专利名称:一种安全配置核查设备和方法以及安全配置核查网络系统的制作方法
技术领域:
本发明涉及网络安全领域,尤其涉及用于对网络设备的安全配置进行核查的安全配置核查设备和核查方法,以及相应的网络系统。
背景技术:
随着信息技术的不断发展,网络服务和网络应用也越来越多,承载这些网络服务和网络应用的服务器或者网络设备也在不断地上架。这些服务器或者网络设备的安全性也越来越被人们所重视。一个网络服务或应用被非法侵入,除了这些服务器或网络设备自身的漏洞外,最重要的原因是服务器或者网络设备的使用者对它们的配置不够安全。这些配置上的缺陷给了黑客的可乘之机,也给服务器或网络设备的使用者造成了重大的损害。
为了防止由于服务器或者网络设备的配置失误而造成的损失,网络管理员通常会对网络内的服务器或者网络设备的安全配置进行核查,对不符合安全配置规范的服务器或者网络设备进行安全加固。一些安全厂商已经提供了安全软件用于网络管理员对服务器或者网络设备的安全配置进行扫描。传统上,某个服务器或者网络设备的提供商会提供“安全配置规范”,随后,在网络管理员根据该“安全配置规范”对服务器或者网络设备进行安全配置的同时,安全厂商会根据该“安全配置规范”来对这个服务器或者网络设备定制安全配置扫描方案。然后,安全厂商通过这个安全扫描方案对服务器或者网络设备进行安全配置扫描,并将扫描结果通知给网络管理员,进而规范服务器或者网络设备的安全配置。随着,网络管理员要管理的服务器或者网络设备数量和种类不断增加,为了提高对这些网络设备进行安全配置核查的效率。本申请的申请人在先前申请号为201010549861. 7的中国专利申请“一种安全配置核查设备和方法以及采用该设备的网络系统”中已经提出了一种可以由网络管理员或者服务器或者网络设备的使用者自行根据不同网络应用环境以及不同的服务器或者网络设备来灵活地定义自己的安全配置核查策略的安全配置核查方式,以便节约安全配置核查的成本和时间。每个安全配置核查策略包括一个或者多个检查项。现有的检查项只能支持较为简单的检查内容。例如,现有的检查项可以包括用户缺省访问权限是否符合规范、telnet是否限制具备超级管理员权限的用户直接远程登录、ssh是否限制具备超级管理员权限的用户直接远程登录、采用静态口令认证技术的设备密码长度是否符合规范、采用静态口令认证技术的设备密码生存期是否满足规范、以及采用静态口令认证技术的设备不能使用最近指定次数内设置过的密码等。上面的这些简单检查项可以通过在网络设备上执行命令之类的简单方法就可以实现。然而,随着网络技术的不断发展,可能需要一些更为复杂的检查项,例如这些检查项甚至涉及网络设备和外部网络的交互等。目前的检查项没法完成这些复杂的检查内容,因此安全配置核查的功能和范围也就受到了一定的限制。因此,希望有一种可以增强检查项的功能,从而扩大安全配置核查的范围的新的安全配置核查设备和方法。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的安全配置核查设备和方法以及采用该安全配置核查设备的网络系统。根据本发明的一个方面,提供了一种安全配置核查设备,包括一个或者多个扫描策略,每个扫描策略对应于一种网络设备,其中每个扫描策略包括一个或者多个安全检查项,每个安全检查项与相对应网络设备上的安全配置相关联,其中一个或者多个安全检查项中的至少一个为可执行插件,可执行插件适于在网络设备上执行以核查网络设备的安全配置;扫描器,选择与网络设备相对应的扫描策略来对该网络设备进行安全扫描,其中对于所选择的扫描策略中的每个安全检查项,确定网络设备中的相关联安全配置是否合格,以及当安全检查项为可执行插件时,将可执行插件上载到网络设备上并执行,并根据可执行插件的执行结果来确定所述网络设备中的相关联安全配置是否合格。根据本发明的安全配置核查设备将扫描策略中的安全检查项的功能扩展到可以在目标网络设备上执行的可执行插件。由于可执行插件可以执行复杂的操作,因此可以在 目标网络设备上进行复杂的安全配置检查,从而可以扩展安全配置核查设备的功能。可选地,根据本发明的安全配置核查设备还包括被配置为执行和/或解析所述可执行插件的插件引擎,当对目标网络设备进行安全配置核查时,扫描器将插件引擎和可执行插件一起发送到网络设备,从而在目标网络设备上由插件引擎来执行可执行插件。插件引擎提供了可执行插件的执行“容器”,这样,一方面插件引擎可以为可执行插件的编写者提供了统一的接口,另一方面又可以适用于不同类型的目标网络设备,从而使得可执行插件的编写者无需考虑目标网络设备的具体类型,从而便于可执行插件的编写。另外,根据本发明的安全配置核查设备还包括插件处理接口,适于检查外部用户创建的可执行插件并将其存储到扫描策略中。插件处理接口可以利用例如插件引擎来检查新创建的可执行插件能否正常运行,并且仅仅将合格的可执行插件存储到扫描策略中。根据本发明的另一个方面,提供了一种针对网络设备的安全配置核查方法,包括步骤生成与该网络设备相对应的扫描策略,每个扫描策略包括一个或者多个安全检查项,每个安全检查项与相对应网络设备上的安全配置相关联,一个或者多个安全检查项中的至少一个为可执行插件,可执行插件适于在网络设备上执行以核查网络设备的安全配置;利用该扫描策略来对该网络设备进行安全扫描,其中对于所选择扫描策略中的每个安全检查项,确定网络设备中的相关联安全配置是否合格,以及当安全检查项为可执行插件时,将可执行插件上载到网络设备上并执行,并根据可执行插件的执行结果来确定网络设备中的相关联安全配置是否合格。根据本发明的还有一个方面,提供了一种网络系统,其包括一个或者多个网络设备,以及根据本发明的安全配置核查设备,以用于对这些网络设备进行安全配置核查。
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图I示出了根据本发明一个实施例的安全配置核查设备;
图2示出了根据本发明一个实施例的安全配置核查方法;以及 图3示出了根据本发明一个实施例的、其中采用了安全配置核查设备的网络系统。
具体实施例方式下面结合附图对本发明的具体实施方式
进行描述。图I示出了根据本发明一个实施例的安全配置核查设备100。如图I所示,安全配置核查设备100包括一个或者多个扫描策略110,每个扫描策略与一种网络设备(在下文 中,为了便于描述,将服务器和网络设备统称为网络设备)相对应。每个扫描策略110包括一个或者多个安全检查项120,这些安全检查项的中每个都与相应网络设备上的安全配置相关联。例如在扫描策略110为与网络设备HP Unix相对应的情况下,安全检查项120可以包括检测用户缺省访问权限是否符合规范、检测telnet是否限制具备超级管理员权限的用户直接远程登录、检测ssh是否限制具备超级管理员权限的用户直接远程登录、检测采用静态口令认证技术的设备密码长度是否符合规范、检测采用静态口令认证技术的设备密码生存期是否满足规范、以及检测采用静态口令认证技术的设备不能使用最近指定次数内设置过的密码等等。这些安全检查项可以通过简单地在网络设备300上执行系统命令等就可以实现,因此在本申请中称为简单检查项122。除了简单检查项122之外,安全检查项120还包括可执行插件124。可执行插件124为可以在网络设备上执行的可执行应用。例如,可执行插件124可以具体体现为可执行程序、可以执行的脚本集等。可执行插件124适于在网络设备300上执行复杂的处理,例如可以引导网络设备300和国际互联网上的知名网络应用进行交互,从而确定网络设备300是否存在安全隐患。作为另一示例,可执行插件124可以适于检查端口对应的进程是否合规、检查打开的文件句柄数量是否合规以及检查所有用户对应的文件权限是否合规等等。这些检查不能通过简单的命令来实现,而是需要复杂的脚本处理,因此,适于利用可执行插件124来执行。根据本发明的一个实施例,可执行插件124可以由插件引擎130来解析执行。插件引擎130为可执行插件124提供了统一的API和执行环境。插件创建者可以根据这些插件引擎130所要求的规范来编写可执行插件,同时,插件引擎130会根据不同的网络设备来定制其底层接口。插件创建者可以不用考虑具体网络设备的类型而创建出适于在各种网络设备上执行的插件,从而大大简化了插件创建过程。例如,插件引擎130可以采用类似于Perl语言解析器的解析器,而可执行插件可以利用Perl编程规范来编写。这可以进一步缩短插件创建者创建可执行插件的时间。安全配置核查设备100还包括扫描器140。扫描器140可以从一个或者多个扫描策略110中选择与网络设备300相对应的扫描策略110来对该网络设备进行安全扫描。具体而言,对于选中扫描策略110中的每个安全检查项120,确定网络设备300中的相关联安全配置是否合格。当安全检查项120为简单检查项122时,扫描器140可以采用本领域的任何方式来进行简单检查项122所指示的检测。例如,扫描器140可以生成适于执行与简单检查项122所指示的检测相对应的、针对网络设备300的命令,在目标网络设备300上执行该命令并根据该命令的执行结果确定目标网络设备300是否满足该简单检查项。
