[发明专利]网络设备安全配置合规性批量检查方法

说明书

本发明公开了一种网络设备安全配置合规性批量检查方法，包括以下步骤：（1）设置安全基线配置文件；（2）设置标准配置文件；（3）对网络设备配置变动进行检测；（4）网络设备配置变更审核，完成网络设备安全配置合规性检查。本发明的检查方法实现了所有网络交换机、路由器、防火墙等网络设备配置检查自动化比，对策略变更的情况，网络管理员可第一时间获取确认策略变更信息，核查准确率高，从而保障信息网络设备安全稳定运行。

技术领域

本发明属于网络设备安全检测技术领域，具体涉及一种网络设备安全配置合规性批量检查方法。

背景技术

网络设备及部件是连接到网络中的物理实体，不论是局域网、城域网还是广域网，在物理上通常都是由网络设备和传输介质组成的。其中网络设备包括中继器、网桥、交换机、路由器、网关等基本网络设备及防火墙、防毒墙、入侵防御等网络安全设备。

网络设备的安全始终是信息网络安全的一个重要方面，如果网络设备本身的安全配置存在脆弱性，攻击者能够通过攻击控制网络设备来破坏系统和信息，严重时会导致信息泄露及网络出现大面积瘫痪。只有网络中所有结点都安全了，才能保证网络状况是安全的。通过构建有效的信息网络设备安全配置基线标准，并结合技术实现所有交换机、路由器、防火墙等网络设备策略变更情况的自动核查，能够提高各层级结点的有效安全防护，对提升企业信息系统安全稳定运行和保障安全生产具有重要意义。

然而，随着网络建设的不断发展，网络设备数量越来越多，设备品牌型号也越来越杂，导致设备安全配置方法各有不同，容易出现配置漏项、添项等错误；目前网络设备日常配置核查通常采用人工检查的方式，其不仅工作量巨大，而且效率低，容易出现检查漏项，无法确保严格执行网络配置安全设置要求；由于人工检查方式工作量大，容易导致管理员梳于检查，对网络设备安全现况缺乏了解，降低了网络安全防护能力。

发明内容

本发明的目的在于针对现有技术中存在的不足，提供了一种简单可行、检测效率高的网络设备安全配置合规性批量检查方法。

为了实现上述目的，本发明采用以下技术方案：

一种网络设备安全配置合规性批量检查方法，包括以下步骤：

（1）设置安全基线配置文件，即按照网络设备安全配置要求对网络设备设置对应的安全基线配置文件；

（2）设置标准配置文件，即使用步骤（1）中的安全基线配置文件对网络设备在运配置文件进行检测，对在运配置文件中不符合安全要求的配置项进行修改，确认在运配置文件的全部配置项符合安全要求后，将在运配置文件保存为网络设备的标准配置文件；

（3）对网络设备配置变动进行检测：

首先，获取网络设备的当前在运配置项，并且将其自动保存为网络设备的当前在运配置文件；

然后，每日定时使用步骤（2）的标准配置文件对自动保存的当前在运配置文件进行比较检测，生成检测结果文件，列出当前在运配置文件具体变动项；

（4）网络设备配置变更审核，即网络管理员通过检测结果文件对网络设备的当前在运配置变动项进行审核，如果变动项是需要保留的则将对标准配置文件进行更新，如果变动项是不需要保留的则考虑从网络设备的当前在运配置中删除或者延后处理；完成网络设备安全配置合规性检查。

本发明的优点：

1. 本发明实现了所有网络交换机、路由器、防火墙等网络设备配置规范化，避免出现配置漏项、添项等错误。

2. 本发明实现了所有网络交换机、路由器、防火墙等网络设备配置检查自动化比，对策略变更的情况，网络管理员可第一时间获取确认策略变更信息，从而保障信息网络设备安全稳定运行。

3. 本发明实现了所有网络交换机、路由器、防火墙等网络设备安全基线核查准确率100%，提高了信息系统安全防护水平。