一种安全基线系统及其实现安全检查的方法.pdf

摘要
申请专利号：	CN201310146261.X	申请日：	2013.04.24
公开号：	CN104125197A	公开日：	2014.10.29
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20130424\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	阿里巴巴集团控股有限公司
发明人：	郭锐
地址：	英属开曼群岛大开曼资本大厦一座四层847号邮箱
优先权：
专利代理机构：	北京安信方达知识产权代理有限公司 11262	代理人：	解婷婷;栗若木
PDF下载：	PDF下载

内容摘要

本申请公开了一种安全基线系统及其实现安全检查的方法，包括漏洞信息获取单元主动获取漏洞信息；联动处理单元根据获得的漏洞信息确定目标设备，并生成检查信息；安全检查是单元按照生成的检查信息对目标设备进行安全检查。本申请通过主动方式积极地获取新发现的漏洞信息，适应了互联网领域这种变化比较丰富的网络，从而做到了对新发现的漏洞进行实时响应。进一步地，本申请通过按照用户的定制请求，建立用户安全基线库，允许用户调用自身定制的安全规则对系统进行安全检查，从而满足了安全检查的可定制需求。

权利要求书

1.  一种安全基线系统，其特征在于，包括：漏洞信息获取单元、联动处理单元，以及安全检查单元；其中，
漏洞信息获取单元，用于主动获取漏洞信息，并将获得的漏洞信息输出给联动处理单元；
联动处理单元，用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备，生成检查信息并推送给安全检查单元；
安全检查单元，用于根据接收到的来自联动处理单元的检查信息，调用自身存储有的安全基线库，对目标设备进行安全检查。

2.  根据权利要求1所述的安全基线系统，其特征在于，所述安全基线系统，还用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。

3.  根据权利要求1或2所述的安全基线系统，其特征在于，所述漏洞信息获取单元包括：一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本；
和/或用于主动上报漏洞信息的漏洞检测平台。

4.  根据权利要求1或2所述的安全基线系统，其特征在于，所述联动处理单元包括联动接口，及预先设置的资产信息库；其中，
联动接口，用于以所述漏洞信息为索引，在资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息，并推送给所述安全检查单元。

5.  根据权利要求1所述的安全基线系统，其特征在于，所述安全检查单元包括安全基线库、安全检查系统，以及用于存储检查结果的存储空间；其中，
安全检查系统，用于根据接收到的所述检查信息中的基线模板标识，调用安全基线库中对应的基线模板对所述目标设备进行检查，同时将检查结果保存在存储空间。

6.  根据权利要求5所述的安全基线系统，其特征在于，所述安全检查单元还包括告警模块，和/或结果展示模块；其中，
告警模块，用于对检查结果进行告警；结果展示模块，用于输出检查结果。

7.  根据权利要求6所述的安全基线系统，其特征在于，所述安全检查系统，具体用于根据调用的所述基线模板中的安全规则，将目标设备的所述检查信息中的指定参数值与标准值进行比对，如果一致，表明检查结果为目标设备安全；如果不一致，表明检查结果为目标设备存在漏洞；
保存得到的检查结果，在目标设备存在漏洞时，通知告警模块和/或结果展示模块；
所述告警模块进行告警，和/或结果展示模块输出检查结果。

8.  根据权利要求6所述的安全基线系统，其特征在于，所述安全检查单元中还包括：检查控制平台，用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。

9.  根据权利要求8所述的安全基线系统，其特征在于，当所述安全基线库包括系统安全基线库和用户安全基线库时，
所述安全检查系统，还用于判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，判断用户安全规则是否安全，并在该用户安全规则安全时，对所述目标设备进行安全检查；
如果判断出被调用的所述基线模板中的安全规则中仅包含有系统安全规则，则直接对所述目标设备进行安全检查。

10.  一种安全基线系统实现安全检查的方法，其特征在于，包括：主动获取漏洞信息；根据获得的漏洞信息确定目标设备，并生成检查信息；
按照生成的检查信息对目标设备进行安全检查。

11.  根据权利要求10所述的方法，其特征在于，所述获取漏洞信息包括：从不同的漏洞检查发布网站定期获取、和/或由漏洞检测平台主动上报。

12.  根据权利要求10所述的方法，其特征在于，所述获取漏洞信息为从不同的漏洞检查发布网站定期获取；
所述定期获取包括：按照预先设置固定的时间与频率获取；或者，按照根据不同网站更新的时间、频率设置不同的获取时间与频率来获取；或者，网站更新触发获取。

13.  根据权利要求12所述的方法，其特征在于，所述获取包括：主动抓取；或者，分析网站的网络摘要RSS文件而获得；或者，通过网站提供数据接口访问获得。

14.  根据权利要求10所述的方法，其特征在于，所述获取漏洞信息为：由漏洞检测平台主动上报；
所述主动上报包括：所述漏洞检测平台实时、或定期上报新发现的漏洞。

15.  根据权利要求10所述的方法，其特征在于，预先设置的资产信息库；所述确定目标设备并生成检查信息包括：
以所述漏洞信息为索引，在资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为检查目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息。

16.  根据权利要求15所述的方法，其特征在于，所述漏洞信息分为漏洞概要信息与漏洞详细信息；所述确定目标设备具体包括：
以所述漏洞概要信息为索引，在所述资产信息库中查询可能受影响的设备：如果查询结果不为空，则查询结果为目标设备；如果查询结果为空，目标设备为全网设备。

17.  根据权利要求10所述的方法，其特征在于，所述按照生成的检查信息对目标设备进行安全检查包括：
根据所述检查信息中的基线模板标识，调用预先设置的安全基线库中对应的基线模板对目标设备进行检查，同时保存检查结果。

18.  根据权利要求17所述的方法，其特征在于，该方法还包括：输出检查结果。

19.  根据权利要求17或18所述的方法，其特征在于，所述调用基线模板对目标设备进行检查包括：根据调用的所述基线模板中的安全规则，将所述目标设备的检查信息中的指定参数值与标准值进行比对，如果一致，检查结果为目标设备安全；如果不一致，检查结果为目标设备存在漏洞。

20.  根据权利要求10所述的方法，其特征在于，该方法还包括：按照用户的定制请求，将用户输入的用户安全规则存储在用户安全基线库中。

21.  根据权利要求20所述的方法，其特征在于，该方法还包括：对所述用户安全规则进行权限的设置，使其对指定用户公开。

22.  根据权利要求17所述的方法，其特征在于，所述安全基线库包括系统安全基线库和用户安全基线库；该方法还包括：
判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，判断用户安全规则是否安全，并在该用户安全规则安全时，对所述目标设备进行安全检查；
如果被调用的所述基线模板中的安全规则中仅包含有系统安全规则，则直接对所述目标设备进行安全检查。

23.  根据权利要求22所述的方法，其特征在于，所述判断用户安全规则是否安全包括：通过设置危险命令库、和/或设置沙箱方式实现。

说明书

一种安全基线系统及其实现安全检查的方法
技术领域
本申请涉及网络安全技术，尤指一种安全基线系统及其实现安全检查的方法。
背景技术
随着互联网对社会的影响日益深入，安全事件发生后给人们带来的损失也日益严重。安全运维人员和管理者越来越希望通过制定安全规范、对全网设备进行安全检查，以便在安全事件发生之前对其进行阻断。安全基线便是即有安全规范，对全网设备进行合规性检查的产品。其中，安全基线，是指一个信息系统的最小安全保证，即该信息系统需要满足的最基本的安全要求，在工程领域中，安全基线多指确保信息系统满足最小安全保证的安全产品。安全规范，是指为了确保通信网络上的相关设备达到最基本的防护能力要求而制定的一系列达标基准，是一套统一的安全设置指标。
美国国家标准和技术研究所(NIST)提出的安全内容自动化协议(SCAP，Security Content Automation Protocol)框架中，包含检查的标准、一致性标准等6个支撑标准，其检查内容及检查方式由国家漏洞数据库(NVD，National Vulnerability Database)和网络控制协议(NCP，Network Control Protocol)来提供。由此，SCAP框架便形成了一套针对系统的、标准化的、自动化的安全基线。
现有的安全基线产品均以此为框架进行设计，主要由安全基线库(规则化的安全规范)和安全检查系统组成，其中，安全检查系统根据安全基线库里的规则对网络设备、服务器、中间件、数据库，以及文件系统、进程、服务和网络端口等进行标准化检查。
目前，安全基线多用于电信运营企业。应用在电信运营企业的安全基线产品，根据工信部和企业的要求、参照其网络所有设备的配置手册制定安全规范并将其规则化，形成安全基线库，安全检查系统根据安全基线库，对全网进行标准化安全检查。由于电信运营领域安全规范相对固定、业务需求单一，安全基线实现时主要关注于标准化、自动化。然而，在互联网领域，各层面的漏洞频发，需要及时更新安全规范；各个业务线的安全需求不同，也需要提供可定制安全检查。其中，业务线，是指实现特定功能的互联网产品。
因此，对于象互联网领域这种变化比较丰富的网络来讲，现有安全基线产品的存在以下不足：安全基线库相对固定，无法对新发现的漏洞进行实时响应；业务人员也无法根据业务需求进行定制化的安全检查。
发明内容
为了解决上述技术问题，本申请提供了一种安全基线系统及其实现安全检查的方法，能够灵活地、实时地对网络进行安全检查，及时发现漏洞，更好地保障网络安全。
为了达到本申请目的，本申请提供一种安全基线系统，至少包括：漏洞信息获取单元、联动处理单元，以及安全检查单元；其中，
漏洞信息获取单元，用于主动获取漏洞信息，并将获得的漏洞信息输出给联动处理单元；
联动处理单元，用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备，生成检查信息并推送给安全检查单元；
安全检查单元，用于根据接收到的来自联动处理单元的检查信息，调用自身存储有的安全基线库，对目标设备进行安全检查。
所述安全基线系统，还用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。
所述漏洞信息获取单元包括：一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本；
和/或用于主动上报漏洞信息的漏洞检测平台。
所述联动处理单元包括联动接口，及预先设置的资产信息库；其中，
联动接口，用于以所述漏洞信息为索引，在资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息，并推送给所述安全检查单元。
所述安全检查单元包括安全基线库、安全检查系统，以及用于存储检查结果的存储空间；其中，
安全检查系统，用于根据接收到的所述检查信息中的基线模板标识，调用安全基线库中对应的基线模板对所述目标设备进行检查，同时将检查结果保存在存储空间。
所述安全检查单元还包括告警模块，和/或结果展示模块；其中，告警模块，用于对检查结果进行告警；结果展示模块，用于输出检查结果。
所述安全检查系统，具体用于根据调用的所述基线模板中的安全规则，将目标设备的所述检查信息中的指定参数值与标准值进行比对，如果一致，表明检查结果为目标设备安全；如果不一致，表明检查结果为目标设备存在漏洞；
保存得到的检查结果，在目标设备存在漏洞时，通知告警模块和/或结果展示模块；
所述告警模块进行告警，和/或结果展示模块输出检查结果。
所述安全检查单元中还包括：检查控制平台，用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。
当所述安全基线库包括系统安全基线库和用户安全基线库时，所述安全检查系统，还用于判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，判断用户安全规则是否安全，并在该用户安全规则安全时，对所述目标设备进行安全检查；
如果判断出被调用的所述基线模板中的安全规则中仅包含有系统安全规则，则直接对所述目标设备进行安全检查。
本申请还提供一种安全基线系统实现安全检查的方法，包括：主动获取漏洞信息；根据获得的漏洞信息确定目标设备，并生成检查信息；
按照生成的检查信息对目标设备进行安全检查。
所述获取漏洞信息包括：从不同的漏洞检查发布网站定期获取、和/或由漏洞检测平台主动上报。
所述获取漏洞信息为从不同的漏洞检查发布网站定期获取；
所述定期获取包括：按照预先设置固定的时间与频率获取；或者，按照根据不同网站更新的时间、频率设置不同的获取时间与频率来获取；或者，网站更新触发获取。
所述获取包括：主动抓取；或者，分析网站的网络摘要RSS文件而获得；或者，通过网站提供数据接口访问获得。
所述获取漏洞信息为：由漏洞检测平台主动上报；
所述主动上报包括：所述漏洞检测平台实时、或定期上报新发现的漏洞。
预先设置的资产信息库；所述确定目标设备并生成检查信息包括：
以所述漏洞信息为索引，在资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为检查目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息。
所述漏洞信息分为漏洞概要信息与漏洞详细信息；所述确定目标设备具体包括：以所述漏洞概要信息为索引，在所述资产信息库中查询可能受影响的设备：如果查询结果不为空，则查询结果为目标设备；如果查询结果为空，目标设备为全网设备。
所述按照生成的检查信息对目标设备进行安全检查包括：
根据所述检查信息中的基线模板标识，调用预先设置的安全基线库中对应的基线模板对目标设备进行检查，同时保存检查结果。
该方法还包括：输出检查结果。
所述调用基线模板对目标设备进行检查包括：根据调用的所述基线模板中的安全规则，将所述目标设备的检查信息中的指定参数值与标准值进行比对，如果一致，检查结果为目标设备安全；如果不一致，检查结果为目标设备存在漏洞。
该方法还包括：按照用户的定制请求，将用户输入的用户安全规则存储在用户安全基线库中。
该方法还包括：对所述用户安全规则进行权限的设置，使其对指定用户公开。
所述安全基线库包括系统安全基线库和用户安全基线库；该方法还包括：
判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，判断用户安全规则是否安全，并在该用户安全规则安全时，对所述目标设备进行安全检查；
如果被调用的所述基线模板中的安全规则中仅包含有系统安全规则，则直接对所述目标设备进行安全检查。
所述判断用户安全规则是否安全包括：通过设置危险命令库、和/或设置沙箱方式实现。
本申请提供的方案包括漏洞信息获取单元主动获取漏洞信息；联动处理单元根据获得的漏洞信息确定目标设备，并生成检查信息；安全检查是单元按照生成的检查信息对目标设备进行安全检查。本申请通过主动方式积极地获取新发现的漏洞信息，适应了互联网领域这种变化比较丰富的网络，从而做到了对新发现的漏洞进行实时响应。进一步地，本申请通过按照用户的定制请求，建立用户安全基线库，允许用户调用自身定制的安全规则对系统进行安全检查，从而满足了安全检查的可定制需求。与现有技术相比，本申请安全基线系统除了具有标准化、自动化特性外，还具有主动性、及时性、可定制性以及与其它安全产品的联动性，满足了互联网领域应用的需求。
本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本申请技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。
图1为本申请安全基线系统的组成结构示意图；
图2为本申请安全基线系统实现安全检查的方法的流程图；
图3为本申请安全基线系统的实施例的组成结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白，下文中将结合附图对本申请的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。
在本申请一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
图1为本申请安全基线装置的组成结构示意图，如图1所示，至少包括：漏洞信息获取单元、联动处理单元，以及安全检查单元，其中，
漏洞信息获取单元，用于主动获取漏洞信息，并将获得的漏洞信息输出给联动处理单元。新发现的漏洞包括从不同的漏洞监测与发布网站定期获取、和/或由漏洞检测平台主动上报。具体地，如图3所示，
包括一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本；和/或用于主动上报漏洞信息的漏洞检测平台。
联动处理单元，用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备，生成检查信息并推送给安全检查单元。具体地，如图3所示，
联动处理单元包括联动接口，以及资产信息库。其中，资产信息库用于保存网络层信息如IP地址、域名、路由等；系统层信息如操作系统类型、版本等；应用层信息如软件名称、软件版本、软件配置、产品线信息、人员信息等；以及设备信息如设备标识等。
联动接口，具体用于以漏洞信息为索引，在预先设置的资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板(即安全基线库中不同安全规则)的基线模板标识组装生成检查信息，并推送给安全检查单元。其中，基线模板与基线模版标识的对应关系可以是约定的对应规则，也可以是预先定义好的对应关系表具体实现属于本领域技术人员的惯用技术手段，这里不再赘述。
安全检查单元，用于根据接收到的来自联动处理单元的检查信息，调用自身存储有的安全基线库，对目标设备进行安全检查。具体地，如图3所示，
包括安全基线库、安全检查系统，以及用于存储检查结果的存储空间、告警模块及结果展示模块，其中，
安全检查系统，用于根据接收到的检查信息中的基线模板标识，调用安全基线库中对应的基线模板对目标设备进行检查，同时将检查结果保存在村写出空间，还可以通过告警模块和/或结果展示模块输出检查结果如告警。具体地，安全检查系统根据调用的基线模板中的安全规则，将目标设备的检查信息中的指定参数值与标准值进行比对，如果一致，检查结果为目标设备安全；如果不一致，检查结果为目标设备存在漏洞。之后，安全检查单元保存得到的检查结果，在目标设备存在漏洞时，进行告警处理，比如通过短信、邮件、即时消息等进行告警。
进一步，安全检查单元中还包括检查控制平台，用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。本申请中，对原有安全基线库进行扩充，将其分为系统安全基线库和用户安全基线库。其中，系统安全基线库，用于存储统一、通用的系统安全规则；用户安全基线库，用于存储用户自定制的用户安全规则。本申请的安全基线系统通过允许用户调用自身定制的安全规则对系统进行安全检查，从而满足了安全检查的可定制需求。
当安全基线库包括系统安全基线库和用户安全基线库时，用户可以选择的安全规则包括：系统安全基线库中的系统安全规则、用户自己定制用户安全基线库中的用户安全规则、以及共享给用户的用户安全规则。在用户需要调用安全基线库时，
安全检查系统，还用于判断调用的基线模板中的安全规则中是否包含有用户安全规则，如果有，进一步判断用户安全规则是否安全。若该用户安全规则安全，则对目标设备进行安全检查；
如果判断出被调用的安全规则中仅包含有系统安全规则，则直对目标设备进行发安全检查。
进一步地，如果判断出该用户安全规则不安全，则不对目标设备进行安全检查，并将是由于用户安全规则不安全而导致不做安全检查的原因存入数据库中。
图2为本申请安全基线系统实现安全检查的方法的流程图，下面结合图2，对本申请系统及方法进行详细描述。
如图2所示，本申请方法包括以下步骤：
步骤200：主动获取漏洞信息。
本步骤中，新发现的漏洞信息可以包括从不同的漏洞检查发布网站定期获取、和/或由漏洞检测平台主动上报。其中，
从不同的漏洞监测与发布网站定期获取包括：漏洞信息获取单元定期主动从漏洞监测与发布网站获取最新的漏洞信息。其中，定期的形式可以是但不限于：预先设置固定的时间与频率；或者，根据不同网站更新的时间、频率设置不同的获取时间与频率；或者，网站更新触发获取动作等。获取漏洞监测与发布网站信息的方式可以是但不限于：主动抓取；或者，分析网站的网络摘要(RSS)文件而获得；或者，网站提供数据接口访问获得等。
由漏洞检测平台主动上报包括：漏洞检测平台实时或定期将新发现的漏洞上报给漏洞信息获取单元。其中漏洞检测平台可以通过扫描日志、扫描代码、或人工提供等方式来获取漏洞。
本步骤中，关于获取漏洞的具体实现方法是本领域技术人员可以灵活采用现有技术实现的，其具体实现方法并不属于本申请的保护范围，也不用于限定本申请的保护范围。本申请强调的是，通过主动方式积极地获取新发现的漏洞信息，以适应互联网领域这种变化比较丰富的网络，从而做到对新发现的漏洞进行实时响应。
步骤201：根据获得的漏洞信息确定目标设备，并生成检查信息。
具体包括：联动处理单元以漏洞信息为索引，在预先设置的资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为检查目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板(即安全基线库中不同安全规则)的基线模板标识组装生成检查信息。其中，资产信息库用于保存网络层信息如IP地址、域名、路由等；系统层信息如操作系统类型、版本等；应用层信息如软件名称、软件版本、软件配置、产品线信息、人员信息等；以及设备信息如设备标识等。
所述的漏洞信息分为漏洞概要信息与漏洞详细信息。其中，漏洞概要信息包括：发现漏洞的软件、网络设备、服务器、中间件、数据库名称及其受影响的版本号，危险进程名称，危险服务名称，危险端口，以及公共漏洞和暴露名称(CVE ID)、漏洞描述、漏洞发现时间等漏洞相关简要信息。漏洞详细信息包括：漏洞概要信息，以及引发该漏洞的系统文件或配置文件名称、字段名称、字段值、标准值等详细信息。
本步骤中的确定目标设备具体包括：联动处理单元以漏洞概要信息如发现漏洞的软件、网络设备、服务器、中间件、数据库名称及其受影响的版本号为索引，在资产信息库中查询可能受影响的设备：如果查询结果不为空，则查询结果为目标设备；如果查询结果为空，比如资产信息库不便以进程名称、端口号、服务名称等为关键字建立数据表，那么，要是以此为关键值查询，结果必然为空，此时，目标设备为全网设备。
本步骤中，漏洞信息、检查信息可以以任意格式组装，比如：json格式、文本文件、数组等，具体采用哪种格式，由安全基线系统的各功能单元如漏洞信息获取单元、联动处理单元，以及安全检查单元预先约定。组装格式确定后，如何实现组装是本领域技术人员的惯用技术手段，这不再赘述。
步骤202：按照生成的检查信息对目标设备进行安全检查。
本步骤中，安全检查单元接收到检查信息后，根据检查信息中的基线模板标识，调用其中设置的安全基线库中对应的基线模板对目标设备进行检查，同时保存检查结果，还可以输出检查结果如告警。其中，调用基线模板对目标设备进行检查包括：根据调用的安全规则，将目标设备的检查信息中的指定参数值与标准值进行比对，如果一致，检查结果为目标设备安全；如果不一致，检查结果为目标设备存在漏洞。之后，安全检查单元保存得到的检查结果，在目标设备存在漏洞时，进行告警处理，比如通过短信、邮件、即时消息等进行告警。
下面结合以具体实施例对本申请方法进行详细描述。
第一实施例，假设漏洞详细信息包括：基础软件名称(name)myname发现漏洞；受影响版本号(version)为m.n1、m.n2、m.n3；漏洞原因为其文件(file)a中字段(key)b的值(val)为c；字段b的标准值(std)为d；漏洞CVE ID为1234；漏洞描述(info)为xyz；漏洞发现时间(time)为YY-MM-DD。
联动处理单元接收到的漏洞信息为：
{name:myname，version:m.n1|m.n2|m.n3，file:a，key:b，val:c，std:d，CVE_ID:1234，time:YY-MM-DD，info:xyz}；
联动处理单元根据name和version字段，组合出三组索引值(myname，m.n1)，(myname，m.n2)，(myname，m.n3)，分别以此为条件在资产信息库中查询出可能受影响的设备，假设分别为(x1，y1，z1)，(x2，y2，z2)，(x3，y3，z3)；
联动处理单元将漏洞信息、目标设备、基线模板标识(第一实施例中假设为tempalte:T1)组装生成检查信息分别为：{name:myname，version:m.n1，file:a，key:b，val:c，std:d，CVE_ID:1234，time:YY-MM-DD，info:xyz，machine:[x1，y1，z1]，tempalte:T1}；
{name:myname，version:m.n2，file:a，key:b，val:c，std:d，CVE_ID:1234，time:YY-MM-DD，info:xyz，machine:[x2，y2，z2]，tempalte:T1}；
{name:myname，version:m.n3，file:a，key:b，val:c，std:d，CVE_ID:1234，time:YY-MM-DD，info:xyz，machine:[x3，y3，z3]，tempalte:T1}，并将生成的检查信息推送给安全检查单元；
安全检查单元接收到检查信息后，根据检查信息中的基线模板标识，调用其中设置的安全基线库中对应的基线模板对目标设备进行检查，同时保存检查结果，还可以输出检查结果如告警。
第二实施例，假设漏洞概要信息包括：发现漏洞(name)，其表现为存在危险进程p1，漏洞CVE ID为1234；漏洞描述(info)为xyz；漏洞发现时间(time)为YY-MM-DD。
联动处理单元接收到的漏洞信息为：{name:p1，version:null，file:null，key:null，val:null，std:null，CVE_ID:1234，time:YY-MM-DD，info:xyz}；
联动处理单元根据name和version字段，组合索引值(p1，null)，并以此为条件在资产信息库中查询出可能受影响的设备结果为空(null)。
联动处理单元将漏洞信息、目标设备、基线模板标识(第二实施例中假设为tempalte:T1)组装生成检查信息为：{name:p1，version:null，file:null，key:null，val:null，std:null，CVE_ID:1234，time:YY-MM-DD，info:xyz，machine:null，tempalte:T1}，并将生成的检查信息推送给安全检查单元；
由于machine字段为null，安全检查单元接收到检查信息后，根据检查信息中的基线模板标识，调用其中设置的安全基线库中对应的基线模板对全网设备进行检查，同时保存检查结果，还可以输出检查结果如告警。检查系统接受检查信息，并进行检查。
本申请方法还包括：按照用户的定制请求，建立用于用户指定安全检查的用户安全基线库。本申请中，对原有安全基线库进行扩充，将其分为系统安全基线库和用户安全基线库。其中，系统安全基线库，用于存储统一、通用的系统安全规则；用户安全基线库，用于存储用户自定制的用户安全规则。本申请的安全基线系统通过允许用户调用自身定制的安全规则对系统进行安全检查，从而满足了安全检查的可定制需求。
按照用户的定制请求，建立用户安全基线库的方法具体包括：用户通过安全检查单元的检查控制平台，输入自定制的用户安全规则，检查控制平台将用户输入的用户安全规则存储在用户安全基线库。用户安全基线库中的用户安全规则包括：在系统安全基线库中的通用安全规则无法满足特殊业务需求时、或者为了掌握其业务线设备状态或者排查问题等原因时，用户自己制定的，默认仅对该用户自身可见的用户安全规则。进一步地，该用户指定的用户安全规则，可以请求安全检查系统对其权限的设置，对指定用户公开即共享给该指定用户。
下面举例进行说明，假设系统安全数据库中存储有系统安全规则s1、s2、s3，为了满足各自业务需求，假设用户A需要安全规则s1、s2、s3、u1、u2，用户B需要安全规则s2，s3、b1；另外，用户A还需要安全规则q1，以了解业务线各设备的状态。
用户A自定制安全规则包括：在检查控制平台，用户A提交自定制的用户安全规则u1、u2、q1；用户B提交自定制的用户安全规则b1；这样，用户安全规则包括u1、u2、q1、b1在检查控制平台规则列表中的记录rcd_u1、rcd_u2、rcd_q1、rdc_b1以及对应的检查脚本rcd_u1.py、rcd_u2.py、rcd_q1.py、rcd_b1.py。检查控制平台将rcd_u1、rcd_u2、rcd_q1、rcd_b1、rcd_u1.py、rcd_u2.py、rcd_q1.py，以及rcd_b1.py存入用户安全基线库中。其中，用户安全基线库可以是数据库、目录、文件等形式，其具体形式预先设定。
这样，用户A可以调用安全规则s1、s2、s3、u1、u2、q1进行安全检查；用户B可调用安全规则s1、s2、s3、b1进行安全检查。
进一步地，如果用户A将其定制的用户安全规则u1、u2、q1分享给用户B，那么，用户A只需将分享请求及指定分享的用户B的信息发送给检查控制平台，检查控制平台会将用户安全规则u1、u2、q1的权限设置为对指定用户B 公开，这样，用户B可以调用安全规则s1、s2、s3、u1、u2、q1、b1进行安全检查。
需要说明的是，当安全基线库包括系统安全基线库和用户安全基线库时，用户可以选择的安全规则包括：系统安全基线库中的系统安全规则、用户自己定制用户安全基线库中的用户安全规则、以及共享给用户的用户安全规则。在用户需要调用安全基线库时，本申请方法还包括：
判断调用的基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，进一步判断用户安全规则是否安全，并在该用户安全规则安全时，对目标设备进行安全检查；
如果被调用的基线模板中的安全规则中仅包含有系统安全规则，则直接对目标设备进行安全检查。
其中，可以通过设置危险命令库、和/或设置沙箱等方式，判断用户安全规则是否安全，具体实现属于本领域技术人员惯用技术手段，这里不再赘述。
方案包括漏洞信息获取单元主动获取漏洞信息；联动处理单元根据获得的漏洞信息确定目标设备，并生成检查信息；安全检查是单元按照生成的检查信息对目标设备进行安全检查。本申请通过主动方式积极地获取新发现的漏洞信息，适应了互联网领域这种变化比较丰富的网络，从而做到了对新发现的漏洞进行实时响应。进一步地，本申请通过按照用户的定制请求，建立用户安全基线库，允许用户调用自身定制的安全规则对系统进行安全检查，从而满足了安全检查的可定制需求。与现有技术相比，本申请安全基线系统除了具有标准化、自动化特性外，还具有主动性、及时性、可定制性以及与其它安全产品的联动性，满足了互联网领域应用的需求。
本领域的技术人员应该明白，上述的本申请实施例所提供的装置的各组成部分，以及方法中的各步骤，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上。可选地，它们可以用计算装置可执行的程序代码来实现。从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本申请不限制于任何特定的硬件和软件结合。
虽然本申请所揭露的实施方式如上，但所述的内容仅为便于理解本申请而采用的实施方式，并非用以限定本申请。任何本申请所属领域内的技术人员，在不脱离本申请所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本申请的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

资源描述

《一种安全基线系统及其实现安全检查的方法.pdf》由会员分享，可在线阅读，更多相关《一种安全基线系统及其实现安全检查的方法.pdf（15页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104125197A43申请公布日20141029CN104125197A21申请号201310146261X22申请日20130424H04L29/0620060171申请人阿里巴巴集团控股有限公司地址英属开曼群岛大开曼资本大厦一座四层847号邮箱72发明人郭锐74专利代理机构北京安信方达知识产权代理有限公司11262代理人解婷婷栗若木54发明名称一种安全基线系统及其实现安全检查的方法57摘要本申请公开了一种安全基线系统及其实现安全检查的方法，包括漏洞信息获取单元主动获取漏洞信息；联动处理单元根据获得的漏洞信息确定目标设备，并生成检查信息；安全检查是单元按照生成的检查信息对。

2、目标设备进行安全检查。本申请通过主动方式积极地获取新发现的漏洞信息，适应了互联网领域这种变化比较丰富的网络，从而做到了对新发现的漏洞进行实时响应。进一步地，本申请通过按照用户的定制请求，建立用户安全基线库，允许用户调用自身定制的安全规则对系统进行安全检查，从而满足了安全检查的可定制需求。51INTCL权利要求书3页说明书9页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书3页说明书9页附图2页10申请公布号CN104125197ACN104125197A1/3页21一种安全基线系统，其特征在于，包括漏洞信息获取单元、联动处理单元，以及安全检查单元；其中，漏洞信息获取单元，用于。

3、主动获取漏洞信息，并将获得的漏洞信息输出给联动处理单元；联动处理单元，用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备，生成检查信息并推送给安全检查单元；安全检查单元，用于根据接收到的来自联动处理单元的检查信息，调用自身存储有的安全基线库，对目标设备进行安全检查。2根据权利要求1所述的安全基线系统，其特征在于，所述安全基线系统，还用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。3根据权利要求1或2所述的安全基线系统，其特征在于，所述漏洞信息获取单元包括一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本；和/或用于主动。

4、上报漏洞信息的漏洞检测平台。4根据权利要求1或2所述的安全基线系统，其特征在于，所述联动处理单元包括联动接口，及预先设置的资产信息库；其中，联动接口，用于以所述漏洞信息为索引，在资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息，并推送给所述安全检查单元。5根据权利要求1所述的安全基线系统，其特征在于，所述安全检查单元包括安全基线库、安全检查系统，以及用于存储检查结果的存储空间；其中，安全检查系统，用于根据接收到的所述检查信息中的基线模板标识，调用安全基线库中对应的基线模板对所述目标设。

5、备进行检查，同时将检查结果保存在存储空间。6根据权利要求5所述的安全基线系统，其特征在于，所述安全检查单元还包括告警模块，和/或结果展示模块；其中，告警模块，用于对检查结果进行告警；结果展示模块，用于输出检查结果。7根据权利要求6所述的安全基线系统，其特征在于，所述安全检查系统，具体用于根据调用的所述基线模板中的安全规则，将目标设备的所述检查信息中的指定参数值与标准值进行比对，如果一致，表明检查结果为目标设备安全；如果不一致，表明检查结果为目标设备存在漏洞；保存得到的检查结果，在目标设备存在漏洞时，通知告警模块和/或结果展示模块；所述告警模块进行告警，和/或结果展示模块输出检查结果。8根据权利。

6、要求6所述的安全基线系统，其特征在于，所述安全检查单元中还包括检查控制平台，用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。9根据权利要求8所述的安全基线系统，其特征在于，当所述安全基线库包括系统安全基线库和用户安全基线库时，所述安全检查系统，还用于判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，判断用户安全规则是否安全，并在该权利要求书CN104125197A2/3页3用户安全规则安全时，对所述目标设备进行安全检查；如果判断出被调用的所述基线模板中的安全规则中仅包含有系统安全规则，则直接对所述目标设备进行安全检查。10一。

7、种安全基线系统实现安全检查的方法，其特征在于，包括主动获取漏洞信息；根据获得的漏洞信息确定目标设备，并生成检查信息；按照生成的检查信息对目标设备进行安全检查。11根据权利要求10所述的方法，其特征在于，所述获取漏洞信息包括从不同的漏洞检查发布网站定期获取、和/或由漏洞检测平台主动上报。12根据权利要求10所述的方法，其特征在于，所述获取漏洞信息为从不同的漏洞检查发布网站定期获取；所述定期获取包括按照预先设置固定的时间与频率获取；或者，按照根据不同网站更新的时间、频率设置不同的获取时间与频率来获取；或者，网站更新触发获取。13根据权利要求12所述的方法，其特征在于，所述获取包括主动抓取；或者，分。

8、析网站的网络摘要RSS文件而获得；或者，通过网站提供数据接口访问获得。14根据权利要求10所述的方法，其特征在于，所述获取漏洞信息为由漏洞检测平台主动上报；所述主动上报包括所述漏洞检测平台实时、或定期上报新发现的漏洞。15根据权利要求10所述的方法，其特征在于，预先设置的资产信息库；所述确定目标设备并生成检查信息包括以所述漏洞信息为索引，在资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为检查目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息。16根据权利要求15所述的方法，其特征在于，所述漏洞信息分为漏洞概要信息与漏洞详细信息；所述。

9、确定目标设备具体包括以所述漏洞概要信息为索引，在所述资产信息库中查询可能受影响的设备如果查询结果不为空，则查询结果为目标设备；如果查询结果为空，目标设备为全网设备。17根据权利要求10所述的方法，其特征在于，所述按照生成的检查信息对目标设备进行安全检查包括根据所述检查信息中的基线模板标识，调用预先设置的安全基线库中对应的基线模板对目标设备进行检查，同时保存检查结果。18根据权利要求17所述的方法，其特征在于，该方法还包括输出检查结果。19根据权利要求17或18所述的方法，其特征在于，所述调用基线模板对目标设备进行检查包括根据调用的所述基线模板中的安全规则，将所述目标设备的检查信息中的指定参数值。

10、与标准值进行比对，如果一致，检查结果为目标设备安全；如果不一致，检查结果为目标设备存在漏洞。20根据权利要求10所述的方法，其特征在于，该方法还包括按照用户的定制请求，将用户输入的用户安全规则存储在用户安全基线库中。21根据权利要求20所述的方法，其特征在于，该方法还包括对所述用户安全规则进行权限的设置，使其对指定用户公开。权利要求书CN104125197A3/3页422根据权利要求17所述的方法，其特征在于，所述安全基线库包括系统安全基线库和用户安全基线库；该方法还包括判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，判断用户安全规则是否安全，。

11、并在该用户安全规则安全时，对所述目标设备进行安全检查；如果被调用的所述基线模板中的安全规则中仅包含有系统安全规则，则直接对所述目标设备进行安全检查。23根据权利要求22所述的方法，其特征在于，所述判断用户安全规则是否安全包括通过设置危险命令库、和/或设置沙箱方式实现。权利要求书CN104125197A1/9页5一种安全基线系统及其实现安全检查的方法技术领域0001本申请涉及网络安全技术，尤指一种安全基线系统及其实现安全检查的方法。背景技术0002随着互联网对社会的影响日益深入，安全事件发生后给人们带来的损失也日益严重。安全运维人员和管理者越来越希望通过制定安全规范、对全网设备进行安全检查，以便。

12、在安全事件发生之前对其进行阻断。安全基线便是即有安全规范，对全网设备进行合规性检查的产品。其中，安全基线，是指一个信息系统的最小安全保证，即该信息系统需要满足的最基本的安全要求，在工程领域中，安全基线多指确保信息系统满足最小安全保证的安全产品。安全规范，是指为了确保通信网络上的相关设备达到最基本的防护能力要求而制定的一系列达标基准，是一套统一的安全设置指标。0003美国国家标准和技术研究所NIST提出的安全内容自动化协议SCAP，SECURITYCONTENTAUTOMATIONPROTOCOL框架中，包含检查的标准、一致性标准等6个支撑标准，其检查内容及检查方式由国家漏洞数据库NVD，NAT。

13、IONALVULNERABILITYDATABASE和网络控制协议NCP，NETWORKCONTROLPROTOCOL来提供。由此，SCAP框架便形成了一套针对系统的、标准化的、自动化的安全基线。0004现有的安全基线产品均以此为框架进行设计，主要由安全基线库规则化的安全规范和安全检查系统组成，其中，安全检查系统根据安全基线库里的规则对网络设备、服务器、中间件、数据库，以及文件系统、进程、服务和网络端口等进行标准化检查。0005目前，安全基线多用于电信运营企业。应用在电信运营企业的安全基线产品，根据工信部和企业的要求、参照其网络所有设备的配置手册制定安全规范并将其规则化，形成安全基线库，安全检。

14、查系统根据安全基线库，对全网进行标准化安全检查。由于电信运营领域安全规范相对固定、业务需求单一，安全基线实现时主要关注于标准化、自动化。然而，在互联网领域，各层面的漏洞频发，需要及时更新安全规范；各个业务线的安全需求不同，也需要提供可定制安全检查。其中，业务线，是指实现特定功能的互联网产品。0006因此，对于象互联网领域这种变化比较丰富的网络来讲，现有安全基线产品的存在以下不足安全基线库相对固定，无法对新发现的漏洞进行实时响应；业务人员也无法根据业务需求进行定制化的安全检查。发明内容0007为了解决上述技术问题，本申请提供了一种安全基线系统及其实现安全检查的方法，能够灵活地、实时地对网络进行安。

15、全检查，及时发现漏洞，更好地保障网络安全。0008为了达到本申请目的，本申请提供一种安全基线系统，至少包括漏洞信息获取单元、联动处理单元，以及安全检查单元；其中，0009漏洞信息获取单元，用于主动获取漏洞信息，并将获得的漏洞信息输出给联动处理单元；说明书CN104125197A2/9页60010联动处理单元，用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备，生成检查信息并推送给安全检查单元；0011安全检查单元，用于根据接收到的来自联动处理单元的检查信息，调用自身存储有的安全基线库，对目标设备进行安全检查。0012所述安全基线系统，还用于接收来自用户的定制请求，建立用于用户指定安全检。

16、查的用户安全基线库。0013所述漏洞信息获取单元包括一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本；0014和/或用于主动上报漏洞信息的漏洞检测平台。0015所述联动处理单元包括联动接口，及预先设置的资产信息库；其中，0016联动接口，用于以所述漏洞信息为索引，在资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息，并推送给所述安全检查单元。0017所述安全检查单元包括安全基线库、安全检查系统，以及用于存储检查结果的存储空间；其中，001。

17、8安全检查系统，用于根据接收到的所述检查信息中的基线模板标识，调用安全基线库中对应的基线模板对所述目标设备进行检查，同时将检查结果保存在存储空间。0019所述安全检查单元还包括告警模块，和/或结果展示模块；其中，告警模块，用于对检查结果进行告警；结果展示模块，用于输出检查结果。0020所述安全检查系统，具体用于根据调用的所述基线模板中的安全规则，将目标设备的所述检查信息中的指定参数值与标准值进行比对，如果一致，表明检查结果为目标设备安全；如果不一致，表明检查结果为目标设备存在漏洞；0021保存得到的检查结果，在目标设备存在漏洞时，通知告警模块和/或结果展示模块；0022所述告警模块进行告警，和。

18、/或结果展示模块输出检查结果。0023所述安全检查单元中还包括检查控制平台，用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。0024当所述安全基线库包括系统安全基线库和用户安全基线库时，所述安全检查系统，还用于判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，判断用户安全规则是否安全，并在该用户安全规则安全时，对所述目标设备进行安全检查；0025如果判断出被调用的所述基线模板中的安全规则中仅包含有系统安全规则，则直接对所述目标设备进行安全检查。0026本申请还提供一种安全基线系统实现安全检查的方法，包括主动获取漏洞信息；根据。

19、获得的漏洞信息确定目标设备，并生成检查信息；0027按照生成的检查信息对目标设备进行安全检查。0028所述获取漏洞信息包括从不同的漏洞检查发布网站定期获取、和/或由漏洞检测平台主动上报。0029所述获取漏洞信息为从不同的漏洞检查发布网站定期获取；说明书CN104125197A3/9页70030所述定期获取包括按照预先设置固定的时间与频率获取；或者，按照根据不同网站更新的时间、频率设置不同的获取时间与频率来获取；或者，网站更新触发获取。0031所述获取包括主动抓取；或者，分析网站的网络摘要RSS文件而获得；或者，通过网站提供数据接口访问获得。0032所述获取漏洞信息为由漏洞检测平台主动上报；00。

20、33所述主动上报包括所述漏洞检测平台实时、或定期上报新发现的漏洞。0034预先设置的资产信息库；所述确定目标设备并生成检查信息包括0035以所述漏洞信息为索引，在资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为检查目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板的基线模板标识组装生成检查信息。0036所述漏洞信息分为漏洞概要信息与漏洞详细信息；所述确定目标设备具体包括以所述漏洞概要信息为索引，在所述资产信息库中查询可能受影响的设备如果查询结果不为空，则查询结果为目标设备；如果查询结果为空，目标设备为全网设备。0037所述按照生成的检查信息对目标设备进行安全检查。

21、包括0038根据所述检查信息中的基线模板标识，调用预先设置的安全基线库中对应的基线模板对目标设备进行检查，同时保存检查结果。0039该方法还包括输出检查结果。0040所述调用基线模板对目标设备进行检查包括根据调用的所述基线模板中的安全规则，将所述目标设备的检查信息中的指定参数值与标准值进行比对，如果一致，检查结果为目标设备安全；如果不一致，检查结果为目标设备存在漏洞。0041该方法还包括按照用户的定制请求，将用户输入的用户安全规则存储在用户安全基线库中。0042该方法还包括对所述用户安全规则进行权限的设置，使其对指定用户公开。0043所述安全基线库包括系统安全基线库和用户安全基线库；该方法还包。

22、括0044判断调用的所述基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，判断用户安全规则是否安全，并在该用户安全规则安全时，对所述目标设备进行安全检查；0045如果被调用的所述基线模板中的安全规则中仅包含有系统安全规则，则直接对所述目标设备进行安全检查。0046所述判断用户安全规则是否安全包括通过设置危险命令库、和/或设置沙箱方式实现。0047本申请提供的方案包括漏洞信息获取单元主动获取漏洞信息；联动处理单元根据获得的漏洞信息确定目标设备，并生成检查信息；安全检查是单元按照生成的检查信息对目标设备进行安全检查。本申请通过主动方式积极地获取新发现的漏洞信息，适。

23、应了互联网领域这种变化比较丰富的网络，从而做到了对新发现的漏洞进行实时响应。进一步地，本申请通过按照用户的定制请求，建立用户安全基线库，允许用户调用自身定制的安全规则对系统进行安全检查，从而满足了安全检查的可定制需求。与现有技术相比，本申请安全基线系统除了具有标准化、自动化特性外，还具有主动性、及时性、可定制性以及与其它安全产品的联动性，满足了互联网领域应用的需求。说明书CN104125197A4/9页80048本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来。

24、实现和获得。附图说明0049附图用来提供对本申请技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。0050图1为本申请安全基线系统的组成结构示意图；0051图2为本申请安全基线系统实现安全检查的方法的流程图；0052图3为本申请安全基线系统的实施例的组成结构示意图。具体实施方式0053为使本申请的目的、技术方案和优点更加清楚明白，下文中将结合附图对本申请的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。0054在本申请一个典型的配置中，计算设备包括一个或多个处理器CP。

25、U、输入/输出接口、网络接口和内存。0055内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器RAM和/或非易失性内存等形式，如只读存储器ROM或闪存FLASHRAM。内存是计算机可读介质的示例。0056计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存PRAM、静态随机存取存储器SRAM、动态随机存取存储器DRAM、其他类型的随机存取存储器RAM、只读存储器ROM、电可擦除可编程只读存储器EEPROM、快闪记忆体或其他内存技术、只读光盘只读。

26、存储器CDROM、数字多功能光盘DVD或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体TRANSITORYMEDIA，如调制的数据信号和载波。0057在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。0058图1为本申请安全基线装置的组成结构示意图，如图1所示，至少包括漏洞信息获取单元、联动处理单元，以及安全检查单元，其中，0059漏洞信息获取单元。

27、，用于主动获取漏洞信息，并将获得的漏洞信息输出给联动处理单元。新发现的漏洞包括从不同的漏洞监测与发布网站定期获取、和/或由漏洞检测平台主动上报。具体地，如图3所示，0060包括一个或一个以上漏洞监测与发布网站、用于从漏洞监测与发布网站上定期获取漏洞信息的漏洞获取与分析脚本；和/或用于主动上报漏洞信息的漏洞检测平台。说明书CN104125197A5/9页90061联动处理单元，用于根据接收到的来自漏洞信息获取单元的漏洞信息确定目标设备，生成检查信息并推送给安全检查单元。具体地，如图3所示，0062联动处理单元包括联动接口，以及资产信息库。其中，资产信息库用于保存网络层信息如IP地址、域名、路由等。

28、；系统层信息如操作系统类型、版本等；应用层信息如软件名称、软件版本、软件配置、产品线信息、人员信息等；以及设备信息如设备标识等。0063联动接口，具体用于以漏洞信息为索引，在预先设置的资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板即安全基线库中不同安全规则的基线模板标识组装生成检查信息，并推送给安全检查单元。其中，基线模板与基线模版标识的对应关系可以是约定的对应规则，也可以是预先定义好的对应关系表具体实现属于本领域技术人员的惯用技术手段，这里不再赘述。0064安全检查单元，用于根据接收到的来自联动处理单元的检查。

29、信息，调用自身存储有的安全基线库，对目标设备进行安全检查。具体地，如图3所示，0065包括安全基线库、安全检查系统，以及用于存储检查结果的存储空间、告警模块及结果展示模块，其中，0066安全检查系统，用于根据接收到的检查信息中的基线模板标识，调用安全基线库中对应的基线模板对目标设备进行检查，同时将检查结果保存在村写出空间，还可以通过告警模块和/或结果展示模块输出检查结果如告警。具体地，安全检查系统根据调用的基线模板中的安全规则，将目标设备的检查信息中的指定参数值与标准值进行比对，如果一致，检查结果为目标设备安全；如果不一致，检查结果为目标设备存在漏洞。之后，安全检查单元保存得到的检查结果，在目。

30、标设备存在漏洞时，进行告警处理，比如通过短信、邮件、即时消息等进行告警。0067进一步，安全检查单元中还包括检查控制平台，用于接收来自用户的定制请求，建立用于用户指定安全检查的用户安全基线库。本申请中，对原有安全基线库进行扩充，将其分为系统安全基线库和用户安全基线库。其中，系统安全基线库，用于存储统一、通用的系统安全规则；用户安全基线库，用于存储用户自定制的用户安全规则。本申请的安全基线系统通过允许用户调用自身定制的安全规则对系统进行安全检查，从而满足了安全检查的可定制需求。0068当安全基线库包括系统安全基线库和用户安全基线库时，用户可以选择的安全规则包括系统安全基线库中的系统安全规则、用户。

31、自己定制用户安全基线库中的用户安全规则、以及共享给用户的用户安全规则。在用户需要调用安全基线库时，0069安全检查系统，还用于判断调用的基线模板中的安全规则中是否包含有用户安全规则，如果有，进一步判断用户安全规则是否安全。若该用户安全规则安全，则对目标设备进行安全检查；0070如果判断出被调用的安全规则中仅包含有系统安全规则，则直对目标设备进行发安全检查。0071进一步地，如果判断出该用户安全规则不安全，则不对目标设备进行安全检查，并将是由于用户安全规则不安全而导致不做安全检查的原因存入数据库中。0072图2为本申请安全基线系统实现安全检查的方法的流程图，下面结合图2，对本申说明书CN1041。

32、25197A6/9页10请系统及方法进行详细描述。0073如图2所示，本申请方法包括以下步骤0074步骤200主动获取漏洞信息。0075本步骤中，新发现的漏洞信息可以包括从不同的漏洞检查发布网站定期获取、和/或由漏洞检测平台主动上报。其中，0076从不同的漏洞监测与发布网站定期获取包括漏洞信息获取单元定期主动从漏洞监测与发布网站获取最新的漏洞信息。其中，定期的形式可以是但不限于预先设置固定的时间与频率；或者，根据不同网站更新的时间、频率设置不同的获取时间与频率；或者，网站更新触发获取动作等。获取漏洞监测与发布网站信息的方式可以是但不限于主动抓取；或者，分析网站的网络摘要RSS文件而获得；或者，。

33、网站提供数据接口访问获得等。0077由漏洞检测平台主动上报包括漏洞检测平台实时或定期将新发现的漏洞上报给漏洞信息获取单元。其中漏洞检测平台可以通过扫描日志、扫描代码、或人工提供等方式来获取漏洞。0078本步骤中，关于获取漏洞的具体实现方法是本领域技术人员可以灵活采用现有技术实现的，其具体实现方法并不属于本申请的保护范围，也不用于限定本申请的保护范围。本申请强调的是，通过主动方式积极地获取新发现的漏洞信息，以适应互联网领域这种变化比较丰富的网络，从而做到对新发现的漏洞进行实时响应。0079步骤201根据获得的漏洞信息确定目标设备，并生成检查信息。0080具体包括联动处理单元以漏洞信息为索引，在预。

34、先设置的资产信息库中查询可能受到获得的漏洞信息影响的设备，将其作为检查目标设备；将漏洞信息、目标设备信息，以及用于标识安全基线库中不同基线模板即安全基线库中不同安全规则的基线模板标识组装生成检查信息。其中，资产信息库用于保存网络层信息如IP地址、域名、路由等；系统层信息如操作系统类型、版本等；应用层信息如软件名称、软件版本、软件配置、产品线信息、人员信息等；以及设备信息如设备标识等。0081所述的漏洞信息分为漏洞概要信息与漏洞详细信息。其中，漏洞概要信息包括发现漏洞的软件、网络设备、服务器、中间件、数据库名称及其受影响的版本号，危险进程名称，危险服务名称，危险端口，以及公共漏洞和暴露名称CVE。

35、ID、漏洞描述、漏洞发现时间等漏洞相关简要信息。漏洞详细信息包括漏洞概要信息，以及引发该漏洞的系统文件或配置文件名称、字段名称、字段值、标准值等详细信息。0082本步骤中的确定目标设备具体包括联动处理单元以漏洞概要信息如发现漏洞的软件、网络设备、服务器、中间件、数据库名称及其受影响的版本号为索引，在资产信息库中查询可能受影响的设备如果查询结果不为空，则查询结果为目标设备；如果查询结果为空，比如资产信息库不便以进程名称、端口号、服务名称等为关键字建立数据表，那么，要是以此为关键值查询，结果必然为空，此时，目标设备为全网设备。0083本步骤中，漏洞信息、检查信息可以以任意格式组装，比如JSON格式。

36、、文本文件、数组等，具体采用哪种格式，由安全基线系统的各功能单元如漏洞信息获取单元、联动处理单元，以及安全检查单元预先约定。组装格式确定后，如何实现组装是本领域技术人员的惯用技术手段，这不再赘述。0084步骤202按照生成的检查信息对目标设备进行安全检查。说明书CN104125197A107/9页110085本步骤中，安全检查单元接收到检查信息后，根据检查信息中的基线模板标识，调用其中设置的安全基线库中对应的基线模板对目标设备进行检查，同时保存检查结果，还可以输出检查结果如告警。其中，调用基线模板对目标设备进行检查包括根据调用的安全规则，将目标设备的检查信息中的指定参数值与标准值进行比对，如果。

37、一致，检查结果为目标设备安全；如果不一致，检查结果为目标设备存在漏洞。之后，安全检查单元保存得到的检查结果，在目标设备存在漏洞时，进行告警处理，比如通过短信、邮件、即时消息等进行告警。0086下面结合以具体实施例对本申请方法进行详细描述。0087第一实施例，假设漏洞详细信息包括基础软件名称NAMEMYNAME发现漏洞；受影响版本号VERSION为MN1、MN2、MN3；漏洞原因为其文件FILEA中字段KEYB的值VAL为C；字段B的标准值STD为D；漏洞CVEID为1234；漏洞描述INFO为XYZ；漏洞发现时间TIME为YYMMDD。0088联动处理单元接收到的漏洞信息为0089NAMEMY。

38、NAME，VERSIONMN1|MN2|MN3，FILEA，KEYB，VALC，STDD，CVE_ID1234，TIMEYYMMDD，INFOXYZ；0090联动处理单元根据NAME和VERSION字段，组合出三组索引值MYNAME，MN1，MYNAME，MN2，MYNAME，MN3，分别以此为条件在资产信息库中查询出可能受影响的设备，假设分别为X1，Y1，Z1，X2，Y2，Z2，X3，Y3，Z3；0091联动处理单元将漏洞信息、目标设备、基线模板标识第一实施例中假设为TEMPALTET1组装生成检查信息分别为NAMEMYNAME，VERSIONMN1，FILEA，KEYB，VALC，STDD。

39、，CVE_ID1234，TIMEYYMMDD，INFOXYZ，MACHINEX1，Y1，Z1，TEMPALTET1；0092NAMEMYNAME，VERSIONMN2，FILEA，KEYB，VALC，STDD，CVE_ID1234，TIMEYYMMDD，INFOXYZ，MACHINEX2，Y2，Z2，TEMPALTET1；0093NAMEMYNAME，VERSIONMN3，FILEA，KEYB，VALC，STDD，CVE_ID1234，TIMEYYMMDD，INFOXYZ，MACHINEX3，Y3，Z3，TEMPALTET1，并将生成的检查信息推送给安全检查单元；0094安全检查单元接收到检查。

40、信息后，根据检查信息中的基线模板标识，调用其中设置的安全基线库中对应的基线模板对目标设备进行检查，同时保存检查结果，还可以输出检查结果如告警。0095第二实施例，假设漏洞概要信息包括发现漏洞NAME，其表现为存在危险进程P1，漏洞CVEID为1234；漏洞描述INFO为XYZ；漏洞发现时间TIME为YYMMDD。0096联动处理单元接收到的漏洞信息为NAMEP1，VERSIONNULL，FILENULL，KEYNULL，VALNULL，STDNULL，CVE_ID1234，TIMEYYMMDD，INFOXYZ；0097联动处理单元根据NAME和VERSION字段，组合索引值P1，NULL，并以。

41、此为条件在资产信息库中查询出可能受影响的设备结果为空NULL。0098联动处理单元将漏洞信息、目标设备、基线模板标识第二实施例中假设为TEMPALTET1组装生成检查信息为NAMEP1，VERSIONNULL，FILENULL，KEYNULL，VALNULL，STDNULL，CVE_ID1234，TIMEYYMMDD，INFOXYZ，MACHINENULL，说明书CN104125197A118/9页12TEMPALTET1，并将生成的检查信息推送给安全检查单元；0099由于MACHINE字段为NULL，安全检查单元接收到检查信息后，根据检查信息中的基线模板标识，调用其中设置的安全基线库中对应的。

42、基线模板对全网设备进行检查，同时保存检查结果，还可以输出检查结果如告警。检查系统接受检查信息，并进行检查。0100本申请方法还包括按照用户的定制请求，建立用于用户指定安全检查的用户安全基线库。本申请中，对原有安全基线库进行扩充，将其分为系统安全基线库和用户安全基线库。其中，系统安全基线库，用于存储统一、通用的系统安全规则；用户安全基线库，用于存储用户自定制的用户安全规则。本申请的安全基线系统通过允许用户调用自身定制的安全规则对系统进行安全检查，从而满足了安全检查的可定制需求。0101按照用户的定制请求，建立用户安全基线库的方法具体包括用户通过安全检查单元的检查控制平台，输入自定制的用户安全规则。

43、，检查控制平台将用户输入的用户安全规则存储在用户安全基线库。用户安全基线库中的用户安全规则包括在系统安全基线库中的通用安全规则无法满足特殊业务需求时、或者为了掌握其业务线设备状态或者排查问题等原因时，用户自己制定的，默认仅对该用户自身可见的用户安全规则。进一步地，该用户指定的用户安全规则，可以请求安全检查系统对其权限的设置，对指定用户公开即共享给该指定用户。0102下面举例进行说明，假设系统安全数据库中存储有系统安全规则S1、S2、S3，为了满足各自业务需求，假设用户A需要安全规则S1、S2、S3、U1、U2，用户B需要安全规则S2，S3、B1；另外，用户A还需要安全规则Q1，以了解业务线各设。

44、备的状态。0103用户A自定制安全规则包括在检查控制平台，用户A提交自定制的用户安全规则U1、U2、Q1；用户B提交自定制的用户安全规则B1；这样，用户安全规则包括U1、U2、Q1、B1在检查控制平台规则列表中的记录RCD_U1、RCD_U2、RCD_Q1、RDC_B1以及对应的检查脚本RCD_U1PY、RCD_U2PY、RCD_Q1PY、RCD_B1PY。检查控制平台将RCD_U1、RCD_U2、RCD_Q1、RCD_B1、RCD_U1PY、RCD_U2PY、RCD_Q1PY，以及RCD_B1PY存入用户安全基线库中。其中，用户安全基线库可以是数据库、目录、文件等形式，其具体形式预先设定。0。

45、104这样，用户A可以调用安全规则S1、S2、S3、U1、U2、Q1进行安全检查；用户B可调用安全规则S1、S2、S3、B1进行安全检查。0105进一步地，如果用户A将其定制的用户安全规则U1、U2、Q1分享给用户B，那么，用户A只需将分享请求及指定分享的用户B的信息发送给检查控制平台，检查控制平台会将用户安全规则U1、U2、Q1的权限设置为对指定用户B公开，这样，用户B可以调用安全规则S1、S2、S3、U1、U2、Q1、B1进行安全检查。0106需要说明的是，当安全基线库包括系统安全基线库和用户安全基线库时，用户可以选择的安全规则包括系统安全基线库中的系统安全规则、用户自己定制用户安全基线库。

46、中的用户安全规则、以及共享给用户的用户安全规则。在用户需要调用安全基线库时，本申请方法还包括0107判断调用的基线模板中的安全规则中是否包含有用户安全基线库中的用户自定义的用户安全规则，如果有，进一步判断用户安全规则是否安全，并在该用户安全规则安全时，对目标设备进行安全检查；0108如果被调用的基线模板中的安全规则中仅包含有系统安全规则，则直接对目标设说明书CN104125197A129/9页13备进行安全检查。0109其中，可以通过设置危险命令库、和/或设置沙箱等方式，判断用户安全规则是否安全，具体实现属于本领域技术人员惯用技术手段，这里不再赘述。0110方案包括漏洞信息获取单元主动获取漏洞。

47、信息；联动处理单元根据获得的漏洞信息确定目标设备，并生成检查信息；安全检查是单元按照生成的检查信息对目标设备进行安全检查。本申请通过主动方式积极地获取新发现的漏洞信息，适应了互联网领域这种变化比较丰富的网络，从而做到了对新发现的漏洞进行实时响应。进一步地，本申请通过按照用户的定制请求，建立用户安全基线库，允许用户调用自身定制的安全规则对系统进行安全检查，从而满足了安全检查的可定制需求。与现有技术相比，本申请安全基线系统除了具有标准化、自动化特性外，还具有主动性、及时性、可定制性以及与其它安全产品的联动性，满足了互联网领域应用的需求。0111本领域的技术人员应该明白，上述的本申请实施例所提供的装。

48、置的各组成部分，以及方法中的各步骤，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上。可选地，它们可以用计算装置可执行的程序代码来实现。从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本申请不限制于任何特定的硬件和软件结合。0112虽然本申请所揭露的实施方式如上，但所述的内容仅为便于理解本申请而采用的实施方式，并非用以限定本申请。任何本申请所属领域内的技术人员，在不脱离本申请所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本申请的专利保护范围，仍须以所附的权利要求书所界定的范围为准。说明书CN104125197A131/2页14图1图2说明书附图CN104125197A142/2页15图3说明书附图CN104125197A15。

展开阅读全文