一种安全基线核查方法及设备的制造方法
【专利摘要】本发明实施例提供一种安全基线核查方法及设备,涉及通信技术领域,以解决对大量设备进行安全基线核查时,需要录入大量的设备信息,导致核查效率低下的问题。所述方法由安全基线核查设备执行,包括:创建核查任务,根据所述核查任务,登录所述待核查设备,并识别所述待核查设备的核查对象,确定与所述核查对象相对应的核查模板,根据所述核查模板对所述核查对象进行安全基线核查。
【专利说明】
_种安全基线核查方法及设备
技术领域
[0001]本发明实施例涉及通信技术领域,尤其涉及一种安全基线核查方法及设备。【背景技术】
[0002]随着运营商网络技术的不断演进,各类新的安全问题不断涌现,主要集中在以下方法:账号口令、认证授权、因特网(Internet Protocol,IP)协议和日志审计等方面,为了有效解决该类问题,安全基线核查是最广泛采用的途径之一。
[0003]安全基线核查主要针对网络设备、操作系统和软件的配置信息进行登录扫描,将扫描后的配置信息与相关要求进行比对,判断配置信息是否符合基线的安全要求。目前,安全基线核查的主要步骤为:运维人员事先录入多个网络设备的设备信息(如:IP地址、设备用户名、密码、设备类型、系统和软件安装位置等),根据录入的设备信息人为地从中选择需要被核查的设备,根据该设备的设备信息选择与其对应的核查模板,按照该核查模块开始核查,待核查结束后,生成报表上报给运维人员。
[0004]由上可知,在每次核查之前,都必须要人工录入包含设备类型、系统和软件安装位置的设备信息,根据这些设备信息选择待核查设备对应的核查模板才能执行核查。因此,在人工执行安全基线核查时,需要录入大量的设备信息,并从这些信息中筛选出待核查设备, 这样,面对大量设备时,设备信息录入繁琐,且人工筛选较慢,影响核查效率。
【发明内容】
[0005]本发明实施例提供一种安全基线核查方法及设备,以解决对大量设备进行安全基线核查时,需要录入大量的设备信息,导致核查效率低下的问题。
[0006]为达到上述目的,本发明的实施例采用如下技术方案:
[0007]第一方面,本发明实施例提供一种安全基线核查方法,由安全基线核查设备执行, 所述方法可以包括:
[0008]创建核查任务,其中,所述核查任务包含:待核查设备的设备信息,所述待核查设备的设备信息包含:所述待核查设备的IP地址、用户名及登录密码;
[0009]根据所述待核查设备的设备信息,登录所述待核查设备,并识别所述待核查设备的核查对象;
[0010]确定与所述核查对象相对应的核查模板;
[0011]根据所述核查模板对所述核查对象进行安全基线核查。
[0012]第二方面,本发明实施例还提供一种安全基线核查设备,用于执行第一方面所述的方法,所述设备可以包括:
[0013]创建单元,用于创建核查任务,其中,所述核查任务包含:待核查设备的设备信息, 所述待核查设备的设备信息包含:所述待核查设备的IP地址、用户名及登录密码;
[0014]识别单元,用于根据所述待核查设备的设备信息,登录所述待核查设备,并识别所述待核查设备的核查对象;
[0015]确定单元,用于确定与所述核查对象相对应的核查模板;
[0016]核查单元,用于根据所述核查模板对所述核查对象进行安全基线核查。
[0017]由上可知,本发明实施例提供一种安全基线核查方法及设备,创建核查任务,根据所述核查任务,登录所述待核查设备,并识别所述待核查设备的核查对象,确定与所述核查对象相对应的核查模板,根据所述核查模板对所述核查对象进行安全基线核查。如此,在核查过程中不需要人工预先录入设备的核查对象,而是通过安全基线核查自动识别待核查设备的核查对象,并选择核查模板进行核查,避免了录入大量的设备信息导致的核查效率低下的问题,提高了核查效率。【附图说明】
[0018]为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019]图1为本发明实施例提供的一种安全基线核查方法的流程图;
[0020]图2为本发明实施例提供的一种识别待核查设备中核查对象的方法流程图;
[0021]图3为本发明实施例提供的一种安全基线核查设备的结构图;
[0022]图3A为本发明实施例提供的一种安全基线核查设备的结构图。【具体实施方式】
[0023]本发明的基本原理是:在安全基线核查系统中新增一安全基线核查设备,并在安全基线核查登录待核查设备后,由安全基线核查设备自动对待核查设备中的核查对象进行识别,根据识别后的核查对象自动选择合适的核查模板进行安全基线核查,不需要人工事先录入待核查设备的核查对象、以及核查模板的相应信息,大大提高了核查效率。[〇〇24]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0025]实施例一
[0026]图1示出了本发明实施例提供的一种安全基线核查方法的流程图,由安全基线核查设备执行,如图1所示,所述方法可以包括以下步骤,其中,示出的步骤也可以在除安全基线核查设备之外的诸如一组可执行指令的计算机系统中执行。此外,虽然在图1中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0027]S101:创建核查任务,其中,所述核查任务包含:待核查设备的设备信息,所述待核查设备的设备信息包含:所述待核查设备的IP地址、用户名及登录密码。
[0028]其中,待核查设备可以为需要进行安全基线核查的设备。
[0029]可选的,安全基线核查设备可以从数据库中直接读取大量设备的设备信息,并根据需要(如从外部设备接收核查命令)从读取到的大量设备中选出需要被核查的设备,将这些设备定义为待核查设备,创建核查任务。
[0030]例如:可以从数据库中预先读取设备1?10的设备信息,将读取到的信息存储到安全基线核查设备中,待接收到用户通过其他设备或者安全基线设备的用户界面发出的对设备1?5进行安全基线核查的核查命令时,可以从预先存储的设备信息中,选出设备1?5的设备信息创建核查任务。
[0031]S102:根据待核查设备的设备信息,登录待核查设备,并识别所述待核查设备的核查对象。
[0032]可选的,安全基线核查设备可以根据待核查设备的IP地址,向待核查设备发送链接请求,接收待核查设备发送的登录界面,在登录界面上输入待核查设备的用户名及登录密码,确认登录待核查设备。
[0033]其中,核查对象可以为:操作系统、软件、以及设备。
[0034]操作系统可以包括:现有本领域技术人员所熟知的操作系统,如:可以为linux操作系统,也可以为windows操作系统。
[0035]软件可以包括:现有本领域技术人员所熟知的软件,特指待核查设备的操作系统下所包含的中间件(如tomcat、apache)或者数据库(如orac 1 e、my sq 1)等。
[0036]作为核查对象的设备与待核查设备是不同的,它是指待核查设备内部包含的设备,如:思科路由器、华为路由器等。
[0037]可选的,所述识别所述待核查设备的核查对象,可以包括:
[0038]根据预设的系统识别命令,识别出所述待核查设备包含的操作系统,所述系统识别命令用于识别所述待核查设备包含的操作系统;
[0039]根据预设的软件识别命令,识别出所述待核查设备包含的软件,所述软件识别命令用于识别所述待核查设备包含的软件;
[0040]根据预设的设备识别命令,识别出所述待核查设备包含的设备,所述设备识别命令用于识别所述待核查设备包含的设备。
[0041]其中,预设的系统识别命令、预设的软件识别命令、以及预设的设备识别命令可以根据需要进行设置,本发明实施例对此不进行限定。可选的,上述识别命令可以为本领域技术人员所熟知的一些识别命令。[0〇42] 例如:可以执行cat/etc/issue命令,通过该命令的输出(如有redhat的关键字), 确定操作系统为linux操作系统;可以通过执行find/-name httpd.conf■命令,根据是否存在httpd.conf文件,确认待核查设备是否安装了apache中间件。[〇〇43]可选的,对于系统识别命令而言,可以将能够识别出目前技术领域中已知操作系统的系统识别命令作为预设的系统识别命令,并将这些系统识别命令分别执行一遍,若正确执行,则确认该待核查设备包含与该系统识别命令相对应的操作系统,如:可以用linux 操作系统、以及windows操作系统对应的系统识别命令分别对待核查设备中的操作系统进行识别,若linux操作系统对应的系统识别命令正确执行,则确定该待核查设备包含linux 操作系统,该待核查设备的核查对象为:linux操作系统。
