基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)方法及系統(tǒng)的制作方法
【專(zhuān)利摘要】一種基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)方法及系統(tǒng),包括預(yù)先根據(jù)安全基線配置規(guī)范建立安全配置基線庫(kù),安全配置基線庫(kù)包含安全基線配置規(guī)范所涉及各安全配置基線項(xiàng)的基本信息;根據(jù)主機(jī)操作系統(tǒng)類(lèi)型確定安全配置采集方法及指令,實(shí)時(shí)采集主機(jī)的各項(xiàng)安全配置信息,比對(duì)得到安全配置漏洞并保存在安全配置漏洞庫(kù)中;根據(jù)主機(jī)操作系統(tǒng)類(lèi)型確定安全配置漏洞修復(fù)方法及指令,對(duì)安全配置漏洞修復(fù)為安全配置基線值。該發(fā)明的技術(shù)方案采用自動(dòng)化的主機(jī)安全配置修復(fù)方法,相對(duì)于以前采用人工進(jìn)行主機(jī)安全配置修復(fù)方法,可以極大地提高主機(jī)系統(tǒng)安全基線監(jiān)測(cè)和管理過(guò)程中安全配置修正工作的效率和準(zhǔn)確性。
【專(zhuān)利說(shuō)明】基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于信息安全【技術(shù)領(lǐng)域】,是一種以安全基線配置規(guī)范為依據(jù)對(duì)不合格的 主機(jī)安全配置漏洞進(jìn)行自動(dòng)修復(fù)的技術(shù)方案。
【背景技術(shù)】
[0002] 隨著攻擊技術(shù)的快速發(fā)展,信息系統(tǒng)中信息資產(chǎn)的安全問(wèn)題變得越來(lái)越重要。計(jì) 算機(jī)主機(jī)及其操作系統(tǒng)是信息系統(tǒng)中最主要的信息資產(chǎn)之一,對(duì)主機(jī)及其操作系統(tǒng)實(shí)施安 全基線監(jiān)測(cè)和管理是一種保護(hù)信息系統(tǒng)中信息資產(chǎn)安全的重要方法之一。
[0003] 信息安全基線配置監(jiān)控和管理大多是通過(guò)對(duì)各類(lèi)信息系統(tǒng)的信息資產(chǎn)配置合規(guī) 性進(jìn)行自動(dòng)化檢查,實(shí)時(shí)采集被監(jiān)測(cè)范圍內(nèi)的各類(lèi)信息系統(tǒng)的信息資產(chǎn)的相關(guān)配置,然后 再通過(guò)將設(shè)備及系統(tǒng)的實(shí)時(shí)安全配置與安全基線庫(kù)中的安全基線進(jìn)行比對(duì),準(zhǔn)確發(fā)現(xiàn)和定 位系統(tǒng)或設(shè)備存在的安全缺陷和風(fēng)險(xiǎn),并做出相應(yīng)報(bào)告,但缺乏相應(yīng)自動(dòng)修復(fù)手段。 目前,一旦發(fā)現(xiàn)系統(tǒng)或設(shè)備中存在的安全缺陷和風(fēng)險(xiǎn),政府機(jī)關(guān)、企事業(yè)單位針對(duì)存在 安全風(fēng)險(xiǎn)的系統(tǒng)安全配置采用手動(dòng)修復(fù)的方法。由于大多數(shù)政府機(jī)關(guān)和企事業(yè)單位中信息 系統(tǒng)的信息資產(chǎn)數(shù)量龐大且安全基線種類(lèi)繁多,這種方法不僅工作量大、繁瑣,而且容易導(dǎo) 致漏過(guò)某些配置而使得信息系統(tǒng)的信息資產(chǎn)面臨風(fēng)險(xiǎn)。
[0004] 針對(duì)信息系統(tǒng)的信息資產(chǎn)安全基線監(jiān)測(cè)和管理問(wèn)題,文獻(xiàn)[1]闡述了網(wǎng)絡(luò)安全基 線的分類(lèi)以及實(shí)現(xiàn)通信網(wǎng)絡(luò)安全基線檢查的工具化、自動(dòng)化。文獻(xiàn)[2]提供了基線知識(shí)庫(kù) 和檢查列表集的構(gòu)造過(guò)程,給出了針對(duì)不合格安全基線配置的整改意見(jiàn)。文獻(xiàn)[3]將各項(xiàng) 安全配置信息與定制的基線庫(kù)進(jìn)行比對(duì),其比對(duì)結(jié)果可以形成各種報(bào)表輸出,可以對(duì)結(jié)果 提供專(zhuān)家建議和輔助性分析。文獻(xiàn)[4]中提出了一種在windows服務(wù)端自動(dòng)生成補(bǔ)丁下載 列表的方法。上述方法都沒(méi)有提出對(duì)安全配置漏洞實(shí)施自動(dòng)修復(fù),也沒(méi)有系統(tǒng)地提供對(duì)主 機(jī)安全配置漏洞的修復(fù)方法。
[0005] 有關(guān)文獻(xiàn):[1]馬廣宇;沈菁.如何更好地發(fā)揮通信網(wǎng)絡(luò)安全基線的作用,2011.
[2]鄒玉林.面向信息安全等級(jí)測(cè)評(píng)的安全配置核查系統(tǒng),2013. [3]諶志華.安全基 線管理在企業(yè)中的應(yīng)用.2013. [4]劉陪.基于OVAL漏洞檢測(cè)的補(bǔ)丁管理系統(tǒng)研究與設(shè) 計(jì),2011。
【發(fā)明內(nèi)容】
[0006] 針對(duì)上述問(wèn)題,本發(fā)明提出了一種基于安全基線配置規(guī)范的主機(jī)安全配置漏洞自 動(dòng)修復(fù)技術(shù)方案。
[0007] 本發(fā)明的技術(shù)方案提供一種基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)方法,包 括預(yù)先根據(jù)安全基線配置規(guī)范建立安全配置基線庫(kù),然后基于安全配置基線庫(kù)執(zhí)行采集過(guò) 程和修復(fù)過(guò)程; 所述安全配置基線庫(kù)包含安全基線配置規(guī)范所涉及各安全配置基線項(xiàng)的基本信息,每 個(gè)安全配置基線項(xiàng)的基本信息包括安全配置基線項(xiàng)名稱(chēng)、安全配置基線值,針對(duì)各種主機(jī) 操作系統(tǒng)類(lèi)型分別能夠采用的安全配置采集方法及相應(yīng)指令、安全配置漏洞修復(fù)方法及相 應(yīng)指令,和用于唯一標(biāo)識(shí)安全配置基線項(xiàng)名稱(chēng)的安全配置基線項(xiàng)ID ; 所述采集過(guò)程,包括根據(jù)安全配置基線項(xiàng)名稱(chēng)和主機(jī)操作系統(tǒng)類(lèi)型確定安全配置采集 方法及指令,實(shí)時(shí)采集主機(jī)的各項(xiàng)安全配置信息,得到配置數(shù)據(jù);逐項(xiàng)將采集到的安全配置 信息中安全配置值與安全配置基線庫(kù)中的相應(yīng)安全配置基線項(xiàng)進(jìn)行比對(duì),對(duì)不滿足安全配 置基線值的采集所得安全配置確定為安全配置漏洞,并把安全配置漏洞保存在安全配置漏 洞庫(kù)中,得到漏洞數(shù)據(jù);所述安全配置漏洞庫(kù)包含安全配置漏洞的基本信息,每個(gè)安全配置 漏洞的基本信息中包括安全配置漏洞項(xiàng)名稱(chēng)、采集到的安全配置信息中安全配置值,和與 安全配置基線項(xiàng)ID -致的安全配置漏洞ID ; 所述修復(fù)過(guò)程,包括當(dāng)安全配置漏洞庫(kù)中有未修復(fù)的配置漏洞時(shí),從安全配置漏洞庫(kù) 獲取安全配置漏洞,根據(jù)安全配置漏洞ID從安全配置基線庫(kù)獲取相應(yīng)安全配置基線項(xiàng)的 安全配置基線值,并根據(jù)安全配置漏洞ID和主機(jī)操作系統(tǒng)類(lèi)型確定安全配置漏洞修復(fù)方 法及指令,對(duì)安全配置漏洞修復(fù)為安全配置基線值。
[0008] 而且,對(duì)于每個(gè)安全配置基線項(xiàng),各種主機(jī)操作系統(tǒng)類(lèi)型分別能夠采用的安全配 置采集方法為以下三種之一, X從系統(tǒng)注冊(cè)表中讀取配置; +1從系統(tǒng)配置文件讀取配置; S執(zhí)行系統(tǒng)配置指令獲取配置。
[0009] 而且,對(duì)于每個(gè)安全配置基線項(xiàng),各種主機(jī)操作系統(tǒng)類(lèi)型分別能夠采用的安全配 置漏洞修復(fù)方法為以下三種之一, ..D修改系統(tǒng)注冊(cè)表; f:修改系統(tǒng)配置文件內(nèi)容; 甚執(zhí)行系統(tǒng)配置指令進(jìn)行修改。
[0010] 本發(fā)明還相應(yīng)提供一種基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)系統(tǒng),包括以 下模塊; 安全配置基線庫(kù)模塊,用于預(yù)先根據(jù)安全基線配置規(guī)范建立安全配置基線庫(kù),所述安 全配置基線庫(kù)包含安全基線配置規(guī)范所涉及各安全配置基線項(xiàng)的基本信息,每個(gè)安全配置 基線項(xiàng)的基本信息包括安全配置基線項(xiàng)名稱(chēng)、安全配置基線值,針對(duì)各種主機(jī)操作系統(tǒng)類(lèi) 型分別能夠采用的安全配置采集方法及相應(yīng)指令、安全配置漏洞修復(fù)方法及相應(yīng)指令,和 用于唯一標(biāo)識(shí)安全配置基線項(xiàng)名稱(chēng)的安全配置基線項(xiàng)ID ; 采集模塊,用于根據(jù)安全配置基線項(xiàng)名稱(chēng)和主機(jī)操作系統(tǒng)類(lèi)型確定安全配置采集方法 