結合離線檢查與集中匯總的設備安全檢查方法
2023-10-06 22:08:34 1
專利名稱:結合離線檢查與集中匯總的設備安全檢查方法
技術領域:
本發明涉及計算機網絡信息安全技術領域,特別涉及一種結合離線檢查與集中 匯總的設備安全檢查方法。
背景技術:
在滿足網絡物理聯通、相關埠和服務開放和管理上允許遠程檢查等條件的情 況下,集中伺服器上的安全檢查系統通過網絡直接獲取被檢查設備的待檢查內容,根據 安全知識庫進行合規檢查。這種方式現有技術只能在運行環境比較理想的情況下進行檢 查,當因網絡或管理要求等因素無法對設備進行集中安全檢查時,將無法實現對設備安 全狀態的全面掌控,會喪失對部分設備的安全狀態監控,形成安全隱患,進而影響業務 持續安全運行。無法對設備進行集中安全檢查的情況如下1、網絡物理不可達;2、因防火牆、路由器配置等原因造成的網絡邏輯不可達;3、檢查技術依賴的網絡服務不開放;4、只允許該伺服器管理員進行檢查;5、其他技術或管理因素導致無法進行自動檢查。
發明內容
(一)要解決的技術問題本發明要解決的技術問題是如何在離線,即無法進行集中匯總檢查的情況下 對設備進行安全檢查,並且檢查結果與集中匯總檢查結果完全一致。(二)技術方案為解決上述技術問題,本發明提供了一種結合離線檢查與集中匯總的設備安全 檢查方法,包括以下步驟Sl 根據集中伺服器中選擇的檢查目標及檢查內容自動生成檢查執行文件;S2 在選擇的檢查目標的設備上執行所述檢查執行文件對設備進行離線安全檢 查,檢查結束後在同目錄下自動生成離線檢查輸出文件;S3在集中伺服器中導入所述離線檢查輸出文件自動進行合規檢查。其中,所述步驟Sl具體包括從集中伺服器中的設備信息庫中選擇被檢查的檢查目標;在所述檢查目標對應的安全知識庫中選擇需要的安全檢查項作為檢查內容;生成所述檢查執行文件,其中包含有檢查目標的唯一標識和所述安全檢查項的 唯一標識。其中,所述步驟S3具體包括導入離線檢查輸出文件到集中伺服器後,集中伺服器讀取該文件內容;
根據離線檢查輸出文件中的檢查目標唯一標識與伺服器中的設備標識進行匹 配;匹配設備後,根據離線檢查輸出文件中的各安全檢查項唯一標識與集中伺服器 中安全知識庫中的安全標識逐項匹配;根據匹配的安全檢查項進行合規檢查得出檢查結果,並根據檢查結果得到設備 配置安全狀態。其中,所述步驟S3之後還包括步驟將檢查結果存入集中伺服器的資料庫。其中,所述檢查目標包括作業系統、資料庫、中間件、路由器、交換機、防 火牆、負載均衡器和存儲設備。(三)有益效果本發明通過在集中伺服器中生成檢查執行文件,並在目標檢查設備上執行該文 件,並生成離線檢查輸出文件來判斷設備的安全性,實現了在離線狀態下進行對設備的 安全檢查,並將檢查結果存入集中伺服器的資料庫,能夠及時監控設備安全狀態,保障 業務平穩、持續、安全地運行。
圖1是本發明實施例的一種結合離線檢查與集中匯總的設備安全檢查方法流程 圖;圖2是圖1中步驟SlOl的具體流程圖;圖3是圖1中步驟S103的具體流程圖。
具體實施例方式下面結合附圖和實施例,對本發明的具體實施方式
作進一步詳細描述。以下實 施例用於說明本發明,但不用來限制本發明的範圍。本發明在網絡可達、管理允許遠程檢查時,通過集中伺服器對設備進行集中匯 總檢查。在網絡不可達或不允許遠程集中匯總檢查時,可對設備進行離線安全檢查。可 執行離線檢查的檢查目標包括作業系統、資料庫、中間件、路由器、交換機、防火牆、 負載均衡器和存儲設備等可進行集中匯總檢查的所有設備。離線安全檢查流程如圖1所示,包括步驟S101,根據集中伺服器中選擇的檢查目標及檢查內容自動生成檢查執行文 件。具體流程如圖2所示,包括步驟S201,從集中伺服器中的設備信息庫中選擇檢查目標。步驟S202,在選出的檢查目標對應的安全知識庫中選擇需要的安全知識作為檢 查內容。安全知識庫中存放各種類型的設備,即檢查目標所包含的不同安全檢查項,包 括檢查項名稱、檢查項說明、檢查步驟說明、風險級別、檢查腳本、是否合規的安全基 線、加固方案等內容。步驟S203,根據上述檢查內容自動生成檢查執行文件,其中包含有檢查目標唯 一標識和對應的安全檢查項的唯一標識。
根據檢查目標不同,檢查執行文件有多種類型,以下表中檢查作業系統Linux的
檢查執行文件為例來說明。表ILinux系統下的檢查執行文件
權利要求
1.一種結合離線檢查與集中匯總的設備安全檢查方法,其特徵在於,包括以下步驟S1根據集中伺服器中選擇的檢查目標及檢查內容自動生成檢查執行文件;S2在選擇的檢查目標的設備上執行所述檢查執行文件對設備進行離線安全檢查, 檢查結束後在同目錄下自動生成離線檢查輸出文件;S3在集中伺服器中導入所述離線檢查輸出文件自動進行合規檢查。
2.如權利要求1所述的結合離線檢查與集中匯總的設備安全檢查方法,其特徵在於, 所述步驟Sl具體包括從集中伺服器中的設備信息庫中選擇被檢查的檢查目標; 在所述檢查目標對應的安全知識庫中選擇需要的安全檢查項作為檢查內容; 生成所述檢查執行文件,其中包含有檢查目標的唯一標識和所述安全檢查項的唯一 標識。
3.如權利要求1所述的結合離線檢查與集中匯總的設備安全檢查方法,其特徵在於, 所述步驟S3具體包括導入離線檢查輸出文件到集中伺服器後,集中伺服器讀取該文件內容; 根據離線檢查輸出文件中的檢查目標唯一標識與伺服器中的設備標識進行匹配; 匹配設備後,根據離線檢查輸出文件中的各安全檢查項唯一標識與集中伺服器中安 全知識庫中的安全標識逐項匹配;根據匹配的安全檢查項進行合規檢查得出檢查結果,並根據檢查結果得到設備配置 安全狀態。
4.如權利要求3所述的結合離線檢查與集中匯總的設備安全檢查方法,其特徵在於, 所述步驟S3之後還包括步驟將檢查結果存入集中伺服器的資料庫。
5.如權利要求1 4中任一項所述的結合離線檢查與集中匯總的設備安全檢查方法, 其特徵在於,所述檢查目標包括作業系統、資料庫、中間件、路由器、交換機、防火 牆、負載均衡器和存儲設備。
全文摘要
本發明公開了一種結合離線檢查與集中匯總的設備安全檢查方法,包括S1根據集中伺服器中選擇的檢查目標及檢查內容自動生成檢查執行文件;S2在選擇的檢查目標的設備上執行所述檢查執行文件對設備進行離線安全檢查,檢查結束後在同目錄下自動生成離線檢查輸出文件;S3在集中伺服器中導入所述離線檢查輸出文件自動進行合規檢查。本發明實現了在離線狀態下進行對設備的安全檢查,並將檢查結果存入集中伺服器的資料庫,能夠及時監控設備安全狀態,保障業務平穩、持續、安全地運行。
文檔編號H04L29/06GK102014131SQ201010566028
公開日2011年4月13日 申請日期2010年11月25日 優先權日2010年11月25日
發明者張建軍, 肖勇軍, 蘇砫, 陳浩, 黃理 申請人:北京神州泰嶽軟體股份有限公司