[发明专利]设备配置的合规性检测方法

说明书

本发明公开一种设备配置合规性检测方法，将待检测设备加入核查设备列表，即实现自动核查，更具有通用性及智能化；定时读取核查设备列表文件，支持批量核查，设备地址及连接账号一次加载、全部执行；避免人工参与检测过程，减少手工配置的繁琐及中间步骤出现的不可靠性，有利于降低检测结果的误差。

技术领域

本发明属于网络安全技术领域， 尤其涉及用于对网络设备的配置是否合规进行检测的方法。

背景技术

随着信息技术的不断发展，网络服务和网络应用也越来越多，承载这些网络服务和网络应用的服务器或者网络设备也在不断地上架。这些服务器或者网络设备的安全性也越来越被人们所重视。一个网络服务或应用被非法侵入，除了这些服务器或网络设备自身的漏洞外，最重要的原因是服务器或者网络设备的使用者对它们的配置不够安全。这些配置上的缺陷给了黑客的可乘之机，也给服务器或网络设备的使用者造成了重大的损害。

为实现统一的配置标准以便规范日常的配置操作，快速有效地对网络中数量繁多的设备进行配置核查，一些厂家推出了配置核查系统，但许多都是人工手动核查，即使自动核查时也需人工指定设备厂商类型，并且多次连接设备执行命令，容易造成网络延迟、数据获取不全或丢失，导致核查结果不准确。因此，设备配置核查的效率有待进一步优化。

发明内容

鉴于上述背景，本发明提出一种设备配置合规性检测方法，实现批量、自动、准确核查网络设备配置项的合规性，具体技术方案如下所述。

设备配置的合规性检测方法，包括：

根据IP从核查设备列表获取设备对应的连接账号；登录连接目标设备并识别设备信息，执行命令导出设备的配置文件；读取所述配置文件，并根据所述设备信息加载对应的检测模板进行逐项检测；若指定配置项与模板不一致，和/或不符合所述检测模板的配置项数量达到预设值，则设备的当前配置文件检测不合规。

作为优选的，进行配置合规性检测之前，包括：创建用于保存待检测设备信息的核查设备列表；所述核查设备列表的设备信息至少包括厂商及型号、IP、连接协议、登录账户与密码。

所述根据IP从核查设备列表获取设备对应的连接账号，包括：定时查询所述核查设备列表，若具有待检测设备则同时加载列表中的全部设备信息，并行启动配置项检测。

所述核查设备列表的设备信息中的登录账户与密码进行加密保存。

所述导出的配置文件上传至指定路径后发起检测命令，所述检测命令包括设备厂商及型号、所述配置文件上传路径；根据所述路径读取配置文件并加载所述设备厂商及型号对应的检测模板，将配置文件的内容与检测模板进行匹配，若匹配成功则配置合规，否则配置不合规。

进一步的，若配置检测不合规，调用配置模板修改所述配置文件使之与模板一致；并将修改后的配置文件返回至设备，执行命令使配置修改生效。

更进一步，该设备配置合规性检测方法的具体步骤包括：

编写核查设备列表文件，输入需检测的设备IP及对应的连接账号；

于检测服务器上设备配置相应的进程，定时自动读取核查设备列表文件，依次连接需要检测的设备；

识别设备的厂商与型号，并执行配置导出命令，将导出的配置文件上传至tftp服务器，上传完成时以消息方式通知检测服务器上的检测进程，所述消息的内容包括设备厂商、型号与所述配置文件上传后的所在路径；

检测进程读取所述指定路径下的配置文件，并根据设备厂商自动加载该设备型号对应的核查模板，逐项对配置文件中的内容进行检测；

保存中间过程的检测记录，每个设备对应的配置项全部检测完成后，生成该设备对应的检测报告。