本發(fā)明涉及信息安全、網(wǎng)絡(luò)管理技術(shù)領(lǐng)域，尤其涉及一種安全資產(chǎn)基線加固方法及裝置。

背景技術(shù)：

安全基線，是一個(gè)信息系統(tǒng)安全管理的最低標(biāo)準(zhǔn)或要求。在計(jì)算機(jī)安全體系中，安全基線是受信計(jì)算機(jī)組件，存儲(chǔ)于安全基線數(shù)據(jù)文件中，對如何配置和管理計(jì)算機(jī)的詳細(xì)描述，為安全軟件檢測或者修復(fù)計(jì)算機(jī)系統(tǒng)提供配置標(biāo)準(zhǔn)。隨著互聯(lián)網(wǎng)對社會(huì)的影響日益深入，信息系統(tǒng)中各安全資產(chǎn)的信息安全問題變得越來越重要，其中，對安全資產(chǎn)實(shí)施安全基線監(jiān)測和管理是保護(hù)信息系統(tǒng)中安全資產(chǎn)的信息安全的重要方法之一。

現(xiàn)有技術(shù)中，安全基線配置監(jiān)控和管理大多是通過對各類信息系統(tǒng)的信息資產(chǎn)配置合規(guī)性進(jìn)行自動(dòng)化檢查，實(shí)時(shí)采集被監(jiān)測范圍內(nèi)的各類信息系統(tǒng)的安全資產(chǎn)的相關(guān)配置。然后，再通過將設(shè)備及系統(tǒng)的實(shí)時(shí)基線配置與安全基線庫中的安全基線進(jìn)行比對，準(zhǔn)確發(fā)現(xiàn)和定位系統(tǒng)或設(shè)備存在的安全缺陷和風(fēng)險(xiǎn)，并做出相應(yīng)的分析報(bào)告。網(wǎng)絡(luò)運(yùn)維人員根據(jù)該分析報(bào)告，人工開啟設(shè)備遠(yuǎn)程連接工具登陸終端設(shè)備，將編寫好的基線修復(fù)腳本發(fā)送給該終端設(shè)備，控制終端設(shè)備執(zhí)行基線修復(fù)腳本，以將該終端設(shè)備的安全基線修改為進(jìn)行修復(fù)。

然而，隨著互聯(lián)網(wǎng)的快速發(fā)展和普及，使得企、事業(yè)的信息系統(tǒng)中的安全資產(chǎn)數(shù)量也不斷增多，進(jìn)而使得安全基線種類變得繁多，所以，上述手動(dòng)修復(fù)的方式，不僅存在工作量大、操作繁瑣的問題，還容易漏過某些配置而使得信息系統(tǒng)的安全資產(chǎn)面臨信息安全風(fēng)險(xiǎn)。

技術(shù)實(shí)現(xiàn)要素：

針對現(xiàn)有技術(shù)中的基線配置修復(fù)缺乏自動(dòng)修復(fù)手段的問題，本發(fā)明實(shí)施例提供了一種安全資產(chǎn)基線加固方法及裝置。

根據(jù)本發(fā)明實(shí)施例的第一方面，提供了一種安全資產(chǎn)基線加固方法，所述方法包括：

獲取目標(biāo)設(shè)備的基線配置數(shù)據(jù)；

判斷所述基線配置數(shù)據(jù)是否符合預(yù)設(shè)基線配置標(biāo)準(zhǔn)，所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)與所述基線配置數(shù)據(jù)的基線類型相匹配；

如果所述基線配置數(shù)據(jù)不符合預(yù)設(shè)基線配置標(biāo)準(zhǔn)，則根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改。

可選地，根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改之后，所述方法還包括：

根據(jù)所述基線配置數(shù)據(jù)的基線類型，判斷所述目標(biāo)設(shè)備是否需要重新啟動(dòng)系統(tǒng)服務(wù)；

如果所述目標(biāo)設(shè)備需要重新啟動(dòng)系統(tǒng)服務(wù)，則向所述目標(biāo)設(shè)備發(fā)送重新啟動(dòng)系統(tǒng)服務(wù)命令，以控制所述目標(biāo)設(shè)備執(zhí)行重新啟動(dòng)系統(tǒng)服務(wù)操作。

可選地，根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改之后，所述方法還包括：

對所述目標(biāo)設(shè)備執(zhí)行不符合所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的違規(guī)操作；

根據(jù)執(zhí)行違規(guī)操作的結(jié)果，判斷所述目標(biāo)設(shè)備是否允許所述不符合所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的違規(guī)操作；

如果所述目標(biāo)設(shè)備允許所述不符合所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的違規(guī)操作，則重新根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改。

可選地，獲取目標(biāo)設(shè)備的基線配置數(shù)據(jù)，包括：

將采集基線配置指令發(fā)送至目標(biāo)設(shè)備；

接收所述目標(biāo)設(shè)備根據(jù)所述采集基線配置指令返回的基線配置報(bào)文；

根據(jù)所述基線配置報(bào)文，利用正則表達(dá)式解析出所述目標(biāo)設(shè)備的基線配置數(shù)據(jù)。

可選地，判斷所述基線配置數(shù)據(jù)是否符合預(yù)設(shè)基線配置標(biāo)準(zhǔn)，包括：

根據(jù)所述目標(biāo)設(shè)備的類型和所述基線配置數(shù)據(jù)的基線配置項(xiàng)名稱，從基線配置基線庫中查找與所述基線配置數(shù)據(jù)的基線類型相匹配的預(yù)設(shè)基線配置標(biāo)準(zhǔn)；

將所述基線配置數(shù)據(jù)與所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)進(jìn)行對比，判斷所述基線配置數(shù)據(jù)是否滿足所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的要求。

可選地，根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改之前，所述方法還包括：

對所述目標(biāo)設(shè)備的基線配置數(shù)據(jù)、以及與所述基線配置數(shù)據(jù)相對應(yīng)的基線配置項(xiàng)名稱進(jìn)行存儲(chǔ)。

根據(jù)本發(fā)明實(shí)施例的第二方面，提供了一種安全資產(chǎn)基線加固裝置，該裝置包括：

配置數(shù)據(jù)獲取模塊：用于獲取目標(biāo)設(shè)備的基線配置數(shù)據(jù)；

配置數(shù)據(jù)分析模塊：用于判斷所述基線配置數(shù)據(jù)是否符合預(yù)設(shè)基線配置標(biāo)準(zhǔn)，所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)與所述基線配置數(shù)據(jù)的基線類型相匹配；

配置數(shù)據(jù)加固模塊：用于如果所述基線配置數(shù)據(jù)不符合預(yù)設(shè)基線配置標(biāo)準(zhǔn)，則根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改。

可選地，所述裝置還包括：

系統(tǒng)重啟判斷模塊：用于根據(jù)所述基線配置數(shù)據(jù)的基線類型，判斷所述目標(biāo)設(shè)備是否需要重新啟動(dòng)系統(tǒng)服務(wù)；

重啟指令發(fā)送模塊：用于如果所述目標(biāo)設(shè)備需要重新啟動(dòng)系統(tǒng)服務(wù)，則向所述目標(biāo)設(shè)備發(fā)送重新啟動(dòng)系統(tǒng)服務(wù)命令，以控制所述目標(biāo)設(shè)備執(zhí)行重新啟動(dòng)系統(tǒng)服務(wù)操作。

可選地，所述裝置還包括：

違規(guī)項(xiàng)操作模塊：用于對所述目標(biāo)設(shè)備執(zhí)行不符合所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的違規(guī)操作；

操作結(jié)果判斷模塊：用于根據(jù)執(zhí)行違規(guī)操作的結(jié)果，判斷所述目標(biāo)設(shè)備是否允許所述不符合所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的違規(guī)操作；

所述配置數(shù)據(jù)加固模塊，還用于如果所述目標(biāo)設(shè)備允許所述不符合所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的違規(guī)操作，則重新根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改。

可選地，所述配置數(shù)據(jù)獲取模塊包括：

配置報(bào)文采集子模塊：用于將采集基線配置指令發(fā)送至目標(biāo)設(shè)備；

配置報(bào)文接收子模塊：用于接收所述目標(biāo)設(shè)備根據(jù)所述采集基線配置指令返回的基線配置報(bào)文；

配置數(shù)據(jù)解析子模塊：用于根據(jù)所述基線配置報(bào)文，利用正則表達(dá)式解析出所述目標(biāo)設(shè)備的基線配置數(shù)據(jù)。

由以上技術(shù)方案可見，本發(fā)明實(shí)施例提供的一種安全資產(chǎn)基線加固方法及裝置，自動(dòng)下發(fā)采集基線配置的指令到目標(biāo)設(shè)備，然后獲取目標(biāo)設(shè)備根據(jù)上述采集指令返回的基線配置數(shù)據(jù)，并判斷該基線配置數(shù)據(jù)是否符合內(nèi)置或用戶自定義的預(yù)設(shè)基線標(biāo)準(zhǔn)，當(dāng)出現(xiàn)不符合的情況時(shí)，則根據(jù)預(yù)設(shè)的基線配置標(biāo)準(zhǔn)對該目標(biāo)設(shè)備的基線配置進(jìn)行修改。通過上述自動(dòng)對設(shè)備的不合規(guī)基線配置進(jìn)行修復(fù)，大大減少了人工修正基線配置的工作量，也大大減少了手工修改安全配置漏洞的錯(cuò)誤率，提高了安全基線監(jiān)測和管理的效率，保證了信息系統(tǒng)中安全資產(chǎn)的信息安全。

應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本發(fā)明。

附圖說明

為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對實(shí)施例中所需要使用的附圖作簡單地介紹，顯而易見地，對于本領(lǐng)域普通技術(shù)人員而言，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例一提供的安全資產(chǎn)基線加固方法的基本流程示意圖；

圖2為本發(fā)明實(shí)施例二提供的安全資產(chǎn)基線加固方法的基本流程示意圖；

圖3為本發(fā)明實(shí)施例三提供的安全資產(chǎn)基線加固方法的基本流程示意圖；

圖4為本發(fā)明實(shí)施例提供的一種安全資產(chǎn)基線加固裝置的基本結(jié)構(gòu)示意圖。

具體實(shí)施方式

這里將詳細(xì)地對示例性實(shí)施例進(jìn)行說明，其示例表示在附圖中。下面的描述涉及附圖時(shí)，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本發(fā)明相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。

在信息系統(tǒng)中，歸屬于組織管轄范圍的風(fēng)險(xiǎn)發(fā)生時(shí)的對象統(tǒng)被稱為安全資產(chǎn)，在本發(fā)明實(shí)施例中，安全資產(chǎn)可以包括主機(jī)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、防火墻、虛擬化等設(shè)備。

針對現(xiàn)有技術(shù)中，對安全資產(chǎn)的安全基線配置進(jìn)行加固時(shí)，采用基于用戶自定義腳本的安全基線檢查修復(fù)的方式，在實(shí)現(xiàn)過程中存在的實(shí)時(shí)性問題。本發(fā)明實(shí)施例提供了一種安全資產(chǎn)基線加固方法及裝置，其核心原理是：首先，獲取安全資產(chǎn)的基線配置信息；然后，判斷當(dāng)前資產(chǎn)的基線配置是否符合內(nèi)置或自定義的基線標(biāo)準(zhǔn)；最后，對當(dāng)前不合規(guī)的基線進(jìn)行自動(dòng)加固。

基于上述原理，以下將結(jié)合附圖對本發(fā)明實(shí)施例的安全資產(chǎn)基線加固方法及裝置進(jìn)行詳細(xì)說明。

如圖1所示，該方法主要包括如下步驟：

s110：獲取目標(biāo)設(shè)備的基線配置數(shù)據(jù)。

具體的，可以根據(jù)創(chuàng)建的核查任務(wù)，獲取目標(biāo)設(shè)備(即安全資產(chǎn)中的待核查設(shè)備)的設(shè)備信息，其中，所述設(shè)備信息可以包括目標(biāo)設(shè)備的用戶名、登錄密碼以及ip地址等。然后，根據(jù)目標(biāo)設(shè)備的設(shè)備信息，通過ssh協(xié)議登錄到目標(biāo)設(shè)備，其中，登錄到目標(biāo)設(shè)備的可以包括如下過程，可以根據(jù)目標(biāo)設(shè)備的ip地址，向目標(biāo)設(shè)備發(fā)送鏈接請求，接收目標(biāo)設(shè)備發(fā)送的登錄界面，在登錄界面上輸入目標(biāo)設(shè)備的用戶名及登錄密碼，確認(rèn)登錄目標(biāo)設(shè)備。最后，登錄到目標(biāo)設(shè)備以后，便可以向目標(biāo)設(shè)備下發(fā)采集安全基線配置的指令到目標(biāo)設(shè)備，目標(biāo)設(shè)備接收指令后執(zhí)行，并將執(zhí)行后的結(jié)果數(shù)據(jù)通過報(bào)文的方式反饋給調(diào)用方，調(diào)用方根據(jù)該基線配置報(bào)文，利用正則表達(dá)式(又稱規(guī)則表達(dá)式，通常被用來檢索、替換那些符合某個(gè)規(guī)則的文本)解析出目標(biāo)設(shè)備的基線配置數(shù)據(jù)。

下面將以“網(wǎng)絡(luò)訪問控制-禁止root用戶遠(yuǎn)程登陸”基線核查為例，對上述獲取目標(biāo)設(shè)備的基線配置數(shù)據(jù)進(jìn)行說明。

1)登錄目標(biāo)設(shè)備，具體可以使用特權(quán)帳號(hào)(如管理員賬號(hào))登錄到目標(biāo)設(shè)備。

2)使用該特權(quán)賬號(hào)執(zhí)行“cat/etc/ssh/sshd_config”指令；

3)獲取指令執(zhí)行結(jié)束后，目標(biāo)設(shè)備返回的響應(yīng)報(bào)文，具體報(bào)文內(nèi)容如下

“#logingracetime2m

#permitrootloginyes

#strictmodesyes

#maxauthtries6

#maxsessions10”

4)使用正則表達(dá)式解析出響應(yīng)報(bào)文中涉及遠(yuǎn)程登錄配置信息，其中，“permitrootlogin”即是遠(yuǎn)程登錄配置

通過正則表達(dá)式解析出“permitrootlogin”部分配置得到的具體內(nèi)容如下：

“permitrootloginyes”，其中：

“permitrootloginyes”表示為允許root用戶遠(yuǎn)程登錄。

“permitrootloginno”表示為不允許root用戶遠(yuǎn)程登錄。

進(jìn)一步的，在向目標(biāo)設(shè)備下發(fā)采集安全基線配置的指令前，還可以根據(jù)目標(biāo)設(shè)備的設(shè)備信息，自動(dòng)確定該目標(biāo)設(shè)備的核查對象，根據(jù)確認(rèn)的核查對象向其下發(fā)相應(yīng)的發(fā)采集安全基線配置的指令。

其中，核查對象可以為：操作系統(tǒng)、軟件、以及設(shè)備。操作系統(tǒng)可以包括：現(xiàn)有本領(lǐng)域技術(shù)人員所熟知的操作系統(tǒng)，如：可以為linux操作系統(tǒng)，也可以為windows操作系統(tǒng)。軟件可以包括：現(xiàn)有本領(lǐng)域技術(shù)人員所熟知的軟件，特指待核查設(shè)備的操作系統(tǒng)下所包含的中間件(如tomcat、apache)或者數(shù)據(jù)庫(如oracle、mysql)等。作為核查對象的設(shè)備，是指目標(biāo)設(shè)備內(nèi)部包含的設(shè)備，如路由器、處理器等。

根據(jù)確認(rèn)的核查對象向其下發(fā)相應(yīng)的發(fā)采集安全基線配置的指令時(shí)，可以預(yù)先將不同核查對象對應(yīng)的核查模板存儲(chǔ)到特征數(shù)據(jù)庫中，從該特征數(shù)據(jù)庫中選取與該核查對象對應(yīng)的核查模板。其中，所述核查模板可以包含多個(gè)核查項(xiàng)、以及與各核查項(xiàng)一一對應(yīng)的核查命令，利用該核查命令便可以查詢核查項(xiàng)在目標(biāo)設(shè)備中的基線配置信息。

利用上述自動(dòng)匹配核查命令的方式，不需要人工預(yù)先錄入包含核查對象的大量信息，而是自動(dòng)識(shí)別目標(biāo)設(shè)備的核查對象，并選擇核查模板進(jìn)行核查，大大提高了核查效率。

s120：判斷所述基線配置數(shù)據(jù)是否符合預(yù)設(shè)基線配置標(biāo)準(zhǔn)，所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)與所述基線配置數(shù)據(jù)的基線類型相匹配。

具體包括，獲得與上述核查命令相對應(yīng)的預(yù)設(shè)基線配置標(biāo)準(zhǔn)信息，并將獲取到的基線配置數(shù)據(jù)與預(yù)設(shè)基線配置標(biāo)準(zhǔn)相比對，確定此次安全基線核查結(jié)果，若比對上，則確定該待核查設(shè)備中該核查對象配置無誤；若比對不上，則確定該待核查設(shè)備的該核查對象配置不符合預(yù)設(shè)基線配置標(biāo)準(zhǔn)。

