CN112733147A - 设备安全管理方法及*** - Google Patents
设备安全管理方法及*** Download PDFInfo
- Publication number
- CN112733147A CN112733147A CN202110016967.9A CN202110016967A CN112733147A CN 112733147 A CN112733147 A CN 112733147A CN 202110016967 A CN202110016967 A CN 202110016967A CN 112733147 A CN112733147 A CN 112733147A
- Authority
- CN
- China
- Prior art keywords
- equipment
- information
- management system
- script
- deployment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 201
- 238000013515 script Methods 0.000 claims abstract description 80
- 230000000694 effects Effects 0.000 claims abstract description 18
- 238000005457 optimization Methods 0.000 claims abstract description 18
- 238000004891 communication Methods 0.000 claims description 17
- 238000003860 storage Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 230000005856 abnormality Effects 0.000 claims description 10
- 230000008531 maintenance mechanism Effects 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 abstract description 24
- 238000000034 method Methods 0.000 abstract description 15
- 230000000875 corresponding effect Effects 0.000 description 38
- 238000012423 maintenance Methods 0.000 description 24
- 238000001514 detection method Methods 0.000 description 10
- 230000002155 anti-virotic effect Effects 0.000 description 8
- 238000009434 installation Methods 0.000 description 7
- 239000000047 product Substances 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000009826 distribution Methods 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/69—Types of network addresses using geographic information, e.g. room number
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种设备安全管理方法及***,属于云计算技术领域。该设备安全管理方法包括:从各个管理***中采集设备信息,根据设备信息对应的管理***确定设备的设备类型;根据设备类型对应的策略基线和设备信息确定设备部署异常;根据设备部署异常生成优化脚本;运行优化脚本,生成脚本运行结果。本发明可以满足设备安全管控要求,统一分析标准,降低安全风险,提高整改效果和效率。
Description
技术领域
本发明涉及云计算技术领域,具体地,涉及一种设备安全管理方法及***。
背景技术
在对大型集团企业内海量设备进行安全管理时,需要对多种用途不同的设备进行多重有针对性的防护,所以大型集团会从不同厂商采购或自行研发包括客户端管理、防病毒管理、用户管理、补丁管理等各类安全管理***。而大型企业本身的体量决定了全集团上下需要使用到近百万量级的设备来处理日常面临的各类业务、办公等复杂需求。鉴于各安全管理***的侧重点不同,集团内设备间差异大,需针对不同类型和用途的设备部署差异化的安全管理***和定制化的信息安全防护策略,现有的各种综合化安全防护***已经无法满足大型集团目前的需求。在实践时,会发现需要面对以下几类问题:
