用于等保测评中的网络安全自动测评方法及其系统的制作方法

专利名称：用于等保测评中的网络安全自动测评方法及其系统的制作方法
技术领域：
本发明涉及信息系统安全等级保护测评(简称等保测评)技术，更具体地说，涉及用于等保测评中的网络安全自动测评方法，本发明还涉及利用该方法的用于等保测评中的网络安全自动测评系统。
背景技术：
信息安全涉及国家利益、安全和主权。2007年，中华人民共和国国家公安部、国家保密局、国家密码管理局、国务院信息化办公室四部委联合发布“关于开展全国重要信息系统安全等级保护定级工作的通知”，要求各行业各省市内组织开展了重要信息系统安全等级保护定级工作。依据《信息安全等级保护管理办法》(公通字[2007]43号)，信息系统运营、使用单位在进行信息系统备案后，都应当选择测评机构进行信息系统安全等级保护测评，简称等保测评。等保测评是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准，检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程， 是落实信息安全等级保护制度的重要环节。等保测评工作中包括网络安全的测评，是对已经按《信息安全技术信息系统安全等级保护定级指南》定级的网络设备进行测评，检查被测网络设备是否达到既定的级别；具体地，《信息系统安全等级保护测评要求》制定有对网络设备的测评检查的安全配置检查点，该安全配置检查点包括身份鉴别检查、访问控制措施检查、审计容完整性检查、入侵防范措施检查、链接控制措施、恶意代码防范措施检查等。但是，目前网络安全的等保测评工作都是采用人工测评方法，包括1、根据等级保护技术标准要求的相应等级下的各个测评指标对不同型号的网络设备进行测评，具体是对不同类型的网络设备的各个安全配置检查点进行检查，这些不同类型的网络设备是指不同厂商生产的各种型号路由器、交换机、防火墙等网络设备；2、根据人工测评的结果编写等保测评报告。这种采用人工进行测评的方法存在以下问题1)检查手段过于简单，导致测评结果不全面；2)耗时过长，测评效率低；3)人为的测评失误容易带来测评失误的风险；4)对不同型号的网络设备的安全配置检查点检查测评时，因人为因素而不够规范。

发明内容
本发明的目的在于提供一种用于等保测评中的网络安全自动测评方法，实现自动对网络设备安全进行测评，得到等保测评结果。本发明的另一个目的在于提供一种用于等保测评中的网络安全自动测评系统。本发明的目的通过以下技术方案实现一种用于等保测评中的网络安全自动测评方法，包括如下步骤
(1)针对等保测评中不同类型的网络设备，建立可对每种类型网络设备的各个安全配置检查点进行检查的测评脚本库；(2)根据信息系统安全等级保护测评要求，对网络安全要求的各个测评指标，建立测评指标参考值列表库；(3)识别被测网络设备的类型，根据既定的被测网络设备安全级别从测评脚本库中选择对应的测评脚本，并登陆到被测网络设备上执行该测评脚本，得到脚本执行后返回的数据；(4)分析脚本执行后返回的数据得出测评结果值，将该测评结果值与测评指标参考值列表库中对应的测评参考值进行比较，得出测评结果；(5)存储所述的测评结果，并根据测评结果输出被测网络设备的测评报告。本发明所述步骤(3)中，所述测评脚本是通过telnet或SSH的登陆方式登陆到被测网络设备上执行。本发明的另一个目的通过以下技术方案实现一种用于等保测评中的网络安全自动测评系统，包括测评脚本库模块，用于存储对不同类型网络设备的各个安全配置检查点检查的测评脚本；测评脚本执行模块，用于识别被测网络设备的类型，根据既定的网络安全级别从测评脚本库中选择相应的测评脚本在被测网络设备上执行，得到脚本执行后的返回数据；脚本返回数据分析模块，用于分析脚本执行后返回的数据，得出测评结果；测评报告生成模块，用于将测评结果存储在数据库中，并输出被测网络设备的测评报告；所述测评脚本库模块、测评脚本执行模块、脚本返回数据分析模块、测评报告生成模块依次相连；所述测评脚本执行模块在被测网络设备上调用执行测评脚本库模块中的对应测评脚本，由脚本返回数据分析模块对脚本执行后返回的数据进行分析，得出测评结果， 再由测评报告生成模块存储测评结果并输出被测网络设备的测评报告。本发明所述脚本返回数据分析模块包括用于存储正则表达式的正则表达式列表库模块、用于存储测评指标参考值的测评指标参考值列表库模块、用于将脚本执行后返回的数据与测评指标参考值分析比较的文本数据分析器，所述正则表达式列表库模块、测评指标参考值列表库模块分别与文本数据分析器相连；所述文本数据分析器根据网络设备的类型从正则表达式列表库模块中选择对应的正则表达式与脚本执行后返回的数据(原始数据)进行匹配，得出测评指标对应的测评结果值，再通过文本数据分析器将该测评结果值与测评指标参考值列表库中的测评指标参考值进行比较，得出测评结果。本发明所述测评报告生成模块包括用于存储测评结果的数据库模块、用于存储测评报告模板的测评报告模板库模块、用于输出被测网络设备测评报告的测评报告生成器， 所述测评报告模板库模块与测评报告生成器相连；一方面，所述测评结果存储到数据库模块中；另一方面，测评报告生成器根据既定的网络安全级别选取对应的测评报告模板，将测评结果写入至该测评报告模板后输出测评报告。与现有技术相比，本发明技术具有以下优点本发明根据信息系统安全等级保护测评要求建立适用于各种不同类型网络设备的测评脚本，自动地对网络设备进行等保测评，从而可保证对网络安全的全面测评，对网络设备的各个安全配置检查点的测评也相应具有了规范性，并降低了测评失误带来的风险耗时短，提高了测评工作效率。


图1为本发明网络安全自动测评方法及其系统的示意图。
具体实施例方式下面结合具体实施例对本发明进一步加以阐述。如图1所示的用于等保测评中的网络安全自动测评方法，包括如下步骤(1)针对等保测评中不同类型的网络设备，建立可对每种类型网络设备的各个安全配置检查点进行检查的测评脚本库；(2)根据信息系统安全等级保护测评要求，对网络安全要求的各个测评指标，建立测评指标参考值列表库；(3)识别被测网络设备的类型，根据既定的被测网络设备安全级别从测评脚本库中选择对应的测评脚本，并登陆到被测网络设备上执行该测评脚本，得到脚本执行后返回的数据；(4)分析脚本执行后返回的数据得出测评结果值，将该测评结果值与测评指标参考值列表库中对应的测评参考值进行比较，得出测评结果；(5)存储所述的测评结果，并根据测评结果输出被测网络设备的测评报告。如图1所示的利用上述网络安全测评方法的用于等保测评中的网络安全自动测评系统，它包括测评脚本库模块、测评脚本执行模块、脚本返回数据分析模块和测评报告生成模块，测评脚本库模块、测评脚本执行模块、脚本返回数据分析模块、测评报告生成模块依次相连；测评脚本执行模块调用测评脚本库模块中对应的测评脚本，并登陆到被测网络设备中执行，由脚本返回数据分析模块对脚本执行后返回的数据进行分析，得出测评结果，再由测评报告生成模块存储测评结果并输出被测网络设备的测评报告。测评脚本库模块是用于存储对不同类型网络设备的各个安全配置检查点检查的测评脚本，依据《信息系统安全等级保护测评要求》文件，针对目前不同网络设备厂家提供的路由器、交换机、防火墙型号称为不同类型的网络设备，给这些不同类型的网络设备编写相应的用于等保测评的测评脚本，以便被测网络设备对应执行该测评脚本并生成脚本执行后返回的数据。网络设备主要包括有alcatel的网络设备、cisco的网络设备、huawei的网络设备和juniper的网络设备，对应测评脚本主要包括有alcatel测评脚本、cisco测评脚本、huawei测评脚本、juniper测评脚本，测评脚本库可根据需要扩展增加测评脚本。依据《信息系统安全等级保护测评要求》编写的测评脚本具体包括网络设备的身份鉴别检查、访问控制措施检查、审计容完整性检查、入侵防范措施检查、链接控制措施、恶意代码防范措施检查等，能够覆盖到等保测评的标准制定的网络安全配置检查点的各个方面。测评脚本库可存放在excel文件中，excel文件的每一个sheet对应一种网络设备型号需要执行的测评指令列表，每张sheet的名字以网络设备型号进行命名。测评脚本执行模块是用于识别被测网络设备的类型，然后根据既定的网络安全级别从测评脚本库中选择相应的测评脚本，并通过telnet或SSH的登陆方式登陆到被测网络设备上执行，得到脚本执行后的返回数据；测评脚本执行模块的核心部件是测评脚本管理器，该测评脚本管理器提供用户交互界面，用户预先在交互界面上选择设定被测网络设备的类型、选择被测网络设备的既定安全定级级别、登陆到网络设备的方式(telnet/SSH vl/ SSH v2)和登录密码等信息，测评脚本管理器将根据用户的选择从测评脚本库中提取相应的测评脚本，并在被测网络设备中运行该脚本，最后测评脚本将根据被测网络设备运行后脚本返回的数据保存至cfg文件中，并作为测评返回的原始数据文档。此外，识别被测网络设备的类型除通过用户预先来设定外，也可设为自动识别的方式。脚本返回数据分析模块是用于分析脚本执行后返回的数据(原始数据)，得出测评结果；该脚本返回数据分析模块包括用于存储正则表达式的正则表达式列表库模块、用于存储测评指标参考值的测评指标参考值列表库模块、用于将脚本执行后返回的数据与测评指标参考值分析比较的文本数据分析器，正则表达式列表库模块、测评指标参考值列表库模块分别与文本数据分析器相连；文本数据分析器通过从正则表达式列表库中选择合适的正则表达式列表，并分别逐项从原始数据文档(cfg文件)中匹配出测评指标对应的测评结果值；然后根据测评脚本执行模块中用户交互界面选择的被测网络设备既定的定级级另IJ，从测评指标参考值列表库中选择合适的测评指标参考值列表，并将测评结果值与测评指标参考值列表中对应测评项的参考值进行比较，如果该测评指标项的测评结果值与对应参考值相等或落在参考值范围中，则认为该测评项符合；否则不符合。正则表达式列表库模块包含每种网络设备类型对应的正则表达式列表，因为不同网络设备类型对应不同的脚本，不同的脚本在不同网络设备上运行后返回的数据格式和数据内容都不一样，因而不同的脚本返回数据需要不同的正则表达式列表进行匹配，每一个正则表达式只能匹配出一行或一小段数据，而网络安全测评具体的测评指标有很多，大量的正则表达式的集合被称为正则表达式列表。被测网络设备的测评指标测评值可以通过该网络设备对应的正则表达式列表的某行或某几行正则表达式匹配规则进行匹配，因而，在返回原始数据后的脚本返回数据分析模块中，只需要按该网络设备类型的正则表达式列表从头到尾顺序匹配即可提取所有测评指标的测评结果。测评指标参考值列表库模块存放着各级网络安全测评指标参考值列表。在测评指标参考值列表中，每一行定义了该等级的网络安全指标参考值或参考值范围。测评报告生成模块是用于将测评结果存储在数据库中，并输出被测网络设备的测评报告；该测评报告生成模块包括用于存储测评结果的数据库模块、用于存储测评报告模板的测评报告模板库模块、用于输出被测网络设备测评报告的测评报告生成器，测评报告模板库模块与测评报告生成器相连；一方面，测评结果存储到数据库模块中；另一方面，测评报告生成器根据既定的网络安全级别，从测评报告模板库中选择读取对应的测评报告模板，并生成报告模板的副本，然后将测评结果(包括网络设备的现场测评值和测评结果符合情况)写入至该测评报告模板副本的相应位置，从而形成网络安全测评报告。本发明的实施方式不限于此，根据上述内容，按照本领域的普通技术知识和惯用手段，在不脱离本发明上述基本技术思想前提下，本发明还可以做出其它多种形式的等效修改、替换或变更，均应当理解为仍属于本发明的保护范围。
权利要求
