一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng),其包括:配置連接模塊�����,用于與待掃描對(duì)象進(jìn)行連接���;其中,待掃描對(duì)象包括以下對(duì)象中的兩種及以上的組合:網(wǎng)絡(luò)設(shè)備���、電子設(shè)備���、系統(tǒng)和數(shù)據(jù)庫(kù);日常操作模塊�,用于對(duì)連接后的所述待掃描對(duì)象進(jìn)行操作處理;其中,所述操作處理至少包括:掃描所述待掃描對(duì)象中配置文件�、定位所述配置文件中的配置缺陷的條目和對(duì)配置缺陷的條目進(jìn)行安全配置修復(fù);本發(fā)明提供的系統(tǒng)既能對(duì)組合對(duì)象進(jìn)行掃描����,并正確定位組合對(duì)象中配置不當(dāng)?shù)奈恢茫瑫r(shí)對(duì)組合對(duì)象存在安全缺陷(即配置不當(dāng))的條目進(jìn)行安全配置修復(fù)���,使該組合對(duì)象符合配置的標(biāo)準(zhǔn)要求��,并且大大提高了組合對(duì)象的配置文件運(yùn)行的安全性���。
【專利說(shuō)明】—種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,具體而言��,涉及一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)�。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,信息安全事件數(shù)量快速上升��,安全形勢(shì)不容樂(lè)觀��。據(jù)統(tǒng)計(jì)�,2012年國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)共接收19124次網(wǎng)絡(luò)安全事件報(bào)告(且不包括掃描和垃圾郵件類事件),與2011年相比增長(zhǎng)24.5% �����;2012年CNCER共處理各類網(wǎng)絡(luò)安全事件共18805件,與2011年相比增長(zhǎng)72.1 %���??傮w來(lái)看��,近年來(lái)我國(guó)網(wǎng)絡(luò)信息安全事件數(shù)量呈快速上升之勢(shì)�����,直接影響網(wǎng)民和企業(yè)權(quán)益�����,阻礙行業(yè)健康發(fā)展�,整體信息安全形式不容樂(lè)觀。
[0003]現(xiàn)今���,國(guó)內(nèi)大部分企業(yè)對(duì)信息安全問(wèn)題的解決辦法仍停留在安裝殺毒軟件上,然而在互聯(lián)網(wǎng)�����、移動(dòng)互聯(lián)網(wǎng)高度發(fā)達(dá)的當(dāng)下,這種安全措施已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足企業(yè)網(wǎng)絡(luò)信息安全的需求����。大部分單位的網(wǎng)絡(luò)管理人員特別是中小企業(yè)的網(wǎng)管人員安全意識(shí)非常淡薄,而且安全防護(hù)水平低下����,無(wú)自主能力完成最基本的網(wǎng)絡(luò)安全配置,導(dǎo)致單位面臨極大的安全風(fēng)險(xiǎn)�。
[0004]從大量的黑客行為中分析,不難得到黑客攻擊的常用手段如下:
[0005]利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行滲透��;
[0006]利用設(shè)備的配置缺陷:如未啟用加密�、未開(kāi)啟安全通道、未限制root權(quán)限��、未開(kāi)啟有效的訪問(wèn)控制等���;
[0007]利用業(yè)務(wù)的邏輯缺陷進(jìn)行安全繞過(guò)�����;
[0008]利用大量的流量訪問(wèn)進(jìn)行DDoS (Distributed Denial of Service,分布式拒絕服務(wù))攻擊�����。
[0009]所以只要對(duì)設(shè)備�����、系統(tǒng)和軟件做好安全配置��,就能避免大多數(shù)的安全入侵威脅�。當(dāng)前市場(chǎng)上針對(duì)安全配置的相關(guān)技術(shù)主要有兩類:第一類是對(duì)設(shè)備、系統(tǒng)和軟件進(jìn)行安全配置掃描�,找出配置不合規(guī)的地方;第二類是針對(duì)單獨(dú)的系統(tǒng)或者設(shè)備進(jìn)行安全配置�����。
[0010]但是�����,上述兩類技術(shù)都有比較明顯的缺陷:第一類技術(shù)只能定位配置不當(dāng)?shù)牡胤?�,不能按照正確的配置進(jìn)行修復(fù)�����;第二類技術(shù)只能針對(duì)單獨(dú)的設(shè)備或系統(tǒng)進(jìn)行修復(fù)����,不能涵蓋不同的設(shè)備(如網(wǎng)絡(luò)設(shè)備、安全設(shè)備等)����、不同的系統(tǒng)(如windows、linux等)和不同的軟件(如 oracle����、mysql 等)。
【發(fā)明內(nèi)容】
[0011]本發(fā)明的目的在于提供一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)����,以解決上述的問(wèn)題。
[0012]在本發(fā)明的實(shí)施例中提供了一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)���,包括:
[0013]配置連接模塊��,用于與待掃描對(duì)象進(jìn)行連接��;其中�����,待掃描對(duì)象包括以下對(duì)象中的兩種及以上的組合:網(wǎng)絡(luò)設(shè)備��、電子設(shè)備����、系統(tǒng)和數(shù)據(jù)庫(kù);
[0014]日常操作模塊�,用于對(duì)連接后的待掃描對(duì)象進(jìn)行操作處理;其中����,操作處理至少包括:掃描待掃描對(duì)象中配置文件、定位配置文件中的配置缺陷的條目和對(duì)配置缺陷的條目進(jìn)行安全配置修復(fù)���。
[0015]進(jìn)一步的�,該系統(tǒng)還包括登錄模塊���;
[0016]登錄模塊�,用于驗(yàn)證用戶輸入的身份信息��,并根據(jù)正確的身份信息進(jìn)入操作界面����,以便日常操作模塊對(duì)待掃描對(duì)象進(jìn)行操作。
[0017]進(jìn)一步的�����,該系統(tǒng)還包括配置庫(kù)管理模塊和系統(tǒng)管理模塊���;
[0018]配置庫(kù)管理模塊���,用于管理配置庫(kù)中的配置條目的升級(jí)、導(dǎo)入和導(dǎo)出���,以便日常操作模塊根據(jù)配置條目進(jìn)行操作���;
[0019]系統(tǒng)管理模塊,用于管理用戶的身份信息和使用權(quán)限�、進(jìn)行系統(tǒng)維護(hù)以及記錄運(yùn)行日志。
[0020]進(jìn)一步的���,該系統(tǒng)中�����,配置連接模塊包括:網(wǎng)絡(luò)設(shè)備連接模塊����、電子設(shè)備連接模塊和軟件連接模塊;
[0021]網(wǎng)絡(luò)設(shè)備連接模塊與待掃描設(shè)備進(jìn)行連接��;
[0022]電子設(shè)備連接模塊與待掃描系統(tǒng)進(jìn)行連接��;
[0023]軟件連接模塊����,用于與待掃描軟件進(jìn)行數(shù)據(jù)傳輸。
[0024]進(jìn)一步的��,該系統(tǒng)中����,待掃描對(duì)象中包括配置文件;日常操作模塊包括:配置掃描模塊�、備份模塊、配置模塊和配置恢復(fù)模塊����;
[0025]配置掃描模塊,用于對(duì)配置文件進(jìn)行安全配置自動(dòng)化掃描�����,并輸出掃描結(jié)果;
[0026]備份模塊��,用于對(duì)與配置文件進(jìn)行備份����;
[0027]配置模塊,用于根據(jù)掃描結(jié)果�,對(duì)配置文件中的安全配置缺陷進(jìn)行安全配置修復(fù)�����;
[0028]配置恢復(fù)模塊���,用于鑒定配置模塊配置不正確時(shí)��,使配置文件自動(dòng)覆蓋配置模塊配置后的文件��,以完成配置修復(fù)��。
[0029]進(jìn)一步的����,該系統(tǒng)中���,配置模塊包括:自動(dòng)配置模塊和手動(dòng)配置模塊��;
[0030]自動(dòng)配置模塊����,用于根據(jù)掃描結(jié)果,對(duì)配置文件中的安全配置缺陷進(jìn)行自動(dòng)安全配置修復(fù)����;
[0031]手動(dòng)配置模塊,用于根據(jù)用戶輸入的控制指令�,對(duì)配置文件中的安全配置缺陷進(jìn)行安全配置修復(fù)。
[0032]進(jìn)一步的���,該系統(tǒng)中�����,日常操作模塊還包括報(bào)表生成模塊��;
[0033]報(bào)表生成模塊�����,用于在配置掃描模塊和/或配置模塊結(jié)束后��,生成報(bào)表���;其中�����,報(bào)表的內(nèi)容可以包括以下信息中的一種或多種:配置掃描結(jié)果����、安全配置缺陷列舉�、配置缺陷對(duì)應(yīng)的安全風(fēng)險(xiǎn)等級(jí)、自動(dòng)配置條目���、手動(dòng)配置條以及配置完成前后的對(duì)比信息。
[0034]進(jìn)一步的�,該系統(tǒng)中,配置文件包括多個(gè)配置條目��;配置庫(kù)管理模塊包括配置庫(kù)升級(jí)模塊�����、配置庫(kù)導(dǎo)入模塊和配置庫(kù)導(dǎo)出模塊���;
[0035]配置庫(kù)升級(jí)模塊���,用于更新和擴(kuò)充配置庫(kù)中的配置條目�����;
[0036]配置庫(kù)導(dǎo)入模塊���,用于對(duì)配置條目進(jìn)行導(dǎo)入;
[0037]配置庫(kù)導(dǎo)出模塊���,用于對(duì)配置條目進(jìn)行導(dǎo)出���。
[0038]進(jìn)一步的,該系統(tǒng)中����,配置文件中包括安全配置基線;其中����,安全配置基線包括多個(gè)配置條目;
[0039]配置掃描模塊用于自動(dòng)識(shí)別和讀取配置文件中的安全配置基線�,并與配置庫(kù)中對(duì)應(yīng)的預(yù)存安全配置基線進(jìn)行一一比對(duì)��;將與安全配置基線不一致的配置條目定義為安全配置缺陷���,同時(shí)輸出安全配置掃描結(jié)果。
[0040]進(jìn)一步的���,該系統(tǒng)中����,系統(tǒng)管理模塊包括授權(quán)控制模塊�、用戶管理模塊、系統(tǒng)維護(hù)模塊��、系統(tǒng)日志模塊和操作日志模塊�;
[0041]授權(quán)控制模塊,用于根據(jù)第一級(jí)用戶的身份信息��,為第一級(jí)用戶分配管理權(quán)限��;
[0042]用戶管理模塊�,用于根據(jù)第一級(jí)用戶的下級(jí)用戶的身份信息���,為下級(jí)用戶分配管理權(quán)限����,并對(duì)下級(jí)用戶的身份信息進(jìn)行管理;
[0043]系統(tǒng)維護(hù)模塊���,用于及時(shí)對(duì)整個(gè)系統(tǒng)進(jìn)行升級(jí)���,用以對(duì)系統(tǒng)進(jìn)行維護(hù);
[0044]系統(tǒng)日志模塊��,用于對(duì)系統(tǒng)的運(yùn)行進(jìn)行日志記錄�;
[0045]操作日志模塊,用于對(duì)所有模塊的運(yùn)行進(jìn)行日志記錄���。
[0046]本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)��,與現(xiàn)有技術(shù)中的第一類技術(shù)只能定位配置不當(dāng)?shù)牡胤?���,不能按照正確的配置進(jìn)行修復(fù)��;第二類技術(shù)只能針對(duì)單獨(dú)的設(shè)備或系統(tǒng)進(jìn)行修復(fù)�,不能涵蓋不同的設(shè)備(如網(wǎng)絡(luò)設(shè)備、安全設(shè)備等)�����、不同的系統(tǒng)(如windows、Iinux等)和不同的軟件(如oracle����、mysql等)的方案相比,其包括:配置連接模塊,用于與待掃描對(duì)象進(jìn)行連接�;其中,待掃描對(duì)象包括以下對(duì)象中的兩種及以上的組合:網(wǎng)絡(luò)設(shè)備��、電子設(shè)備�����、系統(tǒng)和數(shù)據(jù)庫(kù)�;日常操作模塊,用于對(duì)連接后的所述待掃描對(duì)象進(jìn)行操作處理�;其中,所述操作處理至少包括:掃描所述待掃描對(duì)象中配置文件���、定位所述配置文件中的配置缺陷的條目和對(duì)配置缺陷的條目進(jìn)行安全配置修復(fù);本發(fā)明提供的系統(tǒng)既能對(duì)組合對(duì)象進(jìn)行掃描���,并正確定位組合對(duì)象中配置不當(dāng)?shù)奈恢?�,同時(shí)對(duì)組合對(duì)象存在安全缺陷(即配置不當(dāng))的條目進(jìn)行安全配置修復(fù)���,使該組合對(duì)象符合配置的標(biāo)準(zhǔn)要求����,并且大大提高了組合對(duì)象的配置文件運(yùn)行的安全性���。
【專利附圖】
【附圖說(shuō)明】
[0047]圖1示出了本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)的結(jié)構(gòu)示意圖�;
[0048]圖2示出了本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)中日常操作模塊的結(jié)構(gòu)示意圖���;
[0049]圖3示出了本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)中配置庫(kù)管理作模塊的結(jié)構(gòu)示意圖��;
[0050]圖4示出了本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)中系統(tǒng)管理模塊的結(jié)構(gòu)示意圖��;
[0051]圖5示出了本發(fā)明實(shí)施例提供的使用一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)的流程圖�。
【具體實(shí)施方式】
[0052]下面通過(guò)具體的實(shí)施例子并結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步的詳細(xì)描述����。
[0053]本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng),如圖1所示���,包括:
[0054]配置連接模塊102�,用于與待掃描對(duì)象進(jìn)行連接;其中�,待掃描對(duì)象包括以下對(duì)象中的兩種及以上的組合:網(wǎng)絡(luò)設(shè)備、電子設(shè)備����、系統(tǒng)和數(shù)據(jù)庫(kù);
[0055]日常操作模塊103��,用于對(duì)連接后的待掃描對(duì)象進(jìn)行操作處理���;其中��,操作處理至少包括:掃描待掃描對(duì)象中配置文件�����、定位配置文件中的配置缺陷的條目和對(duì)配置缺陷的條目進(jìn)行安全配置修復(fù)�。
[0056]本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)����,與現(xiàn)有技術(shù)中的第一類技術(shù)只能定位配置不當(dāng)?shù)牡胤剑荒馨凑照_的配置進(jìn)行修復(fù)��;第二類技術(shù)只能針對(duì)單獨(dú)的設(shè)備或系統(tǒng)進(jìn)行修復(fù),不能涵蓋不同的設(shè)備(如網(wǎng)絡(luò)設(shè)備�、安全設(shè)備等)���、不同的系統(tǒng)(如windows���、Iinux等)和不同的軟件(如oracle、mysql等)的方案相比,其包括:配置連接模塊102��,用于與待掃描對(duì)象進(jìn)行連接�����;其中��,待掃描對(duì)象包括以下對(duì)象中的兩種及以上的組合:網(wǎng)絡(luò)設(shè)備����、電子設(shè)備、系統(tǒng)和數(shù)據(jù)庫(kù)�;日常操作模塊103,用于對(duì)連接后的所述待掃描對(duì)象進(jìn)行操作處理���;其中���,所述操作處理至少包括:掃描所述待掃描對(duì)象中配置文件�����、定位所述配置文件中的配置缺陷的條目和對(duì)配置缺陷的條目進(jìn)行安全配置修復(fù)�;本發(fā)明提供的系統(tǒng)既能對(duì)組合對(duì)象進(jìn)行掃描�,并正確定位組合對(duì)象中配置不當(dāng)?shù)奈恢茫瑫r(shí)對(duì)組合對(duì)象存在安全缺陷(即配置不當(dāng))的條目進(jìn)行安全配置修復(fù)��,使該組合對(duì)象符合配置的標(biāo)準(zhǔn)要求�,并且大大提高了組合對(duì)象的配置文件運(yùn)行的安全性。
[0057]具體的����,配置連接模塊102能夠與帶掃描的組合對(duì)象進(jìn)行配置連接。其中��,組合對(duì)象可以是:網(wǎng)絡(luò)設(shè)備和電子設(shè)備��、網(wǎng)絡(luò)設(shè)備和系統(tǒng)�、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備����、電子設(shè)備和系統(tǒng)�、網(wǎng)絡(luò)設(shè)備系統(tǒng)和數(shù)據(jù)庫(kù)以及網(wǎng)絡(luò)設(shè)備��、電子設(shè)備�、系統(tǒng)和數(shù)據(jù)庫(kù)等24中不同的組合,其中�����,該配置連接模塊102針對(duì)不同的組合對(duì)象有不同的配置連接方式(下面實(shí)施例具體說(shuō)明)�。
[0058]進(jìn)一步的,如圖1所示�,該系統(tǒng)還包括登錄模塊101 ;
[0059]登錄模塊101���,用于驗(yàn)證用戶輸入的身份信息��,并根據(jù)正確的身份信息進(jìn)入操作界面�,以便日常操作模塊103對(duì)待掃描對(duì)象進(jìn)行操作�����。
[0060]具體的�����,每個(gè)使用用戶都需要有身份信息才可進(jìn)入操作界面,通過(guò)日常操作模塊
103進(jìn)行操作����。
[0061]其中,登錄模塊101將用戶進(jìn)行分級(jí)設(shè)置����。具體的,根據(jù)用戶的需求及其付出的交易成本�,例如,一個(gè)公司購(gòu)買(mǎi)了該系統(tǒng)���,則我們會(huì)根據(jù)該公司的交易成本��,設(shè)置為該公司開(kāi)放的權(quán)限��;然后每個(gè)公司還可根據(jù)公司內(nèi)部工作人員的等級(jí)�����,再次設(shè)置每個(gè)模塊的工作權(quán)限��。
[0062]進(jìn)一步的����,如圖1所示,該系統(tǒng)還包括配置庫(kù)管理模塊104和系統(tǒng)管理模塊105 ����;
[0063]配置庫(kù)管理模塊104,用于管理配置庫(kù)中的配置條目的升級(jí)�、導(dǎo)入和導(dǎo)出,以便日常操作模塊103根據(jù)配置條目進(jìn)行操作��。
[0064]具體的��,系統(tǒng)中有配置庫(kù)����,該配置庫(kù)中存儲(chǔ)有很多配置文件�,配置文件是由多個(gè)配置條目組成的。該配置庫(kù)管理模塊104用于跟隨技術(shù)的發(fā)展���,實(shí)時(shí)管理配置條目的更新和擴(kuò)充等��,并根據(jù)需要控制個(gè)配置條目的導(dǎo)入和導(dǎo)出�。
[0065]系統(tǒng)管理模塊105���,用于管理用戶的身份信息和使用權(quán)限�、進(jìn)行系統(tǒng)維護(hù)以及記錄運(yùn)行日志。
[0066]具體的��,每一個(gè)使用本系統(tǒng)的用戶都是需要身份信息和權(quán)限的���,系統(tǒng)管理模塊105則實(shí)時(shí)管理這些信息���。并負(fù)責(zé)系統(tǒng)的更新、正常運(yùn)行以及對(duì)系統(tǒng)運(yùn)行進(jìn)行日志記錄���、對(duì)各個(gè)模塊的運(yùn)行進(jìn)行日志記錄等����。
[0067]進(jìn)一步的�,如圖2所示,該系統(tǒng)中���,配置連接模塊102包括:網(wǎng)絡(luò)設(shè)備連接模塊��、電子設(shè)備連接模塊和軟件連接模塊�����;網(wǎng)絡(luò)設(shè)備連接模塊與待掃描設(shè)備進(jìn)行連接(通過(guò)Telnet或者SSH協(xié)議進(jìn)行遠(yuǎn)程連接�,或者通過(guò)設(shè)備Console 口進(jìn)行本地連接);電子設(shè)備連接模塊與待掃描系統(tǒng)進(jìn)行連接(通過(guò)Telnet���、SSH�����、遠(yuǎn)程桌面RDP�、文件共享SMB等方式遠(yuǎn)程連接���,或者通過(guò)USB 口本地連接);軟件(通過(guò)TCP��、UDP端口進(jìn)行遠(yuǎn)程連接)連接模塊,用于與待掃描軟件進(jìn)行數(shù)據(jù)傳輸��。
[0068]本實(shí)施例中����,網(wǎng)絡(luò)設(shè)備的具體指為交換機(jī)、集線器��、交換機(jī)��、網(wǎng)橋和路由器一類的設(shè)備���;電子設(shè)備指計(jì)算機(jī)�����、平板電腦和移動(dòng)終端一類的設(shè)備���;軟件為計(jì)算機(jī)應(yīng)用軟件���。具體的,電子設(shè)備連接模塊能夠與待掃描電子設(shè)備和待掃描系統(tǒng)進(jìn)行連接��。
[0069]具體的����,網(wǎng)絡(luò)設(shè)備連接模塊通過(guò)Telnet或者SSH協(xié)議進(jìn)行遠(yuǎn)程連接,或者通過(guò)設(shè)備Console 口與待掃描設(shè)備進(jìn)行本地連接��。電子設(shè)備連接模塊通過(guò)Telnet�����、SSH��、遠(yuǎn)程桌面RDP、文件共享SMB等方式遠(yuǎn)程連接�����,或者通過(guò)USB 口與待掃描系統(tǒng)進(jìn)行本地連接��;軟件通過(guò)TCP����、UDP端口進(jìn)行遠(yuǎn)程連接。
[0070]進(jìn)一步的���,如圖2所示���,該系統(tǒng)中,待掃描對(duì)象中包括配置文件��;日常操作模塊103包括:配置掃描模塊201��、備份模塊204�、配置模塊202和配置恢復(fù)模塊203 ;配置掃描模塊201�,用于對(duì)配置文件進(jìn)行安全配置自動(dòng)化掃描,并輸出掃描結(jié)果��;備份模塊204���,用于對(duì)與配置文件進(jìn)行備份�����;配置模塊202���,用于根據(jù)掃描結(jié)果�����,對(duì)配置文件中的安全配置缺陷進(jìn)行安全配置修復(fù)�����;配置恢復(fù)模塊203���,用于鑒定配置模塊202配置不正確時(shí),使配置文件自動(dòng)覆蓋配置模塊202配置后的文件�����,以完成配置修復(fù)����。
[0071]具體的�,配置掃描模塊201用于對(duì)組合對(duì)象中的配置文件進(jìn)行掃描��。掃描結(jié)果包括:配置文件無(wú)誤和配置文件有錯(cuò)誤��。當(dāng)配置文件有錯(cuò)誤時(shí)��,則配置掃描模塊201會(huì)具體標(biāo)記出錯(cuò)誤的配置條目�����。備份模塊204對(duì)組合對(duì)象中的配置文件進(jìn)行備份的目的是��,當(dāng)配置模塊202沒(méi)有對(duì)配置文件中的錯(cuò)誤的配置條目進(jìn)行正確的修復(fù)時(shí)���,能夠使原來(lái)的錯(cuò)誤的配置條目重新覆蓋修復(fù)后的配置條目����,以還原到原始狀態(tài)�����,方便后續(xù)配置模塊202對(duì)該錯(cuò)誤的配置文件進(jìn)行正確的修復(fù)�����。
[0072]進(jìn)一步的���,如圖2所示���,該系統(tǒng)中,配置模塊202包括:自動(dòng)配置模塊206和手動(dòng)配置模塊207 ;自動(dòng)配置模塊206�,用于根據(jù)掃描結(jié)果,對(duì)配置文件中的安全配置缺陷進(jìn)行自動(dòng)安全配置修復(fù)�����;手動(dòng)配置模塊207����,用于根據(jù)用戶輸入的控制指令,對(duì)配置文件中的安全配置缺陷進(jìn)行安全配置修復(fù)��。
[0073]具體的���,自動(dòng)配置模塊206�,當(dāng)其接收到配置掃描模塊201發(fā)送的有錯(cuò)誤的配置條目的輸出結(jié)果后��,自動(dòng)對(duì)錯(cuò)誤的配置條目進(jìn)行安全配置修復(fù)。從而避免了用戶人工操作�����,節(jié)省了用戶的勞動(dòng)力����,同時(shí)也給不會(huì)操作的用戶帶來(lái)了極大的方便。
[0074]具體的:配置掃描模塊201的輸出結(jié)果�����,可以將錯(cuò)誤的配置條目逐條列舉在自動(dòng)配置界面���,可以通過(guò)復(fù)選框?qū)π枰渲玫拿總€(gè)條目進(jìn)行選擇后對(duì)選中的條目進(jìn)行自動(dòng)配置�����,也可以選擇一鍵配置對(duì)所有的錯(cuò)誤配置條目進(jìn)行自動(dòng)配置���。
[0075]而手動(dòng)配置模塊207,則當(dāng)其接收到配置掃描模塊201發(fā)送的有錯(cuò)誤的配置條目的輸出結(jié)果后�,不做任何處理,直至其接收到用戶的控制指令后��,即對(duì)錯(cuò)誤的配置條目進(jìn)行安全配置修復(fù)。
[0076]進(jìn)一步的�����,如圖2所示�����,該系統(tǒng)中����,日常操作模塊103還包括報(bào)表生成模塊205 ;報(bào)表生成模塊205,用于在配置掃描模塊201和/或配置模塊202結(jié)束后�,生成報(bào)表;其中�,報(bào)表的內(nèi)容可以包括以下信息中的一種或多種:配置掃描結(jié)果、安全配置缺陷列舉����、配置缺陷對(duì)應(yīng)的安全風(fēng)險(xiǎn)等級(jí)、自動(dòng)配置條目��、手動(dòng)配置條以及配置完成前后的對(duì)比信息��。
[0077]具體的���,配置掃描模塊201掃描結(jié)束后���,會(huì)輸出掃描結(jié)果�����,此時(shí)��,可以通過(guò)報(bào)表生成模塊205�,對(duì)該掃描結(jié)果生成報(bào)表����,用以為方便用戶打印出來(lái)進(jìn)行查看和攜帶。而此時(shí)報(bào)表所對(duì)應(yīng)的結(jié)果可以包括以下中的一種或多種:配置掃描結(jié)果�、安全配置缺陷列舉、配置缺陷對(duì)應(yīng)的安全風(fēng)險(xiǎn)等級(jí)���。
[0078]同理���,配置模塊202進(jìn)行配置修復(fù)后,同樣會(huì)輸出修復(fù)結(jié)果���,此時(shí)�,同樣可以通過(guò)報(bào)表生成模塊205,對(duì)該修復(fù)結(jié)果生成報(bào)表���,用以為方便用戶打印出來(lái)進(jìn)行查看和攜帶��。而此時(shí)報(bào)表所對(duì)應(yīng)的結(jié)果可以包括以下中的一種或多種:自動(dòng)配置條目、手動(dòng)配置條以及配置完成前后的對(duì)比信息�。
[0079]進(jìn)一步的,如圖3所示��,該系統(tǒng)中�����,配置文件包括多個(gè)配置條目���;配置庫(kù)管理模塊
104包括配置庫(kù)升級(jí)模塊301�����、配置庫(kù)導(dǎo)入模塊302和配置庫(kù)導(dǎo)出模塊303 ;配置庫(kù)升級(jí)模塊301��,用于更新和擴(kuò)充配置庫(kù)中的配置條目��;配置庫(kù)導(dǎo)入模塊302��,用于對(duì)配置條目進(jìn)行導(dǎo)入����;配置庫(kù)導(dǎo)出模塊303,用于對(duì)配置條目進(jìn)行導(dǎo)出���。
[0080]具體的��,配置庫(kù)升級(jí)模塊301用于及時(shí)對(duì)配置庫(kù)中的配置條目進(jìn)行升級(jí)�����、更新和擴(kuò)充等���。例如:刪除過(guò)期的配置條目,增加新的配置條目�����,調(diào)整原來(lái)配置條目的順序等�����。
[0081]配置庫(kù)導(dǎo)入模塊302和配置庫(kù)導(dǎo)出模塊303,用于在需要的時(shí)候?qū)ε渲脳l目進(jìn)行導(dǎo)入和導(dǎo)出�����。例如�����,用戶需要查看或者更改某一條配置條目時(shí)���,需要導(dǎo)出該條目,則需要通過(guò)配置庫(kù)導(dǎo)出模塊303導(dǎo)出對(duì)應(yīng)的配置條目�����。再例如�,需要對(duì)該配置庫(kù)中的配置條目進(jìn)行升級(jí),即增加新的配置條目�����,則需要配置庫(kù)導(dǎo)入模塊302導(dǎo)入新的配置條目�。綜合來(lái)講,配置庫(kù)導(dǎo)入模塊302和配置庫(kù)導(dǎo)出模塊303即起到對(duì)配置庫(kù)進(jìn)行維護(hù)的作用�。
[0082]進(jìn)一步的,該系統(tǒng)中,配置文件中包括安全配置基線�����;其中����,安全配置基線包括多個(gè)配置條目;配置掃描模塊201用于自動(dòng)識(shí)別和讀取配置文件中的安全配置基線�,并與配置庫(kù)中對(duì)應(yīng)的預(yù)存安全配置基線進(jìn)行一一比對(duì);將與安全配置基線不一致的配置條目定義為安全配置缺陷�,同時(shí)輸出安全配置掃描結(jié)果。
[0083]具體的����,待掃描的組合對(duì)象中,配置文件中包括安全配置基線��,該安全配置基線中包括多個(gè)配置條目��;配置掃描模塊201將待掃描的組合對(duì)象中的安全配置基線(含有具體的配置條目的順序)與配置庫(kù)中的安全配置基線(同樣含有具體的配置條目的順序����,且與對(duì)比對(duì)象中的配置條目的順序是一樣的)進(jìn)行對(duì)比,將待掃描模塊中�����,對(duì)比后不一樣的配置條目定義為安全配置缺陷,并進(jìn)行標(biāo)記����,同時(shí)輸掃描結(jié)果。
[0084]進(jìn)一步的��,如圖4所示�����,該系統(tǒng)中���,系統(tǒng)管理模塊105包括授權(quán)控制模塊401���、用戶管理模塊402���、系統(tǒng)維護(hù)模塊403�����、系統(tǒng)日志模塊404和操作日志模塊405 ;授權(quán)控制模塊401���,用于根據(jù)第一級(jí)用戶的身份信息���,為第一級(jí)用戶分配管理權(quán)限;用戶管理模塊402�����,用于根據(jù)第一級(jí)用戶的下級(jí)用戶的身份信息����,為下級(jí)用戶分配管理權(quán)限,并對(duì)下級(jí)用戶的身份信息進(jìn)行管理�����;系統(tǒng)維護(hù)模塊403����,用于及時(shí)對(duì)整個(gè)系統(tǒng)進(jìn)行升級(jí),用以對(duì)系統(tǒng)進(jìn)行維護(hù)��;系統(tǒng)日志模塊404��,用于對(duì)系統(tǒng)的運(yùn)行進(jìn)行日志記錄��;操作日志模塊405,用于對(duì)所有模塊的運(yùn)行進(jìn)行日志記錄�。
[0085]具體的,第一級(jí)用戶可以為一個(gè)公司�、一個(gè)團(tuán)隊(duì)或者個(gè)人;若第一級(jí)用戶為一個(gè)公司���,則第一級(jí)用戶的下級(jí)用戶可以為公司里的工作人員�,具體的�����,還可以根據(jù)這些工作人員的工作崗位進(jìn)行級(jí)別的劃分�。若第一級(jí)用戶為一個(gè)團(tuán)隊(duì),則第一級(jí)用戶的下級(jí)用戶可以為團(tuán)隊(duì)里的人員��,同樣還可以根據(jù)這些人員的工作分工進(jìn)行級(jí)別的劃分�;若第一級(jí)用戶為個(gè)人,則該第一級(jí)用戶沒(méi)有下級(jí)用戶或者其下級(jí)用戶為其手語(yǔ)使用人員的權(quán)力��。
[0086]用戶管理模塊402�,還用于對(duì)用戶的身份信息進(jìn)行管理���,例如對(duì)用戶的身份信息進(jìn)行更新���、刪除����、添加和保存等����。
[0087]系統(tǒng)維護(hù)模塊403,用于及時(shí)對(duì)整個(gè)系統(tǒng)進(jìn)行升級(jí)�����,管理系統(tǒng)的開(kāi)機(jī)��、關(guān)機(jī)和正常運(yùn)行等���,當(dāng)系統(tǒng)運(yùn)行不正確時(shí)�,及時(shí)對(duì)系統(tǒng)進(jìn)行修復(fù)并發(fā)出警告指示(警告指示可以是聲音提示也可以是文字提示)��;系統(tǒng)日志模塊404����,用于對(duì)系統(tǒng)的開(kāi)機(jī)、關(guān)機(jī)和系統(tǒng)故障等的運(yùn)行狀態(tài)進(jìn)行日志記錄�����,以便用戶可以隨時(shí)查看其運(yùn)行狀態(tài);操作日志模塊405��,用于對(duì)所有模塊的運(yùn)行進(jìn)行日志記錄��,以便用戶可以隨時(shí)查看其運(yùn)行狀態(tài)��,并且在模塊運(yùn)行出問(wèn)題的時(shí)候��,用戶也能夠及時(shí)找到出問(wèn)題的模塊���。
[0088]本發(fā)明基于上述一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)工作的流程如下���,如圖5所示:
[0089]1001:打開(kāi)網(wǎng)址自動(dòng)配置管理系統(tǒng),該系統(tǒng)所在的主機(jī)應(yīng)具有使用許可授權(quán)����,同時(shí)該系統(tǒng)所在的主機(jī)應(yīng)能夠?qū)ε渲脤?duì)象遠(yuǎn)程可達(dá);
[0090]1002:通過(guò)系統(tǒng)登錄模塊進(jìn)行登錄行為控制�,用戶根據(jù)自身的角色使用對(duì)應(yīng)的用戶名和密碼登錄系統(tǒng),不同角色的用戶可以使用不同的功能模塊�����。如:管理員用戶只可以操作系統(tǒng)登錄模塊�����、配置庫(kù)管理模塊和系統(tǒng)管理模塊�����;操作員只可以操作日常操作模塊和配直連接t旲塊���。
[0091]1003:通過(guò)配置連接模塊來(lái)進(jìn)行設(shè)備����、系統(tǒng)和軟件的遠(yuǎn)程連接���,主要的連接方式有Telnet��、SSH���、遠(yuǎn)程桌面和遠(yuǎn)程共享等方式進(jìn)行連接。具體連接過(guò)程是:遠(yuǎn)程連接到需要配置的主機(jī)和網(wǎng)絡(luò)設(shè)備一輸入管理員用戶名和密碼進(jìn)行遠(yuǎn)程登錄一進(jìn)一步輸入對(duì)應(yīng)軟件(如數(shù)據(jù)庫(kù)�、中間件等)的管理員用戶名和密碼進(jìn)行連接一確認(rèn)可以進(jìn)行配置操作。
[0092]1004:在配置連接成功后����,通過(guò)配置掃描模塊201來(lái)對(duì)設(shè)備�、系統(tǒng)和軟件進(jìn)行安全配置自動(dòng)化掃描���,具體方法是自動(dòng)識(shí)別和讀取配置文件中的關(guān)鍵條目�����,并與配置庫(kù)中對(duì)應(yīng)的安全配置基線進(jìn)行一一比對(duì)���,將與基線不一致的配置定義為安全配置缺陷,同時(shí)輸出安全配置掃描結(jié)果����。
[0093]1005:查看安全配置掃描輸出的結(jié)果,確認(rèn)是否有安全配置缺陷�。
[0094]1006:對(duì)于存在配置缺陷的結(jié)果,可以選擇自動(dòng)配置模塊202或者受到配置模塊202進(jìn)行安全配置修復(fù)�����。自動(dòng)配置模塊202是可以對(duì)所有配置缺陷進(jìn)行一鍵自動(dòng)配置操作����;而手動(dòng)配置模塊202是根據(jù)用戶自身的需求針對(duì)其中的某一項(xiàng)或者某幾項(xiàng)進(jìn)行勾選���,然后可以執(zhí)行自動(dòng)配置操作或者手動(dòng)輸入相關(guān)配置命令�。
[0095]1007:在執(zhí)行完自動(dòng)/手動(dòng)配置之后,需確認(rèn)設(shè)備��、系統(tǒng)和軟件的配置是否正確��,是否存在異常情況���。
[0096]1008:如果鑒定配置不正確��,可以使用配置恢復(fù)模塊203����,該模塊在進(jìn)行自動(dòng)/手動(dòng)配置操作之前就已經(jīng)備份了被測(cè)設(shè)備或軟件的配置文件����,如出現(xiàn)配置不正確的情況,僅需點(diǎn)擊配置恢復(fù)選項(xiàng)�����,前期備份的配置文件就會(huì)進(jìn)行自動(dòng)覆蓋,完成配置恢復(fù)工作��。則
[0097]另外�����,在執(zhí)行完配置掃描操作和自動(dòng)/手動(dòng)配置操作后�,都可以利用報(bào)表生成模塊205來(lái)生成報(bào)表,報(bào)表的內(nèi)容可以涵蓋:配置掃描結(jié)果����、安全配置缺陷列舉、配置缺陷對(duì)應(yīng)的安全風(fēng)險(xiǎn)等級(jí)���、自動(dòng)/手動(dòng)配置的條目�����、配置完成前后對(duì)比等信息�。
[0098]網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng)的所有操作均可以被系統(tǒng)日志模塊和操作日志模塊進(jìn)行日志記錄�����,并可以對(duì)日志記錄的進(jìn)行查詢分析�。
[0099]1009:在進(jìn)行完所有操作之后�����,可以結(jié)束任務(wù)����,之前的任務(wù)操作會(huì)記錄在任務(wù)列表中�����,方便后期查看和重復(fù)操作�。
[0100]本發(fā)明提供的系統(tǒng)既能對(duì)組合對(duì)象進(jìn)行掃描���,并正確定位組合對(duì)象中配置不當(dāng)?shù)奈恢?����,同時(shí)對(duì)組合對(duì)象存在安全缺陷(即配置不當(dāng))的條目進(jìn)行安全配置修復(fù)��,使該組合對(duì)象符合配置�。
[0101]顯然���,本領(lǐng)域的技術(shù)人員應(yīng)該明白�,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算裝置上�����,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上�����,可選地����,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn),從而��,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行��,或者將它們分別制作成各個(gè)集成電路模塊��,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)����。這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合��。
[0102]以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已�����,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)���,本發(fā)明可以有各種更改和變化����。凡在本發(fā)明的精神和原則之內(nèi)����,所作的任何修改�、等同替換、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)安全自動(dòng)配置管理系統(tǒng),其特征在于��,包括: 配置連接模塊�����,用于與待掃描對(duì)象進(jìn)行連接;其中�,所述待掃描對(duì)象包括以下對(duì)象中的兩種及以上的組合:網(wǎng)絡(luò)設(shè)備、電子設(shè)備�、系統(tǒng)和數(shù)據(jù)庫(kù); 日常操作模塊���,用于對(duì)連接后的所述待掃描對(duì)象進(jìn)行操作處理����;其中�,所述操作處理至少包括:掃描所述待掃描對(duì)象中配置文件、定位所述配置文件中的配置缺陷的條目和對(duì)所述配置缺陷的條目進(jìn)行安全配置修復(fù)�。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于�����,還包括登錄模塊���; 所述登錄模塊�����,用于驗(yàn)證用戶輸入的身份信息����,并根據(jù)正確的所述身份信息進(jìn)入操作界面,以便所述日常操作模塊對(duì)所述待掃描對(duì)象進(jìn)行操作����。
3.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于����,還包括配置庫(kù)管理模塊和系統(tǒng)管理模塊; 所述配置庫(kù)管理模塊�,用于管理配置庫(kù)中的配置條目的升級(jí)、導(dǎo)入和導(dǎo)出�,以便所述日常操作模塊根據(jù)所述配置條目進(jìn)行操作; 所述系統(tǒng)管理模塊�����,用于管理用戶的身份信息和使用權(quán)限���、進(jìn)行系統(tǒng)維護(hù)以及記錄運(yùn)行日志。
4.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于��,所述配置連接模塊包括:網(wǎng)絡(luò)設(shè)備連接模塊��、電子設(shè)備連接模塊和軟件連接模塊��; 所述網(wǎng)絡(luò)設(shè)備連接模塊與待掃描設(shè)備進(jìn)行連接�; 所述電子設(shè)備連接模塊與待掃描系統(tǒng)進(jìn)行連接����; 所述軟件連接模塊,用于與待掃描軟件進(jìn)行數(shù)據(jù)傳輸���。
5.根據(jù)權(quán)利要求4所述的系統(tǒng)�����,其特征在于�����,所述待掃描對(duì)象中包括配置文件�����;所述日常操作模塊包括:配置掃描模塊����、備份模塊、配置模塊和配置恢復(fù)模塊��; 所述配置掃描模塊����,用于對(duì)所述配置文件進(jìn)行安全配置自動(dòng)化掃描,并輸出掃描結(jié)果; 所述備份模塊���,用于對(duì)與所述配置文件進(jìn)行備份�����; 所述配置模塊��,用于根據(jù)所述掃描結(jié)果����,對(duì)所述配置文件中的安全配置缺陷進(jìn)行安全配置修復(fù)���; 所述配置恢復(fù)模塊���,用于鑒定所述配置模塊配置不正確時(shí),使所述配置文件自動(dòng)覆蓋配置模塊配置后的文件�,以完成配置修復(fù)。
6.根據(jù)權(quán)利要求5所述的系統(tǒng)�,其特征在于,所述配置模塊包括:自動(dòng)配置模塊和手動(dòng)配置模塊��; 所述自動(dòng)配置模塊���,用于根據(jù)所述掃描結(jié)果��,對(duì)所述配置文件中的安全配置缺陷進(jìn)行自動(dòng)安全配置修復(fù)�����; 所述手動(dòng)配置模塊��,用于根據(jù)用戶輸入的控制指令�,對(duì)所述配置文件中的安全配置缺陷進(jìn)行安全配置修復(fù)���。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)��,其特征在于��,所述日常操作模塊還包括報(bào)表生成模塊�����; 所述報(bào)表生成模塊�����,用于在所述配置掃描模塊和/或所述配置模塊結(jié)束后�����,生成報(bào)表�;其中,所述報(bào)表的內(nèi)容可以包括以下信息中的一種或多種:配置掃描結(jié)果�、安全配置缺陷列舉、配置缺陷對(duì)應(yīng)的安全風(fēng)險(xiǎn)等級(jí)�����、自動(dòng)配置條目��、手動(dòng)配置條以及配置完成前后的對(duì)比信肩�、O
8.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于����,所述配置文件包括多個(gè)配置條目�����;所述配置庫(kù)管理模塊包括配置庫(kù)升級(jí)模塊���、配置庫(kù)導(dǎo)入模塊和配置庫(kù)導(dǎo)出模塊�����; 所述配置庫(kù)升級(jí)模塊���,用于更新和擴(kuò)充配置庫(kù)中的所述配置條目; 所述配置庫(kù)導(dǎo)入模塊�,用于對(duì)所述配置條目進(jìn)行導(dǎo)入; 所述配置庫(kù)導(dǎo)出模塊��,用于對(duì)所述配置條目進(jìn)行導(dǎo)出�����。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于�,所述配置文件中包括安全配置基線;其中��,所述安全配置基線包括多個(gè)所述配置條目����; 所述配置掃描模塊用于自動(dòng)識(shí)別和讀取所述配置文件中的安全配置基線,并與配置庫(kù)中對(duì)應(yīng)的預(yù)存安全配置基線進(jìn)行一一比對(duì)��;將與所述安全配置基線不一致的配置條目定義為安全配置缺陷�,同時(shí)輸出安全配置掃描結(jié)果。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)���,其特征在于��,所述系統(tǒng)管理模塊包括授權(quán)控制模塊�����、用戶管理模塊��、系統(tǒng)維護(hù)模塊�、系統(tǒng)日志模塊和操作日志模塊; 所述授權(quán)控制模塊�,用于根據(jù)第一級(jí)用戶的身份信息,為所述第一級(jí)用戶分配管理權(quán)限���; 所述用戶管理模塊,用于根據(jù)所述第一級(jí)用戶的下級(jí)用戶的身份信息���,為所述下級(jí)用戶分配管理權(quán)限�����,并對(duì)所述下級(jí)用戶的身份信息進(jìn)行管理���; 所述系統(tǒng)維護(hù)模塊,用于及時(shí)對(duì)整個(gè)系統(tǒng)進(jìn)行升級(jí)�,用以對(duì)系統(tǒng)進(jìn)行維護(hù); 所述系統(tǒng)日志模塊�����,用于對(duì)系統(tǒng)的運(yùn)行進(jìn)行日志記錄��; 所述操作日志模塊�����,用于對(duì)所有模塊的運(yùn)行進(jìn)行日志記錄。
【文檔編號(hào)】H04L12/24GK104135483SQ201410387150
【公開(kāi)日】2014年11月5日 申請(qǐng)日期:2014年8月5日 優(yōu)先權(quán)日:2014年6月13日
【發(fā)明者】汪志, 馮俊杰, 胡家勝 申請(qǐng)人:汪志