一种安全基线核查方法和设备的制作方法

一种安全基线核查方法和设备的制作方法
【专利摘要】本发明提供一种安全基线核查方法和设备，涉及通信领域，当运营商网络中设备配置有变更时，主动实时的核查变更的配置是否符合安全基线的安全要求，从而消除被核查设备的安全隐患，包括：接收被核查设备发送的SNMP消息；从所述SNMP消息中，获取携带有变更的配置参数的配置变更SNMP消息；所述配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的；若所述配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围，则确定所述变更的配置参数不符合安全要求。本发明提供的安全基线核查方法和设备应用于安全基线核查。
【专利说明】一种安全基线核查方法和设备

【技术领域】
[0001]本发明涉及通信领域，尤其涉及一种安全基线核查方法和设备。

【背景技术】
[0002]随着运营商网络应用日益丰富，网络技术架构不断演进，各类新的安全问题不断涌现，因此，各类安全检测方法也应运而生。其中，安全基线核查是最广泛采用的途径之一。
[0003]目前，安全基线核查是在运营商网络中各设备的配置发生变更的情况下，根据基线核查模板的安全要求与运营商网络、各设备的配置周期性进行手动或自动核查，从而核查出运营商网络、各设备的配置是否符合安全要求，其中，基线核查模板是多个被核查设备的各个配置的安全要求集合。以运维人员手动核查为例，假设运维人员每月15号10-12点核查运营商网络中各设备，若A设备的配置在I月I日半夜I点自动升级(也就是说A设备的配置在I月I号半夜I点发生变更)，但是运维人员并不知道A设备的配置已经升级，运维人员会在14天后(I月15号)的10-12点对运营商网络中各设备核查，从而判断该各个设备(包括A设备)的配置是否符合安全要求。由于变更的配置可能存在不符合安全要求的情况，在被核查之前，有很长一段时间(14天)A设备和整个运营商网络都可能存在安全隐患。同理，周期性的自动核查也存在上述问题。


【发明内容】

[0004]本发明的实施例提供一种安全基线核查方法和设备，当运营商网络中设备配置有变更时，主动实时的核查变更的配置是否符合安全基线的安全要求，从而消除由于核查滞后存在的安全隐患。
[0005]为达到上述目的，本发明的实施例采用如下技术方案:
[0006]第一方面，一种安全基线核查方法，包括:
[0007]接收被核查设备发送的SNMP消息；
[0008]从所述SNMP消息中，获取携带有变更的配置参数的配置变更SNMP消息；所述配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的；
[0009]若所述配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围，则确定变更的配置不符合安全要求。
[0010]第二方面，一种安全基线核查设备，包括:
[0011]配置变更监测模块，用于接收被核查设备发送的SNMP消息；
[0012]消息审计过滤模块，用于从所述SNMP消息中，获取携带有变更的配置参数的配置变更SNMP消息；所述配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的；
[0013]对比模块，用于若所述配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围，则确定变更的配置不符合安全要求。
[0014]本发明实施例提供一种安全基线核查方法和设备，只要配置发生变更，就能够自动实时接收到携带有变更的配置参数的配置参数SNMP消息，再根据配置参数SNMP消息中的配置参数与存储的安全要求范围，判定该配置参数是否符合安全要求，因此，本发明提供的方法能够当运营商网络中设备配置有变更时，主动实时的核查变更的配置是否符合安全基线的安全要求，从而消除由于核查滞后存在的安全隐患。

【专利附图】

【附图说明】
[0015]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0016]图1为现有的安全基线核查方法的示意图；
[0017]图2为本发明实施例提供的一种安全基线核查方法的流程图；
[0018]图3为现有的安全基线核查设备和本发明实施例的安全基线核查设备的示例图；
[0019]图4为本发明实施例提供的另一种安全基线核查方法的流程图；
[0020]图5为本发明实施例提供的一种安全基线核查设备的结构示意图；
[0021]图6为本发明实施例提供的另一种安全基线核查设备的结构示意图。

【具体实施方式】
[0022]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0023]首先对“安全基线” 一词进行解释说明。“安全基线”概念借用了传统的“基线”概念，“基线”是一种在测量、计算或定位中的基本参照。安全基线即是最基本的安全要求。例如在企业信息系统中建立安全基线，如对每个网元、应用系统都定义安全基准点，即设定满足最基本安全要求的条件，并在设备入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全基线要求，则可以进行风险的度量，做到风险可控可管。其中，在安全基线版本不变的情况下，具体的核查基线核查过程如图1所示，包括:安全基线核查设备开启；被核查设备入网；设定安全基线；基线核查和控制；度量与输出核查结果。
[0024]实施例一
[0025]本发明实施例提供一种安全基线核查方法，如图2所示，其中，被核查设备是具有SNMP (Simple Network Management Protocol,简单网络管理协议)功能的设备，该方法可以包括:
[0026]步骤101、接收被核查设备发送的SNMP消息。
[0027]步骤102、从SNMP消息中，获取携带有变更的配置参数的配置变更SNMP消息；该配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的。
[0028]步骤103、若配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围，则确定变更的配置参数不符合安全要求。
[0029]基线核查模版的安全要求范围包括被核查的各个设备的安全配置的安全要求，配置的安全要求主要包括了账号、口令、授权、密码、日志、IP(Internet Protocol,网络之间互连的协议)通信等方面安全范围，反映了系统自身的安全脆弱性。配置的安全要求与系统的相关性非常大，同一个配置项在不同业务环境中的配置的安全要求是不一样的，如在WEB (互联网)系统边界防火墙中需要开启HTTP (Hypertext transfer protocol,超文本传送协议)通信，但一个WAP (Wireless Applicat1n Protocol,无线应用协议)网关边界就没有这样的需求，因此在设计业务系统安全基线的时候，配置的安全要求安全配置是一个关注的重点。示例的，假设运维人员强制将密码长度为从原来的8变更成10，同时，被核查设备生成发送携带有变更的密码长度是10的配置变更SNMP消息，从而判断配置变更SNMP消息中的10是否在预设的范围[6，8]中，因此，由于10不再[6，8]中，认为变更的密码长度不符合安全要求。
[0030]这样一来，只要配置发生变更，就能够自动实时接收到携带有变更的配置参数的配置参数SNMP消息，再根据配置参数SNMP消息中的配置参数与存储的安全要求范围，判定该配置参数是否符合安全要求，因此，本发明提供的方法能够当运营商网络中设备配置有变更时，主动实时的核查变更的配置是否符合安全基线的安全要求，从而消除由于核查滞后存在的安全隐患。
[0031]进一步的，步骤102可以具体包括:根据预设关键字，从SNMP消息中确定出携带有变更的配置参数的配置变更SNMP消息。其中，SNMP消息报文可以包括SNMP协议版本号、团体名和协议数据单元，协议存储单元可以只存储关键字，也可以存储变更的配置参数和关键字。关键字可以是变更的配置参数存储在管理信息库的OID(Object identifier，对象标识)；又由于OID非常长且难以记住，因此，人们设计了一种与OID —一对应的可读的格式的映射，例如 OID 为:.1.3.6.1.2.1.25.2.2，对应的映射为:.1s0.0rg.dod.1nternet,mgmt.mib-2.host.hrStorage.hrMemorySize,因此,该关键字还可以是与OID对应的映射。其中，管理信息库给出了一个网络中所有可能的被核查设备的集合的数据结构，管理信息库采用和域名系统DNS相似的树型结构，它的根在最上面，根没有名字，OID就是用于查询从根到具体的树型结构上各个节点的标识。因此，若协议存储单元可以只存储0ID，那么可以通过OID在管理信息库中查询到对应的配置参数。
[0032]值得说明的是，为了更准确的确定出携带有变更的配置参数的配置变更SNMP消息，本发明实施例还可以根据预设关键字和预设SNMP消息两方面来确定。
[0033]进一步的，在开机初始情况下，所述方法还可以包括:存储基线核查模版。当变更的配置不符合安全要求，所述方法包括:显示用于提醒运维人员配置参数是否更改的第一提醒信息，以便于运维人员在看到第一提醒后，发送相应的指令；接收运维人员的第一更新指令；根据第一更新指令，用变更的配置参数更新基线核查模版的对应的配置参数，得到更新后的基线核查模版。
[0034]进一步的，所述方法还包括:当设备配置变更完成时，显示用于提醒运维人员是否更新基线核查模板的第二提醒信息，以便于运维人员在看到所述第二提醒后，发送相应的指令；接收运维人员的第二更新指令；根据所述第二更新指令，用所述更新后的基线核查模板代替所述基线核查模版，得到新的基线核查模板；根据新的基线核查模板，生成新的基线核查模版的安全要求范围。
[0035]所述当设备配置变更完成时，显示用于提醒是否更新基线核查模板的第二提醒之后，所述方法还包括:接收运维人员的不更新指令；删除所述更新后的基线核查模板。值得说明的是，由于该模板可能被多个系统同时使用，运维人员根据各个系统中被核查设备的配置变更情况，选择合适自身的版本。
[0036]实施例二
[0037]本发明另一实施例提供一种安全基线核查方法，应用于安全基线核查设备(图3_b)，相较于现有的安全基线核查设备(图3_a)包括系统管理模块、任务配置模块、模板管理模块、日志模块、数据库模块和核查模块，还包括配置变更监测模块、消息审计过滤模块、对比模块、版本控制模块和用户配置模块，其中本发明增加的模块在后续会继续介绍，本发明实施例用于核查A设备，
[0038]如图4所示，该方法可以包括:
[0039]步骤201、当开机时，版本控制模块存储基线核查模版，执行步骤202。
[0040]该基线核查模板是当前的版本控制模板，该版本内包括A设备的各个配置参数。
[0041]步骤202、A设备向配置变更监测模块发送SNMP消息，执行步骤203。
[0042]步骤203、配置变更监测模块向消息审计过滤模块发送SNMP消息，执行步骤204。
[0043]步骤204、消息审计过滤模块根据预设关键字，从SNMP消息中确定出携带有变更的配置参数的配置变更SNMP消息，执行步骤205。
[0044]示例的，假设关键字是密码长度的0ID。因此，消息审计过滤模块可以获取每个SNMP消息中OID，判断每个SNMP消息中OID和密码长度的OID是否相同，若存在SNMP消息的OID与密码长度的OID相同，则确定该SNMP消息是配置变更SNMP消息。本发明确定配置变更SNMP消息的方法有很多种，不限于此。
[0045]步骤205、消息审计过滤模块向对比模块发送配置变更SNMP消息，执行步骤206。
[0046]步骤206、对比模块判断变更的配置参数是否超过存储的基线核查模版的安全要求范围。若否，则执行步骤202 ;若是，则执行步骤207。
[0047]步骤207、若变更的配置参数超过存储的基线核查模版的安全要求范围，则对比模块向版本控制模块发送第一提醒信息，执行步骤208。
[0048]该第一提醒信息用于提醒运维人员是否更改配置参数。
[0049]步骤208、版本控制模块显示第一提醒信息，执行步骤209或210。
[0050]以便于运维人员在看到所述第一提醒信息后，发送相应的指令，其中，该相应的指令为第一更新指令或第一不更新指令。
[0051]步骤209、运维人员向版本控制模块发送第一不更新指令，执行步骤202。
[0052]步骤210、运维人员向版本控制模块发送第一更新指令，执行步骤211。
[0053]步骤211、版本控制模块根据第一更新指令，用变更的配置参数更新基线核查模版的对应的配置参数，得到更新后的基线核查模版，执行步骤202，直到设备变更完成。
[0054]步骤212、当设备配置变更完成时，用户配置模块显示用于提醒是否更新基线核查模板的第二提醒信息，执行步骤213或216。
[0055]以便于运维人员在看到第二提醒信息后，发送相应的指令，相应的指令指的是第二更新指令或不更新指令。
[0056]步骤213、运维人员向用户配置模块发送第二更新指令，执行步骤214。
[0057]步骤214、用户配置模块根据第二更新指令，用更新后的基线核查模板代替所述基线核查模版，得到新的基线核查模板，执行步骤215。
[0058]步骤215、用户配置模块根据新的基线核查模板，生成新的基线核查模版的安全要求范围。
[0059]由于旧的基线核查模板的安全要求范围已经不能够满足新的基线核查模板的要求了，因此，用户既然选择新的基线核查模板，相应的，变更的配置参数的安全要求范围也应该改变。示例的，原先的配置要求为密码长度为6-8位，但运维人员最终强行配置为10位，因此新的基线核查模版的参数则根据运维人员的更改记录调整为6-10位。
[0060]步骤216、运维人员向用户配置模块发送不更新指令，执行步骤216。
[0061]步骤217、用户配置模块删除更新后的基线核查模板。
[0062]本发明实施例提供一种安全基线核查方法，当配置发生更改并不符合原来的安全基线模版时，利用更新的模版，并由运维人员决定是否生成最新版本安全基线模版。从而不再被动等待运维人员来进行版本升级，而是由安全基线核查设备主动在配置变更时提醒并自动与运维人员进行版本升级。
[0063]实施例三
[0064]本发明实施例提供一种安全基线核查设备30，如图5所示，可以包括:
[0065]配置变更监测模块301，用于接收被核查设备发送的SNMP消息。
[0066]消息审计过滤模块302，用于从所述SNMP消息中，获取携带有变更的配置参数的配置变更SNMP消息；所述配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的。
[0067]对比模块303，用于若所述配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围，则确定所述变更的配置参数不符合安全要求。
[0068]这样一来，只要配置发生变更，就能够自动实时接收到携带有变更的配置参数的配置参数SNMP消息，再根据配置参数SNMP消息中的配置参数与存储的安全要求范围，判定该配置参数是否符合安全要求，因此，本发明提供的设备能够当运营商网络中设备配置有变更时，主动实时的核查变更的配置是否符合安全基线的安全要求，从而消除由于核查滞后存在的安全隐患。
[0069]具体的，所述消息审计过滤模块302具体用于:
[0070]根据预设关键字，从所述SNMP消息中确定出携带有变更的配置参数的配置变更SNMP消息。
[0071]进一步的，在开机初始情况下，如图6所示，所述设备30还包括:
[0072]版本控制模块304，用于存储所述基线核查模版。
[0073]进一步的，当变更的配置不符合安全要求，所述版本控制模块304，还用于:
[0074]存储所述基线核查模版。
[0075]当变更的配置不符合安全要求，所述方法包括:
[0076]显示用于提醒运维人员所述配置参数是否更改的第一提醒信息；
[0077]接收运维人员的第一更新指令；
[0078]根据所述第一更新指令，用所述变更的配置参数更新所述基线核查模版的对应的配置参数，得到更新后的基线核查模版。
[0079]进一步的,如图6所示,所述设备30还包括:
[0080]用户配置模块305,用于:
[0081]当设备配置变更完成时，显示用于提醒运维人员是否更新基线核查模板的第二提醒信息；
[0082]接收运维人员的第二更新指令；
[0083]根据所述第二更新指令，用所述更新后的基线核查模板代替所述基线核查模版，得到新的基线核查模板；
[0084]根据所述新的基线核查模板，生成新的基线核查模版的安全要求范围。
[0085]用户配置模块305，还用于:
[0086]接收运维人员的不更新指令；
[0087]删除所述更新后的基线核查模板。
[0088]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0089]以上所述，仅为本发明的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。
【权利要求】
1.一种安全基线核查方法，其特征在于，包括: 接收被核查设备发送的简单网络管理协议SNMP消息； 从所述SNMP消息中，获取携带有变更的配置参数的配置变更SNMP消息；所述配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的； 若所述配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围，则确定所述变更的配置参数不符合安全要求。
2.根据权利要求1所述的安全基线核查方法，其特征在于，所述从所述SNMP消息中，获取携带有变更的配置参数的配置变更SNMP消息，包括: 根据预设关键字，从所述SNMP消息中确定出携带有变更的配置参数的配置变更SNMP消息。
3.根据权利要求2所述的安全基线核查方法，其特征在于， 在开机初始情况下，所述方法还包括:存储所述基线核查模版； 当变更的配置不符合安全要求，所述方法还包括: 显示用于提醒运维人员所述配置参数是否更改的第一提醒信息； 接收运维人员的第一更新指令； 根据所述第一更新指令，用所述变更的配置参数更新所述基线核查模版的对应的配置参数，得到更新后的基线核查模版。
4.根据权利要求3所述的安全基线核查方法，其特征在于，所述方法还包括: 当设备配置变更完成时，显示用于提醒运维人员是否更新基线核查模板的第二提醒信息； 接收运维人员的第二更新指令； 根据所述第二更新指令，用所述更新后的基线核查模板代替所述基线核查模版，得到新的基线核查模板； 根据所述新的基线核查模板，生成新的基线核查模版的安全要求范围。
5.根据权利要求3所述的安全基线核查方法，其特征在于，所述当设备配置变更完成时，显示用于提醒运维人员是否更新基线核查模板的第二提醒信息之后，所述方法还包括: 接收运维人员的不更新指令； 删除所述更新后的基线核查模板。
6.一种安全基线核查设备，其特征在于，包括: 配置变更监测模块，用于接收被核查设备发送的SNMP消息； 消息审计过滤模块，用于从所述SNMP消息中，获取携带有变更的配置参数的配置变更SNMP消息；所述配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的； 对比模块，用于若所述配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围，则确定所述变更的配置参数不符合安全要求。
7.根据权利要求6所述的安全基线核查设备，其特征在于，所述消息审计过滤模块具体用于: 根据预设关键字，从所述SNMP消息中确定出携带有变更的配置参数的配置变更SNMP消息。
8.根据权利要求7所述的安全基线核查设备，其特征在于，在开机初始情况下，所述设备还包括: 版本控制模块，用于存储所述基线核查模版； 当变更的配置不符合安全要求，所述版本控制模块，还用于: 显示用于提醒运维人员所述配置参数是否更改的第一提醒信息； 接收运维人员的第一更新指令； 根据所述第一更新指令，用所述变更的配置参数更新所述基线核查模版的对应的配置参数，得到更新后的基线核查模版。
9.根据权利要求8所述的安全基线核查设备，其特征在于，所述设备还包括: 用户配置模块，用于: 当设备配置变更完成时，显示用于提醒运维人员是否更新基线核查模板的第二提醒信息； 接收运维人员的第二更新指令； 根据所述第二更新指令，用所述更新后的基线核查模板代替所述基线核查模版，得到新的基线核查模板； 根据所述新的基线核查模板，生成新的基线核查模版的安全要求范围。
10.根据权利要求8所述的安全基线核查设备，其特征在于，所述用户配置模块，还用于: 接收运维人员的不更新指令； 删除所述更新后的基线核查模板。
【文档编号】H04L12/24GK104363107SQ201410563532
【公开日】2015年2月18日 申请日期:2014年10月21日 优先权日:2014年10月21日
【发明者】唐磊, 李姗姗, 贾亦辰, 马铮, 高枫, 白晓媛, 俞播, 姜楠 申请人:中国联合网络通信集团有限公司