本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種安全配置核查任務(wù)分配方法及裝置。

背景技術(shù)：

近年來隨著企業(yè)網(wǎng)規(guī)模持續(xù)擴大，網(wǎng)元數(shù)量和種類呈現(xiàn)爆發(fā)式的增長趨勢，在設(shè)備數(shù)量急劇增加的同時，企業(yè)網(wǎng)面臨的安全問題也隨之變得更加嚴(yán)峻。在眾多的安全問題中，由于設(shè)備的配置不當(dāng)導(dǎo)致的安全風(fēng)險一直以來都是造成信息安全問題的主要原因之一。

為了積極應(yīng)對設(shè)備安全配置方面的問題，國內(nèi)外各安全廠商紛紛推出安全配置基線核查類系統(tǒng)或者工具，其中，企業(yè)級核查類系統(tǒng)可以支持同時對多臺終端設(shè)備進行檢查，具有自動化程度高的優(yōu)勢，因此其被廣泛應(yīng)用于企業(yè)網(wǎng)的安全配置核查中。圖1為現(xiàn)有技術(shù)中的企業(yè)安全配置基線核查系統(tǒng)的部署架構(gòu)示意圖。如圖1所示，該系統(tǒng)采用分布式部署方式，包括一臺核心服務(wù)器10、多臺通過交換機20與核心服務(wù)器10連接的采集服務(wù)器30、以及與采集服務(wù)器30連接的終端設(shè)備40。在上述系統(tǒng)的工作過程中，核心服務(wù)器10負(fù)責(zé)檢查任務(wù)制定，以及，將制定好的任務(wù)下發(fā)到其中的一個采集服務(wù)器30或者均分到多個采集服務(wù)器30；然后，采集服務(wù)器30根據(jù)被分配到的檢測任務(wù)登錄相應(yīng)的終端設(shè)備，以及按照檢查任務(wù)中的檢查項進行被檢查設(shè)備(即終端設(shè)備40)的安全配置檢查和檢查結(jié)果分析；最后，各采集服務(wù)器30將檢查結(jié)果發(fā)送給核心服務(wù)器10以進行檢查結(jié)果集中匯總。另外，當(dāng)核心服務(wù)器10分配檢查任務(wù)時，核心服務(wù)器10會根據(jù)各采集服務(wù)器30上一次分配被分配任務(wù)的時間與本次任務(wù)之間的時間間隔進行任務(wù)分配調(diào)度。

然而，上述任務(wù)分配方式為任務(wù)為最小單位進行分配，并沒有考慮檢測任務(wù)所包含的被檢查設(shè)備數(shù)量、檢查項數(shù)量、檢查項執(zhí)行效率等因素，尤其當(dāng)檢查任務(wù)中設(shè)備數(shù)量過多時，將會導(dǎo)致檢查任務(wù)執(zhí)行耗時過長，任務(wù)耗時將達到數(shù)小時甚至數(shù)天；另外，上述任務(wù)分配方式僅從任務(wù)的創(chuàng)建時間維度進行任務(wù)分配調(diào)度，沒有考慮采集服務(wù)器當(dāng)前的負(fù)載等情況，所以當(dāng)兩個采集服務(wù)器的負(fù)載差距較大時，會造成一個采集服務(wù)器一直處于工作狀態(tài)而另一個服務(wù)器有很長時間處于閑置狀態(tài)，進而造成嚴(yán)重資源浪費，影響了核查系統(tǒng)的推廣使用。

技術(shù)實現(xiàn)要素：

為克服相關(guān)技術(shù)中存在的問題，本發(fā)明提供一種安全配置核查任務(wù)分配方法及裝置。

根據(jù)本發(fā)明實施例的第一方面，提供一種安全配置核查任務(wù)分配方法，該方法包括：

獲取待執(zhí)行任務(wù)中的被檢查設(shè)備信息以及與所述被檢查設(shè)備對應(yīng)的檢查項信息；

根據(jù)所述被檢查設(shè)備信息、所述檢查項信息、以及與所述檢查項對應(yīng)的檢查項權(quán)重值，計算出所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量；

獲取核查系統(tǒng)中各采集服務(wù)器的當(dāng)前性能數(shù)據(jù)；

根據(jù)各所述采集服務(wù)器的當(dāng)前性能數(shù)據(jù)以及所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量，將所述待執(zhí)行任務(wù)進行拆分、以及將拆分得到的待執(zhí)行子任務(wù)分配給相應(yīng)的所述采集服務(wù)器。

可選地，獲取待執(zhí)行任務(wù)中的被檢查設(shè)備信息以及與所述被檢查設(shè)備對應(yīng)的檢查項信息之前，所述方法還包括：

獲取待執(zhí)行任務(wù)中的各待檢查設(shè)備的ip地址；

根據(jù)各所述待檢查設(shè)備的ip地址，分別向各所述待檢查設(shè)備發(fā)送設(shè)備探測指令；

判斷是否接收到所述待檢查設(shè)備根據(jù)所述設(shè)備探測指令返回的設(shè)備存活信息；

如果接收到，則將返回所述設(shè)備存活信息的待檢查設(shè)備判定為被檢查設(shè)備。

可選地，獲取核查系統(tǒng)中各采集服務(wù)器的當(dāng)前性能數(shù)據(jù)，包括：

分別向核查系統(tǒng)中的各采集服務(wù)器發(fā)送服務(wù)器探測指令；

判斷是否接收到所述采集服務(wù)器根據(jù)所述服務(wù)器探測指令返回的服務(wù)器存活信息；

如果接收到，則獲取返回所述服務(wù)器存活信息的采集服務(wù)器的當(dāng)前性能數(shù)據(jù)。

可選地，所述檢查項權(quán)重值的設(shè)置方法包括：

獲取核查系統(tǒng)中為每個類型的終端設(shè)備所建立的各檢查項對應(yīng)的執(zhí)行時長；

根據(jù)各所述檢查項對應(yīng)的執(zhí)行時長，設(shè)置各所述檢查項的檢查項權(quán)重值，其中，所述執(zhí)行時長越長對應(yīng)的所述檢查項權(quán)重值越大。

可選地，根據(jù)各所述采集服務(wù)器的當(dāng)前性能數(shù)據(jù)以及所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量，將所述待執(zhí)行任務(wù)進行拆分，包括：

根據(jù)各所述采集服務(wù)器的當(dāng)前性能數(shù)據(jù)以及所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量，計算出各所述采集服務(wù)器待分配的任務(wù)量；

根據(jù)各所述采集服務(wù)器待分配的任務(wù)量，將所述待執(zhí)行任務(wù)拆分為與各所述采集服務(wù)器待分配的任務(wù)量相匹配的待執(zhí)行任子任務(wù)。

可選地，根據(jù)各所述采集服務(wù)器待分配的任務(wù)量，將所述待執(zhí)行任務(wù)拆分為與各所述采集服務(wù)器待分配的任務(wù)量相匹配的待執(zhí)行任子任務(wù)，包括：

根據(jù)所述采集服務(wù)器待分配的任務(wù)量，從所述待執(zhí)行任務(wù)選取同類被檢查設(shè)備的檢查項；

判斷選取的所述同類被檢查設(shè)備的檢查項對應(yīng)的任務(wù)量是否達到所述采集服務(wù)器待分配的任務(wù)量要求；

如果未達到，則繼續(xù)從剩余的所述待執(zhí)行任務(wù)中選取其它類被檢查設(shè)備的檢查項，將選取的所述同類被檢查設(shè)備的檢查項和所述其它類被檢查設(shè)備的檢查項作為所述采集服務(wù)器的待執(zhí)行任子任務(wù)。

根據(jù)本發(fā)明實施例的第二方面，提供了一種安全配置核查任務(wù)分配裝置，該裝置包括：

任務(wù)信息獲取模塊：用于獲取待執(zhí)行任務(wù)中的被檢查設(shè)備信息以及與所述被檢查設(shè)備對應(yīng)的檢查項信息；

總?cè)蝿?wù)量計算模塊：用于根據(jù)所述被檢查設(shè)備信息、所述檢查項信息、以及與所述檢查項對應(yīng)的檢查項權(quán)重值，計算出所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量；