下面還是以“網(wǎng)絡(luò)訪問控制-禁止root用戶遠(yuǎn)程登陸”基線為例，對核查對象配置的正確與否進(jìn)行說明：

假設(shè)基線標(biāo)準(zhǔn)為“禁止root用戶遠(yuǎn)程登陸”，那么基線配置應(yīng)為：“permitrootloginno”，但根據(jù)步驟s110中的基線檢查配置得出“permitrootloginyes”，顯然與基線標(biāo)準(zhǔn)不符，所以鑒定為該設(shè)備中“網(wǎng)絡(luò)訪問控制-禁止root用戶遠(yuǎn)程登陸”不符合基線標(biāo)準(zhǔn)。

當(dāng)不符合基線標(biāo)準(zhǔn)時(shí)，則進(jìn)入步驟s130進(jìn)行基線加固，反之則說明系統(tǒng)此合規(guī)項(xiàng)基線是安全的，則可以繼續(xù)檢查其它基線合規(guī)項(xiàng)，全部滿足則說明系統(tǒng)基線安全。

進(jìn)一步的，上述預(yù)設(shè)基線配置標(biāo)準(zhǔn)可以預(yù)先存儲(chǔ)在安全基線庫。在進(jìn)行基線核查時(shí)，根據(jù)目標(biāo)設(shè)備的類型和被核查的基線配置數(shù)據(jù)的類型，自動(dòng)的從該安全基線庫中提取相應(yīng)的基線配置標(biāo)準(zhǔn)。該安全基線庫可以包含安全基線配置規(guī)范所涉及各安全配置基線項(xiàng)的基本信息，每個(gè)安全配置基線項(xiàng)的基本信息包括安全配置基線項(xiàng)名稱、安全配置基線標(biāo)準(zhǔn)。

其中，上述安全基線庫還可以分為系統(tǒng)安全基線庫和用戶安全基線庫。其中，系統(tǒng)安全基線庫，用于存儲(chǔ)統(tǒng)一、通用的基線安全規(guī)則；用戶安全基線庫，用于存儲(chǔ)用戶自定制的基線配置標(biāo)準(zhǔn)。在本發(fā)明實(shí)施例通過設(shè)置用戶安全基線庫，這樣便可以允許用戶調(diào)用自身定制的基線配置標(biāo)準(zhǔn)對目標(biāo)設(shè)備進(jìn)行基線安全檢查，從而滿足了安全檢查的可定制需求。

由于上述安全基線庫包括了系統(tǒng)安全基線庫和用戶安全基線庫時(shí)，這樣，可以選擇的安全規(guī)則包括：系統(tǒng)安全基線庫中的基線配置標(biāo)準(zhǔn)、用戶自己定制用戶安全基線庫中的基線配置標(biāo)準(zhǔn)、以及共享給用戶的基線配置標(biāo)準(zhǔn)。

s130：如果所述基線配置數(shù)據(jù)不符合預(yù)設(shè)基線配置標(biāo)準(zhǔn)，則根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改。

具體的，使用特權(quán)賬號(hào)(如管理員賬號(hào))登錄到目標(biāo)設(shè)備，執(zhí)行加固指令，將該目標(biāo)設(shè)備的基線配置數(shù)據(jù)修改為符合預(yù)設(shè)基線配置標(biāo)準(zhǔn)的數(shù)據(jù)。

以centos系統(tǒng)的“網(wǎng)絡(luò)訪問控制-禁止root用戶遠(yuǎn)程登陸”基線為例，當(dāng)?shù)卿浤繕?biāo)設(shè)備后，程序通過正則表達(dá)式解析出以下內(nèi)容：

“permitrootloginyes”的配置項(xiàng)，通過執(zhí)行修改指令，將原有配置修改為：

“permitrootloginno”。

當(dāng)前，上述基線配置的修改并不限于本實(shí)施例所提供的字符的替換修改，還可以是增加或刪除字符的形式，例如，對目標(biāo)設(shè)備的用戶賬號(hào)登錄密碼策略的修復(fù)。

以centos系統(tǒng)為例，當(dāng)前目標(biāo)設(shè)備密碼復(fù)雜度，即安全基線設(shè)置為：

“passwordrequisitepam_cracklib.soretry＝3difok＝3minlen＝10ucredit＝-1lcredit＝-1dcredit＝-1”。

而預(yù)設(shè)密碼策略要求為：

密碼必須至少包含一個(gè)大寫字母，一個(gè)小寫字母，一個(gè)數(shù)字和一個(gè)標(biāo)點(diǎn)符號(hào)組成。

經(jīng)過比對，設(shè)備上的密碼策略沒有“一個(gè)標(biāo)點(diǎn)符號(hào)(即ocredit＝-1)”的要求，所以鑒定結(jié)果為密碼策略不安全，因此，根據(jù)預(yù)設(shè)密碼策略，將原有的密碼策略配置修改為：

“passwordrequisitepam_cracklib.soretry＝3difok＝3minlen＝10ucredit＝-1lcredit＝-2dcredit＝-1ocredit＝-1”。

其中，黑色加粗部分為增加的配置項(xiàng)，其它部分為原有的配置項(xiàng)。

進(jìn)一步的，出于安全和穩(wěn)定性考慮，根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改之前，本發(fā)明實(shí)施例還對該目標(biāo)設(shè)備當(dāng)前的基線配置數(shù)據(jù)、以及與所述基線配置數(shù)據(jù)相對應(yīng)的基線配置項(xiàng)名稱進(jìn)行存儲(chǔ)，即對目標(biāo)設(shè)備原有基線進(jìn)行文件級或數(shù)據(jù)庫存儲(chǔ)備份，再根據(jù)基線標(biāo)準(zhǔn)對當(dāng)前基線進(jìn)行修改，以防止在配置修改出錯(cuò)的情況下，還可以獲知目標(biāo)設(shè)備之前所使用的基線配置數(shù)據(jù)，提高基線修復(fù)過程的容錯(cuò)能力。

以centos系統(tǒng)為例，可以使用特權(quán)帳號(hào)執(zhí)行如下指令，以記錄當(dāng)前待加固的基線配置項(xiàng)名稱及原始基線信息：

“cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_backup”。

本發(fā)明實(shí)施例提供的安全資產(chǎn)基線加固方法，通過自動(dòng)下發(fā)采集基線配置的指令到目標(biāo)設(shè)備，然后獲取目標(biāo)設(shè)備根據(jù)上述采集指令返回的基線配置數(shù)據(jù)，并判斷該基線配置數(shù)據(jù)是否符合內(nèi)置或用戶自定義的預(yù)設(shè)基線標(biāo)準(zhǔn)，當(dāng)出現(xiàn)不符合的情況時(shí)，則根據(jù)預(yù)設(shè)的基線配置標(biāo)準(zhǔn)對該目標(biāo)設(shè)備的基線配置進(jìn)行修改。通過上述自動(dòng)對設(shè)備的不合規(guī)基線配置進(jìn)行修復(fù)，大大減少了人工修正基線配置的工作量，也大大減少了手工修改安全配置漏洞的錯(cuò)誤率，提高了安全基線監(jiān)測和管理的效率，保證了信息系統(tǒng)中安全資產(chǎn)的信息安全。

由于部分安全基線在完成配置變更后需要重新啟動(dòng)系統(tǒng)服務(wù)后配置方可生效，如上述實(shí)施例提到的“網(wǎng)絡(luò)訪問控制-禁止root用戶遠(yuǎn)程登陸”這個(gè)配置在修改配置文件后，不會(huì)立刻生效，需要重啟系統(tǒng)服務(wù)方可完成生效。為了保證安全基線加固的實(shí)時(shí)性，本發(fā)明實(shí)施例還提供了另一種安全資產(chǎn)基線加固方法。

圖2為本發(fā)明實(shí)施例二提供的安全資產(chǎn)基線加固方法的基本流程示意圖。如圖2所示，該方法與實(shí)施例一相比，在步驟s130之后，還包括如下步驟：

s210：根據(jù)所述基線配置數(shù)據(jù)的基線類型，判斷所述目標(biāo)設(shè)備是否需要重新啟動(dòng)系統(tǒng)服務(wù)。

其中，各基線配置數(shù)據(jù)是否需要重啟的需要重新啟動(dòng)系統(tǒng)服務(wù)的設(shè)置也可以預(yù)先設(shè)置的上述安全基線庫中，具體的，可以對每一個(gè)基線配置項(xiàng)目下設(shè)置相應(yīng)的系統(tǒng)重啟標(biāo)準(zhǔn)。

s220：如果所述目標(biāo)設(shè)備需要重新啟動(dòng)系統(tǒng)服務(wù)，則向所述目標(biāo)設(shè)備發(fā)送重新啟動(dòng)系統(tǒng)服務(wù)命令，以控制所述目標(biāo)設(shè)備執(zhí)行重新啟動(dòng)系統(tǒng)服務(wù)操作。

以centos系統(tǒng)為例，使用特權(quán)帳號(hào)向目標(biāo)設(shè)備發(fā)送如下指令：

“servicesshdrestart”

目標(biāo)設(shè)備接收到該重新啟動(dòng)系統(tǒng)指令后，便會(huì)進(jìn)行重新啟動(dòng)系統(tǒng)服務(wù)操作。進(jìn)一步的，調(diào)用方還可以接收目標(biāo)設(shè)備返回的系統(tǒng)重啟確認(rèn)指令，當(dāng)調(diào)用方接收到該確認(rèn)指令后，則結(jié)束基線配置流程；相反，如果在預(yù)設(shè)時(shí)間內(nèi)未結(jié)束到該確認(rèn)指令，則可以向該述目標(biāo)設(shè)備發(fā)送一次重新啟動(dòng)系統(tǒng)服務(wù)命令，以防止上一次的指令未發(fā)送成功的情況，或者，可以根據(jù)目標(biāo)設(shè)備返回的報(bào)錯(cuò)信息執(zhí)行相應(yīng)地操作。

通過上述步驟，可以有效防止了信息系統(tǒng)中某些一些設(shè)備由于長時(shí)間不會(huì)開關(guān)機(jī)，而使得上述修改后的基線配置不能生效的問題，進(jìn)而有效保證了修改后的基線配置的快速生效，防止因修改后的基線配置不能生效而導(dǎo)致的信息安全問題。

為對上述修復(fù)結(jié)果的有效性進(jìn)行驗(yàn)證，本發(fā)明實(shí)施例還提供了又一種安全資產(chǎn)基線加固方法。

圖3為本發(fā)明實(shí)施例三提供的安全資產(chǎn)基線加固方法的基本流程示意圖。如圖3所示，該方法與實(shí)施例一相比，在步驟s130之后，還包括如下步驟：

s310：對所述目標(biāo)設(shè)備執(zhí)行不符合所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的功能性驗(yàn)證違規(guī)操作。

以“網(wǎng)絡(luò)訪問控制-禁止root用戶遠(yuǎn)程登陸”基線為例，使用“root”帳號(hào)登錄到目標(biāo)設(shè)備。

s320：根據(jù)執(zhí)行違規(guī)操作的結(jié)果，判斷所述目標(biāo)設(shè)備是否允許所述功能性驗(yàn)證違規(guī)操作。

如果操作成功，則說明目標(biāo)設(shè)備允許所述不符合所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的違規(guī)操作，則重新根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改，即按照步驟s130的步驟，從新執(zhí)行基線配置的修改加固工作。反之，則說明上述基線加固操作有效，則可以結(jié)束整個(gè)修復(fù)流程或者繼續(xù)對目標(biāo)設(shè)備中的其它基線配置進(jìn)行修改。

如上述實(shí)施例中提到的“網(wǎng)絡(luò)訪問控制-禁止root用戶遠(yuǎn)程登陸”，本發(fā)明實(shí)施例采用判斷程序使用root賬號(hào)登錄是否成功，來判斷基線配置修改是否成功，與判斷配置文件是否修改是否成功的方式相比，本發(fā)明實(shí)施例采用直接的功能性驗(yàn)證的方式，可有效防止配置文件未生效或者修改后的配置文件仍存在漏洞的問題，提高了驗(yàn)證修復(fù)結(jié)果部分的有效性與準(zhǔn)確性。

進(jìn)一步的，在上述實(shí)施例一至三中，在安全基線檢測、基線修復(fù)、修復(fù)驗(yàn)證等步驟中，還可以生成相關(guān)的運(yùn)行日志，并且還可以對該運(yùn)行日志進(jìn)行展示、存儲(chǔ)、以郵件等方式自動(dòng)投遞、以pdf、excel、word等格式導(dǎo)出等，以供網(wǎng)絡(luò)運(yùn)維人員后續(xù)對安全基線的修復(fù)工作進(jìn)行整理分析。

基于上述方法，本發(fā)明還提供了一種安全資產(chǎn)基線加固裝置。圖4為本發(fā)明實(shí)施例提供的一種安全資產(chǎn)基線加固裝置的基本結(jié)構(gòu)示意圖。如圖4所示，該裝置400具體包括如下部分：

配置數(shù)據(jù)獲取模塊410：用于獲取目標(biāo)設(shè)備的基線配置數(shù)據(jù)。

其中，該配置數(shù)據(jù)獲取模塊410具體可以包括如下子模塊：

配置報(bào)文采集子模塊411：用于將采集基線配置指令發(fā)送至目標(biāo)設(shè)備；

配置報(bào)文接收子模塊412：用于接收所述目標(biāo)設(shè)備根據(jù)所述采集基線配置指令返回的基線配置報(bào)文。

配置數(shù)據(jù)解析子模塊413：用于根據(jù)所述基線配置報(bào)文，利用正則表達(dá)式解析出所述目標(biāo)設(shè)備的基線配置數(shù)據(jù)。

配置數(shù)據(jù)分析模塊420：用于判斷所述基線配置數(shù)據(jù)是否符合預(yù)設(shè)基線配置標(biāo)準(zhǔn)，所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)與所述基線配置數(shù)據(jù)的基線類型相匹配；

配置數(shù)據(jù)加固模塊430：用于如果所述基線配置數(shù)據(jù)不符合預(yù)設(shè)基線配置標(biāo)準(zhǔn)，則根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改。

由于部分安全基線在完成配置變更后需要重新啟動(dòng)系統(tǒng)服務(wù)后配置方可生效，為了保證安全基線加固的實(shí)時(shí)性，本發(fā)明實(shí)施例中的安全資產(chǎn)基線加固裝置還可以系統(tǒng)重啟判斷模塊440和重啟指令發(fā)送模塊450，其中：

系統(tǒng)重啟判斷模塊440：用于根據(jù)所述基線配置數(shù)據(jù)的基線類型，判斷所述目標(biāo)設(shè)備是否需要重新啟動(dòng)系統(tǒng)服務(wù)；

重啟指令發(fā)送模塊450：用于如果所述目標(biāo)設(shè)備需要重新啟動(dòng)系統(tǒng)服務(wù)，則向所述目標(biāo)設(shè)備發(fā)送重新啟動(dòng)系統(tǒng)服務(wù)命令，以控制所述目標(biāo)設(shè)備執(zhí)行重新啟動(dòng)系統(tǒng)服務(wù)操作。

進(jìn)一步的，為對上述修復(fù)結(jié)果的有效性進(jìn)行驗(yàn)證，本發(fā)明實(shí)施例中的安全資產(chǎn)基線加固裝置還可以包括修復(fù)結(jié)果驗(yàn)證模塊，具體包括違規(guī)項(xiàng)操作模塊460和操作結(jié)果判斷模塊470，其中：

違規(guī)項(xiàng)操作模塊460：用于對所述目標(biāo)設(shè)備執(zhí)行不符合所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的違規(guī)操作。

操作結(jié)果判斷模塊470：用于根據(jù)執(zhí)行違規(guī)操作的結(jié)果，判斷所述目標(biāo)設(shè)備是否允許所述不符合所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的違規(guī)操作。

上述配置數(shù)據(jù)加固模塊430，還用于如果所述目標(biāo)設(shè)備允許所述不符合所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)的違規(guī)操作，則重新根據(jù)所述預(yù)設(shè)基線配置標(biāo)準(zhǔn)對所述目標(biāo)設(shè)備的基線配置進(jìn)行修改。

本發(fā)明實(shí)施例提供的安全資產(chǎn)基線加固裝置，通過自動(dòng)下發(fā)采集基線配置的指令到目標(biāo)設(shè)備，然后獲取目標(biāo)設(shè)備根據(jù)上述采集指令返回的基線配置數(shù)據(jù)，并判斷該基線配置數(shù)據(jù)是否符合內(nèi)置或用戶自定義的預(yù)設(shè)基線標(biāo)準(zhǔn)，當(dāng)出現(xiàn)不符合的情況時(shí)，則根據(jù)預(yù)設(shè)的基線配置標(biāo)準(zhǔn)對該目標(biāo)設(shè)備的基線配置進(jìn)行修改。通過上述自動(dòng)對設(shè)備的不合規(guī)基線配置進(jìn)行修復(fù)，大大減少了人工修正基線配置的工作量，也大大減少了手工修改安全配置漏洞的錯(cuò)誤率，提高了安全基線監(jiān)測和管理的效率，保證了信息系統(tǒng)中安全資產(chǎn)的信息安全。

本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，各個(gè)實(shí)施例之間相同相似的部分互相參見即可，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。尤其，對于裝置或系統(tǒng)實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述得比較簡單，相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置及系統(tǒng)實(shí)施例僅僅是示意性的，其中作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下，即可以理解并實(shí)施。

以上僅是本發(fā)明的具體實(shí)施方式，應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進(jìn)和潤飾，這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。