一种安全基线系统及其实现安全检查的方法技术方案

本申请公开了一种安全基线系统及其实现安全检查的方法，包括漏洞信息获取单元主动获取漏洞信息；联动处理单元根据获得的漏洞信息确定目标设备，并生成检查信息；安全检查是单元按照生成的检查信息对目标设备进行安全检查。本申请通过主动方式积极地获取新发现的漏洞信息，适应了互联网领域这种变化比较丰富的网络，从而做到了对新发现的漏洞进行实时响应。进一步地，本申请通过按照用户的定制请求，建立用户安全基线库，允许用户调用自身定制的安全规则对系统进行安全检查，从而满足了安全检查的可定制需求。

【技术实现步骤摘要】
一种安全基线系统及其实现安全检查的方法
本申请涉及网络安全技术，尤指一种安全基线系统及其实现安全检查的方法。
技术介绍
随着互联网对社会的影响日益深入，安全事件发生后给人们带来的损失也日益严重。安全运维人员和管理者越来越希望通过制定安全规范、对全网设备进行安全检查，以便在安全事件发生之前对其进行阻断。安全基线便是即有安全规范，对全网设备进行合规性检查的产品。其中，安全基线，是指一个信息系统的最小安全保证,即该信息系统需要满足的最基本的安全要求，在工程领域中，安全基线多指确保信息系统满足最小安全保证的安全产品。安全规范，是指为了确保通信网络上的相关设备达到最基本的防护能力要求而制定的一系列达标基准，是一套统一的安全设置指标。美国国家标准和技术研究所(NIST)提出的安全内容自动化协议(SCAP，SecurityContentAutomationProtocol)框架中，包含检查的标准、一致性标准等6个支撑标准，其检查内容及检查方式由国家漏洞数据库(NVD，NationalVulnerabilityDatabase)和网络控制协议(NCP，NetworkControlProtocol)来提供。由此，SCAP框架便形成了一套针对系统的、标准化的、自动化的安全基线。现有的安全基线产品均以此为框架进行设计，主要由安全基线库(规则化的安全规范)和安全检查系统组成，其中，安全检查系统根据安全基线库里的规则对网络设备、服务器、中间件、数据库，以及文件系统、进程、服务和网络端口等进行标准化检查。目前，安全基线多用于电信运营企业。应用在电信运营企业的安全基线产品，根据工信部和企业的要求、参照其网络所有设备的配置手册制定安全规范并将其规则化，形成安全基线库，安全检查系统根据安全基线库，对全网进行标准化安全检查。由于电信运营领域安全规范相对固定、业务需求单一，安全基线实现时主要关注于标准化、自动化。然而，在互联网领域，各层面的漏洞频发，需要及时更新安全规范；各个业务线的安全需求不同，也需要提供可定制安全检查。其中，业务线，是指实现特定功能的互联网产品。因此，对于象互联网领域这种变化比较丰富的网络来讲，现有安全基线产品的存在以下不足：安全基线库相对固定，无法对新发现的漏洞进行实时响应；业务人员也无法根据业务需求进行定制化的安全检查。
技术实现思路
为了解决上述技术问题，本申请提供了一种安全基线系统及其实现安全检查的方法，能够灵活地、实时地对网络进行安全检查，及时发现漏洞，更好地保障网络安全。为了达到本申请目的，本申请提供一种安全基线系统，至少包括：漏洞信息获取单元、联动处理单元，以及安全检查单元；其中，漏洞信息获取单元，用于主动获取漏洞信息，并将获得的漏洞信息输出给联动处理单元；联动处理单元，用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备，生成检查信息并推送给安全检查单元；安全检查单元，用于根据接收到的来自联动处理单元的检查信息，调用自身存储有的安全基线库，对目标设备进行安全检查；所述联动处理单元包括联动接口，及预先设置的资产信息库；其中，联动接口，用于以所述漏洞信息为索引，在资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息，并推送给所述安全检查单元。所述安全基线系统，还用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。所述漏洞信息获取单元包括：一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本；和/或用于主动上报漏洞信息的漏洞检测平台。所述安全检查单元包括安全基线库、安全检查系统，以及用于存储检查结果的存储空间；其中，安全检查系统，用于根据接收到的所述检查信息中的基线模板标识，调用安全基线库中对应的基线模板对所述目标设备进行检查，同时将检查结果保存在存储空间。所述安全检查单元还包括告警模块，和/或结果展示模块；其中，告警模块，用于对检查结果进行告警；结果展示模块，用于输出检查结果。所述安全检查系统，具体用于根据调用的所述基线模板中的安全规则，将目标设备的所述检查信息中的指定参数值与标准值进行比对，如果一致，表明检查结果为目标设备安全；如果不一致，表明检查结果为目标设备存在漏洞；保存得到的检查结果，在目标设备存在漏洞时，通知告警模块和/或结果展示模块；所述告警模块进行告警，和/或结果展示模块输出检查结果。所述安全检查单元中还包括：检查控制平台，用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。当所述安全基线库包括系统安全基线库和用户安全基线库时，所述安全检查系统，还用于判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，判断用户安全规则是否安全，并在该用户安全规则安全时，对所述目标设备进行安全检查；如果判断出被调用的所述基线模板中的安全规则中仅包含有系统安全规则，则直接对所述目标设备进行安全检查。本申请还提供一种安全基线系统实现安全检查的方法，包括：主动获取漏洞信息；根据获得的漏洞信息确定目标设备，并生成检查信息；按照生成的检查信息对目标设备进行安全检查；所述确定目标设备并生成检查信息包括：以所述漏洞信息为索引，在预先设置的资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为检查目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息。所述获取漏洞信息包括：从不同的漏洞检查发布网站定期获取、和/或由漏洞检测平台主动上报。所述获取漏洞信息为从不同的漏洞检查发布网站定期获取；所述定期获取包括：按照预先设置固定的时间与频率获取；或者，按照根据不同网站更新的时间、频率设置不同的获取时间与频率来获取；或者，网站更新触发获取。所述获取包括：主动抓取；或者，分析网站的网络摘要RSS文件而获得；或者，通过网站提供数据接口访问获得。所述获取漏洞信息为：由漏洞检测平台主动上报；所述主动上报包括：所述漏洞检测平台实时、或定期上报新发现的漏洞。所述漏洞信息分为漏洞概要信息与漏洞详细信息；所述确定目标设备具体包括：以所述漏洞概要信息为索引，在所述资产信息库中查询可能受影响的设备：如果查询结果不为空，则查询结果为目标设备；如果查询结果为空，目标设备为全网设备。所述按照生成的检查信息对目标设备进行安全检查包括：根据所述检查信息中的基线模板标识，调用预先设置的安全基线库中对应的基线模板对目标设备进行检查，同时保存检查结果。该方法还包括：输出检查结果。所述调用基线模板对目标设备进行检查包括：根据调用的所述基线模板中的安全规则，将所述目标设备的检查信息中的指定参数值与标准值进行比对，如果一致，检查结果为目标设备安全；如果不一致，检查结果为目标设备存在漏洞。该方法还包括：按照用户的定制请求，将用户输入的用户安全规则存储在用户安全基线库中。该方法还包括：对所述用户安全规则进行权限的设置，使其对指定用户公开。所述安全基线库包括系统安全基线库和用户安全基线库；该方法还包括：判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规本文档来自技高网...

【技术保护点】
一种安全基线系统，其特征在于，包括：漏洞信息获取单元、联动处理单元，以及安全检查单元；其中，漏洞信息获取单元，用于主动获取漏洞信息，并将获得的漏洞信息输出给联动处理单元；联动处理单元，用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备，生成检查信息并推送给安全检查单元；安全检查单元，用于根据接收到的来自联动处理单元的检查信息，调用自身存储有的安全基线库，对目标设备进行安全检查。

【技术特征摘要】
1.一种安全基线系统，其特征在于，包括：漏洞信息获取单元、联动处理单元，以及安全检查单元；其中，漏洞信息获取单元，用于主动获取漏洞信息，并将获得的漏洞信息输出给联动处理单元；联动处理单元，用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备，生成检查信息并推送给安全检查单元；安全检查单元，用于根据接收到的来自联动处理单元的检查信息，调用自身存储有的安全基线库，对目标设备进行安全检查；所述联动处理单元包括联动接口，及预先设置的资产信息库；其中，联动接口，用于以所述漏洞信息为索引，在资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息，并推送给所述安全检查单元。2.根据权利要求1所述的安全基线系统，其特征在于，所述安全基线系统，还用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。3.根据权利要求1或2所述的安全基线系统，其特征在于，所述漏洞信息获取单元包括：一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本；和/或用于主动上报漏洞信息的漏洞检测平台。4.根据权利要求1所述的安全基线系统，其特征在于，所述安全检查单元包括安全基线库、安全检查系统，以及用于存储检查结果的存储空间；其中，安全检查系统，用于根据接收到的所述检查信息中的基线模板标识，调用安全基线库中对应的基线模板对所述目标设备进行检查，同时将检查结果保存在存储空间。5.根据权利要求4所述的安全基线系统，其特征在于，所述安全检查单元还包括告警模块，和/或结果展示模块；其中，告警模块，用于对检查结果进行告警；结果展示模块，用于输出检查结果。6.根据权利要求5所述的安全基线系统，其特征在于，所述安全检查系统，具体用于根据调用的所述基线模板中的安全规则，将目标设备的所述检查信息中的指定参数值与标准值进行比对，如果一致，表明检查结果为目标设备安全；如果不一致，表明检查结果为目标设备存在漏洞；保存得到的检查结果，在目标设备存在漏洞时，通知告警模块和/或结果展示模块；所述告警模块进行告警，和/或结果展示模块输出检查结果。7.根据权利要求5所述的安全基线系统，其特征在于，所述安全检查单元中还包括：检查控制平台，用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。8.根据权利要求7所述的安全基线系统，其特征在于，当所述安全基线库包括系统安全基线库和用户安全基线库时，所述安全检查系统，还用于判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，判断用户安全规则是否安全，并在该用户安全规则安全时，对所述目标设备进行安全检查；如果判断出被调用的所述基线模板中的安全规则中仅包含有系统安全规则，则直接对所述目标设备进行安全检查。9.一种安全基线系统实现安全检查的方法，其特征在于，包括：主动获取漏洞信息；根据获得的漏洞信息...

【专利技术属性】
技术研发人员：郭锐，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY