为设备、装置或系统提供不同需求的核查。

配置信息可以包含与设备、装置或系统相关的多种配置，例如设备、装置或系统上变更前和变更后的配置信息、或用户为设备、装置或系统定义的不同配置选择和设置的配置信息等。

为第一配置信息选择知识库中的任一配置核查库，例如，根据配置核查库中的配置核查条目对第一配置中的配置信息进行核查，依据配置核查条目检测第一配置信息的遵从程度，生成第一核查结果。同样，对第二配置信息，也选择与第一配置信息同样的配置核查库，进行配置核查，依据配置核查条目检测第二配置信息的遵从程度，生成配置核查结果。如果包含多种配置，则可以依此选择同样的配置核查库，对不同配置进行配置核查，生成第二核查结果。

将第一核查结果与第二核查结果进行对比。例如，比较设备、装置或系统上相同配置项的不同配置选择或设置的配置核查遵从程度，为用户提供配置建议选择，例如建议用户选择遵从度更高的配置。同样，可以比较多种配置的配置核查结果，为设备、装置或系统的配置项选择遵从度最高的配置选择或设置。

实施例二

下面对本发明实施例提供的配置信息的合规检测方法作进一步说明。

在本实施例中，在用户有配置变更需求，但不清楚变更后是否会给现有环境造成影响，策略管控设备提供了配置变更的核查方法，在本发明实施例中，策略管控设备是一个能够管理网络设备上的策略的硬件设备。

本实施例提供的配置信息合规检测方法除了包括实施例一中的技术方案外，在本实施的配置信息的合规检测方法中，

根据所述对比结果，输出评估结果，包括：

根据所述对比结果，得到变更内容；

根据所述变更内容，对所述变更内容进行风险的评估，得到评估结果；

输出所述评估结果。

图2为本发明实施例二提供的配置信息的合规检测方法的流程图。如图2所示，所述方法包括：

步骤21、配置核查过程；

本实施例可以针对变更前后的配置进行的核查检验。例如，变更前配置可以是设备、装置或系统上原有的，已经生效的配置信息或选项；变更后配置可以是用户在原有配置上计划要进行或者进行了增加、修改或删除等操作后设备、装置或系统上的配置信息。配置信息的获取可以通过主动去设备、装置或系统上采集获得，也可以由设备、装置或系统上传而得。

在本实施例中，可以为原有配置信息选择知识库中的任一模版库，根据模版库中的配置核查条目对原有配置信息进行核查，依据配置核查条目检测原有配置信息的遵从程度，生成配置核查结果。同样，对变更后配置信息，也选择同样的模版库，进行配置核查，依据配置核查条目检测变更后的配置信息的遵从程度，生成配置核查结果。

步骤22、将上述两个配置核查结果进行自动化对比；

例如，识别变更内容，可以通过变更前后的配置文件或者变更前后的配置核查结果对比得到变更的具体内容；分析变更的内容可能影响的范围并对其进行风险的评估，例如，判断变更内容是否涉及到诸如访问控制、安全审计、结构安全、入侵防范、边界完整性、恶意代码防范、网络设备防护等范围，判断变更的内容是否会带来更高的风险或者漏洞等。

步骤23、对比结果展示。

例如，可以将上述的分析结果以可视化界面展示给用户查阅，用户可以根据自动化分析结果来决策是否进行变更操作。

本发明实施例二提供的方法，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

另外，通过获取变更内容，再对变更内容进行评估，可以准确地帮助用户分析得到配置的更改所带来的风险，为用户做配置信息的选择提供了依据。

实施例三

此实施例中，用户有多种配置需求，但不清楚哪种配置更优、更不会给现有环境造成影响，对此策略管控设备提供了多种配置的核查方法。

除了包括实施例一中的技术方案外，在本实施的配置信息的合规检测方法中：

所述输出所述评估结果，包括：

当所述变更内容的数量为至少两个时，输出每个变更内容对应的评估结果；

在所述输出所述评估结果之后，所述方法还包括：

接收对所述变更内容的选择结果，并根据所述变更内容的选择结果，确定最终使用的配置信息。

图3为本发明实施例三提供的配置信息的合规检测方法的流程图。如图3所示，所述方法包括：

步骤31、配置核查过程；

第一配置信息是一种配置文件方案，第二配置信息是与第一配置信息不同的另一种配置文件方案，两种配置信息可能有部分不同也可能完全不同。这些配置信息既可以是从设备、装置或系统上获取的，也可以是能下发到设备、装置或系统上的配置文件。

例如，为第一配置信息选择知识库中的任一模版库，根据模版库中的配置核查条目对第一配置信息进行核查，依据配置核查条目检测第一配置信息的遵从程度，生成配置核查结果。同样，对第二配置信息也选择同样的模版库，进行配置核查，依据配置核查条目检测第二配置信息的遵从程度，生成配置核查结果。

步骤32、将配置核查的结果进行自动化对比；

例如，识别上述两种配置信息内容的差别，可以通过两者的配置文件或者两者的核查结果对比得到变配置差异的具体内容；分析差异的具体内容可能影响的范围并对其进行风险的评估，例如，判断差异内容是否涉及到诸如访问控制、安全审计、结构安全、入侵防范、边界完整性、恶意代码防范、网络设备防护等范围，判断差异内容是否会带来更高的风险或者漏洞等。

步骤33、对比结果展示。

例如，可以将上述的分析结果以可视化界面展示给用户查阅，用户可以根据自动化分析结果来决策采用哪一套配置文件。

本发明实施例三提供的方法，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

另外，通过获取变更内容，再对变更内容进行评估，可以准确地帮助用户分析得到配置的更改所带来的风险，为用户做配置信息的选择提供了依据；且在变更内容为多个时，通过输出每个变更内容的评估结果，并接收用户根据评估结果确定的配置信息，通过人机交互，实现了配置信息的最优选择，提高了处理效率。

实施例四

此实施例中，用户希望得到根据配置分析给出的建议，来决定采用哪种配置，策略管控设备配置对比分析结果支持提供建议。

所述输出所述评估结果，包括：

当所述变更内容为至少两个时，输出每个变更内容的评估结果；

在所述输出所述评估结果之后，所述方法还包括：

根据每个变更内容的评估结果，输出对选择所述变更内容的建议信息，其中，所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。

图4为本发明实施例四提供的配置信息的合规检测方法的流程图。如图4所示，所述方法包括：

步骤41、配置核查过程；

为第一配置信息选择知识库中的任一模版库，根据模版库中的配置核查条目对第一配置信息进行核查，依据配置核查条目检测第一配置信息的遵从程度，生成配置核查结果。同样，对第二配置信息，也选择同样的模版库，进行配置核查，依据配置核查条目检测第二配置信息的遵从程度，生成配置核查结果。

步骤42、将配置核查的结果进行自动化对比；

步骤43、对比结果展示；

可选地，本实施例还包括：

步骤44、为用户提供配置建议选择。

例如，根据自动化分析结果中，风险少、合规项多的配置文件可以建议用户选择遵从该配置。同样，也可以比较多种配置的自动化分析结果，为设备、装置或系统的配置项选择遵从度最高的配置选择或设置。

本发明实施例四提供的方法，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

另外，通过获取变更内容，再对变更内容进行评估，可以准确地帮助用户分析得到配置的更改所带来的风险，为用户做配置信息的选择提供了依据；通过为用户提供建议信息，进一步为用户做配置信息的选择提供了依据。

实施例五

在本实施例中，策略管控设备支持对建议配置的下发。

所述确定最终使用的配置信息之后，所述方法还包括：

通知利用所述最终使用的配置信息完成配置操作。

图5为本发明实施例五提供的配置信息的合规检测方法的流程图。如图5所示，所述方法包括：

步骤51、配置核查过程；

为配置中的第一配置选择知识库中的任一模版库，根据模版库中的配置核查条目对第一配置中的配置信息进行核查，依据配置核查条目检测第一配置信息的遵从程度，生成配置核查结果。同样，对第二配置，也选择同样的模版库，进行配置核查，依据配置核查条目检测第二配置信息的遵从程度，生成配置核查结果。

步骤52、将配置核查的结果进行自动化对比；

例如，识别上述两种配置内容的差别，可以通过两者的配置文件或者两者的核查结果对比得到变配置差异的具体内容；分析差异的具体内容可能影响的范围并对其进行风险的评估，例如，判断差异内容是否涉及到诸如访问控制、安全审计、结构安全、入侵防范、边界完整性、恶意代码防范、网络设备防护等范围，判断差异内容是否会带来更高的风险或者漏洞等。

步骤53、对比结果展示。例如，可以将上述的分析结果以可视化界面展示给用户查阅，用户可以根据自动化分析结果来决策采用哪一套配置文件。

可选地，本实施例还包括：

步骤54、为用户提供配置建议选择；

例如，根据自动化分析结果中，风险少、合规项多的配置文件可以建议用户选择遵从该配置。同样，也可以比较多种配置的配自动化分析结果，为设备、装置或系统的配置项选择遵从度最高的配置选择或设置。

可选地，本实施还包括：

步骤55、下发配置。

例如可以本地构建配置文件下发到设备、装置或系统上，也可以直接远程设备、装置或系统，下发配置命令，使其变更为符合核查条目的配置信息。

本发明实施例五提供的方法，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

另外，通过获取变更内容，再对变更内容进行评估，可以准确地帮助用户分析得到配置的更改所带来的风险，为用户做配置信息的选择提供了依据；且在变更内容为多个时，通过输出每个变更内容的评估结果，并接收用户根据评估结果确定的配置信息，通过人机交互，实现了配置信息的最优选择，提高了处理效率；另外，通过对配置信息的下发，提高了配置信息的配置完成的速度，提高了配置操作的效率。

实施例六

此实施例中，策略管控设备支持对配置的修改，除了包括实施例一中的技术方案外，本实施的配置信息的合规检测方法还包括：

在所述输出对选择所述变更内容的建议信息之后，通知对所述建议信息中遵从度低于阈值的变更内容进行修改。

图6为本发明实施例六提供的配置信息的合规检测方法的流程图。如图6所示，所述方法包括：

步骤61、配置核查过程；

为配置中的第一配置信息选择知识库中的任一模版库，根据模版库中的配置核查条目对第一配置信息进行核查，依据配置核查条目检测第一配置信息的遵从程度，生成配置核查结果。同样，对第二配置信息，也选择同样的模版库，进行配置核查，依据配置核查条目检测第二配置信息的遵从程度，生成配置核查结果。

步骤62、将配置核查的结果进行自动化对比；

步骤63、对比结果展示。例如，可以将上述的分析结果以可视化界面展示给用户查阅，用户可以根据自动化分析结果来决策采用哪一套配置文件。

可选地，本实施例的方法还包括：

步骤64、为用户提供配置建议选择；

可选地，本实施例的方法还包括：

步骤65、变更配置。

例如，对于上述建议中遵从度较低的配置选择或设置，策略管控设备可以本地构建变更后的配置文件下发到设备、装置或系统上，也可以直接远程设备、装置或系统，下发变更的配置命令，使配置能够符合核查规范。

本发明实施例六提供的方法，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

另外，通过获取变更内容，再对变更内容进行评估，可以准确地帮助用户分析得到配置的更改所带来的风险，为用户做配置信息的选择提供了依据；通过为用户提供建议信息，进一步为用户做配置信息的选择提供了依据；另外，通过对遵从度差的变更内容进行更改，提供了配置信息的管理效率，对优化配置信息提供了方便。

实施例七

图7为本发明实施例提供的配置信息的合规检测装置的结构图。图7所示结构包括：

检测模块701，设置为对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果；

对比模块702，设置为对比所述第一核查结果和所述第二核查结果，得到对比结果；

处理模块703，设置为根据所述对比结果，输出评估结果。

可选地，如图8所示，所述处理模块703包括：

获取单元7031，设置为根据所述对比结果，得到变更内容；

评估单元7032，设置为根据所述变更内容，对所述变更内容进行风险的评估，得到评估结果；

输出单元7033，设置为输出所述评估结果。

可选地，

所述输出单元7033是设置为当所述变更内容为至少两个时，输出每个变更内容的评估结果；

所述处理模块703还包括：

处理单元7034，设置为：接收对所述变更内容的选择结果；并根据所述变更内容的选择结果，确定最终使用的配置信息；或者，根据每个变更内容的评估结果，输出对选择所述变更内容的建议信息，其中，所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。

可选地，所述装置还包括：

第一通知模块704，设置为在确定最终使用的配置信息之后，通知利用所述最终使用的配置信息完成配置操作。

可选地，所述装置还包括：

第二通知模块705，设置为在输出对选择所述变更内容的建议信息之后，通知对所述建议信息中遵从度低于阈值的变更内容进行修改。

本发明实施例提供的装置实施例，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本申请不限制于任何特定的硬件和软件结合。

上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求所述的保护范围为准。

工业实用性

上述技术方案提供了配置信息的合规性检测，解决了配置变更管理混乱无序的问题。

Claims

一种配置信息的合规检测方法，包括：

对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果；

对比所述第一核查结果和所述第二核查结果，得到对比结果；

根据所述对比结果，输出评估结果。
根据权利要求1所述的方法，其中，所述根据所述对比结果，输出评估结果包括：

根据所述对比结果，得到变更内容；

对所述变更内容进行风险评估，得到评估结果；

输出所述评估结果。
根据权利要求2所述的方法，其中：

所述输出所述评估结果，包括：

当所述变更内容的个数为至少两个时，输出每个变更内容对应的评估结果；

在所述输出所述评估结果之后，所述方法还包括：

接收对所述变更内容的选择结果，并根据所述变更内容的选择结果，确定最终使用的配置信息；或者，

根据每个变更内容对应的评估结果，输出对选择所述变更内容的建议信息，其中，所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。
根据权利要求3所述的方法，所述确定最终使用的配置信息之后，所述方法还包括：

通知利用所述最终使用的配置信息完成配置操作。
根据权利要求3所述的方法，所述输出对选择所述变更内容的建议信息之后，所述方法还包括：

通知对所述建议信息中遵从度低于阈值的变更内容进行修改。
一种配置信息的合规检测装置，包括：

检测模块，设置为对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果；

对比模块，设置为对比所述第一核查结果和所述第二核查结果，得到对比结果；

处理模块，设置为根据所述对比结果，输出评估结果。
根据权利要求6所述的装置，其中，所述处理模块包括：

获取单元，设置为根据所述对比结果，得到变更内容；

评估单元，设置为根据所述变更内容，对所述变更内容进行风险评估，得到评估结果；

输出单元，设置为输出所述评估结果。
根据权利要求7所述的装置，其中，

所述输出单元是设置为当所述变更内容的个数为至少两个时，输出每个变更内容对应的评估结果；

所述处理模块还包括：

处理单元，设置为：接收对所述变更内容的选择结果；并根据所述变更内容的选择结果，确定最终使用的配置信息；或者，根据每个变更内容对应的评估结果，输出对选择所述变更内容的建议信息，其中，所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。
根据权利要求8所述的装置，所述装置还包括：

第一通知模块，设置为在确定最终使用的配置信息之后，通知利用所述最终使用的配置信息完成配置操作。
根据权利要求8所述的装置，所述装置还包括：

第二通知模块，设置为在输出对选择所述变更内容的建议信息之后，通知对所述建议信息中遵从度低于阈值的变更内容进行修改。