当安全检查项120为可执行插件124时,将可执行插件124上载到目标网络设备300上并执行,并根据可执行插件124的执行结果来确定相关联的安全配置是否合格。可选地,可执行插件124可能不能直接在目标网络设备300上执行,而是经由插件引擎130而在网络设备300上执行。为此,扫描器140首先判断网络设备300上是否存在有插件引擎130,如果存在,则激活插件引擎130以便利用插件引擎130来执行可执行插件124。而如果不存在,则扫描器140将插件引擎130和可执行插件124—起上载到网络设备300上,以便由插件引擎130来执行可执行插件124。进一步可选地,可以利用插件引擎130将可执行插件124编译为适于在目标网络设备300上执行的可执行程序,随后扫描器140可以将该可执行程序上载到网络设备300上来执行。通过将安全检查项120扩展到可以在目标网络设备上执行复杂应用的可执行插 件,安全配置核查设备可以检查的安全配置的范围可被显著扩展。另外,利用可执行插件和插件引擎的分离设计,也便于用户创建可执行插件,从而可以方便并且快速地扩展安全配置核查设备的核查范围。安全配置核查设备还可以包括报告生成器150,其基于扫描器140就扫描策略中每个安全检查项的检查结果来生成有关目标网络设备300的安全配置核查结果,以便目标网络设备300的系统管理员可以根据该核查结果来修改目标网络设备300上的安全配置,从而提高目标网络设备300的安全性。安全配置核查设备100还可以包括扫描策略存储器160,用于存储一个或者多个扫描策略HO。安全配置核查设备100还可以包括插件处理接口 170,以提供处理可执行插件124的接口。例如,插件处理接口 170可以在将可执行插件124存储到扫描策略110中时被调用,或者在对扫描策略110中的可执行插件124进行编辑时被调用。插件处理接口 170可以接收由用户200创建的可执行插件,并检查该可执行插件是否合格。例如,插件处理接口170可以借助于插件引擎130来检查可执行插件124是否合格。这种检查可以利用本领域任何已知的技术来实现。例如,当可执行插件124利用类似Perl语言的脚本编写时,可以调用Perl解析器来确定该可执行插件124是否合法并适于执行。图2示出了根据本发明一个实施例的安全配置核查方法,该方法可以由安全配置核查设备100执行以便对网络设备进行安全配置核查。如图2所示,该方法始于步骤S210,其中生成与网络设备300相对应的扫描策略110。如先前所述,每个扫描策略110包括一个或者多个安全检查项120,每个安全检查项120与相对应网络设备上的安全配置相关联。这些安全检查项120包括传统的简单检查项122以及可执行插件124,而可执行插件124适于在网络设备上执行以核查网络设备的安全配置。随后,在步骤S220-S270中,利用扫描策略110来对目标网络设备300进行安全扫描。具体而言,首先在S220中,获取扫描策略110中的当前安全检查项,并在步骤S230中判断该安全检查项为简单检查项122还是可执行插件124。如果该安全检查项为简单检查项122,则在步骤S240中如现有方式那样通过执行简单命令来进行检查。而如果该安全检查项为可执行插件,则在步骤S250中,将可执行插件上载到目标网络设备300上并执行。随后在步骤S260中判断是否已经执行了扫描策略110中的所有安全检查项,如果不是,则在步骤S270中读取扫描策略110中的下一个安全检查项作为当前安全检查项,并返回到步骤S230重复上述处理。如果在步骤S260中确定已经执行了扫描策略110中的所有安全检查项,则可选地,在步骤S280中,基于每个安全检查项的检查结果来生成有关目标网络设备的安全配置核查结果,并结束该安全检查核查方法。可选地,可执行插件124适于在目标网络设备利用插件引擎来执行,因此,在步骤S250中,可以将插件引擎和可执行插件一起上载到目标网络设备上,并利用插件引擎来执行可执行插件。可选地,目标网络设备上可能早已存在有插件引擎,此时则不必将插件引擎上载到目标网络设备上。另外,可以利用插件引擎将可执行插件 124编译为适于在目标网络设备上执行的可执行程序,随后在步骤S250中将该可执行程序上载到网络设备上来执行。可选地,在步骤S210中,在生成扫描策略时,还包括接收用户创建的可执行插件,并可选地利用插件引擎来检查所接收插件的合法性,并将其存储到相应的扫描策略中的步骤。图3示出了根据本发明一个实施例的、其中采用了安全配置核查设备100的网络系统400。如图3所示,网络系统400中包括通过局域网络410互连的多个网络设备,这些网络设备除了传统的诸如网关、路由器之类的网络设备420之外,还包括服务器430和终端440等。