及指令,實(shí)時(shí)采集主機(jī)的各項(xiàng)安全配置信息,得到配置數(shù)據(jù);逐項(xiàng)將采集到的安全配置信息 中安全配置值與安全配置基線庫(kù)中的相應(yīng)安全配置基線項(xiàng)進(jìn)行比對(duì),對(duì)不滿足安全配置基 線值的采集所得安全配置確定為安全配置漏洞,并把安全配置漏洞保存在安全配置漏洞庫(kù) 中,得到漏洞數(shù)據(jù);所述安全配置漏洞庫(kù)包含安全配置漏洞的基本信息,每個(gè)安全配置漏洞 的基本信息中包括安全配置漏洞項(xiàng)名稱(chēng)、采集到的安全配置信息中安全配置值,和與安全 配置基線項(xiàng)ID -致的安全配置漏洞ID ; 修復(fù)模塊,用于當(dāng)安全配置漏洞庫(kù)中有未修復(fù)的配置漏洞時(shí),從安全配置漏洞庫(kù)獲取 安全配置漏洞,根據(jù)安全配置漏洞ID從安全配置基線庫(kù)獲取相應(yīng)安全配置基線項(xiàng)的安全 配置基線值,并根據(jù)安全配置漏洞ID和主機(jī)操作系統(tǒng)類(lèi)型確定安全配置漏洞修復(fù)方法及 指令,對(duì)安全配置漏洞修復(fù)為安全配置基線值。
[0011] 而且,對(duì)于每個(gè)安全配置基線項(xiàng),各種主機(jī)操作系統(tǒng)類(lèi)型分別能夠采用的安全配 置采集方法為以下三種之一, +X從系統(tǒng)注冊(cè)表中讀取配置; I:從系統(tǒng)配置文件讀取配置; +1:執(zhí)行系統(tǒng)配置指令獲取配置。
[0012] 而且,對(duì)于每個(gè)安全配置基線項(xiàng),各種主機(jī)操作系統(tǒng)類(lèi)型分別能夠采用的安全配 置漏洞修復(fù)方法為以下三種之一, 修改系統(tǒng)注冊(cè)表; 1修改系統(tǒng)配置文件內(nèi)容; 甚執(zhí)行系統(tǒng)配置指令進(jìn)行修改。
[0013] 本發(fā)明提出根據(jù)主機(jī)類(lèi)型及配置,以安全基線配置規(guī)范為判斷依據(jù)提供了對(duì)不合 格的安全基線進(jìn)行自動(dòng)修復(fù)的方法,具有以下特點(diǎn): (1)根據(jù)安全基線配置規(guī)范建立安全配置基線庫(kù),安全配置基線庫(kù)不僅包含安全配置 基線項(xiàng)名稱(chēng),安全配置基線值,還包含安全配置采集方法和安全配置漏洞修復(fù)方法及指令。
[0014] (2)根據(jù)安全基線配置規(guī)范定位安全配置漏洞。
[0015] (3)從安全配置基線庫(kù)中獲得安全配置漏洞修復(fù)方法及指令,自動(dòng)對(duì)安全配置漏 洞進(jìn)行修復(fù),大大減少了人工修正安全配置漏洞的工作量,也大大減少了手工修改安全配 置漏洞的錯(cuò)誤率,提高了安全基線監(jiān)測(cè)和管理的效率。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0016] 圖1是本發(fā)明實(shí)施例的場(chǎng)景圖。
[0017] 圖2是本發(fā)明實(shí)施例的流程圖。
[0018] 圖3是本發(fā)明實(shí)施例的實(shí)施框架圖。
[0019]【具體實(shí)施方式】 本發(fā)明提出一種基于安全基線配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)技術(shù)方案,通過(guò) 將主機(jī)的安全配置與安全配置基線庫(kù)中進(jìn)行比對(duì)發(fā)現(xiàn)安全缺陷并立即調(diào)用相應(yīng)的修復(fù)方 法來(lái)實(shí)現(xiàn)自動(dòng)修復(fù)。相對(duì)于以前采用人工進(jìn)行主機(jī)安全配置漏洞修復(fù)方法,本發(fā)明涉及的 主機(jī)安全配置漏洞自動(dòng)修復(fù)技術(shù)方案可以極大地提高主機(jī)安全基線監(jiān)測(cè)和管理過(guò)程中安 全配置修正工作的效率和準(zhǔn)確性。
[0020] 以下結(jié)合附圖和實(shí)施例詳細(xì)說(shuō)明本發(fā)明技術(shù)方案。
