[发明专利]一种安全配置核查设备和方法以及采用该设备的网络系统

说明书

技术领域

本发明涉及网络安全领域，尤其涉及用于对网络设备的安全配置进行核查的安全配置核查设备和方法，以及采用该安全配置核查设备的网络系统。 

背景技术

随着信息技术的不断发展，网络服务和网络应用也越来越多，承载这些网络服务和网络应用的服务器或者网络设备也在不断地上架。这些服务器或者网络设备的安全性也越来越被人们所重视。一个网络服务或应用被非法侵入，除了这些服务器或网络设备自身的漏洞外，最重要的原因是服务器或者网络设备的使用者对它们的配置不够安全。这些配置上的缺陷给了黑客的可乘之机，也给服务器或网络设备的使用者造成了重大的损害。 

为了防止由于服务器或者网络设备的配置失误而造成的损失，网络管理员通常会对网络内的服务器或者网络设备的安全配置进行核查，对不符合安全配置规范的服务器或者网络设备进行安全加固。一些安全厂商已经提供了安全软件用于网络管理员对服务器或者网络设备的安全配置进行扫描。 

图1示出了传统上对服务器或者网络设备进行安全配置核查的过程示意图。如图1所示，首先，某个服务器或者网络设备的提供者会提供“安全配置规范”，随后，在网络管理员根据该“安全配置规范”对服务器或者网络设备进行安全配置的同时，安全厂商会根据该“安全配置规范”来对这个服务器或者网络设备定制安全配置扫描方案。然后，安全厂商通过这个安全扫描方案对服务器或者网络设备进行安全配置扫描，并将扫描结果通知给网络管理员，进而规范服务器或者网络设备的安全配置。这样对该服务器或者网络设备的配置安全加固就完成了。 

然而，虽然利用图1所示的现有方案可以方便地对一台服务器或 者网络设备进行安全配置核查，但是该安全配置核查由于涉及到安全厂商的工作而消耗了大量的时间。如果网络环境中不仅仅具有一台服务器或者网络设备(一般的都是会有两台以上的不同服务器或者网络设备)，那么如果要想对其他的这些设备进行安全配置核查，就要重复地进行如图1所描述的过程。这就表示网络环境中的服务器或者网络设备种类越多，重复步骤也就越多，需要耗费的时间就更长。另外，在不同的网络应用场景下，对服务器或者网络设备的安全配置规范要求也有可能不一样的，因此需要安全厂商更多的工作，这进一步需要消耗更多的时间和精力。 

综上可以看出，需要一种可以由或者服务器或者网络设备的使用者或者由网络管理员自行根据不同网络应用环境以及不同的服务器或者网络设备来灵活地定义自己的安全配置核查策略的安全配置核查方式，以便节约成本和时间。 

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的安全配置核查设备和方法以及采用该安全配置核查设备的网络系统。 

根据本发明的一个方面，提供了一种用于对网络设备进行安全配置核查的安全配置核查设备，该设备包括：一个或者多个预先配置的扫描策略，每个预先配置的扫描策略对应于一种网络设备，其中每个扫描策略包括一个或者多个安全检查项，每个安全检查项与相对应网络设备上的安全配置相关联；扫描策略生成器，选择所述一个或者多个预先配置的扫描策略中的扫描策略来生成与选定网络设备相对应的新扫描策略，所述新扫描策略中的安全检查项选自所选择的预先配置扫描策略中的安全检查项；以及扫描器，利用所生成的新扫描策略对所选定网络设备进行安全扫描从而进行安全配置核查，其中针对所述新扫描策略中的每个安全检查项，确定所选定网络设备的安全配置是否满足与该安全检查项所指示的安全检查。 

根据本发明的安全配置核查设备可以根据预先配置的扫描策略来生成新扫描策略以便对网络设备进行安全配置核查，从而消除了安全厂商的介入，这大大节省了进行安全配置核查的时间。 

可选地，在所述扫描策略生成器中，通过对所选择扫描策略中的安全检查项进行修改来生成所述新扫描策略中的安全检查项。另外，所选择的扫描策略和所述新扫描策略对应于相同类型的网络设备。这样，可以根据预先配置的扫描策略更快速和准确地生成适于新网络设备和新网络应用环境的新扫描策略，从而进一步节省了对网络设备进行安全配置核查的时间。 

可选地，根据本发明的安全配置核查设备还包括报告生成器，其基于扫描器的安全扫描结果来生成有关网络设备的安全配置核查结果以及用于存储一个或者多个预先配置的扫描策略的扫描策略存储器。