[发明专利]基于配置规范的主机安全配置漏洞自动修复方法及系统

权利要求书

1.一种基于配置规范的主机安全配置漏洞自动修复方法，其特征在于：包括预先根据安全基线配置规范建立安全配置基线库，然后基于安全配置基线库执行采集过程和修复过程；

所述安全配置基线库包含安全基线配置规范所涉及各安全配置基线项的基本信息，每个安全配置基线项的基本信息包括安全配置基线项名称、安全配置基线值，针对各种主机操作系统类型分别能够采用的安全配置采集方法及相应指令、安全配置漏洞修复方法及相应指令，和用于唯一标识安全配置基线项名称的安全配置基线项ID；

所述采集过程，包括根据安全配置基线项名称和主机操作系统类型确定安全配置采集方法及指令，实时采集主机的各项安全配置信息，得到配置数据；逐项将采集到的安全配置信息中安全配置值与安全配置基线库中的相应安全配置基线项进行比对，对不满足安全配置基线值的采集所得安全配置确定为安全配置漏洞，并把安全配置漏洞保存在安全配置漏洞库中，得到漏洞数据；所述安全配置漏洞库包含安全配置漏洞的基本信息，每个安全配置漏洞的基本信息中包括安全配置漏洞项名称、采集到的安全配置信息中安全配置值，和与安全配置基线项ID一致的安全配置漏洞ID；

所述修复过程，包括当安全配置漏洞库中有未修复的配置漏洞时，从安全配置漏洞库获取安全配置漏洞，根据安全配置漏洞ID从安全配置基线库获取相应安全配置基线项的安全配置基线值，并根据安全配置漏洞ID和主机操作系统类型确定安全配置漏洞修复方法及指令，对安全配置漏洞修复为安全配置基线值。

2.根据权利要求1所述基于配置规范的主机安全配置漏洞自动修复方法，其特征在于：对于每个安全配置基线项，各种主机操作系统类型分别能够采用的安全配置采集方法为以下三种之一，

从系统注册表中读取配置；

从系统配置文件读取配置；

执行系统配置指令获取配置。

3.根据权利要求1或2所述基于配置规范的主机安全配置漏洞自动修复方法，其特征在于：对于每个安全配置基线项，各种主机操作系统类型分别能够采用的安全配置漏洞修复方法为以下三种之一，

修改系统注册表；

修改系统配置文件内容；

执行系统配置指令进行修改。

4.一种基于配置规范的主机安全配置漏洞自动修复系统，其特征在于：包括以下模块，

安全配置基线库模块，用于预先根据安全基线配置规范建立安全配置基线库，所述安全配置基线库包含安全基线配置规范所涉及各安全配置基线项的基本信息，每个安全配置基线项的基本信息包括安全配置基线项名称、安全配置基线值，针对各种主机操作系统类型分别能够采用的安全配置采集方法及相应指令、安全配置漏洞修复方法及相应指令，和用于唯一标识安全配置基线项名称的安全配置基线项ID；

采集模块，用于根据安全配置基线项名称和主机操作系统类型确定安全配置采集方法及指令，实时采集主机的各项安全配置信息，得到配置数据；逐项将采集到的安全配置信息中安全配置值与安全配置基线库中的相应安全配置基线项进行比对，对不满足安全配置基线值的采集所得安全配置确定为安全配置漏洞，并把安全配置漏洞保存在安全配置漏洞库中，得到漏洞数据；所述安全配置漏洞库包含安全配置漏洞的基本信息，每个安全配置漏洞的基本信息中包括安全配置漏洞项名称、采集到的安全配置信息中安全配置值，和与安全配置基线项ID一致的安全配置漏洞ID；

修复模块，用于当安全配置漏洞库中有未修复的配置漏洞时，从安全配置漏洞库获取安全配置漏洞，根据安全配置漏洞ID从安全配置基线库获取相应安全配置基线项的安全配置基线值，并根据安全配置漏洞ID和主机操作系统类型确定安全配置漏洞修复方法及指令，对安全配置漏洞修复为安全配置基线值。

5.根据权利要求4所述基于配置规范的主机安全配置漏洞自动修复系统，其特征在于：对于每个安全配置基线项中，各种主机操作系统类型分别能够采用的相应安全配置采集方法为以下三种之一，

从系统注册表中读取配置；

从系统配置文件读取配置；

执行系统配置指令获取配置。

6.根据权利要求4或5所述基于配置规范的主机安全配置漏洞自动修复系统，其特征在于：对于每个安全配置基线项，各种主机操作系统类型分别能够采用的安全配置漏洞修复方法为以下三种之一，

修改系统注册表；

修改系统配置文件内容；

执行系统配置指令进行修改。