本发明涉及设备安全基线核查的,尤其是涉及一种安全基线自动化核查方法、系统、设备及介质。
背景技术:
1、目前,市场上的设备安全基线核查工具大部分都是集成在各个厂商的终端安全edr管理工具上,且使用这些工具必须部署对应厂商的安全服务生态工具集,从而通过安全服务生态工具集来控制核查工具进行设备安全基线核查工具。
2、现有的设备安全基线核查方法通常为通过同一厂家下的安全服务生态工具集对适配的安全基线核查工具进行控制,从而便于安全基线核查工具对对应的设备安全基线进行针对性核查,但是在实际使用过程中,同一个设备往往要集成多个客户端工具来进行安全基线核查工作,容易导致多个客户端工具之间相互耦合而引起设备安全基线核查效率过慢。
3、上述中的现有技术方案存在以下缺陷:多个设备安全基线核查工具相互耦合容易引起安全基线的核查效率过慢。
技术实现思路
1、为了提高设备安全基线核查的效率,本技术提供一种安全基线自动化核查方法、系统、设备及介质。
2、本技术的上述发明目的一是通过以下技术方案得以实现的:
3、提供一种安全基线自动化核查方法,所述安全基线自动化核查方法包括:
4、实时采集设备的设备执行数据,其中,所述设备执行数据包括安全基线数据和执行日志数据;
5、对所述设备执行数据进行核查工具集匹配处理,根据设备执行数据与核查工具集之间的匹配关系,对设备安全基线的核查控制架构进行部署;
6、根据所述核查控制架构,构建符合当前设备安全基线核查的设备基准库,并生成对应的基线核查任务;
7、根据所述基线核查任务,调用预设的核查执行脚本对每项安全基线分别进行独立核查处理,生成设备安全基线的核查运行脚本数据。
8、通过采用上述技术方案,由于同一个设备往往要集成多个客户端工具来进行安全基线核查工作,容易导致多个客户端工具之间相互耦合而引起设备安全基线核查效率过慢,因此,通过实时采集设备安全基线在执行安全基线核查过程中所产生的设备执行数据,来对安全基线核查全过程进行监控,并通过对设备执行数据与预设的核查工具集进行匹配,来部署设备安全基线的核查控制架构,从而提高核查工具的快速应用和部署能力,使安全基线核查工作更加高效快捷,并通过当前设备安全基线的设备基准库的构建来生成对应的基线核查任务,便于在核查自动化脚本生成过程中提供统一的脚本生成依据,使脚本生成过程更加规范,并根据基线核查任务来调动预设的核查执行脚本来对每项安全基线分别进行独立核查处理,便于在各个安全基线核查过程中进行进程解耦,减少安全基线核查过程中的相互干扰,从而生成设备安全基线的核查运行脚本数据,有助于根据核查运行脚本统一地进行安全基线核查管理,并提高设备安全基线核查的效率。
9、本技术在一较佳示例中可以进一步配置为:所述根据所述基线核查任务,调用预设的核查执行脚本对每项安全基线分别进行独立核查处理,生成设备安全基线的核查运行脚本数据,还包括:
10、获取所述基线核查任务对应的设备工作模式,其中,所述设备工作模式包括设备联网模式和设备隔离模式;
11、当所述设备工作模式为设备联网模式时,对所述基线核查任务进行核查执行脚本自适应匹配处理,得到执行脚本自动分配策略;
12、当所述设备工作模式为设备隔离模式时,对所述基线核查任务进行本地自治处理,得到隔离自治策略;
13、根据所述执行脚本自动分配策略和所述隔离自治策略,对所述设备安全基线的安全核查进行预判处理,得到设备安全基线的整体安全核查结果。
14、通过采用上述技术方案,通过对基线核查任务的设备工作模式进行分类,对不同工作情况下的核查任务进行分类管理,提高安全基线核查管理的灵活性,当设备工作模式处于网络环境良好的设备联网模式下时对基线核查任务进行核查执行脚本自适应匹配处理,得到执行脚本自动分配策略,从而提高每个基线核查任务与核查执行脚本之间的适配性,当设备工作模式为网络环境较差的设备隔离模式时,对基线核查任务进行本地自治处理,从而通过隔离自治策略减少数据隔离期间的数据丢失的风险,结合预设的核查结果输出标准,并根据执行脚本自动分配策略和隔离自治策略,对设备安全基线的安全核查结果进行预判,从而根据整体安全核查结果来提高安全基线核查的效率。
15、本技术在一较佳示例中可以进一步配置为:所述当所述设备工作模式为设备隔离模式时,对所述基线核查任务进行本地自治处理,得到隔离自治策略,具体包括:
16、获取所述设备隔离模式下的基线核查任务的核查执行数据;
17、根据预先部署好的核查控制架构对所述核查执行数据进行本地运算处理,得到与每项所述基线核查任务相适配的本地核查控制策略;
18、根据所述本地核查控制策略,调用本地核算指令集对所述基线核查任务进行安全核查处理,得到本地安全核查数据;
19、当所述设备隔离模式转换为设备联网模式时,调用所述核查执行脚本对所述本地安全核查数据进行核查处理,生成所述基线核查任务的隔离自治策略。
20、通过采用上述技术方案,通过对设备隔离模式下的基线核查任务的核查执行数据的获取,来对基线核查任务的核查执行情况进行实时把控,提高设备基线核查进度的跟进力度,并通过预先部署好的核查控制架构对核查执行数据进行本地运算处理,从而调用本地的核算方式对每项基线核查任务进行自动化控制,得到适配的本地核查控制策略,减少核算任务等待过程中的等待时长,进一步提高安全基线核查对多个应用环境的适用性,并在设备隔离模式转换为设备联网模式时,调用核查执行脚本对本地安全核查数据进行核查处理,从而生成基线核查任务相对应的隔离自治策略,有助于根据隔离自治策略对隔离状态下的基线核查任务进行本地自适应控制,提高隔离状态下的基线核查自动化程度,从而提高安全基线核查工作的规范性。
21、本技术在一较佳示例中可以进一步配置为:所述根据所述核查控制架构,构建符合当前设备安全基线核查的设备基准库,并生成对应的基线核查任务,还包括:
22、实时获取当前运行工况下的设备标识数据;
23、将所述设备标识数据与预设的核查指令集进行数据关联处理,生成与每个设备的所有核查项相对应的核查任务数据;
24、根据所述核查任务数据对每个核查项分别进行分类标识处理,生成每个设备安全基线核查的核查任务配置项;
25、根据所述核查任务配置项,对设备安全基线的核查运行脚本进行参数调整处理,得到与当前设备安全基线的基线核查任务相适配的脚本调整策略。
26、通过采用上述技术方案,通过当前运行工况下的设备标识数据的获取,便于建立设备与安全基准库中的指令集进行适配关联,并在设备标识数据与预设的核查指令集进行数据关联处理时,根据数据关联关系向每个核查项分配对应的核查任务,便于根据核查任务数据提高安全基线的核查任务自动化程度,并调用指令集的核查方式数据,结合核查任务数据对每个核查项进行自动化分类标识处理,从而得到便于对配置项进行有序管理的核查任务配置项,从而提高核查任务的管理统一性,并根据核查任务配置项对设备安全基线的核查运行脚本进行参数调整处理,有助于提高当前设备安全基线的基线核查任务的管理成本。
27、本技术在一较佳示例中可以进一步配置为:所述根据所述核查任务配置项,对设备安全基线的核查运行脚本进行参数调整处理,得到与当前设备安全基线的基线核查任务相适配的脚本调整策略,具体包括:
28、将每个所述核查任务配置项与所述设备基准库进行核查算法适配处理,得到与所述核查任务配置项相适配的目标核查算法;
29、对所有所述核查任务配置项和对应的所述目标核查算法进行核查脚本运算处理,生成设备安全基线整体的核查运行脚本;
30、在所述核查运行脚本运行过程中,实时获取每项基线核查任务的核查运行进度;
31、根据所述核查运行进度,对当前运行工况下的核查运行脚本进行参数调整处理,得到与当前核算运行进度相适配的脚本调整策略。
32、通过采用上述技术方案,通过将每个核查任务配置项与设备基准库中的核查算法进行适配,得到每个核查任务配置项所需要的目标核查算法,有助于通过目标核查算法对安全基线进行自动化核查,提高核查任务的核查自动化程度,并对所有的核查任务配置项和目标核查算法进行核查脚本运算处理,从而生成对设备安全基线整体进行安全核查的核查运行脚本,通过核查运行脚本进行自动化核查部署,进一步提高安全基线核查的效率,并在核查运行脚本运行过程中,获取每项基线核查任务当前状态下的核查运行进度,从而有助于调用预设的核查方法对核查运行脚本进行进一步优化,从而提高核算结果与安全基线实际安全情况的适配性,通过对当前运行工况下的核查运行脚本进行参数调节处理,实现核查运行脚本的自动化运维,从而得到与当前核算运行进度相适配的脚本调节策略,通过实时的脚本参数调节使核查运行脚本能够适用于多种类型的安全基线核查工作,扩大核查运行脚本的适用范围。
