專利名稱：一種基于插件的安全配置檢查框架及其構(gòu)造方法
技術(shù)領(lǐng)域：
本發(fā)明設(shè)計(jì)一種安全配置檢查框架及其構(gòu)造方法，尤其指一種基于插件的安全配置檢查框架及其構(gòu)造方法，屬于信息安全領(lǐng)域。
背景技術(shù)：
Internet的飛速發(fā)展，使人們能夠更方便地獲取信息、交換信息、管理信息和進(jìn)行各種社會(huì)活動(dòng)，為社會(huì)的發(fā)展提供了強(qiáng)大的動(dòng)力。但是由于計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等設(shè)計(jì)的缺陷和漏洞以及網(wǎng)絡(luò)協(xié)議本身存在的不完善因素，給黑客提供了很好的入侵機(jī)會(huì)，并造成極大的安全風(fēng)險(xiǎn)。因此，事先對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全配置檢查尤為必要。然而以前的安全配置檢查工具往往只是針對(duì)某一種系統(tǒng)或單一網(wǎng)絡(luò)環(huán)境，所以構(gòu)建一種易擴(kuò)展的安全配置檢查框架顯得十分必要。插件技術(shù)是現(xiàn)代軟件設(shè)計(jì)思想的體現(xiàn)，其本質(zhì)是在不修改程序主體的情況下對(duì)軟件功能進(jìn)行加強(qiáng)，因此插件技術(shù)有利于軟件的升級(jí)和功能擴(kuò)展。使用插件技術(shù)可以自由地為應(yīng)用程序增加新的插件或者是卸載現(xiàn)有的插件，而應(yīng)用程序不需要重新編譯和連接。插件一般用DLL實(shí)現(xiàn)，現(xiàn)在多用OCX控件實(shí)現(xiàn)，因?yàn)樗坏梢杂糜谒拗鬈浖?，更可用于其他?yīng)用中而無(wú)須改動(dòng)代碼。從廣義的范圍來(lái)看，插件有以下三種類型:I)類似批命令的簡(jiǎn)單插件。2)使用一種特殊的腳本語(yǔ)言來(lái)實(shí)現(xiàn)的插件。3)利用已有的程序開(kāi)發(fā)環(huán)境來(lái)制作的插件。插件的編寫(xiě)涉及以下問(wèn)題:I)主體程序的插件處理機(jī)制以及用來(lái)進(jìn)行初始化每個(gè)插件的過(guò)程，每個(gè)插件接口的管理，在插件訪問(wèn)時(shí)能夠做出的正確反饋；2)插件接口函數(shù)的定義，以及如何對(duì)插件接口函數(shù)進(jìn)行封裝；3)插件和主程序之間的通信機(jī)制。

發(fā)明內(nèi)容
現(xiàn)有的一些對(duì)系統(tǒng)安全配置檢查的系統(tǒng)往往只是針對(duì)某一特定系統(tǒng)或單一網(wǎng)絡(luò)環(huán)境，而對(duì)于某一類系統(tǒng)以及多網(wǎng)絡(luò)環(huán)境卻無(wú)能為力?；谝陨显颍景l(fā)明設(shè)計(jì)了一種基于插件的安全配置檢查框架及其構(gòu)造方法。所述框架包括以下幾個(gè)部分:1、配置項(xiàng)知識(shí)庫(kù):根據(jù)信息安全標(biāo)準(zhǔn)庫(kù)，由信息安全領(lǐng)域?qū)＜覐氖軝z系統(tǒng)知識(shí)庫(kù)中識(shí)別出與信息安全有關(guān)的配置項(xiàng)及其信息。2、基線庫(kù):由配置項(xiàng)知識(shí)庫(kù)和網(wǎng)絡(luò)環(huán)境知識(shí)庫(kù)導(dǎo)出?；€是指能保證處于某一種網(wǎng)絡(luò)環(huán)境的系統(tǒng)的安全配置的最低配置要求?；€不是固定不變的，它可能會(huì)因?yàn)橛?jì)算機(jī)使用者的某些特殊要求而不同。3、配置項(xiàng)檢查插件庫(kù):由配置項(xiàng)檢查插件構(gòu)成。配置項(xiàng)檢查插件主要針對(duì)配置項(xiàng)知識(shí)庫(kù)中某一個(gè)配置項(xiàng)進(jìn)行檢查。4、配置項(xiàng)和檢查插件對(duì)應(yīng)關(guān)系表。該表主要記錄配置項(xiàng)和檢查插件之間的對(duì)應(yīng)關(guān)系O5、系統(tǒng)信息提取組件。該組件的功能是提取目標(biāo)系統(tǒng)的系統(tǒng)類型和網(wǎng)絡(luò)類型等信
肩、O6、基線選擇組件。該組件根據(jù)對(duì)目標(biāo)系統(tǒng)提取的信息，選擇相應(yīng)的安全基線。7、插件裝載組件。該組件根據(jù)所選擇的基線中包含的配置項(xiàng)的信息，裝載對(duì)應(yīng)的檢查插件。其中信息安全標(biāo)準(zhǔn)庫(kù)、受檢系統(tǒng)知識(shí)庫(kù)和網(wǎng)絡(luò)環(huán)境知識(shí)庫(kù)描述如下:1、信息安全標(biāo)準(zhǔn)庫(kù)。信息安全標(biāo)準(zhǔn)庫(kù)包括國(guó)際或者國(guó)內(nèi)一些在信息安全領(lǐng)域已經(jīng)被普遍認(rèn)可的判別系統(tǒng)安全程度的標(biāo)準(zhǔn)，如安全體系結(jié)構(gòu)和框架標(biāo)準(zhǔn)。2、受檢系統(tǒng)知識(shí)庫(kù)。受檢系統(tǒng)知識(shí)庫(kù)包括受檢系統(tǒng)中與安全相關(guān)的所有具體信
肩、O3、網(wǎng)絡(luò)環(huán)境知識(shí)庫(kù)。網(wǎng)絡(luò)環(huán)境知識(shí)庫(kù)包括受檢系統(tǒng)可能處在的所有網(wǎng)絡(luò)類型的集合。例如外網(wǎng)、內(nèi)網(wǎng)和互聯(lián)網(wǎng)等網(wǎng)絡(luò)環(huán)境。所述構(gòu)造方法包括以下步驟:1、根據(jù)信息安全標(biāo)準(zhǔn)和受檢系統(tǒng)知識(shí)庫(kù)，構(gòu)建配置項(xiàng)知識(shí)庫(kù)，使該知識(shí)庫(kù)包括與系統(tǒng)安全有關(guān)的配置項(xiàng)的所有信息。2、根據(jù)配置項(xiàng)知識(shí)庫(kù)，構(gòu)建配置項(xiàng)檢查插件庫(kù)，并建立配置項(xiàng)和檢查插件的對(duì)應(yīng)關(guān)系表，使得在配置項(xiàng)知識(shí)庫(kù)中的每一個(gè)配置項(xiàng)，在配置項(xiàng)檢查插件庫(kù)都有與之對(duì)應(yīng)的檢查插件。3、根據(jù)網(wǎng)絡(luò)環(huán)境知識(shí)庫(kù)和配置項(xiàng)知識(shí)庫(kù)，構(gòu)建基線庫(kù)，使得每一種網(wǎng)絡(luò)環(huán)境都有一條基線與之對(duì)應(yīng)。4、根據(jù)導(dǎo)入的經(jīng)過(guò)處理過(guò)的目標(biāo)系統(tǒng)的信息，選擇基線，裝載插件，啟動(dòng)對(duì)目標(biāo)系統(tǒng)的安全配置檢查。所述步驟I包括:1.1、根據(jù)信息安全有關(guān)標(biāo)準(zhǔn)，識(shí)別出與系統(tǒng)安全有關(guān)的所有配置項(xiàng)信息。1.2、將步驟(1.1)中識(shí)別出的所有配置項(xiàng)信息記錄在知識(shí)庫(kù)中。所述步驟2包括:2.1、對(duì)配置項(xiàng)知識(shí)庫(kù)中的每一配置項(xiàng)，根據(jù)配置項(xiàng)的詳細(xì)描述信息，識(shí)別該配置項(xiàng)的檢查方法。2.2、將步驟(2.1)確定的配置項(xiàng)的檢查方法進(jìn)行分類，針對(duì)每一類檢查方法構(gòu)建相應(yīng)檢查插件。