專(zhuān)利名稱(chēng):一種安全配置核查設(shè)備和方法以及采用該設(shè)備的網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及用于對(duì)網(wǎng)絡(luò)設(shè)備的安全配置進(jìn)行核查的安全 配置核查設(shè)備和方法,以及采用該安全配置核查設(shè)備的網(wǎng)絡(luò)系統(tǒng)。
背景技術(shù):
隨著信息技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)應(yīng)用也越來(lái)越多,承載這些網(wǎng)絡(luò)服務(wù) 和網(wǎng)絡(luò)應(yīng)用的服務(wù)器或者網(wǎng)絡(luò)設(shè)備也在不斷地上架。這些服務(wù)器或者網(wǎng)絡(luò)設(shè)備的安全性也 越來(lái)越被人們所重視。一個(gè)網(wǎng)絡(luò)服務(wù)或應(yīng)用被非法侵入,除了這些服務(wù)器或網(wǎng)絡(luò)設(shè)備自身 的漏洞外,最重要的原因是服務(wù)器或者網(wǎng)絡(luò)設(shè)備的使用者對(duì)它們的配置不夠安全。這些配 置上的缺陷給了黑客的可乘之機(jī),也給服務(wù)器或網(wǎng)絡(luò)設(shè)備的使用者造成了重大的損害。為了防止由于服務(wù)器或者網(wǎng)絡(luò)設(shè)備的配置失誤而造成的損失,網(wǎng)絡(luò)管理員通常會(huì) 對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器或者網(wǎng)絡(luò)設(shè)備的安全配置進(jìn)行核查,對(duì)不符合安全配置規(guī)范的服務(wù)器或 者網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。一些安全廠商已經(jīng)提供了安全軟件用于網(wǎng)絡(luò)管理員對(duì)服務(wù)器或 者網(wǎng)絡(luò)設(shè)備的安全配置進(jìn)行掃描。圖1示出了傳統(tǒng)上對(duì)服務(wù)器或者網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查的過(guò)程示意圖。如圖 1所示 ,首先,某個(gè)服務(wù)器或者網(wǎng)絡(luò)設(shè)備的提供者會(huì)提供“安全配置規(guī)范”,隨后,在網(wǎng)絡(luò)管理 員根據(jù)該“安全配置規(guī)范”對(duì)服務(wù)器或者網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置的同時(shí),安全廠商會(huì)根據(jù)該 “安全配置規(guī)范”來(lái)對(duì)這個(gè)服務(wù)器或者網(wǎng)絡(luò)設(shè)備定制安全配置掃描方案。然后,安全廠商通 過(guò)這個(gè)安全掃描方案對(duì)服務(wù)器或者網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置掃描,并將掃描結(jié)果通知給網(wǎng)絡(luò) 管理員,進(jìn)而規(guī)范服務(wù)器或者網(wǎng)絡(luò)設(shè)備的安全配置。這樣對(duì)該服務(wù)器或者網(wǎng)絡(luò)設(shè)備的配置 安全加固就完成了。然而,雖然利用圖1所示的現(xiàn)有方案可以方便地對(duì)一臺(tái)服務(wù)器或者網(wǎng)絡(luò)設(shè)備進(jìn) 行安全配置核查,但是該安全配置核查由于涉及到安全廠商的工作而消耗了大量的時(shí)間。 如果網(wǎng)絡(luò)環(huán)境中不僅僅具有一臺(tái)服務(wù)器或者網(wǎng)絡(luò)設(shè)備(一般的都是會(huì)有兩臺(tái)以上的不同 服務(wù)器或者網(wǎng)絡(luò)設(shè)備),那么如果要想對(duì)其他的這些設(shè)備進(jìn)行安全配置核查,就要重復(fù)地進(jìn) 行如圖1所描述的過(guò)程。這就表示網(wǎng)絡(luò)環(huán)境中的服務(wù)器或者網(wǎng)絡(luò)設(shè)備種類(lèi)越多,重復(fù)步驟 也就越多,需要耗費(fèi)的時(shí)間就更長(zhǎng)。另外,在不同的網(wǎng)絡(luò)應(yīng)用場(chǎng)景下,對(duì)服務(wù)器或者網(wǎng)絡(luò)設(shè) 備的安全配置規(guī)范要求也有可能不一樣的,因此需要安全廠商更多的工作,這進(jìn)一步需要 消耗更多的時(shí)間和精力。綜上可以看出,需要一種可以由或者服務(wù)器或者網(wǎng)絡(luò)設(shè)備的使用者或者由網(wǎng)絡(luò)管 理員自行根據(jù)不同網(wǎng)絡(luò)應(yīng)用環(huán)境以及不同的服務(wù)器或者網(wǎng)絡(luò)設(shè)備來(lái)靈活地定義自己的安 全配置核查策略的安全配置核查方式,以便節(jié)約成本和時(shí)間。
發(fā)明內(nèi)容
鑒于上述問(wèn)題,提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上 述問(wèn)題的安全配置核查設(shè)備和方法以及采用該安全配置核查設(shè)備的網(wǎng)絡(luò)系統(tǒng)。
根據(jù)本 發(fā)明的一個(gè)方面,提供了一種用于對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查的安全配 置核查設(shè)備,該設(shè)備包括一個(gè)或者多個(gè)預(yù)先配置的掃描策略,每個(gè)預(yù)先配置的掃描策略對(duì) 應(yīng)于一種網(wǎng)絡(luò)設(shè)備,其中每個(gè)掃描策略包括一個(gè)或者多個(gè)安全檢查項(xiàng),每個(gè)安全檢查項(xiàng)與 相對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備上的安全配置相關(guān)聯(lián);掃描策略生成器,選擇所述一個(gè)或者多個(gè)預(yù)先配置 的掃描策略中的掃描策略來(lái)生成與選定網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的新掃描策略,所述新掃描策略中 的安全檢查項(xiàng)選自所選擇的預(yù)先配置掃描策略中的安全檢查項(xiàng);以及掃描器,利用所生成 的新掃描策略對(duì)所選定網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描從而進(jìn)行安全配置核查,其中針對(duì)所述新掃 描策略中的每個(gè)安全檢查項(xiàng),確定所選定網(wǎng)絡(luò)設(shè)備的安全配置是否滿(mǎn)足與該安全檢查項(xiàng)所 指示的安全檢查。根據(jù)本發(fā)明的安全配置核查設(shè)備可以根據(jù)預(yù)先配置的掃描策略來(lái)生成新掃描策 略以便對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查,從而消除了安全廠商的介入,這大大節(jié)省了進(jìn)行安 全配置核查的時(shí)間。可選地,在所述掃描策略生成器中,通過(guò)對(duì)所選擇掃描策略中的安全檢查項(xiàng)進(jìn)行 修改來(lái)生成所述新掃描策略中的安全檢查項(xiàng)。另外,所選擇的掃描策略和所述新掃描策略 對(duì)應(yīng)于相同類(lèi)型的網(wǎng)絡(luò)設(shè)備。這樣,可以根據(jù)預(yù)先配置的掃描策略更快速和準(zhǔn)確地生成適 于新網(wǎng)絡(luò)設(shè)備和新網(wǎng)絡(luò)應(yīng)用環(huán)境的新掃描策略,從而進(jìn)一步節(jié)省了對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配 置核查的時(shí)間??蛇x地,根據(jù)本發(fā)明的安全配置核查設(shè)備還包括報(bào)告生成器,其基于掃描器的安 全掃描結(jié)果來(lái)生成有關(guān)網(wǎng)絡(luò)設(shè)備的安全配置核查結(jié)果以及用于存儲(chǔ)一個(gè)或者多個(gè)預(yù)先配 置的掃描策略的掃描策略存儲(chǔ)器。根據(jù)本發(fā)明的另一個(gè)方面,提供了一種針對(duì)網(wǎng)絡(luò)設(shè)備的安全配置核查方法,該方 法可以根據(jù)預(yù)先配置的掃描策略來(lái)生成新掃描策略以便對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查,從 而消除了安全廠商的介入,這大大節(jié)省了進(jìn)行安全配置核查的時(shí)間。具體而言,該安全配置 核查方法包括步驟選擇一個(gè)或者多個(gè)預(yù)先配置的掃描策略中的掃描策略來(lái)生成與所述網(wǎng) 絡(luò)設(shè)備相對(duì)應(yīng)的新掃描策略,其中每個(gè)預(yù)先配置的掃描策略對(duì)應(yīng)于一種網(wǎng)絡(luò)設(shè)備且包括一 個(gè)或者多個(gè)安全檢查項(xiàng),每個(gè)安全檢查項(xiàng)與相對(duì)應(yīng)的一種網(wǎng)絡(luò)設(shè)備上的安全配置相關(guān)聯(lián), 以及其中所述新掃描策略中的安全檢查項(xiàng)選自所選擇的預(yù)先配置掃描策略中的安全檢查 項(xiàng);以及利用所生成的新掃描策略對(duì)所述網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描,其中針對(duì)所述新掃描策 略中的每個(gè)安全檢查項(xiàng),確定所述網(wǎng)絡(luò)設(shè)備的安全配置是否滿(mǎn)足與該安全檢查項(xiàng)所指示的 安全檢查。根據(jù)本發(fā)明的還有一個(gè)方面,提供了一種網(wǎng)絡(luò)系統(tǒng),其包括一個(gè)或者多個(gè)網(wǎng)絡(luò)設(shè) 備,以及根據(jù)本發(fā)明的安全配置核查設(shè)備,以用于對(duì)這些網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查。由于該網(wǎng)絡(luò)系統(tǒng)采用了根據(jù)本發(fā)明的安全配置核查設(shè)備,因此即使該網(wǎng)絡(luò)系統(tǒng)中 具有多個(gè)類(lèi)型不同的網(wǎng)絡(luò)設(shè)備,也可以便利地生成與這些網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的掃描策略來(lái)進(jìn) 行恰當(dāng)?shù)陌踩渲煤瞬?,從而?jié)省了進(jìn)行安全配置核查的時(shí)間。
通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通 技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件。在附圖中 圖1示出了傳統(tǒng)上對(duì)服務(wù)器或者網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查的過(guò)程示意圖;圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的安全配置核查設(shè)備;圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的安全配置核查設(shè)備中的掃描策略生成器生 成新掃描策略的示意圖;圖4示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的安全配置核查方法;圖5示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的、其中采用了安全配置核查設(shè)備的網(wǎng)絡(luò)系 統(tǒng);以及圖6示出了根據(jù)本發(fā)明另一個(gè)實(shí)施例的其中采用了安全配置核查設(shè)備的網(wǎng)絡(luò)系 統(tǒng)。
具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
進(jìn)行描述。圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的安全配置核查設(shè)備200。如圖2所示,安全 配置核查設(shè)備200包括一個(gè)或者多個(gè)預(yù)先配置的掃描策略210,每個(gè)掃描策略與一種網(wǎng)絡(luò) 設(shè)備(在下文中,為了便于描述,將服務(wù)器和網(wǎng)絡(luò)設(shè)備統(tǒng)稱(chēng)為網(wǎng)絡(luò)設(shè)備)相對(duì)應(yīng)。預(yù)先配置 的掃描策略通常由安全廠商根據(jù)網(wǎng)絡(luò)設(shè)備提供者所提供的規(guī)范而預(yù)先定制。例如,取決于 網(wǎng)絡(luò)設(shè)備的類(lèi)型,掃描策略210可以從包括下列掃描策略的組中選出Windows掃描策略、 Solaris掃描策略、Oracle掃描策略、CiscoRouter掃描策略、Juniper Router掃描策略、 Huawei Router掃描策略、NETSCREEN掃描策略、PIX Firewall掃描策略、Informix掃描策 略、HP Unix掃描策略、AIX掃描策略、Linux掃描策略、Microsoft SQLServer掃描策略、 BIND掃描策略、Apache掃描策略、IIS掃描策略、Tomcat掃描策略、H3C Switch掃描策略、 fortigate掃描策略和Windows-ORACLE掃描策略。每個(gè)掃描策略210包括一個(gè)或者多個(gè)安 全檢查項(xiàng),這些安全檢查項(xiàng)的中每個(gè)都與相應(yīng)網(wǎng)絡(luò)設(shè)備上的安全配置相關(guān)聯(lián)。例如在掃描 策略210為HP Unix掃描策略的情況下,此時(shí)對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備為HP Unix,其中安全檢查項(xiàng) 可以包括檢測(cè)用戶(hù)缺省訪(fǎng)問(wèn)權(quán)限是否符合規(guī)范(根據(jù)該安全檢查項(xiàng)檢測(cè)用戶(hù)缺省訪(fǎng)問(wèn)權(quán) 限設(shè)置是否符合安全規(guī)范)、檢測(cè)telnet是否限制具備超級(jí)管理員權(quán)限的用戶(hù)直接遠(yuǎn)程 登錄、檢測(cè)ssh是否限制具備超級(jí)管理員權(quán)限的用戶(hù)直接遠(yuǎn)程登錄、檢測(cè)采用靜態(tài)口令認(rèn) 證技術(shù)的設(shè)備密碼長(zhǎng)度是否符合規(guī)范、檢測(cè)采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備密碼生存期是否 滿(mǎn)足規(guī)范、以及檢測(cè)采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備不能使用最近指定次數(shù)內(nèi)設(shè)置過(guò)的密碼 等等。根據(jù)與掃描策略相對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備的類(lèi)型不同,掃描策略可以具有不同類(lèi)型和數(shù)量 的安全檢查項(xiàng)。另外,即使針對(duì)同一種類(lèi)型的網(wǎng)絡(luò)設(shè)備,也可以預(yù)先配置適用于不同網(wǎng)絡(luò)應(yīng) 用環(huán)境的掃描策略。例如,對(duì)于NETSCREEN網(wǎng)絡(luò)設(shè)備,可以根據(jù)該網(wǎng)絡(luò)設(shè)備是在公眾網(wǎng)絡(luò)中 使用還是在局域網(wǎng)絡(luò)中使用來(lái)預(yù)先配置不同的掃描策略。安全配置核查設(shè)備200還包括掃描策略生成器220,其為要進(jìn)行安全配置核查的 目標(biāo)網(wǎng)絡(luò)設(shè)備生成新掃描策略。掃描策略生成器220選擇預(yù)先配置的掃描策略210中的一 個(gè)或者多個(gè)掃描策略來(lái)生成與目標(biāo)網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的新掃描策略。圖3示出了由掃描策略生成器220生成新掃描策略的示意圖。在新掃描策略中, 其中的安全檢查項(xiàng)從所選擇的預(yù)先配置掃描策略210中的安全檢查項(xiàng)中選擇得到。可選地,新掃描策略的安全檢查項(xiàng)可以選自一個(gè)預(yù)先配置的掃描策略210,也可以選自多個(gè)預(yù)先 配置的掃描策略。掃描策略生成器220基于目標(biāo)網(wǎng)絡(luò)設(shè)備的類(lèi)型和網(wǎng)絡(luò)應(yīng)用環(huán)境,從所選 擇的一個(gè)或者多個(gè)預(yù)先配置掃描策略210的安全檢查項(xiàng)中篩選出適合于目標(biāo)網(wǎng)絡(luò)設(shè)備的 安全檢查項(xiàng)以構(gòu)造新掃描策略。可選地,當(dāng)預(yù)先配置掃描策略210的安全檢查項(xiàng)并不符合目標(biāo)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)應(yīng) 用環(huán)境時(shí),掃描策略生成器220可以對(duì)安全檢查項(xiàng)的參數(shù)進(jìn)行修改以獲得屬于新掃描策略 的安全檢查項(xiàng)。由于此時(shí)僅僅需要對(duì)安全檢查項(xiàng)的參數(shù)進(jìn)行修改而不需要從零開(kāi)始創(chuàng)建新 安全檢查項(xiàng),因此可以快速地建立安全檢查項(xiàng)。舉例而言,對(duì)于現(xiàn)有的安全檢查項(xiàng)“檢測(cè)采 用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備用戶(hù)不能重復(fù)使用最近8次內(nèi)(含8次)已使用的口令”,其中 的參數(shù)“8次”可以根據(jù)網(wǎng)絡(luò)應(yīng)用環(huán)境而進(jìn)行修改以構(gòu)造新的安全檢查項(xiàng)。 當(dāng)然,掃描策略生成器220也可以根據(jù)目標(biāo)網(wǎng)絡(luò)設(shè)備的類(lèi)型來(lái)新創(chuàng)建安全檢查 項(xiàng)。例如,在目標(biāo)網(wǎng)絡(luò)設(shè)備的類(lèi)型為Windows操作系統(tǒng)的情況下,可以建立針對(duì)某個(gè)注冊(cè)表 項(xiàng)內(nèi)容值的安全檢查項(xiàng)。對(duì)于其他網(wǎng)絡(luò)設(shè)備類(lèi)型,還存在其他創(chuàng)建新安全檢查項(xiàng)的方式, 所有這些都在本發(fā)明的保護(hù)范圍之內(nèi)。另外,可選地,新掃描策略可以從相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備類(lèi)型與目標(biāo)網(wǎng)絡(luò)設(shè)備相同的 預(yù)先配置的掃描策略中選出。例如,當(dāng)目標(biāo)網(wǎng)絡(luò)設(shè)備為Windows時(shí),可以從用于Windows的 各個(gè)預(yù)先配置的掃描策略中選擇新掃描策略的安全檢查項(xiàng)。這樣可以快速而準(zhǔn)確地構(gòu)造新 掃描策略。在掃描策略生成器220構(gòu)造了新掃描策略之后,安全配置核查設(shè)備200中的掃描 器230基于該新掃描策略對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備300進(jìn)行安全掃描一遍進(jìn)行安全配置核查。掃描 器230針對(duì)新掃描策略中的每個(gè)安全檢查項(xiàng),確定目標(biāo)網(wǎng)絡(luò)設(shè)備300的安全配置是否滿(mǎn)足 與該安全檢查項(xiàng)所指示的安全檢查內(nèi)容。掃描器230可以采用本領(lǐng)域的任何方式來(lái)進(jìn)行安 全檢查項(xiàng)所指示內(nèi)容的檢測(cè)。例如,掃描器230可以基于安全檢查項(xiàng)的內(nèi)容生成登錄到目 標(biāo)網(wǎng)絡(luò)設(shè)備300上執(zhí)行的腳本,在目標(biāo)網(wǎng)絡(luò)設(shè)備300上執(zhí)行該腳本并根據(jù)該腳本的執(zhí)行結(jié) 果確定目標(biāo)網(wǎng)絡(luò)設(shè)備300是否滿(mǎn)足該安全檢查項(xiàng)。所以這些檢查方式都在本發(fā)明的保護(hù)范 圍之內(nèi)??蛇x地,安全配置核查設(shè)備還包括報(bào)告生成器240,其基于掃描器230的安全掃描 結(jié)果來(lái)生成有關(guān)目標(biāo)網(wǎng)絡(luò)設(shè)備300的安全配置核查結(jié)果,以便目標(biāo)網(wǎng)絡(luò)設(shè)備300的系統(tǒng)管 理員可以根據(jù)該核查結(jié)果來(lái)修改目標(biāo)網(wǎng)絡(luò)設(shè)備300上的安全配置,從而提高目標(biāo)網(wǎng)絡(luò)設(shè)備 300的安全性。另外,安全配置核查設(shè)備200還包括掃描策略存儲(chǔ)器250,用于存儲(chǔ)所述一個(gè)或者 多個(gè)預(yù)先配置的掃描策略210。安全配置核查設(shè)備200可以根據(jù)預(yù)先配置的掃描策略210來(lái)生成新掃描策略以便 對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備300進(jìn)行安全配置核查,從而消除了安全廠商的介入,這大大節(jié)省了進(jìn)行 安全配置核查的時(shí)間。圖4示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的安全配置核查方法,該方法可以由安全配置 核查設(shè)備200執(zhí)行以便對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查。如圖4所示,該方法始于步驟S 410, 其中選擇一個(gè)或者多個(gè)預(yù)先配置的掃描策略中的掃描策略來(lái)生成與目標(biāo)網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng) 的新掃描策略。如上所述,每個(gè)預(yù)先配置的掃描策略對(duì)應(yīng)于一種網(wǎng)絡(luò)設(shè)備且包括一個(gè)或者多個(gè)安全檢查項(xiàng),每個(gè)安全檢查項(xiàng)與相對(duì)應(yīng)的一種網(wǎng)絡(luò)設(shè)備上的安全配置相關(guān)聯(lián)。在步驟S410中,基于目標(biāo)網(wǎng)絡(luò)設(shè)備的類(lèi)型和網(wǎng)絡(luò)應(yīng)用環(huán)境,通過(guò)從所選擇的預(yù)先 配置掃描策略中的安全檢查項(xiàng)中篩選出適合于目標(biāo)網(wǎng)絡(luò)設(shè)備的安全檢查項(xiàng)來(lái)生成新掃描 策略??蛇x地,新掃描策略的安全檢查項(xiàng)可以選自一個(gè)預(yù)先配置的掃描策略,也可以選自多 個(gè)預(yù)先配置的掃描策略。另外,可選地,當(dāng)預(yù)先配置掃描策略的安全檢查項(xiàng)并不符合目標(biāo)網(wǎng) 絡(luò)設(shè)備的網(wǎng)絡(luò)應(yīng)用環(huán)境時(shí),可以對(duì)安全檢查項(xiàng)的參數(shù)進(jìn)行修改以獲得屬于新掃描策略的安 全檢查項(xiàng)。由于此時(shí)僅僅需要對(duì)安全檢查項(xiàng)的參數(shù)進(jìn)行修改而不需要從零開(kāi)始創(chuàng)建新安全 檢查項(xiàng),因此可以快速地建立安全檢查項(xiàng)。另外,可選地,新掃描策略可以從相關(guān)聯(lián)的網(wǎng)絡(luò) 設(shè)備類(lèi)型與目標(biāo)網(wǎng)絡(luò)設(shè)備相同的預(yù)先配置的掃描策略中選出。可選地,步驟S410可以由上述掃描策略生成器220來(lái)執(zhí)行。在步驟S410構(gòu)造了適于目標(biāo)網(wǎng)絡(luò)設(shè)備的新掃描策略之后,在步驟S420中,利用所生成的新掃描策略對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描,其中針對(duì)新掃描策略中的每個(gè)安全檢查 項(xiàng),確定目標(biāo)網(wǎng)絡(luò)設(shè)備的安全配置是否滿(mǎn)足與該安全檢查項(xiàng)所指示的安全檢查。步驟S420 可以采用本領(lǐng)域的任何方式來(lái)進(jìn)行安全檢查項(xiàng)所指示內(nèi)容的檢測(cè)。例如,可以基于安全檢 查項(xiàng)的內(nèi)容生成登錄到目標(biāo)網(wǎng)絡(luò)設(shè)備上執(zhí)行的腳本,在目標(biāo)網(wǎng)絡(luò)設(shè)備上執(zhí)行該腳本并根據(jù) 該腳本的執(zhí)行結(jié)果確定目標(biāo)網(wǎng)絡(luò)設(shè)備是否滿(mǎn)足該安全檢查項(xiàng)。所以這些檢查方式都在本發(fā) 明的保護(hù)范圍之內(nèi)??蛇x地,步驟S420可以由上述的掃描器230來(lái)執(zhí)行。在步驟S420中對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查之后,可選地,該方法還包括步 驟S430,其中基于步驟S420的安全掃描的結(jié)果來(lái)生成有關(guān)目標(biāo)網(wǎng)絡(luò)設(shè)備的安全配置核查 結(jié)果,以便目標(biāo)網(wǎng)絡(luò)設(shè)備的系統(tǒng)管理員可以根據(jù)該核查結(jié)果來(lái)修改目標(biāo)網(wǎng)絡(luò)設(shè)備上的安全 配置,從而提高目標(biāo)網(wǎng)絡(luò)設(shè)備的安全性。圖5示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的、其中采用了安全配置核查設(shè)備200的網(wǎng)絡(luò) 系統(tǒng)500。如圖5所示,網(wǎng)絡(luò)系統(tǒng)500中包括通過(guò)局域網(wǎng)絡(luò)540互連的多個(gè)網(wǎng)絡(luò)設(shè)備,這些 網(wǎng)絡(luò)設(shè)備除了傳統(tǒng)的諸如網(wǎng)關(guān)、路由器之類(lèi)的網(wǎng)絡(luò)設(shè)備510之外,還包括服務(wù)器520和終端 530等。安全配置核查設(shè)備200也通過(guò)局域網(wǎng)絡(luò)540與這些網(wǎng)絡(luò)設(shè)備互連,從而可以對(duì)這些 網(wǎng)絡(luò)設(shè)備的安全配置進(jìn)行核查。這樣,系統(tǒng)管理員可以利用一臺(tái)安全配置核查設(shè)備200就 可以對(duì)網(wǎng)絡(luò)系統(tǒng)500中的所有網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查。此外,對(duì)于一些大型的網(wǎng)絡(luò),由于其組織結(jié)構(gòu)復(fù)雜、分布點(diǎn)多、數(shù)據(jù)相對(duì)分散等原 因,可以利用多臺(tái)安全配置核查設(shè)備200的分布式部署來(lái)實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè) 備的安全配置核查。圖6就示出了這樣的示例。如圖6所示,安全配置核查設(shè)備200進(jìn)行 了分布式部署,并且支持各核查設(shè)備之間的數(shù)據(jù)共享和匯總,方便用戶(hù)對(duì)分布式網(wǎng)絡(luò)進(jìn)行 集中管理。在圖6的網(wǎng)絡(luò)系統(tǒng)600中,具有多臺(tái)根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)而分組的網(wǎng)絡(luò)設(shè)備,而每 組網(wǎng)絡(luò)設(shè)備由相應(yīng)的安全配置核查設(shè)備進(jìn)行核查,而核查的數(shù)據(jù)又可以在各核查設(shè)備之間 共享或匯總,這使得根據(jù)本發(fā)明的安全配置核查設(shè)備200可以在大型網(wǎng)絡(luò)中應(yīng)用。由于本發(fā)明可以靈活的對(duì)安全配置掃描方案進(jìn)行自定義,這些自定義的東西完全 取決于用戶(hù)的需求,所以,用戶(hù)能更靈活的對(duì)服務(wù)器或網(wǎng)絡(luò)設(shè)備的配置進(jìn)行安全掃描,而且 能夠節(jié)約大量的時(shí)間和成本。應(yīng)當(dāng)注意的是,在本發(fā)明的安全配置核查設(shè)備的各個(gè)部件中,根據(jù)其要實(shí)現(xiàn)的功能而對(duì)其中的部件進(jìn)行了邏輯劃分,但是,本發(fā)明不受限于此,可以根據(jù)需要對(duì)各個(gè)部件進(jìn)行重新劃分或者組合,例如,可以將一些部件組合為單個(gè)部件,或者可以將一些部件進(jìn)一步 分解為更多的子部件。本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個(gè)或者多個(gè)處理器上運(yùn)行 的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用 微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的安全配置核查設(shè)備中的 一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方 法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣 的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號(hào)的形 式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號(hào)上提供,或者以任何其他形 式提供。應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制,并且本領(lǐng) 域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中, 不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在 未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這 樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái) 實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件 項(xiàng)來(lái)具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為 名稱(chēng)。
權(quán)利要求
1.一種安全配置核查設(shè)備,包括一個(gè)或者多個(gè)預(yù)先配置的掃描策略,每個(gè)預(yù)先配置的掃描策略對(duì)應(yīng)于一種網(wǎng)絡(luò)設(shè)備, 其中每個(gè)掃描策略包括一個(gè)或者多個(gè)安全檢查項(xiàng),每個(gè)安全檢查項(xiàng)與相對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備上的 安全配置相關(guān)聯(lián);掃描策略生成器,選擇所述一個(gè)或者多個(gè)預(yù)先配置的掃描策略中的掃描策略來(lái)生成與 選定網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的新掃描策略,所述新掃描策略中的安全檢查項(xiàng)選自所選擇的預(yù)先配 置掃描策略中的安全檢查項(xiàng);掃描器,利用所生成的新掃描策略對(duì)所選定網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描從而進(jìn)行安全配置 核查,其中針對(duì)所述新掃描策略中的每個(gè)安全檢查項(xiàng),確定所選定網(wǎng)絡(luò)設(shè)備的安全配置是 否滿(mǎn)足與該安全檢查項(xiàng)所指示的安全檢查。
2.如權(quán)利要求1所述的安全配置核查設(shè)備,其中在所述掃描策略生成器中,通過(guò)對(duì)所 選擇掃描策略中的安全檢查項(xiàng)進(jìn)行修改來(lái)生成所述新掃描策略中的安全檢查項(xiàng)。
3.如權(quán)利要求1所述的安全配置核查設(shè)備,其中在所述掃描策略生成器中,所選擇的 掃描策略和所述新掃描策略對(duì)應(yīng)于相同類(lèi)型的網(wǎng)絡(luò)設(shè)備。
4.如權(quán)利要求1-3中的任一個(gè)所述的安全配置核查設(shè)備,還包括報(bào)告生成器,基于上述掃描器的安全掃描結(jié)果來(lái)生成有關(guān)所選定網(wǎng)絡(luò)設(shè)備的安全配置 核查結(jié)果。
5.如權(quán)利要求1-3中的任一個(gè)所述的安全配置核查設(shè)備,還包括掃描策略存儲(chǔ)器,用于存儲(chǔ)所述一個(gè)或者多個(gè)預(yù)先配置的掃描策略。
6.一種針對(duì)網(wǎng)絡(luò)設(shè)備的安全配置核查方法,包括步驟選擇一個(gè)或者多個(gè)預(yù)先配置的掃描策略中的掃描策略來(lái)生成與所述網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng) 的新掃描策略,其中每個(gè)預(yù)先配置的掃描策略對(duì)應(yīng)于一種網(wǎng)絡(luò)設(shè)備且包括一個(gè)或者多個(gè)安 全檢查項(xiàng),每個(gè)安全檢查項(xiàng)與相對(duì)應(yīng)的一種網(wǎng)絡(luò)設(shè)備上的安全配置相關(guān)聯(lián),以及其中所述 新掃描策略中的安全檢查項(xiàng)選自所選擇的預(yù)先配置掃描策略中的安全檢查項(xiàng);利用所生成的新掃描策略對(duì)所述網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描,其中針對(duì)所述新掃描策略中 的每個(gè)安全檢查項(xiàng),確定所述網(wǎng)絡(luò)設(shè)備的安全配置是否滿(mǎn)足與該安全檢查項(xiàng)所指示的安全 檢查。
7.如權(quán)利要求6所述的安全配置核查方法,其中所述選擇一個(gè)或者多個(gè)預(yù)先配置的掃 描策略中的掃描策略來(lái)生成與所述網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的新掃描策略的步驟還包括對(duì)所選擇掃描策略中的安全檢查項(xiàng)進(jìn)行修改來(lái)生成所述新掃描策略中的安全檢查項(xiàng)。
8.如權(quán)利要求7所述的安全配置核查方法,其中所述選擇一個(gè)或者多個(gè)預(yù)先配置的掃 描策略中的掃描策略來(lái)生成與所述網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的新掃描策略的步驟還包括從對(duì)應(yīng)于 類(lèi)型與所述網(wǎng)絡(luò)設(shè)備相同的網(wǎng)絡(luò)設(shè)備的預(yù)先配置掃描策略中選擇掃描策略來(lái)生成所述新 掃描策略。
9.如權(quán)利要求6-8中的任一個(gè)所述的安全配置核查方法,還包括步驟基于所述安全掃描的結(jié)果來(lái)生成有關(guān)所述網(wǎng)絡(luò)設(shè)備的安全配置核查結(jié)果。
10.一種網(wǎng)絡(luò)系統(tǒng),包括一個(gè)或者多個(gè)網(wǎng)絡(luò)設(shè)備;如權(quán)利要求1-5中的任一個(gè)所述的安全配置核查設(shè)備,用于對(duì)所述一個(gè)或者多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查。
11.如權(quán)利要求10所述的網(wǎng)絡(luò)系統(tǒng),其中包括多個(gè)網(wǎng)絡(luò)設(shè)備,所述多個(gè)網(wǎng)絡(luò)設(shè)備分成 多個(gè)組;以及在每個(gè)網(wǎng)絡(luò)設(shè)備組中并入安全配置核查設(shè)備,以便對(duì)該網(wǎng)絡(luò)設(shè)備組中的網(wǎng)絡(luò)設(shè)備進(jìn)行 安全配置核查。
全文摘要
本發(fā)明公開(kāi)了一種用于對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查的安全配置核查設(shè)備,包括一個(gè)或者多個(gè)預(yù)先配置的掃描策略;掃描策略生成器,選擇所述一個(gè)或者多個(gè)預(yù)先配置的掃描策略中的掃描策略來(lái)生成與網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的新掃描策略;以及掃描器,利用所生成的新掃描策略對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描從而進(jìn)行安全配置核查。本發(fā)明還公開(kāi)了一種相應(yīng)的安全配置核查方法以及采用該核查設(shè)備的網(wǎng)絡(luò)系統(tǒng)。
文檔編號(hào)H04L29/06GK102075347SQ20101054986
公開(kāi)日2011年5月25日 申請(qǐng)日期2010年11月18日 優(yōu)先權(quán)日2010年11月18日
發(fā)明者丁健, 周振, 孫建鵬, 徐東, 聶百川 申請(qǐng)人:北京神州綠盟信息安全科技股份有限公司