33、本技术在一较佳示例中可以进一步配置为:所述对所述设备执行数据进行核查工具集匹配处理,根据设备执行数据与核查工具集之间的匹配关系,对设备安全基线的核查控制架构进行部署,具体包括:
34、获取所述设备执行数据与所述核查工具集之间的匹配度数据;
35、根据所述匹配度数据,对每个设备安全基线进行核查控制策略匹配处理 ,得到每个设备安全基线的最佳控制方案;
36、当所述最佳控制方案为集控云服务时,调用预设的云服务架构对每个设备安全基线进行远程部署管理,得到设备安全基线的远程集控策略;
37、当所述最佳控制方案为本地自服务时,调用预设的本地内网框架对每个设备安全基线进行本地部署管理,得到设备安全基线的本地自控策略。
38、通过采用上述技术方案,通过获取设备执行数据与核查工具集之间的匹配度数据,来判断设备与预设的核算工具集之间是否适配,并根据匹配程度来对每个设备安全基线分别进行核查控制策略匹配处理,通过不同适配程度的设备安全基线的控制需求来精确地进行核查控制方案匹配,提高设备安全基线的核查控制精确度,当最佳控制方案为集控云服务时,调用预设的云服务架构对每个设备安全基线进行远程部署管理,有助于远程集控策略调用远程指令资源对网络环境良好条件下的设备安全基线核查工作进行远程控制,当最佳控制方案为本地自服务时,通过本地内网框架对每个设备安全基线进行本地部署管理,有助于本地自控策略调用本地指令资源对网络环境较差的设备安全基线核查工作进行本地就近控制,从而为多个环境下的设备安全基线管理工作提供统一的认证与规范化管理服务,使安全基线核查工作更加规范化。
39、本技术在一较佳示例中可以进一步配置为:所述当所述最佳控制方案为集控云服务时,调用预设的云服务架构对每个设备安全基线进行远程部署管理,得到设备安全基线的远程集控策略,还包括:
40、根据所述远程集控策略,对设备安全基线的所述设备执行数据进行数据加密处理,得到设备安全基线的核查加密数据;
41、将所述核查加密数据进行加密方式适配处理,得到可被云服务架构识别的核查加密适配数据;
42、对所述核查加密适配数据进行数据解析处理,并根据数据解析结果调用云服务架构的远程执行脚本对设备安全基线进行核查分析,得到远程核查分析数据;
43、根据所述远程核查分析数据,对每项设备安全基线的基线核查任务进行远程核查策略匹配处理,得到设备安全基线的目标远程核查策略。
44、通过采用上述技术方案,通过远程集控策略,对设备安全基线的设备执行数据进行数据加密处理,有助于通过核查加密数据来提高设备执行数据的安全性,并对核查加密数据进行加密方式适配处理,使核查加密数据在数据传输过程中保持加密状态,进一步提高数据传输安全性,在云服务架构接收到核查加密适配数据之后,通过预设的数据解析算法对数据进行解析,并根据解析结果调用云服务架构的远程执行脚本来对设备安全基线进行核查分析,有助于充分地调用远程执行脚本,并通过远程执行脚本进行自动化安全核查分析,对每项设备安全基线的基线核查任务进行远程核查策略匹配处理,得到设备安全基线的目标远程核查策略,有助于目标远程核查策略对安全基线核查任务进行远程控制,提高安全基线核查工作的控制便捷性。
45、本技术的上述发明目的二是通过以下技术方案得以实现的:
46、提供一种安全基线自动化核查系统,所述安全基线自动化核查系统包括:
47、设备数据采集模块,用于实时采集设备的设备执行数据,其中,所述设备执行数据包括安全基线数据和执行日志数据;
48、核查工具匹配模块,用于对所述设备执行数据进行核查工具集匹配处理,根据设备执行数据与核查工具集之间的匹配关系,对设备安全基线的核查控制架构进行部署;