安全配置核查设备100也通过局域网络410与这些网络设备互连,从而可以对这些网络设备的安全配置进行核查。这样,系统管理员可以利用一台安全配置核查设备100就可以对网络系统400中的所有网络设备进行安全配置核查。应当注意的是,在本发明的安全配置核查设备的各个部件中,根据其要实现的功能而对其中的部件进行了逻辑划分,但是,本发明不受限于此,可以根据需要对各个部件进行重新划分或者组合,例如,可以将一些部件组合为单个部件,或者可以将一些部件进一步分解为更多的子部件。本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的安全配置核查设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称
权利要求
1.一种安全配置核查设备,包括 一个或者多个扫描策略,每个扫描策略对应于一种网络设备,其中每个扫描策略包括一个或者多个安全检查项,每个安全检查项与相对应网络设备上的安全配置相关联,所述一个或者多个安全检查项中的至少一个为可执行插件,所述可执行插件适于在网络设备上执行以核查网络设备的安全配置; 扫描器,选择与网络设备相对应的扫描策略来对该网络设备进行安全扫描,其中对于所选择扫描策略中的每个安全检查项,确定所述网络设备中的相关联安全配置是否合格,以及 当所述安全检查项为可执行插件时,将所述可执行插件上载到所述网络设备上并执行,并根据所述可执行插件的执行结果来确定所述网络设备中的相关联安全配置是否合格。
2.如权利要求I所述的安全配置核查设备,还包括插件引擎,被配置为执行和/或解析所述可执行插件, 其中所述扫描器将所述插件引擎和可执行插件一起发送到所述网络设备,从而在所述网络设备上由所述插件引擎来执行可执行插件。
3.如权利要求I或者2所述的安全配置核查设备,还包括插件处理接口,被配置为接收用户创建的可执行插件、检查该可执行插件并将其存储到扫描策略中。
4.如权利要求1-3中的任一个所述的安全配置核查设备,还包括 报告生成器,基于每个安全检查项的检查结果来生成有关所选定网络设备的安全配置核查结果。
5.如权利要求1-3中的任一个所述的安全配置核查设备,还包括 扫描策略存储器,用于存储所述一个或者多个扫描策略。
6.一种针对网络设备的安全配置核查方法,包括步骤 生成与该网络设备相对应的扫描策略,每个扫描策略包括一个或者多个安全检查项,每个安全检查项与相对应网络设备上的安全配置相关联,所述一个或者多个安全检查项中的至少一个为可执行插件,所述可执行插件适于在网络设备上执行以核查网络设备的安全配置; 利用该扫描策略来对所述网络设备进行安全扫描,其中对于所选择扫描策略中的每个安全检查项,确定所述网络设备中的相关联安全配置是否合格,以及 当所述安全检查项为可执行插件时,将所述可执行插件上载到所述网络设备上并执行,并根据所述可执行插件的执行结果来确定所述网络设备中的相关联安全配置是否合格。
7.如权利要求6所述的安全配置核查方法,其中所述将可执行插件上载到所述网络设备上并执行的步骤包括 将适于执行和/或解析所述可执行插件的插件引擎上载到所述网络设备;以及, 利用所述插件引擎来执行所述可执行插件。
8.如权利要求7所述的安全配置核查方法,其中所述生成与该网络设备相对应的扫描策略的步骤还包括 接收用户创建的可执行插件;以及检查该可执行插件的合法性并将其存储到相应的扫描策略中。
9.如权利要求6-8中的任一个所述的安全配置核查方法,还包括步骤 基于每个安全检查项的确定结果来生成有关所选定网络设备的安全配置核查结果。
10.一种网络系统,包括 一个或者多个网络设备; 如权利要求1-5中的任一个所述的安全配置核查设备,用于对所述一个或者多个网络设备进行安全配置核查。
全文摘要
本发明公开了一种安全配置核查设备,包括一个或者多个扫描策略,每个扫描策略对应于一种网络设备,其中每个扫描策略包括一个或者多个安全检查项,安全检查项中的至少一个为可执行插件,可执行插件适于在网络设备上执行以核查网络设备的安全配置;以及扫描器,被配置为选择扫描策略来对该网络设备进行安全扫描,其中对于每个安全检查项,确定网络设备中的相关联安全配置是否合格,以及当安全检查项为可执行插件时,将可执行插件上载到所述网络设备上并执行。本发明还公开了一种相应的安全配置核查方法以及采用该核查设备的网络系统。
文档编号H04L12/24GK102684911SQ201210066429
公开日2012年9月19日 申请日期2012年3月14日 优先权日2012年3月14日
发明者周振, 孙建鹏, 廖新喜, 段磊 申请人:北京神州绿盟信息安全科技股份有限公司