[发明专利]基于配置规范的主机安全配置漏洞自动修复方法及系统

说明书

技术领域

本发明属于信息安全技术领域， 是一种以安全基线配置规范为依据对不合格的主机安全配置漏洞进行自动修复的技术方案。

背景技术

随着攻击技术的快速发展，信息系统中信息资产的安全问题变得越来越重要。计算机主机及其操作系统是信息系统中最主要的信息资产之一，对主机及其操作系统实施安全基线监测和管理是一种保护信息系统中信息资产安全的重要方法之一。

信息安全基线配置监控和管理大多是通过对各类信息系统的信息资产配置合规性进行自动化检查，实时采集被监测范围内的各类信息系统的信息资产的相关配置，然后再通过将设备及系统的实时安全配置与安全基线库中的安全基线进行比对，准确发现和定位系统或设备存在的安全缺陷和风险，并做出相应报告，但缺乏相应自动修复手段。  

目前，一旦发现系统或设备中存在的安全缺陷和风险，政府机关、企事业单位针对存在安全风险的系统安全配置采用手动修复的方法。由于大多数政府机关和企事业单位中信息系统的信息资产数量庞大且安全基线种类繁多，这种方法不仅工作量大、繁琐，而且容易导致漏过某些配置而使得信息系统的信息资产面临风险。

针对信息系统的信息资产安全基线监测和管理问题，文献[1]阐述了网络安全基线的分类以及实现通信网络安全基线检查的工具化、自动化。文献[2]提供了基线知识库和检查列表集的构造过程，给出了针对不合格安全基线配置的整改意见。文献[3]将各项安全配置信息与定制的基线库进行比对，其比对结果可以形成各种报表输出，可以对结果提供专家建议和辅助性分析。文献[4]中提出了一种在windows服务端自动生成补丁下载列表的方法。上述方法都没有提出对安全配置漏洞实施自动修复，也没有系统地提供对主机安全配置漏洞的修复方法。

有关文献：[1]马广宇;沈菁. 如何更好地发挥通信网络安全基线的作用，2011. [2]邹玉林.面向信息安全等级测评的安全配置核查系统,2013.[3] 谌志华. 安全基线管理在企业中的应用.2013.[4]刘陪.基于OVAL漏洞检测的补丁管理系统研究与设计,2011。

发明内容

针对上述问题，本发明提出了一种基于安全基线配置规范的主机安全配置漏洞自动修复技术方案。 

本发明的技术方案提供一种基于配置规范的主机安全配置漏洞自动修复方法，包括预先根据安全基线配置规范建立安全配置基线库，然后基于安全配置基线库执行采集过程和修复过程；

所述安全配置基线库包含安全基线配置规范所涉及各安全配置基线项的基本信息，每个安全配置基线项的基本信息包括安全配置基线项名称、安全配置基线值，针对各种主机操作系统类型分别能够采用的安全配置采集方法及相应指令、安全配置漏洞修复方法及相应指令，和用于唯一标识安全配置基线项名称的安全配置基线项ID；

所述采集过程，包括根据安全配置基线项名称和主机操作系统类型确定安全配置采集方法及指令，实时采集主机的各项安全配置信息，得到配置数据；逐项将采集到的安全配置信息中安全配置值与安全配置基线库中的相应安全配置基线项进行比对，对不满足安全配置基线值的采集所得安全配置确定为安全配置漏洞，并把安全配置漏洞保存在安全配置漏洞库中，得到漏洞数据；所述安全配置漏洞库包含安全配置漏洞的基本信息，每个安全配置漏洞的基本信息中包括安全配置漏洞项名称、采集到的安全配置信息中安全配置值，和与安全配置基线项ID一致的安全配置漏洞ID；

所述修复过程，包括当安全配置漏洞库中有未修复的配置漏洞时，从安全配置漏洞库获取安全配置漏洞，根据安全配置漏洞ID从安全配置基线库获取相应安全配置基线项的安全配置基线值，并根据安全配置漏洞ID和主机操作系统类型确定安全配置漏洞修复方法及指令，对安全配置漏洞修复为安全配置基线值。

而且，对于每个安全配置基线项，各种主机操作系统类型分别能够采用的安全配置采集方法为以下三种之一，

从系统注册表中读取配置；

从系统配置文件读取配置；

执行系统配置指令获取配置。

而且，对于每个安全配置基线项，各种主机操作系统类型分别能够采用的安全配置漏洞修复方法为以下三种之一，

修改系统注册表；

修改系统配置文件内容；

执行系统配置指令进行修改。

本发明还相应提供一种基于配置规范的主机安全配置漏洞自动修复系统，包括以下模块；