专利名称::Vpn网络安全漏洞检测全局准入控制系统的制作方法
技术领域:
:本发明属于网络安全控制
技术领域:
,特别涉及一种VPN环境下的基于漏洞检测技术的网络安全准入控制系统。
背景技术:
:随着网络技术的不断发展,不同网络环境下的网络可控性、可管理性、网络运行状况的可视化、网络运行中数据的安全性、网络的健壮性以及各网络元素即网络中各节点设备的安全性等各方面的要求曰益增加,而现有网络管理技术多釆用的是对网络设备本身运行状况的关注和管理,即更关注于运行中的网络安全状况的分析管理,缺少了对进入网络的各种元素的控制和管理,以及对网络传输本身的安全性的考量。从现有的网络安全评估工具来看,多数针对网络漏洞的评估的工具在原理上并没有本质的区别,均是针对网络进行渗透测试来进行评估的,即评估并不是显示的,很多是以后台服务的形式运行于网络元素上的,一方面增加了网络的流量,降低了网络反应速度,一方面也占用了主机的开销,而且对网络系统安全评估设计到的软硬件平台、产品的规范命名,系统配置的规范表示,漏洞的标准命名,漏洞评估过程的数据标准化等问题在系统安全评估的表示中存在不一致的问题等等,需要一个统一的支持多平台的安全服务系统来解决上述问题。此外,当下很多漏洞评估工具,大多是针对网络上的主机的安全状况的检测评估,缺少针对整个网络,或者是安全级别不同的网络环境的安全状况的控制和评估,缺少针对不同安全域的安全状况进行分析评测,以及按照某种安全策略进行网络准入的相关操作,也需要一个多级安全域的全局准入的控制系统来解决上述问题。
发明内容本发明的目的是应用VPN来解决当前网络漏洞检测技术中忽略的网络传输中信息流的安全问题,解决当前网络漏洞检测技术中缺少的对网络环境的准入控制问题,通过支持多平台的集成OVAL检测技术的漏洞扫描检测技术解决针对各个域的安全情况(服务器、客户端主机的安全情况)的扫描、根据CVE囯际评分标准,生成图文并茂的主机安全状况评测报告,以友好的人机交互页面客观反映给客户的完整的VPN环境下的漏洞检测、多级安全域控制、准入控制的系统。本发明目的是这样实现的一种VPN网络安全漏洞检测全局准入控制系统,采用C/S架构,分为客户端、服务器端两部分,其中服务器端包括一VPN拨号认证管理模块,该模块作为系统的VPN拨号认证服务逻辑,负责对客户端节点即VPN拨入用户进行身份认证并与准入控制模块进行联动;一安全准入控制模块,该模块作为系统的准入控制服务逻辑,负责对业务终端的接入进行控制,通过漏洞检测及修复服务逻辑,检测系统的漏洞,根据检测结果和安全准入控制数据库中准入规则判断是否允许业务终端接入,如果系统准入级别低于准入规则规定的准入安全级别,提示业务终端进行系统安全修复,待修复完毕后,方可进行VPN拨号;一漏洞检测与修复服务模块,该模块的主要功能是为客户机的漏洞检测与修复客户逻辑提供漏洞扫描策略和补丁修复策略,从而使漏洞检测与修复客户逻辑按照指定策略扫描漏洞,提供补丁修复策略,并根据漏洞检测结果生成系统安全状况评估报告;一预警服务模块,该模块的主要功能是根据漏洞检测的结果即生成的系统完全评估报告给出预警提示信息;一曰志服务模块,该模块负责收集、汇总曰志信息,以便集中审计和6事件追查;其中客户端包括一VPN客户端拨号模块,该模块作为系统的VPN拨号认证服务逻辑,负责对客户端节点即VPN拨入用户进行身份认证并与安全准入控制模块进行联动;一客户端本地安全漏洞检测模块,该模块利用OVAL漏洞检测工具,对客户端主机本身进行基于浏览器的人机交互页面进行本地主机的安全漏洞检测,对生成的XML文件进行分析,依据CVE评分标准,程序实现人机交互页面中的漏洞检测结果即主机安全状况评估报告;并提供与服务器端相同的补丁修复策略。本发明VPN网络安全漏洞检测全局准入控制系统支持多级分布式部署,在大规模网络部署时,可以将系统支持平台根据所属的网络大小和管理级别划分为N级,N^l,各级平台之间存在管辖关系,其中一级管理二级及以下级,二级管理三级,依次类推,逐级管理,各级安全域服务器相互独立工作,也可以与其他安全域服务器协同工作或互为备份。上述安全准入控制模块包括如下功能模块一人机交互接口,负责与管理者交互,实现人机交互,提供管理界面;一漏洞状况分析模块,通过漏洞检测与修复服务模块生成的主机安全状况评测报告,对漏洞检测检测结果进行分析评测,为安全准入控制模块进行信息交互;一安全准入控制模块,根据漏洞状况分析模块的分析评测结果,釆用准入控制策略数据库中控制策略,在人际交互接口给出提示信息,与联动模块进行信息交互,进行准入控制;一联动模块,根据准入控制模块的准入决策,与VPN拨号认证管理模块进行信息交互。上述漏洞检测与修复服务模块包括如下功能模块7—漏洞检测模块,负责对主机进行漏洞检测和链接到该服务器的客户端主机发出漏洞扫描指令;该模块利用OVAL漏洞检测工具,进行漏洞检测,对生成的XML文件进行分析,依据CVE评分标准,程序实现人机交互页面中的漏洞检测结果即主机安全状况评估报告,并与安全准入控制模块进行通信,进行联动;—漏洞管理模块,负责漏洞定义文件的管理,及时更新服务器端漏洞定义库,并在每次客户端主机上线时,及时更新客户端漏洞定义库,并在人机交互页面中给出更新信息;—补丁修复策略模块,根据漏洞扫描的结果,即每个检测出的漏洞,更改模块在人机交互页面中显示提供OVAL官方的解决该漏洞方案的链接地址,即提供补丁修复服务解决方案。VPN网络安全漏洞检测全局准入控制系统中涉及对网络安全状况的部署方法和解决方案,是对需要进行安全保护的目标和方法的定义,包括如下步骤①部署VPN网络环境,包括建立Radius认证服务器,VPN环境搭建,建立VPN拨号用户账号,密码等相关部署;②根据需求划分不同安全域级别,即部署多级网络安全体系,建立各级安全域服务器管辖关系及各客户端节点连接的相应级别的安全域服务器;③在各级安全域内安装安全服务器,即服务器端程序,并配置相应配置文件及数据库信息,满足步骤②中安全域级别要求;同时根据步骤②中部署要求,安装客户端程序,并配置客户端配置文件即保证客户端在安全域部署范围内连接上相应安全服务器。发明的优点与积极效果1、VPN网络安全漏洞检测全局准入控制系统可以在一个网络内很好地实现安全的统一规划和部署,从而达到整体安全性提高的效果。82、安全功能,本发明在安全性上既保证了各安全域内主机的安全,也保证了进入该安全域的网络元素的准入安全,同时采用VPN部署网络环境,保证信息传输过程的安全;采用国际通用的支持多平台的基于OVAL的漏洞检测技术,更通用。<table>tableseeoriginaldocumentpage9</column></row><table>3、管理通用性有效性的显著提高本发明釆用C/S模式架构,客户端主机连接相应安全域内的服务器主机,可通过任何终端浏览器进行VPN拨号认证,认证通过后,可直接访问服务器主机,通过浏览器查看该服务器下辖客户端主机安全状况,并通过友好的人机交互页面针对主机进行准入控制操作、漏洞检测搡作等相关操作,不受地域和网络的限制,管理通用性和有效性提高明显。图1:VPN网络安全漏洞检测全局准入控制系统层次结构图2:VPN网络安全漏洞检测全局准入控制系统逻辑结构图3:安全域树形组织结构示意图4:VPN网络安全漏洞检测全局准入控制系统拓扑图5:嵌入式Web服务器内部逻辑结构图6:Servlet执行引擎逻辑结构图7:Servlet执行引擎的工作流程。具体实施例方式下面结合附图对本发明作进一步说明。本发明是工作在VPN网络环境下,通过基于OVAL的漏洞检测系统进行漏洞检测,生成主机安全评测报告,并根据准入控制策略,与VPN拨号等用户身份认证机制联动,从而控制个安全域边界,达到对整个网络环境的安全防护。本发明由四部分组成,分别是准入控制层、安全服务层、服务控制层、表示层。如图1所示。各部分工作机制如下-.准入控制层为安全服务层,服务控制层,表示层提供准入控制服务,所有上层服务均需要准入层提供安全保障,确保系统各个参与者身份合法,权限合法,该层主要组件有安全准入控制服务逻辑,安全准入控制客户逻辑,安全准入控制管理控制台。安全服务层为基础网络提供安全保障,确保业务网络主机的安全可靠,承载漏洞检测及修复,安全服务扩展业务等业务,优化VPN网络配置,修复主机漏洞。该层主要组件有漏洞检测及修复服务逻辑,安全服务扩展服务端执行引擎,预警服务逻辑,日志服务逻辑,漏洞检测及修复客户逻辑,安全服务扩展客户端执行引擎,预警客户逻辑,曰志客尸逻辑。漏洞检测模块中,系统的漏洞库采用CVE作为漏洞表示,对CVE标准作了全面的支持。可通过导入由MITRE的CVE官方发布的XML形式的漏洞字典到数据库来对漏洞库初始化。现给出漏洞数据初始化算法的伪码实现如下1:voidimport—cves(){2:cve一dict=xmlDocumentLoad(〃从CVE字典的官方发布地址处装载。3:"http:〃cve.mitre.org/data/downloads/allcves.xml");4:items=xmlGetElementsByName(cve-dict,,,item,,);〃在CVE字典中查询所有item元素。5:vector〈xmlNodePtr〉iteratorcve_iter;6:for(cve_iter=items.begin();eve—iter!=items.end();cvejter++){7:type=xmlNodeGetProp(承cve一iter,"type");8:if(type=="CVE")(〃仅处理CVE条目,候选条目放弃。9:eve—id=xmlNodeGetProp(*cve—iter,"name,,);〃取CVE标识符。10:eve—desc=xmlGetChildElement(*cve—iter,,,desc");〃取漏洞描述信白lS、》11:sql—exec("INSERTINTOvulnerabilityVALUES('"12:+eve—id+",,",+eve—desc->nodeValue+",);");〃向漏洞表中插入一条漏洞信息。14:refs=xmlGetChildElement(*cve—iter,,,refs,,);15:for(xmlNodePtrcur=refs,firstChild;NULL!=cur;cur=cur->nextSibling){16:ref—source=xmlNodeGetProp(cur,"source");17:sourcejd=sql一exec("INSERTINTOvulnerability—source(source—name)VALUES('"18:+ref—source+",);");〃向漏洞源表中插入一项漏洞源。19:ref—url=xmlNodeGetProp(cur,,,url");20:declaration—id=sql_exec("INSERTINTOvulnerability—declaration(declaration_url)"21:+"VALUES('"+ref_url+,");");〃向漏洞声明中插入一项漏洞声明。22:sql—exec("INSERTINTOref—vulnerability—declarationVALUES('"23:+eve—id+,",",+declaration—id+",);");〃建立漏洞与漏洞声明的关系。1124:sql—exec("INSERTINTOdeclaration—sourceVALUES(",25:+declaration—id+",,",+source—id+",);,,);〃建立漏洞声明与漏洞源的关系。26:}〃endforcur27:}〃endif28:}〃endforeve—iter29:xmlBufferFree(items);30:xmlDocFree(cve一dict);31:}漏洞检测模块中,系统的漏洞库模式采用OVAL作为评估标准表示,对OVAL作了全面的支持,可通过导入由MITRE的OVAL官方发布的XML形式的OVAL仓库到数据库来实现评估标准数据的初始化。现给出漏洞评估标准数据初始化的伪码实现如下1:voidimport—oval—definitions(){2:oval—repository=xmlDocumentLoad(〃从OVAL仓库的官方发布地址处装载。3:"http:〃oval.mitre.org/rep-data/org.mitre.oval/oval.xmr);4:oval一defs=xmlGetElementsByName(oval一repository,"definition");〃在仓库中查询所有定义。5:vector<xmlNodePtr>::iteratoroval一iter;6:for(ova1—iter=oval—defs.begin();oval—iter!=oval—defs.end();oval—iter++){7:ref=xmlGetChildElement(*oval—iter,"reference");8:source=xmlNodeGetProp(ref,,,source");9:if(source"CVE"M〃仅处理CVE来源。10:cve_id=xmlNodeGetProp(ref,"ref—id");〃取CVE标识符。1211:for(criteria=xmlGetChildElement(*oval—iter,"criteria,,);12:NULL!=criteria;criteria=xmlGetChildElement(criteria,,'criteria")){1314151617sql—exec("INSERTINTOcriteria(operator,comment)VALUES('+criteria->operator+",,,,,+criteria->comment+",);,,);criterions=xmlGetChildElement(criteria,,,criterion,,);vector<xmlNodePtr>::iteratercriterion—iter;for(criterion一iter=criterions.begin();criterion—itercriterions.end();criterion—iter++){181920negate=xmlNodeGetProp(*criterion—iter,,,negate");comment=xmlNodeGetProp(*criterion—iter,"comment,,);criterion—id=sql一exec("腿ERTINTOcriterion(negate,comment)VALUES('+negate+"',,"+comment+",);");〃新建原子评估标准test—ref=xmlNodeGetProp(*criterion_iter,,,test—ref,);test=xmlGetElementByld(oval一repository,test一ref);test—id=sql—exec("INSERTINTOtest(version,check,comment)21222324VALUES(",25:+test->version+'",);");〃新建测试。+test->check++test->comment+2627测节28:29:VALUES(关系sql—exec("INSERTINTOref_criterion—testVALUES('"+criterion—id+",,,,,+test—id+",);,,);〃建立原子评估标准与object=xmlGetElementByld(ova1—repository,test->object_ref);object—id=sql—exec("INSERTINTOobject(version,comment)1330:+object->version+",,",+object->comment+",);,,);〃新建抽象对象。.31:state=xmlGetElementByld(ova1—repository,test->state—ref);32:state—id=sql一exec("INSERTINTOstate(operator,version,comment)VALUES('"33:+state->operator+",,,,,+state醫〉version+",,",+state->comment+",);");34:sql—exec("INSERTINTOcheckVALUES("V/建立测试,对象,状态之间的关系。35:+test—id+",,",+object—id+",,",+state—id+",);,,);36:sql—exec("INSERTINTOref—criteria—criterionVALUES('"37:+critera->id+",,",+criterion—id+",);,,);〃建立复合标准与原子标准的关系。38:}〃endforcriterion—iter39:}〃endforcriteria—iter40:V/endif41:}〃endforoval—iter42:}漏洞检测模块中,漏洞评估策略是漏洞评估的一个规划,漏洞评估策略的产生途径有两个由系统操作人员定制,或者是在评估过程中产生。如果漏洞评估策略由操作人员来定制,那么需要操作人员有相当丰富的安全管理知识和经验。而评估过程中产生的漏洞评估策略则不然,因为该种策略由程序产生,因此对系统操作人员要求比较低。对于手工定制漏洞评估策略的情况,操作人员根据需要从漏洞库中选择部分漏洞进行评估。对于漏洞评估策略自动生成的情况,漏洞评估策略可根据客户端主机的硬件平台,操作系统以及软件平台来确定,漏洞评估策略仅列入那些与客户端主14机有关的漏洞。现给出对漏洞评估策略的自动产生算法的伪码实现如下1:voidplan—schema(schema_t*plan,profile—t*profile){〃plan,输出,漏洞评估计划。2:〃profile,输入,主机骨架信息。3:vector<platform—t>::iteratorplatform—iter;4:for(platform—iter=profile->begin();platform—iter!=profile->end();platformjter++){5:vid—list=sql一exec("SELECTvulnerability—idFROMaffectedWHEREplatform—id=,"6:+(*platform—iter)->platform—id+",;");〃查询与该平台相关的所有漏洞ID。7:vector<string>::iteratorv—iter;8:for(v—iter=vid—listbegin();v—iter!=vid—list.end();v一iter++){9:vulnerability=sql_exec("SELECT*FROMvulnerabilityWHEREvulnerability—id=,"10:+*v—iter+",;,,);〃根据漏洞ID查询漏洞详细信息。11:plan->add—vunerability(vulnerability);〃将该漏洞添加至评估方案。12:}〃endforv—iter13:}〃endforplatform—iter14:}服务控制层为基础网络提供安全服务配置功能,控制安全服务层的运行。该层主要组件有漏洞检测及修复管理控制台,安全服务扩展管理控制台,曰志管理控制台。表示层为VPN网络安全漏洞检测全局准入控制系统的使用者提供基于15WEB的人机交互界面。为了分离底层通信细节设计和漏洞检测评估系统的设计,同时也为了增强系统的扩展性,本发明规定由嵌入式web服务器提供基本的通信保障和分布式计算能力。嵌入式web服务器的设计既包含了web服务器服务端接口的设计,也包含了web服务器客户端接口的设计,此处所指的嵌入式是指web服务器能够被应用程序以API的方式调用。图5给出了嵌入式web服务器的内部逻辑结构。Servlet执行引擎是嵌入式web服务器的核心。根据"算法+数据结构=程序"这一公式,相应地,嵌入式web服务器将应用程序提炼为"servlets+data=application,,。Servlets是算法的载体,是应用系统业务逻辑的抽象;data是数据结构的载体,是应用系统业务数据的集合。嵌入式web应用由Servlet执行引擎装载执行,Servlet执行引擎的逻辑结构见图6。如图7所示,Servlet执行引擎实际上是嵌入式web应用的容器,维护有一个全局的嵌入式web应用注册表。Servlet执行引擎在接收到浏览器或者是其他HTTP客户发送过来的请求后,即在自身的嵌入式web应用注册表中查找该请求对应的servlet执行,向浏览器或者是其他HTTP客户输出响应。嵌入式web应用由全局变量、会话以及servlet组成。全局变量为所有servlet共享访问,其生存期贯穿嵌入式web应用始终。会话是浏览器或者其他HTTP客户与嵌入式web应用交互时状态信息的保存,而各种状态信息则存储于会话变量。会话变量仅在会话期间有效。Servlet是服务端的一个函数,其声明必须符合"intservice(http—request*req,http—response承res);,,的形式。另外,在设计中还引入了一个特珠的servlet:"/rpcrouter"。该servlet主要处理HTTP-RPC业务。应用系统的业务逻辑可用servlet或者是HTTP-RPC的形式实现。VPN网络安全漏洞检测全局准入控制系统逻辑结构见图2,①,②,③,(D所标记的组件分别对应图1的L.l,L.2,L.3,L.4。200910022732.X图2为系统逻辑结构图,即根据系统各功能模块对应相应逻辑层次,部署实现系统。图3为系统部署时的安全域树形组织结构图,根据网络部署的实际需求,各级域由该域安全服务器统一管理,并直辖该域中各客户端节点主机,且上级域可查看相邻下级域信息,不可越级查看;可通过浏览器等人机交互界面,通过域安全服务器查看该域直辖各种业务服务器安全信息、客户端节点主机安全信息(安全信息包括该主机的主机信息、对该主机的漏洞扫描结果的分析报告及准入控制搡作提示等信息),通过漏洞扫描结果生成的主机安全情况评测报告,根据准入策略,可通过准入控制接口进行准入/不准入的操作,从而实现与VPN拨入认证的联动,实现网络安全准入控制。图4为系统部署时实际部署图,在搭建环境时,可根据此图部署网络环境,并在该网路环境下分别安装服务器端和客户端程序,从而实现本发明所述系统。图4中即是按照安全域的部署级别部署的网络拓扑结构。应用实例某用户是一个全国性的机构,从组织上分为总中心、省级中心、巿级中心等三级级别,每级中心均有专属的业务服务器及相关客户端节点主机。上一级域只可查看邻近下级域信息,不可越级查看,当某级域服务器故障时,可直接由其上一级域服务器接管(此处可通过程序的配置文件配置,接管原则为若某一级安全域内安全服务器宕机,则连接该服务器的客户端主机在上线时,若发现首选服务器连接无响应,则直接通过读取配置文件中的该服务器上一级服务器,即完成接管)。针对客户的实际问题和需求,整个系统由几部分组成如图4所示,顶级域、一级域、二级域各部署一台或多台(实现负载均衡)系统安全域服务器;网络安全管理员利用安全域部署需求部署管辖范围内的服务器下辖客户端节点主机;每级安全域中的安全服务器负责本域内的客户端节点主机的准入控制及安全状况评估;各级安全域节点组成一个树状结构,保证各安全域内服务器客户端漏洞信息的同步和策略的统一。17在域结构内所有的客户端节点主机和服务器上安装相应执行程序,当用户登录时,首先通过VPN拨号,成功后,由服务器端査看该客户端信息,并进行漏洞扫描等安全状况评估,根据评测报告执行准入控制。测试时间2009年2月测试环境CPU:IntelPentiumD2.8GHz,内存512MDDR2533,硬盘7200RPMSATA80G,显卡ATIX600SE128M,芯片组Intel945P,显示器Dell17,LCD。测试策略检测个安全域间辖属关系;査看个安全域内所辖客户端主机,针对不同的搡作系统版本进行VPN用户拨入、漏洞检测等安全状况评估、准入控制等相关搡作。部署本发明所述系统后,有效地解决和预防了原来系统中出现的各种安全和管理问题,实现了在VPN网络环境下,通过对网络节点主机的漏洞检测等安全状况的评估,根据安全状况评估报告,与VPN拨号联动,实现了对网络规划中的各个安全域的边界限定即准入控制。使得整个网络的安全性、网络拓扑结构中的各网络元素的安全性大大提高。权利要求1、一种VPN网络安全漏洞检测全局准入控制系统,其特征在于采用C/S架构,分为客户端、服务器端两部分,其中服务器端包括-VPN拨号认证管理模块,该模块作为系统的VPN拨号认证服务逻辑,负责对客户端节点即VPN拨入用户进行身份认证并与准入控制模块进行联动;-安全准入控制模块,该模块作为系统的准入控制服务逻辑,负责对业务终端的接入进行控制,通过漏洞检测及修复服务逻辑,检测系统的漏洞,根据检测结果和安全准入控制数据库中准入规则判断是否允许业务终端接入,如果系统准入级别低于准入规则规定的准入安全级别,提示业务终端进行系统安全修复,待修复完毕后,方可进行VPN拨号;-漏洞检测与修复服务模块,该模块的主要功能是为客户机的漏洞检测与修复客户逻辑提供漏洞扫描策略和补丁修复策略,从而使漏洞检测与修复客户逻辑按照指定策略扫描漏洞,提供补丁修复策略,并根据漏洞检测结果生成系统安全状况评估报告;-预警服务模块,该模块的主要功能是根据漏洞检测的结果即生成的系统完全评估报告给出预警提示信息;-日志服务模块,该模块负责收集、汇总日志信息,以便集中审计和事件追查;其中客户端包括-VPN客户端拨号模块,该模块作为系统的VPN拨号认证服务逻辑,负责对客户端节点即VPN拨入用户进行身份认证并与安全准入控制模块进行联动;-客户端本地安全漏洞检测模块,该模块利用OVAL漏洞检测工具,对客户端主机本身进行基于浏览器的人机交互页面进行本地主机的安全漏洞检测,对生成的XML文件进行分析,依据CVE评分标准,程序实现人机交互页面中的漏洞检测结果即主机安全状况评估报告;并提供与服务器端相同的补丁修复策略。2、根据权利要求1所述的VPN网络安全漏洞检测全局准入控制系统,其特征在于VPN网络安全漏洞检测全局准入控制系统支持多级分布式部署,在大规模网络部署时,可以将系统支持平台根据所属的网络大小和管理级别划分为N级,N^l,各级平台之间存在管辖关系,其中一级管理二级及以下级,二级管理三级,依次类推,逐级管理,各级安全域服务器相互独立工作,也可以与其他安全域服务器协同工作或互为备份。3、根据权利要求1所述的VPN网络安全漏洞检测全局准入控制系统,其特征在于安全准入控制模块包括如下功能模块一人机交互接口,负责与管理者交互,实现人机交互,提供管理界面;一漏洞状况分析模块,通过漏洞检测与修复服务模块生成的主机安全状况评测报告,对漏洞检测检测结果进行分析评测,为安全准入控制模块进行信息交互;一安全准入控制模块,根据漏洞状况分析模块的分析评测结果,釆用准入控制策略数据库中控制策略,在人际交互接口给出提示信息,与联动模块进行信息交互,进行准入控制;一联动模块,根据准入控制模块的准入决策,与VPN拨号认证管理模块进行信息交互。4、根据权利要求1所述的VPN网络安全漏洞检测全局准入控制系统,其特征在于漏洞检测与修复服务模块包括如下功能模块一漏洞检测模块,负责对主机进行漏洞检测和链接到该服务器的客户端主机发出漏洞扫描指令;该模块利用OVAL漏洞检测工具,进行漏洞检测,对生成的XML文件进行分析,依据CVE评分标准,程序实现人机交互页面中的漏洞检测结果即主机安全状况评估报告,并与安全准入控制模块进行通信,进行联动;一漏洞管理模块,负责漏洞定义文件的管理,及时更新服务器端漏洞定义库,并在每次客户端主机上线时,及时更新客户端漏洞定义库,并在人机交互页面中给出更新信息;一补丁修复策略模块,根据漏洞扫描的结果,即每个检测出的漏洞,更改模块在人机交互页面中显示提供OVAL官方的解决该漏洞方案的链接地址,即提供补丁修复服务解决方案。5、权利要求1所述的VPN网络安全漏洞检测全局准入控制系统对网络安全状况的部署方法包括如下步骤①部署VPN网络环境,包括建立Radius认证服务器,VPN环境搭建,建立VPN拨号用户账号,密码相关部署;②根据需求划分不同安全域级别,即部署多级网络安全体系,建立各级安全域服务器管辖关系及各客户端节点连接的相应级别的安全域服务器;③在各级安全域内安装安全服务器,即服务器端程序,并配置相应配置文件及数据库信息,满足步骤②中安全域级别要求;同时根据步骤②中部署要求,安装客户端程序,并配置客户端配置文件即保证客户端在安全域部署范围内连接上相应安全服务器。全文摘要本发明公开了一种VPN网络安全漏洞检测全局准入控制系统,其采用C/S架构,分为客户端、服务器端两部分,其中服务器端包括VPN拨号认证管理模块、安全准入控制模块、漏洞检测与修复服务模块、预警服务模块和日志服务模块;客户端包括VPN客户端拨号模块和客户端本地安全漏洞检测模块。本发明的控制系统可以在一个网络内很好地实现安全的统一规划和部署,从而达到整体安全性提高的效果;在安全性上既保证了各安全域内主机的安全,也保证了进入该安全域的网络元素的准入安全;采用C/S模式架构,不受地域和网络的限制,管理通用性和有效性提高明显。文档编号H04L12/26GK101562609SQ20091002273公开日2009年10月21日申请日期2009年5月27日优先权日2009年5月27日发明者骞孙,林张,威杨,王旭东,青花,陈桐桐,岭高申请人:西北大学