性能數(shù)據(jù)獲取模塊：用于獲取核查系統(tǒng)中各采集服務(wù)器的當(dāng)前性能數(shù)據(jù)；

任務(wù)分配模塊：用于根據(jù)各所述采集服務(wù)器的當(dāng)前性能數(shù)據(jù)以及所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量，將所述待執(zhí)行任務(wù)進行拆分、以及將拆分得到的待執(zhí)行子任務(wù)分配給相應(yīng)的所述采集服務(wù)器。

可選地，所述裝置還包括：

設(shè)備地址獲取模塊：用于獲取待執(zhí)行任務(wù)中的各待檢查設(shè)備的ip地址；

設(shè)備探測指令發(fā)送模塊：用于根據(jù)各所述待檢查設(shè)備的ip地址，分別向各所述待檢查設(shè)備發(fā)送設(shè)備探測指令；

設(shè)備存活判斷模塊：用于判斷是否接收到所述待檢查設(shè)備根據(jù)所述設(shè)備探測指令返回的設(shè)備存活信息；

被檢設(shè)備判定模塊：用于如果接收到所述待檢查設(shè)備根據(jù)所述設(shè)備探測指令返回的設(shè)備存活信息，則將返回所述設(shè)備存活信息的待檢查設(shè)備判定為被檢查設(shè)備。

可選地，所述性能數(shù)據(jù)獲取模塊包括：

服務(wù)器探測子模塊：用于分別向核查系統(tǒng)中的各采集服務(wù)器發(fā)送服務(wù)器探測指令；

服務(wù)器存活判斷子模塊：用于判斷是否接收到所述采集服務(wù)器根據(jù)所述服務(wù)器探測指令返回的服務(wù)器存活信息；

性能數(shù)據(jù)獲取子模塊：用于如果接收到所述采集服務(wù)器根據(jù)所述服務(wù)器探測指令返回的服務(wù)器存活信息，則獲取返回所述服務(wù)器存活信息的采集服務(wù)器的當(dāng)前性能數(shù)據(jù)。

可選地，所述任務(wù)分配模塊包括：

服務(wù)器任務(wù)計算子模塊：根據(jù)各所述采集服務(wù)器的當(dāng)前性能數(shù)據(jù)以及所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量，計算出各所述采集服務(wù)器待分配的任務(wù)量；

任務(wù)拆分子模塊：根據(jù)各所述采集服務(wù)器待分配的任務(wù)量，將所述待執(zhí)行任務(wù)拆分為與各所述采集服務(wù)器待分配的任務(wù)量相匹配的待執(zhí)行任子任務(wù)。

由以上技術(shù)方案可見，本發(fā)明實施例提供的安全配置核查任務(wù)分配方法及裝置，根據(jù)待執(zhí)行任務(wù)中被檢查設(shè)備信息、被檢查設(shè)備所涉及到的檢查項信息、各檢查項對應(yīng)的權(quán)重值、以及采集服務(wù)器負(fù)載情況多個維度綜合考量，將待執(zhí)行任務(wù)以任務(wù)中的檢查項作為最小細(xì)粒度進行拆分，并將拆分得到的待執(zhí)行子任務(wù)分配給相應(yīng)的所述采集服務(wù)器以進行任務(wù)統(tǒng)一調(diào)度。本發(fā)明實施例提供的任務(wù)分配方法，將任務(wù)細(xì)分為更小的調(diào)度單元，充分利用安全配置合基線檢查系統(tǒng)中采集服務(wù)器的性能，有效的提升了任務(wù)的執(zhí)行效率，解決了現(xiàn)有安全配置核查系統(tǒng)任務(wù)分配算法過于簡單、任務(wù)執(zhí)行效率低下等諸多問題，使安全配置基線核查系統(tǒng)具有更高的推廣價值。

應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本發(fā)明。

附圖說明

此處的附圖被并入說明書中并構(gòu)成本說明書的一部分，示出了符合本發(fā)明的實施例，并與說明書一起用于解釋本發(fā)明的原理。

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，對于本領(lǐng)域普通技術(shù)人員而言，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為現(xiàn)有技術(shù)中的企業(yè)安全配置基線核查系統(tǒng)的部署架構(gòu)示意圖；

圖2為本發(fā)明實施例一提供的安全配置核查任務(wù)分配方法的流程示意圖；

圖3為本發(fā)明實施例二提供的安全配置核查任務(wù)分配方法的流程示意圖；

圖4為本發(fā)明實施例提供的一種安全配置核查任務(wù)分配裝置的基本結(jié)構(gòu)示意圖。

具體實施方式

這里將詳細(xì)地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本發(fā)明相一致的所有實施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。

針對現(xiàn)有技術(shù)中的安全配置基線核查類方法，通常以任務(wù)為最小單位進行任務(wù)分配，而不考慮任務(wù)包含的設(shè)備數(shù)量、檢查項數(shù)量、檢查項執(zhí)行時長、服務(wù)器負(fù)載情況等，任務(wù)分配調(diào)度功能死板，導(dǎo)致任務(wù)執(zhí)行效率大大降低的問題，本發(fā)明實施例提供了新的安全配置核查任務(wù)分配方法，應(yīng)用于安全配置和基線檢查系統(tǒng)，該方法的主要原理是將任務(wù)細(xì)分為更小的調(diào)度單元，并結(jié)合其他多方面因素，將細(xì)分后的任務(wù)分配給核查系統(tǒng)中的各采集服務(wù)器，以提升任務(wù)執(zhí)行效率。

圖2為本發(fā)明實施例一提供的安全配置核查任務(wù)分配方法的流程示意圖。如圖2所示，該方法主要包括如下步驟：

s101：獲取待執(zhí)行任務(wù)中的被檢查設(shè)備信息以及與所述被檢查設(shè)備對應(yīng)的檢查項信息。

在安全配置核查系統(tǒng)中新建安全配置檢查任務(wù)時，會經(jīng)過選擇被檢查設(shè)備列表、確定安全配置核查任務(wù)的檢查范圍、獲取被檢查設(shè)備登錄信息(如設(shè)備類型、ip地址、帳號名、密碼)，并為每個類型的被檢查設(shè)備設(shè)定需執(zhí)行的檢查項列表、以及設(shè)定檢查開始時間及周期等任務(wù)信息等一系列過程。

由于待執(zhí)行任務(wù)中的總?cè)蝿?wù)量與任務(wù)中的設(shè)備數(shù)量、需執(zhí)行的檢查項數(shù)量、檢查項權(quán)重值等相關(guān)，因此，本發(fā)明實施例在核心服務(wù)器端建好安全配置檢查任務(wù)后，會首先獲取新建的待執(zhí)行任務(wù)中的被檢查設(shè)備信息，包括任務(wù)中的設(shè)備列表信息以及設(shè)備類型信息(如windows、redhat、oracle、cisco等)，然后獲取各被檢查設(shè)備對應(yīng)的檢查項信息。

s102：根據(jù)所述被檢查設(shè)備信息、所述檢查項信息、以及與所述檢查項對應(yīng)的檢查項權(quán)重值，計算出所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量。

由于安全配置核查系統(tǒng)為每個類型的設(shè)備均建立了若干個檢查項，各檢查項的執(zhí)行效率不相同，因此，各檢查項對應(yīng)的檢查項權(quán)重值也有不同。

針對各檢查項對應(yīng)的檢查項權(quán)重值的設(shè)置方法，本發(fā)明實施例提供的如下步驟：首先，獲取安全配置核查系統(tǒng)中為每個類型的終端設(shè)備所建立的各檢查項對應(yīng)的執(zhí)行時長，在實際應(yīng)用中，在設(shè)置各檢查項對應(yīng)的執(zhí)行時長時，需要對所有設(shè)備類型下的所有檢查項進行多次測試，統(tǒng)計各個檢查項執(zhí)行的平均消耗時長，然后將執(zhí)行各檢查項平均消耗的時長分別作為各檢查項的執(zhí)行時長；然后，根據(jù)各檢查項對應(yīng)的執(zhí)行時長，設(shè)置各檢查項的檢查項權(quán)重值，其中，執(zhí)行時長越長對應(yīng)的檢查項權(quán)重值越大。以windows主機和redhat主機的部分檢查項為例，本發(fā)明實施例將各檢查項的平均消耗時長設(shè)置為權(quán)重值，當(dāng)然，并不限于該設(shè)置方法，如下表一：

表一：

本發(fā)明實施例提供了如下待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量的計算方法：

公式(1)中，各符號分別為：w檢查項權(quán)重值，checkitems檢查項，n某類型設(shè)備的數(shù)量，types待檢查設(shè)備類型。

假設(shè)待執(zhí)行任務(wù)中共有10臺待檢查設(shè)備，10臺設(shè)備中5臺為windows主機，另外5臺為redhat主機；windows主機有7個待檢查項需要進行檢查，redhat主機也有7個檢查項，如下表二：

表二：

按照公式(1)的計算方法，上表二中的總?cè)蝿?wù)量則為1875。

s103：獲取核查系統(tǒng)中各采集服務(wù)器的當(dāng)前性能數(shù)據(jù)。

在本發(fā)明實施例中，采集服務(wù)器的當(dāng)前性能數(shù)據(jù)，主要是其內(nèi)存利用率信息。采集服務(wù)器通過心跳信號將自身的內(nèi)存利用情況發(fā)送到核心服務(wù)器，核心服務(wù)器在為采集服務(wù)器分配任務(wù)量時，將參考各采集服務(wù)器的內(nèi)存利用情況進行合理分配。當(dāng)然，并不限于內(nèi)存利用率，還可以獲取采集服務(wù)器的配置等信息。

s104：根據(jù)各所述采集服務(wù)器的當(dāng)前性能數(shù)據(jù)以及所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量，將所述待執(zhí)行任務(wù)進行拆分、以及將拆分得到的待執(zhí)行子任務(wù)分配給相應(yīng)的所述采集服務(wù)器。

在進行待執(zhí)行任務(wù)拆分時，首先，根據(jù)各所述采集服務(wù)器的當(dāng)前性能數(shù)據(jù)以及所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量，計算出各所述采集服務(wù)器待分配的任務(wù)量；然后，根據(jù)各所述采集服務(wù)器待分配的任務(wù)量，將所述待執(zhí)行任務(wù)拆分為與各所述采集服務(wù)器待分配的任務(wù)量相匹配的待執(zhí)行任子任務(wù)。

以圖1中的部署架構(gòu)圖為例，即部署三臺采集服務(wù)器。內(nèi)存利用上限為85％，由步驟s103獲取到的采集服務(wù)器性能數(shù)據(jù)可知，三臺采集服務(wù)器目前的內(nèi)存利用情況如下表三所示：

表三：

在步驟s102中，計算得到的總?cè)蝿?wù)量為1875，按照各采集服務(wù)器的內(nèi)存利用情況為三臺采集服務(wù)器分配任務(wù)量分別為：

采集服務(wù)器-1待分配的任務(wù)量＝1875*25.6g/(25.6g+12g+22.4g)＝800

采集服務(wù)器-2待分配的任務(wù)量＝1875*12g/(25.6g+12g+22.4g)＝375

采集服務(wù)器-3待分配的任務(wù)量＝1875*22.4g/(25.6g+12g+22.4g)＝700

進一步的，在完成各采集服務(wù)器的待分配任務(wù)量的計算后，根據(jù)各所述采集服務(wù)器待分配的任務(wù)量，以任務(wù)中的檢查項為粒度為采集服務(wù)器分配任務(wù)。同時，在將所述待執(zhí)行任務(wù)拆分為與各所述采集服務(wù)器待分配的任務(wù)量相匹配的待執(zhí)行任子任務(wù)時，為減少并發(fā)連接數(shù)量，優(yōu)先為同一臺采集服務(wù)器分配同一被檢查設(shè)備和同類型設(shè)備的檢查項，具體包括如下步驟：

