一种网络安全自动配置管理系统的制作方法

一种网络安全自动配置管理系统的制作方法
【专利摘要】本发明提供了一种网络安全自动配置管理系统，其包括：配置连接模块，用于与待扫描对象进行连接；其中，待扫描对象包括以下对象中的两种及以上的组合：网络设备、电子设备、系统和数据库；日常操作模块，用于对连接后的所述待扫描对象进行操作处理；其中，所述操作处理至少包括：扫描所述待扫描对象中配置文件、定位所述配置文件中的配置缺陷的条目和对配置缺陷的条目进行安全配置修复；本发明提供的系统既能对组合对象进行扫描，并正确定位组合对象中配置不当的位置，同时对组合对象存在安全缺陷(即配置不当)的条目进行安全配置修复，使该组合对象符合配置的标准要求，并且大大提高了组合对象的配置文件运行的安全性。
【专利说明】—种网络安全自动配置管理系统

【技术领域】
[0001]本发明涉及网络安全领域，具体而言，涉及一种网络安全自动配置管理系统。

【背景技术】
[0002]随着网络技术的发展，信息安全事件数量快速上升，安全形势不容乐观。据统计，2012年国家互联网应急中心(CNCERT)共接收19124次网络安全事件报告(且不包括扫描和垃圾邮件类事件)，与2011年相比增长24.5% ；2012年CNCER共处理各类网络安全事件共18805件，与2011年相比增长72.1 %。总体来看，近年来我国网络信息安全事件数量呈快速上升之势，直接影响网民和企业权益，阻碍行业健康发展，整体信息安全形式不容乐观。
[0003]现今，国内大部分企业对信息安全问题的解决办法仍停留在安装杀毒软件上，然而在互联网、移动互联网高度发达的当下，这种安全措施已经远远不能满足企业网络信息安全的需求。大部分单位的网络管理人员特别是中小企业的网管人员安全意识非常淡薄，而且安全防护水平低下，无自主能力完成最基本的网络安全配置，导致单位面临极大的安全风险。
[0004]从大量的黑客行为中分析，不难得到黑客攻击的常用手段如下:
[0005]利用网络和系统漏洞进行渗透；
[0006]利用设备的配置缺陷:如未启用加密、未开启安全通道、未限制root权限、未开启有效的访问控制等；
[0007]利用业务的逻辑缺陷进行安全绕过；
[0008]利用大量的流量访问进行DDoS (Distributed Denial of Service,分布式拒绝服务)攻击。
[0009]所以只要对设备、系统和软件做好安全配置，就能避免大多数的安全入侵威胁。当前市场上针对安全配置的相关技术主要有两类:第一类是对设备、系统和软件进行安全配置扫描，找出配置不合规的地方；第二类是针对单独的系统或者设备进行安全配置。
[0010]但是，上述两类技术都有比较明显的缺陷:第一类技术只能定位配置不当的地方，不能按照正确的配置进行修复；第二类技术只能针对单独的设备或系统进行修复，不能涵盖不同的设备(如网络设备、安全设备等)、不同的系统(如windows、linux等)和不同的软件(如 oracle、mysql 等)。


【发明内容】

[0011]本发明的目的在于提供一种网络安全自动配置管理系统，以解决上述的问题。
[0012]在本发明的实施例中提供了一种网络安全自动配置管理系统，包括:
[0013]配置连接模块，用于与待扫描对象进行连接；其中，待扫描对象包括以下对象中的两种及以上的组合:网络设备、电子设备、系统和数据库；
[0014]日常操作模块，用于对连接后的待扫描对象进行操作处理；其中，操作处理至少包括:扫描待扫描对象中配置文件、定位配置文件中的配置缺陷的条目和对配置缺陷的条目进行安全配置修复。
[0015]进一步的，该系统还包括登录模块；
[0016]登录模块，用于验证用户输入的身份信息，并根据正确的身份信息进入操作界面，以便日常操作模块对待扫描对象进行操作。
[0017]进一步的，该系统还包括配置库管理模块和系统管理模块；
