安全基线日志处理方法及状态展示方法与流程

本发明涉及的是一种安全管理领域，尤其是一种安全基线日志处理方法及状态展示方法。

背景技术：

在现有技术中，公知的技术是近年来，信息安全事件频发，信息安全越来越受到人们的重视。安全基线是信息安全领域中的一个概念，指计算机系统和软件中，与安全相关的配置所应该达到的最低的限度，包括系统安全配置、系统组件配置、权限和用户配置等多种方面。安全基线的意义在于使得用户对于所管理的计算机（往往是服务器）的安全配置状态有所监管或掌控。但是广大用户对系统配置了解情况参差不齐，不利于客户端进行安全基线扫描或修复工作，这是现有技术所存在的不足之处。

技术实现要素：

本发明的目的就是针对现有技术所存在的不足，而提供一种安全基线日志处理方法及状态展示方法，该方案实用性强、便于操作并且结果鲜明，增量式地更新客户端的每一条基线条目的结果，并且记录更新时间，而不是单纯的将每一条日志都无条件存储；提供了禁用功能，使得用户能忽略不关心的基线条目，禁用后无需再次扫描即可自动更新客户端的安全基线状态。

本方案是通过如下技术措施来实现的：安全基线日志处理方法，将基线组日志进行拆分，查看其中的基线项目是否存在，如果不存在则直接保存该基线项目的结果，如果存在则更新结果。

所述的基线组日志是客户端在指定的时间执行安全基线扫描或修复功能，扫描每一条开启的基线条目，获取系统中的实际值并且与标准值进行比较，然后将所有的基线条目的结果组成基线组日志；其中系统中的实际值并且与标准值进行比较，如果不相同，则判定为不合规，如果相同，则判定为合规，基线条目的结果是指基线条目的id和是否合规信息。

客户端根据策略配置执行安全基线扫描或修复功能；策略配置内容包括扫描执行的时间和每一条基线条目，每一条基线条目都包含了该基线条目检测的方法以及条目的配置，包括是否开启和标准值，如果禁用某一基线项目，在策略配置中禁用该条项目，并且重新下发至客户端，从而在之后的扫描和修复中，不再执行该条目。

将基线组日志进行拆分时，获得基线项目的日志，然后与当前数据库中保存的该客户端的基线条目日志历史记录进行比对，如果该客户端的该基线项目从来未扫描过，即基线项目不存在，该条目未曾扫描过，则直接新建一条扫描记录，将结果保存至数据库；如果该客户端的该基线项目以前扫描过，即基线项目存在，则更新，更新的内容包括扫描的结果和该基线条目扫描的时间。

一种基于上述方法的状态展示方法，当所有的基线条目的状态都更新后，系统根据该客户端所有基线条目的结果，来判定当前客户端的合规状态。对于有些基线项目，如果禁用该项目，则从基线条目的总数中删除此基线项目并存入数据库，重新判定当前客户端的合规状态。

判断是否合规时，1）、首先判断已经扫描过的基线条目的总数是否等于合规的总数，如果等于，则说明所有的基线条目扫描结果都是合规的，那么该客户端也是合规的，否则进行第二步；2）、不满足步骤1）说明有扫描不合规的，则进一步判断修复成功的数量是否等于不合规的数量，如果相等，则说明所有不合规的基线条目均被修复，修复后即合规（但是此时扫描的结果还是不合规），那么该客户端也是合规的，否则进行第三步；3）、不满足步骤1）和步骤2）时，认为该客户端不合规，即有不合规的基线条目，并且没有修复成功。当计算客户端的合规性时，如果所有的基线条目均合规，则该客户端为合规，否则为不合规。对于不合规并且修复成功的基线条目，也认为该基线条目合规。

当用户从页面查看该客户端的安全状态时，系统从数据库中读取该客户端的合规状态和所有基线条目的合规状态，并且呈现在页面上。

附图说明

图1为本发明具体实施方式的结构示意图。

图2为安全基线日志处理方法的流程图。

图3为删除某一基线项目的流程图。

具体实施方式

为能清楚说明本方案的技术特点，下面通过一个具体实施方式，并结合其附图，对本方案进行阐述。

本发明基于浪潮ssr主机安全加固系统集中管理平台，将基线组日志进行拆分，查看其中的基线项目是否存在，如果不存在则直接保存该基线项目的结果，如果存在则更新结果。

所述的基线组日志是客户端在指定的时间执行安全基线扫描或修复功能，扫描每一条开启的基线条目，获取系统中的实际值并且与标准值进行比较，然后将所有的基线条目的结果组成基线组日志；其中系统中的实际值并且与标准值进行比较，如果不相同，则判定为不合规，如果相同，则判定为合规，基线条目的结果是指基线条目的id和是否合规信息。客户端根据策略配置执行安全基线扫描或修复功能；策略配置内容包括扫描执行的时间和每一条基线条目，每一条基线条目都包含了该基线条目检测的方法以及条目的配置，包括是否开启和标准值，如果禁用某一基线项目，在策略配置中禁用该条项目，并且重新下发至客户端，从而在之后的扫描和修复中，不再执行该条目。

将基线组日志进行拆分时，获得基线项目的日志，然后与当前数据库中保存的该客户端的基线条目日志历史记录进行比对，如果该客户端的该基线项目从来未扫描过，即基线项目不存在，该条目未曾扫描过，则直接新建一条扫描记录，将结果保存至数据库；如果该客户端的该基线项目以前扫描过，即基线项目存在，则更新，更新的内容包括扫描的结果和该基线条目扫描的时间。

当所有的基线条目都处理完成后，管理平台更新该客户端的状态。该客户端的状态分为合规、不合规和未知三种。系统初始时是未知，当每次进行过一次扫描或修复操作后，都会更新其状态。对于每一条基线条目，其扫描结果分为合规和不合规两种、其修复结果分为成功和失败两种，1）、首先判断已经扫描过的基线条目的总数是否等于合规的总数，如果等于，则说明所有的基线条目扫描结果都是合规的，那么该客户端也是合规的，否则进行第二步；2）、不满足步骤1）说明有扫描不合规的，则进一步判断修复成功的数量是否等于不合规的数量，如果相等，则说明所有不合规的基线条目均被修复，修复后即合规（但是此时扫描的结果还是不合规），那么该客户端也是合规的，否则进行第三步；3）、不满足步骤1）和步骤2）时，认为该客户端不合规，即有不合规的基线条目，并且没有修复成功。当计算客户端的合规性时，如果所有的基线条目均合规，则该客户端为合规，否则为不合规。对于不合规并且修复成功的基线条目，也认为该基线条目合规。

本发明并不仅限于上述具体实施方式，本领域普通技术人员在本发明的实质范围内做出的变化、改型、添加或替换，也应属于本发明的保护范围。

技术特征：

技术总结
本发明提供了一种安全基线日志处理方法及状态展示方法，将基线组日志进行拆分，查看其中的基线项目是否存在，如果不存在则直接保存该基线项目的结果，如果存在则更新结果。当所有的基线条目的状态都更新后，系统根据该客户端所有基线条目的结果，来判定当前客户端的合规状态。该方案实用性强、便于操作并且结果鲜明，增量式地更新客户端的每一条基线条目的结果，并且记录更新时间，而不是单纯的将每一条日志都无条件存储；提供了禁用功能，使得用户能忽略不关心的基线条目，禁用后无需再次扫描即可自动更新客户端的安全基线状态。

技术研发人员：徐冠群
受保护的技术使用者：郑州云海信息技术有限公司
技术研发日：2017.12.07
技术公布日：2018.03.27