1.一种用于等保测评中的网络安全自动测评方法，其特征在于包括如下步骤(1)针对等保测评中不同类型的网络设备，建立可对每种类型网络设备的各个安全配置检查点进行检查的测评脚本库；(2)根据信息系统安全等级保护测评要求，对网络安全要求的各个测评指标，建立测评指标参考值列表库；(3)识别被测网络设备的类型，根据既定的被测网络设备安全级别从测评脚本库中选择对应的测评脚本，并登陆到被测网络设备上执行该测评脚本，得到脚本执行后返回的数据；(4)分析脚本执行后返回的数据得出测评结果值，将该测评结果值与测评指标参考值列表库中对应的测评参考值进行比较，得出测评结果；(5)存储所述的测评结果，并根据测评结果输出被测网络设备的测评报告。
2.根据权利要求1所述的用于等保测评中的网络安全自动测评方法，其特征在于所述步骤(3)中，所述测评脚本是通过telnet或SSH的登陆方式登陆到被测网络设备上执行。
3.一种用于等保测评中的网络安全自动测评系统，其特征在于包括测评脚本库模块，用于存储对不同类型网络设备的各个安全配置检查点检查的测评脚本；测评脚本执行模块，用于识别被测网络设备的类型，根据既定的网络安全级别从测评脚本库中选择相应的测评脚本在被测网络设备上执行，得到脚本执行后的返回数据；脚本返回数据分析模块，用于分析脚本执行后返回的数据，得出测评结果；测评报告生成模块，用于将测评结果存储在数据库中，并输出被测网络设备的测评报生 P=I ；所述测评脚本库模块、测评脚本执行模块、脚本返回数据分析模块、测评报告生成模块依次相连；所述测评脚本执行模块调用测评脚本库模块中对应的测评脚本，并登陆到被测网络设备中执行，由脚本返回数据分析模块对脚本执行后返回的数据进行分析，得出测评结果，再由测评报告生成模块存储测评结果并输出被测网络设备的测评报告。
4.根据权利要求3所述的用于等保测评中的网络安全自动测评系统，其特征在于所述脚本返回数据分析模块包括用于存储正则表达式的正则表达式列表库模块、用于存储测评指标参考值的测评指标参考值列表库模块、用于将脚本执行后返回的数据与测评指标参考值分析比较的文本数据分析器，所述正则表达式列表库模块、测评指标参考值列表库模块分别与文本数据分析器相连；所述文本数据分析器根据网络设备的类型从正则表达式列表库模块中选择对应的正则表达式与脚本执行后返回的数据进行匹配，得出测评指标对应的测评结果值，再通过文本数据分析器将该测评结果值与测评指标参考值列表库中的测评指标参考值进行比较，得出测评结果。
5.根据权利要求3所述的用于等保测评中的网络安全自动测评系统，其特征在于所述测评报告生成模块包括用于存储测评结果的数据库模块、用于存储测评报告模板的测评报告模板库模块、用于输出被测网络设备测评报告的测评报告生成器，所述测评报告模板库模块与测评报告生成器相连；一方面，所述测评结果存储到数据库模块中；另一方面，测评报告生成器根据既定的网络安全级别选取对应的测评报告模板，将测评结果写入至该测评报告模板后输出测评报告。
全文摘要
本发明公开了一种用于等保测评中的网络安全自动测评方法，包括以下步骤(1)建立可对每种类型网络设备的进行检查的测评脚本库；(2)建立测评指标参考值列表库；(3)从测评脚本库中选择对应的测评脚本，并登陆到被测网络设备上执行该测评脚本，得到脚本执行后返回的数据；(4)分析脚本执行后返回的数据得出测评结果值，将该测评结果值与测评指标参考值列表库中对应的测评参考值进行比较，得出测评结果；(5)存储所述的测评结果，并根据测评结果输出被测网络设备的测评报告。本发明还公开了一种用于等保测评中的网络安全自动测评系统。本发明实现了自动对网络安全进行测评，得到等保测评结果。
文档编号H04L12/26GK102457414SQ20111044050
公开日2012年5月16日 申请日期2011年12月23日 优先权日2011年12月23日
发明者余南华, 周强峰, 梁志宏, 梁智强, 梁毅成, 江泽鑫, 石炜君, 胡朝辉, 苏扬 申请人:广东电网公司电力科学研究院