[0018]配置库管理模块，用于管理配置库中的配置条目的升级、导入和导出，以便日常操作模块根据配置条目进行操作；
[0019]系统管理模块，用于管理用户的身份信息和使用权限、进行系统维护以及记录运行日志。
[0020]进一步的，该系统中，配置连接模块包括:网络设备连接模块、电子设备连接模块和软件连接模块；
[0021]网络设备连接模块与待扫描设备进行连接；
[0022]电子设备连接模块与待扫描系统进行连接；
[0023]软件连接模块，用于与待扫描软件进行数据传输。
[0024]进一步的，该系统中，待扫描对象中包括配置文件；日常操作模块包括:配置扫描模块、备份模块、配置模块和配置恢复模块；
[0025]配置扫描模块，用于对配置文件进行安全配置自动化扫描，并输出扫描结果；
[0026]备份模块，用于对与配置文件进行备份；
[0027]配置模块，用于根据扫描结果，对配置文件中的安全配置缺陷进行安全配置修复；
[0028]配置恢复模块，用于鉴定配置模块配置不正确时，使配置文件自动覆盖配置模块配置后的文件，以完成配置修复。
[0029]进一步的，该系统中，配置模块包括:自动配置模块和手动配置模块；
[0030]自动配置模块，用于根据扫描结果，对配置文件中的安全配置缺陷进行自动安全配置修复；
[0031]手动配置模块，用于根据用户输入的控制指令，对配置文件中的安全配置缺陷进行安全配置修复。
[0032]进一步的，该系统中，日常操作模块还包括报表生成模块；
[0033]报表生成模块，用于在配置扫描模块和/或配置模块结束后，生成报表；其中，报表的内容可以包括以下信息中的一种或多种:配置扫描结果、安全配置缺陷列举、配置缺陷对应的安全风险等级、自动配置条目、手动配置条以及配置完成前后的对比信息。
[0034]进一步的，该系统中，配置文件包括多个配置条目；配置库管理模块包括配置库升级模块、配置库导入模块和配置库导出模块；
[0035]配置库升级模块，用于更新和扩充配置库中的配置条目；
[0036]配置库导入模块，用于对配置条目进行导入；
[0037]配置库导出模块，用于对配置条目进行导出。
[0038]进一步的，该系统中，配置文件中包括安全配置基线；其中，安全配置基线包括多个配置条目；
[0039]配置扫描模块用于自动识别和读取配置文件中的安全配置基线，并与配置库中对应的预存安全配置基线进行一一比对；将与安全配置基线不一致的配置条目定义为安全配置缺陷，同时输出安全配置扫描结果。
[0040]进一步的，该系统中，系统管理模块包括授权控制模块、用户管理模块、系统维护模块、系统日志模块和操作日志模块；
[0041]授权控制模块，用于根据第一级用户的身份信息，为第一级用户分配管理权限；
[0042]用户管理模块，用于根据第一级用户的下级用户的身份信息，为下级用户分配管理权限，并对下级用户的身份信息进行管理；
[0043]系统维护模块，用于及时对整个系统进行升级，用以对系统进行维护；
[0044]系统日志模块，用于对系统的运行进行日志记录；
[0045]操作日志模块，用于对所有模块的运行进行日志记录。
[0046]本发明实施例提供的一种网络安全自动配置管理系统，与现有技术中的第一类技术只能定位配置不当的地方，不能按照正确的配置进行修复；第二类技术只能针对单独的设备或系统进行修复，不能涵盖不同的设备(如网络设备、安全设备等)、不同的系统(如windows、Iinux等)和不同的软件(如oracle、mysql等)的方案相比,其包括:配置连接模块，用于与待扫描对象进行连接；其中，待扫描对象包括以下对象中的两种及以上的组合:网络设备、电子设备、系统和数据库；日常操作模块，用于对连接后的所述待扫描对象进行操作处理；其中，所述操作处理至少包括:扫描所述待扫描对象中配置文件、定位所述配置文件中的配置缺陷的条目和对配置缺陷的条目进行安全配置修复；本发明提供的系统既能对组合对象进行扫描，并正确定位组合对象中配置不当的位置，同时对组合对象存在安全缺陷(即配置不当)的条目进行安全配置修复，使该组合对象符合配置的标准要求，并且大大提高了组合对象的配置文件运行的安全性。

