本发明涉及网络安全配置,具体涉及一种网络设备安全管理系统及方法。
背景技术:
1、传统网络管理是基于状态监测的网络管理系统,通过及时发现和分析运行状态异常,来排除故障,比如通过流量监测、端口状态和电源模块监测等发现异常进行故障排除。随着网络安全需求的快速增长,对网络设备的安全方面的要求也日益严格,为保护网络设备安全,比如密码不得明文存储、关闭telnet、指定网管专用地址、关闭常用攻击端口等一系列安全方面的配置需求也日益增多,这些需求需要对网络设备进行检测和下达安全配置命令来实现。
2、目前的主要方法是通过网络工程师逐台登录网络设备,采用中控台命令进行安全配置。可以适用于网络规模较小、设备总数少的网络,当网络中联网设备的数量大到一定数量,且设备品牌众多时,网络工程师需要针对不同厂家的不同型号设备做针对性处理,对每台设备进行人工处理不仅错误率高,而且效率很低,耗时耗力。
技术实现思路
1、有鉴于此,本发明实施例提供了一种网络设备安全管理系统及方法,通过上述网络设备安全管理系统实现了对大规模网络的设备快速高效的安全配置设置。
2、为达到上述目的,本发明采用如下技术方案:
3、第一方面,本发明实施例提供了一种网络设备安全管理系统,包括安全配置修复模块、设备缺陷检测模块和数据更新模块;安全配置修复模块用于基于网络设备知识库中的预设安全配置信息对网络设备的安全配置参数进行修复;设备缺陷检测模块用于基于网络设备知识库中的预设设备缺陷信息对网络设备的缺陷进行检测并进行处理方法提示;数据更新模块用于更新网络设备知识库中的预设安全配置信息和预设设备缺陷信息。
4、基于第一方面,在一些实施例中,预设安全配置信息包括网络设备的基本信息和基本信息对应的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑和预设修改指令逻辑。
5、基于第一方面,在一些实施例中,网络设备的基本信息包括品牌、型号、版本、子版本;网络设备的预设网络配置参数包括多个安全配置项的安全配置要求及各安全配置项的类型、名称、标识符。
6、基于第一方面,在一些实施例中,安全配置修复模块包括通信单元、问题扫描单元和问题修复单元;通信单元用于和网络设备通信,获取网络设备的基本信息;问题扫描单元用于基于网络设备的基本信息和网络设备知识库中的预设安全配置信息对网络设备的安全配置参数进行扫描分析;网络设备的安全配置参数包括多个安全配置项,问题修复单元用于修复多个安全配置项中不符合安全配置要求的安全配置项。
7、基于第一方面,在一些实施例中,通信单元还用于单独手动添加一个或多个网络设备或批量自动添加多个网络设备。
8、基于第一方面,在一些实施例中,问题扫描单元还用于:扫描全部网络设备的安全配置参数、扫描全部网络设备的安全配置参数中某一类型的安全配置项、查看历史扫描记录。
9、基于第一方面,在一些实施例中,网络设备知识库包括通用库和特例库;通用库中包括按网络设备的品牌、型号、版本、子版本分类的预设安全配置信息和预设设备缺陷信息,其中预设设备缺陷信息包括网络设备缺陷及网络设备缺陷对应的处理方法;特例库中包括特殊型号和特殊版本的预设安全配置信息和预设设备缺陷信息。
10、第二方面,本发明实施例提供了一种网络设备安全管理方法,适用于如上述第一方面中任一项所述的网络设备安全管理系统,包括:基于网络设备知识库中的预设安全配置信息对网络设备的安全配置参数进行修复;基于网络设备知识库中的预设设备缺陷信息检测网络设备是否存在网络设备缺陷并提示网络设备缺陷对应的处理方法;更新网络设备知识库中的预设安全配置信息和预设设备缺陷信息。
11、基于第二方面,在一些实施例中,基于网络设备知识库中的预设安全配置信息对网络设备的安全配置参数进行修复,包括:和网络设备通信,获取网络设备的基本信息;基于网络设备的基本信息和网络设备知识库中的预设安全配置信息,对网络设备的安全配置参数进行扫描分析;网络设备的安全配置参数包括多个安全配置项,对多个安全配置项中不符合安全配置要求的安全配置项进行修复。
12、本发明实施例中,通过网络设备安全管理系统建设网络设备知识库收集网络设备的网络配置信息和缺陷信息,实现了对大规模网络设备的自动化检测和安全配置的快速高效设置。提高了网络设备的安全管理效率,能够优化网络设备安全配置、发现网络设备的固有缺陷并及时解决。
1.一种网络设备安全管理系统,包括安全配置修复模块、设备缺陷检测模块和数据更新模块;
2.如权利要求1所述的网络设备安全管理系统,其特征在于,所述预设安全配置信息包括网络设备的预设基本信息和所述预设基本信息对应的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑和预设修改指令逻辑;其中,所述预设提取指令逻辑、预设对比指令逻辑和预设修改指令逻辑以类自然语言的形式分类存储。
3.如权利要求2所述的网络设备安全管理系统,其特征在于,所述网络设备的预设基本信息包括网络设备的品牌、型号、版本、子版本;
4.如权利要求3所述的网络设备安全管理系统,其特征在于,所述安全配置修复模块包括通信单元、问题扫描单元和问题修复单元;
5.如权利要求4所述的网络设备安全管理系统,其特征在于,所述通信单元还用于单独添加网络设备或批量自动添加多个网络设备。
6.如权利要求4所述的网络设备安全管理系统,其特征在于,所述问题扫描单元还用于:扫描全部网络设备的安全配置参数、扫描全部网络设备的安全配置参数中某一类型的安全配置项、查看历史扫描记录。
7.如权利要求1所述的网络设备安全管理系统,其特征在于,所述网络设备知识库包括通用库和特例库;
8.如权利要求1至7任一项所述的网络设备安全管理系统,其特征在于,所述网络设备安全管理系统还包括历史操作记录模块,所述历史操作记录模块用于记录并存储所述安全配置修复模块的工作日志。
9.一种网络设备安全管理方法,其特征在于,适用于如权利要求1至8任一项所述的网络设备安全管理系统,包括:
10.如权利要求9所述的一种网络设备安全管理方法,其特征在于,所述基于网络设备知识库中的预设安全配置信息对网络设备的安全配置参数进行修复,包括: