一種安全基線核查方法和設(shè)備的制作方法
【專利摘要】本發(fā)明提供一種安全基線核查方法和設(shè)備，涉及通信領(lǐng)域，當(dāng)運(yùn)營(yíng)商網(wǎng)絡(luò)中設(shè)備配置有變更時(shí)，主動(dòng)實(shí)時(shí)的核查變更的配置是否符合安全基線的安全要求，從而消除被核查設(shè)備的安全隱患，包括：接收被核查設(shè)備發(fā)送的SNMP消息；從所述SNMP消息中，獲取攜帶有變更的配置參數(shù)的配置變更SNMP消息；所述配置變更SNMP消息是當(dāng)所述被核查設(shè)備的配置發(fā)生變更時(shí)發(fā)送的；若所述配置變更SNMP消息中攜帶的變更的配置參數(shù)超過(guò)存儲(chǔ)的基線核查模版的安全要求范圍，則確定所述變更的配置參數(shù)不符合安全要求。本發(fā)明提供的安全基線核查方法和設(shè)備應(yīng)用于安全基線核查。
【專利說(shuō)明】一種安全基線核查方法和設(shè)備

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域，尤其涉及一種安全基線核查方法和設(shè)備。

【背景技術(shù)】
[0002]隨著運(yùn)營(yíng)商網(wǎng)絡(luò)應(yīng)用日益豐富，網(wǎng)絡(luò)技術(shù)架構(gòu)不斷演進(jìn)，各類新的安全問(wèn)題不斷涌現(xiàn)，因此，各類安全檢測(cè)方法也應(yīng)運(yùn)而生。其中，安全基線核查是最廣泛采用的途徑之一。
[0003]目前，安全基線核查是在運(yùn)營(yíng)商網(wǎng)絡(luò)中各設(shè)備的配置發(fā)生變更的情況下，根據(jù)基線核查模板的安全要求與運(yùn)營(yíng)商網(wǎng)絡(luò)、各設(shè)備的配置周期性進(jìn)行手動(dòng)或自動(dòng)核查，從而核查出運(yùn)營(yíng)商網(wǎng)絡(luò)、各設(shè)備的配置是否符合安全要求，其中，基線核查模板是多個(gè)被核查設(shè)備的各個(gè)配置的安全要求集合。以運(yùn)維人員手動(dòng)核查為例，假設(shè)運(yùn)維人員每月15號(hào)10-12點(diǎn)核查運(yùn)營(yíng)商網(wǎng)絡(luò)中各設(shè)備，若A設(shè)備的配置在I月I日半夜I點(diǎn)自動(dòng)升級(jí)(也就是說(shuō)A設(shè)備的配置在I月I號(hào)半夜I點(diǎn)發(fā)生變更)，但是運(yùn)維人員并不知道A設(shè)備的配置已經(jīng)升級(jí)，運(yùn)維人員會(huì)在14天后(I月15號(hào))的10-12點(diǎn)對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)中各設(shè)備核查，從而判斷該各個(gè)設(shè)備(包括A設(shè)備)的配置是否符合安全要求。由于變更的配置可能存在不符合安全要求的情況，在被核查之前，有很長(zhǎng)一段時(shí)間(14天)A設(shè)備和整個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)都可能存在安全隱患。同理，周期性的自動(dòng)核查也存在上述問(wèn)題。


【發(fā)明內(nèi)容】

[0004]本發(fā)明的實(shí)施例提供一種安全基線核查方法和設(shè)備，當(dāng)運(yùn)營(yíng)商網(wǎng)絡(luò)中設(shè)備配置有變更時(shí)，主動(dòng)實(shí)時(shí)的核查變更的配置是否符合安全基線的安全要求，從而消除由于核查滯后存在的安全隱患。
[0005]為達(dá)到上述目的，本發(fā)明的實(shí)施例采用如下技術(shù)方案:
[0006]第一方面，一種安全基線核查方法，包括:
[0007]接收被核查設(shè)備發(fā)送的SNMP消息；
[0008]從所述SNMP消息中，獲取攜帶有變更的配置參數(shù)的配置變更SNMP消息；所述配置變更SNMP消息是當(dāng)所述被核查設(shè)備的配置發(fā)生變更時(shí)發(fā)送的；
[0009]若所述配置變更SNMP消息中攜帶的變更的配置參數(shù)超過(guò)存儲(chǔ)的基線核查模版的安全要求范圍，則確定變更的配置不符合安全要求。
[0010]第二方面，一種安全基線核查設(shè)備，包括:
[0011]配置變更監(jiān)測(cè)模塊，用于接收被核查設(shè)備發(fā)送的SNMP消息；
[0012]消息審計(jì)過(guò)濾模塊，用于從所述SNMP消息中，獲取攜帶有變更的配置參數(shù)的配置變更SNMP消息；所述配置變更SNMP消息是當(dāng)所述被核查設(shè)備的配置發(fā)生變更時(shí)發(fā)送的；
[0013]對(duì)比模塊，用于若所述配置變更SNMP消息中攜帶的變更的配置參數(shù)超過(guò)存儲(chǔ)的基線核查模版的安全要求范圍，則確定變更的配置不符合安全要求。
[0014]本發(fā)明實(shí)施例提供一種安全基線核查方法和設(shè)備，只要配置發(fā)生變更，就能夠自動(dòng)實(shí)時(shí)接收到攜帶有變更的配置參數(shù)的配置參數(shù)SNMP消息，再根據(jù)配置參數(shù)SNMP消息中的配置參數(shù)與存儲(chǔ)的安全要求范圍，判定該配置參數(shù)是否符合安全要求，因此，本發(fā)明提供的方法能夠當(dāng)運(yùn)營(yíng)商網(wǎng)絡(luò)中設(shè)備配置有變更時(shí)，主動(dòng)實(shí)時(shí)的核查變更的配置是否符合安全基線的安全要求，從而消除由于核查滯后存在的安全隱患。

【專利附圖】

【附圖說(shuō)明】
[0015]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0016]圖1為現(xiàn)有的安全基線核查方法的示意圖；
[0017]圖2為本發(fā)明實(shí)施例提供的一種安全基線核查方法的流程圖；
[0018]圖3為現(xiàn)有的安全基線核查設(shè)備和本發(fā)明實(shí)施例的安全基線核查設(shè)備的示例圖；
[0019]圖4為本發(fā)明實(shí)施例提供的另一種安全基線核查方法的流程圖；
[0020]圖5為本發(fā)明實(shí)施例提供的一種安全基線核查設(shè)備的結(jié)構(gòu)示意圖；
[0021]圖6為本發(fā)明實(shí)施例提供的另一種安全基線核查設(shè)備的結(jié)構(gòu)示意圖。

【具體實(shí)施方式】
[0022]下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0023]首先對(duì)“安全基線” 一詞進(jìn)行解釋說(shuō)明?！鞍踩€”概念借用了傳統(tǒng)的“基線”概念，“基線”是一種在測(cè)量、計(jì)算或定位中的基本參照。安全基線即是最基本的安全要求。例如在企業(yè)信息系統(tǒng)中建立安全基線，如對(duì)每個(gè)網(wǎng)元、應(yīng)用系統(tǒng)都定義安全基準(zhǔn)點(diǎn)，即設(shè)定滿足最基本安全要求的條件，并在設(shè)備入網(wǎng)測(cè)試、工程驗(yàn)收和運(yùn)行維護(hù)等設(shè)備全生命周期各個(gè)階段加強(qiáng)和落實(shí)安全基線要求，則可以進(jìn)行風(fēng)險(xiǎn)的度量，做到風(fēng)險(xiǎn)可控可管。其中，在安全基線版本不變的情況下，具體的核查基線核查過(guò)程如圖1所示，包括:安全基線核查設(shè)備開(kāi)啟；被核查設(shè)備入網(wǎng)；設(shè)定安全基線；基線核查和控制；度量與輸出核查結(jié)果。
[0024]實(shí)施例一
[0025]本發(fā)明實(shí)施例提供一種安全基線核查方法，如圖2所示，其中，被核查設(shè)備是具有SNMP (Simple Network Management Protocol,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)功能的設(shè)備，該方法可以包括:
[0026]步驟101、接收被核查設(shè)備發(fā)送的SNMP消息。
[0027]步驟102、從SNMP消息中，獲取攜帶有變更的配置參數(shù)的配置變更SNMP消息；該配置變更SNMP消息是當(dāng)所述被核查設(shè)備的配置發(fā)生變更時(shí)發(fā)送的。
[0028]步驟103、若配置變更SNMP消息中攜帶的變更的配置參數(shù)超過(guò)存儲(chǔ)的基線核查模版的安全要求范圍，則確定變更的配置參數(shù)不符合安全要求。
[0029]基線核查模版的安全要求范圍包括被核查的各個(gè)設(shè)備的安全配置的安全要求，配置的安全要求主要包括了賬號(hào)、口令、授權(quán)、密碼、日志、IP(Internet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議)通信等方面安全范圍，反映了系統(tǒng)自身的安全脆弱性。配置的安全要求與系統(tǒng)的相關(guān)性非常大，同一個(gè)配置項(xiàng)在不同業(yè)務(wù)環(huán)境中的配置的安全要求是不一樣的，如在WEB (互聯(lián)網(wǎng))系統(tǒng)邊界防火墻中需要開(kāi)啟HTTP (Hypertext transfer protocol,超文本傳送協(xié)議)通信，但一個(gè)WAP (Wireless Applicat1n Protocol,無(wú)線應(yīng)用協(xié)議)網(wǎng)關(guān)邊界就沒(méi)有這樣的需求，因此在設(shè)計(jì)業(yè)務(wù)系統(tǒng)安全基線的時(shí)候，配置的安全要求安全配置是一個(gè)關(guān)注的重點(diǎn)。示例的，假設(shè)運(yùn)維人員強(qiáng)制將密碼長(zhǎng)度為從原來(lái)的8變更成10，同時(shí)，被核查設(shè)備生成發(fā)送攜帶有變更的密碼長(zhǎng)度是10的配置變更SNMP消息，從而判斷配置變更SNMP消息中的10是否在預(yù)設(shè)的范圍[6，8]中，因此，由于10不再[6，8]中，認(rèn)為變更的密碼長(zhǎng)度不符合安全要求。
[0030]這樣一來(lái)，只要配置發(fā)生變更，就能夠自動(dòng)實(shí)時(shí)接收到攜帶有變更的配置參數(shù)的配置參數(shù)SNMP消息，再根據(jù)配置參數(shù)SNMP消息中的配置參數(shù)與存儲(chǔ)的安全要求范圍，判定該配置參數(shù)是否符合安全要求，因此，本發(fā)明提供的方法能夠當(dāng)運(yùn)營(yíng)商網(wǎng)絡(luò)中設(shè)備配置有變更時(shí)，主動(dòng)實(shí)時(shí)的核查變更的配置是否符合安全基線的安全要求，從而消除由于核查滯后存在的安全隱患。
[0031]進(jìn)一步的，步驟102可以具體包括:根據(jù)預(yù)設(shè)關(guān)鍵字，從SNMP消息中確定出攜帶有變更的配置參數(shù)的配置變更SNMP消息。其中，SNMP消息報(bào)文可以包括SNMP協(xié)議版本號(hào)、團(tuán)體名和協(xié)議數(shù)據(jù)單元，協(xié)議存儲(chǔ)單元可以只存儲(chǔ)關(guān)鍵字，也可以存儲(chǔ)變更的配置參數(shù)和關(guān)鍵字。關(guān)鍵字可以是變更的配置參數(shù)存儲(chǔ)在管理信息庫(kù)的OID(Object identifier，對(duì)象標(biāo)識(shí))；又由于OID非常長(zhǎng)且難以記住，因此，人們?cè)O(shè)計(jì)了一種與OID —一對(duì)應(yīng)的可讀的格式的映射，例如 OID 為:.1.3.6.1.2.1.25.2.2，對(duì)應(yīng)的映射為:.1s0.0rg.dod.1nternet,mgmt.mib-2.host.hrStorage.hrMemorySize,因此,該關(guān)鍵字還可以是與OID對(duì)應(yīng)的映射。其中，管理信息庫(kù)給出了一個(gè)網(wǎng)絡(luò)中所有可能的被核查設(shè)備的集合的數(shù)據(jù)結(jié)構(gòu)，管理信息庫(kù)采用和域名系統(tǒng)DNS相似的樹(shù)型結(jié)構(gòu)，它的根在最上面，根沒(méi)有名字，OID就是用于查詢從根到具體的樹(shù)型結(jié)構(gòu)上各個(gè)節(jié)點(diǎn)的標(biāo)識(shí)。因此，若協(xié)議存儲(chǔ)單元可以只存儲(chǔ)0ID，那么可以通過(guò)OID在管理信息庫(kù)中查詢到對(duì)應(yīng)的配置參數(shù)。
[0032]值得說(shuō)明的是，為了更準(zhǔn)確的確定出攜帶有變更的配置參數(shù)的配置變更SNMP消息，本發(fā)明實(shí)施例還可以根據(jù)預(yù)設(shè)關(guān)鍵字和預(yù)設(shè)SNMP消息兩方面來(lái)確定。
[0033]進(jìn)一步的，在開(kāi)機(jī)初始情況下，所述方法還可以包括:存儲(chǔ)基線核查模版。當(dāng)變更的配置不符合安全要求，所述方法包括:顯示用于提醒運(yùn)維人員配置參數(shù)是否更改的第一提醒信息，以便于運(yùn)維人員在看到第一提醒后，發(fā)送相應(yīng)的指令；接收運(yùn)維人員的第一更新指令；根據(jù)第一更新指令，用變更的配置參數(shù)更新基線核查模版的對(duì)應(yīng)的配置參數(shù)，得到更新后的基線核查模版。
[0034]進(jìn)一步的，所述方法還包括:當(dāng)設(shè)備配置變更完成時(shí)，顯示用于提醒運(yùn)維人員是否更新基線核查模板的第二提醒信息，以便于運(yùn)維人員在看到所述第二提醒后，發(fā)送相應(yīng)的指令；接收運(yùn)維人員的第二更新指令；根據(jù)所述第二更新指令，用所述更新后的基線核查模板代替所述基線核查模版，得到新的基線核查模板；根據(jù)新的基線核查模板，生成新的基線核查模版的安全要求范圍。
[0035]所述當(dāng)設(shè)備配置變更完成時(shí)，顯示用于提醒是否更新基線核查模板的第二提醒之后，所述方法還包括:接收運(yùn)維人員的不更新指令；刪除所述更新后的基線核查模板。值得說(shuō)明的是，由于該模板可能被多個(gè)系統(tǒng)同時(shí)使用，運(yùn)維人員根據(jù)各個(gè)系統(tǒng)中被核查設(shè)備的配置變更情況，選擇合適自身的版本。
[0036]實(shí)施例二
[0037]本發(fā)明另一實(shí)施例提供一種安全基線核查方法，應(yīng)用于安全基線核查設(shè)備(圖3_b)，相較于現(xiàn)有的安全基線核查設(shè)備(圖3_a)包括系統(tǒng)管理模塊、任務(wù)配置模塊、模板管理模塊、日志模塊、數(shù)據(jù)庫(kù)模塊和核查模塊，還包括配置變更監(jiān)測(cè)模塊、消息審計(jì)過(guò)濾模塊、對(duì)比模塊、版本控制模塊和用戶配置模塊，其中本發(fā)明增加的模塊在后續(xù)會(huì)繼續(xù)介紹，本發(fā)明實(shí)施例用于核查A設(shè)備，
[0038]如圖4所示，該方法可以包括:
[0039]步驟201、當(dāng)開(kāi)機(jī)時(shí)，版本控制模塊存儲(chǔ)基線核查模版，執(zhí)行步驟202。
[0040]該基線核查模板是當(dāng)前的版本控制模板，該版本內(nèi)包括A設(shè)備的各個(gè)配置參數(shù)。
[0041]步驟202、A設(shè)備向配置變更監(jiān)測(cè)模塊發(fā)送SNMP消息，執(zhí)行步驟203。
[0042]步驟203、配置變更監(jiān)測(cè)模塊向消息審計(jì)過(guò)濾模塊發(fā)送SNMP消息，執(zhí)行步驟204。
[0043]步驟204、消息審計(jì)過(guò)濾模塊根據(jù)預(yù)設(shè)關(guān)鍵字，從SNMP消息中確定出攜帶有變更的配置參數(shù)的配置變更SNMP消息，執(zhí)行步驟205。
[0044]示例的，假設(shè)關(guān)鍵字是密碼長(zhǎng)度的0ID。因此，消息審計(jì)過(guò)濾模塊可以獲取每個(gè)SNMP消息中OID，判斷每個(gè)SNMP消息中OID和密碼長(zhǎng)度的OID是否相同，若存在SNMP消息的OID與密碼長(zhǎng)度的OID相同，則確定該SNMP消息是配置變更SNMP消息。本發(fā)明確定配置變更SNMP消息的方法有很多種，不限于此。
[0045]步驟205、消息審計(jì)過(guò)濾模塊向?qū)Ρ饶K發(fā)送配置變更SNMP消息，執(zhí)行步驟206。
[0046]步驟206、對(duì)比模塊判斷變更的配置參數(shù)是否超過(guò)存儲(chǔ)的基線核查模版的安全要求范圍。若否，則執(zhí)行步驟202 ;若是，則執(zhí)行步驟207。
[0047]步驟207、若變更的配置參數(shù)超過(guò)存儲(chǔ)的基線核查模版的安全要求范圍，則對(duì)比模塊向版本控制模塊發(fā)送第一提醒信息，執(zhí)行步驟208。
[0048]該第一提醒信息用于提醒運(yùn)維人員是否更改配置參數(shù)。
[0049]步驟208、版本控制模塊顯示第一提醒信息，執(zhí)行步驟209或210。
[0050]以便于運(yùn)維人員在看到所述第一提醒信息后，發(fā)送相應(yīng)的指令，其中，該相應(yīng)的指令為第一更新指令或第一不更新指令。
[0051]步驟209、運(yùn)維人員向版本控制模塊發(fā)送第一不更新指令，執(zhí)行步驟202。
[0052]步驟210、運(yùn)維人員向版本控制模塊發(fā)送第一更新指令，執(zhí)行步驟211。
[0053]步驟211、版本控制模塊根據(jù)第一更新指令，用變更的配置參數(shù)更新基線核查模版的對(duì)應(yīng)的配置參數(shù)，得到更新后的基線核查模版，執(zhí)行步驟202，直到設(shè)備變更完成。
[0054]步驟212、當(dāng)設(shè)備配置變更完成時(shí)，用戶配置模塊顯示用于提醒是否更新基線核查模板的第二提醒信息，執(zhí)行步驟213或216。
[0055]以便于運(yùn)維人員在看到第二提醒信息后，發(fā)送相應(yīng)的指令，相應(yīng)的指令指的是第二更新指令或不更新指令。
[0056]步驟213、運(yùn)維人員向用戶配置模塊發(fā)送第二更新指令，執(zhí)行步驟214。
[0057]步驟214、用戶配置模塊根據(jù)第二更新指令，用更新后的基線核查模板代替所述基線核查模版，得到新的基線核查模板，執(zhí)行步驟215。
[0058]步驟215、用戶配置模塊根據(jù)新的基線核查模板，生成新的基線核查模版的安全要求范圍。
[0059]由于舊的基線核查模板的安全要求范圍已經(jīng)不能夠滿足新的基線核查模板的要求了，因此，用戶既然選擇新的基線核查模板，相應(yīng)的，變更的配置參數(shù)的安全要求范圍也應(yīng)該改變。示例的，原先的配置要求為密碼長(zhǎng)度為6-8位，但運(yùn)維人員最終強(qiáng)行配置為10位，因此新的基線核查模版的參數(shù)則根據(jù)運(yùn)維人員的更改記錄調(diào)整為6-10位。
[0060]步驟216、運(yùn)維人員向用戶配置模塊發(fā)送不更新指令，執(zhí)行步驟216。
[0061]步驟217、用戶配置模塊刪除更新后的基線核查模板。
[0062]本發(fā)明實(shí)施例提供一種安全基線核查方法，當(dāng)配置發(fā)生更改并不符合原來(lái)的安全基線模版時(shí)，利用更新的模版，并由運(yùn)維人員決定是否生成最新版本安全基線模版。從而不再被動(dòng)等待運(yùn)維人員來(lái)進(jìn)行版本升級(jí)，而是由安全基線核查設(shè)備主動(dòng)在配置變更時(shí)提醒并自動(dòng)與運(yùn)維人員進(jìn)行版本升級(jí)。
[0063]實(shí)施例三
[0064]本發(fā)明實(shí)施例提供一種安全基線核查設(shè)備30，如圖5所示，可以包括:
[0065]配置變更監(jiān)測(cè)模塊301，用于接收被核查設(shè)備發(fā)送的SNMP消息。
[0066]消息審計(jì)過(guò)濾模塊302，用于從所述SNMP消息中，獲取攜帶有變更的配置參數(shù)的配置變更SNMP消息；所述配置變更SNMP消息是當(dāng)所述被核查設(shè)備的配置發(fā)生變更時(shí)發(fā)送的。
[0067]對(duì)比模塊303，用于若所述配置變更SNMP消息中攜帶的變更的配置參數(shù)超過(guò)存儲(chǔ)的基線核查模版的安全要求范圍，則確定所述變更的配置參數(shù)不符合安全要求。
[0068]這樣一來(lái)，只要配置發(fā)生變更，就能夠自動(dòng)實(shí)時(shí)接收到攜帶有變更的配置參數(shù)的配置參數(shù)SNMP消息，再根據(jù)配置參數(shù)SNMP消息中的配置參數(shù)與存儲(chǔ)的安全要求范圍，判定該配置參數(shù)是否符合安全要求，因此，本發(fā)明提供的設(shè)備能夠當(dāng)運(yùn)營(yíng)商網(wǎng)絡(luò)中設(shè)備配置有變更時(shí)，主動(dòng)實(shí)時(shí)的核查變更的配置是否符合安全基線的安全要求，從而消除由于核查滯后存在的安全隱患。
[0069]具體的，所述消息審計(jì)過(guò)濾模塊302具體用于:
[0070]根據(jù)預(yù)設(shè)關(guān)鍵字，從所述SNMP消息中確定出攜帶有變更的配置參數(shù)的配置變更SNMP消息。
[0071]進(jìn)一步的，在開(kāi)機(jī)初始情況下，如圖6所示，所述設(shè)備30還包括:
[0072]版本控制模塊304，用于存儲(chǔ)所述基線核查模版。
[0073]進(jìn)一步的，當(dāng)變更的配置不符合安全要求，所述版本控制模塊304，還用于:
[0074]存儲(chǔ)所述基線核查模版。
[0075]當(dāng)變更的配置不符合安全要求，所述方法包括:
[0076]顯示用于提醒運(yùn)維人員所述配置參數(shù)是否更改的第一提醒信息；
[0077]接收運(yùn)維人員的第一更新指令；
[0078]根據(jù)所述第一更新指令，用所述變更的配置參數(shù)更新所述基線核查模版的對(duì)應(yīng)的配置參數(shù)，得到更新后的基線核查模版。
[0079]進(jìn)一步的,如圖6所示,所述設(shè)備30還包括:
[0080]用戶配置模塊305,用于:
[0081]當(dāng)設(shè)備配置變更完成時(shí)，顯示用于提醒運(yùn)維人員是否更新基線核查模板的第二提醒信息；
[0082]接收運(yùn)維人員的第二更新指令；
[0083]根據(jù)所述第二更新指令，用所述更新后的基線核查模板代替所述基線核查模版，得到新的基線核查模板；
[0084]根據(jù)所述新的基線核查模板，生成新的基線核查模版的安全要求范圍。
[0085]用戶配置模塊305，還用于:
[0086]接收運(yùn)維人員的不更新指令；
[0087]刪除所述更新后的基線核查模板。
[0088]本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成，前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，執(zhí)行包括上述方法實(shí)施例的步驟；而前述的存儲(chǔ)介質(zhì)包括:R0M、RAM、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)。
[0089]以上所述，僅為本發(fā)明的【具體實(shí)施方式】，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。
【權(quán)利要求】
1.一種安全基線核查方法，其特征在于，包括: 接收被核查設(shè)備發(fā)送的簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP消息； 從所述SNMP消息中，獲取攜帶有變更的配置參數(shù)的配置變更SNMP消息；所述配置變更SNMP消息是當(dāng)所述被核查設(shè)備的配置發(fā)生變更時(shí)發(fā)送的； 若所述配置變更SNMP消息中攜帶的變更的配置參數(shù)超過(guò)存儲(chǔ)的基線核查模版的安全要求范圍，則確定所述變更的配置參數(shù)不符合安全要求。
2.根據(jù)權(quán)利要求1所述的安全基線核查方法，其特征在于，所述從所述SNMP消息中，獲取攜帶有變更的配置參數(shù)的配置變更SNMP消息，包括: 根據(jù)預(yù)設(shè)關(guān)鍵字，從所述SNMP消息中確定出攜帶有變更的配置參數(shù)的配置變更SNMP消息。
3.根據(jù)權(quán)利要求2所述的安全基線核查方法，其特征在于， 在開(kāi)機(jī)初始情況下，所述方法還包括:存儲(chǔ)所述基線核查模版； 當(dāng)變更的配置不符合安全要求，所述方法還包括: 顯示用于提醒運(yùn)維人員所述配置參數(shù)是否更改的第一提醒信息； 接收運(yùn)維人員的第一更新指令； 根據(jù)所述第一更新指令，用所述變更的配置參數(shù)更新所述基線核查模版的對(duì)應(yīng)的配置參數(shù)，得到更新后的基線核查模版。
4.根據(jù)權(quán)利要求3所述的安全基線核查方法，其特征在于，所述方法還包括: 當(dāng)設(shè)備配置變更完成時(shí)，顯示用于提醒運(yùn)維人員是否更新基線核查模板的第二提醒信息； 接收運(yùn)維人員的第二更新指令； 根據(jù)所述第二更新指令，用所述更新后的基線核查模板代替所述基線核查模版，得到新的基線核查模板； 根據(jù)所述新的基線核查模板，生成新的基線核查模版的安全要求范圍。
5.根據(jù)權(quán)利要求3所述的安全基線核查方法，其特征在于，所述當(dāng)設(shè)備配置變更完成時(shí)，顯示用于提醒運(yùn)維人員是否更新基線核查模板的第二提醒信息之后，所述方法還包括: 接收運(yùn)維人員的不更新指令； 刪除所述更新后的基線核查模板。
6.一種安全基線核查設(shè)備，其特征在于，包括: 配置變更監(jiān)測(cè)模塊，用于接收被核查設(shè)備發(fā)送的SNMP消息； 消息審計(jì)過(guò)濾模塊，用于從所述SNMP消息中，獲取攜帶有變更的配置參數(shù)的配置變更SNMP消息；所述配置變更SNMP消息是當(dāng)所述被核查設(shè)備的配置發(fā)生變更時(shí)發(fā)送的； 對(duì)比模塊，用于若所述配置變更SNMP消息中攜帶的變更的配置參數(shù)超過(guò)存儲(chǔ)的基線核查模版的安全要求范圍，則確定所述變更的配置參數(shù)不符合安全要求。
7.根據(jù)權(quán)利要求6所述的安全基線核查設(shè)備，其特征在于，所述消息審計(jì)過(guò)濾模塊具體用于: 根據(jù)預(yù)設(shè)關(guān)鍵字，從所述SNMP消息中確定出攜帶有變更的配置參數(shù)的配置變更SNMP消息。
8.根據(jù)權(quán)利要求7所述的安全基線核查設(shè)備，其特征在于，在開(kāi)機(jī)初始情況下，所述設(shè)備還包括: 版本控制模塊，用于存儲(chǔ)所述基線核查模版； 當(dāng)變更的配置不符合安全要求，所述版本控制模塊，還用于: 顯示用于提醒運(yùn)維人員所述配置參數(shù)是否更改的第一提醒信息； 接收運(yùn)維人員的第一更新指令； 根據(jù)所述第一更新指令，用所述變更的配置參數(shù)更新所述基線核查模版的對(duì)應(yīng)的配置參數(shù)，得到更新后的基線核查模版。
9.根據(jù)權(quán)利要求8所述的安全基線核查設(shè)備，其特征在于，所述設(shè)備還包括: 用戶配置模塊，用于: 當(dāng)設(shè)備配置變更完成時(shí)，顯示用于提醒運(yùn)維人員是否更新基線核查模板的第二提醒信息； 接收運(yùn)維人員的第二更新指令； 根據(jù)所述第二更新指令，用所述更新后的基線核查模板代替所述基線核查模版，得到新的基線核查模板； 根據(jù)所述新的基線核查模板，生成新的基線核查模版的安全要求范圍。
10.根據(jù)權(quán)利要求8所述的安全基線核查設(shè)備，其特征在于，所述用戶配置模塊，還用于: 接收運(yùn)維人員的不更新指令； 刪除所述更新后的基線核查模板。
【文檔編號(hào)】H04L12/24GK104363107SQ201410563532
【公開(kāi)日】2015年2月18日 申請(qǐng)日期:2014年10月21日 優(yōu)先權(quán)日:2014年10月21日
【發(fā)明者】唐磊, 李?yuàn)檴? 賈亦辰, 馬錚, 高楓, 白曉媛, 俞播, 姜楠 申請(qǐng)人:中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司