【专利附图】

【附图说明】
[0047]图1示出了本发明实施例提供的一种网络安全自动配置管理系统的结构示意图；
[0048]图2示出了本发明实施例提供的一种网络安全自动配置管理系统中日常操作模块的结构示意图；
[0049]图3示出了本发明实施例提供的一种网络安全自动配置管理系统中配置库管理作模块的结构示意图；
[0050]图4示出了本发明实施例提供的一种网络安全自动配置管理系统中系统管理模块的结构示意图；
[0051]图5示出了本发明实施例提供的使用一种网络安全自动配置管理系统的流程图。

【具体实施方式】
[0052]下面通过具体的实施例子并结合附图对本发明做进一步的详细描述。
[0053]本发明实施例提供了一种网络安全自动配置管理系统，如图1所示，包括:
[0054]配置连接模块102，用于与待扫描对象进行连接；其中，待扫描对象包括以下对象中的两种及以上的组合:网络设备、电子设备、系统和数据库；
[0055]日常操作模块103，用于对连接后的待扫描对象进行操作处理；其中，操作处理至少包括:扫描待扫描对象中配置文件、定位配置文件中的配置缺陷的条目和对配置缺陷的条目进行安全配置修复。
[0056]本发明实施例提供的一种网络安全自动配置管理系统，与现有技术中的第一类技术只能定位配置不当的地方，不能按照正确的配置进行修复；第二类技术只能针对单独的设备或系统进行修复，不能涵盖不同的设备(如网络设备、安全设备等)、不同的系统(如windows、Iinux等)和不同的软件(如oracle、mysql等)的方案相比,其包括:配置连接模块102，用于与待扫描对象进行连接；其中，待扫描对象包括以下对象中的两种及以上的组合:网络设备、电子设备、系统和数据库；日常操作模块103，用于对连接后的所述待扫描对象进行操作处理；其中，所述操作处理至少包括:扫描所述待扫描对象中配置文件、定位所述配置文件中的配置缺陷的条目和对配置缺陷的条目进行安全配置修复；本发明提供的系统既能对组合对象进行扫描，并正确定位组合对象中配置不当的位置，同时对组合对象存在安全缺陷(即配置不当)的条目进行安全配置修复，使该组合对象符合配置的标准要求，并且大大提高了组合对象的配置文件运行的安全性。
[0057]具体的，配置连接模块102能够与带扫描的组合对象进行配置连接。其中，组合对象可以是:网络设备和电子设备、网络设备和系统、网络设备和数据库、网络设备、电子设备和系统、网络设备系统和数据库以及网络设备、电子设备、系统和数据库等24中不同的组合，其中，该配置连接模块102针对不同的组合对象有不同的配置连接方式(下面实施例具体说明)。
[0058]进一步的,如图1所示，该系统还包括登录模块101 ；
[0059]登录模块101，用于验证用户输入的身份信息，并根据正确的身份信息进入操作界面，以便日常操作模块103对待扫描对象进行操作。
[0060]具体的，每个使用用户都需要有身份信息才可进入操作界面，通过日常操作模块
103进行操作。
[0061]其中，登录模块101将用户进行分级设置。具体的，根据用户的需求及其付出的交易成本，例如，一个公司购买了该系统，则我们会根据该公司的交易成本，设置为该公司开放的权限；然后每个公司还可根据公司内部工作人员的等级，再次设置每个模块的工作权限。
[0062]进一步的，如图1所示，该系统还包括配置库管理模块104和系统管理模块105 ；
[0063]配置库管理模块104，用于管理配置库中的配置条目的升级、导入和导出，以便日常操作模块103根据配置条目进行操作。
[0064]具体的，系统中有配置库，该配置库中存储有很多配置文件，配置文件是由多个配置条目组成的。该配置库管理模块104用于跟随技术的发展，实时管理配置条目的更新和扩充等，并根据需要控制个配置条目的导入和导出。
[0065]系统管理模块105，用于管理用户的身份信息和使用权限、进行系统维护以及记录运行日志。
[0066]具体的，每一个使用本系统的用户都是需要身份信息和权限的，系统管理模块105则实时管理这些信息。并负责系统的更新、正常运行以及对系统运行进行日志记录、对各个模块的运行进行日志记录等。
[0067]进一步的，如图2所示，该系统中，配置连接模块102包括:网络设备连接模块、电子设备连接模块和软件连接模块；网络设备连接模块与待扫描设备进行连接(通过Telnet或者SSH协议进行远程连接，或者通过设备Console 口进行本地连接)；电子设备连接模块与待扫描系统进行连接(通过Telnet、SSH、远程桌面RDP、文件共享SMB等方式远程连接，或者通过USB 口本地连接);软件(通过TCP、UDP端口进行远程连接)连接模块，用于与待扫描软件进行数据传输。
[0068]本实施例中，网络设备的具体指为交换机、集线器、交换机、网桥和路由器一类的设备；电子设备指计算机、平板电脑和移动终端一类的设备；软件为计算机应用软件。具体的，电子设备连接模块能够与待扫描电子设备和待扫描系统进行连接。
[0069]具体的，网络设备连接模块通过Telnet或者SSH协议进行远程连接，或者通过设备Console 口与待扫描设备进行本地连接。电子设备连接模块通过Telnet、SSH、远程桌面RDP、文件共享SMB等方式远程连接，或者通过USB 口与待扫描系统进行本地连接；软件通过TCP、UDP端口进行远程连接。
[0070]进一步的，如图2所示，该系统中，待扫描对象中包括配置文件；日常操作模块103包括:配置扫描模块201、备份模块204、配置模块202和配置恢复模块203 ;配置扫描模块201，用于对配置文件进行安全配置自动化扫描，并输出扫描结果；备份模块204，用于对与配置文件进行备份；配置模块202，用于根据扫描结果，对配置文件中的安全配置缺陷进行安全配置修复；配置恢复模块203，用于鉴定配置模块202配置不正确时，使配置文件自动覆盖配置模块202配置后的文件，以完成配置修复。
[0071]具体的，配置扫描模块201用于对组合对象中的配置文件进行扫描。扫描结果包括:配置文件无误和配置文件有错误。当配置文件有错误时，则配置扫描模块201会具体标记出错误的配置条目。备份模块204对组合对象中的配置文件进行备份的目的是，当配置模块202没有对配置文件中的错误的配置条目进行正确的修复时，能够使原来的错误的配置条目重新覆盖修复后的配置条目，以还原到原始状态，方便后续配置模块202对该错误的配置文件进行正确的修复。
[0072]进一步的，如图2所示，该系统中，配置模块202包括:自动配置模块206和手动配置模块207 ;自动配置模块206，用于根据扫描结果，对配置文件中的安全配置缺陷进行自动安全配置修复；手动配置模块207，用于根据用户输入的控制指令，对配置文件中的安全配置缺陷进行安全配置修复。
[0073]具体的，自动配置模块206，当其接收到配置扫描模块201发送的有错误的配置条目的输出结果后，自动对错误的配置条目进行安全配置修复。从而避免了用户人工操作，节省了用户的劳动力，同时也给不会操作的用户带来了极大的方便。
[0074]具体的:配置扫描模块201的输出结果，可以将错误的配置条目逐条列举在自动配置界面，可以通过复选框对需要配置的每个条目进行选择后对选中的条目进行自动配置，也可以选择一键配置对所有的错误配置条目进行自动配置。
[0075]而手动配置模块207，则当其接收到配置扫描模块201发送的有错误的配置条目的输出结果后，不做任何处理，直至其接收到用户的控制指令后，即对错误的配置条目进行安全配置修复。
[0076]进一步的，如图2所示，该系统中，日常操作模块103还包括报表生成模块205 ;报表生成模块205,用于在配置扫描模块201和/或配置模块202结束后，生成报表；其中，报表的内容可以包括以下信息中的一种或多种:配置扫描结果、安全配置缺陷列举、配置缺陷对应的安全风险等级、自动配置条目、手动配置条以及配置完成前后的对比信息。
[0077]具体的，配置扫描模块201扫描结束后，会输出扫描结果，此时，可以通过报表生成模块205，对该扫描结果生成报表，用以为方便用户打印出来进行查看和携带。而此时报表所对应的结果可以包括以下中的一种或多种:配置扫描结果、安全配置缺陷列举、配置缺陷对应的安全风险等级。
[0078]同理，配置模块202进行配置修复后，同样会输出修复结果，此时，同样可以通过报表生成模块205，对该修复结果生成报表，用以为方便用户打印出来进行查看和携带。而此时报表所对应的结果可以包括以下中的一种或多种:自动配置条目、手动配置条以及配置完成前后的对比信息。
[0079]进一步的，如图3所示，该系统中，配置文件包括多个配置条目；配置库管理模块
104包括配置库升级模块301、配置库导入模块302和配置库导出模块303 ;配置库升级模块301，用于更新和扩充配置库中的配置条目；配置库导入模块302，用于对配置条目进行导入；配置库导出模块303，用于对配置条目进行导出。
[0080]具体的，配置库升级模块301用于及时对配置库中的配置条目进行升级、更新和扩充等。例如:删除过期的配置条目，增加新的配置条目，调整原来配置条目的顺序等。
[0081]配置库导入模块302和配置库导出模块303，用于在需要的时候对配置条目进行导入和导出。例如，用户需要查看或者更改某一条配置条目时，需要导出该条目，则需要通过配置库导出模块303导出对应的配置条目。再例如，需要对该配置库中的配置条目进行升级，即增加新的配置条目，则需要配置库导入模块302导入新的配置条目。综合来讲，配置库导入模块302和配置库导出模块303即起到对配置库进行维护的作用。
[0082]进一步的，该系统中，配置文件中包括安全配置基线；其中，安全配置基线包括多个配置条目；配置扫描模块201用于自动识别和读取配置文件中的安全配置基线，并与配置库中对应的预存安全配置基线进行一一比对；将与安全配置基线不一致的配置条目定义为安全配置缺陷，同时输出安全配置扫描结果。
[0083]具体的，待扫描的组合对象中，配置文件中包括安全配置基线，该安全配置基线中包括多个配置条目；配置扫描模块201将待扫描的组合对象中的安全配置基线(含有具体的配置条目的顺序)与配置库中的安全配置基线(同样含有具体的配置条目的顺序，且与对比对象中的配置条目的顺序是一样的)进行对比，将待扫描模块中，对比后不一样的配置条目定义为安全配置缺陷，并进行标记，同时输扫描结果。
[0084]进一步的，如图4所示，该系统中，系统管理模块105包括授权控制模块401、用户管理模块402、系统维护模块403、系统日志模块404和操作日志模块405 ;授权控制模块401，用于根据第一级用户的身份信息，为第一级用户分配管理权限；用户管理模块402，用于根据第一级用户的下级用户的身份信息，为下级用户分配管理权限，并对下级用户的身份信息进行管理；系统维护模块403，用于及时对整个系统进行升级，用以对系统进行维护；系统日志模块404，用于对系统的运行进行日志记录；操作日志模块405，用于对所有模块的运行进行日志记录。
[0085]具体的，第一级用户可以为一个公司、一个团队或者个人；若第一级用户为一个公司，则第一级用户的下级用户可以为公司里的工作人员，具体的，还可以根据这些工作人员的工作岗位进行级别的划分。若第一级用户为一个团队，则第一级用户的下级用户可以为团队里的人员，同样还可以根据这些人员的工作分工进行级别的划分；若第一级用户为个人，则该第一级用户没有下级用户或者其下级用户为其手语使用人员的权力。
[0086]用户管理模块402，还用于对用户的身份信息进行管理，例如对用户的身份信息进行更新、删除、添加和保存等。