49、核查任务生成模块,用于根据所述核查控制架构,构建符合当前设备安全基线核查的设备基准库,并生成对应的基线核查任务;
50、核查脚本生成模块,用于根据所述基线核查任务,调用预设的核查执行脚本对每项安全基线分别进行独立核查处理,生成设备安全基线的核查运行脚本数据。
51、通过采用上述技术方案,由于同一个设备往往要集成多个客户端工具来进行安全基线核查工作,容易导致多个客户端工具之间相互耦合而引起设备安全基线核查效率过慢,因此,通过实时采集设备安全基线在执行安全基线核查过程中所产生的设备执行数据,来对安全基线核查全过程进行监控,并通过对设备执行数据与预设的核查工具集进行匹配,来部署设备安全基线的核查控制架构,从而提高核查工具的快速应用和部署能力,使安全基线核查工作更加高效快捷,并通过当前设备安全基线的设备基准库的构建来生成对应的基线核查任务,便于在核查自动化脚本生成过程中提供统一的脚本生成依据,使脚本生成过程更加规范,并根据基线核查任务来调动预设的核查执行脚本来对每项安全基线分别进行独立核查处理,便于在各个安全基线核查过程中进行进程解耦,减少安全基线核查过程中的相互干扰,从而生成设备安全基线的核查运行脚本数据,有助于根据核查运行脚本统一地进行安全基线核查管理,并提高设备安全基线核查的效率。
52、本技术的上述目的三是通过以下技术方案得以实现的:
53、一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述安全基线自动化核查方法的步骤。
54、本技术的上述目的四是通过以下技术方案得以实现的:
55、一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述安全基线自动化核查方法的步骤。
56、综上所述,本技术包括以下至少一种有益技术效果:
57、1、通过实时采集设备安全基线在执行安全基线核查过程中所产生的设备执行数据,来对安全基线核查全过程进行监控,并通过对设备执行数据与预设的核查工具集进行匹配,来部署设备安全基线的核查控制架构,从而提高核查工具的快速应用和部署能力,使安全基线核查工作更加高效快捷,并通过当前设备安全基线的设备基准库的构建来生成对应的基线核查任务,便于在核查自动化脚本生成过程中提供统一的脚本生成依据,使脚本生成过程更加规范,并根据基线核查任务来调动预设的核查执行脚本来对每项安全基线分别进行独立核查处理,便于在各个安全基线核查过程中进行进程解耦,减少安全基线核查过程中的相互干扰,从而生成设备安全基线的核查运行脚本数据,有助于根据核查运行脚本统一地进行安全基线核查管理,并提高设备安全基线核查的效率;
58、2、通过对基线核查任务的设备工作模式进行分类,对不同工作情况下的核查任务进行分类管理,提高安全基线核查管理的灵活性,当设备工作模式处于网络环境良好的设备联网模式下时对基线核查任务进行核查执行脚本自适应匹配处理,得到执行脚本自动分配策略,从而提高每个基线核查任务与核查执行脚本之间的适配性,当设备工作模式为网络环境较差的设备隔离模式时,对基线核查任务进行本地自治处理,从而通过隔离自治策略减少数据隔离期间的数据丢失的风险,结合预设的核查结果输出标准,并根据执行脚本自动分配策略和隔离自治策略,对设备安全基线的安全核查结果进行预判,从而根据整体安全核查结果来提高安全基线核查的效率;
59、3、通过对设备隔离模式下的基线核查任务的核查执行数据的获取,来对基线核查任务的核查执行情况进行实时把控,提高设备基线核查进度的跟进力度,并通过预先部署好的核查控制架构对核查执行数据进行本地运算处理,从而调用本地的核算方式对每项基线核查任务进行自动化控制,得到适配的本地核查控制策略,减少核算任务等待过程中的等待时长,进一步提高安全基线核查对多个应用环境的适用性,并在设备隔离模式转换为设备联网模式时,调用核查执行脚本对本地安全核查数据进行核查处理,从而生成基线核查任务相对应的隔离自治策略,有助于根据隔离自治策略对隔离状态下的基线核查任务进行本地自适应控制,提高隔离状态下的基线核查自动化程度,从而提高安全基线核查工作的规范性。