安全配置核查系统和方法.pdf

摘要
申请专利号：	CN201210322379.9	申请日：	2012.09.03
公开号：	CN102882852A	公开日：	2013.01.16
当前法律状态：	驳回	有效性：	无权
法律详情：	发明专利申请公布后的驳回IPC(主分类):H04L 29/06申请公布日:20130116\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20120903\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	北京神州绿盟信息安全科技股份有限公司; 北京神州绿盟科技有限公司
发明人：	段磊; 孙建鹏; 廖新喜; 周振
地址：	100089 北京市海淀区北洼路4号益泰大厦三层
优先权：
专利代理机构：	北京同达信恒知识产权代理有限公司 11291	代理人：	郭红丽
PDF下载：	PDF下载

内容摘要

本发明公开了一种安全配置核查系统，解决了现有技术中网络设备在不开放远程连接服务的情况下而无法进行安全配置扫描的问题。包括：下载设备，用于下载离线检查设备安装程序安装在网络设备中；离线检查设备，用于对网络设备进行安全配置扫描；根据生成的扫描结果和预先设置的数据格式和扫描结果标识，生成扫描结果数据，以Post方式发送给安全配置核查设备；安全配置核查设备，用于接收以Post方式发送的各类数据；并在按照所述数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据数据格式，从该数据的第一指定位置解析出扫描结果。本发明还公开了一种安全配置核查方法。

权利要求书

权利要求书一种安全配置核查系统，其特征在于，包括：下载设备，用于将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中；离线检查设备，用于对网络设备进行安全配置扫描，生成扫描结果；根据所述扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足所述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据，并以Post方式发送给安全配置核查设备；其中，所述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置；安全配置核查设备，用于接收采用Post方式发送的各类数据；并在按照所述数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据的第一指定位置解析出扫描结果。如权利要求1所述的系统，其特征在于，扫描结果包括：与网络设备的安全配置相关联的安全检查项的检查结果和网络设备标识；所述网络设备标识包括：网络设备的IP地址、对网络设备进行安全配置扫描的扫描日期和对网络设备进行安全配置扫描时利用的扫描模板；则所述安全配置核查设备还用于：针对解析出的每个扫描结果，执行：通过比较该扫描结果中的安全检查项的检查结果与对应于该扫描结果包含的网络设备标识的标准安全配置所规定的安全检查项的检查结果，从该扫描结果中，确定其检查结果与所述标准安全配置所规定的相应的检查结果匹配一致的正常安全检查项，以及其检查结果与所述标准安全配置所规定的相应的检查结果匹配不一致的异常安全检查项；并根据正常安全检查项、异常安全检查项和该扫描结果包含的网络设备标识，生成安全配置核查结果。如权利要求2所述的系统，其特征在于，所述安全配置核查设备还用于：以报表形式存储所述安全配置核查结果。一种安全配置核查方法，其特征在于，包括：下载设备将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中；离线检查设备对网络设备进行安全配置扫描，生成扫描结果；离线检查设备根据所述扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足所述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据；并以Post方式将扫描结果数据发送给安全配置核查设备；安全配置核查设备接收各类数据；并在按照预先设置的数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据的第一指定位置解析出扫描结果；其中，所述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置。如权利要求4所述的方法，其特征在于，扫描结果包括：与网络设备的安全配置相关联的安全检查项的检查结果和网络设备标识；所述网络设备标识包括：网络设备的IP地址、对网络设备进行安全配置扫描的扫描日期和对网络设备进行安全配置扫描时利用的扫描模板；则所述方法还包括：安全配置核查设备针对解析出的每个扫描结果，执行：通过比较该扫描结果中的安全检查项的检查结果与对应于该扫描结果包含的网络设备标识的标准安全配置所规定的安全检查项的检查结果，从该扫描结果中，确定其检查结果与标准安全配置所规定的相应的检查结果匹配一致的正常安全检查项，以及其检查结果与标准安全配置所规定的相应的检查结果匹配不一致的异常安全检查项；并根据正常安全检查项、异常安全检查项和该扫描结果包含的网络设备标识，生成安全配置核查结果。如权利要求5所述的方法，其特征在于，所述方法还包括：安全配置核查设备以报表形式存储所述安全配置核查结果。

说明书

说明书安全配置核查系统和方法
技术领域
本发明涉及网络安全领域，尤其涉及一种安全配置核查系统和方法。
背景技术
随着信息技术的不断发展，网络服务和网络应用也越来越多，承载这些网络服务和网络应用的服务器（或者其他网络设备）的安全性也越来越被人们所重视。据统计，网络服务或应用被非法侵入的原因除了网络设备自身存在漏洞外，更重要的是网络设备的使用者对它们的配置可能存在缺陷。网络设备配置上的缺陷给了黑客以可乘之机，从而使得暴露在网络中的网络设备存在安全隐患。
为了避免网络设备的配置缺陷，网络管理员通常会对网络设备的配置进行核查，对不符合安全配置规范的网络设备进行安全加固。一些安全厂商已经提供了安全软件以供网络管理员对网络设备的配置进行扫描。
传统上，网络设备的提供商会提供“安全配置规范”，随后，在网络管理员根据该“安全配置规范”对服务器或者网络设备进行配置的同时，安全厂商提供的安全软件会根据该“安全配置规范”来对该网络设备定制安全配置扫描方案。然后，安全厂商通过这个安全配置扫描方案对网络设备进行安全配置扫描，并将扫描结果通知给网络管理员，进而规范服务器或者网络设备的安全配置。通常，在对网络设备进行安全配置扫描时，扫描结果一般可以包括下述安全检查项中的一项或多项：
用户缺省访问权限是否符合规范、telnet是否限制具备超级管理员权限的用户直接远程登录、ssh是否限制具备超级管理员权限的用户直接远程登录、采用静态口令认证技术的网络设备密码长度是否符合规范、采用静态口令认证技术的网络设备密码生存期是否满足规范等。
获得上述扫描结果的前提是执行安全配置扫描方案的设备（以下简称扫描执行设备）被分配有针对网络设备的特定权限。然而在实际应用中，一些需要进行安全配置核查的网络设备出于安全考虑，会不允许扫描执行设备远程登录到本地来执行安全配置扫描方案。比如网络设备可以通过禁用smb、ssh或者telnet这些远程连接的服务，来限制扫描执行设备以远程方式进行网络设备的扫描。这样，扫描执行设备便无法对网络设备进行安全配置扫描，导致暴露在网络中的网络设备存在安全隐患。
发明内容
本发明实施例提供一种安全配置核查系统和方法，用以解决现有技术中网络设备在不开放远程连接服务的情况下而无法进行安全配置扫描的问题。
本发明实施例采用以下技术方案：
一种安全配置核查系统，包括：
下载设备，用于将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中；离线检查设备，用于对网络设备进行安全配置扫描，生成扫描结果；根据所述扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足所述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据，并以Post方式发送给安全配置核查设备；其中，所述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置；安全配置核查设备，用于接收采用Post方式发送的各类数据；并在按照所述数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据的第一指定位置解析出扫描结果。
一种安全配置核查方法，包括：
下载设备将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中；离线检查设备对网络设备进行安全配置扫描，生成扫描结果；离线检查设备根据所述扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足所述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据；并以Post方式将扫描结果数据发送给安全配置核查设备；安全配置核查设备接收各类数据；并在按照预先设置的数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据的第一指定位置解析出扫描结果；其中，所述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置。
发明实施例的有益效果如下：
本发明实施例通过下载设备将离线检查设备安装在网络设备后，离线检查设备根据扫描结果、预先设置的数据格式和扫描结果标识生成扫描结果数据，并以Post方式发送给服务器上的安全配置核查设备，而安全配置核查设备按照所述数据格式对接收到的各类数据进行解析，若解析出数据中包含有扫描结果标识时，则根据所述数据格式从该数据中解析出扫描结果，实现了在网络设备不开放远程连接服务，从而使安全配置核查设备无法基于这些服务以远程的方式对网络设备进行扫描的情况下，由下载设备下载并安装的离线检查设备基于预设的数据格式和Post技术，也可以实现对网络设备的扫描，并能够自动回传扫描结果。
附图说明
图1为本发明实施例提出的一种安全配置核查方案的主要流程示意图；
图2为本发明实施例提出的一种安全配置核查方法的流程图；
图3为本发明实施例提出的一种安全配置核查系统的结构示意图。
具体实施方式
针对现有技术中网络设备在不开放远程连接服务的情况下而无法进行安全配置扫描的问题，本发明实施例提供了一种安全配置核查系统和方法的方案。通过下载设备将离线检查设备安装在网络设备后，离线检查设备根据扫描结果、预先设置的数据格式和扫描结果标识生成扫描结果数据，并以Post方式发送给服务器上的安全配置核查设备，而安全配置核查设备按照上述预先设置的数据格式对接收到的各类数据进行解析，若解析出数据中包含扫描结果标识时，则根据所述数据格式从该数据中解析出扫描结果，实现了在网络设备不开放远程连接服务，从而使安全配置核查设备无法基于这些服务以远程的方式对网络设备进行扫描的情况下，由下载设备下载并安装的离线检查设备基于预设的数据格式和POST技术，也可以实现对网络设备的扫描，并能够自动回传扫描结果。
下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。
如图1所示，为本发明实施例提供的一种安全配置核查方案的主要流程示意图，具体步骤包括：
步骤11，下载设备将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备；
本发明实施例中所述的离线检查设备一般为由软件实现其功能的虚拟设备。具体的，离线检查设备可以是由安全配置核查设备提供的可供下载的可执行程序。在网络设备没有开放远程连接服务的情况下，需要下载设备从安全配置核查系统（BVS）中下载离线检查设备安装程序，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中。同时这个下载的安装程序中也可以包含上述安全配置核查系统的IP地址，这样当离线检查设备执行完扫描操作以后，就可以根据IP地址将扫描结果发送到该IP地址对应的安全配置核查设备上。
步骤12，离线检查设备对网络设备进行安全配置扫描，生成扫描结果；
其中，对网络设备进行安全配置扫描就是扫描该网络设备的配置是否安全，生成的扫描结果中可以但不限于包括：与网络设备的安全配置相关联的安全检查项的检查结果。
考虑到待进行安全配置扫描的网络设备数量较多的情况，扫描结果中还可以进一步包括网络设备标识，以便后续安全配置核查设备能够确定上述检查结果与网络设备之间的对应关系。
步骤13，离线检查设备根据上述扫描结果、预先设置的数据格式和预先针对扫描结果设置的扫描结果标识，生成满足上述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据；
其中，上述的数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，也规定了扫描结果标识在扫描结果数据中所处的第二指定位置。
可选的，预先设置的数据格式可以是二次开发接口提供的数据格式规范所规定的，其中二次开发接口是一种开放式的数据格式规范库，该数据格式规范库所提供的数据格式规范中，没有一种标准的数据格式规范，因此一般地，二次开发接口的开发人员可以依据实际场景的需求，自定义符合该需求的数据格式规范。
步骤14，离线检查设备以Post方式将扫描结果数据发送给安全配置核查设备；
其中，Post方式是采用http协议和服务器进行通信的一种方式，可以实现把一些数据上传到服务器的目的。基于该Post方式，本发明实施例在网络设备不开放smb、ssh或者telnet这些远程连接服务，从而使得安全配置核查设备无法远程控制离线检查设备回传扫描结果的场景下，采用上述Post方式传输扫描结果数据可以实现由离线检查设备自主将扫描结果自动回传到安全配置核查设备，因此在该场景下同样达到了扫描结果自动回传的目的。
其中，smb(Server Message Block)是协议名，被用于Warp连接和客户端与服务器之间的信息沟通；ssh（Secure Shell）为远程登录会话和其他网络服务提供安全性的协议，能够有效防止远程管理过程中的信息泄露问题；而telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式，它为用户提供在本地计算机上完成远程主机工作的能力，是常用的远程控制Web服务器的方法。
步骤15，安全配置核查设备接收通过Post方式发送来的各类数据，其中，这些数据中可以包含上述离线检查设备发送的包含有扫描结果和扫描结果标识的数据；
步骤16，安全配置核查设备在按照上述步骤13中的预先设置的数据格式，判断接收到的数据中是否包含扫描结果标识，若接收到的数据中包含扫描结果标识则执行步骤17，否则执行步骤15；
步骤17，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据的第一指定位置解析出扫描结果；
可选的，当扫描结果包括：与网络设备的安全配置相关联的安全检查项的检查结果和网络设备标识时，该方案还可以包括以下步骤：
步骤18，通过解析出的扫描结果，生成安全配置核查结果。
具体的，通过比较该扫描结果中的安全检查项的检查结果与对应于该扫描结果包含的网络设备标识的标准安全配置所规定的安全检查项的检查结果，从该扫描结果中，确定其检查结果与标准安全配置所规定的相应的检查结果匹配一致的正常安全检查项，以及其检查结果与标准安全配置所规定的相应的检查结果匹配不一致的异常安全检查项；
根据正常安全检查项、异常安全检查项和该扫描结果包含的网络设备标识，生成安全配置核查结果。
本发明实施例通过下载设备将离线检查设备安装在网络设备后，离线检查设备根据扫描结果、预先设置的数据格式和扫描结果标识生成扫描结果数据，并以Post方式发送给服务器上的安全配置核查设备，而安全配置核查设备按照所述数据格式对接收到的各类数据进行解析，若解析出数据中包含有扫描结果标识时，则根据所述数据格式从该数据中解析出扫描结果，实现了在网络设备不开放远程连接服务，从而使安全配置核查设备无法基于这些服务以远程的方式对网络设备进行扫描的情况下，由下载设备下载并安装的离线检查设备基于预设的数据格式和Post技术，也可以实现对网络设备的扫描，并能够自动回传扫描结果。
下面将依据本发明上述发明原理，详细介绍一个实施例来对本发明方法的主要实现原理进行阐述和说明。
本发明实施例提供的一种安全配置核查方法，应用于在网络设备不开放smb、ssh或者telnet这些远程连接服务的场景下。如图2所示，为该安全配置核查方法流程图，具体包括以下步骤：
步骤21，下载设备将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备；
本发明实施例中所述的离线检查设备一般为由软件实现其功能的虚拟设备。具体的，离线检查设备可以是由安全配置核查设备提供的可供下载的可执行程序。在网络设备没有开放远程连接服务的情况下，需要下载设备从安全配置核查系统（BVS）中下载离线检查设备安装程序，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中。同时这个下载的安装程序中也可以包含上述安全配置核查系统的IP地址，这样当离线检查设备执行完扫描操作以后，就可以根据IP地址将扫描结果发送到该IP地址对应的安全配置核查设备上。
步骤22，离线检查设备对网络设备进行安全配置扫描，生成扫描结果；
其中，对网络设备进行安全配置扫描就是扫描该网络设备的配置是否安全，生成的扫描结果中可以但不限于包括：与网络设备的安全配置相关联的安全检查项的检查结果。
考虑到待进行安全配置扫描的网络设备数量较多的情况，扫描结果中还可以进一步包括网络设备标识，以便后续安全配置核查设备能够确定上述检查结果与网络设备之间的对应关系。
可选的，安全检查项可以包括：检测用户缺省访问权限是否符合规范、检测telnet是否限制具备超级管理员权限的用户直接远程登录、检测ssh是否限制具备超级管理员权限的用户直接远程登录、检测采用静态口令认证技术的设备密码长度是否符合规范以及检测采用静态口令认证技术的设备密码生存期是否满足规范等等。扫描结果中包含的网络设备标识可以包括：网络设备的IP地址、对网络设备进行安全配置扫描的扫描日期和对网络设备进行安全配置扫描时利用的扫描模板，其中扫描的网络设备的系统平台不同，所使用的扫描模板也不同，比如：在扫描的网络设备为Windows平台的前提下，就要使用适用于Windows平台的Windows扫描模板；在扫描的网络设备为Linux平台的前提下，就要使用适用于Linux平台的Linux扫描模板。
在执行完扫描后，生成的扫描结果可以但不限于是一个xml文件，例如得到的xml文件的具体格式如下：

上述的xml文件中，每个item节点对应的就是一个安全检查项，而valuename节点对应的是关于这个安全检查项的描述信息，Ture或False是这个安全检查项的检查结果。而xml文件中的“<!‑‑ip:1.1.1.1 time:2011‑1‑1 template=windows ‑‑>”就是网络设备标识，“ip:1.1.1.1”为网络设备的IP地址，“time:2011‑1‑1”为对该网络设备进行安全配置扫描的扫描日期，“template=windows”为对网络设备进行安全配置扫描时利用的扫描模板，通过在扫描结果中记录这些网络设备标识，使得后续可以清楚明了的核查到与IP地址唯一对应的该扫描设备在某个时间点的安全配置状态的情况。
步骤23，离线检查设备根据上述扫描结果、预先设置的数据格式和预先针对扫描结果设置的扫描结果标识，生成满足上述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据；
可选的，预先设置的数据格式可以是二次开发接口提供的数据格式规范所规定的，其中二次开发接口是一种开放式的数据格式规范库，该数据格式规范库所提供的数据格式规范中，没有一种标准的数据格式规范，因此一般地，二次开发接口的开发人员可以依据实际场景的需求，自定义符合该需求的数据格式规范。本发明实施例中预先设置的数据格式可以如下所示：

其中，上述的数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，即扫描结果处于上述<Data>节点位置下，上述的数据格式也规定了扫描结果标识在扫描结果数据中所处的第二指定位置，节点<Name>sendData</Name>即为扫描结果标识。
还以上述扫描结果为xml文件为例，在生成扫描结果数据时，首先将存储扫描结果的xml文件的内容取出来，放在上述预设的</Data>节点下，如下所示：

