本發(fā)明涉及通信領(lǐng)域，尤其涉及一種管理信息安全規(guī)范庫(kù)的方法和裝置。

背景技術(shù)：

網(wǎng)絡(luò)安全性正受到越來(lái)越普遍的關(guān)注，一方面因?yàn)榫W(wǎng)絡(luò)入侵事件經(jīng)常發(fā)生，另一方面由于網(wǎng)絡(luò)安全性技術(shù)的大量涌現(xiàn)。如何利用網(wǎng)絡(luò)安全性技術(shù)保護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全成為大家所關(guān)心的問(wèn)題。網(wǎng)絡(luò)的安全性不是單純的技術(shù)問(wèn)題，它和系統(tǒng)的管理維護(hù)制度等方面密切相關(guān)。整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性不僅依賴于安全可靠的網(wǎng)絡(luò)操作、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備的安全性，還依賴制定完整的安全策略。

完整的網(wǎng)絡(luò)系統(tǒng)安全策略涵蓋的內(nèi)容很多，例如反病毒、備份、內(nèi)容過(guò)濾、防火墻、端點(diǎn)加密、反惡意軟件工具等技術(shù)控制手段應(yīng)當(dāng)在安全策略中涉及到對(duì)這些技術(shù)的控制，并應(yīng)當(dāng)描述如何實(shí)施這些控制來(lái)保護(hù)單位的資源。問(wèn)題是一些企業(yè)存在對(duì)安全管理不重視或者網(wǎng)絡(luò)安全管理員自身安全領(lǐng)域相關(guān)知識(shí)匱乏，導(dǎo)致整個(gè)企業(yè)安全策略不完善，存在可能被黑客利用的漏洞，嚴(yán)重威脅到企業(yè)網(wǎng)絡(luò)安全。

現(xiàn)有的技術(shù)多為對(duì)配置的核查與改進(jìn)，缺乏對(duì)策略規(guī)范庫(kù)的管理，因此如何管理現(xiàn)有安全策略規(guī)范庫(kù)是亟待解決的問(wèn)題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供一種管理信息安全規(guī)范庫(kù)的方法和裝置，要解決的技術(shù)問(wèn)題是如何實(shí)現(xiàn)對(duì)信息安全規(guī)范庫(kù)的管理。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了如下技術(shù)方案：

一種管理信息安全規(guī)范庫(kù)的方法，包括：利用信息安全規(guī)范庫(kù)中的第一規(guī)范和第二規(guī)范對(duì)相同的配置信息進(jìn)行核查，得到第一核查結(jié)果和第二核查結(jié)果；對(duì)比所述第一核查結(jié)果和第二核查結(jié)果，得到比較結(jié)果；根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息；根據(jù)所述差異信息，輸出對(duì)所述信息安全規(guī)范庫(kù)中的所述第一規(guī)范和所述第二規(guī)范的管理信息。

其中，所述根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息，包括：

根據(jù)所述比較結(jié)果，獲取所述配置信息分別在所述第一規(guī)范和第二規(guī)范中不遵從的核查條目；

根據(jù)得到的核查條目，得到所述第一規(guī)范和第二規(guī)范的差異信息。

其中，所述根據(jù)得到的核查條目，得到所述第一規(guī)范和第二規(guī)范的差異信息之后，所述方法還包括：

利用預(yù)先存儲(chǔ)的評(píng)估模板，對(duì)所述核查條件進(jìn)行評(píng)估，確定所述配置信息對(duì)不遵從所述核查條目時(shí)造成不同遵從程度的原因；

根據(jù)得到的原因，查找所述原因?qū)?yīng)的建議信息；

輸出所述建議信息。

其中，根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息之后，所述方法還包括：

通知將接收到的核查條目更新到所述信息安全規(guī)范庫(kù)的模板中；或者，

通知對(duì)所述信息安全規(guī)范庫(kù)的模板中已有的核查條目進(jìn)行刪除操作；或者，

通知對(duì)所述信息安全規(guī)范庫(kù)中已有的核查條目進(jìn)行修改操作。

其中，所述配置信息為預(yù)先存儲(chǔ)的配置信息或者隨機(jī)采集得到的配置信息。

一種管理信息安全規(guī)范庫(kù)的裝置，包括：核查模塊，用于利用信息安全規(guī)范庫(kù)中的第一規(guī)范和第二規(guī)范對(duì)相同的配置信息進(jìn)行核查，得到第一核查 結(jié)果和第二核查結(jié)果；對(duì)比模塊，用于對(duì)比所述第一核查結(jié)果和第二核查結(jié)果，得到比較結(jié)果；第一確定模塊，用于根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息；第一輸出模塊，用于根據(jù)所述差異信息，輸出對(duì)所述信息安全規(guī)范庫(kù)中的所述第一規(guī)范和所述第二規(guī)范的管理信息。

其中，所述第一確定模塊包括：

獲取單元，用于根據(jù)所述比較結(jié)果，獲取所述配置信息分別在所述第一規(guī)范和第二規(guī)范中不遵從的核查條目；

確定單元，用于根據(jù)得到的核查條目，得到所述第一規(guī)范和第二規(guī)范的差異信息。

其中，所述裝置還包括：

第二確定模塊，用于利用預(yù)先存儲(chǔ)的評(píng)估模板，對(duì)所述核查條件進(jìn)行評(píng)估，確定所述配置信息對(duì)不遵從所述核查條目時(shí)造成不同遵從程度的原因；

查找模塊，用于根據(jù)得到的原因，查找所述原因?qū)?yīng)的建議信息；

第二輸出模塊，用于輸出所述建議信息。

其中，所述裝置還包括：

通知模塊，用于通知將接收到的核查條目更新到所述信息安全規(guī)范庫(kù)的模板中；或者，通知對(duì)所述信息安全規(guī)范庫(kù)的模板中已有的核查條目進(jìn)行刪除操作；或者，通知對(duì)所述信息安全規(guī)范庫(kù)中已有的核查條目進(jìn)行修改操作。

其中，所述配置信息為預(yù)先存儲(chǔ)的配置信息或者隨機(jī)采集得到的配置信息。

本發(fā)明提供的實(shí)施例，利用第一規(guī)范和第二規(guī)范對(duì)相同的配置信息進(jìn)行核查，得到第一核查結(jié)果和第二核查結(jié)果，并對(duì)比第一核查結(jié)果和第二核查結(jié)果，得到比較結(jié)果，再根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息，根據(jù)所述差異信息，輸出對(duì)所述信息安全規(guī)范庫(kù)中的所述第一規(guī)范和所述第二規(guī)范的管理信息，方便用戶獲知規(guī)范之間的差異，為日后進(jìn)一步完善規(guī)范提供了依據(jù)。

附圖說(shuō)明

圖1為本發(fā)明提供的管理信息安全規(guī)范庫(kù)的方法的流程圖；

圖2為本發(fā)明實(shí)施例一提供的管理信息安全規(guī)范庫(kù)的方法的流程圖；

圖3為本發(fā)明實(shí)施例二提供的管理信息安全規(guī)范庫(kù)的方法的流程圖；

圖4為本發(fā)明實(shí)施例三提供的管理信息安全規(guī)范庫(kù)的方法的流程圖；

圖5為本發(fā)明提供的管理信息安全規(guī)范庫(kù)的裝置的結(jié)構(gòu)圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述。需要說(shuō)明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。

圖1為本發(fā)明提供的管理信息安全規(guī)范庫(kù)的方法的流程圖。圖1所示方法包括：

步驟101、利用信息安全規(guī)范庫(kù)中的第一規(guī)范和第二規(guī)范對(duì)相同的配置信息進(jìn)行核查，得到第一核查結(jié)果和第二核查結(jié)果；

步驟102、對(duì)比所述第一核查結(jié)果和第二核查結(jié)果，得到比較結(jié)果；

步驟103、根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息；

步驟104、根據(jù)所述差異信息，輸出對(duì)所述信息安全規(guī)范庫(kù)中的所述第一規(guī)范和所述第二規(guī)范的管理信息。

本發(fā)明提供的方法，利用第一規(guī)范和第二規(guī)范對(duì)相同的配置信息進(jìn)行核查，得到第一核查結(jié)果和第二核查結(jié)果，并對(duì)比第一核查結(jié)果和第二核查結(jié)果，得到比較結(jié)果，再根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息，根據(jù)所述差異信息，輸出對(duì)所述信息安全規(guī)范庫(kù)中的所述第一規(guī)范和所述第二規(guī)范的管理信息，方便用戶獲知規(guī)范之間的差異，為日后進(jìn)一 步完善規(guī)范提供了依據(jù)。

在實(shí)際應(yīng)用中，信息測(cè)量規(guī)劃庫(kù)庫(kù)包含各種豐富的知識(shí)規(guī)范庫(kù)，既包含標(biāo)準(zhǔn)規(guī)范庫(kù)，例如各種風(fēng)險(xiǎn)庫(kù)、合規(guī)庫(kù)、基線庫(kù)等，也包含用戶自定義的規(guī)范庫(kù)，例如安全管理策略庫(kù)等，這些核查庫(kù)和核查條目可以從不同維度為設(shè)備、裝置或系統(tǒng)提供不同需求的核查。

上文所說(shuō)的配置信息為設(shè)備、裝置或系統(tǒng)的配置信息。配置可以通過(guò)例如配置命令遠(yuǎn)程采集設(shè)備、裝置或系統(tǒng)獲取，或者從設(shè)備、裝置或系統(tǒng)的維護(hù)管理設(shè)備上獲取，或者本地構(gòu)建或生成設(shè)備、裝置或系統(tǒng)的配置信息文件。

可以為配置信息選擇多個(gè)不同的信息安全策略庫(kù)，進(jìn)行配置核查。例如，為配置選擇兩種不同的規(guī)范進(jìn)行配置核查。將配置中的配置信息，根據(jù)規(guī)范1中的配置核查條目進(jìn)行核查，依據(jù)配置核查條目檢測(cè)相關(guān)配置信息的遵從程度，生成配置核查結(jié)果。同樣，將配置中的配置信息，根據(jù)規(guī)范2中的配置核查條目進(jìn)行核查，依據(jù)配置核查條目檢測(cè)相關(guān)配置信息的遵從程度，生成配置核查結(jié)果。

將上述配置核查結(jié)果進(jìn)行對(duì)比，比較同一配置信息針對(duì)兩種不同規(guī)范的遵從程度。例如，不同規(guī)范包含的配置核查條目可能會(huì)不同，因此同一配置信息對(duì)不同規(guī)范的核查有不同的遵從程度，安全策略管控設(shè)備可以分析造成不同遵從程度的原因，找出不同規(guī)范間的差異，例如，不遵從條目間是否存在范圍太寬，某些條目對(duì)應(yīng)內(nèi)容是否有更高風(fēng)險(xiǎn)、是否存在更大漏洞等，展示給用戶參考決策。可選地，支持根據(jù)實(shí)際網(wǎng)絡(luò)安全需求將核查條目更新到規(guī)范庫(kù)模版中，這里的規(guī)范庫(kù)模版既可以是標(biāo)準(zhǔn)規(guī)范模版，也可以是自定義的規(guī)范模版。從而完善規(guī)范庫(kù)功能。

下面對(duì)本發(fā)明提供的方法作進(jìn)一步說(shuō)明：

實(shí)施例一

圖2為本發(fā)明實(shí)施例一提供的管理信息安全規(guī)范庫(kù)的方法的流程圖。在此實(shí)施例中，策略管控設(shè)備不僅可以對(duì)核查對(duì)比分析給出合理建議，同時(shí)還支持配置的變更，如圖2所示：

為配置選擇多個(gè)不同的知識(shí)庫(kù)，進(jìn)行配置核查。例如，為配置選擇兩種 不同的規(guī)范進(jìn)行配置核查，這里選擇核查用的規(guī)范模版既可以包含需要改進(jìn)更新的模版，也可以不包含。將配置中的配置信息，根據(jù)規(guī)范1中的配置核查條目進(jìn)行核查，依據(jù)配置核查條目檢測(cè)相關(guān)配置信息的遵從程度，生成配置核查結(jié)果。同樣，將配置中的配置信息，根據(jù)規(guī)范2中的配置核查條目進(jìn)行核查，依據(jù)配置核查條目檢測(cè)相關(guān)配置信息的遵從程度，生成配置核查結(jié)果。

將上述配置核查結(jié)果進(jìn)行對(duì)比，比較同一配置信息針對(duì)兩種不同規(guī)范的遵從程度。具體來(lái)說(shuō)，根據(jù)所述比較結(jié)果，獲取所述配置信息分別在所述第一規(guī)范和第二規(guī)范中不遵從的核查條目；根據(jù)得到的核查條目，得到所述第一規(guī)范和第二規(guī)范的差異信息。例如，不同規(guī)范包含的配置核查條目可能會(huì)不同，因此同一配置信息對(duì)不同規(guī)范的核查會(huì)有不同的遵從程度，可以將不遵從條目整理展示。安全策略管控設(shè)備評(píng)估分析功能是根據(jù)評(píng)估模版對(duì)不遵從條目分析造成不同遵從程度的原因，找出不同規(guī)范間的差異，例如，不遵從條目間是否存在范圍太寬，某些條目對(duì)應(yīng)內(nèi)容是否有更高風(fēng)險(xiǎn)、是否存在更大漏洞等，展示給用戶參考決策。

進(jìn)一步的，利用預(yù)先存儲(chǔ)的評(píng)估模板，對(duì)所述核查條件進(jìn)行評(píng)估，確定所述配置信息對(duì)不遵從所述核查條目時(shí)造成不同遵從程度的原因；根據(jù)得到的原因，查找所述原因?qū)?yīng)的建議信息；輸出所述建議信息。

其中，建議信息可以是預(yù)先存儲(chǔ)的，在確定原因后，通過(guò)查找對(duì)應(yīng)建議信息，并將查找到的建議信息輸出給用戶，為用戶進(jìn)一步完善信息安全規(guī)范庫(kù)提供了幫助。

可選地，支持規(guī)范庫(kù)的改進(jìn)。例如，可以根據(jù)實(shí)際網(wǎng)絡(luò)安全需求，將上述存在更高風(fēng)險(xiǎn)的核查條目更新到規(guī)范庫(kù)模版中，或者刪除規(guī)范庫(kù)模版中不必要的核查條目，當(dāng)然還可以對(duì)規(guī)劃庫(kù)模塊中核查條目進(jìn)行變更。具體說(shuō)明如下：

1)本地給策略管控設(shè)備發(fā)送更新規(guī)范庫(kù)請(qǐng)求。例如，要添加核查條目到規(guī)范庫(kù)中，可以給策略管控設(shè)備發(fā)送一個(gè)添加規(guī)范庫(kù)條目的請(qǐng)求，請(qǐng)求內(nèi)容包含：添加操作碼+要操作的規(guī)范庫(kù)ID+添加條目序號(hào)+添加的具體條目?jī)?nèi)容； 要修改原規(guī)范中條目，可以給策略管控設(shè)備發(fā)送一個(gè)修改規(guī)范庫(kù)條目的請(qǐng)求，請(qǐng)求內(nèi)容包含：修改操作碼+要操作的規(guī)范庫(kù)ID+修改的條目序號(hào)+修改的具體條目?jī)?nèi)容；同樣要?jiǎng)h除原規(guī)范中條目，可以給策略管控設(shè)備發(fā)送一個(gè)刪除規(guī)范庫(kù)條目的請(qǐng)求，請(qǐng)求內(nèi)容包含：刪除操作碼+要操作的規(guī)范庫(kù)ID+刪除的條目序號(hào)(該序號(hào)為唯一標(biāo)識(shí)號(hào))。

2)接收并響應(yīng)變更請(qǐng)求。例如，策略管控設(shè)備對(duì)收到的請(qǐng)求進(jìn)行解析，得到內(nèi)容是需要添加條目到某規(guī)范庫(kù)中，策略管控設(shè)備會(huì)調(diào)用該規(guī)范庫(kù)并執(zhí)行添加操作。這里需要改進(jìn)的規(guī)范庫(kù)模版既可以是標(biāo)準(zhǔn)規(guī)范模版，也可以是自定義的規(guī)范模版。

可選地，支持配置變更功能。例如，對(duì)于上述核查結(jié)果為不遵從的配置項(xiàng)，安全策略管控設(shè)備根據(jù)核查結(jié)果中的建議，支持對(duì)配置的變更，可以是添加、修改、刪除配置等。將變更后的配置信息下發(fā)，例如可以本地構(gòu)建配置文件下發(fā)到設(shè)備、裝置或系統(tǒng)上，也可以直接遠(yuǎn)程設(shè)備、裝置或系統(tǒng)，下發(fā)配置命令，使其變更為符合核查條目的配置信息。

本發(fā)明實(shí)施例一提供的方法，利用第一規(guī)范和第二規(guī)范對(duì)相同的配置信息進(jìn)行核查，得到第一核查結(jié)果和第二核查結(jié)果，并對(duì)比第一核查結(jié)果和第二核查結(jié)果，得到比較結(jié)果，再根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息，根據(jù)所述差異信息，輸出對(duì)所述信息安全規(guī)范庫(kù)中的所述第一規(guī)范和所述第二規(guī)范的管理信息，方便用戶獲知規(guī)范之間的差異，為日后進(jìn)一步完善規(guī)范提供了依據(jù)；通過(guò)確定第一規(guī)范和第二規(guī)范之間的差異，根據(jù)該差異提出建議信息，方便用戶進(jìn)一步完善規(guī)范，另外，通過(guò)對(duì)配置信息的變更，可以有效提高配置信息的準(zhǔn)確性。

實(shí)施例二

圖3為本發(fā)明實(shí)施例二提供的管理信息安全規(guī)范庫(kù)的方法的流程圖。在此實(shí)施例中，策略管控設(shè)備可以支持通過(guò)采集的配置進(jìn)行核查對(duì)比分析的方法，如圖3所示：

圖3中采集的配置為設(shè)備、裝置或系統(tǒng)的配置信息。例如，可以通過(guò)配置命令遠(yuǎn)程登錄設(shè)備、裝置或系統(tǒng)采集獲取，或者從設(shè)備、裝置或系統(tǒng)的維 護(hù)管理設(shè)備上獲取。

為配置選擇多個(gè)不同的知識(shí)庫(kù)，進(jìn)行配置核查。例如，為配置選擇兩種不同的規(guī)范進(jìn)行配置核查，這里選擇核查用的規(guī)范模版既可以包含需要改進(jìn)更新的模版，也可以不包含。將配置中的配置信息，根據(jù)規(guī)范1中的配置核查條目進(jìn)行核查，依據(jù)配置核查條目檢測(cè)相關(guān)配置信息的遵從程度，生成配置核查結(jié)果。同樣，將配置中的配置信息，根據(jù)規(guī)范2中的配置核查條目進(jìn)行核查，依據(jù)配置核查條目檢測(cè)相關(guān)配置信息的遵從程度，生成配置核查結(jié)果。

將上述配置核查結(jié)果進(jìn)行對(duì)比，比較同一配置信息針對(duì)兩種不同規(guī)范的遵從程度。例如，不同規(guī)范包含的配置核查條目可能會(huì)不同，因此同一配置信息對(duì)不同規(guī)范的核查會(huì)有不同的遵從程度，可以將不遵從條目整理展示。安全策略管控設(shè)備評(píng)估分析功能是根據(jù)評(píng)估模版對(duì)不遵從條目分析造成不同遵從程度的原因，找出不同規(guī)范間的差異，例如，不遵從條目間是否存在范圍太寬，某些條目對(duì)應(yīng)內(nèi)容是否有更高風(fēng)險(xiǎn)、是否存在更大漏洞等，展示給用戶參考決策。

可選地，支持規(guī)范庫(kù)的改進(jìn)。例如，可以根據(jù)實(shí)際網(wǎng)絡(luò)安全需求，將上述存在更高風(fēng)險(xiǎn)的核查條目更新到規(guī)范庫(kù)模版中，或者刪除規(guī)范庫(kù)模版中不必要的核查條目，當(dāng)然還可以對(duì)規(guī)劃庫(kù)模塊中核查條目進(jìn)行變更。步驟可以如下：

1)給策略管控設(shè)備發(fā)送更新規(guī)范庫(kù)請(qǐng)求。例如，要添加核查條目到規(guī)范庫(kù)中，可以給策略管控設(shè)備發(fā)送一個(gè)添加規(guī)范庫(kù)條目的請(qǐng)求，請(qǐng)求內(nèi)容包含：添加操作碼+要操作的規(guī)范庫(kù)ID+添加條目序號(hào)+添加的具體條目?jī)?nèi)容；要修改原規(guī)范中條目，可以給策略管控設(shè)備發(fā)送一個(gè)修改規(guī)范庫(kù)條目的請(qǐng)求，請(qǐng)求內(nèi)容包含：修改操作碼+要操作的規(guī)范庫(kù)ID+修改的條目序號(hào)+修改的具體條目?jī)?nèi)容；同樣要?jiǎng)h除原規(guī)范中條目，可以給策略管控設(shè)備發(fā)送一個(gè)刪除規(guī)范庫(kù)條目的請(qǐng)求，請(qǐng)求內(nèi)容包含：刪除操作碼+要操作的規(guī)范庫(kù)ID+刪除的條目序號(hào)(該序號(hào)為唯一標(biāo)識(shí)號(hào))。

2)接收并響應(yīng)變更請(qǐng)求。例如，策略管控設(shè)備對(duì)收到的請(qǐng)求進(jìn)行解析， 得到內(nèi)容是需要添加條目到某規(guī)范庫(kù)中，策略管控設(shè)備會(huì)調(diào)用該規(guī)范庫(kù)并執(zhí)行添加操作。這里需要改進(jìn)的規(guī)范庫(kù)模版既可以是標(biāo)準(zhǔn)規(guī)范模版，也可以是自定義的規(guī)范模版。

本發(fā)明實(shí)施例二提供的方法，利用第一規(guī)范和第二規(guī)范對(duì)相同的配置信息進(jìn)行核查，得到第一核查結(jié)果和第二核查結(jié)果，并對(duì)比第一核查結(jié)果和第二核查結(jié)果，得到比較結(jié)果，再根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息，根據(jù)所述差異信息，輸出對(duì)所述信息安全規(guī)范庫(kù)中的所述第一規(guī)范和所述第二規(guī)范的管理信息，方便用戶獲知規(guī)范之間的差異，為日后進(jìn)一步完善規(guī)范提供了依據(jù)；通過(guò)確定第一規(guī)范和第二規(guī)范之間的差異，根據(jù)該差異提出建議信息，方便用戶進(jìn)一步完善規(guī)范，另外，通過(guò)對(duì)配置信息的變更，可以有效提高配置信息的準(zhǔn)確性；利用采集得到的配置信息進(jìn)行核查，提高了數(shù)據(jù)的隨機(jī)性，為后續(xù)獲取管理數(shù)據(jù)提供了幫助。

實(shí)施例三

圖4為本發(fā)明實(shí)施例三提供的管理信息安全規(guī)范庫(kù)的方法的流程圖。在此實(shí)施例中，策略管控設(shè)備可以支持通過(guò)計(jì)劃配置進(jìn)行核查對(duì)比分析，從而增強(qiáng)安全策略規(guī)范的方法，如圖4所示：

圖4中的配置信息為設(shè)備、裝置或系統(tǒng)的配置信息文件。例如，可以通過(guò)本地構(gòu)建或生成設(shè)備、裝置或系統(tǒng)的計(jì)劃配置信息文件。

為配置選擇多個(gè)不同的知識(shí)庫(kù)，進(jìn)行配置核查。例如，為配置選擇兩種不同的規(guī)范進(jìn)行配置核查，這里選擇核查用的規(guī)范模版既可以包含需要改進(jìn)更新的模版，也可以不包含。將配置中的配置信息，根據(jù)規(guī)范1中的配置核查條目進(jìn)行核查，依據(jù)配置核查條目檢測(cè)相關(guān)配置信息的遵從程度，生成配置核查結(jié)果。同樣，將配置中的配置信息，根據(jù)規(guī)范2中的配置核查條目進(jìn)行核查，依據(jù)配置核查條目檢測(cè)相關(guān)配置信息的遵從程度，生成配置核查結(jié)果。

將上述配置核查結(jié)果進(jìn)行對(duì)比，比較同一配置信息針對(duì)兩種不同規(guī)范的遵從程度。例如，不同規(guī)范包含的配置核查條目可能會(huì)不同，因此同一配置信息對(duì)不同規(guī)范的核查會(huì)有不同的遵從程度，可以將不遵從條目整理展示。 安全策略管控設(shè)備評(píng)估分析功能是根據(jù)評(píng)估模版對(duì)不遵從條目分析造成不同遵從程度的原因，找出不同規(guī)范間的差異，例如，不遵從條目間是否存在范圍太寬，某些條目對(duì)應(yīng)內(nèi)容是否有更高風(fēng)險(xiǎn)、是否存在更大漏洞等，展示給用戶參考決策。

可選地，支持規(guī)范庫(kù)的改進(jìn)。例如，可以根據(jù)實(shí)際網(wǎng)絡(luò)安全需求，將上述存在更高風(fēng)險(xiǎn)的核查條目更新到規(guī)范庫(kù)模版中，或者刪除規(guī)范庫(kù)模版中不必要的核查條目，當(dāng)然還可以對(duì)規(guī)劃庫(kù)模塊中核查條目進(jìn)行變更。步驟可以如下：

1)給策略管控設(shè)備發(fā)送更新規(guī)范庫(kù)請(qǐng)求。例如，要添加核查條目到規(guī)范庫(kù)中，可以給策略管控設(shè)備發(fā)送一個(gè)添加規(guī)范庫(kù)條目的請(qǐng)求，請(qǐng)求內(nèi)容包含：添加操作碼+要操作的規(guī)范庫(kù)ID+添加條目序號(hào)+添加的具體條目?jī)?nèi)容；要修改原規(guī)范中條目，可以給策略管控設(shè)備發(fā)送一個(gè)修改規(guī)范庫(kù)條目的請(qǐng)求，請(qǐng)求內(nèi)容包含：修改操作碼+要操作的規(guī)范庫(kù)ID+修改的條目序號(hào)+修改的具體條目?jī)?nèi)容；同樣要?jiǎng)h除原規(guī)范中條目，可以給策略管控設(shè)備發(fā)送一個(gè)刪除規(guī)范庫(kù)條目的請(qǐng)求，請(qǐng)求內(nèi)容包含：刪除操作碼+要操作的規(guī)范庫(kù)ID+刪除的條目序號(hào)(該序號(hào)為唯一標(biāo)識(shí)號(hào))。

2)接收并響應(yīng)變更請(qǐng)求。例如，策略管控設(shè)備對(duì)收到的請(qǐng)求進(jìn)行解析，得到內(nèi)容是需要添加條目到某規(guī)范庫(kù)中，策略管控設(shè)備會(huì)調(diào)用該規(guī)范庫(kù)并執(zhí)行添加操作。這里需要改進(jìn)的規(guī)范庫(kù)模版既可以是標(biāo)準(zhǔn)規(guī)范模版，也可以是自定義的規(guī)范模版。

本發(fā)明實(shí)施例三提供的方法，利用第一規(guī)范和第二規(guī)范對(duì)相同的配置信息進(jìn)行核查，得到第一核查結(jié)果和第二核查結(jié)果，并對(duì)比第一核查結(jié)果和第二核查結(jié)果，得到比較結(jié)果，再根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息，根據(jù)所述差異信息，輸出對(duì)所述信息安全規(guī)范庫(kù)中的所述第一規(guī)范和所述第二規(guī)范的管理信息，方便用戶獲知規(guī)范之間的差異，為日后進(jìn)一步完善規(guī)范提供了依據(jù)；通過(guò)確定第一規(guī)范和第二規(guī)范之間的差異，根據(jù)該差異提出建議信息，方便用戶進(jìn)一步完善規(guī)范，另外，通過(guò)對(duì)配置信息的變更，可以有效提高配置信息的準(zhǔn)確性；通過(guò)預(yù)先存儲(chǔ)的配置信息進(jìn)行檢測(cè)，減少了配置數(shù)據(jù)的采集流程，減少了前期的準(zhǔn)備時(shí)間，提高了處理速 度。

圖5為本發(fā)明提供的管理信息安全規(guī)范庫(kù)的裝置的結(jié)構(gòu)圖。圖5所示裝置包括：

核查模塊501，用于利用信息安全規(guī)范庫(kù)中的第一規(guī)范和第二規(guī)范對(duì)相同的配置信息進(jìn)行核查，得到第一核查結(jié)果和第二核查結(jié)果；

對(duì)比模塊502，用于對(duì)比所述第一核查結(jié)果和第二核查結(jié)果，得到比較結(jié)果；

第一確定模塊503，用于根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息；

第一輸出模塊504，用于根據(jù)所述差異信息，輸出對(duì)所述信息安全規(guī)范庫(kù)中的所述第一規(guī)范和所述第二規(guī)范的管理信息。

其中，所述第一確定模塊包括：

獲取單元，用于根據(jù)所述比較結(jié)果，獲取所述配置信息分別在所述第一規(guī)范和第二規(guī)范中不遵從的核查條目；

確定單元，用于根據(jù)得到的核查條目，得到所述第一規(guī)范和第二規(guī)范的差異信息。

可選的，所述裝置還包括：

第二確定模塊，用于利用預(yù)先存儲(chǔ)的評(píng)估模板，對(duì)所述核查條件進(jìn)行評(píng)估，確定所述配置信息對(duì)不遵從所述核查條目時(shí)造成不同遵從程度的原因；

查找模塊，用于根據(jù)得到的原因，查找所述原因?qū)?yīng)的建議信息；

第二輸出模塊，用于輸出所述建議信息。

可選的，所述裝置還包括：

通知模塊，用于通知將接收到的核查條目更新到所述信息安全規(guī)范庫(kù)的模板中；或者，通知對(duì)所述信息安全規(guī)范庫(kù)的模板中已有的核查條目進(jìn)行刪 除操作；或者，通知對(duì)所述信息安全規(guī)范庫(kù)中已有的核查條目進(jìn)行修改操作。

可選的，所述配置信息為預(yù)先存儲(chǔ)的配置信息或者隨機(jī)采集得到的配置信息。

本發(fā)明提供的方法，利用第一規(guī)范和第二規(guī)范對(duì)相同的配置信息進(jìn)行核查，得到第一核查結(jié)果和第二核查結(jié)果，并對(duì)比第一核查結(jié)果和第二核查結(jié)果，得到比較結(jié)果，再根據(jù)所述比較結(jié)果，確定所述第一規(guī)范和第二規(guī)范的差異信息，根據(jù)所述差異信息，輸出對(duì)所述信息安全規(guī)范庫(kù)中的所述第一規(guī)范和所述第二規(guī)范的管理信息，方便用戶獲知規(guī)范之間的差異，為日后進(jìn)一步完善規(guī)范提供了依據(jù)。

本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的全部或部分步驟可以使用計(jì)算機(jī)程序流程來(lái)實(shí)現(xiàn)，所述計(jì)算機(jī)程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，所述計(jì)算機(jī)程序在相應(yīng)的硬件平臺(tái)上(如系統(tǒng)、設(shè)備、裝置、器件等)執(zhí)行，在執(zhí)行時(shí)，包括方法實(shí)施例的步驟之一或其組合。

可選地，上述實(shí)施例的全部或部分步驟也可以使用集成電路來(lái)實(shí)現(xiàn)，這些步驟可以被分別制作成一個(gè)個(gè)集成電路模塊，或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。這樣，本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。

上述實(shí)施例中的各裝置/功能模塊/功能單元可以采用通用的計(jì)算裝置來(lái)實(shí)現(xiàn)，它們可以集中在單個(gè)的計(jì)算裝置上，也可以分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上。

上述實(shí)施例中的各裝置/功能模塊/功能單元以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。上述提到的計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器，磁盤或光盤等。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求所述的保護(hù)范圍為準(zhǔn)。