s141：根據(jù)所述采集服務(wù)器待分配的任務(wù)量，從所述待執(zhí)行任務(wù)選取同類被檢查設(shè)備的檢查項。

依然以圖1中的部署架構(gòu)圖為例，采集服務(wù)器-1待分配的任務(wù)量為800、采集服務(wù)器-2待分配的任務(wù)量為375、采集服務(wù)器-3待分配的任務(wù)量位700。在表二的任務(wù)中，一個redhat主機的7個檢查項對應(yīng)的任務(wù)量為168，對應(yīng)的5個redhat主機所有的檢查項的任務(wù)量為840,進一步的，一個windows主機的7個檢查項對應(yīng)的任務(wù)量為207，相對應(yīng)的，對應(yīng)的5個windows主機所有的檢查項的任務(wù)量為1035。由于上述兩類被檢查設(shè)備的檢查項的任務(wù)量都超出了三個采集服務(wù)器待分配的任務(wù)量，并且redhat主機的任務(wù)量最接近采集服務(wù)器-1待分配的任務(wù)量，因此，可以將前四個redhat主機的檢查項以及第五個redhat主機的前六個檢查項分配給采集服務(wù)器-1，將第五個redhat主機的最后一個檢查項將分配給采集服務(wù)器-2。

s142：判斷選取的所述同類被檢查設(shè)備的檢查項對應(yīng)的任務(wù)量是否達到所述采集服務(wù)器待分配的任務(wù)量要求。

如果達到要求，則繼續(xù)將剩余任務(wù)分配給系統(tǒng)中的其它采集服務(wù)器；如果未達到要求，則執(zhí)行步驟s143。

s143：如果未達到，則繼續(xù)從剩余的所述待執(zhí)行任務(wù)中選取其它類被檢查設(shè)備的檢查項，將選取的所述同類被檢查設(shè)備的檢查項和所述其它類被檢查設(shè)備的檢查項作為所述采集服務(wù)器的待執(zhí)行任子任務(wù)。

在步驟143中，由于分配給采集服務(wù)器-2的第五個redhat主機的最后一個檢查項對應(yīng)的任務(wù)量為29，即未達到采集服務(wù)器-2的任務(wù)量要求，則繼續(xù)從windows主機中選取任務(wù)項，本實施例將第一個windows主機所有檢查項以及第二個windows主機的前四個檢查項分配給采集服務(wù)器-2，然后將第二個windows主機的其它檢查項以及其它windows主機的檢查項分配給采集服務(wù)器-3。

經(jīng)過上述步驟的任務(wù)分配，三臺采集服務(wù)器分別分配的檢查任務(wù)如下表四所示：

表四：

通過上述步驟完成了待執(zhí)行任務(wù)的分配，根據(jù)任務(wù)分配結(jié)果，采集服務(wù)器便可以進行被檢查設(shè)備的登錄，開始執(zhí)行檢查任務(wù)。最后的檢查結(jié)果由核心服務(wù)器進行集中匯總并生成檢查報表。

本發(fā)明實施例提供的核查任務(wù)分配方法，從待執(zhí)行任務(wù)中被檢查設(shè)備的數(shù)量、涉及到的檢查項數(shù)量及其權(quán)重值、采集服務(wù)器負(fù)載情況多個維度綜合考量，將待執(zhí)行任務(wù)進行細(xì)粒度的拆分，并將拆分結(jié)果進行統(tǒng)一調(diào)度，充分利用采集服務(wù)器的性能，有效的提升了任務(wù)的執(zhí)行效率，解決了現(xiàn)有安全配置核查系統(tǒng)任務(wù)分配算法過于簡單、任務(wù)執(zhí)行效率低下等諸多問題，使安全配置基線核查系統(tǒng)具有更高的推廣價值。

對于系統(tǒng)已錄入的終端設(shè)備以及采集服務(wù)器，由于網(wǎng)絡(luò)環(huán)境調(diào)整、設(shè)備下線、設(shè)備宕機等原因，導(dǎo)致設(shè)備無法連接，針對上述情況，本發(fā)明實施例還提供了另一種安全配置核查任務(wù)分配方法。圖3為本發(fā)明實施例二提供的安全配置核查任務(wù)分配方法的流程示意圖，如圖3所示，該方法具體包括如下步驟：

s201：獲取待執(zhí)行任務(wù)中的各待檢查設(shè)備的ip地址。

從待執(zhí)行任務(wù)中獲取待檢查設(shè)備的ip地址列表，并獲取所選擇設(shè)備的設(shè)備類型信息(設(shè)備類型如windows、redhat、oracle、cisco等)。

s202：根據(jù)各所述待檢查設(shè)備的ip地址，分別向各所述待檢查設(shè)備發(fā)送設(shè)備探測指令。

根據(jù)步驟s201中獲取到的待檢查設(shè)備地址列表，向待檢查設(shè)備發(fā)送對應(yīng)的設(shè)備探測指令，以探測設(shè)備是否存活，不連通設(shè)備將不會進行安全配置基線檢查。

s203：判斷是否接收到所述待檢查設(shè)備根據(jù)所述設(shè)備探測指令返回的設(shè)備存活信息。

如果接收到，則執(zhí)行步驟s204，如果未接收到，則說明該設(shè)備當(dāng)前無法連通進行檢查，生成報表并展現(xiàn)非存活設(shè)備。

s204：如果接收到，則將返回所述設(shè)備存活信息的待檢查設(shè)備判定為被檢查設(shè)備。

如果接收到，則說明該設(shè)備可以被正常檢查，返回存活設(shè)備列表，并執(zhí)行后續(xù)步驟。

s205：獲取待執(zhí)行任務(wù)中的被檢查設(shè)備信息以及與所述被檢查設(shè)備對應(yīng)的檢查項信息。

s206：根據(jù)所述被檢查設(shè)備信息、所述檢查項信息、以及與所述檢查項對應(yīng)的檢查項權(quán)重值，計算出所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量。

s207：分別向核查系統(tǒng)中的各采集服務(wù)器發(fā)送服務(wù)器探測指令。

s208：判斷是否接收到所述采集服務(wù)器根據(jù)所述服務(wù)器探測指令返回的服務(wù)器存活信息。

如果接收到，則執(zhí)行步驟s209；如果未接收到，則說明該服務(wù)器當(dāng)前處于非連接狀態(tài)，并展現(xiàn)未存活采集服務(wù)器。

s209：如果接收到，則獲取返回所述服務(wù)器存活信息的采集服務(wù)器的當(dāng)前性能數(shù)據(jù)。

s210：根據(jù)各所述采集服務(wù)器的當(dāng)前性能數(shù)據(jù)以及所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量，將所述待執(zhí)行任務(wù)進行拆分、以及將拆分得到的待執(zhí)行子任務(wù)分配給相應(yīng)的所述采集服務(wù)器。

本發(fā)明實施例提供的核查任務(wù)分配方法，根據(jù)待執(zhí)行任務(wù)中待檢查設(shè)備的連接狀態(tài)以及核查系統(tǒng)中采集服務(wù)器的連接狀態(tài)，對待執(zhí)行任務(wù)量進行計算以及任務(wù)的拆分，使任務(wù)分配更為精準(zhǔn)，進一步提升任務(wù)執(zhí)行效率。

對應(yīng)于上述核查任務(wù)分配方法，本發(fā)明實施例還提供了一種安全配置核查任務(wù)分配裝置。圖4為本發(fā)明實施例提供的一種安全配置核查任務(wù)分配裝置的基本結(jié)構(gòu)示意圖，如圖4所示該裝置主要包括：

任務(wù)信息獲取模塊410：用于獲取待執(zhí)行任務(wù)中的被檢查設(shè)備信息以及與所述被檢查設(shè)備對應(yīng)的檢查項信息。

總?cè)蝿?wù)量計算模塊420：用于根據(jù)所述被檢查設(shè)備信息、所述檢查項信息、以及與所述檢查項對應(yīng)的檢查項權(quán)重值，計算出所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量。

性能數(shù)據(jù)獲取模塊430：用于獲取核查系統(tǒng)中各采集服務(wù)器的當(dāng)前性能數(shù)據(jù)。

其中，該性能數(shù)據(jù)獲取模塊430包括：

服務(wù)器探測子模塊431：用于分別向核查系統(tǒng)中的各采集服務(wù)器發(fā)送服務(wù)器探測指令；

服務(wù)器存活判斷子模塊432：用于判斷是否接收到所述采集服務(wù)器根據(jù)所述服務(wù)器探測指令返回的服務(wù)器存活信息；

性能數(shù)據(jù)獲取子模塊433：用于如果接收到所述采集服務(wù)器根據(jù)所述服務(wù)器探測指令返回的服務(wù)器存活信息，則獲取返回所述服務(wù)器存活信息的采集服務(wù)器的當(dāng)前性能數(shù)據(jù)。

任務(wù)分配模塊440：用于根據(jù)各所述采集服務(wù)器的當(dāng)前性能數(shù)據(jù)以及所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量，將所述待執(zhí)行任務(wù)進行拆分、以及將拆分得到的待執(zhí)行子任務(wù)分配給相應(yīng)的所述采集服務(wù)器。

其中，該任務(wù)分配模塊440包括：

服務(wù)器任務(wù)計算子模塊441：根據(jù)各所述采集服務(wù)器的當(dāng)前性能數(shù)據(jù)以及所述待執(zhí)行任務(wù)所包含的總?cè)蝿?wù)量，計算出各所述采集服務(wù)器待分配的任務(wù)量；

任務(wù)拆分子模塊442：根據(jù)各所述采集服務(wù)器待分配的任務(wù)量，將所述待執(zhí)行任務(wù)拆分為與各所述采集服務(wù)器待分配的任務(wù)量相匹配的待執(zhí)行任子任務(wù)。

進一步的，該任務(wù)分配裝置還包括：

設(shè)備地址獲取模塊450：用于獲取待執(zhí)行任務(wù)中的各待檢查設(shè)備的ip地址。

設(shè)備探測指令發(fā)送模塊460：用于根據(jù)各所述待檢查設(shè)備的ip地址，分別向各所述待檢查設(shè)備發(fā)送設(shè)備探測指令。

設(shè)備存活判斷模塊470：用于判斷是否接收到所述待檢查設(shè)備根據(jù)所述設(shè)備探測指令返回的設(shè)備存活信息。

被檢設(shè)備判定模塊480：用于如果接收到所述待檢查設(shè)備根據(jù)所述設(shè)備探測指令返回的設(shè)備存活信息，則將返回所述設(shè)備存活信息的待檢查設(shè)備判定為被檢查設(shè)備。

本發(fā)明實施例提供的核查任務(wù)分配裝置，從待執(zhí)行任務(wù)中被檢查設(shè)備的數(shù)量、涉及到的檢查項數(shù)量及其權(quán)重值、采集服務(wù)器負(fù)載情況多個維度綜合考量，將待執(zhí)行任務(wù)進行細(xì)粒度的拆分，并將拆分結(jié)果進行統(tǒng)一調(diào)度，充分利用采集服務(wù)器的性能，有效的提升了任務(wù)的執(zhí)行效率，解決了現(xiàn)有安全配置核查系統(tǒng)任務(wù)分配算法過于簡單、任務(wù)執(zhí)行效率低下等諸多問題，使安全配置基線核查系統(tǒng)具有更高的推廣價值。

本說明書中的各個實施例均采用遞進的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于裝置或系統(tǒng)實施例而言，由于其基本相似于方法實施例，所以描述得比較簡單，相關(guān)之處參見方法實施例的部分說明即可。以上所描述的裝置及系統(tǒng)實施例僅僅是示意性的，其中作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。

以上僅是本發(fā)明的具體實施方式，應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。