2.3、建立配置項(xiàng)和檢查插件的對(duì)應(yīng)關(guān)系表。所述步驟3包括:3.1對(duì)網(wǎng)絡(luò)環(huán)境知識(shí)庫(kù)中的每一網(wǎng)絡(luò)環(huán)境，確定在該網(wǎng)絡(luò)環(huán)境下能滿足系統(tǒng)安全性需求的配置項(xiàng)的最小集合，并將該集合中包含的所有配置項(xiàng)記錄在與該網(wǎng)絡(luò)環(huán)境對(duì)應(yīng)的基線中。3.2將步驟(3.1)確定的配置項(xiàng)的取值范圍，并記錄在基線中。
所述步驟4包括:4.1、確定需要對(duì)目標(biāo)主機(jī)進(jìn)行檢查的基線。4.2、根據(jù)基線包含配置項(xiàng)，檢查配置項(xiàng)和檢查插件對(duì)應(yīng)關(guān)系表，裝載配置項(xiàng)檢查插件，對(duì)目標(biāo)主機(jī)進(jìn)行檢查。4.3、將所有不滿足基線定義的目標(biāo)主機(jī)配置項(xiàng)信息保存在檢查結(jié)果中。所述方法,其中配置項(xiàng)知識(shí)庫(kù)中配置項(xiàng)信息至少包含配置項(xiàng)標(biāo)識(shí)、配置項(xiàng)名稱、配置項(xiàng)可選的取值范圍和配置項(xiàng)在系統(tǒng)中的路徑。所述方法，其中安全配置基線所包含的配置項(xiàng)信息至少包含配置項(xiàng)標(biāo)識(shí)、配置項(xiàng)名稱和配置項(xiàng)取值。所述方法，其中主機(jī)安全配置基線所包含的配置項(xiàng)必須是在配置項(xiàng)知識(shí)庫(kù)中已經(jīng)被定義了的。本發(fā)明的有益效果是:本框架按照系統(tǒng)和網(wǎng)絡(luò)環(huán)境將配置項(xiàng)劃分為不同的基線，在對(duì)被檢查系統(tǒng)進(jìn)行識(shí)別后，選擇相應(yīng)的基線，然后裝載配置項(xiàng)檢查插件進(jìn)行檢查。采用本框架進(jìn)行軟件開(kāi)發(fā)，只需定義好規(guī)范化的接口和配置，并遵循這些定義良好的規(guī)范，即可開(kāi)發(fā)各種插件，為程序帶來(lái)極大的擴(kuò)展性。比起單純的面向?qū)ο?，各插件之間的關(guān)聯(lián)少，耦合度小，程序的模塊化程度高，可有效提高軟件的可維護(hù)性。采用插件開(kāi)發(fā)，程序在啟動(dòng)時(shí)可只加載必需的插件，其他插件僅在需要時(shí)動(dòng)態(tài)加載，有效減少了程序的啟動(dòng)時(shí)間，提高了運(yùn)行速度。另一方面，采用本框架開(kāi)發(fā)出的安全配置檢查工具可以大規(guī)模的減少系統(tǒng)安全檢查人員的手工勞動(dòng)，并有利于保持網(wǎng)絡(luò)安全政策的統(tǒng)一和穩(wěn)定。


圖1安全配置檢查框架2配置項(xiàng)和基線關(guān)系3配置項(xiàng)和插件對(duì)應(yīng)關(guān)系圖
具體實(shí)施例方式下面將以構(gòu)建一個(gè)對(duì)Windows XP系統(tǒng)進(jìn)行安全配置檢查的框架為例來(lái)描述具體實(shí)施過(guò)程。1、確定安全配置檢查的信息安全標(biāo)準(zhǔn)。對(duì)于不同的網(wǎng)絡(luò)環(huán)境，不同的組織對(duì)系統(tǒng)的安全性方面的要求也不相同，因此選擇合適的信息安全標(biāo)準(zhǔn)也很重要。信息安全標(biāo)準(zhǔn)可以分為幾個(gè)大類:I)安全體系結(jié)構(gòu)和框架標(biāo)準(zhǔn)2)分層安全協(xié)議標(biāo)準(zhǔn)3)安全技術(shù)標(biāo)準(zhǔn)4)具體應(yīng)用安全標(biāo)準(zhǔn)5)安全管理標(biāo)準(zhǔn)本實(shí)施案例采用安全體系結(jié)構(gòu)和框架標(biāo)準(zhǔn)。2、構(gòu)建配置項(xiàng)知識(shí)庫(kù)。
在確定了對(duì)目標(biāo)系統(tǒng)的安全配置檢查所基于的信息安全標(biāo)準(zhǔn)之后就可以結(jié)合目標(biāo)系統(tǒng)的知識(shí)庫(kù)構(gòu)建配置項(xiàng)知識(shí)庫(kù)了。其中配置項(xiàng)知識(shí)庫(kù)中應(yīng)包含各系統(tǒng)環(huán)境下與安全相關(guān)的所有配置項(xiàng)的有關(guān)信息。配置項(xiàng)可按以下描述的方法來(lái)定義:設(shè)系統(tǒng)配置項(xiàng)A在系統(tǒng)內(nèi)的取值范圍是S，并且A在系統(tǒng)內(nèi)的訪問(wèn)路徑等信息可用O來(lái)表不,在內(nèi)網(wǎng)環(huán)境中的取值為m,在外網(wǎng)環(huán)境中的取值為η,其中S包含m和η。于是在建立配置項(xiàng)知識(shí)庫(kù)時(shí)，知識(shí)庫(kù)應(yīng)包含(Α，S，O)三元關(guān)系組。在本實(shí)施方案中，目標(biāo)系統(tǒng)為Windows XP，初始可選網(wǎng)絡(luò)環(huán)境包括內(nèi)網(wǎng)和外網(wǎng)兩種。對(duì)于不同的系統(tǒng)模塊，分別從身份驗(yàn)證、數(shù)據(jù)完整性、機(jī)密性、可用性、訪問(wèn)授權(quán)、邊界安全及日志審計(jì)要求等方面進(jìn)行分析，識(shí)別各模塊面臨的安全威脅，從而確定需要將哪些配置項(xiàng)納入到控制范疇。為了便于配置項(xiàng)知識(shí)庫(kù)的管理，需要采用統(tǒng)一的結(jié)構(gòu)來(lái)標(biāo)識(shí)配置項(xiàng)，這樣也方便擴(kuò)充，兼容新的配置模塊。3、為每一種網(wǎng)絡(luò)環(huán)境創(chuàng)建相對(duì)應(yīng)的安全基線。安全基線與網(wǎng)絡(luò)環(huán)境一一對(duì)應(yīng)的關(guān)系，使得配置項(xiàng)在不同網(wǎng)絡(luò)環(huán)境中的取值與配置項(xiàng)的定義分開(kāi)，降低了框架模塊之間的耦合度，提高了框架的可擴(kuò)展性?；诒景l(fā)明描述的框架開(kāi)發(fā)出的軟件能夠很好的應(yīng)對(duì)網(wǎng)絡(luò)環(huán)境的復(fù)雜性。安全基線是指在某種系統(tǒng)環(huán)境下，能夠滿足目標(biāo)主機(jī)安全性的最小配置集合。例如，假設(shè)某系統(tǒng)所有配置項(xiàng)為{A，B, C，D，E}，當(dāng)所有配置項(xiàng)A、B、C、D、E取值分別為vl、v2、v3、v4、v5時(shí)，目標(biāo)主機(jī)一定是安全的。但是如果目標(biāo)主機(jī)的配置項(xiàng)當(dāng)且僅當(dāng)包含A、B、C，并且A、B、C分別取值是vl，v2，v3時(shí)，目標(biāo)主機(jī)也是安全的，則當(dāng)前系統(tǒng)環(huán)境的安全基線應(yīng)定義為{(A, vl), (B, v2), (C, v3)}。圖2所示的是配置項(xiàng)知識(shí)庫(kù)和安全基線的關(guān)系。一個(gè)配置項(xiàng)在知識(shí)庫(kù)中是唯一存在的，但它可以在不同的基線上被定義。同時(shí)在基線中被定義的配置項(xiàng)在知識(shí)庫(kù)中一定會(huì)有相對(duì)應(yīng)的。不同基線內(nèi)可以包含同一配置項(xiàng)；同一配置項(xiàng)，在不同基線內(nèi)可以指定不同的值，從而實(shí)現(xiàn)基線的不同安全級(jí)別。在本實(shí)施案例中，由于網(wǎng)絡(luò)環(huán)境只有內(nèi)網(wǎng)和外網(wǎng)兩種，因此只需要構(gòu)建Intranet和Extranet兩條基線。這兩條基線都包含了身份驗(yàn)證、數(shù)據(jù)完整性、機(jī)密性、可用性、訪問(wèn)授權(quán)、邊界安全及日志審計(jì)要求等方面的配置項(xiàng)，只是在某些配置項(xiàng)的取值上會(huì)存在一些不同。4、創(chuàng)建配置項(xiàng)檢查插件。配置項(xiàng)知識(shí)庫(kù)中有些配置項(xiàng)的檢查方法是相同的，因此可以將配置項(xiàng)按照檢查方法的不同來(lái)分類，然后針對(duì)每一類檢查方法開(kāi)發(fā)相應(yīng)的插件，從而進(jìn)一步減少載入到檢查系統(tǒng)中的插件數(shù)量，提高系統(tǒng)檢查效率。圖3所示的是配置項(xiàng)和插件對(duì)應(yīng)關(guān)系。根據(jù)圖中所示的關(guān)系，配置項(xiàng)檢查插件的實(shí)現(xiàn)可以采取以下步驟:a)從配置項(xiàng)知識(shí)庫(kù)中獲取配置項(xiàng)的信息，包括配置項(xiàng)的名稱、取值范圍和訪問(wèn)路徑等相關(guān)信息，并確定每一配置項(xiàng)的檢查方法。b)根據(jù)配置項(xiàng)的檢查方法對(duì)所有配置項(xiàng)分類，使得具有相同檢查方法的配置項(xiàng)在同一類別中。
c)從被選擇的基線中，獲取基線中定義的配置項(xiàng)的信息，包括配置項(xiàng)名稱和配置項(xiàng)的取值。d)通過(guò)配置項(xiàng)描述信息中的訪問(wèn)路徑，獲取配置項(xiàng)在目標(biāo)系統(tǒng)中實(shí)際的取值，將該值與基線中定義的取值比較，若相同，則該配置項(xiàng)滿足目標(biāo)系統(tǒng)在當(dāng)前網(wǎng)絡(luò)環(huán)境中的安全要求。在本實(shí)施方案中，部分配置項(xiàng)的檢查方法是直接從配置項(xiàng)知識(shí)庫(kù)中獲取配置項(xiàng)在系統(tǒng)注冊(cè)表中的訪問(wèn)路徑，從而根據(jù)訪問(wèn)路徑從注冊(cè)表中讀出配置項(xiàng)的值，因此針對(duì)此類型的配置項(xiàng)只需要開(kāi)發(fā)出一個(gè)插件就可以對(duì)所有這部分配置項(xiàng)進(jìn)行檢查。在本實(shí)施案例中，插件是功能的最小單元，系統(tǒng)主程序相當(dāng)于一個(gè)“容器”，每個(gè)插件封裝一個(gè)或多個(gè)配置項(xiàng)的檢測(cè)，系統(tǒng)主程序的內(nèi)核應(yīng)該只是實(shí)現(xiàn)最底層、最基本的功能，其他邏輯上可劃分的功能都應(yīng)該由插件完成。采用這種插件模式，程序的擴(kuò)展性和可維護(hù)性都能得到很大提高，只要增加插件就可以擴(kuò)充系統(tǒng)功能。5、選擇基線，裝載插件對(duì)目標(biāo)系統(tǒng)進(jìn)行檢查。對(duì)目標(biāo)系統(tǒng)進(jìn)行安全配置檢查的過(guò)程可以分為以下幾步:I)首先對(duì)目標(biāo)系統(tǒng)進(jìn)行系統(tǒng)識(shí)別。2)識(shí)別目標(biāo)系統(tǒng)的網(wǎng)絡(luò)環(huán)境。3)根據(jù)目標(biāo)系統(tǒng)的系統(tǒng)類型和網(wǎng)絡(luò)環(huán)境，從基線庫(kù)中選擇基線。4)讀取基線中包含的配置項(xiàng)，查找對(duì)應(yīng)的檢查插件，并裝載。5)啟動(dòng)檢查，導(dǎo)出配置項(xiàng)檢查結(jié)果。在如圖3所示的基線、配置項(xiàng)和插件的關(guān)系圖中，由基線中定義的配置項(xiàng)的標(biāo)識(shí)，可以在配置項(xiàng)知識(shí)庫(kù)中找到對(duì)應(yīng)的配置項(xiàng)，然后從配置項(xiàng)知識(shí)庫(kù)中配置項(xiàng)的定義中獲取檢查插件的標(biāo)識(shí)，進(jìn)而在配置項(xiàng)和插件對(duì)應(yīng)關(guān)系表中檢索到該插件。在本實(shí)施案例中，由于目標(biāo)系統(tǒng)是Windows XP，因此插件的實(shí)現(xiàn)技術(shù)采用的是Windows動(dòng)態(tài)鏈接庫(kù)技術(shù)。Windows動(dòng)態(tài)鏈接庫(kù)在運(yùn)行時(shí)被系統(tǒng)加載到進(jìn)程的虛擬空間中，使用從調(diào)用進(jìn)程的虛擬地址空間分配的內(nèi)存，成為調(diào)用進(jìn)程的一部分。根據(jù)調(diào)用方式的不同，可分為靜態(tài)調(diào)用方式和動(dòng)態(tài)調(diào)用方式。動(dòng)態(tài)調(diào)用是由編程者用API函數(shù)加載和卸載DLL來(lái)達(dá)到調(diào)用DLL的目的，能更加有效地使用內(nèi)存。與動(dòng)態(tài)庫(kù)調(diào)用有關(guān)的函數(shù)包括:I) LoadLibrary (或 AfxLoadLibrary),裝載動(dòng)態(tài)庫(kù)。2) GetPrοcAddress，獲取要引入的函數(shù)，將符號(hào)名或標(biāo)識(shí)號(hào)轉(zhuǎn)換為DLL上的內(nèi)部地址。 3) FreeLibrary (或 AfxFreeLibrary),釋放動(dòng)態(tài)庫(kù)。
權(quán)利要求
1.一種安全配置檢查框架，其特征在于，所述框架包括: (1)配置項(xiàng)知識(shí)庫(kù):根據(jù)信息安全標(biāo)準(zhǔn)庫(kù)，由信息安全領(lǐng)域?qū)＜覐氖軝z系統(tǒng)知識(shí)庫(kù)中識(shí)別出與信息安全有關(guān)的配置項(xiàng)及其信息。
(2)基線庫(kù):由配置項(xiàng)知識(shí)庫(kù)和網(wǎng)絡(luò)環(huán)境知識(shí)庫(kù)導(dǎo)出?；€是指能保證處于某一種網(wǎng)絡(luò)環(huán)境的系統(tǒng)的安全配置的最低配置要求。基線不是固定不變的，它可能會(huì)因?yàn)橛?jì)算機(jī)使用者的某些特殊要求而不同。
(3)配置項(xiàng)檢查插件庫(kù):由配置項(xiàng)檢查插件構(gòu)成。配置項(xiàng)檢查插件主要針對(duì)配置項(xiàng)知識(shí)庫(kù)中某一個(gè)配置項(xiàng)進(jìn)行檢查。
(4)配置項(xiàng)和檢查插件對(duì)應(yīng)關(guān)系表。該表主要記錄配置項(xiàng)和檢查插件之間的對(duì)應(yīng)關(guān)系。
(5)系統(tǒng)信息提取組件。該組件的功能是提取目標(biāo)系統(tǒng)的系統(tǒng)類型和網(wǎng)絡(luò)類型等信息。
(6)基線選擇組件。該組件根據(jù)對(duì)目標(biāo)系統(tǒng)提取的信息，選擇相應(yīng)的安全基線。
(7)插件裝載組件。該組件根據(jù)所選擇的基線中包含的配置項(xiàng)的信息，裝載對(duì)應(yīng)的檢查插件。
2.根據(jù)權(quán)利要求1所述的框架，其特征在于，提取出的配置項(xiàng)至少包含以下信息:配置項(xiàng)標(biāo)識(shí)、配置項(xiàng)名稱、配置項(xiàng)可選取值范圍和配置項(xiàng)在系統(tǒng)中的路徑。
3.根據(jù)權(quán)利要求1或2所述的框架，其特征在于，構(gòu)建出的插件至少包含以下信息:插件標(biāo)識(shí)、插件名稱、插件輸入輸出表。
4.根據(jù)權(quán)利要求2或3所述的框架，其特征在于，配置項(xiàng)和插件對(duì)應(yīng)關(guān)系表中至少包含以下信息:配置項(xiàng)標(biāo)識(shí)和插件標(biāo)識(shí)。
5.一種安全配置檢查框架構(gòu)造方法，其特征在于，所述方法包含以下步驟: (1)根據(jù)信息安全標(biāo)準(zhǔn)和受檢系統(tǒng)知識(shí)庫(kù)，構(gòu)建配置項(xiàng)知識(shí)庫(kù)，使該知識(shí)庫(kù)包括與系統(tǒng)安全有關(guān)的配置項(xiàng)的所有信息。
(2)根據(jù)配置項(xiàng)知識(shí)庫(kù)，構(gòu)建配置項(xiàng)檢查插件庫(kù)，并建立配置項(xiàng)和檢查插件的對(duì)應(yīng)關(guān)系表，使得在配置項(xiàng)知識(shí)庫(kù)中的每一個(gè)配置項(xiàng)，在配置項(xiàng)檢查插件庫(kù)都有與之對(duì)應(yīng)的檢查插件。
(3)根據(jù)網(wǎng)絡(luò)環(huán)境知識(shí)庫(kù)和配置項(xiàng)知識(shí)庫(kù)，構(gòu)建基線庫(kù)，使得每一種網(wǎng)絡(luò)環(huán)境都有一條基線與之對(duì)應(yīng)。
(4)根據(jù)導(dǎo)入的經(jīng)過(guò)處理過(guò)的目標(biāo)系統(tǒng)的信息，選擇基線，裝載插件，啟動(dòng)對(duì)目標(biāo)系統(tǒng)的安全配置檢查。
6.根據(jù)權(quán)利要求5所述的方法，其特征在于:配置項(xiàng)檢查插件并非和配置項(xiàng)是一一對(duì)應(yīng)的關(guān)系，而是一個(gè)配置項(xiàng)檢查插件與一類配置項(xiàng)相對(duì)應(yīng)。所有可以采用相同方法來(lái)檢查的配置項(xiàng)可以用同一個(gè)檢查插件檢查。
7.根據(jù)權(quán)利要求5或6所述的方法，其特征在于:需要對(duì)目標(biāo)系統(tǒng)進(jìn)行檢測(cè)，判斷出目標(biāo)系統(tǒng)的系統(tǒng)類型和網(wǎng)絡(luò)類型，然后根據(jù)這些詳細(xì)信息才能選擇所要依據(jù)的安全基線。
全文摘要
本發(fā)明公開(kāi)了一種安全配置檢查框架及其構(gòu)造方法。該框架包括配置項(xiàng)知識(shí)庫(kù)、基線庫(kù)、配置項(xiàng)檢查插件庫(kù)以及配置項(xiàng)和檢查插件對(duì)應(yīng)關(guān)系表。通過(guò)知識(shí)庫(kù)和基線庫(kù)支撐，該框架的檢測(cè)能力得以擴(kuò)展，對(duì)網(wǎng)絡(luò)環(huán)境的適應(yīng)性也變得靈活；配置項(xiàng)檢查技術(shù)以插件方式封裝則能夠?qū)⒉寮夹g(shù)很好的應(yīng)用于安全測(cè)評(píng)領(lǐng)域，以授權(quán)只讀的方式完成配置信息的提?。粰z查插件的對(duì)應(yīng)關(guān)系便于插件間的互相調(diào)用與支撐。
文檔編號(hào)G06F21/55GK103176786SQ20111044027
公開(kāi)日2013年6月26日 申請(qǐng)日期2011年12月26日 優(yōu)先權(quán)日2011年12月26日
發(fā)明者連一峰, 張海霞, 陳平, 黎澤宇 申請(qǐng)人:中科信息安全共性技術(shù)國(guó)家工程研究中心有限公司