本发明专利技术提供一种配置信息的合规检测方法和装置。所述方法,包括:对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测,分别得到第一核查结果和第二核查结果;对比所述第一核查结果和所述第二核查结果,得到比较结果;根据所述比较结果,输出合规检测信息。
【技术实现步骤摘要】
本专利技术涉及通信领域,尤其涉及一种配置信息的合规检测方法和装置。
技术介绍
随着网络的开放性、互联性、共享程度的扩大,企业越来越依赖信息和网络技术,随着网络安全威胁越来越大而单一的安全技术或安全设备无法满足网络对安全的要求,企业对网络安全的部署变得日趋复杂,而安全设备产品种类繁多,搭建环境具有多样性,而设备上的策略配置愈趋繁琐,这对技术人员的水平要求很高,而往往很多企业的技术人员没有足够的安全领域相关知识,导致在安全设备上进行的配置存在诸多隐患。SkyboxSecurity调查发现,58%企业在他们的NGFW上部署了100条以上的规则,而35%的公司每月执行100次以上变更,频繁变更易导致配置错误。据Gartner统计,99%的防火墙安全事件均是由防火墙的配置错误而引起。企业需要一种自动检测安全设备配置策略合规性的方法,将技术和管理有机的结合起来,对网络安全进行统一管理和控制,提高整体安全水平。信息安全策略是否合规是通过配置核查来进行评估。现有的核查技术只有利用核查库条目进行已有配置的逐项核查,但针对配置的变更或配置文件的选择并没有好的方法,因此,亟需提出一种改进的策略合规检测方法来解决配置变更管理混乱无序的问题。
技术实现思路
本专利技术提供一种配置信息的合规检测方法和装置,要解决的技术问题是配置变更管理混乱无序的问题。为解决上述技术问题,本专利技术提供了如下技术方案:一种配置信息的合规检测方法,包括:对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测,分别得到第一核查结果和第二核查结果;对比所述第一核查结果和所述第二核查结果,得到比较结果;根据所述比较结果,输出合规检测信息。其中,所述根据所述比较结果,输出合规检测信息包括:根据所述比较结果,得到变更内容;根据所述变更内容,对所述变更内容进行风险的评估,得到评估结果;输出所述评估结果。其中,所述输出所述评估结果,包括:当所述变更内容为至少两个时,输出每个变更内容的评估结果;在所述输出所述评估结果之后,包括:接收对所述变更内容的选择结果,并根据所述变更内容的选择结果,确定最终使用的配置信息;或者,根据每个变更内容的评估结果,输出对选择所述变更内容的建议信息,其中所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。其中,所述确定最终使用的配置信息之后,所述方法还包括:通知利用所述最终使用的配置信息完成配置操作。其中,所述输出对选择所述变更内容的建议信息之后,所述方法还包括:通知对所述建议信息中遵从度低于阈值的变更内容进行修改。一种配置信息的合规检测装置,包括:检测模块,用于对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测,分别得到第一核查结果和第二核查结果;对比模块,用于对比所述第一核查结果和所述第二核查结果,得到比较结果;处理模块,用于根据所述比较结果,输出合规检测信息。其中,所述处理模块包括:获取单元,用于根据所述比较结果,得到变更内容;评估单元,用于根据所述变更内容,对所述变更内容进行风险的评估,得到评估结果;输出单元,用于输出所述评估结果。其中,所述输出单元,具体用于当所述变更内容为至少两个时,输出每个变更内容的评估结果;所述处理模块还包括:第一处理单元,用于接收对所述变更内容的选择结果;并根据所述变更内容的选择结果,确定最终使用的配置信息;或者,第二处理单元,用于根据每个变更内容的评估结果,输出对选择所述变更内容的建议信息,其中所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。其中,所述装置还包括:第一通知模块,用于在确定最终使用的配置信息之后,通知利用所述最终使用的配置信息完成配置操作。其中,所述装置还包括:第二通知模块,用于在输出对选择所述变更内容的建议信息之后,通知对所述建议信息中遵从度低于阈值的变更内容进行修改。本专利技术提供的方案,在配置信息发生变更后,将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测,分别得到第一核查结果和第二核查结果,在对比两个核查结果后,输出对比结果,实现对配置信息的合规性检测。附图说明图1为本专利技术提供的配置信息的合规检测方法的流程图;图2为本专利技术实施例一提供的配置信息的合规检测方法的流程图;图3为本专利技术实施例二提供的配置信息的合规检测方法的流程图;图4为本专利技术实施例三提供的配置信息的合规检测方法的流程图;图5为本专利技术实施例四提供的配置信息的合规检测方法的流程图;图6为本专利技术实施例五提供的配置信息的合规检测方法的流程图;图7为本专利技术提供的配置信息的合规检测装置的结构图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本专利技术作进一步的详细描述。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。图1为本专利技术提供的配置信息的合规检测方法的流程图。图1所示方法包括:步骤101、对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测,分别得到第一核查结果和第二核查结果;步骤102、对比所述第一核查结果和所述第二核查结果,得到比较结果;步骤103、根据所述比较结果,输出合规检测信息。本专利技术提供的方法实施例,在配置信息发生变更后,将原有的第一配置信息和变更后得到的第二配置信息利用相同的核查策略进行检测,分别得到第一核查结果和第二核查结果,在对比两个核查结果后,输出对比结果,实现对配置信息的合规性检测。在实际应用中,可以利用知识库实现对配置信息的核查,其中知识库为各种丰富配置核查库(配置核查库可以由多条配置核查条目组成),例如各种风险库、合规库、基线库等,这些核查库和核查条目可以从不同维度为设备、装置或系统提供不同需求的核查。配置信息可以包含与设备、装置或系统相关的多种配置,例如设备、装置或系统上变更前和变更后的配置信息、或用户为设备、装置或系统定义的不同配置选择和设置的配置信息等。为配置中的第一配置选择知识库中的某配置核查库,例如,根据配置核查库中的配置核查条目对第一配置中的配置信息进行核查,依据配置核查条目检测第一配置信息的遵从程度,生成配置核查结果。同样,对第二配置,也选择同样的配置核查库,进行配置核查,依据配置核查条目检测第二配置信息的遵从程度,生成配置核查结果。如果包含多种配置,则可以依此选择同样的配置核查库,对不同配置进行配置核查,生成配置核查结果。将配置核查的结果进行对比。例如,将上述第一配置的配置核查结果与第二配置的配置核查结果进行对比,比较设备、装置或系统上相同配置项的不同配置选择或设置的配置核查遵从程度,为用户提供配置建议选择,例如建议用户选择遵从度更高的配置。同样,可以比较多种配置的配置核查结果,为设备、装置或系统的配置项选择遵从度最高的配置选择或设置。下面对本专利技术提供的方法作进一步说明:实施例一在本实施例中,在用户有配置变更需求,但不清楚变更后是否会给现有环境造成影响,对此策略管控设备提供了配置变更的核查方法:其中根据所述比较结果,输出合规检测信息,包括:根据所述比较结果,得到变更内容;根据所述变更内容,对所述变更内容进行风险的评估,得到评本文档来自技高网...
【技术保护点】
一种配置信息的合规检测方法,其特征在于,包括:对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测,分别得到第一核查结果和第二核查结果;对比所述第一核查结果和所述第二核查结果,得到比较结果;根据所述比较结果,输出合规检测信息。
【技术特征摘要】
1.一种配置信息的合规检测方法,其特征在于,包括:对第一配置信息和对所述第一配置信息进行变更后得到的第二配置信息均采用相同的核查策略进行检测,分别得到第一核查结果和第二核查结果;对比所述第一核查结果和所述第二核查结果,得到比较结果;根据所述比较结果,输出合规检测信息。2.根据权利要求1所述的方法,其特征在于,所述根据所述比较结果,输出合规检测信息包括:根据所述比较结果,得到变更内容;根据所述变更内容,对所述变更内容进行风险的评估,得到评估结果;输出所述评估结果。3.根据权利要求2所述的方法,其特征在于:所述输出所述评估结果,包括:当所述变更内容为至少两个时,输出每个变更内容的评估结果;在所述输出所述评估结果之后,包括:接收对所述变更内容的选择结果,并根据所述变更内容的选择结果,确定最终使用的配置信息;或者,根据每个变更内容的评估结果,输出对选择所述变更内容的建议信息,其中所述建议信息是根据变更内容与核查策略进行核查后得到的遵从度确定的。4.根据权利要求3所述的方法,其特征在于,所述确定最终使用的配置信息之后,所述方法还包括:通知利用所述最终使用的配置信息完成配置操作。5.根据权利要求3所述的方法,其特征在于,所述输出对选择所述变更内容的建议信息之后,所述方法还包括:通知对所述建议信息中遵从度低于阈值的变更内容进行修改。6.一种配置信息的合规检测装置,其特征在于,包括:检测...
【专利技术属性】
技术研发人员:滕志猛,蒋璐峥,沈岷,周娜,霍玉臻,严为,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。