专利名称:网络设备配置的优化方法及系统的制作方法
技术领域:
本发明涉及计算机信息安全技术,尤其涉及一种网络设备配置的优化方法及系统。
背景技术:
主机、设备等网络设备的配置不当一直以来都是造成信息安全问题的主要原因。这些配置存在于主机、设备及应用软件中,从供应商的角度来说,产品会具有较全面的功能,并且某些功能通过默认配置已经启用;但从最终用户的角度来说,他们不可能同时使用所有的功能。由于专业领域的不同,最终用户不能明确某些默认配置可能带来何种安全隐患,用户也不能确保此功能与其业务的关系,不能确定是否要关闭此功能。从另一方面来 讲,产品在用户处使用时,会由于管理与技术上的问题修改了某些配置,这些配置可能会对业务造成影响。现有技术中,主机、设备及应用软件的配置管理方法是由供应商提供的,是面向通用领域的,只从通用的角度描述相关的安全影响。只有用户中的安全专家才能完全确认配置与业务需求、业务安全的影响关系。在某些采购与集成项目中,用户已经设立了安全专家与供应商共同订制配置,这些配置只适用于个别案例,是由用户与供应商的安全意识决定的。因此,如何对网络设备进行明确的配置调整,以避免由于配置不当带来的安全问题,成为现阶段急需解决的技术问题。
发明内容
本发明的目的在于,提供一种网络设备配置的优化方法及系统,有利于管理者对网络设备进行明确的配置调整,避免由于配置不当带来安全问题。为实现上述目的,根据本发明的一个方面,提供一种网络设备配置的优化方法,包括查询网络设备的配置项说明;确定所述网络设备的业务需求并分析配置项和业务需求的依赖关系;提取所述网络设备配置项的实际配置状态;根据所述配置项说明、配置项和业务需求的依赖关系及配置项的实际配置状态,对所述网络设备的配置项进行优化配置。其中,配置项说明包括配置项含义、所适应的网络设备类型、配置项的检测方法以及不同配置状态对应的安全问题。具体地,提取所述网络设备配置项的实际配置状态的操作包括根据所述网络设备类型,得到与所述网络设备相匹配的配置项子集;汇集配置项子集中各配置项的检测方法,生成检测脚本集;
通过远程或本地登录所述网络设备,运行检测脚本集,得到输出结果;根据所述输出结果得到各配置项的实际配置状态。具体地,根据所述配置项说明、配置项和业务需求的依赖关系及配置项的实际配置状态,对所述网络设备的配置项进行优化配置的操作包括根据所述配置项说明,分析所述网络设备的实际配置状态是否安全;根据所述配置项和业务需求的依赖关系,分析所述网络设备的实际配置状态是否为业务需求所必要的; 根据上述分析结果对所述网络设备的实际配置状态进行优化配置。优选地,根据分析结果对所述网络设备的配置项进行优化配置的操作包括根据所述安全性分析模块和必要性分析模块的分析结果对所述网络设备的实际配置状态进行标记;生成对所述配置项的处理操作指令。为实现上述目的,根据本发明的另一个方面,提供一种网络设备配置的优化系统,包括查询装置,用于查询网络设备的配置项说明;需求分析装置,用于确定所述网络设备的业务需求并分析配置项和业务需求的依赖关系;提取装置,用于提取所述网络设备配置项的实际配置状态;优化配置装置,用于根据所述配置项说明、配置项和业务需求的依赖关系及配置项的实际配置状态,对所述网络设备的配置项进行优化配置。其中,提取装置包括配置项子集获取模块,用于根据所述网络设备类型,得到与所述网络设备相匹配的配置项子集;脚本集生成模块,用于汇集配置项子集中各配置项的检测方法,生成检测脚本集;检测模块,用于通过远程或本地登录所述网络设备,运行检测脚本集,得到输出结果;配置状态获取模块,用于根据所述输出结果得到各配置项的实际配置状态。其中,优化配置装置包括安全性分析模块,用于根据所述配置项说明,分析所述网络设备的实际配置状态是否安全;必要性分析模块,用于根据所述配置项和业务需求的依赖关系,分析所述网络设备的实际配置状态是否为业务需求所必要的;配置模块,用于根据上述分析结果对所述网络设备的配置项进行优化配置。配置模块包括标记子模块,用于根据所述安全性分析模块和必要性分析模块的分析结果对所述网络设备的实际配置状态进行标记;指令生成子模块,用于生成对所述配置项的处理操作指令。配置优化装置还包括状态记录模块,用于记录所述安全性分析模块和必要性分析模块对网络设备的实际配置状态的分析结果。本发明的网络设备配置的优化方法及系统,通过结合业务需求、配置项说明和实际配置状态,对网络设备配置的安全性和必要性做出分析及评价,有利于管理者对网络设备进行明确的配置调整,避免由于配置不当带来安全问题。
图I是本发明网络设备配置的优化方法实施例的流程图;图2是本发明提取网络设备的配置项的实际配置状态的具体流程图;图3是本发明对网络设备 的配置项进行优化配置的具体流程图;图4是本发明网络设备配置的优化系统实施例的结构图;图5是本发明提取装置的结构图;图6是本发明优化配置装置的结构图。
具体实施例方式以下结合附图对本发明进行详细说明。方法实施例如图I所示,本发明网络设备配置的优化方法包括以下步骤步骤S102,查询网络设备的配置项说明。网络设备供应商应提供网络设备及其软件配置的一个配置知识库,知识库中对各个配置项进行了说明,包括配置项含义、所适应的网络设备类型、配置项的检测方法以及不同配置状态对应的安全问题。其中,对安全问题的判断分成3种情况安全的(设备配置中与安全性无关的配置)、不安全的(设备配置中带有安全漏洞的配置)和需限制使用的(无安全漏洞,但配置不当会导致业务数据受损,如可以远程改写数据的配置)。例如Linux操作系统的配置安全包括服务、进程、端口、用户和配置文件等内容。每一项内容比如FTP网络服务都有其功能性目的(提供文件传输),以及安全性问题(因软件版本导致的溢出攻击问题、因支持匿名导致机密流失、因访问量大导致主机性能下出降等)。将这些信息集中在一起,组成了此类设备的“配置知识库”。步骤S104,网络设备如何配置取决于它们承担的业务功能,也就是业务需求决定配置,所以该步骤应当明确网络设备的业务需求。并使用数据化的方式进行描述,例如下表I所示。表I :业务需求和配置的数据化描述
业务需求相关设备配置项配置内容
TCP80 端口(HTTP)
__TCP443 端口(HTTPS)
网站WWW服务进程Apache服务进程
器#1WJt互联网访问用户
__数据库客户端用户_
提供企业门户网~访问控制互联网目录可读
站功能 _ 自启动服务—apache
端口TCP3306 端口(MYSQL) _
网站数据库#1进程mysqld
用户数据库进程专用帐户
自启动服务mysqld
表中的业务需求为提供企业门户网站功能;相关网络设备为网站WWW服务器和数据库设备;需要分别配置上述两设备的端口、用户和进程等配置项(即配置内容);表中描述了配置与业务需求的依赖关系,即什么样的业务需要什么样的配置。步骤S106,提取网络设备的配置项的实际配置状态,其中,配置状态表示该配置项是否被配置以及被配置的实际值。步骤S108,根据所述业务需求、配置项说明和所述配置项的实际配置状态,对网络设备的配置项进行优化配置。如图2所示,上述步骤S106提取网络设备的配置项的实际配置状态的具体流程包括步骤S202,根据网络设备类型,得到与所述网络设备相匹配的配置项子集,该配置项子集为排除网络设备中不适用的配置项后所剩的配置项,如Cisco某型号的设备,以及Juniper某型号的设备,因为产品架构的不同,它们的配置项是分开的,都是对应的配置项的“子集”;步骤S204,汇集各配置项的检测方法,生成检测脚本集,比如通过cat/etc/passwd可以获得Linux系统所有用户列表,通过netstat_an可以获得Linux系统所有端口列表;步骤S206,通过远程或本地登录所述网络设备,运行检测脚本,得到输出结果;如在Linux操作系统的配置过程中,首先使用系统的用户身份登录至操作系统(一般为SSH方式,TCP端口 22);然后在操作系统执行包括步骤S204所述的cat/etc/passwd或netstat-an命令的脚本;步骤S208,从输出结果的情况得到各配置项的配置状态,比如netstat-an的输出为当前处于监听和连接的端口,可以分析出Linux系统正在哪些端口提供服务。其中,上述步骤S108具体包括根据所述配置项说明,分析所述网络设备的实际配置状态是否安全;根据所述配置项和业务需求的依赖关系,分析所述网络设备的实际配置状态是否为业务需求所必要的;根据上述分析结果对网络设备的配置项进行优化配置。如图3所示,上述步骤S108的具体流程包括步骤S301,根据配置项说明,分析所述实际配置状态;步骤S302,判断实际配置状态是否安全;步骤S303,若配置说明中未涉及安全问题,将该实际配置状态标记为“安全”,否则执行步骤S304 ;步骤S304,将该实际配置状态标记为“不安全”;步骤S305,根据步骤S104获取配置项与业务需求的依赖关系;步骤S306,根据依赖关系判断所述配置的必要性;、
步骤S307,若配置项为业务需求所必要,则将该配置项的实际配置状态标记为“需要”,否则执行步骤S308;步骤S308,该实际配置状态标记为“不需要”;步骤S309,分别记录所述实际配置状态的安全性和必要性;
步骤S310,判断是否所有配置项都检查完成,若未完成继续分析下一个配置项;步骤S311,若所有配置项都检查完成,输出此次配置分析的结果列表,标记每个实际配置状态的安全性和必要性;根据所述实际配置状态的安全性和必要性生成对配置项的处理操作指令,给出建议操作列表,生成几个不同处理级别的清单。对于不安全不必要的建议进行关闭操作;对于必要不安全的建议进行限制操作;对于不必要但安全的建议根据情况进行关闭;对于必要并且安全的不作特别处理。同样以Linux操作系统配置为例,将该Linux系统的实际配置列表与需求决定的合法配置进行对比,可以发现以下三种情况I.需求要求之外的配置(多余或错误);2.符合需求的配置(合理并配置正确); 3.存在明显安全问题的配置。例如此主机的需求不包括提供FTP服务,但在采集到的端口中有TCP-21,或在服务列表中有ftpd,则这些配置将被判定为不需要。或者已知某版本的Linux内核存在安全问题,而uname-an的结果显示此主机内核这个版本,同样判定为不安全。本实施例中,网络设备包括作为终端或服务器的计算机和路由器等。本实施例的网络设备配置的优化方法,通过结合业务需求、配置项说明和实际配置状态,对网络设备配置的安全性和必要性作出分析及评价,有利于管理者对网络设备进行明确的配置调整,避免由于配置不当带来安全问题。系统实施例如图4所示,本发明网络设备配置的优化系统实施例包括查询装置41,用于查询网络设备的配置项说明;需求分析装置42,用于确定所述网络设备的业务需求并分析配置项和业务需求的依赖关系;提取装置43,用于提取所述网络设备配置项的实际配置状态;优化配置装置44,用于根据所述配置项说明、配置项和业务需求的依赖关系及配置项的实际配置状态,对网络设备的配置项进行优化配置。如图5所示,系统中提取装置43包括配置项子集获取模块431,用于根据所述网络设备类型,得到与所述网络设备相匹配的配置项子集;脚本集生成模块432,用于汇集配置项子集中各配置项的检测方法,生成检测脚本集;检测模块433,用于通过远程或本地登录所述网络设备,运行检测脚本集,得到输出结果;配置状态获取模块434,用于根据所述输出结果得到各配置项的实际配置状态。如图6所示,系统中优化配置装置44包括安全性分析模块441,用于根据所述配置项说明,分析所述网络设备的实际配置状态是否安全;必要性分析模块442,用于根据所述配置项和业务需求的依赖关系,分析所述网络设备的实际配置状态是否为业务需求所必要的;
配置模块443,用于根据上述分析结果对所述网络设备的配置项进行优化配置。具体地,配置模块443包括标记子模块4432,用于根据上述分析结果对所述网络设备的实际配置状态进行标记;若配置说明中未涉及安全问题,用于将该配置状态标记为“安全”,否则,标记为“不安全”;若配置状态为业务需求所必要,用于将该配置项的配置状态标记为“需要”,否则标记为“不需要”;指令生成子模块4434,用于生成对所述配置项的处理操作指令。另外,配置优化装置还包括状态记录模块444,用于记录所述安全性分析模块和必要性分析模块对网络设备的实际配置状态的分析结果。。状态分析装置还包括配置项检查完成判断模块,用于判断是否所有配置项都检查完成,若未完成继续分析下一个配置项。本实施例的网络设备配置的优化方法,通过结合业务需求、配置项说明和实际配 置状态,对网络设备配置的安全性和必要性作出分析及评价,有利于管理者对网络设备进行明确的配置调整,避免由于配置不当带来安全问题。应说明的是以上实施例仅用以说明本发明而非限制,本发明也并不仅限于上述举例,一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围中。
权利要求
