阅读说明：本技术 安全配置的核查方法与系统 (Method and system for checking security configuration ) 是由 李福宜 王平 陈宏伟 于 2020-04-26 设计创作，主要内容包括：本发明公开一种安全配置核查方法与核查系统,由核查引擎以任务的方式组织核查过程,通过在线或离线的方式检测用户系统、应用服务器、数据库、网络设备等是否存在具有安全隐患的配置,并输出核查结果；其中对于无法远程交互的目标端,通过下载并上传核查工具至目标端执行获取配置信息,或者从目标端导出配置文件由核查工具解析获取配置信息。该技术方案具有以下有益效果：提高了适用性,既可以对在线设备进行核查,也可以对离线设备进行核查,并且提高了核查效率、可靠性以及易用性。(The invention discloses a security configuration checking method and a security configuration checking system.A checking engine organizes a checking process in a task mode, detects whether a user system, an application server, a database, network equipment and the like have configurations with potential safety hazards or not in an online or offline mode, and outputs a checking result; for a target terminal which cannot be remotely interacted, the configuration information is acquired by downloading and uploading the checking tool to the target terminal, or the configuration file is exported from the target terminal and is analyzed by the checking tool to acquire the configuration information. The technical scheme has the following beneficial effects: the applicability is improved, the online equipment can be checked, the offline equipment can be checked, and the checking efficiency, reliability and usability are improved.)

安全配置的核查方法与系统

技术领域

本发明属于计算机网络安全技术领域，尤其是涉及一种用于对设备的安全配置进行核查的安全配置核查方法与核查系统。

背景技术

随着网络服务与应用的广泛使用，承载这些服务和应用的数据服务器与网络设备的安全性逐渐引起重视。使用专业的安全设备（如防火墙等）可以有有效阻断网络入侵。但是实际中，网络设备的管理者对设备的安全配置的缺陷，却给攻击者以可乘之机，使设备及数据暴露在威胁中，极易造成无法挽回的损失。

因此，为了避免网络设备的配置缺陷，网络管理员通常会对网络设备的配置进行核查，

对不符合安全配置规范的网络设备进行安全加固。现有的配置核查技术，手工核查方式效率较低且可靠性不足；通过向目标设备发送指令获取配置信息，再进行判断，这种方式虽然具有较高效率且通用性也较好，但是依赖网络实现，对于不允许以特定权限远程登录或者由于网络原因无法被远程登录，则这种核查方式就无法实现。

发明内容

鉴于上述背景，本发明提出一种适用更多场景的安全配置核查方法与系统，通过多方式实现的核查任务，克服上述技术问题，其具体的技术方案如下所述：

第一方面，提出一种安全配置的核查方法，包括：

远程登录目标端，执行获取安全配置信息的命令，将目标端返回的配置信息生成结果文件；解析所述结果文件，判断所述目标端的安全配置是否合规；

若无法与目标端直接远程交互：下载核查工具，拷贝至目标端执行，获取安全配置信息；或，从目标端导出其配置文件，调用核查工具解析配置文件，获取安全配置信息。

作为优选的，获取目标端的配置信息之前，还包括建立安全配置规则表，所述规则表中的每一条规则都规定一项合法的安全配置项参数；根据目标端类型，从所述规则表中选择与目标端的安全配置相关联的规则，建立核查策略；所述目标端类型包括安全设备、网络设备、中间件、数据库、服务器。

进一步的，获取目标端的配置信息之后，根据核查策略，解析所述结果文件得到所述目标端的安全配置项参数，依次判断是否与所述核查策略的规则相符，并输出核查结果至数据库保存。

所述安全配置规则包括：规则编号与插件编号, 规则名称、规则主类与子类, 风险等级、基线编号与基线要求；

每个所述的规则均对应一个插件且插件编号唯一，所述规则编号与插件编号相同或不同；

所述规则主类包括规则对应的目标端类型，所述规则子类包括目标端系统类型、网络设备类型、数据库类型、中间件类型的至少一个；

所述风险等级表示该规则被违反时对应的风险程度，所述基线要求包括该规则规定的安全配置项参数。

另一方面，提出一种安全配置的核查系统，设置核查端，用于对待核查的目标端进行配置核查，所述核查端包括：

核查管理模块，用于管理安全配置规则、核查策略与核查任务；建立安全配置规则表，每一条安全配置规则规定一项合法的安全配置项；根据待核查目标端信息，选择与其安全配置相关联的规则，建立核查策略；根据核查策略创建核查任务，根据任务信息获取待核查目标端的安全配置信息，解析得到安全配置参数，若与所述安全配置规则不一致则发生告警；

核查引擎模块，将从待核查目标端获取的配置信息生成结果文件，调用核查工具解析结果文件，判断文件中的安全配置信息是否与规则一致，并将核查结果输出至数据库保存。

如上所述，本发明的安全配置核查方法与系统，由核查引擎以任务的方式组织核查过程，通过在线或离线的方式检测用户系统、应用服务器、数据库、网络设备等是否存在具有安全隐患的配置，并输出核查结果；其中对于可远程交互的目标端，通过执行命令的方式获取配置信息；而对于无法远程交互的目标端，通过下载并上传核查工具至目标端执行获取配置信息，或者从目标端导出配置文件由核查工具解析获取配置信息。该技术方案具有以下有益效果：提高了适用性，既可以对在线设备进行核查，也可以对离线设备进行核查，并且提高了核查效率、可靠性以及易用性。

附图说明

图1为本发明的安全配置核查方法实施例，整体工作流程示意图；

图2为本发明的安全配置核查系统实施例，组成框图；

图3为图1中的，在线核查具体流程示意图；

图4为图1中的，离线核查具体流程示意。

具体实施方式

首先对与配置核查相关的技术进行进一步说明。

通常，网络设备的提供商会提供规范的设备安全配置，以便设备的网络管理员根据该规范对进行配置，同时，设置专门的核查设备对该网络设备定制安全配置核查方案，通过这个安全配置核查方案对网络设备进行安全配置扫描，并将扫描结果通知给网络管理员，进而规范服务器或者网络设备的配置项，保证设备的安全稳定运行。例如，扫描设备配置中的一项或多项以下内容：缺省访问权限、相关协议是否限制超级管理员用户直接远程登录、采用弱密码检测技术检查网络设备密码长度、内容及有效期是否符合规范等。

但是，实现上述配置安全扫描的前提是能够远程连接并且具有特定访问及操作权限，实际情况却是，一些内部网络及其网络设备出于安全考虑，会禁止远程登录到本地，比如通过禁用smb、ssh或者telnet这些远程连接的服务，来限制外部用户或设备以远程方式进行网络设备的扫描，这就造成无法对网络设备进行安全配置扫描，导致暴露在互联网中的设备存在安全隐患。

下面通过实施例，并结合附图对本发明的安全配置核查方法与系统的技术方案，进行详细说明。

如图1所示，一种安全配置的核查方法，包括：建立安全配置规则表，根据目标端的类型，从安全配置规则表中选择与其安全配置关联的规则，建立核查策略，判断目标端是否可远程交互。

对于可远程交互的目标端，当监听到任务开始时，根据任务信息远程登录目标端，执行获取安全配置信息的命令；接收目标端返回的配置信息；

若无法与目标端直接进行远程交互：

一种是从下载核查脚本，并拷贝至目标端执行，获取安全配置信息；另一种是从目标端导出其配置文件，调用文件核查脚本，获取安全配置信息。

将通过上述在线或离线方式获取的安全配置信息生成结果文件；根据核查策略调用核查插件，解析配置信息，判断是否与所述规则相符，并将核查结果保存至数据库，同时可以输出核查报表。

作为优选的实施方式，所述规则表中的每一条规则都规定一项合法的安全配置项。

对于可远程交互的目标端，所述监听还包括监听任务的停止、删除与继续；

所述任务信息包括：任务ID、任务动作、任务执行方式，所述任务ID包括由任务创建时间生成的随机码，所述任务动作包括创建、开始、停止、删除、继续，所述任务执行方式包括不执行、立即执行、定时一次执行、定时周期执行，

所述任务信息还包括：策略名或策略ID、目标端信息，所述目标端信息包括IP或IP段、目标端操作系统、目标端类型，所述目标端类型包括安全设备、网络设备、中间件、数据库、服务器。

作为一种优选的实施方式，上述的安全配置规则包括：

规则编号与插件编号；每个规则对应一个插件且插件编号唯一，所述规则编号与插件编号相同或不同；

规则名称、规则主类与子类、目标端厂商；所述规则主类包括规则对应的目标端类型，所述规则子类包括目标端系统类型、网络设备类型、数据库类型、中间件类型；

风险等级、基线编号、基线要求、加固方案；所述风险等级表示该规则被违反时对应的风险程度，包括从低到高的信息、低风险、中风险、高风险、紧急；所述基线要求包括该规则规定的安全配置项与其参数；所述加固方案包括该规则被违反时的整改内容。

所述核查结果包括：结果编号与对应的核查任务编号，核查出的漏洞编号，目标端IP地址与实际的安全配置信息；所述漏洞编号与所述规则编号相同。所述核查结果以XML文件保存。

进一步的，若存在配置项与所述核查策略的规则不一致则进行告警。

如图2所示，安全配置的核查系统，设置核查端，用于对待核查的目标端进行配置核查，所述核查端包括：

核查管理模块，用于管理安全配置规则、核查策略与核查任务；建立安全配置规则表，每一条安全配置规则规定一项合法的安全配置项；根据待核查目标端信息，选择与其安全配置相关联的规则，建立核查策略；根据核查策略创建核查任务，根据任务信息获取待核查目标端的安全配置信息，解析得到安全配置参数，若与所述安全配置规则不一致则发生告警；

核查引擎模块，将从待核查目标端获取的配置信息生成结果文件，调用核查工具解析结果文件，判断文件中的安全配置信息是否与规则一致，并将核查结果输出至数据库保存。

若所述核查端可与目标端直接远程交互，当监听到核查任务启动，创建进程执行所述核查任务，远程登录目标端获取安全配置信息；

若所述核查端无法与目标端直接远程交互，从核查端下载核查工具，拷贝并上传至待核查目标端执行，获取目标端的安全配置信息，

或，从目标端导出其配置文件，调用核查工具解析，获取目标端的安全配置信息。

所述核查工具包括插件和/或脚本，内容包括规则ID与核查命令；所述核查结果以XML文件保存。

实施例一

如图3所示的在线核查方案。

首先是配置核查引擎，包括：

（1）建立以规则编号作为主键的设备安全配置规则表，该规则表的每一条规则都规定一项合法的安全配置项参数，规则的具体内容包括：规则名称，设备主类与子类，厂商，风险等级，基线信息以及加固方案。

所述的规则名称如“密码内容组成”，“密码长度”等。

所述主类包括规则对应的目标端类型，例如主机、网络设备、中间件、数据库等；所述规则子类如：主机主类下的子类AIX、Linux、windows、solaris、HP-UX等，网络设备主类下的子类路由器、交换机等，数据库主类下的子类Oracle、mysql、sqlserver、informix等，中间件主类下的子类Apache、PHP、Tomcat、Jboss、Weblogic、Websphere、Resin、Lighttpd、Zeus、Jetty等。

所述厂商如网络设备的华为、思科、H3C、锐捷等。此处需要说明的是，如果设备子类为Linux，此处的厂商项为fedor、readhat、centos、ubantu、kylin等；如果设备子类为windows，则此处的厂商项为windows7、windows8、windows10、windows server 2000、windows server 2003等。

所述风险等级表示该规则被违反时对应的风险程度，可以使用数字表示风险级别，例如1-无风险、2-低风险、3-中风险、4-高风险、5-紧急；例如规则要求密码组成内容包括数字、字母与符号三种，则当某项设备的密码内容组成只有数字与字母时，可以将其风险程度表示为中风险。

所述基线信息，包括基线要求，例如规定密码长度至少为16字符，则如果设备的登录密码长度不满16字符，则该设备的该项安全配置参数不合规。

所述加固方案，用于列出规则被违反时的加固措施等，便于网络管理员快速定位和整改。

所述基线要求包括该规则规定的安全配置项参数。

（2）当存在待核查的设备时，根据该设备的类型（主类与子类），比如某项设备属于网络设备中的交换机、厂商为H3C，根据该信息可以从规则表中取出相符合的规则，然后根据核查需求，选择其中的若干条规则作为核查策略并规定唯一的策略编号（即策略ID）。此处需要说明的是，为了便于对同类型设备进行同样需求的配置核查，可以将该已建立的核查策略存储为一个策略模板，以边后续设备核查调用，提高核查效率。

（3）根据上述的核查策略，建立核查任务，包括任务ID、任务动作、任务执行方式。

所述任务ID可以是根据该任务创建时的时间生成随机码；

所述任务动作包括创建、开始、停止、删除、继续，任务执行方式包括选择不执行、立即执行、定时一次执行、定时周期执行之一；

任务信息还包括：选择执行的策略名级ID、待核查目标设备的信息，所述目标设备信息包括IP或IP段、目标端的操作系统、目标端的类型等。

其次是配置核查插件，根据上述的核查策略，配置相应的核查插件，用于解析配置信息并判断合规性。所述的插件为可执行应用，包括规则ID及对应的核查命令。核查插件可以使用java、phthon等计算机语言编写而成。

核查引擎监听本地TCP端口，例如，当监听到某项立即执行的任务启动（开始）时，为该核查任务创建相应的执行进程，解析任务信息：根据目标设备信息，远程登录目标设备，输入获取配置信息的命令，将配置信息存储到XML格式的结果文件中；根据核查策略调用相应的核查插件，核查命令根据规则ID获取相应的规则信息，然后将获取到的设备配置信息与规则信息进行匹配，判断是否一致，若一致则表示设备的安全配置合规，若不一致则表示设备的安全配置不合规，发出告警，并将核查结果输出显示。当坚挺到任务停止等操作时，执行进程做出对应的响应操作，并将当前任务的状态输出显示。

实施例二

如图4所示的离线核查方案。

与实施例一相同，建立安全配置规则表并创建核查策略与核查任务。

对于离线核查，通过freemaker模板引擎生成用于获取特定设备配置信息的核查脚本，脚本为可执行应用。freemaker是一种基于模板和要改变的数据，并用来生成输出文本（HTML网页、电子邮件、配置文件、源代码等）的通用工具，它是一个Java类库，可以嵌入所开发产品的组件。通过将目标设备信息输入该模板引擎即可生成相应的核查脚本。实际中，可以将脚本保存到核查端，如果有设备需要进行离线核查，则从核查端能便捷的下载到相应的核查脚本。

将对应的核查脚本，拷贝或从内网上传至待核查的目标设备进行执行，核查脚本获取到该目标设备的配置信息，并生成结果文件。

然后按照与实施例一相同的核查步骤，解析结果文件，将设备的配置信息与规则进行匹配，判断是否合规。

对于不方便拷贝的目标客户端，还有另一种获取其配置信息的方式。通过直接在设备执行相应的命令获取设备配置文件，然后将该配置文件导入到漏扫系统中进行扫描，生成结果文件，然后根据前述的在线核查方案，根据核查策略调用相应的核查插件进行漏洞检查，并输出核查结果。

如上所述的技术方案，由核查引擎以任务的方式组织核查过程，通过在线或离线的方式检测用户系统、应用服务器、数据库、网络设备等是否存在具有安全隐患的配置，并输出核查结果。提高了适用性，既可以对在线设备进行核查，也可以对离线设备进行核查，并且提高了核查效率、可靠性以及易用性。