[发明专利]安全配置核查系统和方法

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种安全配置核查系统和方法。

背景技术

随着信息技术的不断发展，网络服务和网络应用也越来越多，承载这些网络服务和网络应用的服务器（或者其他网络设备）的安全性也越来越被人们所重视。据统计，网络服务或应用被非法侵入的原因除了网络设备自身存在漏洞外，更重要的是网络设备的使用者对它们的配置可能存在缺陷。网络设备配置上的缺陷给了黑客以可乘之机，从而使得暴露在网络中的网络设备存在安全隐患。

为了避免网络设备的配置缺陷，网络管理员通常会对网络设备的配置进行核查，对不符合安全配置规范的网络设备进行安全加固。一些安全厂商已经提供了安全软件以供网络管理员对网络设备的配置进行扫描。

传统上，网络设备的提供商会提供“安全配置规范”，随后，在网络管理员根据该“安全配置规范”对服务器或者网络设备进行配置的同时，安全厂商提供的安全软件会根据该“安全配置规范”来对该网络设备定制安全配置扫描方案。然后，安全厂商通过这个安全配置扫描方案对网络设备进行安全配置扫描，并将扫描结果通知给网络管理员，进而规范服务器或者网络设备的安全配置。通常，在对网络设备进行安全配置扫描时，扫描结果一般可以包括下述安全检查项中的一项或多项：

用户缺省访问权限是否符合规范、telnet是否限制具备超级管理员权限的用户直接远程登录、ssh是否限制具备超级管理员权限的用户直接远程登录、采用静态口令认证技术的网络设备密码长度是否符合规范、采用静态口令认证技术的网络设备密码生存期是否满足规范等。

获得上述扫描结果的前提是执行安全配置扫描方案的设备（以下简称扫描执行设备）被分配有针对网络设备的特定权限。然而在实际应用中，一些需要进行安全配置核查的网络设备出于安全考虑，会不允许扫描执行设备远程登录到本地来执行安全配置扫描方案。比如网络设备可以通过禁用smb、ssh或者telnet这些远程连接的服务，来限制扫描执行设备以远程方式进行网络设备的扫描。这样，扫描执行设备便无法对网络设备进行安全配置扫描，导致暴露在网络中的网络设备存在安全隐患。

发明内容

本发明实施例提供一种安全配置核查系统和方法，用以解决现有技术中网络设备在不开放远程连接服务的情况下而无法进行安全配置扫描的问题。

本发明实施例采用以下技术方案：

一种安全配置核查系统，包括：

下载设备，用于将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中；离线检查设备，用于对网络设备进行安全配置扫描，生成扫描结果；根据所述扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足所述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据，并以Post方式发送给安全配置核查设备；其中，所述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置；安全配置核查设备，用于接收采用Post方式发送的各类数据；并在按照所述数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据的第一指定位置解析出扫描结果。

一种安全配置核查方法，包括：

下载设备将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中；离线检查设备对网络设备进行安全配置扫描，生成扫描结果；离线检查设备根据所述扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足所述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据；并以Post方式将扫描结果数据发送给安全配置核查设备；安全配置核查设备接收各类数据；并在按照预先设置的数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据的第一指定位置解析出扫描结果；其中，所述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置。

发明实施例的有益效果如下：