[发明专利]一种安全配置核查设备和方法以及安全配置核查网络系统

说明书

技术领域

本发明涉及网络安全领域，尤其涉及用于对网络设备的安全配置进行核查的安全配置核查设备和核查方法，以及相应的网络系统。

背景技术

随着信息技术的不断发展，网络服务和网络应用也越来越多，承载这些网络服务和网络应用的服务器或者网络设备也在不断地上架。这些服务器或者网络设备的安全性也越来越被人们所重视。一个网络服务或应用被非法侵入，除了这些服务器或网络设备自身的漏洞外，最重要的原因是服务器或者网络设备的使用者对它们的配置不够安全。这些配置上的缺陷给了黑客的可乘之机，也给服务器或网络设备的使用者造成了重大的损害。

为了防止由于服务器或者网络设备的配置失误而造成的损失，网络管理员通常会对网络内的服务器或者网络设备的安全配置进行核查，对不符合安全配置规范的服务器或者网络设备进行安全加固。一些安全厂商已经提供了安全软件用于网络管理员对服务器或者网络设备的安全配置进行扫描。

传统上，某个服务器或者网络设备的提供商会提供“安全配置规范”，随后，在网络管理员根据该“安全配置规范”对服务器或者网络设备进行安全配置的同时，安全厂商会根据该“安全配置规范”来对这个服务器或者网络设备定制安全配置扫描方案。然后，安全厂商通过这个安全扫描方案对服务器或者网络设备进行安全配置扫描，并将扫描结果通知给网络管理员，进而规范服务器或者网络设备的安全配置。

随着，网络管理员要管理的服务器或者网络设备数量和种类不断增加，为了提高对这些网络设备进行安全配置核查的效率。本申请的申请人在先前申请号为201010549861.7的中国专利申请“一种安全配置核查设备和方法以及采用该设备的网络系统”中已经提出了一种可以由网络管理员或者服务器或者网络设备的使用者自行根据不同网络应用环境以及不同的服务器或者网络设备来灵活地定义自己的安全配置核查策略的安全配置核查方式，以便节约安全配置核查的成本和时间。

每个安全配置核查策略包括一个或者多个检查项。现有的检查项只能支持较为简单的检查内容。例如，现有的检查项可以包括用户缺省访问权限是否符合规范、telnet是否限制具备超级管理员权限的用户直接远程登录、ssh是否限制具备超级管理员权限的用户直接远程登录、采用静态口令认证技术的设备密码长度是否符合规范、采用静态口令认证技术的设备密码生存期是否满足规范、以及采用静态口令认证技术的设备不能使用最近指定次数内设置过的密码等。上面的这些简单检查项可以通过在网络设备上执行命令之类的简单方法就可以实现。然而，随着网络技术的不断发展，可能需要一些更为复杂的检查项，例如这些检查项甚至涉及网络设备和外部网络的交互等。目前的检查项没法完成这些复杂的检查内容，因此安全配置核查的功能和范围也就受到了一定的限制。

因此，希望有一种可以增强检查项的功能，从而扩大安全配置核查的范围的新的安全配置核查设备和方法。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的安全配置核查设备和方法以及采用该安全配置核查设备的网络系统。

根据本发明的一个方面，提供了一种安全配置核查设备，包括一个或者多个扫描策略，每个扫描策略对应于一种网络设备，其中每个扫描策略包括一个或者多个安全检查项，每个安全检查项与相对应网络设备上的安全配置相关联,其中一个或者多个安全检查项中的至少一个为可执行插件，可执行插件适于在网络设备上执行以核查网络设备的安全配置；扫描器，选择与网络设备相对应的扫描策略来对该网络设备进行安全扫描，其中对于所选择的扫描策略中的每个安全检查项，确定网络设备中的相关联安全配置是否合格，以及当安全检查项为可执行插件时，将可执行插件上载到网络设备上并执行，并根据可执行插件的执行结果来确定所述网络设备中的相关联安全配置是否合格。

根据本发明的安全配置核查设备将扫描策略中的安全检查项的功能扩展到可以在目标网络设备上执行的可执行插件。由于可执行插件可以执行复杂的操作，因此可以在目标网络设备上进行复杂的安全配置检查，从而可以扩展安全配置核查设备的功能。