專利名稱:一種安全配置核查設(shè)備和方法以及安全配置核查網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域����,尤其涉及用于對(duì)網(wǎng)絡(luò)設(shè)備的安全配置進(jìn)行核查的安全配置核查設(shè)備和核查方法�,以及相應(yīng)的網(wǎng)絡(luò)系統(tǒng)。
背景技術(shù):
隨著信息技術(shù)的不斷發(fā)展�����,網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)應(yīng)用也越來(lái)越多�,承載這些網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)應(yīng)用的服務(wù)器或者網(wǎng)絡(luò)設(shè)備也在不斷地上架。這些服務(wù)器或者網(wǎng)絡(luò)設(shè)備的安全性也越來(lái)越被人們所重視���。一個(gè)網(wǎng)絡(luò)服務(wù)或應(yīng)用被非法侵入���,除了這些服務(wù)器或網(wǎng)絡(luò)設(shè)備自身的漏洞外��,最重要的原因是服務(wù)器或者網(wǎng)絡(luò)設(shè)備的使用者對(duì)它們的配置不夠安全���。這些配置上的缺陷給了黑客的可乘之機(jī),也給服務(wù)器或網(wǎng)絡(luò)設(shè)備的使用者造成了重大的損害�����。
為了防止由于服務(wù)器或者網(wǎng)絡(luò)設(shè)備的配置失誤而造成的損失��,網(wǎng)絡(luò)管理員通常會(huì)對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器或者網(wǎng)絡(luò)設(shè)備的安全配置進(jìn)行核查���,對(duì)不符合安全配置規(guī)范的服務(wù)器或者網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固���。一些安全廠商已經(jīng)提供了安全軟件用于網(wǎng)絡(luò)管理員對(duì)服務(wù)器或者網(wǎng)絡(luò)設(shè)備的安全配置進(jìn)行掃描。傳統(tǒng)上�����,某個(gè)服務(wù)器或者網(wǎng)絡(luò)設(shè)備的提供商會(huì)提供“安全配置規(guī)范”����,隨后,在網(wǎng)絡(luò)管理員根據(jù)該“安全配置規(guī)范”對(duì)服務(wù)器或者網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置的同時(shí)�,安全廠商會(huì)根據(jù)該“安全配置規(guī)范”來(lái)對(duì)這個(gè)服務(wù)器或者網(wǎng)絡(luò)設(shè)備定制安全配置掃描方案�。然后�����,安全廠商通過(guò)這個(gè)安全掃描方案對(duì)服務(wù)器或者網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置掃描��,并將掃描結(jié)果通知給網(wǎng)絡(luò)管理員���,進(jìn)而規(guī)范服務(wù)器或者網(wǎng)絡(luò)設(shè)備的安全配置���。隨著,網(wǎng)絡(luò)管理員要管理的服務(wù)器或者網(wǎng)絡(luò)設(shè)備數(shù)量和種類不斷增加���,為了提高對(duì)這些網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查的效率。本申請(qǐng)的申請(qǐng)人在先前申請(qǐng)?zhí)枮?01010549861. 7的中國(guó)專利申請(qǐng)“一種安全配置核查設(shè)備和方法以及采用該設(shè)備的網(wǎng)絡(luò)系統(tǒng)”中已經(jīng)提出了一種可以由網(wǎng)絡(luò)管理員或者服務(wù)器或者網(wǎng)絡(luò)設(shè)備的使用者自行根據(jù)不同網(wǎng)絡(luò)應(yīng)用環(huán)境以及不同的服務(wù)器或者網(wǎng)絡(luò)設(shè)備來(lái)靈活地定義自己的安全配置核查策略的安全配置核查方式�,以便節(jié)約安全配置核查的成本和時(shí)間。每個(gè)安全配置核查策略包括一個(gè)或者多個(gè)檢查項(xiàng)?�,F(xiàn)有的檢查項(xiàng)只能支持較為簡(jiǎn)單的檢查內(nèi)容��。例如����,現(xiàn)有的檢查項(xiàng)可以包括用戶缺省訪問(wèn)權(quán)限是否符合規(guī)范��、telnet是否限制具備超級(jí)管理員權(quán)限的用戶直接遠(yuǎn)程登錄�、ssh是否限制具備超級(jí)管理員權(quán)限的用戶直接遠(yuǎn)程登錄�����、采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備密碼長(zhǎng)度是否符合規(guī)范�����、采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備密碼生存期是否滿足規(guī)范��、以及采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備不能使用最近指定次數(shù)內(nèi)設(shè)置過(guò)的密碼等���。上面的這些簡(jiǎn)單檢查項(xiàng)可以通過(guò)在網(wǎng)絡(luò)設(shè)備上執(zhí)行命令之類的簡(jiǎn)單方法就可以實(shí)現(xiàn)�����。然而���,隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,可能需要一些更為復(fù)雜的檢查項(xiàng)�,例如這些檢查項(xiàng)甚至涉及網(wǎng)絡(luò)設(shè)備和外部網(wǎng)絡(luò)的交互等。目前的檢查項(xiàng)沒(méi)法完成這些復(fù)雜的檢查內(nèi)容���,因此安全配置核查的功能和范圍也就受到了一定的限制�。因此,希望有一種可以增強(qiáng)檢查項(xiàng)的功能���,從而擴(kuò)大安全配置核查的范圍的新的安全配置核查設(shè)備和方法�。
發(fā)明內(nèi)容
鑒于上述問(wèn)題����,提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的安全配置核查設(shè)備和方法以及采用該安全配置核查設(shè)備的網(wǎng)絡(luò)系統(tǒng)。根據(jù)本發(fā)明的一個(gè)方面�����,提供了一種安全配置核查設(shè)備���,包括一個(gè)或者多個(gè)掃描策略����,每個(gè)掃描策略對(duì)應(yīng)于一種網(wǎng)絡(luò)設(shè)備����,其中每個(gè)掃描策略包括一個(gè)或者多個(gè)安全檢查項(xiàng)���,每個(gè)安全檢查項(xiàng)與相對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備上的安全配置相關(guān)聯(lián)����,其中一個(gè)或者多個(gè)安全檢查項(xiàng)中的至少一個(gè)為可執(zhí)行插件,可執(zhí)行插件適于在網(wǎng)絡(luò)設(shè)備上執(zhí)行以核查網(wǎng)絡(luò)設(shè)備的安全配置����;掃描器,選擇與網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的掃描策略來(lái)對(duì)該網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描�,其中對(duì)于所選擇的掃描策略中的每個(gè)安全檢查項(xiàng),確定網(wǎng)絡(luò)設(shè)備中的相關(guān)聯(lián)安全配置是否合格���,以及當(dāng)安全檢查項(xiàng)為可執(zhí)行插件時(shí),將可執(zhí)行插件上載到網(wǎng)絡(luò)設(shè)備上并執(zhí)行,并根據(jù)可執(zhí)行插件的執(zhí)行結(jié)果來(lái)確定所述網(wǎng)絡(luò)設(shè)備中的相關(guān)聯(lián)安全配置是否合格���。根據(jù)本發(fā)明的安全配置核查設(shè)備將掃描策略中的安全檢查項(xiàng)的功能擴(kuò)展到可以在目標(biāo)網(wǎng)絡(luò)設(shè)備上執(zhí)行的可執(zhí)行插件。由于可執(zhí)行插件可以執(zhí)行復(fù)雜的操作����,因此可以在 目標(biāo)網(wǎng)絡(luò)設(shè)備上進(jìn)行復(fù)雜的安全配置檢查,從而可以擴(kuò)展安全配置核查設(shè)備的功能���?�?蛇x地���,根據(jù)本發(fā)明的安全配置核查設(shè)備還包括被配置為執(zhí)行和/或解析所述可執(zhí)行插件的插件引擎��,當(dāng)對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查時(shí)���,掃描器將插件引擎和可執(zhí)行插件一起發(fā)送到網(wǎng)絡(luò)設(shè)備,從而在目標(biāo)網(wǎng)絡(luò)設(shè)備上由插件引擎來(lái)執(zhí)行可執(zhí)行插件����。插件引擎提供了可執(zhí)行插件的執(zhí)行“容器”,這樣���,一方面插件引擎可以為可執(zhí)行插件的編寫(xiě)者提供了統(tǒng)一的接口�,另一方面又可以適用于不同類型的目標(biāo)網(wǎng)絡(luò)設(shè)備�����,從而使得可執(zhí)行插件的編寫(xiě)者無(wú)需考慮目標(biāo)網(wǎng)絡(luò)設(shè)備的具體類型�,從而便于可執(zhí)行插件的編寫(xiě)。另外���,根據(jù)本發(fā)明的安全配置核查設(shè)備還包括插件處理接口���,適于檢查外部用戶創(chuàng)建的可執(zhí)行插件并將其存儲(chǔ)到掃描策略中。插件處理接口可以利用例如插件引擎來(lái)檢查新創(chuàng)建的可執(zhí)行插件能否正常運(yùn)行�,并且僅僅將合格的可執(zhí)行插件存儲(chǔ)到掃描策略中。根據(jù)本發(fā)明的另一個(gè)方面�,提供了一種針對(duì)網(wǎng)絡(luò)設(shè)備的安全配置核查方法,包括步驟生成與該網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的掃描策略���,每個(gè)掃描策略包括一個(gè)或者多個(gè)安全檢查項(xiàng)��,每個(gè)安全檢查項(xiàng)與相對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備上的安全配置相關(guān)聯(lián)�����,一個(gè)或者多個(gè)安全檢查項(xiàng)中的至少一個(gè)為可執(zhí)行插件��,可執(zhí)行插件適于在網(wǎng)絡(luò)設(shè)備上執(zhí)行以核查網(wǎng)絡(luò)設(shè)備的安全配置�����;利用該掃描策略來(lái)對(duì)該網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描�,其中對(duì)于所選擇掃描策略中的每個(gè)安全檢查項(xiàng)�����,確定網(wǎng)絡(luò)設(shè)備中的相關(guān)聯(lián)安全配置是否合格,以及當(dāng)安全檢查項(xiàng)為可執(zhí)行插件時(shí)�����,將可執(zhí)行插件上載到網(wǎng)絡(luò)設(shè)備上并執(zhí)行�,并根據(jù)可執(zhí)行插件的執(zhí)行結(jié)果來(lái)確定網(wǎng)絡(luò)設(shè)備中的相關(guān)聯(lián)安全配置是否合格。根據(jù)本發(fā)明的還有一個(gè)方面��,提供了一種網(wǎng)絡(luò)系統(tǒng)�,其包括一個(gè)或者多個(gè)網(wǎng)絡(luò)設(shè)備,以及根據(jù)本發(fā)明的安全配置核查設(shè)備���,以用于對(duì)這些網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查���。
通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了����。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制���。而且在整個(gè)附圖中���,用相同的參考符號(hào)表示相同的部件����。在附圖中圖I示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的安全配置核查設(shè)備����;
圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的安全配置核查方法�����;以及 圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的��、其中采用了安全配置核查設(shè)備的網(wǎng)絡(luò)系統(tǒng)����。
具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
進(jìn)行描述。圖I示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的安全配置核查設(shè)備100���。如圖I所示����,安全配置核查設(shè)備100包括一個(gè)或者多個(gè)掃描策略110�,每個(gè)掃描策略與一種網(wǎng)絡(luò)設(shè)備(在下文 中,為了便于描述��,將服務(wù)器和網(wǎng)絡(luò)設(shè)備統(tǒng)稱為網(wǎng)絡(luò)設(shè)備)相對(duì)應(yīng)。每個(gè)掃描策略110包括一個(gè)或者多個(gè)安全檢查項(xiàng)120���,這些安全檢查項(xiàng)的中每個(gè)都與相應(yīng)網(wǎng)絡(luò)設(shè)備上的安全配置相關(guān)聯(lián)�����。例如在掃描策略110為與網(wǎng)絡(luò)設(shè)備HP Unix相對(duì)應(yīng)的情況下���,安全檢查項(xiàng)120可以包括檢測(cè)用戶缺省訪問(wèn)權(quán)限是否符合規(guī)范、檢測(cè)telnet是否限制具備超級(jí)管理員權(quán)限的用戶直接遠(yuǎn)程登錄��、檢測(cè)ssh是否限制具備超級(jí)管理員權(quán)限的用戶直接遠(yuǎn)程登錄����、檢測(cè)采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備密碼長(zhǎng)度是否符合規(guī)范、檢測(cè)采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備密碼生存期是否滿足規(guī)范�、以及檢測(cè)采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備不能使用最近指定次數(shù)內(nèi)設(shè)置過(guò)的密碼等等。這些安全檢查項(xiàng)可以通過(guò)簡(jiǎn)單地在網(wǎng)絡(luò)設(shè)備300上執(zhí)行系統(tǒng)命令等就可以實(shí)現(xiàn)�,因此在本申請(qǐng)中稱為簡(jiǎn)單檢查項(xiàng)122。除了簡(jiǎn)單檢查項(xiàng)122之外����,安全檢查項(xiàng)120還包括可執(zhí)行插件124?����?蓤?zhí)行插件124為可以在網(wǎng)絡(luò)設(shè)備上執(zhí)行的可執(zhí)行應(yīng)用。例如��,可執(zhí)行插件124可以具體體現(xiàn)為可執(zhí)行程序���、可以執(zhí)行的腳本集等�?����?蓤?zhí)行插件124適于在網(wǎng)絡(luò)設(shè)備300上執(zhí)行復(fù)雜的處理��,例如可以引導(dǎo)網(wǎng)絡(luò)設(shè)備300和國(guó)際互聯(lián)網(wǎng)上的知名網(wǎng)絡(luò)應(yīng)用進(jìn)行交互��,從而確定網(wǎng)絡(luò)設(shè)備300是否存在安全隱患�。作為另一示例���,可執(zhí)行插件124可以適于檢查端口對(duì)應(yīng)的進(jìn)程是否合規(guī)�����、檢查打開(kāi)的文件句柄數(shù)量是否合規(guī)以及檢查所有用戶對(duì)應(yīng)的文件權(quán)限是否合規(guī)等等�����。這些檢查不能通過(guò)簡(jiǎn)單的命令來(lái)實(shí)現(xiàn)���,而是需要復(fù)雜的腳本處理�����,因此�,適于利用可執(zhí)行插件124來(lái)執(zhí)行���。根據(jù)本發(fā)明的一個(gè)實(shí)施例��,可執(zhí)行插件124可以由插件引擎130來(lái)解析執(zhí)行��。插件引擎130為可執(zhí)行插件124提供了統(tǒng)一的API和執(zhí)行環(huán)境���。插件創(chuàng)建者可以根據(jù)這些插件引擎130所要求的規(guī)范來(lái)編寫(xiě)可執(zhí)行插件,同時(shí)����,插件引擎130會(huì)根據(jù)不同的網(wǎng)絡(luò)設(shè)備來(lái)定制其底層接口。插件創(chuàng)建者可以不用考慮具體網(wǎng)絡(luò)設(shè)備的類型而創(chuàng)建出適于在各種網(wǎng)絡(luò)設(shè)備上執(zhí)行的插件����,從而大大簡(jiǎn)化了插件創(chuàng)建過(guò)程�����。例如�,插件引擎130可以采用類似于Perl語(yǔ)言解析器的解析器����,而可執(zhí)行插件可以利用Perl編程規(guī)范來(lái)編寫(xiě)。這可以進(jìn)一步縮短插件創(chuàng)建者創(chuàng)建可執(zhí)行插件的時(shí)間�。安全配置核查設(shè)備100還包括掃描器140�。掃描器140可以從一個(gè)或者多個(gè)掃描策略110中選擇與網(wǎng)絡(luò)設(shè)備300相對(duì)應(yīng)的掃描策略110來(lái)對(duì)該網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描。具體而言��,對(duì)于選中掃描策略110中的每個(gè)安全檢查項(xiàng)120�����,確定網(wǎng)絡(luò)設(shè)備300中的相關(guān)聯(lián)安全配置是否合格��。當(dāng)安全檢查項(xiàng)120為簡(jiǎn)單檢查項(xiàng)122時(shí)�,掃描器140可以采用本領(lǐng)域的任何方式來(lái)進(jìn)行簡(jiǎn)單檢查項(xiàng)122所指示的檢測(cè)。例如����,掃描器140可以生成適于執(zhí)行與簡(jiǎn)單檢查項(xiàng)122所指示的檢測(cè)相對(duì)應(yīng)的����、針對(duì)網(wǎng)絡(luò)設(shè)備300的命令�����,在目標(biāo)網(wǎng)絡(luò)設(shè)備300上執(zhí)行該命令并根據(jù)該命令的執(zhí)行結(jié)果確定目標(biāo)網(wǎng)絡(luò)設(shè)備300是否滿足該簡(jiǎn)單檢查項(xiàng)�����。
當(dāng)安全檢查項(xiàng)120為可執(zhí)行插件124時(shí)�,將可執(zhí)行插件124上載到目標(biāo)網(wǎng)絡(luò)設(shè)備300上并執(zhí)行,并根據(jù)可執(zhí)行插件124的執(zhí)行結(jié)果來(lái)確定相關(guān)聯(lián)的安全配置是否合格�����?�?蛇x地��,可執(zhí)行插件124可能不能直接在目標(biāo)網(wǎng)絡(luò)設(shè)備300上執(zhí)行��,而是經(jīng)由插件引擎130而在網(wǎng)絡(luò)設(shè)備300上執(zhí)行。為此���,掃描器140首先判斷網(wǎng)絡(luò)設(shè)備300上是否存在有插件引擎130���,如果存在,則激活插件引擎130以便利用插件引擎130來(lái)執(zhí)行可執(zhí)行插件124��。而如果不存在���,則掃描器140將插件引擎130和可執(zhí)行插件124—起上載到網(wǎng)絡(luò)設(shè)備300上�,以便由插件引擎130來(lái)執(zhí)行可執(zhí)行插件124�。進(jìn)一步可選地,可以利用插件引擎130將可執(zhí)行插件124編譯為適于在目標(biāo)網(wǎng)絡(luò)設(shè)備300上執(zhí)行的可執(zhí)行程序�����,隨后掃描器140可以將該可執(zhí)行程序上載到網(wǎng)絡(luò)設(shè)備300上來(lái)執(zhí)行���。通過(guò)將安全檢查項(xiàng)120擴(kuò)展到可以在目標(biāo)網(wǎng)絡(luò)設(shè)備上執(zhí)行復(fù)雜應(yīng)用的可執(zhí)行插 件,安全配置核查設(shè)備可以檢查的安全配置的范圍可被顯著擴(kuò)展����。另外,利用可執(zhí)行插件和插件引擎的分離設(shè)計(jì),也便于用戶創(chuàng)建可執(zhí)行插件���,從而可以方便并且快速地?cái)U(kuò)展安全配置核查設(shè)備的核查范圍��。安全配置核查設(shè)備還可以包括報(bào)告生成器150,其基于掃描器140就掃描策略中每個(gè)安全檢查項(xiàng)的檢查結(jié)果來(lái)生成有關(guān)目標(biāo)網(wǎng)絡(luò)設(shè)備300的安全配置核查結(jié)果����,以便目標(biāo)網(wǎng)絡(luò)設(shè)備300的系統(tǒng)管理員可以根據(jù)該核查結(jié)果來(lái)修改目標(biāo)網(wǎng)絡(luò)設(shè)備300上的安全配置�,從而提高目標(biāo)網(wǎng)絡(luò)設(shè)備300的安全性。安全配置核查設(shè)備100還可以包括掃描策略存儲(chǔ)器160�,用于存儲(chǔ)一個(gè)或者多個(gè)掃描策略HO。安全配置核查設(shè)備100還可以包括插件處理接口 170���,以提供處理可執(zhí)行插件124的接口����。例如�,插件處理接口 170可以在將可執(zhí)行插件124存儲(chǔ)到掃描策略110中時(shí)被調(diào)用,或者在對(duì)掃描策略110中的可執(zhí)行插件124進(jìn)行編輯時(shí)被調(diào)用��。插件處理接口 170可以接收由用戶200創(chuàng)建的可執(zhí)行插件�����,并檢查該可執(zhí)行插件是否合格。例如��,插件處理接口170可以借助于插件引擎130來(lái)檢查可執(zhí)行插件124是否合格�����。這種檢查可以利用本領(lǐng)域任何已知的技術(shù)來(lái)實(shí)現(xiàn)�。例如,當(dāng)可執(zhí)行插件124利用類似Perl語(yǔ)言的腳本編寫(xiě)時(shí)�,可以調(diào)用Perl解析器來(lái)確定該可執(zhí)行插件124是否合法并適于執(zhí)行。圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的安全配置核查方法����,該方法可以由安全配置核查設(shè)備100執(zhí)行以便對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查。如圖2所示���,該方法始于步驟S210���,其中生成與網(wǎng)絡(luò)設(shè)備300相對(duì)應(yīng)的掃描策略110。如先前所述�,每個(gè)掃描策略110包括一個(gè)或者多個(gè)安全檢查項(xiàng)120,每個(gè)安全檢查項(xiàng)120與相對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備上的安全配置相關(guān)聯(lián)����。這些安全檢查項(xiàng)120包括傳統(tǒng)的簡(jiǎn)單檢查項(xiàng)122以及可執(zhí)行插件124,而可執(zhí)行插件124適于在網(wǎng)絡(luò)設(shè)備上執(zhí)行以核查網(wǎng)絡(luò)設(shè)備的安全配置�。隨后,在步驟S220-S270中����,利用掃描策略110來(lái)對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備300進(jìn)行安全掃描。具體而言��,首先在S220中�,獲取掃描策略110中的當(dāng)前安全檢查項(xiàng),并在步驟S230中判斷該安全檢查項(xiàng)為簡(jiǎn)單檢查項(xiàng)122還是可執(zhí)行插件124����。如果該安全檢查項(xiàng)為簡(jiǎn)單檢查項(xiàng)122,則在步驟S240中如現(xiàn)有方式那樣通過(guò)執(zhí)行簡(jiǎn)單命令來(lái)進(jìn)行檢查��。而如果該安全檢查項(xiàng)為可執(zhí)行插件�,則在步驟S250中,將可執(zhí)行插件上載到目標(biāo)網(wǎng)絡(luò)設(shè)備300上并執(zhí)行���。隨后在步驟S260中判斷是否已經(jīng)執(zhí)行了掃描策略110中的所有安全檢查項(xiàng)�����,如果不是�,則在步驟S270中讀取掃描策略110中的下一個(gè)安全檢查項(xiàng)作為當(dāng)前安全檢查項(xiàng),并返回到步驟S230重復(fù)上述處理��。如果在步驟S260中確定已經(jīng)執(zhí)行了掃描策略110中的所有安全檢查項(xiàng)�����,則可選地�����,在步驟S280中��,基于每個(gè)安全檢查項(xiàng)的檢查結(jié)果來(lái)生成有關(guān)目標(biāo)網(wǎng)絡(luò)設(shè)備的安全配置核查結(jié)果��,并結(jié)束該安全檢查核查方法�。可選地�����,可執(zhí)行插件124適于在目標(biāo)網(wǎng)絡(luò)設(shè)備利用插件引擎來(lái)執(zhí)行�,因此,在步驟S250中����,可以將插件引擎和可執(zhí)行插件一起上載到目標(biāo)網(wǎng)絡(luò)設(shè)備上���,并利用插件引擎來(lái)執(zhí)行可執(zhí)行插件��?����?蛇x地�����,目標(biāo)網(wǎng)絡(luò)設(shè)備上可能早已存在有插件引擎���,此時(shí)則不必將插件引擎上載到目標(biāo)網(wǎng)絡(luò)設(shè)備上���。另外,可以利用插件引擎將可執(zhí)行插件 124編譯為適于在目標(biāo)網(wǎng)絡(luò)設(shè)備上執(zhí)行的可執(zhí)行程序����,隨后在步驟S250中將該可執(zhí)行程序上載到網(wǎng)絡(luò)設(shè)備上來(lái)執(zhí)行?�?蛇x地����,在步驟S210中���,在生成掃描策略時(shí),還包括接收用戶創(chuàng)建的可執(zhí)行插件�����,并可選地利用插件引擎來(lái)檢查所接收插件的合法性�,并將其存儲(chǔ)到相應(yīng)的掃描策略中的步驟。圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的����、其中采用了安全配置核查設(shè)備100的網(wǎng)絡(luò)系統(tǒng)400。如圖3所示�,網(wǎng)絡(luò)系統(tǒng)400中包括通過(guò)局域網(wǎng)絡(luò)410互連的多個(gè)網(wǎng)絡(luò)設(shè)備,這些網(wǎng)絡(luò)設(shè)備除了傳統(tǒng)的諸如網(wǎng)關(guān)��、路由器之類的網(wǎng)絡(luò)設(shè)備420之外����,還包括服務(wù)器430和終端440等。安全配置核查設(shè)備100也通過(guò)局域網(wǎng)絡(luò)410與這些網(wǎng)絡(luò)設(shè)備互連��,從而可以對(duì)這些網(wǎng)絡(luò)設(shè)備的安全配置進(jìn)行核查。這樣��,系統(tǒng)管理員可以利用一臺(tái)安全配置核查設(shè)備100就可以對(duì)網(wǎng)絡(luò)系統(tǒng)400中的所有網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查���。應(yīng)當(dāng)注意的是����,在本發(fā)明的安全配置核查設(shè)備的各個(gè)部件中����,根據(jù)其要實(shí)現(xiàn)的功能而對(duì)其中的部件進(jìn)行了邏輯劃分���,但是�����,本發(fā)明不受限于此���,可以根據(jù)需要對(duì)各個(gè)部件進(jìn)行重新劃分或者組合,例如�����,可以將一些部件組合為單個(gè)部件,或者可以將一些部件進(jìn)一步分解為更多的子部件��。本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)����,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)�����。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�����,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的安全配置核查設(shè)備中的一些或者全部部件的一些或者全部功能�����。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如�����,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)�����。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式���。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到�����,或者在載體信號(hào)上提供��,或者以任何其他形式提供�。應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制�����,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例��。在權(quán)利要求中�����,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制���。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件���。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)���。在列舉了若干裝置的單元權(quán)利要求中��,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)���。單詞第一、第二����、以及第三等的使用不表示任何順序?���?蓪⑦@些單詞解釋為名稱
權(quán)利要求
1.一種安全配置核查設(shè)備,包括 一個(gè)或者多個(gè)掃描策略�,每個(gè)掃描策略對(duì)應(yīng)于一種網(wǎng)絡(luò)設(shè)備,其中每個(gè)掃描策略包括一個(gè)或者多個(gè)安全檢查項(xiàng)��,每個(gè)安全檢查項(xiàng)與相對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備上的安全配置相關(guān)聯(lián)�����,所述一個(gè)或者多個(gè)安全檢查項(xiàng)中的至少一個(gè)為可執(zhí)行插件�����,所述可執(zhí)行插件適于在網(wǎng)絡(luò)設(shè)備上執(zhí)行以核查網(wǎng)絡(luò)設(shè)備的安全配置; 掃描器�,選擇與網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的掃描策略來(lái)對(duì)該網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描,其中對(duì)于所選擇掃描策略中的每個(gè)安全檢查項(xiàng)���,確定所述網(wǎng)絡(luò)設(shè)備中的相關(guān)聯(lián)安全配置是否合格�����,以及 當(dāng)所述安全檢查項(xiàng)為可執(zhí)行插件時(shí)���,將所述可執(zhí)行插件上載到所述網(wǎng)絡(luò)設(shè)備上并執(zhí)行,并根據(jù)所述可執(zhí)行插件的執(zhí)行結(jié)果來(lái)確定所述網(wǎng)絡(luò)設(shè)備中的相關(guān)聯(lián)安全配置是否合格�。
2.如權(quán)利要求I所述的安全配置核查設(shè)備�����,還包括插件引擎���,被配置為執(zhí)行和/或解析所述可執(zhí)行插件�, 其中所述掃描器將所述插件引擎和可執(zhí)行插件一起發(fā)送到所述網(wǎng)絡(luò)設(shè)備�,從而在所述網(wǎng)絡(luò)設(shè)備上由所述插件引擎來(lái)執(zhí)行可執(zhí)行插件�����。
3.如權(quán)利要求I或者2所述的安全配置核查設(shè)備���,還包括插件處理接口,被配置為接收用戶創(chuàng)建的可執(zhí)行插件���、檢查該可執(zhí)行插件并將其存儲(chǔ)到掃描策略中��。
4.如權(quán)利要求1-3中的任一個(gè)所述的安全配置核查設(shè)備���,還包括 報(bào)告生成器,基于每個(gè)安全檢查項(xiàng)的檢查結(jié)果來(lái)生成有關(guān)所選定網(wǎng)絡(luò)設(shè)備的安全配置核查結(jié)果����。
5.如權(quán)利要求1-3中的任一個(gè)所述的安全配置核查設(shè)備,還包括 掃描策略存儲(chǔ)器����,用于存儲(chǔ)所述一個(gè)或者多個(gè)掃描策略。
6.一種針對(duì)網(wǎng)絡(luò)設(shè)備的安全配置核查方法����,包括步驟 生成與該網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的掃描策略��,每個(gè)掃描策略包括一個(gè)或者多個(gè)安全檢查項(xiàng)���,每個(gè)安全檢查項(xiàng)與相對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備上的安全配置相關(guān)聯(lián),所述一個(gè)或者多個(gè)安全檢查項(xiàng)中的至少一個(gè)為可執(zhí)行插件����,所述可執(zhí)行插件適于在網(wǎng)絡(luò)設(shè)備上執(zhí)行以核查網(wǎng)絡(luò)設(shè)備的安全配置; 利用該掃描策略來(lái)對(duì)所述網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描����,其中對(duì)于所選擇掃描策略中的每個(gè)安全檢查項(xiàng),確定所述網(wǎng)絡(luò)設(shè)備中的相關(guān)聯(lián)安全配置是否合格����,以及 當(dāng)所述安全檢查項(xiàng)為可執(zhí)行插件時(shí),將所述可執(zhí)行插件上載到所述網(wǎng)絡(luò)設(shè)備上并執(zhí)行���,并根據(jù)所述可執(zhí)行插件的執(zhí)行結(jié)果來(lái)確定所述網(wǎng)絡(luò)設(shè)備中的相關(guān)聯(lián)安全配置是否合格。
7.如權(quán)利要求6所述的安全配置核查方法���,其中所述將可執(zhí)行插件上載到所述網(wǎng)絡(luò)設(shè)備上并執(zhí)行的步驟包括 將適于執(zhí)行和/或解析所述可執(zhí)行插件的插件引擎上載到所述網(wǎng)絡(luò)設(shè)備��;以及����, 利用所述插件引擎來(lái)執(zhí)行所述可執(zhí)行插件。
8.如權(quán)利要求7所述的安全配置核查方法�,其中所述生成與該網(wǎng)絡(luò)設(shè)備相對(duì)應(yīng)的掃描策略的步驟還包括 接收用戶創(chuàng)建的可執(zhí)行插件;以及檢查該可執(zhí)行插件的合法性并將其存儲(chǔ)到相應(yīng)的掃描策略中���。
9.如權(quán)利要求6-8中的任一個(gè)所述的安全配置核查方法��,還包括步驟 基于每個(gè)安全檢查項(xiàng)的確定結(jié)果來(lái)生成有關(guān)所選定網(wǎng)絡(luò)設(shè)備的安全配置核查結(jié)果�����。
10.一種網(wǎng)絡(luò)系統(tǒng),包括 一個(gè)或者多個(gè)網(wǎng)絡(luò)設(shè)備�; 如權(quán)利要求1-5中的任一個(gè)所述的安全配置核查設(shè)備�,用于對(duì)所述一個(gè)或者多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查。
全文摘要
本發(fā)明公開(kāi)了一種安全配置核查設(shè)備�,包括一個(gè)或者多個(gè)掃描策略,每個(gè)掃描策略對(duì)應(yīng)于一種網(wǎng)絡(luò)設(shè)備����,其中每個(gè)掃描策略包括一個(gè)或者多個(gè)安全檢查項(xiàng),安全檢查項(xiàng)中的至少一個(gè)為可執(zhí)行插件��,可執(zhí)行插件適于在網(wǎng)絡(luò)設(shè)備上執(zhí)行以核查網(wǎng)絡(luò)設(shè)備的安全配置��;以及掃描器,被配置為選擇掃描策略來(lái)對(duì)該網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描���,其中對(duì)于每個(gè)安全檢查項(xiàng)��,確定網(wǎng)絡(luò)設(shè)備中的相關(guān)聯(lián)安全配置是否合格��,以及當(dāng)安全檢查項(xiàng)為可執(zhí)行插件時(shí)��,將可執(zhí)行插件上載到所述網(wǎng)絡(luò)設(shè)備上并執(zhí)行����。本發(fā)明還公開(kāi)了一種相應(yīng)的安全配置核查方法以及采用該核查設(shè)備的網(wǎng)絡(luò)系統(tǒng)���。
文檔編號(hào)H04L12/24GK102684911SQ201210066429
公開(kāi)日2012年9月19日 申請(qǐng)日期2012年3月14日 優(yōu)先權(quán)日2012年3月14日
發(fā)明者周振, 孫建鵬, 廖新喜, 段磊 申請(qǐng)人:北京神州綠盟信息安全科技股份有限公司