安全基线扫描方法、装置及存储介质制造方法及图纸

本发明专利技术公开了一种安全基线扫描方法、装置及存储介质，该方法包括：设置目标服务器；设置该目标服务器的部署模式，该部署模式包括三种类型：传统部署、容器部署、或者传统部署与容器部署相结合；设置该目标服务器的扫描项目，该扫描项目包括：系统基线扫描、和/或者中间件基线扫描、和/或者数据库基线扫描、和/或者应用包基线扫描、和/或者端口基线扫描、和/或者加密基线扫描；设置该目标服务器的基线版本；基于该部署模式、该扫描项目以及该基线版本，采用对应的穿透脚本对该目标服务器进行扫描；输出标准安全基线报告。该方法通过对目标服务器采用容器命令的扫描方式，从而解决若为容器部署模式，扫描不到漏洞或者误报漏洞。扫描不到漏洞或者误报漏洞。扫描不到漏洞或者误报漏洞。

【技术实现步骤摘要】
安全基线扫描方法、装置及存储介质


[0001]本专利技术涉及安全测试
，尤其是涉及一种安全基线扫描方法、装置及存储介质。

技术介绍

[0002]POC：Proof of Concept，概念验证。
[0003]安全基线是产品最低安全要求的配置。随着软件技术的发展，企业越来越重视产品的安全性，对产品的安全检测通常采用的方法是安全基线扫描。
[0004]目前，现有的安全基线扫描方法中存在误报率，在对容器部署的环境扫描时，扫描会出现两种情况：一是扫描不到容器里面的漏洞，二是扫描到镜像的静态文件，把历史镜像的文件也扫描出来，导致误判。
[0005]因此，为了减少扫描的盲点、提高扫描的有效性、降低误报率，有必要设计一种优化的安全基线扫描方法。

技术实现思路

[0006]本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本专利技术的一个目的是提供一种安全基线扫描方法、装置及存储介质，能够提高扫描的有效性和降低扫描的漏洞误报率。
[0007]本专利技术所采用的技术方案是：第一方面，本专利技术提供一种安全基线扫描方法，该安全基线扫描方法包括：设置目标服务器；设置该目标服务器的部署模式，该部署模式包括三种类型：传统部署、容器部署、或者传统部署与容器部署相结合；设置该目标服务器的扫描项目，该扫描项目包括：系统基线扫描、和/或者中间件基线扫描、和/或者数据库基线扫描、和/或者应用包基线扫描、和/或者端口基线扫描、和/或者加密基线扫描；设置该目标服务器的基线版本；基于该部署模式、该扫描项目以及该基线版本，采用对应的穿透脚本对该目标服务器进行扫描；输出标准安全基线报告。
[0008]其中，该采用对应的穿透脚本对该目标服务器进行扫描和该输出标准安全基线报告之间，还包括进行漏洞验证；该进行漏洞验证，具体包括：进行版本比对，找出漏洞版本；若存在漏洞版本，则调用POC进行验证；若验证通过，则标记为漏洞；若验证失败，则标记为需人工分析的漏洞。
[0009]其中，该采用对应的穿透脚本对该目标服务器进行扫描和该输出标准安全基线报告之间，还包括：对该目标服务器进行指纹辨认。
[0010]其中，该标准安全基线报告包括：白名单、漏洞以及需人工分析的漏洞。
[0011]其中，该采用对应的穿透脚本对该目标服务器进行扫描，包括：根据该部署模式，调用对应的检查脚本；判断是否进入系统基线扫描，若进入，则根据该检查脚本对配置、命令、以及进程进行基线比对；判断是否进入中间件基线扫描，若进入，则根据该检查脚本对
配置、命令、以及进程进行基线比对；判断是否进入数据库基线扫描，若进入，则根据检查脚本对配置和SQL语句进行基线比对；判断是否进入应用包基线扫描，若进入，则根据该检查脚本对进程、版本、以及特征进行基线比对；判断是否进入端口基线扫描，若进入，则根据该检查脚本对端口和防火墙设置进行基线比对；判断是否进入加密基线扫描，若进入，则根据非加密模式对传输和存储的数据进行加密能力检测。
[0012]其中，该根据该部署模式，调用对应的检查脚本，包括：若该部署模式为传统部署，则对该目标服务器采用物理机的扫描方式；若该部署模式为镜像部署，则对该目标服务器采用容器命令的扫描方式；若该部署模式为传统部署与容器部署相结合，则对该目标服务器按照不同的需求分别采用物理机和容器命令的扫描方式。
[0013]其中，该获取目标服务器之前，还包括：读取资产信息，该资产信息的种类包括：多个服务器的IP地址、该多个服务器的扫描状态以及该多个服务器的资产类型。
[0014]第二方面，本专利技术提供一种安全基线扫描装置，其特征在于，包括：目标服务器设置模块，用于设置目标服务器；部署模式设置模块，用于设置该目标服务器的部署模式，该部署模式包括三种类型：传统部署、容器部署、或者传统部署与容器部署相结合；扫描项目设置模块，用于设置该目标服务器的扫描项目，该扫描项目包括：系统基线扫描、和/或者中间件基线扫描、和/或者数据库基线扫描、和/或者应用包基线扫描、和/或者端口基线扫描、和/或者加密基线扫描；基线版本设置模块，用于设置该目标服务器的基线版本；扫描模块，用于基于该部署模式、该扫描项目以及该基线版本，采用对应的穿透脚本对该目标服务器进行扫描；基线报告输出模块，用于输出标准安全基线报告。
[0015]其中，还包括资产信息读取模块和漏洞验证模块；该资产信息读取模块，用于读取资产信息，该资产信息的种类包括：多个服务器的IP地址、该多个服务器的扫描状态以及该多个服务器的资产类型。该漏洞验证模块，用于进行漏洞验证，该漏洞验证模块具体包括：版本比对单元，用于进行版本比对，找出漏洞版本；POC验证单元，若存在漏洞版本，则调用POC进行验证；漏洞标记单元，若验证通过，则标记为漏洞；若验证失败，则标记为需人工分析的漏洞。
[0016]第三方面，本专利技术提供一种计算机可读存储介质，其特征在于，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令用于使计算机执行如上述的方法。
[0017]本专利技术的有益效果是：本专利技术通过对目标服务器采用容器部署的模式，采用容器命令而非物理机的扫描方式，从而解决如果目标服务器为容器部署模式时，扫描不到漏洞或者会出现只扫描出镜像的文件的静态问题。
[0018]进一步地，本专利技术在扫描发现漏洞版本时，还通过采用POC验证的方式，进一步对漏洞进行分析，判断该漏洞是漏洞还是需人工分析的漏洞，从而提高扫描结果的准确率。
[0019]进一步地，本专利技术从扫描项目的维度出发，对不同系统采取组合扫描的方法。根据读取的资产清单设置不同组合的扫描项目，如面对站库分离的模式，扫描器对数据库服务器执行数据库基线扫描、系统扫描和加密基线扫描，对WEB服务器执行应用包基线扫描、系统扫描和加密基线扫描。通过组合扫描的方式，能够减少扫描的资源浪费，提高扫描的效率。
[0020]另外，本专利技术的基线版本随着威胁情报以及实际的应用进行更新，确保现在扫描
的基线标准是最新的安全基线。针对与兼容问题给出通过规避方案解决或者判断为无直接漏洞应用方式的可接受风险，对不同环境进行合理的基线配置，不一定需要最高的安全基线版本。
附图说明
[0021]图1是本专利技术安全基线扫描方法的一实施例的流程示意图；图2是图1的步骤S15的实施例的流程示意图；图3是本专利技术安全基线扫描方法的另一实施例的流程示意图；图4是本专利技术安全基线扫描方法的又一实施例的流程示意图；图5是图4的步骤S36的一实施例的流程示意图；图6是本专利技术安全基线扫描装置的一实施例的结构示意图；图7是本专利技术安全基线扫描装置的另一实施例的结构示意图；图8是本专利技术安全基线扫描装置的又一实施例的结构示意图；图9是图8的漏洞验证模块36的一实施例的结构示意图。
具体实施方式
[0022]需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。
[0023]实施例一请参阅图1，图1是本专利技术安全基线扫描方法的一实施例的结构示意图本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全基线扫描方法，其特征在于，包括：设置目标服务器；设置所述目标服务器的部署模式，所述部署模式包括三种类型：传统部署、容器部署、或者传统部署与容器部署相结合；设置所述目标服务器的扫描项目，所述扫描项目包括：系统基线扫描、和/或者中间件基线扫描、和/或者数据库基线扫描、和/或者应用包基线扫描、和/或者端口基线扫描、和/或者加密基线扫描；设置所述目标服务器的基线版本；基于所述部署模式、所述扫描项目以及所述基线版本，采用对应的穿透脚本对所述目标服务器进行扫描；输出标准安全基线报告。2.根据权利要求1所述的安全基线扫描方法，其特征在于，所述采用对应的穿透脚本对所述目标服务器进行扫描和所述输出标准安全基线报告之间，还包括进行漏洞验证；所述进行漏洞验证，具体包括：进行版本比对，找出漏洞版本；若存在漏洞版本，则调用POC进行验证；若验证通过，则标记为漏洞；若验证失败，则标记为需人工分析的漏洞。3.根据权利要求1所述的安全基线扫描方法，其特征在于，所述采用对应的穿透脚本对所述目标服务器进行扫描和所述输出标准安全基线报告之间，还包括：对所述目标服务器进行指纹辨认。4.根据权利要求1所述的安全基线扫描方法，其特征在于，所述标准安全基线报告包括：白名单、漏洞以及需人工分析的漏洞。5.根据权利要求1至4任意一项所述的安全基线扫描方法，其特征在于，所述采用对应的穿透脚本对所述目标服务器进行扫描，包括：根据所述部署模式，调用对应的检查脚本；判断是否进入系统基线扫描，若进入，则根据所述检查脚本对配置、命令、以及进程进行基线比对；判断是否进入中间件基线扫描，若进入，则根据所述检查脚本对配置、命令、以及进程进行基线比对；判断是否进入数据库基线扫描，若进入，则根据检查脚本对配置和SQL语句进行基线比对；判断是否进入应用包基线扫描，若进入，则根据所述检查脚本对进程、版本、以及特征进行基线比对；判断是否进入端口基线扫描，若进入，则根据所述检查脚本对端口和防火墙设置进行基线比对；判断是否进入加密基线扫描，若进入，则根据非加密模式对传输和存储的数据进行加密能力检测。6.根据权利要求5所述的安全...

【专利技术属性】
技术研发人员：吴育君，
申请(专利权)人：深圳市四格互联信息技术有限公司，
类型：发明
国别省市：