在线全自动配置合规性安全审计方法及系统

摘要

本发明公开了一种在线全自动配置合规性安全审计方法，包括根据预先识别的目标设备的设备类型，采集所述目标设备的配置文件信息；对所述采集的配置文件信息进行分析，确定所述采集配置文件信息中的有效配置文件信息，并对所述有效配置文件信息进行整理归档；根据预先存储的与所述目标设备相匹配的标准配置库文件信息，通过预先配置的审计策略对所述有效配置文件信息进行审计，其中，所述审计策略包括对所述有效配置文件信息和标准配置库文件信息进行交叉对比和合规性检查；根据所述审计结果，生成并输出与所述审计结果相匹配的审计报告。本发明的有益效果为：流程全自动，周期性自动执行，无需人为干预，用户可以定期收到最新的设备合规性报告。

说明书

技术领域

本发明涉及网络在线合规性检测技术，具体来说，涉及一种在线全自动配置合规性安全审计方法及系统。

背景技术

随着科学技术的进步，现在市场上存在多种在线网络管理软件，例如，HP公司的网管软件Open View，可统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能；但是现有的在线网络管理软件却存在着不能对网络设备配置的合规性周期自动化审计的缺陷。

针对相关技术中的问题，目前尚未提出有效的解决方案。

发明内容

本发明的目的是提供一种在线全自动配置合规性安全审计方法及系统，以克服目前现有技术存在的上述不足。

本发明的目的是通过以下技术方案来实现：

一种在线全自动配置合规性安全审计方法，包括以下步骤：

根据预先识别的目标设备的设备类型，采集所述目标设备的配置文件信息；

对所述采集的配置文件信息进行分析，确定所述采集的配置文件信息中的有效配置文件信息，并对所述有效配置文件信息进行整理归档；

根据预先存储的与所述目标设备相匹配的标准配置库文件信息，通过预先配置的审计策略对所述有效配置文件信息进行审计，其中，所述审计策略包括对所述有效配置文件信息和所述标准配置库文件信息进行交叉对比和合规性检查；

根据所述审计结果，生成并输出与所述审计结果相匹配的审计报告。

进一步的，还包括：

预先识别所述目标设备的设备类型；

其中，预先识别所述目标设备的设备类型包括：

根据所述目标设备的用户名和密码，登录所述目标设备；

依据所述目标设备中的SNMP协议功能，识别所述目标设备的设备类型。

进一步的，预先识别所述目标设备的设备类型还包括：

当所述目标设备为多台设备，且所述目标设备的用户提供多个用户名和密码的情况下，对所述多个用户名和密码自由组合并对每台设备进行尝试登录；

并在登录成功的情况下，记录用户名和密码与设备之间的对应关系。

进一步的，对所述多个用户名和密码自由组合对每台设备进行尝试登录包括：

对所述多个用户和密码进行任意排列组合；

根据组合后的各组用户名和密码，对每台设备进行尝试登录。

进一步的，根据预先识别的目标设备的设备类型，采集所述目标设备的配置文件信息包括：

根据预先识别的目标设备的设备类型，选取与所述设备类型对应的采集方法；

根据选取的所述采集方法，采集所述目标设备的配置文件信息。

进一步的，还包括：

在所述审计结果为所述有效配置文件信息与所述标准配置库文件信息不匹配的情况下，对所述有效配置文件信息进行记录和/或告警。

进一步的，所述审计报告的输出形式包括：以word文件的形式输出和/或以pdf文件的形式输出。

一种在线全自动配置合规性安全审计系统，包括：

识别采集模块，用于根据预先识别的目标设备的设备类型，采集所述目标设备的配置文件信息；

分析归档模块，用于对所述采集的配置文件信息进行分析，确定所述采集的配置文件信息中的有效配置文件信息，并对所述有效配置文件信息进行整理归档；

安全审计模块，用于根据预先存储的与所述目标设备相匹配的标准配置库文件信息，通过预先配置的审计策略对所述有效配置文件信息进行审计，其中，所述审计策略包括对所述有效配置文件信息和所述标准配置库文件信息进行交叉对比和合规性检查；

生成输出模块，用于根据所述审计结果，生成并输出与所述审计结果相匹配的审计报告。

进一步的，所述识别采集模块包括识别子模块和采集子模块，其中，

识别子模块，用于预先识别所述目标设备的设备类型，并且，在预先识别所述目标设备的设备类型时，所述识别子模块用于根据所述目标设备的用户所提供的用户名和密码，登录所述目标设备；并依据所述目标设备中的SNMP协议功能，识别所述目标设备的设备类型；

进一步的，所述识别子模块还用于当所述目标设备为多台设备，且所述目标设备的用户提供多个用户名和密码的情况下，对所述多个用户和密码进行任意排列组合；并根据组合后的各组用户名和密码，对每台设备进行尝试登录，并在登录成功的情况下，记录用户名和密码与设备之间的对应关系；

进一步的，还包括采集子模块，用于根据预先识别的目标设备的设备类型，选取与所述设备类型对应的采集方法，并根据选取的所述采集方法，采集所述目标设备的配置文件信息。

进一步的，还包括：

记录告警模块，用于在所述审计结果为所述有效配置文件信息与所述标准配置库文件信息不匹配的情况下，对所述有效配置文件信息进行记录和/或告警。

本发明的有益效果为：本方法操作简便，待部署完成后，周期性执行审计工作，无需人工值守；运用专有算法，审计速度快，准确度高，对实际生产环境无任何干扰；不受地理环境的限制，只要设备网络可达，既可依据规则进行审计，适用范围广泛；具有良好的扩展性，可根据企业/行业规范，自定制审计规则，让审计更有针对性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例所述的一种在线全自动配置合规性安全审计方法的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，根据本发明实施例所述的一种在线全自动配置合规性安全审计方法，包括以下步骤：

预先识别所述目标设备的设备类型；

其中，预先识别所述目标设备的设备类型包括：根据所述目标设备的用户所提供的用户名和密码，登录所述目标设备；依据所述目标设备中的SNMP协议功能，识别所述目标设备的设备类型。

预先识别所述目标设备的设备类型还包括：

当所述目标设备为多台设备，且所述目标设备的用户提供多个用户名和密码的情况下，对所述多个用户名和密码自由组合并对每台设备进行尝试登录；并在登录成功的情况下，记录用户名和密码与设备之间的对应关系。

对所述多个用户名和密码自由组合对每台设备进行尝试登录包括：对所述多个用户和密码进行任意排列组合；根据组合后的各组用户名和密码，对每台设备进行尝试登录。

根据预先识别的目标设备的设备类型，采集所述目标设备的配置文件信息；采集所述目标设备的配置文件信息包括：

根据预先识别的目标设备的设备类型，选取与所述设备类型对应的采集方法；根据选取的所述采集方法，采集所述目标设备的配置文件信息。

对所述采集的配置文件信息上传至本地数据库，并对所述配置文件信息进行分析，确定所述采集的配置文件信息中的有效配置文件信息，并对所述有效配置文件信息进行整理归档；

根据预先存储的与所述目标设备相匹配的标准配置库文件信息，通过预先配置的审计策略对所述有效配置文件信息进行审计，其中，所述审计策略包括对所述有效配置文件信息和所述标准配置库文件信息进行交叉对比和合规性检查；

根据所述审计结果，生成并输出与所述审计结果相匹配的审计报告。

还包括在所述审计结果为所述有效配置文件信息与所述标准配置库文件信息不匹配的情况下，对所述有效配置文件信息进行记录和/或告警。

所述审计报告的输出形式包括：以word文件的形式输出和/或以pdf文件的形式输出。

一种在线全自动配置合规性安全审计系统，包括：

识别采集模块，用于根据预先识别的目标设备的设备类型，采集所述目标设备的配置文件信息；

所述识别采集模块包括识别子模块和采集子模块，其中，

识别子模块，用于预先识别所述目标设备的设备类型，并且，在预先识别所述目标设备的设备类型时，所述识别子模块用于根据所述目标设备的用户所提供的用户名和密码，登录所述目标设备；并依据所述目标设备中的SNMP协议功能，识别所述目标设备的设备类型；

所述识别子模块还用于在所述目标设备为多台设备，且所述目标设备的用户提供多个用户名和密码的情况下，对所述多个用户和密码进行任意排列组合；并根据组合后的各组用户名和密码，对每台设备进行尝试登录，并在登录成功的情况下，记录用户名和密码与设备之间的对应关系；

还包括采集子模块，用于根据预先识别的目标设备的设备类型，选取与所述设备类型对应的采集方法，并根据选取的所述采集方法，采集所述目标设备的配置文件信息。

分析归档模块，用于对所述采集的配置文件信息进行分析，确定所述采集的配置文件信息中的有效配置文件信息，并对所述有效配置文件信息上传至本地数据库中进行整理归档；

安全审计模块，即为合规性自动审计引擎，可按照客户的需求进行预先配置，用于根据预先存储的与所述目标设备相匹配的标准配置库文件信息，通过预先配置的审计策略对所述有效配置文件信息进行审计，其中，所述审计策略包括对所述有效配置文件信息和所述标准配置库文件信息进行交叉对比和合规性检查；

生成输出模块，用于根据所述审计结果，生成并输出与所述审计结果相匹配的审计报告。

还包括记录告警模块，用于在所述审计结果为所述有效配置文件信息与所述标准配置库文件信息不匹配的情况下，对所述有效配置文件信息进行记录和/或告警。

本发明涉及一种在线全自动配置合规性安全审计方法，包括以下步骤：周期性的在线自动识别目标设备类型、厂家，自动采集目标设备配置文件等信息，自动将信息导入数据库，自动进行合规性审计，合规规则可自定制，并自动生成中文报告(word，pdf等格式)。

具体应用时，步骤如下：

1、在线自动设备采集

在用户为授权用户的情况下，由于用户在线的设备往往种类繁多，包含多厂商和多类型，本方法能够通过多种技术手段，在用户提供基本配置信息的前提下，自动识别设备类型，自动选择合适的采集方法，自动定期采集设备的配置文件，并存储到本地数据库中。

用户提供的基本配置信息为：

1.1：设备需要开启一个SNMP（简单网络管理协议），用户提供SNMP community string，并提供只读权限；SNMP是一个业界通用的标准，可以根据SNMP来读取设备的基本信息，判断其生产厂家、设备类型以及类型等，然后决定合适的采集方法，其中，所谓合适的采集方法为与目标设备的；

1.2：设备的配置文件往往要通过CLI（命令行界面）采集，利用telnet或者SSH（安全外壳协议）来远程登录到设备上，所以用户要提供一个基本权限的用户和密码，以支持远程采集配置文件。

鉴于网络中设备种类的多样性，每个设备可能有不同的登录用户名和密码，用户可以选择多种方式输入用户名和密码，a：对网络中每个设备的输入特定的用户名和密码；b：仅仅提供网络设备的各种用户名和密码的组合，本方法能自动尝试并找到记录对应的用户名和密码；

比如预先存在待检测目标设备100台，并且100台目标设备的用户名可能有：admin，root， shadow 这三种，密码有：admin123 ，root123，shadow123三种，只需要这些信息一次性输入软件，软件会在登录设备的时候对用户名和密码自由排列组合，直到成功登入设备，并记录下是哪一台设备对应哪个用户名密码，在下次登录的时候就省略排列组合的步骤了；当然如果用户分别给出每台设备对应的用户名密码最好，这里只是说明软件可以实现这个功能。

当用户提供设备相对应的ip地址、用户名和密码后，软件会执行自动登录动作，如果设备开启了SNMP协议，在软件登录到设备后会通过设备开启的SNMP协议获取到这台设备的厂商（cisco或huawei等）、设备类型（交换机或路由器等）OS版本等信息，然后软件根据这些信息判断该调用思科的命令还是华为的命令（如：同样显示设备接口信息，华为的命令是：display interface，思科的命令是：show interface）；这是在用户设备开放SNMP协议的情况下自动执行的。

另外，如果客户设备没有开放SNMP，或者坚决不允许开放SNMP协议，就需要提前在软件配置界面手工选择所采集设备的厂商及OS版本类型，之后再执行采集动作；因为软件本身集成了大量的采集命令库，覆盖了多种厂商设备类型，手工选择设备类型有助于限定采集命令的范围，提升配置信息采集的效率；这个采集可以做到定期采集，循环审计。比如每隔一个月采集一次（可以理解成windows的计划任务），软件根据日期时间，发现有新的配置文件进来，执行审计动作。

2、本地数据库自动归档

本方法能够自动解析配置文件中的有效信息，存入数据库进行归档，其中有效信息指的是对于目标设备正在使用或使用过的配置信息；

因为采集设备配置需要很多个不同的采集命令，如：show spanning-tree，show version，show interface 等等，软件为了有效处理这些信息，就会把不同命令采集到的信息分别生成不同的文件，比如show version是采集到的设备版本信息，之后就会把这块内容抓取出来独立生成一个以.version为后缀名的文件，存储在数据库当中；又假如show spanning-tree这条命令没有采集到配置内容（有可能用户没有使能或出现其他错误没有正确采集到），软件在读取配置文件时，就会判断这条命令采集出错，输出的是无效的信息，也不会生成独立的新文件。

3、合规性自动审计引擎

本方法包含的自动合规性审计引擎，按照业界的安全法规，最佳实践和企业的安全政策，编写部署合规性审计引擎，能够对原始配置文件，以及数据库中的配置信息进行交叉比对和合规性检查，对配置文件在单机的逻辑性检查以及多机联网的相关性进行检查比对，对于不符合规则的配置条目进行记录及告警;，合规性审计引擎可以自动运行，分析配置文件中的潜在问题，包括单机和多机的问题，问题设计安全，基础网络配置，路由，管理等多方面。

当软件自动解析完毕采集的配置信息后，在此时可以理解为有一个处理解析文件的子线程向父线程发一条解析完毕的信号，软件就会通过自动审计引擎（可以理解为主进程）调用规则库（可以理解为标准配置模板）去检验采集到的配置是否违反了标准配置。这些规则库中的规则包括技术类的，(比如RIP路由协议的hello时间、失效时间的标准值， ospf区域没有连接到骨干区域等)，法规类的（比如PCI支付卡行业安全标准中要求用户密码长度不能少于8位等）以及下面说的企业定制规则。

4、规则自定制

本方法包含的自动审计引擎有良好的规则架构和扩展性，可根据用户 的具体需求进行规则扩展和定制。

自定制的规则是需要嵌入到规则库中的，它属于规则库中的一部分，这些模块的规则可以被单个调用，也可以被多个自由选择调用去检查设备配置（这个需要在配置检查之间配置，如果不配置则使用缺省的模块规则检查），自定制规则的依据是企业的网络管理规范性要求，因为金融行业、航空航天之类企业的网络规范要求肯定要比普通企业高的多，这就需要给特殊要求的企业定制规则，比如在登录设备的时候，处在登录界面的时间一般企业要求为30秒，失败次数为5次，对于金融业，航天业要求高的则定制为10秒或3次等；具体定制方法是将企业规范转化成配置规则，然后将规则转化成代码的形式。

5、自动生成中文报告

本方法能够自动生成中文格式的word和pdf格式的报告，按照中国人的阅读习惯以及语法对报告的结果，规则解释进行呈现。报告的规则提供多个纬度的呈现， 可按照每条规则下不同设备的违规情况进行汇总展现，也可按照每个设备触发了多少条不同规则进行展现。还可以按照不同用户需求进行报告格式，样式，自定义logo等进行自定制开发。

6、在线自动配置合规性安全审计

本方法在部署之后，无需人为干预，将上述1-5的步骤完全自动化，定期的自动向用户相关人员的邮箱发送配置合规性检查报告；用户只需要查看报告，即可对网络中的设备配置的增减，配置变化，配置影响，配置错误等进行有效管理，真正做到量化、直观的管理和审计。

其中，为了更好的理解本技术可以实现对网络中的设备配置的增减的效果，以设备配置的访问控制列表为例进行详细说明：

本台设备拒绝 192.168.2.0/24网络内的所有主机访问，也就是本网络内凡是IP地址在192.168.2.1-192.168.2.254 范围内的计算机都不能访问本台设备；与此同时又配置一条访问控制列表的拒绝IP为192.168.2.100 的主机访问本台设备。从上面可以看出192.168.2.100这台主机在192.168.2.0/24范围内，因此配置的这条访问控制列表就是多余的；随后报告中就会显示多余的配置信息，然后用户可以去删掉这条多余的配置，这说的是对于网络设备配置中的减；反过来，如果企业有300台设备，不久之前又新接入进来10台，现在检测的设备是310台，比之前的检查多出10台，然后就到设备增加访问控制列表增加这10台设备的IP访问；不论是增还是删，都表明设备配置较上一次发生了改变，而改变前后的状态在审计报告中会显示出来。

本发明采用全新的自动在线审计机理，使其具有在高度复杂的环境下自动周期性运行，自动得到高可读性的结果，无需人为干预，适用范围广，既可以用于基础网络设备的审计检查，也 可以用于安全设备，工控设备等的合规性检查，适用与 各种基于配置的目标设备的自动在线审计。

本方法操作简便，待部署完成后，周期性执行审计工作，无需人工值守；运用专有算法，审计速度快，准确度高，对实际生产环境无任何干扰；不受地理环境的限制，只要设备网络可达，既可依据规则进行审计，适用范围广泛；具有良好的扩展性，可根据企业/行业规范，自定制审计规则，让审计更有针对性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。