[0021] 實(shí)施例提供的一種基于安全基線配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)方法,首 先按照安全基線配置規(guī)范建立安全配置基線庫(kù);然后,將采集到的主機(jī)安全配置與安全配 置基線庫(kù)中安全基線值比對(duì),把不滿足安全基線配置規(guī)范的主機(jī)安全配置標(biāo)定為安全配置 漏洞;最后,對(duì)檢測(cè)到安全配置漏洞,使用對(duì)應(yīng)的安全配置修復(fù)方式對(duì)安全配置漏洞進(jìn)行自 動(dòng)修復(fù)。主機(jī)是安裝有計(jì)算機(jī)操作系統(tǒng)的計(jì)算機(jī),計(jì)算機(jī)操作系統(tǒng)包括MicrosoftWindows 7,Microsoft Windows 8, Microsoft Windows Server 2003、Microsoft Windows Server 2008, RedHat,Ubuntu,CentOS,AIX、HP-UNIX 等。
[0022] 實(shí)施例的具體應(yīng)用場(chǎng)景如圖1 : 預(yù)先根據(jù)安全基線配置規(guī)范建立安全配置基線庫(kù)。安全配置基線庫(kù)是根據(jù)安全基線 配置規(guī)范建立的數(shù)據(jù)庫(kù),安全配置基線庫(kù)包含安全基線配置規(guī)范所涉及各安全配置基線項(xiàng) 的基本信息,每個(gè)安全配置基線項(xiàng)的基本信息中包括安全配置基線項(xiàng)名稱(chēng)、安全配置基線 值,安全配置采集方法及相應(yīng)指令,安全配置漏洞修復(fù)方法及相應(yīng)指令,并且每個(gè)安全配置 基線項(xiàng)具有唯一的安全配置基線項(xiàng)ID,用于唯一標(biāo)識(shí)安全配置基線項(xiàng)名稱(chēng)。然后基于安全 配置基線庫(kù)執(zhí)行采集過(guò)程和修復(fù)過(guò)程。因?yàn)閷?duì)于每個(gè)安全配置基線項(xiàng),相應(yīng)安全配置采集 方法和安全配置漏洞修復(fù)方法有多種實(shí)現(xiàn)方式,本領(lǐng)域技術(shù)人員可以預(yù)先在每個(gè)安全配置 基線項(xiàng)指定各種主機(jī)操作系統(tǒng)類(lèi)型適合的相應(yīng)實(shí)現(xiàn)方式,即安全配置基線庫(kù)保存的每個(gè)安 全配置基線項(xiàng)的基本信息中,包括針對(duì)各種主機(jī)操作系統(tǒng)類(lèi)型分別能夠采用的安全配置采 集方法及相應(yīng)指令、安全配置漏洞修復(fù)方法及相應(yīng)指令。例如,對(duì)某安全配置基線項(xiàng),提供 主機(jī)操作系統(tǒng)類(lèi)型為Microsoft Windows 7系統(tǒng)時(shí)能夠采用的安全配置采集方法及相應(yīng)指 令、安全配置漏洞修復(fù)方法及相應(yīng)指令,提供主機(jī)操作系統(tǒng)類(lèi)型為Ubuntu系統(tǒng)時(shí)能夠采用 的安全配置采集方法及相應(yīng)指令、安全配置漏洞修復(fù)方法及相應(yīng)指令…具體實(shí)施時(shí),可以 在安全配置基線庫(kù)為一個(gè)安全配置基線項(xiàng)對(duì)應(yīng)每種主機(jī)操作系統(tǒng)類(lèi)型分別存儲(chǔ)一個(gè)紀(jì)錄, 例如,某條紀(jì)錄的內(nèi)容為,安全配置基線項(xiàng)名稱(chēng)、安全配置基線值、安全配置基線項(xiàng)ID、某種 具體的主機(jī)操作系統(tǒng)類(lèi)型、該主機(jī)操作系統(tǒng)類(lèi)型采用的安全配置采集方法及相應(yīng)指令、安 全配置漏洞修復(fù)方法及相應(yīng)指令,采集和修復(fù)時(shí)根據(jù)安全配置基線項(xiàng)名稱(chēng)(或ID)、主機(jī)操 作系統(tǒng)類(lèi)型即可找到該紀(jì)錄,直接提取其中安全配置采集方法及相應(yīng)指令、安全配置漏洞 修復(fù)方法及相應(yīng)指令。
[0023] 采集過(guò)程:根據(jù)相應(yīng)安全配置基線項(xiàng)和主機(jī)操作系統(tǒng)類(lèi)型確定安全配置采集方法 及指令,自動(dòng)采集主機(jī)的各項(xiàng)安全配置,本發(fā)明提出采集方法有三種: X從系統(tǒng)注冊(cè)表中讀取配置 f從系統(tǒng)配置文件讀取配置 t執(zhí)行系統(tǒng)配置指令獲取配置 三種方法相應(yīng)的具體讀取指令或系統(tǒng)配置指令根據(jù)具體主機(jī)操作系統(tǒng)類(lèi)型而定,可參 見(jiàn)現(xiàn)有技術(shù)。安全配置基線庫(kù)中針對(duì)每個(gè)安全配置基線項(xiàng)預(yù)先保存了各種主機(jī)操作系統(tǒng)類(lèi) 型分別能夠采用的安全配置采集方法及相應(yīng)指令,因此,具體選擇哪種安全配置采集方法 和指令,具體實(shí)施時(shí)可根據(jù)安全配置基線庫(kù)中的安全配置基線項(xiàng)名稱(chēng),參考主機(jī)操作系統(tǒng) 類(lèi)型確定。
[0024] 逐項(xiàng)將采集到的安全配置信息中安全配置值與安全配置基線庫(kù)中的相應(yīng)安全配 置基線項(xiàng)進(jìn)行比對(duì),對(duì)不滿足安全配置基線值的采集所得安全配置確定為安全配置漏洞, 并把安全配置漏洞保存在安全配置漏洞庫(kù)中,得到漏洞數(shù)據(jù)。安全配置漏洞庫(kù)是存儲(chǔ)安全 配置漏洞數(shù)據(jù)的數(shù)據(jù)庫(kù),安全配置漏洞庫(kù)包含安全配置漏洞基本信息,其中包括安全配置 漏洞項(xiàng)名稱(chēng)、采集到的安全配置信息中安全配置值。每個(gè)安全配置漏洞具有唯一的安全配 置漏洞ID,用于唯一標(biāo)識(shí)安全配置漏洞名稱(chēng)。安全配置漏洞ID和安全配置基線庫(kù)中對(duì)應(yīng)的 安全配置基線項(xiàng)ID相等,方便用安全配置漏洞ID檢索安全配置基線庫(kù)中所需要的信息。
[0025] 修復(fù)過(guò)程:包括當(dāng)安全配置漏洞庫(kù)中有未修復(fù)的配置漏洞時(shí),從安全配置漏洞庫(kù) 獲取安全配置漏洞,根據(jù)安全配置漏洞ID從安全配置基線庫(kù)獲取安全配置漏洞相應(yīng)安全 配置基線項(xiàng)的安全配置基線值,并參考主機(jī)操作系統(tǒng)類(lèi)型獲取安全配置漏洞修復(fù)方法及指 令。
[0026] 修復(fù)方法也有三種: 修改系統(tǒng)注冊(cè)表 f修改系統(tǒng)配置文件內(nèi)容 f執(zhí)行系統(tǒng)配置指令進(jìn)行修改 三種方法相應(yīng)的具體修改指令或系統(tǒng)配置指令根據(jù)具體主機(jī)操作系統(tǒng)類(lèi)型而定,可參 見(jiàn)現(xiàn)有技術(shù)。安全配置基線庫(kù)中針對(duì)每個(gè)安全配置基線項(xiàng)預(yù)先保存了各種主機(jī)操作系統(tǒng)類(lèi) 型分別能夠采用的安全配置漏洞修復(fù)方法及相應(yīng)指令,因此,具體選擇哪種安全配置漏洞 修復(fù)方法及相應(yīng)指令,具體實(shí)施時(shí)可根據(jù)安全配置基線庫(kù)中的安全配置基線項(xiàng)ID (配置漏 洞ID),參考主機(jī)操作系統(tǒng)類(lèi)型確定。
[0027] 以上技術(shù)方案在主機(jī)上實(shí)現(xiàn),具體實(shí)施時(shí),可實(shí)時(shí)地持續(xù)執(zhí)行安全配置采集過(guò)程 和修復(fù)過(guò)程,當(dāng)安全配置漏洞庫(kù)沒(méi)有安全配置漏洞時(shí)可以停止執(zhí)行,直到用戶(hù)重新要求啟 動(dòng)采集修復(fù)。本領(lǐng)域技術(shù)人員可采用計(jì)算機(jī)軟件技術(shù)實(shí)現(xiàn)以上方法的自動(dòng)運(yùn)行,例如提供 配置自動(dòng)修復(fù)程序,供用戶(hù)安裝在主機(jī)上使用。
[0028] 可見(jiàn),本發(fā)明對(duì)被檢測(cè)的計(jì)算機(jī)主機(jī)及其操作系統(tǒng)中存在的具有安全風(fēng)險(xiǎn)的配置 提供自動(dòng)修復(fù)的功能。如果檢測(cè)到某一項(xiàng)安全配置不符合規(guī)范,就根據(jù)安全配置基線庫(kù)中 的基線標(biāo)準(zhǔn)調(diào)用相應(yīng)的修復(fù)方法及指令執(zhí)行修復(fù),這樣將大大提高安全基線監(jiān)測(cè)和管理過(guò) 程中配置修正工作的效率和準(zhǔn)確性。
[0029] 為便于實(shí)施參考起見(jiàn),提供實(shí)施例的主機(jī)安全配置自動(dòng)修復(fù)流程如圖2所示,具 體流程如下: 第一步:根據(jù)安全基線庫(kù)中的安全配置基線項(xiàng)來(lái)實(shí)時(shí)采集主機(jī)的安全配置信息,針 對(duì)主機(jī)操作系統(tǒng)的安全配置信息采集方法有三種,具體選擇哪種安全配置采集方法和指 令,根據(jù)安全配置基線庫(kù)中的安全配置基線項(xiàng)名稱(chēng),參考主機(jī)操作系統(tǒng)類(lèi)型確定,然后根據(jù) 確定的方法和相應(yīng)指令從主機(jī)設(shè)備中采集安全配置信息。
[0030] 第二步:對(duì)采集涉及的每個(gè)安全配置基線項(xiàng),從安全配置基線庫(kù)中讀取安全配置 基線值。
[0031] 第二步:將從主機(jī)采集來(lái)的安全配置值與安全配置基線庫(kù)中的安全配置基線值進(jìn) 行比對(duì),如果兩者不相等,則確定該主機(jī)安全配置為安全配置漏洞,同時(shí)把該安全配置漏洞 保存到安全配置漏洞庫(kù),安全配置漏洞記錄數(shù)加1。
[0032] 第三步:從安全配置漏洞庫(kù)獲取安全配置漏洞。
[0033] 第四步:如果從安全配置漏洞庫(kù)獲得的安全配置漏洞記錄數(shù)不為0,說(shuō)明存在安 全配置漏洞,根據(jù)安全配置漏洞ID從安全配置基線庫(kù)獲取安全配置漏洞相應(yīng)安全配置基 線項(xiàng)的安全配置基線值,并參考主機(jī)操作系統(tǒng)類(lèi)型獲取安全配置漏洞修復(fù)方法及指令。 [0034] 第五步:對(duì)每個(gè)安全配置漏洞,分別執(zhí)行獲取的安全配置漏洞修復(fù)方式及指令,針 對(duì)主機(jī)操作系統(tǒng)的安全配置漏洞進(jìn)行,修復(fù)方法有三種,具體采用哪種安全配置漏洞修復(fù) 方法和指令在第四步已確定。修復(fù)完成后返回第一步。
[0035] 以微軟Windows8. 1操作系統(tǒng)下Windows"密碼必須符合復(fù)雜性要求"為例,說(shuō)明 定位安全配置漏洞和修復(fù)安全配置漏洞過(guò)程,實(shí)施框架如圖3所示,具體實(shí)施步驟如下: Windows"密碼必須符合復(fù)雜性要求"通常是安全基線配置規(guī)范中的一項(xiàng)安全配置基線 要求,其基線值要求為"已啟用",該項(xiàng)中與主機(jī)操作系統(tǒng)類(lèi)型"Windows8. 1"相應(yīng)的安全配 置采集方法是系統(tǒng)配置指令,采集指令為"secedit/export/cfg",采集的組策略配置中 對(duì)應(yīng)的值PasswordComplexity= 1,該項(xiàng)中與主機(jī)操作系統(tǒng)類(lèi)型相應(yīng)的安全配置漏洞修 復(fù)方法為執(zhí)行系統(tǒng)配置指令,修復(fù)指令為"secedit/configure/dbgp.sdb/cfg,',這些內(nèi) 容保存在安全配置基線庫(kù)中。
[0036] (1)配置自動(dòng)修復(fù)程序通過(guò)執(zhí)行安全配置基線項(xiàng)"密碼必須符合復(fù)雜性要 求"的系統(tǒng)配置指令"secedit /export /cfg gp. inf",采集系統(tǒng)的系統(tǒng)組策略配 置保存在gp. inf?文件,這個(gè)gp. inf中包含"密碼必須符合復(fù)雜性要求"配置信息, PasswordComplexity = 0。說(shuō)明"密碼必須符合復(fù)雜性要求"為"已禁用"。
[0037] (2)配置自動(dòng)修復(fù)程序通過(guò)將采集來(lái)的"密碼必須符合復(fù)雜性要求"項(xiàng)值 "PasswordComplexity= 0" 與安全配置基線庫(kù)中同一基線項(xiàng)值"PasswordComplexity= 1"的進(jìn)行比對(duì),可知配置數(shù)據(jù)值不等于安全配置基線值,確定為一項(xiàng)安全配置漏洞。把 這個(gè)安全配置漏洞的名稱(chēng)"密碼必須符合復(fù)雜性要求"和配置數(shù)據(jù)值"PasswordComplexity =〇"及ID保存在安全配置漏洞庫(kù)中。
[0038] (3)對(duì)安全配置漏洞庫(kù)中的記錄進(jìn)行檢索,找到"密碼必須符合復(fù)雜性要求" 的安全配置漏洞,配置自動(dòng)修復(fù)程序根據(jù)"密碼必須符合復(fù)雜性要求"名稱(chēng)在在安全配 置基線庫(kù)中查找相應(yīng)的安全配置基線值"PasswordComplexity= 1",把文件gp.inf 中"PasswordComplexity= 0" 修改為"PasswordComplexity= 1",然后執(zhí)行相應(yīng)修復(fù)指 令"secedit/configure/dbgp.sdb/cfggp.inf/quiet" 修復(fù)這個(gè)安全配置漏洞。
[0039] 本發(fā)明還相應(yīng)提供一種基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)系統(tǒng),包括以 下模塊; 安全配置基線庫(kù)模塊,用于預(yù)先根據(jù)安全基線配置規(guī)范建立安全配置基線庫(kù),所述安 全配置基線庫(kù)包含安全基線配置規(guī)范所涉及各安全配置基線項(xiàng)的基本信息,每個(gè)安全配置 基線項(xiàng)的基本信息包括安全配置基線項(xiàng)名稱(chēng)、安全配置基線值,針對(duì)各種主機(jī)操作系統(tǒng)類(lèi) 型分別能夠采用的安全配置采集方法及相應(yīng)指令、安全配置漏洞修復(fù)方法及相應(yīng)指令,和 用于唯一標(biāo)識(shí)安全配置基線項(xiàng)名稱(chēng)的安全配置基線項(xiàng)ID ; 采集模塊,用于根據(jù)主機(jī)操作系統(tǒng)類(lèi)型確定安全配置采集方法及指令,實(shí)時(shí)采集主機(jī) 的各項(xiàng)安全配置信息,得到配置數(shù)據(jù);逐項(xiàng)將采集到的安全配置信息中安全配置值與安全 配置基線庫(kù)中的相應(yīng)安全配置基線項(xiàng)進(jìn)行比對(duì),對(duì)不滿足安全配置基線值的采集所得安全 配置確定為安全配置漏洞,并把安全配置漏洞保存在安全配置漏洞庫(kù)中,得到漏洞數(shù)據(jù);所 述安全配置漏洞庫(kù)包含安全配置漏洞的基本信息,每個(gè)安全配置漏洞的基本信息中包括安 全配置漏洞項(xiàng)名稱(chēng)、采集到的安全配置信息中安全配置值,和與安全配置基線項(xiàng)ID-致的 安全配置漏洞ID ; 修復(fù)模塊,用于當(dāng)安全配置漏洞庫(kù)中有未修復(fù)的配置漏洞時(shí),從安全配置漏洞庫(kù)獲取 安全配置漏洞,根據(jù)安全配置漏洞ID從安全配置基線庫(kù)獲取相應(yīng)安全配置基線項(xiàng)的安全 配置基線值,并根據(jù)主機(jī)操作系統(tǒng)類(lèi)型確定安全配置漏洞修復(fù)方法及指令,對(duì)安全配置漏 洞修復(fù)為安全配置基線值。
[0040] 各模塊具體實(shí)現(xiàn)與方法步驟相應(yīng),本發(fā)明不予贅述。
[0041] 本文中所描述的具體實(shí)施例僅僅是對(duì)本發(fā)明精神作舉例說(shuō)明。本發(fā)明所屬技術(shù)領(lǐng) 域的技術(shù)人員可以對(duì)所描述的具體實(shí)施例做各種各樣的修改或補(bǔ)充或采用類(lèi)似的方式替 代,但并不會(huì)偏離本發(fā)明的精神或者超越所附權(quán)利要求書(shū)所定義的范圍。
【權(quán)利要求】
1. 一種基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)方法,其特征在于:包括預(yù)先根據(jù) 安全基線配置規(guī)范建立安全配置基線庫(kù),然后基于安全配置基線庫(kù)執(zhí)行采集過(guò)程和修復(fù)過(guò) 程; 所述安全配置基線庫(kù)包含安全基線配置規(guī)范所涉及各安全配置基線項(xiàng)的基本信息,每 個(gè)安全配置基線項(xiàng)的基本信息包括安全配置基線項(xiàng)名稱(chēng)、安全配置基線值,針對(duì)各種主機(jī) 操作系統(tǒng)類(lèi)型分別能夠采用的安全配置采集方法及相應(yīng)指令、安全配置漏洞修復(fù)方法及相 應(yīng)指令,和用于唯一標(biāo)識(shí)安全配置基線項(xiàng)名稱(chēng)的安全配置基線項(xiàng)ID ; 所述采集過(guò)程,包括根據(jù)安全配置基線項(xiàng)名稱(chēng)和主機(jī)操作系統(tǒng)類(lèi)型確定安全配置采集 方法及指令,實(shí)時(shí)采集主機(jī)的各項(xiàng)安全配置信息,得到配置數(shù)據(jù);逐項(xiàng)將采集到的安全配置 信息中安全配置值與安全配置基線庫(kù)中的相應(yīng)安全配置基線項(xiàng)進(jìn)行比對(duì),對(duì)不滿足安全配 置基線值的采集所得安全配置確定為安全配置漏洞,并把安全配置漏洞保存在安全配置漏 洞庫(kù)中,得到漏洞數(shù)據(jù);所述安全配置漏洞庫(kù)包含安全配置漏洞的基本信息,每個(gè)安全配置 漏洞的基本信息中包括安全配置漏洞項(xiàng)名稱(chēng)、采集到的安全配置信息中安全配置值,和與 安全配置基線項(xiàng)ID -致的安全配置漏洞ID ; 所述修復(fù)過(guò)程,包括當(dāng)安全配置漏洞庫(kù)中有未修復(fù)的配置漏洞時(shí),從安全配置漏洞庫(kù) 獲取安全配置漏洞,根據(jù)安全配置漏洞ID從安全配置基線庫(kù)獲取相應(yīng)安全配置基線項(xiàng)的 安全配置基線值,并根據(jù)安全配置漏洞ID和主機(jī)操作系統(tǒng)類(lèi)型確定安全配置漏洞修復(fù)方 法及指令,對(duì)安全配置漏洞修復(fù)為安全配置基線值。
