技術領域

本發明涉及信息安全、網絡管理技術領域，尤其涉及一種安全資產基線加固方法及裝置。

背景技術

安全基線，是一個信息系統安全管理的最低標準或要求。在計算機安全體系中，安全基線是受信計算機組件，存儲于安全基線數據文件中，對如何配置和管理計算機的詳細描述，為安全軟件檢測或者修復計算機系統提供配置標準。隨著互聯網對社會的影響日益深入，信息系統中各安全資產的信息安全問題變得越來越重要，其中，對安全資產實施安全基線監測和管理是保護信息系統中安全資產的信息安全的重要方法之一。

現有技術中，安全基線配置監控和管理大多是通過對各類信息系統的信息資產配置合規性進行自動化檢查，實時采集被監測范圍內的各類信息系統的安全資產的相關配置。然后，再通過將設備及系統的實時基線配置與安全基線庫中的安全基線進行比對，準確發現和定位系統或設備存在的安全缺陷和風險，并做出相應的分析報告。網絡運維人員根據該分析報告，人工開啟設備遠程連接工具登陸終端設備，將編寫好的基線修復腳本發送給該終端設備，控制終端設備執行基線修復腳本，以將該終端設備的安全基線修改為進行修復。

然而，隨著互聯網的快速發展和普及，使得企、事業的信息系統中的安全資產數量也不斷增多，進而使得安全基線種類變得繁多，所以，上述手動修復的方式，不僅存在工作量大、操作繁瑣的問題，還容易漏過某些配置而使得信息系統的安全資產面臨信息安全風險。

發明內容

針對現有技術中的基線配置修復缺乏自動修復手段的問題，本發明實施例提供了一種安全資產基線加固方法及裝置。

根據本發明實施例的第一方面，提供了一種安全資產基線加固方法，所述方法包括：

獲取目標設備的基線配置數據；

判斷所述基線配置數據是否符合預設基線配置標準，所述預設基線配置標準與所述基線配置數據的基線類型相匹配；

如果所述基線配置數據不符合預設基線配置標準，則根據所述預設基線配置標準對所述目標設備的基線配置進行修改。

可選地，根據所述預設基線配置標準對所述目標設備的基線配置進行修改之后，所述方法還包括：

根據所述基線配置數據的基線類型，判斷所述目標設備是否需要重新啟動系統服務；

如果所述目標設備需要重新啟動系統服務，則向所述目標設備發送重新啟動系統服務命令，以控制所述目標設備執行重新啟動系統服務操作。

可選地，根據所述預設基線配置標準對所述目標設備的基線配置進行修改之后，所述方法還包括：

對所述目標設備執行不符合所述預設基線配置標準的違規操作；

根據執行違規操作的結果，判斷所述目標設備是否允許所述不符合所述預設基線配置標準的違規操作；

如果所述目標設備允許所述不符合所述預設基線配置標準的違規操作，則重新根據所述預設基線配置標準對所述目標設備的基線配置進行修改。

可選地，獲取目標設備的基線配置數據，包括：

將采集基線配置指令發送至目標設備；

接收所述目標設備根據所述采集基線配置指令返回的基線配置報文；

根據所述基線配置報文，利用正則表達式解析出所述目標設備的基線配置數據。

可選地，判斷所述基線配置數據是否符合預設基線配置標準，包括：

根據所述目標設備的類型和所述基線配置數據的基線配置項名稱，從基線配置基線庫中查找與所述基線配置數據的基線類型相匹配的預設基線配置標準；

將所述基線配置數據與所述預設基線配置標準進行對比，判斷所述基線配置數據是否滿足所述預設基線配置標準的要求。

可選地，根據所述預設基線配置標準對所述目標設備的基線配置進行修改之前，所述方法還包括：

對所述目標設備的基線配置數據、以及與所述基線配置數據相對應的基線配置項名稱進行存儲。

根據本發明實施例的第二方面，提供了一種安全資產基線加固裝置，該裝置包括：

配置數據獲取模塊：用于獲取目標設備的基線配置數據；

配置數據分析模塊：用于判斷所述基線配置數據是否符合預設基線配置標準，所述預設基線配置標準與所述基線配置數據的基線類型相匹配；

配置數據加固模塊：用于如果所述基線配置數據不符合預設基線配置標準，則根據所述預設基線配置標準對所述目標設備的基線配置進行修改。

可選地，所述裝置還包括：

系統重啟判斷模塊：用于根據所述基線配置數據的基線類型，判斷所述目標設備是否需要重新啟動系統服務；