[发明专利]安全配置的核查方法与系统

说明书

本发明公开一种安全配置核查方法与核查系统，由核查引擎以任务的方式组织核查过程，通过在线或离线的方式检测用户系统、应用服务器、数据库、网络设备等是否存在具有安全隐患的配置，并输出核查结果；其中对于无法远程交互的目标端，通过下载并上传核查工具至目标端执行获取配置信息，或者从目标端导出配置文件由核查工具解析获取配置信息。该技术方案具有以下有益效果：提高了适用性，既可以对在线设备进行核查，也可以对离线设备进行核查，并且提高了核查效率、可靠性以及易用性。

技术领域

本发明属于计算机网络安全技术领域，尤其是涉及一种用于对设备的安全配置进行核查的安全配置核查方法与核查系统。

背景技术

随着网络服务与应用的广泛使用，承载这些服务和应用的数据服务器与网络设备的安全性逐渐引起重视。使用专业的安全设备（如防火墙等）可以有有效阻断网络入侵。但是实际中，网络设备的管理者对设备的安全配置的缺陷，却给攻击者以可乘之机，使设备及数据暴露在威胁中，极易造成无法挽回的损失。

因此，为了避免网络设备的配置缺陷，网络管理员通常会对网络设备的配置进行核查，

对不符合安全配置规范的网络设备进行安全加固。现有的配置核查技术，手工核查方式效率较低且可靠性不足；通过向目标设备发送指令获取配置信息，再进行判断，这种方式虽然具有较高效率且通用性也较好，但是依赖网络实现，对于不允许以特定权限远程登录或者由于网络原因无法被远程登录，则这种核查方式就无法实现。

发明内容

鉴于上述背景，本发明提出一种适用更多场景的安全配置核查方法与系统，通过多方式实现的核查任务，克服上述技术问题，其具体的技术方案如下所述：

第一方面，提出一种安全配置的核查方法，包括：

远程登录目标端，执行获取安全配置信息的命令，将目标端返回的配置信息生成结果文件；解析所述结果文件，判断所述目标端的安全配置是否合规；

若无法与目标端直接远程交互：下载核查工具，拷贝至目标端执行，获取安全配置信息；或，从目标端导出其配置文件，调用核查工具解析配置文件，获取安全配置信息。

作为优选的，获取目标端的配置信息之前，还包括建立安全配置规则表，所述规则表中的每一条规则都规定一项合法的安全配置项参数；根据目标端类型，从所述规则表中选择与目标端的安全配置相关联的规则，建立核查策略；所述目标端类型包括安全设备、网络设备、中间件、数据库、服务器。

进一步的，获取目标端的配置信息之后，根据核查策略，解析所述结果文件得到所述目标端的安全配置项参数，依次判断是否与所述核查策略的规则相符，并输出核查结果至数据库保存。

所述安全配置规则包括：规则编号与插件编号, 规则名称、规则主类与子类, 风险等级、基线编号与基线要求；

每个所述的规则均对应一个插件且插件编号唯一，所述规则编号与插件编号相同或不同；

所述规则主类包括规则对应的目标端类型，所述规则子类包括目标端系统类型、网络设备类型、数据库类型、中间件类型的至少一个；

所述风险等级表示该规则被违反时对应的风险程度，所述基线要求包括该规则规定的安全配置项参数。

另一方面，提出一种安全配置的核查系统，设置核查端，用于对待核查的目标端进行配置核查，所述核查端包括：

核查管理模块，用于管理安全配置规则、核查策略与核查任务；建立安全配置规则表，每一条安全配置规则规定一项合法的安全配置项；根据待核查目标端信息，选择与其安全配置相关联的规则，建立核查策略；根据核查策略创建核查任务，根据任务信息获取待核查目标端的安全配置信息，解析得到安全配置参数，若与所述安全配置规则不一致则发生告警；