2. 根據(jù)權(quán)利要求1所述基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)方法,其特征在 于:對(duì)于每個(gè)安全配置基線項(xiàng),各種主機(jī)操作系統(tǒng)類(lèi)型分別能夠采用的安全配置采集方法 為以下三種之一, X從系統(tǒng)注冊(cè)表中讀取配置;
2. 從系統(tǒng)配置文件讀取配置; I執(zhí)行系統(tǒng)配置指令獲取配置。
3. 根據(jù)權(quán)利要求1或2所述基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)方法,其特征 在于:對(duì)于每個(gè)安全配置基線項(xiàng),各種主機(jī)操作系統(tǒng)類(lèi)型分別能夠采用的安全配置漏洞修 復(fù)方法為以下三種之一, X修改系統(tǒng)注冊(cè)表; 2修改系統(tǒng)配置文件內(nèi)容; S執(zhí)行系統(tǒng)配置指令進(jìn)行修改。
4. 一種基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)系統(tǒng),其特征在于:包括以下模 塊, 安全配置基線庫(kù)模塊,用于預(yù)先根據(jù)安全基線配置規(guī)范建立安全配置基線庫(kù),所述安 全配置基線庫(kù)包含安全基線配置規(guī)范所涉及各安全配置基線項(xiàng)的基本信息,每個(gè)安全配置 基線項(xiàng)的基本信息包括安全配置基線項(xiàng)名稱(chēng)、安全配置基線值,針對(duì)各種主機(jī)操作系統(tǒng)類(lèi) 型分別能夠采用的安全配置采集方法及相應(yīng)指令、安全配置漏洞修復(fù)方法及相應(yīng)指令,和 用于唯一標(biāo)識(shí)安全配置基線項(xiàng)名稱(chēng)的安全配置基線項(xiàng)ID ; 采集模塊,用于根據(jù)安全配置基線項(xiàng)名稱(chēng)和主機(jī)操作系統(tǒng)類(lèi)型確定安全配置采集方法 及指令,實(shí)時(shí)采集主機(jī)的各項(xiàng)安全配置信息,得到配置數(shù)據(jù);逐項(xiàng)將采集到的安全配置信息 中安全配置值與安全配置基線庫(kù)中的相應(yīng)安全配置基線項(xiàng)進(jìn)行比對(duì),對(duì)不滿足安全配置基 線值的采集所得安全配置確定為安全配置漏洞,并把安全配置漏洞保存在安全配置漏洞庫(kù) 中,得到漏洞數(shù)據(jù);所述安全配置漏洞庫(kù)包含安全配置漏洞的基本信息,每個(gè)安全配置漏洞 的基本信息中包括安全配置漏洞項(xiàng)名稱(chēng)、采集到的安全配置信息中安全配置值,和與安全 配置基線項(xiàng)ID -致的安全配置漏洞ID ; 修復(fù)模塊,用于當(dāng)安全配置漏洞庫(kù)中有未修復(fù)的配置漏洞時(shí),從安全配置漏洞庫(kù)獲取 安全配置漏洞,根據(jù)安全配置漏洞ID從安全配置基線庫(kù)獲取相應(yīng)安全配置基線項(xiàng)的安全 配置基線值,并根據(jù)安全配置漏洞ID和主機(jī)操作系統(tǒng)類(lèi)型確定安全配置漏洞修復(fù)方法及 指令,對(duì)安全配置漏洞修復(fù)為安全配置基線值。
5. 根據(jù)權(quán)利要求4所述基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)系統(tǒng),其特征在 于:對(duì)于每個(gè)安全配置基線項(xiàng)中,各種主機(jī)操作系統(tǒng)類(lèi)型分別能夠采用的相應(yīng)安全配置采 集方法為以下三種之一, 2從系統(tǒng)注冊(cè)表中讀取配置; 1從系統(tǒng)配置文件讀取配置; .1+執(zhí)行系統(tǒng)配置指令獲取配置。
6. 根據(jù)權(quán)利要求4或5所述基于配置規(guī)范的主機(jī)安全配置漏洞自動(dòng)修復(fù)系統(tǒng),其特征 在于:對(duì)于每個(gè)安全配置基線項(xiàng),各種主機(jī)操作系統(tǒng)類(lèi)型分別能夠采用的安全配置漏洞修 復(fù)方法為以下三種之一, :x+修改系統(tǒng)注冊(cè)表; 1修改系統(tǒng)配置文件內(nèi)容; S執(zhí)行系統(tǒng)配置指令進(jìn)行修改。
【文檔編號(hào)】G06F21/57GK104346574SQ201410568428
【公開(kāi)日】2015年2月11日 申請(qǐng)日期:2014年10月23日 優(yōu)先權(quán)日:2014年10月23日
【發(fā)明者】張曙光, 王鵑, 施展 申請(qǐng)人:武漢大學(xué)