1、涉及安全管理***多,各产品、平台间报表兼容性弱:每台设备涉及多个安全管理***的安装和多条安全策略的部署,各产品的运维人员各自为政,相关报表存储在不同的存储***,在以设备为维度进行风险排查时,涉及大量记录,需要分别获取来自各个平台的报表,对应数据难以整合。如防病毒管理***和微软补丁分发管理***的报表就可能使用不同的变量作为设备维护部门的标识,也用不同的变量标记设备是否在线。此外,个别产品可能存在缺陷,导致防护记录不完整或功能并不全面,无法对设备进行彻底的检查。
2、对未部署安全管理***的设备存在检测和管控死角:多数安全管理***自身缺少自发现功能,只能对已部署安全管理***的设备进行检测,而未安装部署安全管理***的设备无法进行主动发现,使未部署安全管理***的设备长期处于信息安全监测死角,缺少有效的安全管控,存在安全风险。
3、检测分析结果无法快速定位问题,缺少处置方案:现有的工具对于缺失策略的设备,无法进行自动部署以及时对问题进行修复;对于策略部署或安全管理***部署出现问题的设备,处置方案不明确,导致问题的整改效果差、效率低。
发明内容
本发明实施例的主要目的在于提供一种设备安全管理方法及***,以满足设备安全管控要求,统一分析标准,降低安全风险,提高整改效果和效率。
为了实现上述目的,本发明实施例提供一种设备安全管理方法,包括:
从各个管理***中采集设备信息,根据设备信息对应的管理***确定设备的设备类型;
根据设备类型对应的策略基线和设备信息确定设备部署异常;
根据设备部署异常生成优化脚本;
运行优化脚本,生成脚本运行结果。
本发明实施例还提供一种设备安全管理***,包括:
设备类型确定单元,用于从各个管理***中采集设备信息,根据设备信息对应的管理***确定设备的设备类型;
设备异常确定单元,用于根据设备类型对应的策略基线和设备信息确定设备部署异常;
脚本生成单元,用于根据设备部署异常生成优化脚本;
脚本运行单元,用于运行优化脚本,生成脚本运行结果。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并在处理器上运行的计算机程序,处理器执行计算机程序时实现所述的设备安全管理方法的步骤。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现所述的设备安全管理方法的步骤。
本发明实施例的设备安全管理方法及***先从各个管理***中采集设备信息并确定设备类型,然后根据设备类型对应的策略基线和设备信息确定设备部署异常以生成优化脚本,最后运行优化脚本,生成脚本运行结果,可以满足设备安全管控要求,统一分析标准,降低安全风险,提高整改效果和效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中设备安全管理方法的流程图;
图2是本发明另一实施例中设备安全管理***的工作流程图;
图3是本发明另一实施例中确定设备异常的流程图;
图4是本发明实施例中设备信息安全画像的示意图;
图5是本发明实施例中设备安全管理***的结构框图;
图6是本发明实施例中计算机设备的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本领域技术人员知道,本发明的实施方式可以实现为一种***、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
鉴于现有技术无法满足设备安全管控要求,存在检测和管控死角,整改效果差、效率低,本发明实施例提供一种设备安全管理方法,可以满足设备安全管控要求,基于设备类型统一分析标准,降低安全风险,提高整改效果和效率。以下结合附图对本发明进行详细说明。
常规的设备安全管理是通过各安全管理***的单一模块进行管理,对未部署安全管理***的设备存在检测和管控死角。此外,如涉及多个安全管理***,不同的安全管理***由多位运维人员进行管理和风险排查,只能通过经验判断设备的安全风险,分析标准不统一,可能造成分析结果不全,处置方案评估不到位的情况。
本发明不通过常规安全管理***的模块管理设备,而是直接对全量设备的安全策略和关注数据进行自动化采集。通过建立统一的设备信息指纹库,自动化识别集团内活跃的在线设备、以及监控安全策略部署情况。通过描绘设备信息安全画像,对安全管理***及策略部署情况进行集中管理和展现。根据设备异常情况自动对安全管理***可能出现的问题进行追踪溯源,并根据溯源结果直接对设备进行自动化安全管理***部署、安全策略更新、以及提供部署方案、脚本和日志。
图1是本发明实施例中设备安全管理方法的流程图。图2是本发明另一实施例中设备安全管理***的工作流程图。如图1和图2所示,设备安全管理方法包括:
S101:从各个管理***中采集设备信息,根据设备信息对应的管理***确定设备的设备类型。
现有技术中还存在设备规模大、设备类型多、使用场景复杂的问题:大型集团企业使用的设备数量为百万级,种类多而杂,涉及各类服务器(如Unix和Windows等)、客户端、特殊终端、网络设备等设备类型。根据设备的不同类型以及使用场景,各类设备的暴露程度、面临风险类型和信息安全标准策略存在巨大差异。例如,对外部提供服务的服务器比内网使用的普通办公终端存在更大的对外暴露面,面临更严峻的外部攻击风险。所以需要根据设备数量、设备类型以及不同场景的设备分析独立的安全防护需求,有针对性地部署不同的安全管理***和安全策略,不能对所有设备实行统一安全管理***和策略部署管理。而现有的综合化安全防护软件无法满足大型集团上述所有的设备安全管控要求。
具体实施时,本发明可以通过信息采集模块在服务器侧部署脚本及定时任务,定时自动化从各***采集信息,将采集到的信息通过GTP(General Data TransferPlatform,通用数据传输平台)、FTP(File Transfer Protocol,文件传输协议)和SYSLOG(syslog协议)等传入信息采集模块进行集中管理,再对采集到的***数据(设备信息)、人员信息和策略信息进行集中数据清洗,统一数据格式和标准,形成数据池。其中,数据格式包括数字、文字、日期和布尔格式等。统一标准指可以将设备机器名统一为大写字母,如设备缺失机器名字段,则以IP地址作为机器名补全。因此,本发明相对于现有技术可以消除安全管理***间的设备识别技术差异。
***数据:包括从各安全管理***、配置管理***和特殊终端管理***采集的设备信息。安全管理***包括客户端管理***、防病毒管理***、微软补丁分发管理***、用户管理***和漏洞管理***等,采集的设备信息包括设备机器名、IP地址、操作***、所属环境、所属维护机构、登录操作用户信息(来自用户管理***)和策略部署情况(如最后通信时间、***更新记录和微软补丁安装记录等)。配置管理***采集的设备信息包括IP地址、承载应用、设备集群、网段池、NAT(Network Address Translation,网络地址转换)地址池和运维人员等信息;特殊终端管理***采集特殊终端的设备信息,包括设备机器名和IP地址等。
人员信息:从人力资源***获取组织架构、运维人员信息、联系方式和用户账号等信息。
策略信息:包括策略基线和策略白名单。策略基线作为合规设备的基准值,例如设备类型、最长连接更新周期、最低要求***版本、流程标识信息和应安装的微软补丁信息;策略白名单包括各类安全例外信息。例如设备机器名、IP地址、申请人、申请原因、涉及的***、纳入白名单的安全策略值等信息。
设备信息指纹库:不同的安全管理***对于同一终端可以提供大量的信息记录,基于各类安全管理***的实际纳管要求、产品特性差异和设备类型差异,对于设备类型识别的关系信息进行提炼和整合,将信息采集模块中收集到的安全管理***、配置管理***和特殊终端管理***的数据进行关联,消除不同管理***间的设备识别技术差异。再结合策略信息建立设备信息指纹库,实现对设备以及维护责任人的精准定位。设备信息指纹库包括设备机器名、IP地址、操作***、所属环境、所属维护机构、登录操作用户信息、最后通信时间、***更新记录、微软补丁安装记录、承载应用、设备集群、网段池、NAT地址池、运维人员和设备已纳入的安全管理***信息等。
根据设备信息对应的管理***确定设备的设备类型包括:
根据各管理***采集的设备机器名和IP地址可以确定同一设备的设备信息对应的管理***以对设备进行分类。
表1
表1是管理***与设备类型的对应关系表。如表1所示,当设备信息来源于特殊终端管理***时,设备类型被识别为特殊终端;当设备信息来源于客户端管理***时,则设备类型被识别为客户端。此外,还可以根据已纳入的安全管理***信息对设备类型进行更精确的识别,如对于设备信息来自防病毒***或微软补丁分发管理***的设备,识别为服务器-Windows类型。
如图2所示,本发明还可以进行归属识别,定位设备实际使用人(运维人员)和维护职责。将设备信息与配置管理***采集的信息关联,获取设备实际使用人和维护职责信息。如涉及的设备为客户端,则利用登录操作用户信息等来匹配人员信息,定位实际使用人和维护职责。如设备类型识别为特殊终端,则可根据设备机器名、IP地址、设备集群和网段池等来匹配实际使用部门和维护职责。此外,还可以通过已纳入的安全管理***信息进行精确匹配以补充归属缺省值。这些信息可用于后续分析方案,同时可利用这些信息自动推送部署方案(优化脚本)和日志。
如图2所示,本发明还可以进行动态跟踪,对设备从上线到退库进行全生命周期管理。由于全集团设备类型多,对于不同类型的设备,机器名、IP地址等均可能作为设备的唯一标识;加之,设备更新快、流动性大,对于单个设备无法仅通过机器名或IP地址辨识为存量或新上线设备。例如,客户端会因网络环境变化发生IP地址变动,IP地址变化后***可能识别为新设备而中断对原设备的历史情况分析以及跟踪管理。为防止该情况的发生,建立设备动态跟踪模型,以唯一设备机器名+IP地址作为设备标识,来实现设备的智能化精准跟踪定位。对于设备机器名或IP地址有变动,未匹配到旧设备信息的“新上线”设备,根据设备类型明确其对于终端设备的流程标识信息,再利用此流程标识信息将新采集到的设备信息与各安全管理***采集的历史设备信息进行分析和标准化处理,更新设备机器名+IP地址作为新的设备标识,同时也保留历史设备标识,对设备的安全管理情况进行动态跟踪。例如:识别到IP地址有变动的设备类型为客户端,客户端对应的流程标识信息为设备机器名,此时使用设备机器名与各安全管理***数据进行分析匹配,将当前设备机器名对应的IP地址作为新IP地址,与设备机器名组成新的设备标识,同时将原IP地址作为该设备的历史IP地址,供历史情况分析和跟踪管理。对于客户端重装***导致机器名修改的情况视为新上线设备进行管理,不关联历史信息。
S102:根据设备类型对应的策略基线和设备信息确定设备部署异常。
一实施例中,执行S102之前包括:
根据预设活跃度阈值和设备的最后通信时间确定活跃设备。
具体实施时,可以进行活跃度识别:监控设备运行与连接状态。基于各安全管理***的差异性,在进行数据处理时须重点考虑对于冗余和历史数据的处理。利用采集到的最后通信时间以及对应策略基线,比如不同的设备类型的最长连接更新周期,识别出真正活跃的在线设备,并针对活跃设备进行分析跟踪,减少对于已替换和下线设备的无效检测。比如根据策略基线,客户端管理***取近14天有连接的设备为活跃设备,防病毒管理***取近14天有连接的设备为活跃设备,仅对活跃设备进行后续的风险检测,针对不活跃的设备生成风险提示并推送给设备对应的运维人员。
此时S102包括:
根据活跃设备的设备类型对应的策略基线和活跃设备的设备信息确定设备部署异常。
具体实施时,可以通过风险检测模块将活跃设备的设备信息与策略基线进行匹配,利用风险模型对活跃设备的设备信息与策略基线不匹配的原因进行分析及溯源,实现对大量设备管理***的纳管问题、安全策略部署问题以及设备健康情况的分析解析。
例如,可以进行策略盲点分析:利用设备信息和对应的策略基线分析设备是否已纳入相关管理***进行管理,分析设备策略部署情况,识别未纳入需纳管管理***的设备、识别单台设备缺失的策略(管理***)作为风险,包括:
识别策略(管理***)部署不全的设备:首先根据策略基线和策略白名单,获得需部署策略的全量设备清单。其次,利用设备信息指纹库中的设备信息校验清单中设备的策略部署情况,识别策略部署存在问题的设备。例如,设备类型为客户端,确定没有纳入客户端管理***且不在客户端策略白名单中的客户端,得到未纳入客户端管理***的客户端清单。
识别单台设备缺失的策略:通过设备信息指纹库中的设备信息,将设备的策略与策略基线、策略白名单进行匹配:对于设备对应的管理***与基线不符的情况,如不属于策略白名单,则识别为存在策略盲点。例如,客户端在设备信息指纹库中的信息未关联防病毒管理***中的记录,且客户端的客户端管理***的配置不符合策略基线,也不在防病毒管理***或客户端管理***的策略白名单中,则识别为该客户端的防病毒策略和客户端管理策略存在盲点。同时,记录异常的首次发生时间与重复发生次数。
图3是本发明另一实施例中确定设备异常的流程图。如图3所示,设备安全管理方法还包括:
S201:比较各个管理***采集的设备信息以确定设备关联异常。
大部分设备需纳入多个管理***进行管理,且安全策略均不是独立存在的,通过将各管理***的信息进行关系,进一步检测设备状态与风险。设备关联异常具体包括设备环境关联、设备活跃度关联和设备归属关联。
设备环境关联:各管理***会根据本***识别的所属环境,配置并记录不同的安全策略,相关信息都可以从设备信息指纹库中获取。根据各***间识别的设备所属环境,校验设备的安全策略部署情况。如某台设备在管理***A识别为环境一,在管理***B识别为环境二,则该设备的环境关联异常。
设备活跃度关联:各管理***会记录设备的最后通信时间,单台设备的所有最后通信时间都会在设备信息指纹库中。根据各***记录的最后通信时间的差异,识别设备与单一***的连接状态是否正常。例如,设备与管理***A的最后通信时间大于设备类型对应的策略基线,设备与其他管理***的最后通信时间小于或等于设备类型对应的策略基线,则判断设备与管理***A长时间失联,该设备的活跃度关联异常,记录异常的首次发生时间与重复发生次数。
设备归属关联:设备信息指纹库中会记录设备的所属维护机构,如一个机构的设备大量被识别出风险异常,则标记为重点问题。
S202:对设备信息进行历史趋势分析,得到设备指标异常。
具体实施时,可以根据设备类型对应的设备信息和所属维护机构,对单一设备类型或单台设备的管理***纳管率和安全策略部署率等指标达标情况进行跟踪,分析历史趋势。对于信息安全监测指标出现异常下降等情况进行溯源,判断问题发生是设备本身配置问题导致的、运维人员操作导致的或其他原因导致的。例如,在设备信息指纹库中,筛选出已纳入微软补丁分发管理***的设备,获取微软补丁安装记录,对单个补丁的安装情况进行跟踪。如大量设备的补丁安装状态长时间停留在未安装,判断为补丁推送延迟导致;对于全集团普遍存在的单个补丁大面积安装失败问题,判断为微软补丁自身的原因。同时,以时间为维度,基于问题留存时间和重复发生次数跟踪设备的整改完成情况。对于问题数异常上涨的或长期未整改的问题将进行设备指标告警,将设备指标告警推送到设备指纹库中对应的运维人员。
图4是本发明实施例中设备信息安全画像的示意图。如图4所示,可以以设备为线索,利用设备信息指纹库信息和风险监测模块中获取的设备策略盲点信息,展示设备信息安全画像和风险度,对单台设备的部署位置、运维人员、各管理***的部署情况等关键信息进行集中展现。例如,对于单个客户端,可以从安全画像中看到设备是否存在策略异常、策略异常具体情况以及原因。图4中的策略异常可以包括设备部署异常、设备关联异常和设备指标异常。
S103:根据设备部署异常生成优化脚本。
一实施例中,S103还包括:根据设备部署异常、设备关联异常和设备指标异常生成优化脚本。
具体实施时,可以通过自动化处置模块执行S103和S104,用于针对设备信息安全画像中的风险以及风险检测***分析原因,结合策略基线,对发现的风险进行自动化处置。部署方案脚本库包括根据设备异常生成的自动化处置脚本(优化脚本)和解决方案。设备异常包括设备部署异常、设备关联异常和设备指标异常。
S104:运行优化脚本,生成脚本运行结果。
具体实施时,向设备推送自动化处置脚本并在后台运行相关脚本(如更新安全策略或纳入安全管理***),脚本运行完毕后返回脚本运行结果。
一实施例中,执行S104之后还包括:
根据脚本运行结果和设备异常生成设备管理通知,发送设备管理通知至设备对应的维护机构。
具体实施时,当脚本运行结果成功时,可以向所属维护机构的运维人员推送包括日志记录的设备管理通知。对于无法通过优化脚本处置的风险或无法明确问题原因的风险,可以生成包括风险提示的设备管理通知向运维人员进行推送,并根据风险监测模块中的分析结果生成处置方案。对于失败的脚本运行结果对应的设备、被判定为需下线的设备和需运维人员确认的设备,可以根据策略基线以及风险检测模块中得到的问题原因自动生成最佳处置方案,运维人员可根据风险提示和日志记录选择推送的方案进行处理。此外,对于设备信息指纹库中识别为不活跃的设备,需要向设备信息指纹库和设备信息安全画像中的设备所属维护机构推送风险提示,要求确认设备状态。
图1所示的设备安全管理方法的执行主体可以为位于计算机上的设备安全管理***。由图1所示的流程可知,本发明实施例的设备安全管理方法先从各个管理***中采集设备信息并确定设备类型,然后根据设备类型对应的策略基线和设备信息确定设备部署异常以生成优化脚本,最后运行优化脚本,生成脚本运行结果,可以满足设备安全管控要求,统一分析标准,降低安全风险,提高整改效果和效率。
本发明实施例的具体流程如下:
1、从各个管理***中采集设备信息,根据设备信息对应的管理***确定设备的设备类型。
2、根据预设活跃度阈值和设备的最后通信时间确定活跃设备。
3、根据活跃设备的设备类型对应的策略基线和活跃设备的设备信息确定设备部署异常。
4、比较各个管理***采集的设备信息以确定活跃设备的设备关联异常。
5、对活跃设备的设备信息进行历史趋势分析,得到设备指标异常。
6、根据活跃设备的设备异常生成优化脚本;运行优化脚本,生成脚本运行结果。
7、根据脚本运行结果和设备异常生成设备管理通知,发送设备管理通知至设备对应的维护机构。
表2
表2是现有技术与本发明的对比表,如表2所示,本发明设计了一套适用于大型集团企业内的设备安全管理方法及***,可以针对集团的设备资产进行信息安全管控、风险态势挖掘、问题溯源和自动处置,有效解决了现有技术中存在的下述问题:
1、设备规模大、设备类型多、使用场景复杂:本发明将全量分散在各处管理的设备关键信息进行数据大集中;对数据进行清洗和分析,根据设备类型以及使用场景建立统一的设备信息指纹库,消除不同安全管理***的设备识别技术差异。
2、涉及安全管理***多,各产品、平台间报表兼容性弱:本发明将各类产品策略和检查结果上送至数据池,基于各类安全管理***实际部署要求及产品特性差异,建立设备信息安全画像,统一制定分析标准。
3、对未部署安全管理***的设备存在检测和管控死角:本发明通过安全管理***关联关系、历史趋势分析以及策略盲点分析建立风险检测库,自动发现新上线或存量未部署安全管理***的设备、主动对安全策略更新不及时的原因进行溯源。
4、对于检测分析结果,无法快速定位问题,缺少处置方案:本发明根据分析结果以及溯源原因,结合上送的策略白名单以及安全策略基线,对风险设备进行自动化处置,包括自动部署安全管理***、自动更新安全策略和推送自动处理脚本等。对于无法实现自动化处置或自动化处置失败的,自动将处置方法推送至运维人员处理。
基于同一发明构思,本发明实施例还提供了一种设备安全管理***,由于该***解决问题的原理与设备安全管理方法相似,因此该***的实施可以参见方法的实施,重复之处不再赘述。
图5是本发明实施例中设备安全管理***的结构框图。如图5所示,设备安全管理***包括:
设备类型确定单元,用于从各个管理***中采集设备信息,根据设备信息对应的管理***确定设备的设备类型;
设备异常确定单元,用于根据设备类型对应的策略基线和设备信息确定设备部署异常;
脚本生成单元,用于根据设备部署异常生成优化脚本;
脚本运行单元,用于运行优化脚本,生成脚本运行结果。
在其中一种实施例中,设备异常确定单元还用于:
比较各个管理***采集的设备信息以确定设备关联异常;
对设备信息进行历史趋势分析,得到设备指标异常;
脚本生成单元还用于:
根据设备部署异常、设备关联异常和设备指标异常生成所述优化脚本。
在其中一种实施例中,还包括:
通知生成单元,用于根据脚本运行结果和设备部署异常生成设备管理通知;
通知发送单元,用于发送设备管理通知至设备对应的维护机构。
在其中一种实施例中,设备信息包括最后通信时间;
设备异常确定单元具体用于:
根据预设活跃度阈值和设备的最后通信时间确定活跃设备;
根据活跃设备的设备类型对应的策略基线和活跃设备的设备信息确定设备部署异常。
如图2所示,在实际应用中,信息采集模块包括设备类型确定单元,设备信息指纹库包括设备类型确定单元和设备异常确定单元,风险检测模块包括设备异常确定单元,自动化处置模块包括脚本生成单元、脚本运行单元、通知生成单元和通知发送单元。
综上,本发明实施例的设备安全管理***先从各个管理***中采集设备信息并确定设备类型,然后根据设备类型对应的策略基线和设备信息确定设备部署异常以生成优化脚本,最后运行优化脚本,生成脚本运行结果,可以满足设备安全管控要求,统一分析标准,降低安全风险,提高整改效果和效率。
本发明实施例还提供能够实现上述实施例中的设备安全管理方法中全部步骤的一种计算机设备的具体实施方式。图6是本发明实施例中计算机设备的结构框图,参见图6,所述计算机设备具体包括如下内容:
处理器(processor)601和存储器(memory)602。
所述处理器601用于调用所述存储器602中的计算机程序,所述处理器执行所述计算机程序时实现上述实施例中的设备安全管理方法中的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
从各个管理***中采集设备信息,根据设备信息对应的管理***确定设备的设备类型;
根据设备类型对应的策略基线和设备信息确定设备部署异常;
根据设备部署异常生成优化脚本;
运行优化脚本,生成脚本运行结果。
综上,本发明实施例的计算机设备先从各个管理***中采集设备信息并确定设备类型,然后根据设备类型对应的策略基线和设备信息确定设备部署异常以生成优化脚本,最后运行优化脚本,生成脚本运行结果,可以满足设备安全管控要求,统一分析标准,降低安全风险,提高整改效果和效率。
本发明实施例还提供能够实现上述实施例中的设备安全管理方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的设备安全管理方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
从各个管理***中采集设备信息,根据设备信息对应的管理***确定设备的设备类型;
根据设备类型对应的策略基线和设备信息确定设备部署异常;
根据设备部署异常生成优化脚本;
运行优化脚本,生成脚本运行结果。
综上,本发明实施例的计算机可读存储介质先从各个管理***中采集设备信息并确定设备类型,然后根据设备类型对应的策略基线和设备信息确定设备部署异常以生成优化脚本,最后运行优化脚本,生成脚本运行结果,可以满足设备安全管控要求,统一分析标准,降低安全风险,提高整改效果和效率。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个***的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元,或装置都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
Claims (10)
1.一种设备安全管理方法,其特征在于,包括:
从各个管理***中采集设备信息,根据所述设备信息对应的管理***确定设备的设备类型;
根据所述设备类型对应的策略基线和所述设备信息确定设备部署异常;
根据所述设备部署异常生成优化脚本;
运行所述优化脚本,生成脚本运行结果。
2.根据权利要求1所述的设备安全管理方法,其特征在于,还包括;
比较各个管理***采集的设备信息以确定设备关联异常;
对所述设备信息进行历史趋势分析,得到设备指标异常;
根据所述设备部署异常生成优化脚本还包括:
根据所述设备部署异常、所述设备关联异常和所述设备指标异常生成所述优化脚本。
3.根据权利要求1所述的设备安全管理方法,其特征在于,还包括:
根据所述脚本运行结果和所述设备部署异常生成设备管理通知;
发送所述设备管理通知至所述设备对应的维护机构。
4.根据权利要求1所述的设备安全管理方法,其特征在于,所述设备信息包括最后通信时间;
根据所述设备类型对应的策略基线和所述设备信息确定设备部署异常包括:
根据预设活跃度阈值和设备的最后通信时间确定活跃设备;
根据活跃设备的设备类型对应的策略基线和活跃设备的设备信息确定设备部署异常。
5.一种设备安全管理***,其特征在于,包括:
设备类型确定单元,用于从各个管理***中采集设备信息,根据所述设备信息对应的管理***确定设备的设备类型;
设备异常确定单元,用于根据所述设备类型对应的策略基线和所述设备信息确定设备部署异常;
脚本生成单元,用于根据所述设备部署异常生成优化脚本;
脚本运行单元,用于运行所述优化脚本,生成脚本运行结果。
6.根据权利要求5所述的设备安全管理***,其特征在于,所述设备异常确定单元还用于;
比较各个管理***采集的设备信息以确定设备关联异常;
对所述设备信息进行历史趋势分析,得到设备指标异常;
所述脚本生成单元还用于:
根据所述设备部署异常、所述设备关联异常和所述设备指标异常生成所述优化脚本。
7.根据权利要求5所述的设备安全管理***,其特征在于,还包括:
通知生成单元,用于根据所述脚本运行结果和所述设备部署异常生成设备管理通知;
通知发送单元,用于发送所述设备管理通知至所述设备对应的维护机构。
8.根据权利要求5所述的设备安全管理***,其特征在于,所述设备信息包括最后通信时间;
