一种配置信息的合规检测方法和装置与流程

本发明涉及通信领域，尤其涉及一种配置信息的合规检测方法和装置。

背景技术：

随着网络的开放性、互联性、共享程度的扩大，企业越来越依赖信息和网络技术，随着网络安全威胁越来越大而单一的安全技术或安全设备无法满足网络对安全的要求，企业对网络安全的部署变得日趋复杂，而安全设备产品种类繁多，搭建环境具有多样性，而设备上的策略配置愈趋繁琐，这对技术人员的水平要求很高，而往往很多企业的技术人员没有足够的安全领域相关知识，导致在安全设备上进行的配置存在诸多隐患。

Skybox Security调查发现，58％企业在他们的NGFW上部署了100条以上的规则，而35％的公司每月执行100次以上变更，频繁变更易导致配置错误。据Gartner统计，99％的防火墙安全事件均是由防火墙的配置错误而引起。企业需要一种自动检测安全设备配置策略合规性的方法，将技术和管理有机的结合起来，对网络安全进行统一管理和控制，提高整体安全水平。

信息安全策略是否合规是通过配置核查来进行评估。现有的核查技术只有利用核查库条目进行已有配置的逐项核查，但针对配置的变更或配置文件的选择并没有好的方法，因此，亟需提出一种改进的策略合规检测方法来解决配置变更管理混乱无序的问题。

技术实现要素：

本发明提供一种配置信息的合规检测方法和装置，要解决的技术问题是配置变更管理混乱无序的问题。

为解决上述技术问题，本发明提供了如下技术方案：

一种配置信息的合规检测方法，包括：

对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果；

对比所述第一核查结果和所述第二核查结果，得到比较结果；

根据所述比较结果，输出合规检测信息。

其中，所述根据所述比较结果，输出合规检测信息包括：

根据所述比较结果，得到变更内容；

根据所述变更内容，对所述变更内容进行风险的评估，得到评估结果；

输出所述评估结果。

其中，所述输出所述评估结果，包括：

当所述变更内容为至少两个时，输出每个变更内容的评估结果；

在所述输出所述评估结果之后，包括：

接收对所述变更内容的选择结果，并根据所述变更内容的选择结果，确定最终使用的配置信息；或者，

根据每个变更内容的评估结果，输出对选择所述变更内容的建议信息，其中所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。

其中，所述确定最终使用的配置信息之后，所述方法还包括：

通知利用所述最终使用的配置信息完成配置操作。

其中，所述输出对选择所述变更内容的建议信息之后，所述方法还包括：

通知对所述建议信息中遵从度低于阈值的变更内容进行修改。

一种配置信息的合规检测装置，包括：检测模块，用于对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果；对比模块，用于对比 所述第一核查结果和所述第二核查结果，得到比较结果；处理模块，用于根据所述比较结果，输出合规检测信息。

其中，所述处理模块包括：

获取单元，用于根据所述比较结果，得到变更内容；

评估单元，用于根据所述变更内容，对所述变更内容进行风险的评估，得到评估结果；

输出单元，用于输出所述评估结果。

其中，所述输出单元，具体用于当所述变更内容为至少两个时，输出每个变更内容的评估结果；

所述处理模块还包括：

第一处理单元，用于接收对所述变更内容的选择结果；并根据所述变更内容的选择结果，确定最终使用的配置信息；或者，

第二处理单元，用于根据每个变更内容的评估结果，输出对选择所述变更内容的建议信息，其中所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。

其中，所述装置还包括：

第一通知模块，用于在确定最终使用的配置信息之后，通知利用所述最终使用的配置信息完成配置操作。

其中，所述装置还包括：

第二通知模块，用于在输出对选择所述变更内容的建议信息之后，通知对所述建议信息中遵从度低于阈值的变更内容进行修改。

本发明提供的方案，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

附图说明

图1为本发明提供的配置信息的合规检测方法的流程图；

图2为本发明实施例一提供的配置信息的合规检测方法的流程图；

图3为本发明实施例二提供的配置信息的合规检测方法的流程图；

图4为本发明实施例三提供的配置信息的合规检测方法的流程图；

图5为本发明实施例四提供的配置信息的合规检测方法的流程图；

图6为本发明实施例五提供的配置信息的合规检测方法的流程图；

图7为本发明提供的配置信息的合规检测装置的结构图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明作进一步的详细描述。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

图1为本发明提供的配置信息的合规检测方法的流程图。图1所示方法包括：

步骤101、对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果；

步骤102、对比所述第一核查结果和所述第二核查结果，得到比较结果；

步骤103、根据所述比较结果，输出合规检测信息。

本发明提供的方法实施例，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

在实际应用中，可以利用知识库实现对配置信息的核查，其中知识库为 各种丰富配置核查库(配置核查库可以由多条配置核查条目组成)，例如各种风险库、合规库、基线库等，这些核查库和核查条目可以从不同维度为设备、装置或系统提供不同需求的核查。

配置信息可以包含与设备、装置或系统相关的多种配置，例如设备、装置或系统上变更前和变更后的配置信息、或用户为设备、装置或系统定义的不同配置选择和设置的配置信息等。

为配置中的第一配置选择知识库中的某配置核查库，例如，根据配置核查库中的配置核查条目对第一配置中的配置信息进行核查，依据配置核查条目检测第一配置信息的遵从程度，生成配置核查结果。同样，对第二配置，也选择同样的配置核查库，进行配置核查，依据配置核查条目检测第二配置信息的遵从程度，生成配置核查结果。如果包含多种配置，则可以依此选择同样的配置核查库，对不同配置进行配置核查，生成配置核查结果。

将配置核查的结果进行对比。例如，将上述第一配置的配置核查结果与第二配置的配置核查结果进行对比，比较设备、装置或系统上相同配置项的不同配置选择或设置的配置核查遵从程度，为用户提供配置建议选择，例如建议用户选择遵从度更高的配置。同样，可以比较多种配置的配置核查结果，为设备、装置或系统的配置项选择遵从度最高的配置选择或设置。

下面对本发明提供的方法作进一步说明：

实施例一

在本实施例中，在用户有配置变更需求，但不清楚变更后是否会给现有环境造成影响，对此策略管控设备提供了配置变更的核查方法：

其中根据所述比较结果，输出合规检测信息，包括：

根据所述比较结果，得到变更内容；

根据所述变更内容，对所述变更内容进行风险的评估，得到评估结果；

输出所述评估结果。

下面对上述流程进行具体说明：

图2为本发明实施例一提供的配置信息的合规检测方法的流程图。如图2所示，是针对变更前后的配置进行的核查检验。例如，变更前配置可以是设备、装置或系统上原有的，已经生效的配置信息或选项；变更后配置可以是用户在原有配置上计划要进行或者进行了增加、修改或删除等操作后设备、装置或系统上的配置信息。配置信息的获取可以通过主动去设备、装置或系统上采集获得，也可以由设备、装置或系统上传而得。

配置核查过程。例如，为配置中的原有配置选择知识库中的某模版库，根据模版库中的配置核查条目对原有配置中的配置信息进行核查，依据配置核查条目检测原有配置信息的遵从程度，生成配置核查结果。同样，对变更后配置，也选择同样的模版库，进行配置核查，依据配置核查条目检测变更后配置信息的遵从程度，生成配置核查结果。

将配置核查的结果进行自动化对比。例如，识别变更内容，可以通过变更前后的配置文件或者变更前后的核查结果对比得到变更的具体内容；分析变更的内容可能影响的范围并对其进行风险的评估，例如，判断变更内容是否涉及到诸如访问控制、安全审计、结构安全、入侵防范、边界完整性、恶意代码防范、网络设备防护等范围，判断变更的内容是否会带来更高的风险或者漏洞等。

对比结果展示。例如，可以将上述的分析结果以可视化界面展示给用户查阅，用户可以根据自动化分析结果来决策是否进行变更操作。

本发明实施例一提供的方法，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

另外，通过获取变更内容，再对变更内容进行评估，可以准确的帮助用户分析得到配置的更改所带来的风险，为用户做配置信息的选择提供了依据。

实施例二

此实施例中，用户有多种配置需求，但不清楚哪种配置更优、更不会给现有环境造成影响，对此策略管控设备提供了多种配置的核查方法。

其中，所述输出所述评估结果，包括：

当所述变更内容为至少两个时，输出每个变更内容的评估结果；

在所述输出所述评估结果之后，包括：

接收对所述变更内容的选择结果，并根据所述变更内容的选择结果，确定最终使用的配置信息。

下面对上述流程作进一步说明：

图3为本发明实施例二提供的配置信息的合规检测方法的流程图。如图3所示，配置一是一种配置文件方案，配置二是与配置一不同的另一种配置文件方案，两种配置信息可能有部分不同也可能完全不同。这些配置信息既可以是从设备、装置或系统上获取的，也可以是能下发到设备、装置或系统上的配置文件。

配置核查过程。例如，为配置中的配置一选择知识库中的某模版库，根据模版库中的配置核查条目对配置一中的配置信息进行核查，依据配置核查条目检测配置一信息的遵从程度，生成配置核查结果。同样，对配置二，也选择同样的模版库，进行配置核查，依据配置核查条目检测配置二信息的遵从程度，生成配置核查结果。

将配置核查的结果进行自动化对比。例如，识别上述两种配置内容的差别，可以通过两者的配置文件或者两者的核查结果对比得到变配置差异的具体内容；分析差异的具体内容可能影响的范围并对其进行风险的评估，例如， 判断差异内容是否涉及到诸如访问控制、安全审计、结构安全、入侵防范、边界完整性、恶意代码防范、网络设备防护等范围，判断差异内容是否会带来更高的风险或者漏洞等。

对比结果展示。例如，可以将上述的分析结果以可视化界面展示给用户查阅，用户可以根据自动化分析结果来决策采用哪一套配置文件。

本发明实施例二提供的方法，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

另外，通过获取变更内容，再对变更内容进行评估，可以准确的帮助用户分析得到配置的更改所带来的风险，为用户做配置信息的选择提供了依据；且在变更内容为多个时，通过输出每个变更内容的评估结果，并接收用户根据评估结果确定的配置信息，通过人机交互，实现了配置信息的最优选择，提高了处理效率。

实施例三

此实施例中，用户希望得到根据配置分析给出的建议，来决定采用哪种配置，策略管控设备配置对比分析结果支持提供建议。具体流程如下：

所述输出所述评估结果，包括：

当所述变更内容为至少两个时，输出每个变更内容的评估结果；

在所述输出所述评估结果之后，包括：

根据每个变更内容的评估结果，输出对选择所述变更内容的建议信息，其中所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。

下面对上述流程进行具体说明：

图4为本发明实施例三提供的配置信息的合规检测方法的流程图。如图 4所示，为配置中的第一配置选择知识库中的某模版库，根据模版库中的配置核查条目对第一配置中的配置信息进行核查，依据配置核查条目检测第一配置信息的遵从程度，生成配置核查结果。同样，对第二配置，也选择同样的模版库，进行配置核查，依据配置核查条目检测第二配置信息的遵从程度，生成配置核查结果。

将配置核查的结果进行自动化对比。例如，识别上述两种配置内容的差别，可以通过两者的配置文件或者两者的核查结果对比得到变配置差异的具体内容；分析差异的具体内容可能影响的范围并对其进行风险的评估，例如，判断差异内容是否涉及到诸如访问控制、安全审计、结构安全、入侵防范、边界完整性、恶意代码防范、网络设备防护等范围，判断差异内容是否会带来更高的风险或者漏洞等。

对比结果展示。例如，可以将上述的分析结果以可视化界面展示给用户查阅，用户可以根据自动化分析结果来决策采用哪一套配置文件。

可选地，支持为用户提供配置建议选择。例如，根据自动化分析结果中，风险少、合规项多的配置文件可以建议用户选择遵从该配置。同样，也可以比较多种配置的配自动化分析结果，为设备、装置或系统的配置项选择遵从度最高的配置选择或设置。

本发明实施例三提供的方法，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

另外，通过获取变更内容，再对变更内容进行评估，可以准确的帮助用户分析得到配置的更改所带来的风险，为用户做配置信息的选择提供了依据；通过为用户提供建议信息，进一步为用户做配置信息的选择提供了依据。

实施例四

在本实施例中，策略管控设备支持对建议配置的下发。具体流程如下：所述确定最终使用的配置信息之后，所述方法还包括：

通知利用所述最终使用的配置信息完成配置操作。

下面对上述流程进行具体说明：

图5为本发明实施例四提供的配置信息的合规检测方法的流程图。如图5所示，为配置中的第一配置选择知识库中的某模版库，根据模版库中的配置核查条目对第一配置中的配置信息进行核查，依据配置核查条目检测第一配置信息的遵从程度，生成配置核查结果。同样，对第二配置，也选择同样的模版库，进行配置核查，依据配置核查条目检测第二配置信息的遵从程度，生成配置核查结果。

将配置核查的结果进行自动化对比。例如，识别上述两种配置内容的差别，可以通过两者的配置文件或者两者的核查结果对比得到变配置差异的具体内容；分析差异的具体内容可能影响的范围并对其进行风险的评估，例如，判断差异内容是否涉及到诸如访问控制、安全审计、结构安全、入侵防范、边界完整性、恶意代码防范、网络设备防护等范围，判断差异内容是否会带来更高的风险或者漏洞等。

对比结果展示。例如，可以将上述的分析结果以可视化界面展示给用户查阅，用户可以根据自动化分析结果来决策采用哪一套配置文件。

可选地，支持为用户提供配置建议选择。例如，根据自动化分析结果中，风险少、合规项多的配置文件可以建议用户选择遵从该配置。同样，也可以比较多种配置的配自动化分析结果，为设备、装置或系统的配置项选择遵从度最高的配置选择或设置。

同样可选地，支持配置的下发。例如可以本地构建配置文件下发到设备、装置或系统上，也可以直接远程设备、装置或系统，下发配置命令，使其变更为符合核查条目的配置信息。

本发明实施例四提供的方法，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

另外，通过获取变更内容，再对变更内容进行评估，可以准确的帮助用 户分析得到配置的更改所带来的风险，为用户做配置信息的选择提供了依据；且在变更内容为多个时，通过输出每个变更内容的评估结果，并接收用户根据评估结果确定的配置信息，通过人机交互，实现了配置信息的最优选择，提高了处理效率；另外，通过对配置信息的下发，提高了配置信息的配置完成的速度，提高了配置操作的效率。

实施例五

此实施例中，策略管控设备支持对配置的修改，具体流程如下：

在所述输出对选择所述变更内容的建议信息之后，通知对所述建议信息中遵从度低于阈值的变更内容进行修改。

下面对上述流程进行具体说明：

图6为本发明实施例五提供的配置信息的合规检测方法的流程图。如图6所示，为配置中的第一配置选择知识库中的某模版库，根据模版库中的配置核查条目对第一配置中的配置信息进行核查，依据配置核查条目检测第一配置信息的遵从程度，生成配置核查结果。同样，对第二配置，也选择同样的模版库，进行配置核查，依据配置核查条目检测第二配置信息的遵从程度，生成配置核查结果。

将配置核查的结果进行自动化对比。例如，识别上述两种配置内容的差别，可以通过两者的配置文件或者两者的核查结果对比得到变配置差异的具体内容；分析差异的具体内容可能影响的范围并对其进行风险的评估，例如，判断差异内容是否涉及到诸如访问控制、安全审计、结构安全、入侵防范、边界完整性、恶意代码防范、网络设备防护等范围，判断差异内容是否会带来更高的风险或者漏洞等。

对比结果展示。例如，可以将上述的分析结果以可视化界面展示给用户查阅，用户可以根据自动化分析结果来决策采用哪一套配置文件。

可选地，支持为用户提供配置建议选择。例如，根据自动化分析结果中，风险少、合规项多的配置文件可以建议用户选择遵从该配置。同样，也可以 比较多种配置的配自动化分析结果，为设备、装置或系统的配置项选择遵从度最高的配置选择或设置。

同样可选地，支持配置的变更。例如，对于上述建议中遵从度较低的配置选择或设置，策略管控设备可以本地构建变更后的配置文件下发到设备、装置或系统上，也可以直接远程设备、装置或系统，下发变更的配置命令，使配置能够符合核查规范。

本发明实施例五提供的方法，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

另外，通过获取变更内容，再对变更内容进行评估，可以准确的帮助用户分析得到配置的更改所带来的风险，为用户做配置信息的选择提供了依据；通过为用户提供建议信息，进一步为用户做配置信息的选择提供了依据；另外，通过对遵从度差的变更内容进行更改，提供了配置信息的管理效率，对优化配置信息提供了方便。

图7为本发明提供的配置信息的合规检测装置的结构图。图7所示结构包括：

检测模块701，用于对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果；

对比模块702，用于对比所述第一核查结果和所述第二核查结果，得到比较结果；

处理模块703，用于根据所述比较结果，输出合规检测信息。

其中，所述处理模块703包括：

获取单元，用于根据所述比较结果，得到变更内容；

评估单元，用于根据所述变更内容，对所述变更内容进行风险的评估， 得到评估结果；

输出单元，用于输出所述评估结果。

其中，所述输出单元，具体用于当所述变更内容为至少两个时，输出每个变更内容的评估结果；

所述处理模块703还包括：

第一处理单元，用于接收对所述变更内容的选择结果；并根据所述变更内容的选择结果，确定最终使用的配置信息；或者，

第二处理单元，用于根据每个变更内容的评估结果，输出对选择所述变更内容的建议信息，其中所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。

其中，所述装置还包括：

第一通知模块，用于在确定最终使用的配置信息之后，通知利用所述最终使用的配置信息完成配置操作。

其中，所述装置还包括：

第二通知模块，用于在输出对选择所述变更内容的建议信息之后，通知对所述建议信息中遵从度低于阈值的变更内容进行修改。

本发明提供的装置实施例，在配置信息发生变更后，将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测，分别得到第一核查结果和第二核查结果，在对比两个核查结果后，输出对比结果，实现对配置信息的合规性检测。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这 些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求所述的保护范围为准。