一种主机安全基线自动加固方法及系统技术方案

本发明专利技术公开了一种主机安全基线自动加固方法，包括：设置主机安全基线；选择加固项，并设置所选择加固项分别对应的安全加固函数；调用所述加固项对应的安全加固函数对加固项进行加固，并获取加固项的当前值；根据所述加固项的当前值与所述安全加固函数中包含的基线标准值的关系生成加固结果。同时，本发明专利技术还公开了一种主机安全基线自动加固系统。

Method and system for automatically reinforcing safe baseline of host computer

The invention discloses a host security baseline automatic reinforcement method, including: setting the host security baseline; selection of reinforcement, reinforcement and settings to the selected item corresponding to the security reinforcement function; security reinforcement function calls the item corresponding to a reinforcement reinforcement reinforcement, and obtain the reinforcement according to the current value; strengthening the current values of the generation relation with the security baseline standard function of the value contained in the reinforcement results. At the same time, the invention also discloses an automatic reinforcement system for the safety baseline of a host computer.

【技术实现步骤摘要】

本专利技术涉及计算机安全技术，尤其涉及一种主机安全基线自动加固方法及系统。
技术介绍
目前，主机安全已获得越来越多企业的重视与关注，许多企业特别是电信运营企业都会定期制定并颁布新的主机安全加固规范，对业务支撑系统使用的主机进行定期安全扫描和加固，确保业务系统运行在安全稳定的环境中。其中，安全基线检查和加固是主机安全检查和加固的主要内容。安全基线是设备和配置方面的基本安全要求，是信息系统的最小安全保证和最基本的、必须满足的安全要求。因此，为了保证整体安全水平，防止系统设备因为安全配置不到位而带来安全风险，有必要对系统设备的安全性进行检查和加固。若系统按照安全基线进行了检查和加固，则可以确保系统和设备安全符合性达到要求，杜绝大部分的安全隐患。在现有的技术中，可以使用专业的安全基线检查工具对基线各个要求项进行自动化的基线检查，但是无法实现自动对主机安全基线进行加固。由于安全、资金、技术等方面的限制，实际工作环境中主机安全基线检查和加固基本都是通过人工操作完成的。然而，当所需加固的主机数量以及每台主机涉及的基线检查条目都较多、且需要周期性对主机基线进行检查时，依靠人工操作不仅需要耗费较多人力资源，而且效率较低；人工操作还容易造成人为误操作行为，从而对系统的正常运行造成影响；此外，对主机进行安全基线检查和加固需要维护人员具有较强的专业技术能力以及解决问题能力，然而，不同的维护人员通常对检查和加固方法理解不同，即：缺乏统一的基线检查和加固流程。
技术实现思路
有鉴于此，本专利技术实施例期望提供一种主机安全基线自动加固方法及系统，能够实现对主机安全基线的自动检查与加固。为达到上述目的，本专利技术的技术方案是这样实现的：本专利技术提供了一种主机安全基线自动加固方法，所述方法包括：设置主机安全基线；选择加固项，并设置所选择加固项分别对应的安全加固函数；调用所述加固项对应的安全加固函数对加固项进行加固，并获取加固项的当前值；根据所述加固项的当前值与所述安全加固函数中包含的基线标准值的关系生成加固结果。上述方案中，所述方法还包括：在设置主机安全基线之前，备份主机操作系统安全基线配置文件和/或主机操作系统。上述方案中，所述安全加固函数还包含：加固项的关键字；所述调用所述加固项对应的安全加固函数对加固项进行加固，包括：根据所述加固项中包含的关键字，搜索具有相同关键字的安全加固函数，并调用所述安全加固函数对加固项进行加固。上述方案中，所述根据所述加固项的当前值与所述安全加固函数中包含的基线标准值的关系生成加固结果，包括：当加固项的当前值与安全加固函数中包含的基线标准值相同时，保留加固项的当前值；当加固项的当前值与安全加固函数中包含的基线标准值不相同时，将加固项的当前值修复为基线标准值。上述方案中，所述方法还包括：当对一个加固项进行加固的时间大于预置的阈值时，中止对该加固项进行加固，并发出告警；验证加固结果是否已生效，如果加固结果已生效，则加固完成；如果加固结果未生效，则发送告警提示。本专利技术还提供了一种主机安全基线自动加固系统，所述系统包括：基线管理模块、基线检查模块、基线加固模块；其中，所述基线管理模块，用于设置主机安全基线；选择加固项，并设置所选择加固项分别对应的安全加固函数；所述基线检查模块，用于调用所述加固项对应的安全加固函数对加固项进行加固，并获取加固项的当前值；所述基线加固模块，用于根据所述加固项的当前值与所述安全加固函数中包含的基线标准值的关系生成加固结果。上述方案中，所述系统还包括：备份模块，用于在设置主机安全基线之前，备份主机操作系统安全基线配置文件和/或主机操作系统。上述方案中，所述基线管理模块设置的安全加固函数中还包含：加固项的关键字；所述基线检查模块调用所述加固项对应的安全加固函数对加固项进行加固，包括：根据所述加固项中包含的关键字，搜索具有相同关键字的安全加固函数，并调用所述安全加固函数对加固项进行加固。上述方案中，所述基线加固模块，具体用于：当加固项的当前值与安全加固函数中包含的基线标准值相同时，保留加固项的当前值；当加固项的当前值与安全加固函数中包含的基线标准值不相同时，将加固项的当前值修复为基线标准值。上述方案中，所述系统还包括：告警模块和验证模块；其中，所述告警模块，用于当对一个加固项进行加固的时间大于预置的阈值时，中止对该加固项进行加固，并发出告警；接收验证模块发送的告警提示，并发出告警；所述验证模块，用于验证加固结果是否已生效，如果加固结果已生效，则加固完成；如果加固结果未生效，则向告警模块发送告警提示。本专利技术实施例提供的主机安全基线自动加固方法及系统，设置主机安全基线；选择加固项，并设置所选择加固项分别对应的安全加固函数；调用所述加固项对应的安全加固函数对加固项进行加固，并获取加固项的当前值；根据所述加固项的当前值与所述安全加固函数中包含的基线标准值的关系生成加固结果，并对加固结果进行验证。可见，本专利技术实施例通过预先设置主机安全基线、选择加固项以及设置安全加固函数，能够实现调用所选择的加固项的安全加固函数对加固项进行自动加固；如此，当所需加固的主机数量以及每台主机涉及的基线检查条目都较多、且需要周期性对主机基线进行安全检查时，不仅不需要耗费较多人力资源，而且还能够极大地提高工作效率；同时，还能够有效避免因人工操作造成的人为误操作行为，从而减少对业务系统的正常运行的影响；此外，根据检查要求制定统一的安全检查与加固流程，也能够有效的避免因维护人员缺乏统一的基线检查和加固流程而造成的资源浪费现象，且易于更新扩展。附图说明图1为本专利技术实施例主机安全基线自动加固方法的实现流程示意图；图2为本专利技术实施例主机安全基线自动加固系统的组成结构示意图。具体实施方式下面结合附图及具体实施例对本专利技术再作进一步详细的说明。实施例一本专利技术实施例主机安全基线自动加固方法，如图1所示，该方法包括：步骤101：设置主机安全基线；这里，所述主机安全基线可以根据用户预先设置的主机安全检查标准进行设置，也可以根据在不同环境下主机的实际运行情况进行设置。进一步的，在步骤101之前，所述方法还包括：备份主机操作系统安全基线配置文件和/或主机操作系统；这里，备份主机操作系统安全基线配置文件和/或主机操作系统的目的是防止在主机加固过程中由于突发意外事件，例如配置信息误操作，可能出现系统无法正常运行等情况时，可以利用已备份的配置文件和/或系统将主机恢复到加固之前的状态。本专利技术实施例中，所述备份主机操作系统安全基线配置文件可以通过以下方式实现：通过if(-f/etc/inetd.conf)语句判断配置文件是否存在，当搜索到配置文件后，利用cp命令拷贝当前配置文件到/bak目录中进行备份，备份成功后打印输出“file|backupsuccess”。步骤102：选择加固项，并设置所选择加固项分别对应的安全加固函数；这里，用户可以预先根据主机安全检查标准建立一个基础加固项库，并根据在不同环境下主机的实际运行情况建立一个用户加固项库；进一步的，可根据实际需要对所述基础加固项库和用户加固项库进行更新操作，例如，删除不必要的加固项、修改已有的加固项、或增加新的加固项。这里，所述选择加固项可以是单独从基础加固项库本文档来自技高网...

【技术保护点】
一种主机安全基线自动加固方法，其特征在于，设置主机安全基线；所述方法还包括：选择加固项，并设置所选择加固项分别对应的安全加固函数；调用所述加固项对应的安全加固函数对加固项进行加固，并获取加固项的当前值；根据所述加固项的当前值与所述安全加固函数中包含的基线标准值的关系生成加固结果。

【技术特征摘要】
1.一种主机安全基线自动加固方法，其特征在于，设置主机安全基线；所述方法还包括：选择加固项，并设置所选择加固项分别对应的安全加固函数；调用所述加固项对应的安全加固函数对加固项进行加固，并获取加固项的当前值；根据所述加固项的当前值与所述安全加固函数中包含的基线标准值的关系生成加固结果。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：在设置主机安全基线之前，备份主机操作系统安全基线配置文件和/或主机操作系统。3.根据权利要求1所述的方法，其特征在于，所述安全加固函数还包含：加固项的关键字；所述调用所述加固项对应的安全加固函数对加固项进行加固，包括：根据所述加固项中包含的关键字，搜索具有相同关键字的安全加固函数，并调用所述安全加固函数对加固项进行加固。4.根据权利要求1所述的方法，其特征在于，所述根据所述加固项的当前值与所述安全加固函数中包含的基线标准值的关系生成加固结果，包括：当加固项的当前值与安全加固函数中包含的基线标准值相同时，保留加固项的当前值；当加固项的当前值与安全加固函数中包含的基线标准值不相同时，将加固项的当前值修复为基线标准值。5.根据权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：当对一个加固项进行加固的时间大于预置的阈值时，中止对该加固项进行加固，并发出告警；验证加固结果是否已生效，如果加固结果已生效，则加固完成；如果加固
\t结果未生效，则发送告警提示。6.一种主机安全基线自动加固系统，其特征在于，所述系统包括：基线管理模块、基线检查模块、基线加固模块；其...

【专利技术属性】
技术研发人员：岑春祥，王升元，苏文平，郄威，孟利青，
申请(专利权)人：中国移动通信集团内蒙古有限公司，
类型：发明
国别省市：内蒙古;15