【技术实现步骤摘要】
一种安全基线系统及其实现安全检查的方法
本申请涉及网络安全技术,尤指一种安全基线系统及其实现安全检查的方法。
技术介绍
随着互联网对社会的影响日益深入,安全事件发生后给人们带来的损失也日益严重。安全运维人员和管理者越来越希望通过制定安全规范、对全网设备进行安全检查,以便在安全事件发生之前对其进行阻断。安全基线便是即有安全规范,对全网设备进行合规性检查的产品。其中,安全基线,是指一个信息系统的最小安全保证,即该信息系统需要满足的最基本的安全要求,在工程领域中,安全基线多指确保信息系统满足最小安全保证的安全产品。安全规范,是指为了确保通信网络上的相关设备达到最基本的防护能力要求而制定的一系列达标基准,是一套统一的安全设置指标。美国国家标准和技术研究所(NIST)提出的安全内容自动化协议(SCAP,SecurityContentAutomationProtocol)框架中,包含检查的标准、一致性标准等6个支撑标准,其检查内容及检查方式由国家漏洞数据库(NVD,NationalVulnerabilityDatabase)和网络控制协议(NCP,NetworkControlProtocol)来提供。由此,SCAP框架便形成了一套针对系统的、标准化的、自动化的安全基线。现有的安全基线产品均以此为框架进行设计,主要由安全基线库(规则化的安全规范)和安全检查系统组成,其中,安全检查系统根据安全基线库里的规则对网络设备、服务器、中间件、数据库,以及文件系统、进程、服务和网络端口等进行标准化检查。目前,安全基线多用于电信运营企业。应用在电信运营企业的安全基线产品,根据工信部和 ...
【技术保护点】
一种安全基线系统,其特征在于,包括:漏洞信息获取单元、联动处理单元,以及安全检查单元;其中,漏洞信息获取单元,用于主动获取漏洞信息,并将获得的漏洞信息输出给联动处理单元;联动处理单元,用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备,生成检查信息并推送给安全检查单元;安全检查单元,用于根据接收到的来自联动处理单元的检查信息,调用自身存储有的安全基线库,对目标设备进行安全检查。
【技术特征摘要】
1.一种安全基线系统,其特征在于,包括:漏洞信息获取单元、联动处理单元,以及安全检查单元;其中,漏洞信息获取单元,用于主动获取漏洞信息,并将获得的漏洞信息输出给联动处理单元;联动处理单元,用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备,生成检查信息并推送给安全检查单元;安全检查单元,用于根据接收到的来自联动处理单元的检查信息,调用自身存储有的安全基线库,对目标设备进行安全检查;所述联动处理单元包括联动接口,及预先设置的资产信息库;其中,联动接口,用于以所述漏洞信息为索引,在资产信息库中查询可能受到获得的漏洞信息影响的设备,将其作为目标设备;将漏洞信息、目标设备信息,以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息,并推送给所述安全检查单元。2.根据权利要求1所述的安全基线系统,其特征在于,所述安全基线系统,还用于接收来自用户的定制请求,建立用于用户指定安全检查的用户安全基线库。3.根据权利要求1或2所述的安全基线系统,其特征在于,所述漏洞信息获取单元包括:一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本;和/或用于主动上报漏洞信息的漏洞检测平台。4.根据权利要求1所述的安全基线系统,其特征在于,所述安全检查单元包括安全基线库、安全检查系统,以及用于存储检查结果的存储空间;其中,安全检查系统,用于根据接收到的所述检查信息中的基线模板标识,调用安全基线库中对应的基线模板对所述目标设备进行检查,同时将检查结果保存在存储空间。5.根据权利要求4所述的安全基线系统,其特征在于,所述安全检查单元还包括告警模块,和/或结果展示模块;其中,告警模块,用于对检查结果进行告警;结果展示模块,用于输出检查结果。6.根据权利要求5所述的安全基线系统,其特征在于,所述安全检查系统,具体用于根据调用的所述基线模板中的安全规则,将目标设备的所述检查信息中的指定参数值与标准值进行比对,如果一致,表明检查结果为目标设备安全;如果不一致,表明检查结果为目标设备存在漏洞;保存得到的检查结果,在目标设备存在漏洞时,通知告警模块和/或结果展示模块;所述告警模块进行告警,和/或结果展示模块输出检查结果。7.根据权利要求5所述的安全基线系统,其特征在于,所述安全检查单元中还包括:检查控制平台,用于接收来自用户的定制请求,建立用于用户指定安全检查的用户安全基线库。8.根据权利要求7所述的安全基线系统,其特征在于,当所述安全基线库包括系统安全基线库和用户安全基线库时,所述安全检查系统,还用于判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则,如果有,判断用户安全规则是否安全,并在该用户安全规则安全时,对所述目标设备进行安全检查;如果判断出被调用的所述基线模板中的安全规则中仅包含有系统安全规则,则直接对所述目标设备进行安全检查。9.一种安全基线系统实现安全检查的方法,其特征在于,包括:主动获取漏洞信息;根据获得的漏洞信息...
【专利技术属性】
技术研发人员:郭锐,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。