[0044]同理,当采用软件识别命令、以及设备识别命令对该待核查设备中的核查对象进行识别时,也可以采用上述方式进行识别,遍历每个识别命令,识别出待核查设备包含的核查对象,在此不再详细赘述。
[0045]由于,在实际应用中,操作类型、软件以及设备之间具有一定的宿主关系,对于某些操作系统而言,若设备上安装有该操作系统,则不可能安装其他操作系统或者是设备,例如:当检测到设备包含linux操作系统时,则不再考虑继续探测设备是否包含其他操作系统、以及设备(如路由器)等,因为linux操作系统上不可能再安装其他操作系统或者路由器,只可能会装数据库和中间件等。
[0046]因此,为了提高核查对象的识别效率,进一步可选的,可以预先建立各操作系统、 软件、以及设备之间的宿主关系,如:针对linux操作系统,除了 linux操作系统本身外,还可能存在哪些类型的与该操场系统共存的软件(如:数据库、中间件等)以及不可能存在哪些设备(如:路由器、防火墙等)和软件,将这种宿主关系进行预先记录,根据记录的宿主关系, 识别待核查设备中的核查对象。具体的,所述根据预设的系统识别命令,识别出所述待核查设备中的操作系统,根据预设的软件识别命令,识别出所述待核查设备中的软件,可以包括:
[0047]对所述待核查设备执行至少一个系统识别命令;[〇〇48]若所述至少一个系统识别命令中第一系统识别命令正确执行,则确定所述待核查设备包含第一操作系统,所述第一系统识别命令用于识别所述待核查设备是否包含所述第一操作系统;
[0049]根据预设的操作系统、软件以及设备之间的宿主关系,确定所述第一操作系统所包含的软件,并对所述待核查设备执行与所述软件相对应的第一软件识别命令;
[0050]若所述第一软件识别命令正确执行,则确定所述待核查设备包含第一软件,所述待核查设备的核查对象为:所述第一操作系统和所述第一软件,所述第一软件识别命令用于识别所述待核查设备是否包含所述第一软件;
[0051]若所述至少一个系统识别命令均未正确执行,则对所述待核查设备执行至少一个设备识别命令;
[0052]若所述至少一个设备识别命令中第一设备识别命令正确执行,则确定所述待核查设备包含第一设备,所述待核查设备的核查对象为:所述第一设备,所述第一设备识别命令用于识别所述待核查设备是否包含所述第一设备。[〇〇53]为了描述清楚,如图2所示,示出了步骤S102中登陆待核查设备、并识别待核查设备中核查对象的具体步骤:[〇〇54]S1021:确定操作系统、软件以及设备之间的宿主关系。
[0055] 例如:如针对linux系统,除了 1 inux本身外,还可能存在哪些类型软件(数据库、中间件等)以及不可能存在哪些设备和软件(路由器、防火墙等)。[〇〇56]S1022:登录待核查设备。[〇〇57]可选的,可以利用事先设定好的设备IP地址、用户名和登录密码,登录被核查设备。[〇〇58]S1023:依次执行不同操作系统对应的系统识别命令。
[0059]例如,可以采用现有技术人员熟知的系统识别命令执行该步骤。
[0060]S1024:判断系统识别命令执行结果,若系统识别命令执行正确,则进行步骤S1027 ?S1028;若步骤S1023中所有系统识别命令均执行错误,则进行步骤S1025?S1026。
[0061]可选的,每执行一个系统识别命令进行一次判断,若该系统识别命令执行正确,进行步骤S1027?S1029,若不正确,则执行下一个系统识别命令。
[0062]例如:可以先尝试windows专用系统识别命令,如regedit命令,若系统识别命令正确执行,则操作系统为windows操作系统;若系统识别命令不能正确执行,则继续向下执行 1 i nux系统专用命令,直到所有系统识别命令执行完毕。[〇〇63]S1025:依次执行不同设备对应的设备识别命令。[〇〇64]S1026:判断设备识别命令执行结果,根据执行结果确定待核查设备包含的设备。
[0065]可选的,每执行一个设备识别命令进行一次判断,若该设备识别命令执行正确,则确定待核查设备中包含与该设备识别命令相对应的设备,若不正确,则执行下一个设备识别命令。[〇〇66]S1027:确定待核查设备包含的操作系统,并根据确定出的操作系统以及宿主关系,依次执行不同软件的软件识别命令。
[0067]可选的,可以将与正确执行的系统识别命令相对应的操作系统作为待核查设备中包含的操作系统,然后,根据宿主关系,确定出该操作系统下属的所有软件,对待核查设备执行与这些软件---对应的软件识别命令。[〇〇68]S1028:判断软件识别命令执行结果,根据执行结果确定待核查设备包含的软件。
[0069]可选的,每执行一个软件识别命令进行一次判断,若该软件识别命令执行正确,则确定待核查软件中包含与该软件识别命令相对应的软件,若不正确,则执行下一个软件识别命令。
[0070]S1029:确定待核查设备中的核查对象。[〇〇71] 可选的,可以根据S1027、S1026、S1028中的确定结果,综合得出待核查设备包含的核查对象。[〇〇72]例如:预先建立的宿主关系为:操作系统1下包含软件1、软件2,操作系统2下包含软件3、软件4,操作系统1和操作系统2不可能与其他设备共存在待核查设备,此时,可以对待核查设备执行与操作系统1对应的系统识别命令,若该命令执行失败,则对待核查设备执行与操作系统相对应的系统识别命令,若该命令执行正确,则确定该待核查设备包含操作系统2,然后,再对待核查设备执行与软件3相对应的识别命令,若正确执行,则确定该待核查设备包含软件3,再对待核查设备执行与软件4相对应的识别命令,若正确执行,则确定待核查设备还包含软件4,核查对象识别结束,待核查设备的核查对象为:操作系统2、软件3和软件4,由此可知,根据宿主关系可以仅对识别出的操作系统下的软件进行识别,不需要对全部软件都识别一遍,也不要对全部设备再识别一遍,大大降低了核查对象的识别次数,提高了识别效率。
[0073]S103:确定与所述核查对象相对应的核查模板。
[0074]可选的,可以预先将不同核查对象对应的核查模板存储到特征数据库中,从该特征数据库中选取与该核查对象对应的核查模板。
[0075]其中,所述核查模板可以包含多个核查项、以及与核查项一一对应的核查命令,所述核查命令用于查询所述核查项在所述待核查设备中的配置信息。
[0076]S104:根据所述核查模板对所述核查对象进行安全基线核查。
[0077]可选的,所述根据所述核查模板对所述核查对象进行安全基线核查,包括:执行所述核查模板中的核查命令,获得与所述核查命令相对应的核查项的配置信息,并将获取到的配置信息与预设的配置信息相比对,确定此次安全基线核查结果,若比对上,则确定该待核查设备中该核查对象配置无误;若比对不上,则确定该待核查设备的该核查对象配置出错。
[0078]如此,与现有技术相比,在安全基线核查之前,不需要人工预先录入包含设备的核查对象的大量信息,而是通过安全基线核查自动识别待核查设备的核查对象,并选择核查模板进行核查,大大提高了核查效率。
[0079]进一步可选的,在进行待核查设备的安全基线核查时,需要执行各种核查命令,此时,对于某些命令而言,若运维人员认为这些命令不适用于设备探测或者属于高危操作,如 rm命令,则可以添加进黑名单,并阻断该项核查,以避免该命令继续执行下去,造成不必要的后果。具体的,所述方法还可以包括:
[0080]在所述执行所述核查模板中的核查命令时,若存在第一核查命令,所述第一核查命令与预设的核查命令相匹配,则停止执行所述第一核查命令,并记录与所述第一核查命令相对应的第一核查项查询失败;其中,预设的核查命令为高危操作命令。
[0081]进一步可选的,当安全基线核查结束后,还可以将不合规项(即配置出错的核查项)进行记录,以便运维人员有针对性地进行复核,提高运维效率。具体的,在所述根据所述核查模板对所述核查对象进行安全基线核查之后,所述方法还可以包括:
[0082]若获得的所述核查项的配置信息与预设的配置信息不同,则记录所述核查对象的所述核查项查询错误,以便运维人员根据所述记录信息对该核查对象的核查项进行复查。
[0083]可选的,在记录核查对象中出错的核查项时,为了降低记录的复杂性,可以仅对核查对象对应的标识信息和出错的核查项对应的标识信息进行记录,而不需要将核查对象、 出错的核查项对应的整个名称进行记录,其中,核查对象对应的标识信息用于标识该核查对象,核查项对应的标识信息用于标识该核查项。例如:若1 i nu x操作系统对应的标识信息 1,该1 i n u x操作系统的第10个核查项查询出配置错误,且第10个核查项对应的标识信息为 10,则可以将1以及10组合起来记录为“1010”,用“1010”以表示linux操作系统的第10个检查项出错,而不是将“linux操作系统的第10个核查项查询出错”这一长串字符记录起来。 [〇〇84]如此,可以将配置出错的核查项进行记录,以便当执行复查时,安全基线设备自动读取记录的信息,根据读取到的出错的核查项(即不合规项),自动执行有针对性地复查,提高复查的速率。[0〇85]例如,在根据核查模板对Linux主机中的核查对象(linux操作系统、Oracle数据库、以及tomcat中间件)进行安全基线核查之后,可以将linux操作系统的第1、第3、第8个不合规项、Oracle数据库的第3、第7、第9个不合规项、tomcat中间件的第10、第17个不合规项记录为:0001、0003、0008、1003、1007、1009、2010、2017,其中,每个四位数字的第1位数字代表一种核查对象类型、后边3位数字代表核查对象的不合规项的编号,如:0003代表操作系统的第3个不合规项、2010代表tomcat中间件的第10个不合规项。
[0086]进一步可选的,在本发明实施例中,在根据核查模板进行安全基线核查之前,还可以根据需要设置本次核查时间、下次核查时间等,以便运维人员根据设置的时间进行安全基线核查,提高用户体验。具体的,所述方法还可以包括:[〇〇87]在所述核查单元根据所述核查模板对所述核查对象进行安全基线核查之前,设置根据所述核查模板对所述核查对象进行安全基线核查的时间,根据设置的时间,对所述核查对象进行安全基线核查。
[0088]由上可知,本发明实施例提供一种安全基线核查方法,创建核查任务,根据所述核查任务,登录所述待核查设备,并识别所述待核查设备的核查对象,确定与所述核查对象相对应的核查模板,根据所述核查模板对所述核查对象进行安全基线核查。如此,在核查过程中不需要人工预先录入大量包含设备的核查对象的设备信息,而是通过安全基线核查自动识别待核查设备的核查对象,并选择核查模板进行核查,大大提高了核查效率。[〇〇89]根据本申请实施例,下述实施例还提供了一种安全基线核查设备20,优选地用于实现上述方法实施例中的方法。
[0090] 实施例二[〇〇91]图3示出了本发明实施例提供的一种安全基线核查设备20的结构图,用于执行实施例一的方法,如图3所示,设备20可以包括:
[0092]创建单元201,用于创建核查任务,其中,核查任务包含:待核查设备的设备信息, 待核查设备的设备信息包含:待核查设备的IP地址、用户名及登录密码。[〇〇93]识别单元202,用于根据创建单元201创建的核查任务中待核查设备的设备信息, 登录待核查设备,并识别待核查设备的核查对象。[〇〇94]确定单元203,用于确定与核查对象相对应的核查模板。[〇〇95]核查单元204,用于根据核查模板对核查对象进行安全基线核查。
[0096]其中,核查对象可以包含:系统类型、软件类型、以及设备类型;可选的,识别单元 202,可以用于:
[0097]根据预设的系统识别命令,识别所述待核查设备包含的操作系统,所述系统识别命令用于识别所述待核查设备包含的操作系统;
[0098]根据预设的软件识别命令,识别所述待核查设备包含的软件,所述软件识别命令用于识别所述待核查设备包含的软件;
[0099]根据预设的设备识别命令,识别所述待核查设备包含的设备,所述设备识别命令用于识别所述待核查设备包含的设备。
[0100]由于,在实际应用中,操作类型与软件类型之间具有一定的宿主关系,如:当检测到设备为linux时,则不再考虑继续探测其他操作系统类型、路由器类型等,因为linux上不可能再安装其他操作系统或者路由器,只可能会装数据库和中间件等。因此,为了提高核查对象的识别效率,进一步可选的,可以预先建立各设备、软件类型的宿主关系,如:针对 linux系统,除了 linux本身外,还可能存在哪些类型软件(数据库、中间件等)以及不可能存在哪些设备和软件(路由器、防火墙等),识别单元202,可以用于:[0101 ]对所述待核查设备执行至少一个系统识别命令;
[0102]若所述至少一个系统识别命令中第一系统识别命令正确执行,则确定所述待核查设备包含第一操作系统,所述第一系统识别命令用于识别所述待核查设备是否包含所述第一操作系统;
[0103]根据预设的操作系统、软件以及设备之间的宿主关系,确定所述第一操作系统所包含的软件,并对所述待核查设备执行与所述软件相对应的第一软件识别命令;
[0104]若所述第一软件识别命令正确执行,则确定所述待核查设备包含第一软件,所述待核查设备的核查对象为:所述第一操作系统和所述第一软件,所述第一软件识别命令用于识别所述待核查设备是否包含所述第一软件;
[0105]若所述至少一个系统识别命令均未正确执行,则对所述待核查设备执行至少一个设备识别命令;
[0106]若所述至少一个设备识别命令中第一设备识别命令正确执行,则确定所述待核查设备包含第一设备,所述待核查设备的核查对象为:所述第一设备,所述第一设备识别命令用于识别所述待核查设备是否包含所述第一设备。
[0107]其中,核查模板包含核查项、以及与所述核查项相对应的核查命令,所述核查命令用于查询所述核查项在所述待核查设备中的配置信息,可选的,核查单元204,具体可以用于:
[0108]执行所述核查模板中的核查命令,获得与所述核查命令相对应的核查项的配置信息。
[0109]进一步可选的,如图3所示,所述设备20还可以包括:
[0110]记录单元205,用于在核查单元204执行所述核查模板中的核查命令时,若存在第一核查命令,所述第一核查命令与预设的核查命令相匹配,则停止执行所述第一核查命令, 并记录与所述第一核查命令相对应的第一核查项查询失败;其中,预设的核查命令为高危操作命令。
[0111]此外,记录单元205,还可以用于在核查单元204获得与所述核查命令相对应的核查项的配置信息之后,若获得的所述核查项的配置信息与预设的配置信息不同,则记录所述核查项查询错误,以便运维人员根据所述记录信息对所述核查项进行复查。
[0112]进一步可选的,如图3A所示,所述设备20还可以包括:[〇113]设置单元206,用于在所述核查单元204根据所述核查模板对所述核查对象进行安全基线核查之前,设置根据所述核查模板对所述核查对象进行安全基线核查的时间;
[0114]所述核查单元204,具体用于:
[0115]根据设置的时间,对所述核查对象进行安全基线核查。[〇116] 需要说明的是,图3中创建单元201、识别单元202、确定单元203、核查单元204、记录单元205、以及设置单元206可以为图3中安全基线核查20中单独设立的处理器,也可以集成在安全基线核查设备20的某一个处理器中实现,此外,也可以以程序代码的形式存储于安全基线核查设备的存储器中,由安全基线核查设备20的某一个处理器调用并执行以上创建单元201、识别单元202、确定单元203、核查单元204、记录单元205、以及设置单元206的功能。这里所述的处理器可以是一个中央处理器(Central Processing Unit,CPU),或者是特定集成电路(Applicat1n Specific Integrated Circuit,ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路。
[0117]由上可知,本发明实施例提供一种安全基线核查设备,创建核查任务,根据所述核查任务,登录所述待核查设备,并识别所述待核查设备的核查对象,确定与所述核查对象相对应的核查模板,根据所述核查模板对所述核查对象进行安全基线核查。如此,在核查过程中不需要人工预先录入大量的包含设备的核查对象的信息,而是通过安全基线核查自动识别待核查设备的核查对象,并选择核查模板进行核查,大大提高了核查效率。
[0118]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
【主权项】
1.一种安全基线核查方法,由安全基线核查设备执行,其特征在于,所述方法包括:创建核查任务,其中,所述核查任务包含:待核查设备的设备信息,所述待核查设备的设备信息包含:所述待核查设备的因特网IP地址、用户名及登录密码;根据所述待核查设备的设备信息,登录所述待核查设备,并识别所述待核查设备中的 核查对象;确定与所述核查对象相对应的核查模板;根据所述核查模板对所述核查对象进行安全基线核查。2.根据权利要求1所述的方法,其特征在于,所述核查对象包含:操作系统、软件、以及 设备,所述识别所述待核查设备中的核查对象,包括:根据预设的系统识别命令,识别所述待核查设备包含的操作系统,所述系统识别命令 用于识别所述待核查设备包含的操作系统;根据预设的软件识别命令,识别所述待核查设备包含的软件,所述软件识别命令用于 识别所述待核查设备包含的软件;根据预设的设备识别命令,识别所述待核查设备包含的设备,所述设备识别命令用于 识别所述待核查设备包含的设备。3.根据权利要求2所述的方法,其特征在于,所述根据预设的系统识别命令,识别所述 待核查设备包含的操作系统,根据预设的软件识别命令,识别所述待核查设备包含的软件, 包括:对所述待核查设备执行至少一个系统识别命令;若所述至少一个系统识别命令中第一系统识别命令正确执行,则确定所述待核查设备 包含第一操作系统,所述第一系统识别命令用于识别所述待核查设备是否包含所述第一操 作系统;根据预设的操作系统、软件以及设备之间的宿主关系,确定所述第一操作系统所包含 的软件,并对所述待核查设备执行与所述软件相对应的第一软件识别命令;若所述第一软件识别命令正确执行,则确定所述待核查设备包含第一软件,所述待核 查设备的核查对象为:所述第一操作系统和所述第一软件,所述第一软件识别命令用于识 别所述待核查设备是否包含所述第一软件。4.根据权利要求3所述的方法,其特征在于,所述根据预设的设备识别命令,识别所述 待核查设备包含的设备,包括:若所述至少一个系统识别命令均未正确执行,则对所述待核查设备执行至少一个设备 识别命令;若所述至少一个设备识别命令中第一设备识别命令正确执行,则确定所述待核查设备 包含第一设备,所述待核查设备的核查对象为:所述第一设备,所述第一设备识别命令用于 识别所述待核查设备是否包含所述第一设备。5.根据权利要求1所述的方法,其特征在于,所述核查模板包含核查项、以及与所述核 查项相对应的核查命令,所述核查命令用于查询所述核查项在所述待核查设备中的配置信 息,所述根据所述核查模板对所述核查对象进行安全基线核查,包括:执行所述核查模板中的核查命令,获得与所述核查命令相对应的核查项的配置信息;所述方法还包括:在所述执行所述核查模板中的核查命令时,若存在第一核查命令,所述第一核查命令 与预设的核查命令相匹配,则停止执行所述第一核查命令,并记录与所述第一核查命令相 对应的第一核查项查询失败;其中,预设的核查命令为高危操作命令。6.根据权利要求1所述的方法,其特征在于,所述核查模板包含核查项、以及与所述核 查项相对应的核查命令,所述核查命令用于查询所述核查项在所述待核查设备中的配置信 息,所述根据所述核查模板对所述核查对象进行安全基线核查,包括:执行所述核查模板中的核查命令,获得与所述核查命令相对应的核查项的配置信息; 在所述获得与所述核查命令相对应的核查项的配置信息之后,所述方法还包括:若获得的所述核查项的配置信息与预设的配置信息不同,则记录所述核查项查询错 误,以便运维人员根据所述记录信息对所述核查项进行复查。7.根据权利要求1-6任一项所述的方法,其特征在于,在所述根据所述核查模板对所述 核查对象进行安全基线核查之前,所述方法还包括:设置根据所述核查模板对所述核查对象进行安全基线核查的时间;所述根据所述核查模板对所述核查对象进行安全基线核查包括:根据设置的时间,对所述核查对象进行安全基线核查。8.—种安全基线核查设备,其特征在于,所述设备包括:创建单元,用于创建核查任务,其中,所述核查任务包含:待核查设备的设备信息,所述 待核查设备的设备信息包含:所述待核查设备的IP地址、用户名及登录密码;识别单元,用于根据所述核查任务中所述待核查设备的设备信息,登录所述待核查设 备,并识别所述待核查设备中的核查对象;确定单元,用于确定与所述核查对象相对应的核查模板;核查单元,用于根据所述核查模板对所述核查对象进行安全基线核查。9.根据权利要求8所述的设备,其特征在于,所述核查对象包含:操作系统、软件、以及 设备,所述识别单元,具体用于:根据预设的系统识别命令,识别所述待核查设备包含的操作系统,所述系统识别命令 用于识别所述待核查设备包含的操作系统;根据预设的软件识别命令,识别所述待核查设备包含的软件,所述软件识别命令用于 识别所述待核查设备包含的软件;根据预设的设备识别命令,识别所述待核查设备包含的设备,所述设备识别命令用于 识别所述待核查设备包含的设备。10.根据权利要求9所述的设备,其特征在于,所述识别单元,具体用于:对所述待核查设备执行至少一个系统识别命令;若所述至少一个系统识别命令中第一系统识别命令正确执行,则确定所述待核查设备 包含第一操作系统,所述第一系统识别命令用于识别所述待核查设备是否包含所述第一操 作系统;根据预设的操作系统、软件以及设备之间的宿主关系,确定所述第一操作系统所包含 的软件,并对所述待核查设备执行与所述软件相对应的第一软件识别命令;若所述第一软件识别命令正确执行,则确定所述待核查设备包含第一软件,所述待核 查设备的核查对象为:所述第一操作系统和所述第一软件,所述第一软件识别命令用于识别所述待核查设备是否包含所述第一软件。11.根据权利要求9或10所述的设备,其特征在于,所述识别单元,具体用于:若所述至少一个系统识别命令均未正确执行,则对所述待核查设备执行至少一个设备 识别命令;若所述至少一个设备识别命令中第一设备识别命令正确执行,则确定所述待核查设备 包含第一设备,所述待核查设备的核查对象为:所述第一设备,所述第一设备识别命令用于 识别所述待核查设备是否包含所述第一设备。12.根据权利要求8所述的设备,其特征在于,所述核查模板包含核查项、以及与所述核 查项相对应的核查命令,所述核查命令用于查询所述核查项在所述待核查设备中的配置信 息,所述核查单元,具体用于:执行所述核查模板中的核查命令,获得与所述核查命令相对应的核查项的配置信息;所述设备还包括:记录单元,用于在所述执行所述核查模板中的核查命令时,若存在第一核查命令,所述 第一核查命令与预设的核查命令相匹配,则停止执行所述第一核查命令,并记录与所述第 一核查命令相对应的第一核查项查询失败;其中,预设的核查命令为高危操作命令。13.根据权利要求8所述的设备,其特征在于,所述核查模板包含核查项、以及与所述核 查项相对应的核查命令,所述核查命令用于查询所述核查项在所述待核查设备中的配置信 息,所述核查单元,具体用于:执行所述核查模板中的核查命令,获得与所述核查命令相对应的核查项的配置信息;所述设备还包括:记录单元,用于在所述获得与所述核查命令相对应的核查项的配置信息之后,若获得 的所述核查项的配置信息与预设的配置信息不同,则记录所述核查项查询错误,以便运维 人员根据所述记录信息对所述核查项进行复查。14.根据权利要求8-13任一项所述的设备,其特征在于,所述设备还包括:设置单元,用于在所述核查单元根据所述核查模板对所述核查对象进行安全基线核查 之前,设置根据所述核查模板对所述核查对象进行安全基线核查的时间,所述核查单元,具体用于:根据设置的时间,对所述核查对象进行安全基线核查。
【文档编号】H04L12/26GK106027335SQ201610556648
【公开日】2016年10月12日
【申请日】2016年7月14日
【发明人】唐磊, 马铮, 张小梅
【申请人】中国联合网络通信集团有限公司