1.一种网络设备配置的优化方法,其特征在于,包括 查询网络设备的配置项说明; 确定所述网络设备的业务需求并分析配置项和业务需求的依赖关系; 提取所述网络设备配置项的实际配置状态; 根据所述配置项说明、配置项和业务需求的依赖关系及配置项的实际配置状态,对所述网络设备的配置项进行优化配置。
2.根据权利要求I所述的网络设备配置的优化方法,其特征在于,所述配置项说明包括 配置项含义、所适应的网络设备类型、配置项的检测方法以及不同配置状态对应的安全问题。
3.根据权利要求I所述的网络设备配置的优化方法,其特征在于,提取所述网络设备配置项的实际配置状态的操作包括 根据所述网络设备类型,得到与所述网络设备相匹配的配置项子集; 汇集配置项子集中各配置项的检测方法,生成检测脚本集; 通过远程或本地登录所述网络设备,运行检测脚本集,得到输出结果; 根据所述输出结果得到各配置项的实际配置状态。
4.根据权利要求I所述的网络设备配置的优化方法,其特征在于,根据所述配置项说明、配置项和业务需求的依赖关系及配置项的实际配置状态,对所述网络设备的配置项进行优化配置的操作包括 根据所述配置项说明,分析所述网络设备的实际配置状态是否安全; 根据所述配置项和业务需求的依赖关系,分析所述网络设备的实际配置状态是否为业务需求所必要的; 根据上述分析结果对所述网络设备的配置项进行优化配置。
5.根据权利要求4中所述的网络设备配置的优化方法,其特征在于,所述根据分析结果对所述网络设备的配置项进行优化配置的操作包括 根据所述安全性分析模块和必要性分析模块的分析结果对所述网络设备的实际配置状态进行标记; 生成对所述配置项的处理操作指令。
6.一种网络设备配置的优化系统,其特征在于,包括 查询装置,用于查询网络设备的配置项说明; 需求分析装置,用于确定所述网络设备的业务需求并分析配置项和业务需求的依赖关系; 提取装置,用于提取所述网络设备配置项的实际配置状态; 优化配置装置,用于根据所述配置项说明、配置项和业务需求的依赖关系及配置项的实际配置状态,对所述网络设备的配置项进行优化配置。
7.根据权利要求6所述的网络设备配置的优化系统,其特征在于,所述提取装置包括 配置项子集获取模块,用于根据所述网络设备类型,得到与所述网络设备相匹配的配置项子集; 脚本集生成模块,用于汇集配置项子集中各配置项的检测方法,生成检测脚本集;检测模块,用于通过远程或本地登录所述网络设备,运行检测脚本集,得到输出结果; 配置状态获取模块,用于根据所述输出结果得到各配置项的实际配置状态。
8.根据权利要求6所述的网络设备配置的优化系统,其特征在于,所述优化配置装置包括 安全性分析模块,用于根据所述配置项说明,分析所述网络设备的实际配置状态是否安全; 必要性分析模块,用于根据所述配置项和业务需求的依赖关系,分析所述网络设备的实际配置状态是否为业务需求所必要的; 配置模块,用于根据上述分析结果对所述网络设备的配置项进行优化配置。
9.根据权利要求8所述的网络设备配置的优化系统,其特征在于,所述配置模块包括 标记子模块,用于根据所述安全性分析模块和必要性分析模块的分析结果对所述网络设备的实际配置状态进行标记; 指令生成子模块,用于生成对所述配置项的处理操作指令。
10.根据权利要求8所述的网络设备配置的优化系统,其特征在于,所述配置优化装置还包括 状态记录模块,用于记录所述安全性分析模块和必要性分析模块对网络设备的实际配置状态的分析结果。
全文摘要
本发明公开了一种网络设备配置的优化方法及系统。其中该方法包括查询网络设备的配置项说明;确定所述网络设备的业务需求并分析配置项和业务需求的依赖关系;提取所述网络设备配置项的实际配置状态;根据所述配置项说明、配置项和业务需求的依赖关系及配置项的实际配置状态,对所述网络设备的实际配置状态进行优化配置。本发明的网络设备配置的优化方法及系统,通过结合业务需求、配置项说明和实际配置状态,对网络设备配置的安全性作出分析及评价,有利于管理者对网络设备进行明确的配置调整,避免由于配置不当带来安全问题。
文档编号H04L12/24GK102769534SQ201110115848
公开日2012年11月7日 申请日期2011年5月5日 优先权日2011年5月5日
发明者周智, 徐海东, 曹一生, 苏砫, 陈敏时, 魏来 申请人:中国移动通信集团公司, 北京神州泰岳软件股份有限公司