[0087]系统维护模块403，用于及时对整个系统进行升级，管理系统的开机、关机和正常运行等，当系统运行不正确时，及时对系统进行修复并发出警告指示(警告指示可以是声音提示也可以是文字提示)；系统日志模块404，用于对系统的开机、关机和系统故障等的运行状态进行日志记录，以便用户可以随时查看其运行状态；操作日志模块405，用于对所有模块的运行进行日志记录，以便用户可以随时查看其运行状态，并且在模块运行出问题的时候，用户也能够及时找到出问题的模块。
[0088]本发明基于上述一种网络安全自动配置管理系统工作的流程如下，如图5所示:
[0089]1001:打开网址自动配置管理系统，该系统所在的主机应具有使用许可授权，同时该系统所在的主机应能够对配置对象远程可达；
[0090]1002:通过系统登录模块进行登录行为控制，用户根据自身的角色使用对应的用户名和密码登录系统，不同角色的用户可以使用不同的功能模块。如:管理员用户只可以操作系统登录模块、配置库管理模块和系统管理模块；操作员只可以操作日常操作模块和配直连接t旲块。
[0091]1003:通过配置连接模块来进行设备、系统和软件的远程连接，主要的连接方式有Telnet、SSH、远程桌面和远程共享等方式进行连接。具体连接过程是:远程连接到需要配置的主机和网络设备一输入管理员用户名和密码进行远程登录一进一步输入对应软件(如数据库、中间件等)的管理员用户名和密码进行连接一确认可以进行配置操作。
[0092]1004:在配置连接成功后，通过配置扫描模块201来对设备、系统和软件进行安全配置自动化扫描，具体方法是自动识别和读取配置文件中的关键条目，并与配置库中对应的安全配置基线进行一一比对，将与基线不一致的配置定义为安全配置缺陷，同时输出安全配置扫描结果。
[0093]1005:查看安全配置扫描输出的结果，确认是否有安全配置缺陷。
[0094]1006:对于存在配置缺陷的结果，可以选择自动配置模块202或者受到配置模块202进行安全配置修复。自动配置模块202是可以对所有配置缺陷进行一键自动配置操作；而手动配置模块202是根据用户自身的需求针对其中的某一项或者某几项进行勾选，然后可以执行自动配置操作或者手动输入相关配置命令。
[0095]1007:在执行完自动/手动配置之后，需确认设备、系统和软件的配置是否正确，是否存在异常情况。
[0096]1008:如果鉴定配置不正确，可以使用配置恢复模块203，该模块在进行自动/手动配置操作之前就已经备份了被测设备或软件的配置文件，如出现配置不正确的情况，仅需点击配置恢复选项，前期备份的配置文件就会进行自动覆盖，完成配置恢复工作。则
[0097]另外，在执行完配置扫描操作和自动/手动配置操作后，都可以利用报表生成模块205来生成报表，报表的内容可以涵盖:配置扫描结果、安全配置缺陷列举、配置缺陷对应的安全风险等级、自动/手动配置的条目、配置完成前后对比等信息。
[0098]网络安全自动配置管理系统的所有操作均可以被系统日志模块和操作日志模块进行日志记录，并可以对日志记录的进行查询分析。
[0099]1009:在进行完所有操作之后，可以结束任务，之前的任务操作会记录在任务列表中，方便后期查看和重复操作。
[0100]本发明提供的系统既能对组合对象进行扫描，并正确定位组合对象中配置不当的位置，同时对组合对象存在安全缺陷(即配置不当)的条目进行安全配置修复，使该组合对象符合配置。
[0101]显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
[0102]以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种网络安全自动配置管理系统，其特征在于，包括: 配置连接模块，用于与待扫描对象进行连接；其中，所述待扫描对象包括以下对象中的两种及以上的组合:网络设备、电子设备、系统和数据库； 日常操作模块，用于对连接后的所述待扫描对象进行操作处理；其中，所述操作处理至少包括:扫描所述待扫描对象中配置文件、定位所述配置文件中的配置缺陷的条目和对所述配置缺陷的条目进行安全配置修复。
2.根据权利要求1所述的系统，其特征在于，还包括登录模块； 所述登录模块，用于验证用户输入的身份信息，并根据正确的所述身份信息进入操作界面，以便所述日常操作模块对所述待扫描对象进行操作。
3.根据权利要求1所述的系统，其特征在于，还包括配置库管理模块和系统管理模块； 所述配置库管理模块，用于管理配置库中的配置条目的升级、导入和导出，以便所述日常操作模块根据所述配置条目进行操作； 所述系统管理模块，用于管理用户的身份信息和使用权限、进行系统维护以及记录运行日志。
4.根据权利要求1所述的系统，其特征在于，所述配置连接模块包括:网络设备连接模块、电子设备连接模块和软件连接模块； 所述网络设备连接模块与待扫描设备进行连接； 所述电子设备连接模块与待扫描系统进行连接； 所述软件连接模块，用于与待扫描软件进行数据传输。
5.根据权利要求4所述的系统，其特征在于，所述待扫描对象中包括配置文件；所述日常操作模块包括:配置扫描模块、备份模块、配置模块和配置恢复模块； 所述配置扫描模块，用于对所述配置文件进行安全配置自动化扫描，并输出扫描结果; 所述备份模块，用于对与所述配置文件进行备份； 所述配置模块，用于根据所述扫描结果，对所述配置文件中的安全配置缺陷进行安全配置修复； 所述配置恢复模块，用于鉴定所述配置模块配置不正确时，使所述配置文件自动覆盖配置模块配置后的文件，以完成配置修复。
6.根据权利要求5所述的系统，其特征在于，所述配置模块包括:自动配置模块和手动配置模块； 所述自动配置模块，用于根据所述扫描结果，对所述配置文件中的安全配置缺陷进行自动安全配置修复； 所述手动配置模块，用于根据用户输入的控制指令，对所述配置文件中的安全配置缺陷进行安全配置修复。
7.根据权利要求6所述的系统，其特征在于，所述日常操作模块还包括报表生成模块； 所述报表生成模块，用于在所述配置扫描模块和/或所述配置模块结束后，生成报表；其中，所述报表的内容可以包括以下信息中的一种或多种:配置扫描结果、安全配置缺陷列举、配置缺陷对应的安全风险等级、自动配置条目、手动配置条以及配置完成前后的对比信肩、O
8.根据权利要求7所述的系统，其特征在于，所述配置文件包括多个配置条目；所述配置库管理模块包括配置库升级模块、配置库导入模块和配置库导出模块； 所述配置库升级模块，用于更新和扩充配置库中的所述配置条目； 所述配置库导入模块，用于对所述配置条目进行导入； 所述配置库导出模块，用于对所述配置条目进行导出。
9.根据权利要求8所述的系统，其特征在于，所述配置文件中包括安全配置基线；其中，所述安全配置基线包括多个所述配置条目； 所述配置扫描模块用于自动识别和读取所述配置文件中的安全配置基线，并与配置库中对应的预存安全配置基线进行一一比对；将与所述安全配置基线不一致的配置条目定义为安全配置缺陷，同时输出安全配置扫描结果。
10.根据权利要求9所述的系统，其特征在于，所述系统管理模块包括授权控制模块、用户管理模块、系统维护模块、系统日志模块和操作日志模块； 所述授权控制模块，用于根据第一级用户的身份信息，为所述第一级用户分配管理权限； 所述用户管理模块，用于根据所述第一级用户的下级用户的身份信息，为所述下级用户分配管理权限，并对所述下级用户的身份信息进行管理； 所述系统维护模块，用于及时对整个系统进行升级，用以对系统进行维护； 所述系统日志模块，用于对系统的运行进行日志记录； 所述操作日志模块，用于对所有模块的运行进行日志记录。
【文档编号】H04L12/24GK104135483SQ201410387150
【公开日】2014年11月5日 申请日期:2014年8月5日 优先权日:2014年6月13日
【发明者】汪志, 冯俊杰, 胡家胜 申请人:汪志