《安全檢查方法》是北京神州泰岳軟體股份有限公司於2010年12月28日申請的發明專利,該專利的公布號為CN102111294A,專利公布日為2011年6月29日,發明人是肖勇軍、張建軍、蘇砫、黃理、陳浩。
《安全檢查方法》包括以下步驟:S1:伺服器接收安全檢查調度命令,所述調度命令中包含檢查目標和檢查項信息;S2:所述伺服器在所述檢查目標上執行安全檢查,並獲取原始結果;S3:根據安全知識庫對每個安全檢查項進行合規判斷,獲得每個安全檢查項的檢查結果。該發明減少了資源和時間的消耗,提高了安全檢查整體性能,能夠及時獲取設備安全狀態,保障了業務持續安全運行。
2017年12月11日,《安全檢查方法》獲得第十九屆中國專利優秀獎。
(概述圖為《安全檢查方法》摘要附圖)
基本介紹
- 中文名:安全檢查方法
- 公布號:CN102111294A
- 公布日:2011年6月29日
- 申請號:2010106222661
- 申請日:2010年12月28日
- 申請人:北京神州泰岳軟體股份有限公司
- 地址 :北京市朝陽區北苑路甲13號院1號樓22層
- 發明人:肖勇軍、張建軍、蘇砫、黃理、陳浩
- Int. Cl. :H04L12/24(2006.01)I、H04L12/26(2006.01)I
- 專利代理機構 :北京路浩智慧財產權代理有限公司
- 代理人:王瑩
- 類別:發明專利
專利背景,發明內容,專利目的,技術方案,改善效果,附圖說明,技術領域,權利要求,實施方式,榮譽表彰,
專利背景
為保證業務持續安全運行,需要定期對檢查目標執行安全檢查。所述檢查目標包括:作業系統、資料庫、中間件、路由器、交換機、防火牆、負載均衡器和存儲設備。對檢查目標執行安全檢查通常包含大量檢查項,每個檢查項是安全檢查的一個檢查點。一個檢查項包含一個檢查命令,檢查項與檢查命令之間是多對多的關係,多個檢查項可能包含相同檢查命令,如“檢查是否配置SNMP服務的訪問控制”和“檢查是否設定只能使用SNMPV2或以上版本”這兩個檢查項使用的是相同的檢查命令。
2010年12月前的技術中對檢查目標進行批量檢查,每檢查一個檢查項都建立關閉一次連線,並執行一次檢查項對應的檢查命令,當存在大量待檢查項時,反覆建立關閉網路連線和重複執行相同命令會造成等待時間過長、檢查目標消耗資源過多的情況發生;以及重複執行相同檢查命令會使整個安全檢查會持續較長時間,導致無法及時獲得檢查目標的安全狀態,形成安全隱患,進而影響業務持續安全運行。
發明內容
專利目的
《安全檢查方法》的目的是:在遠程對檢查目標執行批量安全檢查時,如何減小資源和時間的消耗,提高安全檢查的整體性能。
技術方案
《安全檢查方法》包括以下步驟:
S1:伺服器接收安全檢查調度命令,所述調度命令中包含檢查目標和檢查項信息;
S2:所述伺服器在所述檢查目標上執行安全檢查,並獲取原始結果;
S3:利用所述原始結果根據安全知識庫對每個安全檢查項進行合規判斷,獲得每個安全檢查項的檢查結果。
其中,所述步驟S2具體包括:
S2.1:伺服器接收到調度命令後,分析檢查項信息中的檢查項和安全檢查命令,把相同的安全檢查命令進行合併,建立安全檢查項和安全檢查命令的對應關係表;
S2.2:伺服器建立到檢查目標的唯一網路連線;
S2.3:伺服器通過所述唯一網路連線在所述檢查目標上執行安全檢查,相同安全檢查命令只執行一次,執行結束後獲取安全檢查命令的原始結果;
S2.4:在所述檢查項和安全檢查命令的對應關係表中查找安全檢查命令和檢查項的對應關係,還原安全檢查命令的原始結果到每個安全檢查項。
其中,所述唯一網路連線為長連線,多個安全檢查命令復用所述長連線。
其中,在執行完最後一個檢查命令後計算所述長連線的連線時間,若在預定時間內沒有新的安全檢查命令傳送,則下線,若有,則重新計時。
其中,所述預定時間為30秒。
改善效果
《安全檢查方法》通過建立伺服器與檢查目標之間的長連線,及檢查項和安全檢查命令的對應關係表,實現了對安全檢查進行最佳化,減少所耗資源和時間,提高了安全檢查整體性能,能夠及時獲取設備安全狀態,保障了業務持續安全運行。
附圖說明
圖1是《安全檢查方法》實施例的一種安全檢查方法流程圖;
圖2是圖1中步驟S102的具體流程圖。
技術領域
《安全檢查方法》涉及計算機網路信息安全技術領域,特別涉及一種設備安全檢查方法。
權利要求
1.《安全檢查方法》特徵在於,包括以下步驟:
S1:伺服器接收安全檢查調度命令,所述調度命令中包含檢查目標和檢查項信息;
S2:所述伺服器在所述檢查目標上執行安全檢查,並獲取原始結果,具體包括:
S2.1:伺服器接收到調度命令後,分析檢查項信息中的檢查項和安全檢查命令,把相同的安全檢查命令進行合併,建立安全檢查項和安全檢查命令的對應關係表;
S2.2:伺服器建立到檢查目標的唯一網路連線;
S2.3:伺服器通過所述唯一網路連線在所述檢查目標上執行安全檢查,相同安全檢查命令只執行一次,執行結束後獲取安全檢查命令的原始結果;
S2.4:在所述檢查項和安全檢查命令的對應關係表中查找安全檢查命令和檢查項的對應關係,還原安全檢查命令的原始結果到每個安全檢查項;
S3:利用所述原始結果根據安全知識庫對每個安全檢查項進行合規判斷,獲得每個安全檢查項的檢查結果。
2.如權利要求1所述的安全檢查方法,其特徵在於,所述唯一網路連線為長連線,多個安全檢查命令復用所述長連線。
3.如權利要求2所述的安全檢查方法,其特徵在於,在執行完最後一個檢查命令後計算所述長連線的連線時間,若在預定時間內沒有新的安全檢查命令傳送,則下線,若有,則重新計時。
4.如權利要求3所述的安全檢查方法,其特徵在於,所述預定時間為30秒。
實施方式
《安全檢查方法》中對傳統的遠程對檢查目標執行批量安全檢查方法進行了最佳化,由於擁有相同檢查命令的不同檢查項最後得到相同的原始檢查結果在,因此在執行檢查命令時,只執行一次。具體流程如圖1所示,包括:
步驟S101,伺服器接收安全檢查調度命令,所述調度命令中包含檢查目標和檢查項信息。其中,檢查項信息包括:檢查項和該檢查項對應的安全檢查命令。
步驟S102,伺服器在檢查目標上執行安全檢查,並獲取原始結果。具體流程如圖2所示,包括:
步驟S201,伺服器接收到調度命令後,分析檢查項信息中的檢查項和安全檢查命令,把相同的安全檢查命令進行合併,建立安全檢查項和安全檢查命令的對應關係表。
步驟S202,伺服器建立到檢查目標的唯一網路連線。為了避免反覆建立和關閉網路連線,該唯一網路連線優選為長連線,傳輸多個安全檢查命令時復用該長連線。步驟S203,伺服器通過所述唯一網路連線在所述檢查目標上執行安全檢查,相同安全檢查命令只執行一次,執行結束後獲取安全檢查命令的原始結果。
步驟S204,在檢查項和安全檢查命令的對應關係表中查找安全檢查命令和檢查項的對應關係,還原安全檢查命令的原始結果到每個安全檢查項。
步驟S205,在執行完最後一個檢查命令後計算所述長連線的連線時間,若在預定時間內沒有新的安全檢查命令傳送,則下線,若有,則重新計時。該預定時間可根據實際情況進行配置,通常為30秒。
步驟S103,利用所述原始結果根據安全知識庫對每個安全檢查項進行合規判斷,獲得每個安全檢查項的檢查結果,即將原始結果與安全知識庫中的對檢查項的具體配置進行比較。伺服器會用系統中設定的滿足要求的基線配置信息與檢查目標當前的配置信息進行比較,滿足基線配置信息則為合規,不滿足則為不合規,這個過程稱為合規檢查。如:比如某台設備密碼長度要求為6,執行檢查後該檢查項的值為6,導入集中伺服器後集中伺服器中設定長度至少為8,所以該密碼長度的檢查項的結果是不合規。
榮譽表彰
2017年12月11日,《安全檢查方法》獲得第十九屆中國專利優秀獎。
