安全管控平臺中設(shè)備安全管理的方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,特別涉及一種安全管控平臺中設(shè)備安全管理的方法和系統(tǒng)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的快速發(fā)展和普及,各大企業(yè)加大了 IT系統(tǒng)的建設(shè)投入,使得各種應(yīng)用系統(tǒng)和用戶數(shù)量不斷增加,網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大,企業(yè)面臨的信息安全問題也愈見突出。通過建設(shè)安全管控平臺,按照行業(yè)的標(biāo)準(zhǔn)來做細(xì)粒度的管理,真正做到對于內(nèi)部網(wǎng)絡(luò)的嚴(yán)格管理,控制、限制和追蹤用戶的行為,判定用戶的行為是否對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全運行帶來威脅。但對于未納入安全管控平臺的設(shè)備,我們無法有效對其進(jìn)行審計和控制,大量脫離管理的未知設(shè)備成為常見安全風(fēng)險的主要來源。
[0003]現(xiàn)有技術(shù)主要采用人工錄入的方式對設(shè)備進(jìn)行管理、審計、檢查,難以發(fā)現(xiàn)未錄入設(shè)備,難以實現(xiàn)精準(zhǔn)、實時、全面的設(shè)備管理,無法有效限制設(shè)備的隨意調(diào)整,無法長期保證設(shè)備信息與實際情況保持一致,無法確保長期符合企業(yè)信息安全管理標(biāo)準(zhǔn)要求,也無法實現(xiàn)對不斷積累的大量設(shè)備合理性的有效判斷。
[0004]現(xiàn)有的設(shè)備管理方法存在諸多缺點,主要問題在于:
[0005]I)無法發(fā)現(xiàn)未錄入安全管控平臺的設(shè)備。
[0006]現(xiàn)有安全管控平臺依賴于人工錄入的設(shè)備信息,但在中大型企業(yè)中私有網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、設(shè)備數(shù)量和設(shè)備種類眾多,在錄入的過程中很容易出現(xiàn)遺漏的情況,現(xiàn)有資源管理系統(tǒng)缺乏核實發(fā)現(xiàn)未接入資源管理系統(tǒng)的在網(wǎng)設(shè)備的能力和手段。
[0007]2)無法掌握設(shè)備當(dāng)前的存在情況。
[0008]設(shè)備的相關(guān)信息在其生命周期內(nèi)會不斷發(fā)生改變,如變更IP、變更操作系統(tǒng)或變更承載業(yè)務(wù)。隨著時間的推移,安全檢查系統(tǒng)中最初錄入的信息會逐漸失效,不能反映設(shè)備當(dāng)前的準(zhǔn)確狀態(tài),對安全檢查及其后續(xù)的數(shù)據(jù)挖掘分析都會造成影響,使安全檢查系統(tǒng)逐漸喪失準(zhǔn)確性,進(jìn)而降低企業(yè)安全管控力度。
[0009]設(shè)備可能存在下述幾種狀態(tài):
[0010]已退網(wǎng)斷電:因設(shè)備更新或建設(shè)新系統(tǒng),該設(shè)備已退網(wǎng)斷電。
[0011]變更用途:IP、操作系統(tǒng)調(diào)整,或承載的業(yè)務(wù)發(fā)生變化。
[0012]等等。
[0013]3)人工核查設(shè)備信息費時費力。
[0014]中大型企業(yè)的私有網(wǎng)中可能存在數(shù)千甚至數(shù)萬臺設(shè)備,并涉及多個業(yè)務(wù)系統(tǒng),人工核查設(shè)備及信息的方法不僅需要各業(yè)務(wù)系統(tǒng)的緊密配合,還需大量的時間與人力,工作量巨大。
[0015]綜上,掌握設(shè)備實際存在情況,是全網(wǎng)各類安全檢查、風(fēng)險評估和事件分析工作中的基礎(chǔ);所有維護(hù)全部通過安全管控平臺是全網(wǎng)安全的保障。目前的人工核查的方法費時費力且無法滿足管理需求,我們亟需一種自動化的核查方法。
【發(fā)明內(nèi)容】
[0016]鑒于上述問題,本發(fā)明實施例提供一種安全管控平臺中設(shè)備安全管理的方法和系統(tǒng),能夠利用安全管控平臺中的已有設(shè)備對網(wǎng)絡(luò)中的所有設(shè)備進(jìn)行自動發(fā)現(xiàn)及信息采集,進(jìn)而達(dá)到對安全管控平臺內(nèi)部各設(shè)備進(jìn)行更精準(zhǔn)更可靠的安全管理的目的。
[0017]本發(fā)明實施例采用了如下技術(shù)方案:
[0018]本發(fā)明一個實施例提供了一種安全管控平臺中設(shè)備安全管理的方法,所述方法包括:
[0019]安全管控平臺中的已知設(shè)備根據(jù)任務(wù)調(diào)度信息啟動未知網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)操作;
[0020]所述已知設(shè)備獲取在網(wǎng)的網(wǎng)絡(luò)設(shè)備并采集設(shè)備信息;
[0021]將采集到的設(shè)備信息與安全管控平臺已有設(shè)備信息相比對,生成設(shè)備信息不一致的設(shè)備信息列表;
[0022]安全管控平臺根據(jù)所述設(shè)備信息不一致的設(shè)備信息列表對已有設(shè)備信息進(jìn)行更新;
[0023]安全管控平臺根據(jù)更新后的已有設(shè)備信息對平臺內(nèi)的設(shè)備進(jìn)行安全管理。
[0024]所述已知設(shè)備獲取在網(wǎng)的網(wǎng)絡(luò)設(shè)備并采集設(shè)備信息包括:
[0025]所述已知設(shè)備在任務(wù)調(diào)度信息所選網(wǎng)段內(nèi)分布式并發(fā)建立未知網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)任務(wù);
[0026]根據(jù)各分布式并發(fā)未知網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)任務(wù),獲取所選網(wǎng)段內(nèi)全部在網(wǎng)的網(wǎng)絡(luò)設(shè)備;
[0027]登錄所述網(wǎng)絡(luò)設(shè)備采集所需設(shè)備信息。
[0028]所述根據(jù)各分布式并發(fā)未知網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)任務(wù),獲取所選網(wǎng)段內(nèi)全部在網(wǎng)的網(wǎng)絡(luò)設(shè)備包括:
[0029]所述已知設(shè)備根據(jù)各分布式并發(fā)未知網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)任務(wù)獲取網(wǎng)絡(luò)劃分信息,并根據(jù)所述網(wǎng)絡(luò)劃分信息生成PING腳本;所述網(wǎng)絡(luò)劃分信息包括IP地址和子網(wǎng)掩碼;
[0030]根據(jù)各分布式并發(fā)未知網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)任務(wù)在所選網(wǎng)段內(nèi)逐一執(zhí)行所述PING腳本進(jìn)行PING操作,激活A(yù)RP表,激活后的ARP表中包括所選網(wǎng)段內(nèi)各網(wǎng)絡(luò)設(shè)備的IP地址和MAC地址,從而獲取到所選網(wǎng)段內(nèi)全部在網(wǎng)的網(wǎng)絡(luò)設(shè)備。
[0031]所述獲取所選網(wǎng)段內(nèi)全部在網(wǎng)的網(wǎng)絡(luò)設(shè)備之后還包括:
[0032]判斷所述在網(wǎng)的網(wǎng)絡(luò)設(shè)備是否已選擇關(guān)聯(lián)登錄;
[0033]若已選擇關(guān)聯(lián)登錄,則執(zhí)行所述登錄所述網(wǎng)絡(luò)設(shè)備采集所需設(shè)備信息;
[0034]若未選擇關(guān)聯(lián)登錄,則記錄并反饋未選擇關(guān)聯(lián)登錄的網(wǎng)絡(luò)設(shè)備;
[0035]所述方法還包括:
[0036]所述安全管控平臺接收到反饋的未選擇關(guān)聯(lián)登錄的網(wǎng)絡(luò)設(shè)備后,針對未選擇關(guān)聯(lián)登錄的網(wǎng)絡(luò)設(shè)備生成關(guān)聯(lián)登錄開啟設(shè)置指令;
[0037]接收關(guān)聯(lián)登錄開啟的設(shè)置結(jié)果,將已開啟關(guān)聯(lián)登錄的網(wǎng)絡(luò)設(shè)備的發(fā)現(xiàn)任務(wù)添加到任務(wù)調(diào)度信息中。
[0038]所述登錄所述網(wǎng)絡(luò)設(shè)備采集所需設(shè)備信息包括:
[0039]所述已知設(shè)備根據(jù)所述網(wǎng)絡(luò)設(shè)備的連接方式建立連接;
[0040]根據(jù)所述網(wǎng)絡(luò)設(shè)備的設(shè)備類型,獲取所述網(wǎng)絡(luò)設(shè)備的版本信息;
[0041]查詢所述網(wǎng)絡(luò)設(shè)備的版本信息對應(yīng)的采集指令集;所述采集指令集中包括針對該網(wǎng)絡(luò)設(shè)備需采集的全部設(shè)備信息的指令集合;
[0042]執(zhí)行所述采集指令集中的各指令,采集該網(wǎng)絡(luò)設(shè)備需采集的全部設(shè)備信息。
[0043]所述已知設(shè)備獲取在網(wǎng)的網(wǎng)絡(luò)設(shè)備并采集設(shè)備信息之后還包括:
[0044]根據(jù)IP地址或MAC地址對應(yīng)網(wǎng)卡的設(shè)備歸屬,對采集到的設(shè)備信息進(jìn)行歸并處理,將歸屬同一設(shè)備的多個網(wǎng)卡對應(yīng)的IP地址或MAC地址的多個設(shè)備信息歸并到同一網(wǎng)絡(luò)設(shè)備上;
[0045]所述將采集到的設(shè)備信息與安全管控平臺已有設(shè)備信息相比對,生成設(shè)備信息不一致的設(shè)備信息列表包括:
[0046]根據(jù)采集到的設(shè)備信息中的MAC地址,查找是否是安全管控平臺已有設(shè)備;
[0047]若是安全管控平臺已有設(shè)備,比對采集到的設(shè)備信息與安全管控平臺已有設(shè)備信息是否一致,不一致則將采集到的設(shè)備信息添加至需更新設(shè)備列表;
[0048]若不是安全管控平臺已有設(shè)備,則將采集到的設(shè)備信息添加至未知設(shè)備列表;
[0049]所述安全管控平臺根據(jù)所述設(shè)備信息不一致的設(shè)備信息列表對已有設(shè)備信息進(jìn)行更新包括:
[0050]所述安全管控平臺根據(jù)所述需更新設(shè)備列表中的信息更新已有設(shè)備信息;將所述未知設(shè)備列表中的設(shè)備信息添加至已有設(shè)備信息中;
[0051]所述方法還包括:
[0052]根據(jù)獲取的未知設(shè)備的MAC地址和/或IP地址,通過設(shè)備指紋方式獲取所述未知設(shè)備的主機(jī)名和系統(tǒng)版本信息,以便安全管控平臺根據(jù)所述主機(jī)名和系統(tǒng)版本信息對所述未知設(shè)備進(jìn)行安全管理。
[0053]另外,本發(fā)明實施例還提供了一種安全管控平臺中設(shè)備安全管理的系統(tǒng),所述系統(tǒng)包括:
[0054]啟動模塊,用于安全管控平臺中的已知設(shè)備根據(jù)任務(wù)調(diào)度信息啟動未知網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)操作;
[0055]獲取采集模塊,用于所述已知設(shè)備獲取在網(wǎng)的網(wǎng)絡(luò)設(shè)備并采集設(shè)備信息;
[0056]比對模塊,用于將采集到的設(shè)備信息與安全管控平臺已有設(shè)備信息相比對,生成設(shè)備信息不一致的設(shè)備信息列表;
[0057]更新模塊,用于安全管控平臺根據(jù)所述設(shè)備信息不一致的設(shè)備信息列表對已有設(shè)備信息進(jìn)行更新;
[0058]安全管理模塊,用于安全管控平臺根據(jù)更新后的已有設(shè)備信息對平臺內(nèi)的設(shè)備進(jìn)行安全管理。
[0059]所述獲取采集模塊包括:
[0060]分布并發(fā)單元,用于所述已知設(shè)備在任務(wù)調(diào)度信息所選網(wǎng)段內(nèi)分布式并發(fā)建立未知網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)任務(wù);
[0061]獲取單元,用于根據(jù)各分布式并發(fā)未知網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)任務(wù),獲取所選網(wǎng)段內(nèi)全部在網(wǎng)的網(wǎng)絡(luò)設(shè)備;
[0062]采集單元,用于登錄所述網(wǎng)絡(luò)設(shè)備采集所需設(shè)備信息。
[0063]所述分布并發(fā)單元包括:
[0064]網(wǎng)絡(luò)劃分獲取子單元,用于所述已知設(shè)備根據(jù)各分布式并發(fā)未知網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)任務(wù)獲取網(wǎng)絡(luò)劃分信息,并根據(jù)所述網(wǎng)絡(luò)劃分信息生成PING腳本;所述網(wǎng)絡(luò)劃分信息包括IP地址和子網(wǎng)掩碼;
[0065]腳本執(zhí)行子單元,用于根據(jù)各分布式并發(fā)未知網(wǎng)