至此，生成满足上述预先设置的数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据。
步骤24，离线检查设备以Post方式将扫描结果数据发送给安全配置核查设备。
其中，Post方式是采用http协议和服务器进行通信的一种方式，可以实现把一些数据上传到服务器的目的。基于该Post方式，本发明实施例在网络设备不开放smb、ssh或者telnet这些远程连接服务，从而使得安全配置核查设备无法远程控制离线检查设备回传扫描结果的场景下，采用上述Post方式传输扫描结果数据可以实现由离线检查设备自主将扫描结果自动回传到安全配置核查设备，因此在该场景下同样达到了扫描结果自动回传的目的。
步骤25，安全配置核查设备接收通过Post方式发送来的各类数据。
步骤26，在按照预先设置的数据格式，从接收的数据第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据第一指定位置解析出扫描结果。
其中，预先设置的数据格式与上述步骤22中预先设置的数据格式相同，在此不再进行赘述。
若从接收到的数据中的第二指定位置解析出了扫描结果标识，即节点<Name>sendData</Name>，说明收到的数据为扫描结果数据，则再从该数据中的第一指定位置，即<Data>节点位置下将扫描结果取出。
可选的，当扫描结果包括：与网络设备的安全配置相关联的安全检查项的检查结果和网络设备标识时，该方法还可以包括以下步骤：
步骤27，通过解析出的扫描结果，生成安全配置核查结果。
具体的，通过比较该扫描结果中的安全检查项的检查结果与对应于该扫描结果包含的网络设备标识的标准安全配置所规定的安全检查项的检查结果，从该扫描结果中，确定其检查结果与标准安全配置所规定的相应的检查结果匹配一致的正常安全检查项，以及其检查结果与标准安全配置所规定的相应的检查结果匹配不一致的异常安全检查项；
根据正常安全检查项、异常安全检查项和该扫描结果包含的网络设备标识，生成安全配置核查结果。
可选的，该安全配置核查结果可以但不限于以报表形式存储。
本发明实施例通过下载设备将离线检查设备安装在网络设备后，离线检查设备根据扫描结果、预先设置的数据格式和扫描结果标识生成扫描结果数据，并以Post方式发送给服务器上的安全配置核查设备，而安全配置核查设备按照所述数据格式对接收到的各类数据进行解析，若解析出数据中包含有扫描结果标识时，则根据所述数据格式从该数据中解析出扫描结果，实现了在网络设备不开放远程连接服务，从而使安全配置核查设备无法基于这些服务以远程的方式对网络设备进行扫描的情况下，由下载设备下载并安装的离线检查设备基于预设的数据格式和Post技术，也可以实现对网络设备的扫描，并能够自动回传扫描结果。
相应的，本发明实施例还提供了一种安全配置核查系统，如图3所示，为该安全配置核查系统的结构示意图，包括：下载设备31、离线检查设备32和安全配置核查设备33，其中，
下载设备31，用于将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中；
离线检查设备32，用于对网络设备进行安全配置扫描，生成扫描结果；根据该扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足上述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据，并以Post方式发送给安全配置核查设备33；
其中，上述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置；
离线检查设备32对网络设备进行安全配置扫描就是扫描该网络设备的配置是否安全，生成的扫描结果中可以但不限于包括：与网络设备的安全配置相关联的安全检查项的检查结果。
考虑到待进行安全配置扫描的网络设备数量较多的情况，扫描结果中还可以进一步包括网络设备标识，以便后续安全配置核查设备能够确定上述检查结果与网络设备之间的对应关系。
可选的，安全检查项可以包括：检测用户缺省访问权限是否符合规范、检测telnet是否限制具备超级管理员权限的用户直接远程登录、检测ssh是否限制具备超级管理员权限的用户直接远程登录、检测采用静态口令认证技术的设备密码长度是否符合规范以及检测采用静态口令认证技术的设备密码生存期是否满足规范等等。扫描结果中包含的网络设备标识可以包括：网络设备的IP地址、对网络设备进行安全配置扫描的扫描日期和对网络设备进行安全配置扫描时利用的扫描模板，其中扫描的网络设备的系统平台不同，所使用的扫描模板也不同，比如：在扫描的网络设备为Windows平台的前提下，就要使用适用于Windows平台的Windows扫描模板；在扫描的网络设备为Linux平台的前提下，就要使用适用于Linux平台的Linux扫描模板。
在执行完扫描后，生成的扫描结果可以是一个xml文件，具体的实现方式与上述实施例中所描述的过程相同，在此不再赘述。
可选的，预先设置的数据格式可以是二次开发接口提供的数据格式规范所规定的，其中二次开发接口是一种开放式的数据格式规范库，该数据格式规范库所提供的数据格式规范中，没有一种标准的数据格式规范，因此一般地，二次开发接口的开发人员可以依据实际场景的需求，自定义符合该需求的数据格式规范。
安全配置核查设备33，用于接收采用Post方式发送的各类数据；并在按照上述数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据第一指定位置解析出扫描结果。
其中，Post方式是采用http协议和服务器进行通信的一种方式，可以实现把一些数据上传到服务器的目的。基于该Post方式，本发明实施例在网络设备不开放smb、ssh或者telnet这些远程连接服务，从而使得安全配置核查设备33无法远程控制离线检查设备32回传扫描结果的场景下，采用上述Post方式传输扫描结果数据可以实现由离线检查设备32自主将扫描结果自动回传到安全配置核查设备33，因此在该场景下同样达到了扫描结果自动回传的目的。
可选的，当扫描结果包括：与网络设备的安全配置相关联的安全检查项的检查结果和网络设备标识时，该安全配置核查设备还可以包括以下功能：
通过解析出的扫描结果，生成安全配置核查结果。
具体的，通过比较该扫描结果中的安全检查项的检查结果与对应于该扫描结果包含的网络设备标识的标准安全配置所规定的安全检查项的检查结果，从该扫描结果中，确定其检查结果与所述标准安全配置所规定的相应的检查结果匹配一致的正常安全检查项，以及其检查结果与所述标准安全配置所规定的相应的检查结果匹配不一致的异常安全检查项；并根据正常安全检查项、异常安全检查项和该扫描结果包含的网络设备标识，生成安全配置核查结果。
可选的，该安全配置核查结果可以但不限于以报表形式存储。
本发明实施例中通过下载设备将离线检查设备安装在网络设备后，离线检查设备根据扫描结果、预先设置的数据格式和扫描结果标识生成扫描结果数据，并以Post方式发送给服务器上的安全配置核查设备，而安全配置核查设备按照所述数据格式对接收到的各类数据进行解析，若解析出数据中包含有扫描结果标识时，则根据所述数据格式从该数据中解析出扫描结果，实现了在网络设备不开放远程连接服务，从而使安全配置核查设备无法基于这些服务以远程的方式对网络设备进行扫描的情况下，由下载设备下载并安装的离线检查设备基于预设的数据格式和Post技术，也可以实现对网络设备的扫描，并能够自动回传扫描结果。
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD‑ROM、光学存储器等）上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

资源描述

《安全配置核查系统和方法.pdf》由会员分享，可在线阅读，更多相关《安全配置核查系统和方法.pdf（17页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102882852 A (43)申请公布日 2013.01.16 C N 1 0 2 8 8 2 8 5 2 A *CN102882852A* (21)申请号 201210322379.9 (22)申请日 2012.09.03 H04L 29/06(2006.01) (71)申请人北京神州绿盟信息安全科技股份有限公司地址 100089 北京市海淀区北洼路4号益泰大厦三层申请人北京神州绿盟科技有限公司 (72)发明人段磊孙建鹏廖新喜周振 (74)专利代理机构北京同达信恒知识产权代理有限公司 11291 代理人郭红丽 (54) 发明名称安全配置核查系统和。

2、方法 (57) 摘要本发明公开了一种安全配置核查系统，解决了现有技术中网络设备在不开放远程连接服务的情况下而无法进行安全配置扫描的问题。包括：下载设备，用于下载离线检查设备安装程序安装在网络设备中；离线检查设备，用于对网络设备进行安全配置扫描；根据生成的扫描结果和预先设置的数据格式和扫描结果标识，生成扫描结果数据，以Post方式发送给安全配置核查设备；安全配置核查设备，用于接收以Post方式发送的各类数据；并在按照所述数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据数据格式，从该数据的第一指定位置解析出扫描结果。本发明。

3、还公开了一种安全配置核查方法。 (51)Int.Cl. 权利要求书2页说明书11页附图3页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 11 页附图 3 页 1/2页 2 1.一种安全配置核查系统，其特征在于，包括：下载设备，用于将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中；离线检查设备，用于对网络设备进行安全配置扫描，生成扫描结果；根据所述扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足所述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据，并以P。

4、ost方式发送给安全配置核查设备；其中，所述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置；安全配置核查设备，用于接收采用Post方式发送的各类数据；并在按照所述数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据的第一指定位置解析出扫描结果。 2.如权利要求1所述的系统，其特征在于，扫描结果包括：与网络设备的安全配置相关联的安全检查项的检查结果和网络设备标识；所述网络设备标识包括：网络设备的IP地址、对网络设备进行安全配置扫描的扫描日期和对网络设备。

5、进行安全配置扫描时利用的扫描模板；则所述安全配置核查设备还用于：针对解析出的每个扫描结果，执行：通过比较该扫描结果中的安全检查项的检查结果与对应于该扫描结果包含的网络设备标识的标准安全配置所规定的安全检查项的检查结果，从该扫描结果中，确定其检查结果与所述标准安全配置所规定的相应的检查结果匹配一致的正常安全检查项，以及其检查结果与所述标准安全配置所规定的相应的检查结果匹配不一致的异常安全检查项；并根据正常安全检查项、异常安全检查项和该扫描结果包含的网络设备标识，生成安全配置核查结果。 3.如权利要求2所述的系统，其特征在于，所述安全配置核查设备还用于：以报表形式存储所述安全配置。

6、核查结果。 4.一种安全配置核查方法，其特征在于，包括：下载设备将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中；离线检查设备对网络设备进行安全配置扫描，生成扫描结果；离线检查设备根据所述扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足所述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据；并以Post方式将扫描结果数据发送给安全配置核查设备；安全配置核查设备接收各类数据；并在按照预先设置的数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格。

7、式，从该数据的第一指定位置解析出扫描结果；其中，所述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置。 5.如权利要求4所述的方法，其特征在于，扫描结果包括：与网络设备的安全配置相关联的安全检查项的检查结果和网络设备标识；所述网络设备标识包括：网络设备的IP地址、对网络设备进行安全配置扫描的扫描日期和对网络设备进行安全配置扫描时利用的扫权利要求书CN 102882852 A 2/2页 3 描模板；则所述方法还包括：安全配置核查设备针对解析出的每个扫描结果，执行：通过比较该扫描结果中的安全检查项的检查结果与对。

8、应于该扫描结果包含的网络设备标识的标准安全配置所规定的安全检查项的检查结果，从该扫描结果中，确定其检查结果与标准安全配置所规定的相应的检查结果匹配一致的正常安全检查项，以及其检查结果与标准安全配置所规定的相应的检查结果匹配不一致的异常安全检查项；并根据正常安全检查项、异常安全检查项和该扫描结果包含的网络设备标识，生成安全配置核查结果。 6.如权利要求5所述的方法，其特征在于，所述方法还包括：安全配置核查设备以报表形式存储所述安全配置核查结果。权利要求书CN 102882852 A 1/11页 4 安全配置核查系统和方法技术领域 0001 本发明涉及网络安全领域，尤其涉及一。

9、种安全配置核查系统和方法。背景技术 0002 随着信息技术的不断发展，网络服务和网络应用也越来越多，承载这些网络服务和网络应用的服务器（或者其他网络设备）的安全性也越来越被人们所重视。据统计，网络服务或应用被非法侵入的原因除了网络设备自身存在漏洞外，更重要的是网络设备的使用者对它们的配置可能存在缺陷。网络设备配置上的缺陷给了黑客以可乘之机，从而使得暴露在网络中的网络设备存在安全隐患。 0003 为了避免网络设备的配置缺陷，网络管理员通常会对网络设备的配置进行核查，对不符合安全配置规范的网络设备进行安全加固。一些安全厂商已经提供了安全软件以供网络管理员对网络设备的配置进行扫描。 0。

10、004 传统上，网络设备的提供商会提供“安全配置规范”，随后，在网络管理员根据该 “安全配置规范”对服务器或者网络设备进行配置的同时，安全厂商提供的安全软件会根据该“安全配置规范”来对该网络设备定制安全配置扫描方案。然后，安全厂商通过这个安全配置扫描方案对网络设备进行安全配置扫描，并将扫描结果通知给网络管理员，进而规范服务器或者网络设备的安全配置。通常，在对网络设备进行安全配置扫描时，扫描结果一般可以包括下述安全检查项中的一项或多项： 0005 用户缺省访问权限是否符合规范、telnet是否限制具备超级管理员权限的用户直接远程登录、ssh是否限制具备超级管理员权限的用户直接远程登录、。

11、采用静态口令认证技术的网络设备密码长度是否符合规范、采用静态口令认证技术的网络设备密码生存期是否满足规范等。 0006 获得上述扫描结果的前提是执行安全配置扫描方案的设备（以下简称扫描执行设备）被分配有针对网络设备的特定权限。然而在实际应用中，一些需要进行安全配置核查的网络设备出于安全考虑，会不允许扫描执行设备远程登录到本地来执行安全配置扫描方案。比如网络设备可以通过禁用smb、ssh或者telnet这些远程连接的服务，来限制扫描执行设备以远程方式进行网络设备的扫描。这样，扫描执行设备便无法对网络设备进行安全配置扫描，导致暴露在网络中的网络设备存在安全隐患。发明内容 0007 。

12、本发明实施例提供一种安全配置核查系统和方法，用以解决现有技术中网络设备在不开放远程连接服务的情况下而无法进行安全配置扫描的问题。 0008 本发明实施例采用以下技术方案： 0009 一种安全配置核查系统，包括： 0010 下载设备，用于将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中；离线检查设备，用于对网络设备进行说明书CN 102882852 A 2/11页 5 安全配置扫描，生成扫描结果；根据所述扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足所述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果。

13、数据，并以Post方式发送给安全配置核查设备；其中，所述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置；安全配置核查设备，用于接收采用Post方式发送的各类数据；并在按照所述数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据的第一指定位置解析出扫描结果。 0011 一种安全配置核查方法，包括： 0012 下载设备将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中；离线检查设备对网络设备进行安全配置扫。

14、描，生成扫描结果；离线检查设备根据所述扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足所述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据；并以Post方式将扫描结果数据发送给安全配置核查设备；安全配置核查设备接收各类数据；并在按照预先设置的数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据的第一指定位置解析出扫描结果；其中，所述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置。 0013 发明实施例的有益效果如下： 00。

15、14 本发明实施例通过下载设备将离线检查设备安装在网络设备后，离线检查设备根据扫描结果、预先设置的数据格式和扫描结果标识生成扫描结果数据，并以Post方式发送给服务器上的安全配置核查设备，而安全配置核查设备按照所述数据格式对接收到的各类数据进行解析，若解析出数据中包含有扫描结果标识时，则根据所述数据格式从该数据中解析出扫描结果，实现了在网络设备不开放远程连接服务，从而使安全配置核查设备无法基于这些服务以远程的方式对网络设备进行扫描的情况下，由下载设备下载并安装的离线检查设备基于预设的数据格式和Post技术，也可以实现对网络设备的扫描，并能够自动回传扫描结果。附图说明 0015 。

16、图1为本发明实施例提出的一种安全配置核查方案的主要流程示意图； 0016 图2为本发明实施例提出的一种安全配置核查方法的流程图； 0017 图3为本发明实施例提出的一种安全配置核查系统的结构示意图。具体实施方式 0018 针对现有技术中网络设备在不开放远程连接服务的情况下而无法进行安全配置扫描的问题，本发明实施例提供了一种安全配置核查系统和方法的方案。通过下载设备将离线检查设备安装在网络设备后，离线检查设备根据扫描结果、预先设置的数据格式和扫描结果标识生成扫描结果数据，并以Post方式发送给服务器上的安全配置核查设备，而安全配置核查设备按照上述预先设置的数据格式对接收到的各类数据进行。

17、解析，若解析出数据中包含扫描结果标识时，则根据所述数据格式从该数据中解析出扫描结果，实现了在网说明书CN 102882852 A 3/11页 6 络设备不开放远程连接服务，从而使安全配置核查设备无法基于这些服务以远程的方式对网络设备进行扫描的情况下，由下载设备下载并安装的离线检查设备基于预设的数据格式和POST技术，也可以实现对网络设备的扫描，并能够自动回传扫描结果。 0019 下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。 0020 如图1所示，为本发明实施例提供的一种安全配置核查方案的主要流程示意图，具体步骤包括。

18、： 0021 步骤11，下载设备将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备； 0022 本发明实施例中所述的离线检查设备一般为由软件实现其功能的虚拟设备。具体的，离线检查设备可以是由安全配置核查设备提供的可供下载的可执行程序。在网络设备没有开放远程连接服务的情况下，需要下载设备从安全配置核查系统（BVS）中下载离线检查设备安装程序，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中。同时这个下载的安装程序中也可以包含上述安全配置核查系统的IP地址，这样当离线检查设备执行完扫描操作以后，就可以根据IP地址将扫描结。

19、果发送到该IP地址对应的安全配置核查设备上。 0023 步骤12，离线检查设备对网络设备进行安全配置扫描，生成扫描结果； 0024 其中，对网络设备进行安全配置扫描就是扫描该网络设备的配置是否安全，生成的扫描结果中可以但不限于包括：与网络设备的安全配置相关联的安全检查项的检查结果。 0025 考虑到待进行安全配置扫描的网络设备数量较多的情况，扫描结果中还可以进一步包括网络设备标识，以便后续安全配置核查设备能够确定上述检查结果与网络设备之间的对应关系。 0026 步骤13，离线检查设备根据上述扫描结果、预先设置的数据格式和预先针对扫描结果设置的扫描结果标识，生成满足上述数据格式、且至。

20、少包含扫描结果和扫描结果标识的扫描结果数据； 0027 其中，上述的数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，也规定了扫描结果标识在扫描结果数据中所处的第二指定位置。 0028 可选的，预先设置的数据格式可以是二次开发接口提供的数据格式规范所规定的，其中二次开发接口是一种开放式的数据格式规范库，该数据格式规范库所提供的数据格式规范中，没有一种标准的数据格式规范，因此一般地，二次开发接口的开发人员可以依据实际场景的需求，自定义符合该需求的数据格式规范。 0029 步骤14，离线检查设备以Post方式将扫描结果数据发送给安全配置核查设备； 0030 其中，Post方式是采。

21、用http协议和服务器进行通信的一种方式，可以实现把一些数据上传到服务器的目的。基于该Post方式，本发明实施例在网络设备不开放smb、ssh或者telnet这些远程连接服务，从而使得安全配置核查设备无法远程控制离线检查设备回传扫描结果的场景下，采用上述Post方式传输扫描结果数据可以实现由离线检查设备自主将扫描结果自动回传到安全配置核查设备，因此在该场景下同样达到了扫描结果自动回传的目的。说明书CN 102882852 A 4/11页 7 0031 其中，smb(Server Message Block)是协议名，被用于Warp连接和客户端与服务器之间的信息沟通；ssh（S。

22、ecure Shell）为远程登录会话和其他网络服务提供安全性的协议，能够有效防止远程管理过程中的信息泄露问题；而telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式，它为用户提供在本地计算机上完成远程主机工作的能力，是常用的远程控制Web服务器的方法。 0032 步骤15，安全配置核查设备接收通过Post方式发送来的各类数据，其中，这些数据中可以包含上述离线检查设备发送的包含有扫描结果和扫描结果标识的数据； 0033 步骤16，安全配置核查设备在按照上述步骤13中的预先设置的数据格式，判断接收到的数据中是否包含扫描结果标识，若接收到的数据。

23、中包含扫描结果标识则执行步骤 17，否则执行步骤15； 0034 步骤17，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据的第一指定位置解析出扫描结果； 0035 可选的，当扫描结果包括：与网络设备的安全配置相关联的安全检查项的检查结果和网络设备标识时，该方案还可以包括以下步骤： 0036 步骤18，通过解析出的扫描结果，生成安全配置核查结果。 0037 具体的，通过比较该扫描结果中的安全检查项的检查结果与对应于该扫描结果包含的网络设备标识的标准安全配置所规定的安全检查项的检查结果，从该扫描结果中，确定其检查结果与标准安全配。

24、置所规定的相应的检查结果匹配一致的正常安全检查项，以及其检查结果与标准安全配置所规定的相应的检查结果匹配不一致的异常安全检查项； 0038 根据正常安全检查项、异常安全检查项和该扫描结果包含的网络设备标识，生成安全配置核查结果。 0039 本发明实施例通过下载设备将离线检查设备安装在网络设备后，离线检查设备根据扫描结果、预先设置的数据格式和扫描结果标识生成扫描结果数据，并以Post方式发送给服务器上的安全配置核查设备，而安全配置核查设备按照所述数据格式对接收到的各类数据进行解析，若解析出数据中包含有扫描结果标识时，则根据所述数据格式从该数据中解析出扫描结果，实现了在网络设备不开放远。

25、程连接服务，从而使安全配置核查设备无法基于这些服务以远程的方式对网络设备进行扫描的情况下，由下载设备下载并安装的离线检查设备基于预设的数据格式和Post技术，也可以实现对网络设备的扫描，并能够自动回传扫描结果。 0040 下面将依据本发明上述发明原理，详细介绍一个实施例来对本发明方法的主要实现原理进行阐述和说明。 0041 本发明实施例提供的一种安全配置核查方法，应用于在网络设备不开放smb、ssh 或者telnet这些远程连接服务的场景下。如图2所示，为该安全配置核查方法流程图，具体包括以下步骤： 0042 步骤21，下载设备将离线检查设备安装程序下载到网络设备，并通过运行该离线。

26、检查设备安装程序，将离线检查设备安装在网络设备； 0043 本发明实施例中所述的离线检查设备一般为由软件实现其功能的虚拟设备。具体的，离线检查设备可以是由安全配置核查设备提供的可供下载的可执行程序。在网络设备没有开放远程连接服务的情况下，需要下载设备从安全配置核查系统（BVS）中下载离线检说明书CN 102882852 A 5/11页 8 查设备安装程序，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中。同时这个下载的安装程序中也可以包含上述安全配置核查系统的IP地址，这样当离线检查设备执行完扫描操作以后，就可以根据IP地址将扫描结果发送到该IP地址对应的安全配。

27、置核查设备上。 0044 步骤22，离线检查设备对网络设备进行安全配置扫描，生成扫描结果； 0045 其中，对网络设备进行安全配置扫描就是扫描该网络设备的配置是否安全，生成的扫描结果中可以但不限于包括：与网络设备的安全配置相关联的安全检查项的检查结果。 0046 考虑到待进行安全配置扫描的网络设备数量较多的情况，扫描结果中还可以进一步包括网络设备标识，以便后续安全配置核查设备能够确定上述检查结果与网络设备之间的对应关系。 0047 可选的，安全检查项可以包括：检测用户缺省访问权限是否符合规范、检测 telnet是否限制具备超级管理员权限的用户直接远程登录、检测ssh是否限制具备超级管。

28、理员权限的用户直接远程登录、检测采用静态口令认证技术的设备密码长度是否符合规范以及检测采用静态口令认证技术的设备密码生存期是否满足规范等等。扫描结果中包含的网络设备标识可以包括：网络设备的IP地址、对网络设备进行安全配置扫描的扫描日期和对网络设备进行安全配置扫描时利用的扫描模板，其中扫描的网络设备的系统平台不同，所使用的扫描模板也不同，比如：在扫描的网络设备为Windows平台的前提下，就要使用适用于Windows平台的Windows扫描模板；在扫描的网络设备为Linux平台的前提下，就要使用适用于Linux平台的Linux扫描模板。 0048 在执行完扫描后，生成的扫描结果可以但。

29、不限于是一个xml文件，例如得到的xml 文件的具体格式如下： 0049 0050 说明书CN 102882852 A 6/11页 9 0051 上述的xml文件中，每个item节点对应的就是一个安全检查项，而valuename节点对应的是关于这个安全检查项的描述信息，Ture或False是这个安全检查项的检查结果。而xml文件中的“”就是网络设备标识，“ip:1.1.1.1”为网络设备的IP地址，“time:2011-1-1”为对该网络设备进行安全配置扫描的扫描日期，“template=windows”为对网络设备进行安全配置扫描时利用的扫描模板，通过在扫描结果中记录这些网络设。

30、备标识，使得后续可以清楚明了的核查到与 IP地址唯一对应的该扫描设备在某个时间点的安全配置状态的情况。 0052 步骤23，离线检查设备根据上述扫描结果、预先设置的数据格式和预先针对扫描结果设置的扫描结果标识，生成满足上述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据； 0053 可选的，预先设置的数据格式可以是二次开发接口提供的数据格式规范所规定的，其中二次开发接口是一种开放式的数据格式规范库，该数据格式规范库所提供的数据格式规范中，没有一种标准的数据格式规范，因此一般地，二次开发接口的开发人员可以依据实际场景的需求，自定义符合该需求的数据格式规范。本发明实施例中预先设置。

31、的数据格式可以如下所示： 0054 0055 说明书CN 102882852 A 7/11页 10 0056 其中，上述的数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，即扫描结果处于上述节点位置下，上述的数据格式也规定了扫描结果标识在扫描结果数据中所处的第二指定位置，节点sendData即为扫描结果标识。 0057 还以上述扫描结果为xml文件为例，在生成扫描结果数据时，首先将存储扫描结果的xml文件的内容取出来，放在上述预设的节点下，如下所示： 0058 0059 说明书CN 102882852 A 10 8/11页 11 0060 至此，生成满足上述预先设置的数。

32、据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据。 0061 步骤24，离线检查设备以Post方式将扫描结果数据发送给安全配置核查设备。 0062 其中，Post方式是采用http协议和服务器进行通信的一种方式，可以实现把一些数据上传到服务器的目的。基于该Post方式，本发明实施例在网络设备不开放smb、ssh或者telnet这些远程连接服务，从而使得安全配置核查设备无法远程控制离线检查设备回传扫描结果的场景下，采用上述Post方式传输扫描结果数据可以实现由离线检查设备自主将扫描结果自动回传到安全配置核查设备，因此在该场景下同样达到了扫描结果自动回传的目的。 0063 步骤2。

33、5，安全配置核查设备接收通过Post方式发送来的各类数据。说明书CN 102882852 A 11 9/11页 12 0064 步骤26，在按照预先设置的数据格式，从接收的数据第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据第一指定位置解析出扫描结果。 0065 其中，预先设置的数据格式与上述步骤22中预先设置的数据格式相同，在此不再进行赘述。 0066 若从接收到的数据中的第二指定位置解析出了扫描结果标识，即节点 sendData，说明收到的数据为扫描结果数据，则再从该数据中的第一指定位置，即节点位置下将扫描结果取出。 0067 可。

34、选的，当扫描结果包括：与网络设备的安全配置相关联的安全检查项的检查结果和网络设备标识时，该方法还可以包括以下步骤： 0068 步骤27，通过解析出的扫描结果，生成安全配置核查结果。 0069 具体的，通过比较该扫描结果中的安全检查项的检查结果与对应于该扫描结果包含的网络设备标识的标准安全配置所规定的安全检查项的检查结果，从该扫描结果中，确定其检查结果与标准安全配置所规定的相应的检查结果匹配一致的正常安全检查项，以及其检查结果与标准安全配置所规定的相应的检查结果匹配不一致的异常安全检查项； 0070 根据正常安全检查项、异常安全检查项和该扫描结果包含的网络设备标识，生成安全配置核查结果。

35、。 0071 可选的，该安全配置核查结果可以但不限于以报表形式存储。 0072 本发明实施例通过下载设备将离线检查设备安装在网络设备后，离线检查设备根据扫描结果、预先设置的数据格式和扫描结果标识生成扫描结果数据，并以Post方式发送给服务器上的安全配置核查设备，而安全配置核查设备按照所述数据格式对接收到的各类数据进行解析，若解析出数据中包含有扫描结果标识时，则根据所述数据格式从该数据中解析出扫描结果，实现了在网络设备不开放远程连接服务，从而使安全配置核查设备无法基于这些服务以远程的方式对网络设备进行扫描的情况下，由下载设备下载并安装的离线检查设备基于预设的数据格式和Post技术，也。

36、可以实现对网络设备的扫描，并能够自动回传扫描结果。 0073 相应的，本发明实施例还提供了一种安全配置核查系统，如图3所示，为该安全配置核查系统的结构示意图，包括：下载设备31、离线检查设备32和安全配置核查设备33，其中， 0074 下载设备31，用于将离线检查设备安装程序下载到网络设备，并通过运行该离线检查设备安装程序，将离线检查设备安装在网络设备中； 0075 离线检查设备32，用于对网络设备进行安全配置扫描，生成扫描结果；根据该扫描结果、预先设置的数据格式和针对扫描结果设置的扫描结果标识，生成满足上述数据格式、且至少包含扫描结果和扫描结果标识的扫描结果数据，并以Post方式。

37、发送给安全配置核查设备33； 0076 其中，上述数据格式规定了扫描结果在扫描结果数据中所处的第一指定位置，并规定了扫描结果标识在扫描结果数据中所处的第二指定位置； 0077 离线检查设备32对网络设备进行安全配置扫描就是扫描该网络设备的配置是否安全，生成的扫描结果中可以但不限于包括：与网络设备的安全配置相关联的安全检查项说明书CN 102882852 A 12 10/11页 13 的检查结果。 0078 考虑到待进行安全配置扫描的网络设备数量较多的情况，扫描结果中还可以进一步包括网络设备标识，以便后续安全配置核查设备能够确定上述检查结果与网络设备之间的对应关系。 0079 可。

38、选的，安全检查项可以包括：检测用户缺省访问权限是否符合规范、检测 telnet是否限制具备超级管理员权限的用户直接远程登录、检测ssh是否限制具备超级管理员权限的用户直接远程登录、检测采用静态口令认证技术的设备密码长度是否符合规范以及检测采用静态口令认证技术的设备密码生存期是否满足规范等等。扫描结果中包含的网络设备标识可以包括：网络设备的IP地址、对网络设备进行安全配置扫描的扫描日期和对网络设备进行安全配置扫描时利用的扫描模板，其中扫描的网络设备的系统平台不同，所使用的扫描模板也不同，比如：在扫描的网络设备为Windows平台的前提下，就要使用适用于Windows平台的Window。

39、s扫描模板；在扫描的网络设备为Linux平台的前提下，就要使用适用于Linux平台的Linux扫描模板。 0080 在执行完扫描后，生成的扫描结果可以是一个xml文件，具体的实现方式与上述实施例中所描述的过程相同，在此不再赘述。 0081 可选的，预先设置的数据格式可以是二次开发接口提供的数据格式规范所规定的，其中二次开发接口是一种开放式的数据格式规范库，该数据格式规范库所提供的数据格式规范中，没有一种标准的数据格式规范，因此一般地，二次开发接口的开发人员可以依据实际场景的需求，自定义符合该需求的数据格式规范。 0082 安全配置核查设备33，用于接收采用Post方式发送的各类数据；。

40、并在按照上述数据格式，从接收的数据的第二指定位置解析出扫描结果标识时，针对包含有扫描结果标识的数据执行：根据所述数据格式，从该数据第一指定位置解析出扫描结果。 0083 其中，Post方式是采用http协议和服务器进行通信的一种方式，可以实现把一些数据上传到服务器的目的。基于该Post方式，本发明实施例在网络设备不开放smb、ssh或者telnet这些远程连接服务，从而使得安全配置核查设备33无法远程控制离线检查设备 32回传扫描结果的场景下，采用上述Post方式传输扫描结果数据可以实现由离线检查设备32自主将扫描结果自动回传到安全配置核查设备33，因此在该场景下同样达到了扫描结果。

41、自动回传的目的。 0084 可选的，当扫描结果包括：与网络设备的安全配置相关联的安全检查项的检查结果和网络设备标识时，该安全配置核查设备还可以包括以下功能： 0085 通过解析出的扫描结果，生成安全配置核查结果。 0086 具体的，通过比较该扫描结果中的安全检查项的检查结果与对应于该扫描结果包含的网络设备标识的标准安全配置所规定的安全检查项的检查结果，从该扫描结果中，确定其检查结果与所述标准安全配置所规定的相应的检查结果匹配一致的正常安全检查项，以及其检查结果与所述标准安全配置所规定的相应的检查结果匹配不一致的异常安全检查项；并根据正常安全检查项、异常安全检查项和该扫描结果包含的网络。

42、设备标识，生成安全配置核查结果。 0087 可选的，该安全配置核查结果可以但不限于以报表形式存储。 0088 本发明实施例中通过下载设备将离线检查设备安装在网络设备后，离线检查设备说明书CN 102882852 A 13 11/11页 14 根据扫描结果、预先设置的数据格式和扫描结果标识生成扫描结果数据，并以Post方式发送给服务器上的安全配置核查设备，而安全配置核查设备按照所述数据格式对接收到的各类数据进行解析，若解析出数据中包含有扫描结果标识时，则根据所述数据格式从该数据中解析出扫描结果，实现了在网络设备不开放远程连接服务，从而使安全配置核查设备无法基于这些服务以远程的方式。

43、对网络设备进行扫描的情况下，由下载设备下载并安装的离线检查设备基于预设的数据格式和Post技术，也可以实现对网络设备的扫描，并能够自动回传扫描结果。 0089 本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。 0090 本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和或方框图来描。

44、述的。应理解可由计算机程序指令实现流程图和或方框图中的每一流程和或方框、以及流程图和或方框图中的流程和或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和或方框图一个方框或多个方框中指定的功能的装置。 0091 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和或。

45、方框图一个方框或多个方框中指定的功能。 0092 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和或方框图一个方框或多个方框中指定的功能的步骤。 0093 尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。 0094 显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。说明书CN 102882852 A 14 1/3页 15 图1 说明书附图CN 102882852 A 15 2/3页 16 图2 说明书附图CN 102882852 A 16 3/3页 17 图3 说明书附图CN 102882852 A 17 。

展开阅读全文