所述设备异常确定单元具体用于:
根据预设活跃度阈值和设备的最后通信时间确定活跃设备;
根据活跃设备的设备类型对应的策略基线和活跃设备的设备信息确定设备部署异常。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项所述的设备安全管理方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4任一项所述的设备安全管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110016967.9A CN112733147B (zh) | 2021-01-07 | 2021-01-07 | 设备安全管理方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110016967.9A CN112733147B (zh) | 2021-01-07 | 2021-01-07 | 设备安全管理方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112733147A true CN112733147A (zh) | 2021-04-30 |
| CN112733147B CN112733147B (zh) | 2024-05-17 |
Family
ID=75590966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110016967.9A Active CN112733147B (zh) | 2021-01-07 | 2021-01-07 | 设备安全管理方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112733147B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113515751A (zh) * | 2021-09-13 | 2021-10-19 | 富通云腾科技有限公司 | 一种基于模块化软件部署分析平台 |
| CN116318783A (zh) * | 2022-12-05 | 2023-06-23 | 浙江大学 | 基于安全指标的网络工控设备安全监测方法及装置 |
| CN116562627A (zh) * | 2023-05-19 | 2023-08-08 | 中国电信股份有限公司湖州分公司 | 一种安全风险管理方法、***、设备、介质及产品 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107194256A (zh) * | 2017-03-21 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 安全资产基线加固方法及装置 |
| CN107689954A (zh) * | 2017-08-21 | 2018-02-13 | 国家电网公司 | 电力信息***监控方法和装置 |
| US20180157472A1 (en) * | 2016-12-02 | 2018-06-07 | Vmware, Inc. | Customized application state transition |
| CN108933672A (zh) * | 2017-05-25 | 2018-12-04 | 中兴通讯股份有限公司 | 一种策略规则脚本配置方法、装置及*** |
| CN111078490A (zh) * | 2019-10-11 | 2020-04-28 | 广西电网有限责任公司信息中心 | 一种基于操作***监控分析的服务器安全保障方法及*** |
| CN111176755A (zh) * | 2019-12-25 | 2020-05-19 | 哈尔滨安天科技集团股份有限公司 | 云上安全的策略配置方法、***、电子设备及存储介质 |
| CN111600740A (zh) * | 2020-04-02 | 2020-08-28 | 深圳市国电科技通信有限公司 | 远程运维管理***及方法 |
-
2021
- 2021-01-07 CN CN202110016967.9A patent/CN112733147B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180157472A1 (en) * | 2016-12-02 | 2018-06-07 | Vmware, Inc. | Customized application state transition |
| CN107194256A (zh) * | 2017-03-21 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 安全资产基线加固方法及装置 |
| CN108933672A (zh) * | 2017-05-25 | 2018-12-04 | 中兴通讯股份有限公司 | 一种策略规则脚本配置方法、装置及*** |
| CN107689954A (zh) * | 2017-08-21 | 2018-02-13 | 国家电网公司 | 电力信息***监控方法和装置 |
| CN111078490A (zh) * | 2019-10-11 | 2020-04-28 | 广西电网有限责任公司信息中心 | 一种基于操作***监控分析的服务器安全保障方法及*** |
| CN111176755A (zh) * | 2019-12-25 | 2020-05-19 | 哈尔滨安天科技集团股份有限公司 | 云上安全的策略配置方法、***、电子设备及存储介质 |
| CN111600740A (zh) * | 2020-04-02 | 2020-08-28 | 深圳市国电科技通信有限公司 | 远程运维管理***及方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113515751A (zh) * | 2021-09-13 | 2021-10-19 | 富通云腾科技有限公司 | 一种基于模块化软件部署分析平台 |
| CN116318783A (zh) * | 2022-12-05 | 2023-06-23 | 浙江大学 | 基于安全指标的网络工控设备安全监测方法及装置 |
| CN116318783B (zh) * | 2022-12-05 | 2023-08-22 | 浙江大学 | 基于安全指标的网络工控设备安全监测方法及装置 |
| CN116562627A (zh) * | 2023-05-19 | 2023-08-08 | 中国电信股份有限公司湖州分公司 | 一种安全风险管理方法、***、设备、介质及产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112733147B (zh) | 2024-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10901727B2 (en) | Monitoring code sensitivity to cause software build breaks during software project development | |
| CN112733147B (zh) | 设备安全管理方法及*** | |
| EP2893447B1 (en) | Systems and methods for automated memory and thread execution anomaly detection in a computer network | |
| CN110543767A (zh) | 一种针对开源组件漏洞自动化监控方法及*** | |
| CN112799358B (zh) | 一种工业控制安全防御*** | |
| JP2007516495A (ja) | 適応基準モデルの作成及び使用のためのシステム及び方法 | |
| CN111885210A (zh) | 一种基于最终用户环境的云计算网络监控*** | |
| CN110971464A (zh) | 一种适合灾备中心的运维自动化*** | |
| US20160352573A1 (en) | Method and System for Detecting Network Upgrades | |
| CN110088744A (zh) | 一种数据库维护方法及其*** | |
| CN112416872A (zh) | 一种基于大数据的云平台日志管理*** | |
| CN117056172B (zh) | 一种用于***集成中台的数据集成方法及*** | |
| CN117544402A (zh) | 一种基于网络资产的漏洞管理*** | |
| CN115618353A (zh) | 一种工业生产安全的识别***及方法 | |
| CN115509854A (zh) | 一种巡检处理方法、巡检服务器及*** | |
| CN114116904A (zh) | 一种面向信息安全的资产台账链上存储***及方法 | |
| CN110266562B (zh) | 网络应用***身份认证功能的自动检测的方法 | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
| CN114003969A (zh) | 一种基于区块链技术的风险评估方法 | |
| CN111447329A (zh) | 呼叫中心中状态服务器的监控方法、***、设备及介质 | |
| CN116089965B (zh) | 一种基于sod风险模型的信息安全应急管理***及方法 | |
| CN112163198B (zh) | 一种主机登录安全检测方法、***、装置及存储介质 | |
| CN117670261B (zh) | 一种安全运维审计操作一体化终端 | |
| CN114268460B (zh) | 一种网络安全异常检测方法、装置、存储介质及计算设备 | |
| CN116204386B (zh) | 应用服务关系自动识别及监控方法、***、介质和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |