CN114915431B - 一种状态检测方法、节点、***以及存储介质 - Google Patents

一种状态检测方法、节点、***以及存储介质 Download PDF

Info

Publication number
CN114915431B
CN114915431B CN202110127456.4A CN202110127456A CN114915431B CN 114915431 B CN114915431 B CN 114915431B CN 202110127456 A CN202110127456 A CN 202110127456A CN 114915431 B CN114915431 B CN 114915431B
Authority
CN
China
Prior art keywords
node
state detection
security baseline
data
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110127456.4A
Other languages
English (en)
Other versions
CN114915431A (zh
Inventor
管纪伟
刘志伟
顾磊磊
张向阳
孙嘉冬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Suzhou Software Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110127456.4A priority Critical patent/CN114915431B/zh
Publication of CN114915431A publication Critical patent/CN114915431A/zh
Application granted granted Critical
Publication of CN114915431B publication Critical patent/CN114915431B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)

Abstract

本申请公开了一种状态检测方法,方法应用于第一节点,第一节点能够为至少一个第二节点提供安全基线;安全基线用于供第二节点执行状态检测;方法包括:获取第一配置参数;第一配置参数,包括对每一第二节点进行状态检测的条件配置参数;基于第一配置参数,确定安全基线;向第二节点提供安全基线;安全基线,用于供第二节点执行状态检测得到状态检测数据;获取第二节点的状态检测数据;基于状态检测数据,生成第二节点的状态检测结果。本申请还公开了一种应用于第二节点的状态检测方法、第一节点、第二节点、一种状态检测***以及存储介质。本申请公开的状态检测方法解决了相关技术中企事业单位各个分支网络安全标准无法推广的问题。

Description

一种状态检测方法、节点、***以及存储介质
技术领域
本申请涉及信息技术领域,尤其涉及一种状态检测方法、第一节点、第二节点、状态检测***以及计算机可读存储介质。
背景技术
企事业单位网络的络安全状态,通常需要基于国家或监管结构颁发的各种类型的安全标准比如全面内网安全(Comprehensive Intranet Security,CIS)、等级保护2.0、对企事业单位网络中的相关设备节点进行安全检测后才能获取。在相关技术中,企事业单位网络中各个分支网络执行安全检测所依据的安全基线,通常由各个分支网络的管理人员根据安全标准结合分支网络的实际运行状态灵活确定。
基于安全基线的安全检查可以实现对软件版本以及环境配置等的实时监控。然而,在实际应用中的各个分支网络的安全基线的标准不统一,且执行安全检查时的检查流程也不统一,因此,各个分支网络的安全规范仅能应用于各个子网络内部,无法在企事业单位内部广泛推广,也无法获取企事业单位网络的整体状态。
发明内容
本申请提供了一种状态检测方法、第一节点、第二节点、状态检测***以及计算机可读存储介质。
本申请提供的状态检测方法中,第一节点能够获取每一第二节点状态检测的条件配置参数,并基于条件配置参数统一确定安全基线,然后再将安全基线发送至第二节点以供第二节点执行状态检测,并且,第一节点还能获取第二节点执行状态检测得到的状态检测数据,并根据第二状态检测数据生成第二节点的状态检测结果,从而解决了相关技术中企事业单位的各个分支网络安全标准无法推广的问题,该方法能够确定适用于企事业单位网络中每一节点的安全基线,从而为安全基线的推广奠定了基础;且每一节点都能够基于该安全基线执行状态检测,并将状态检测数据发送至第一节点,进而能够从总体上把握企事业单位网络的安全状态。
本申请提供的技术方案是这样的:
一种状态检测方法,所述方法应用于第一节点,所述第一节点能够为至少一个第二节点提供安全基线;所述安全基线用于供所述第二节点执行状态检测;所述方法包括:
获取第一配置参数;其中,所述第一配置参数,包括对每一所述第二节点进行状态检测的条件配置参数;
基于所述第一配置参数,确定所述安全基线;
向所述第二节点提供所述安全基线;其中,所述安全基线,用于供所述第二节点执行状态检测得到状态检测数据;
获取所述第二节点的状态检测数据;
基于所述状态检测数据,生成所述第二节点的状态检测结果。
本申请还提供了一种状态检测方法,所述方法应用于第二节点,所述第二节点能够获取第一节点提供的安全基线;所述安全基线用于供所述第二节点执行状态检测,所述方法包括:
获取所述第一节点提供的所述安全基线;其中,所述安全基线,是所述第一节点获取第一配置参数之后,基于所述第一配置参数确定的;所述第一配置参数,包括对所述第二节点进行状态检测的条件配置参数;
本申请还提供了一种第一节点,所述第一节点能够为至少一个第二节点提供安全基线;所述安全基线用于供所述第二节点执行状态检测;所述第一节点包括:第一获取模块,第一处理模块、第一共享模块;其中:
所述第一获取模块,用于获取第一配置参数;其中,所述第一配置参数,包括对每一所述第二节点进行状态检测的条件配置参数;
所述第一处理模块,用于基于所述第一配置参数,确定所述安全基线;
所述第一共享模块,用于向所述第二节点提供所述安全基线;其中,所述安全基线,用于供所述第二节点执行状态检测得到状态检测数据;
所述第一获取模块,还用于获取所述第二节点的状态检测数据;
所述第一处理模块,还用于基于所述状态检测数据,生成所述第二节点的状态检测结果;其中,所述状态检测数据,表示所述第二节点基于所述安全基线执行状态检测得到的数据。
本申请还提供了另一种第一节点,所述第一节点能够为至少一个第二节点提供安全基线;所述安全基线用于供所述第二节点执行状态检测;所述第一节点包括:第一处理器、第一存储器以及第一通信总线,其中:
所述第一通信总线,用于实现所述第一处理器与所述第一存储器之间的通信连接;所述第一处理器,用于实现所述第一存储器中存储的计算机程序,以实现如任前一所述的应用于第一节点的状态检测方法。
本申请还提供了一种第二节点,所述第二节点能够获取所述第一节点提供的安全基线;所述安全基线用于供所述第二节点执行状态检测;所述第二节点包括:第二获取模块、第二处理模块以及第二共享模块;其中:
所述第二获取模块,用于获取所述第一节点提供的所述安全基线;其中,所述安全基线,是所述第一节点获取第一配置参数之后,基于所述第一配置参数确定的;所述第一配置参数,包括对所述第二节点进行状态检测的条件配置参数;
所述第二处理模块,用于基于所述安全基线,执行所述状态检测,得到状态检测数据;
所述第二共享模块,用于提供所述状态检测数据至所述第一节点。
本申请还提供了另一种第二节点,所述第二节点能够获取所述第一节点提供的安全基线;所述安全基线用于供所述第二节点执行状态检测;所述第二节点包括:第二处理器、第二存储器以及第二通信总线,其中:
所述第二通信总线,用于实现所述第二处理器与所述第二存储器之间的通信连接;所述第二处理器,用于实现所述第二存储器中存储的计算机程序,以实现如前任一所述的应用于第二节点的状态检测方法。
本申请还提供了一种状态检测***,所述***包括如前所述的第一节点以及至少一个如前所述的第二节点。
本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序;所述计算机程序能够被处理器执行,以实现如前任一所述的应用于第一节点的状态检测方法、或如前任一所述的应用于第二节点的状态检测方法。
由以上可知,本申请提供的应用于第一节点的状态检测方法中,安全基线是基于对每一第二节点进行状态检测的条件配置参数而确定的,第一节点不但能够统一为至少一个第二节点提供安全基线,还能够将安全基线发送至第二节点,以供第二节点执行状态检测,在接收到第二节点发送的状态检测数据之后,还能够根据状态检测数据,生成第二节点的状态检测结果。
如此,本申请提供的应用于第一节点的状态检测方法中,第一节点能够确定满足每一第二节点状态检测需求的安全基线,从而实现了对企事业单位中安全基线的统一制定,有利于安全基线在企事业单位网络的全面推广;在每一第二节点执行状态检测结束之后,还能根据第二节点的状态检测数据得到第二节点的安全检测结果,从而能够从总体上掌控企事业单位网络的整体安全状态。
附图说明
图1为本申请提供的一种应用于第一节点的状态检测方法的流程示意图;
图2为本申请提供的第一节点执行的针对第二节点的第一验证操作的流程示意图;
图3为本申请提供的第二节点对第一节点执行身份验证的流程示意图;
图4为本申请提供的第一节点推送检查脚本流程示意图;
图5为本申请提供的第一节点向第二节点推送检测项的流程示意图;
图6为本申请提供的第一节点获取状态检测数据的流程示意图;
图7为本申请提供的第一节点向第二节点提供检测结果JavaScript对象简谱(JavaScript Object Notation,JSON)文件的流程示意图;
图8为本申请提供的第一节点向第二节点提供状态检测结果的流程示意图;
图9为本申请提供的一种应用于第二节点的状态检测方法流程示意图;
图10为本申请提供的离线状态检测执行以及离线状态检测数据上传流程示意图;
图11为本申请提供的一种企事业平台的总部-分支之间的合规检查结构示意图;
图12为本申请提供的第一种第一节点的结构示意图;
图13为本申请提供的第一种第二节点的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请涉及信息技术领域,尤其涉及一种状态检测方法、第一节点、第二节点、状态检测***以及计算机可读存储介质。
本申请实施例提供了一种应用于第一节点的状态检测方法,在该检测方法中,第一节点能够获取对当前网络中任一第二节点进行状态检测的条件配置参数,并基于条件配置参数确定统一的安全基线,以供任一第二节点进行安全检查,并且,第一节点还能根据任一第二节点的安全检查数据,生成任一第二节点的安全检测结果,从而能够从整体上把控整个网络中每一节点的安全状态。
在本申请实施例中,第一节点能够为至少一个第二节点提供安全基线,该安全基线用于供第二节点执行状态检测。
在一种实施方式中,第一节点,可以是某一企事业单位的总部合规平台所在的节点,又称为一级节点。相应地,第二节点,可以为该企事业单位的分支合规平台所在的节点,又可以称为二级节点。
在一种实施方式中,安全基线,可以是由第一节点根据每一第二节点的配置参数生成的;示例性地,安全基线,可以包括对每一第二节点进行状态检测的规则、以及实现这些规则的脚本。
在一种实施方式中,第二节点执行的状态检测,可以是针对第二节点的全部或部分环境进行检测,其中,环境可以包括软件环境和/或硬件环境。其中,软件环境和/或硬件环境,可以包括以下至少之一:第二节点中指定类型的软件环境和/或硬件环境、第二节点中指定运行时段内资源利用率较高的软件环境和/或硬件环境、第二节点中运行时间较长的软件环境和/或硬件环境。
在一种实施方式中,某一企事业单位网络中,可以包括至少一个第一节点,以及多个第二节点,并且每一第一节点与任一第二节点之间,可以均建立有通信连接,通过上述通信连接,第一节点可以向第二节点提供安全基线。
需要说明的是,本申请实施例提供的应用于第一节点的状态检测方法,可以通过第一节点的处理器来实现,上述处理器,可以为特定用途集成电路(Application SpecificIntegrated Circuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital Signal Processing Device,DSPD)、可编程逻辑装置(ProgrammableLogic Device,PLD)、现场可编程逻辑门阵列(Field Programmable Gate Array,FPGA)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。
图1为本申请实施例提供的一种应用于第一节点的状态检测方法的流程示意图。如图1所示,该方法可以包括以下流程:
步骤101、获取第一配置参数。
其中,第一配置参数,包括对每一第二节点进行状态检测的条件配置参数。
在一种实施方式中,第一配置参数,可以是根据以下任一条件确定的:每一第二节点的软件环境和/或硬件环境的配置;每一第二节点所处理的业务或数据类型;每一第二节点的运行负载率;每一第二节点所面向的客户对象的需求。
步骤102、基于第一配置参数,确定安全基线。
在一种实施方式中,安全基线,可以是基于第一配置参数,对每一第二节点中指定类型的软件环境和/或硬件环境进行状态检测的规则。示例性地,安全基线中,可以包括执行状态检测的时间、条件等;示例性地,安全基线中,可以包括每一第二节点执行状态检测的检测脚本、以及检测项。
在一种实施方式中,安全基线,可以是在第一配置参数的基础上,通过企事业单位内部组织安全专家团队、各分支单位指定的安全接口人,对安全规范进行规范化讨论、统一化建议之后,制定合理的版本,并借助于企事业单位内部的软件硬件资源,进行高强度的压力测试之后确定的。因此,通过以上方式确定的安全基线的权威性足够,且版本唯一,能够快速应用到每一第二节点的状态检测中去。
在本申请实施例中,由于在安全基线确定过程中,充分考虑了每一第二节点进行状态检测的条件配置参数,因此,通过这种方法确定的安全基线,能够满足企事业单位网络中每一第二节点的状态检测需求。
步骤103、向第二节点提供安全基线。
其中,安全基线,用于供第二节点执行状态检测得到状态检测数据。
在一种实施方式中,向第二节点提供安全基线,可以是以下任一情况下执行的:在第一节点接收到第二节点发送的安全基线获取请求的情况下;在安全基线确定的情况下立即发送至第二节点。
在一种实施方式中,向第二节点提供安全基线,可以是通过以下方式实现的:
第一节点将安全基线存储至第一路径下,并将第一路径的地址发送至第二节点,第二节点从第一路径下获取安全基线。示例性地,安全基线,可以是第一节点通过安全文件传送协议(Secure File Transfer Protocol,SFTP)向第二节点推送安全基线的。示例性地,第一节点可以将安全基线通过SFTP存储至第二路径下,并将第二路径发送至第二节点,第二节点可以从至第二路径下获取安全基线,并执行数据入库以将安全基线存储至数据库中。
步骤104、获取第二节点的状态检测数据。
在一种实施方式中,第二节点的状态检测数据,可以包括以下至少一种数据:第二节点基于安全基线进行状态检测后获取的每一检查项对应的检测数据;第二节点基于安全基线对指定检测项进行状态检测后、得到的每一检测项对应的检测数据;第二节点接收到安全基线之后,在满足状态检测条件的情况下,基于安全基线执行状态检测得到的数据;第二节点成功执行了入库操作之后,才从数据库中获取安全基线、并基于安全基线中的检测脚本对安全基线中定义的检测项进行状态检测后得到的数据。
步骤105、基于状态检测数据,生成第二节点的状态检测结果。
在一种实施方式中,状态检测结果,可以表示包含以下任一信息:第二节点当前是否处于安全状态的信息;第二节点中的软件和/或硬件环境的设置是否存在不符合规范的信息;指示第二节点进行软件和/或硬件的状态改进的信息。
相应地,第二节点的状态检测结果,可以是通过以下任一方式得到的:
第一节点在获取到第二节点的状态检测数据之后,基于安全基线中每一设备的达标标准,与第二节点的状态检测数据进行比较判断,从而得到第二节点的状态检测结果;
第一节点在获取到第二节点的状态检测数据之后,基于安全基线中包含的规则和算法,对第二节点的状态检测数据进行比较处理和计算,从而得到第二节点的状态检测结果。
如此,本申请实施例提供的应用于第一节点的状态检测方法中,第一节点能够确定满足每一第二节点状态检测需求的安全基线,从而实现了对企事业单位中安全基线的统一制定,有利于安全基线在企事业单位网络的全面推广;在每一第二节点执行状态检测结束之后,还能根据第二节点的状态检测数据得到第二节点的安全检测结果,从而能够从总体上掌控企事业单位网络的整体安全状态。
示例性地,在步骤103之前,第一节点还可以执行身份验证操作。其中,该身份验证操作可以通过步骤A1-步骤A2来实现:
步骤A1、执行第一验证操作,得到第一验证结果。
其中,第一验证操作,用于对第二节点进行身份验证。
在一种实施方式中,第二节点可以在需要获取第一节点管理的数据、比如安全基线中的检测脚本或检测项的时候,向第一节点发送身份验证请求,以供第一节点对第二节点执行第一验证操作。
在一种实施方式中,第一验证操作,可以用于验证以下任一信息:第二节点是否为企事业单位网络中的合法节点;第二节点当前是否处于安全状态,即第二节点是否被病毒或木马攻击;第二节点的用户名、密码、***编号等任一种,其中,***编号,可以用于表示企事业单位中为每二节点分配的网络标志。示例性地,***编号,可以为某一分公司所在省份的编号。
在一种实施方式中,第一验证操作通过之后,第一节点能够为第二节点分配Token,并为每一个Token分配有效期。在有效期内,第二节点向第一节点发送的任何数据请求都可以携带有Token,用于快速验证身份。
相应地,若第一验证操作不通过,则向第二节点返回失败原因。
步骤A2、将第一验证结果发送至第二节点。
在一种实施方式中,第一验证结果可以包括第一验证操作通过或不通过的结果。示例性地,若第一验证操作通过,则第一验证结果中携带有为第二节点分配的Token。若第一验证操作不通过,则第一验证结果中将携带有验证失败的原因。
表1对第一验证结果中的相关参数进行了说明。表1中包括数据类型、数据流向、参数名称、参数类型、参数含义以及参数必要性六列数据。
在表1中,数据类型,为authToken,其可以基于POST方式,通过路径/bms/v1/authToken中存储的权限验证接口来实现;从第二节点流向第一节点的数据流向,可以表示第二节点向第一节点发起的身份验证请求,而从第一节点流向第二节点的数据流向,可以表示第一节点发送第一验证结果至第二节点,第二节点向第一节点方向的数据流向对应的参数名称可以包括provCode、userName以及password三个参数。
其中,provCode参数类型为String,表示分部编码,其为必须具备的参数,即M;userName参数类型为String,表示用户名,参数必要性为M;password参数类型为String,参数含义为密码(md5加密),参数必要性为M。
在表1中,第一节点至第二节点的数据流向对应的参数名称可以包括:token、expiryTime以及errorMsg。其中,token的参数类型为String,参数含义为Token,为非必要参数;expiryTime的参数类型为long,参数含义为Token有效期,Token的默认有效期的时间长度为30分钟,该有效期可以自定义,且为非必要参数;errorMsg的参数类型为String,参数含义为错误信息,且为非必要参数。
表1
图2为本申请实施例提供的第一节点执行的针对第二节点的第一验证操作的流程示意图。
在图2中,第二节点向第一节点发送身份验证请求,该身份验证请求中可以携带参数userName、password以及provCode,第一节点接收到该请求之后,根据provCode,查找对应的第二节点用户,并验证第二节点的用户名和密码。若验证通过,则构建第一token,将第一token的有效期添加至第一token中,并缓存第一token与第二节点之间的关系,然后将第一token返回至第二节点;若验证不通过,则返回验证失败结果至第二节点。
当第一节点向第二节点发送数据请求时,身份验证操作可以通过步骤B来实现:
步骤B、接收第二节点发送的第二验证结果。
其中,第二验证结果,为第二节点执行第二验证操作得到的;第二验证操作,为第二节点对第一节点的身份验证操作。
在一种实施方式中,第二验证结果,可以是在第二节点接收到第一节点发送身份验证请求时,由第二节点对第一节点进行第二验证操作而得到的。第二验证结果的数据构成,与表1中第一验证结果的数据构成相同,此处不再赘述。
图3为本申请实施例提供的第二节点对第一节点执行身份验证的流程示意图。第一节点向第二节点发送携带有userName、password以及provCode的身份验证请求,第二节点接收到该请求之后,对provCode、userName以及password进行验证。示例性地,若验证通过,则构建第二token,将第二token的有效期添加至第二token中,并缓存第二token与第一节点之间的关系,然后将第二token返回至第一节点;若验证失败,则将验证失败的原因返回至第一节点。
通过以上操作,本申请实施例提供的第一节点与第二节点之间能够实现双向的设备身份验证,从而为后续的检测脚本、检测项以及状态检测数据的安全稳定传输奠定了基础。
示例性地,在步骤104之前,本申请实施例提供的状态检测方法,还可以包括以下操作:
获取第二信息;向第二节点提供第二信息,以供第二节点基于第二信息以及安全基线执行状态检测。其中,第二信息,包括对第二节点的软件和/或硬件环境中的任意项进行检测的选项信息。
在一种实施方式中,第二信息,可以是第一节点通过SFTP提供至第二节点的。其中,第一节点可以按照预设周期向第二节点提供第二信息。示例性地,第二信息,可以是由第一节点根据每一第二节点的实际运行状态指定的。其中,第一节点完成检测脚本推送之后,才执行获取第二信息的操作
在一种实施方式中,第二节点基于第二信息以及安全基线执行状态检测,可以是通过以下方式实现的:
第二节点基于第二信息,从安全基线的多个检查脚本中确定至少一个目标脚本,并基于安全基线限定的检测脚本启动和执行方式,执行至少一个目标检测脚本,以实现状态检测。
表2中汇总了检测脚本推送过程中所需的各种参数以及参数说明。
表2中包括数据类型、数据流向、参数名称、参数类型、参数含义以及参数必要性六列数据。
其中,数据类型,为POST类型,其可以通过路径/bms/v1/pushScript中存储的检测脚本推送接口来实现。
在表2中,从第一节点至第一节点的数据流向,可以表示第一节点向第二节点发起的检测脚本推送请求,而从第二节点至第一节点的数据流向,可以表示第二节点返回脚本推送结果至第一节点。
在表2中,从第一节点至第二节点方向的数据流向对应的参数可以包括pushType、filePath以及scriptId。各个参数的参数类型如表2所示,此处不再赘述。其中,pushType表示推送类型,当pushType为0时,表示推送全部的检测脚本至第二节点,当pushType为1时,表示推送新增的检测脚本至第二节点,当pushType为2时,表示推送修改的检测脚本至第二节点,当pushType为3时,表示推送删除检测脚本的信息至第二节点;参数必要性为M。
filePath表示第一节点SFTP文件服务器文件路径,参数必要性为C即条件必选,即如果pushType的值不为3,则filePath为必选参数,否则为非必选参数。scriptId表示检测脚本标识,参数必要性为C,即如果推送类型为3,此参数为必须否则为非必选参数。
表2
从第二节点至第一节点的数据流向对应的参数名称可以包括:success和errorMsg。其中,若success为true,则表示第一节点的检测脚本推送成功,若success取值为false,则表示第一节点的检测脚本推送失败,参数必要性为必选参数M,此时errorMsg表示错误信息,errorMsg参数必要性为O。
图4为本申请实施例提供的第一节点推送检查脚本流程示意图。
在图4中,企事业单位的集团用户执行新增、修改检测脚本,并将新增、修改后的检测脚本上传至第一节点,第一节点收到新增、修改后的检测脚本之后,执行数据入库将检测脚本上传至第一节点文件服务器,然后通过https请求向第二节点推送检测脚本接口,以供第二节点获取检测脚本的路径以及名称;第二节点接收到检测脚本推送消息后,根据上述路径获取检测脚本文件,执行检测脚本数据入库操作,同时向第一节点返回检测脚本推送结果。在企事业单位的集团用户执行删除检测脚本操作后,向第一节点推送检测查脚本删除结果,第一节点执行数据入库操作,更新检测脚本,并通过推送检测脚本接口向第二节点推送检测脚本删除操作,以供第二节点删除对应的检测脚本;第二节点删除对应检测脚本之后,执行数据入库操作,向第一节点返回检测脚本删除结果。
表3为本申请实施例提供的第一节点向第二节点提供第二信息的参数汇总表。表3中包括数据类型、数据流向、参数名称、参数类型、参数说明以及参数必要性六列数据。
其中,请求类型为POST,其可以通过路径/bms/v1/pushCheckitem下存储的检查项推送接口来实现;数据流向可以包括从第一节点至第二节点方向的推送的检测项请求、以及从第二节点至第一节点方向的返回检测项推送结果。
在表3中,从第一节点至第二节点方向的数据流向对应的参数名称可以包括pushType、filePath以及checkitemId。
在表3中,第二节点向第一节点返回的数据流向对应的参数名称可以包括:success和errorMsg。其中,若success取值为true,则表示第一节点的检测项推送成功,若success取值为false,则表示第一节点的检测项推送失败,参数必要性为M即必选参数;若success取值为false,则errorMsg表示错误信息,参数必要性为可选参数O。
其中,pushType表示检测项,而推送的检测项的类型,包括以下几种:当pushType为0时,表示推送全部的检测项至第二节点,当pushType为1时,表示推送新增的检测项至第二节点,当pushType为2时,表示推送修改的检测项至第二节点,当pushType为3时,表示推送删除检测项的信息至第二节点;参数必要性为M。checkitemId参数为检测项标识;参数必要性为条件必选C,即若检测项推送的pushType为3时,此参数为M。filePath为第一节点SFTP文件服务器文件路径,参数必要性为C,即如果pushType的值不为3,则filePath为必须具备的参数,否则为非必选参数。
表3
图5为本申请实施例提供的第一节点向第二节点推送检测项的流程示意图。
在图5中,企事业单位的集团用户在执行新增、修改检测项操作之后,向第一节点同步新增、修改后的检测项,第一节点接收到集团用户推送的新增、修改后的检测项消息后,执行数据入库将检测项上传至第一节点文件服务器,通过推送检测项接口,发送https请求将更新后的检测项推至第二节点,在该https请求中,携带有更新后的检测项文件路径以及文件名称;第二节点接收到该https请求之后,可以根据路径获取检测项,并执行检测项数据入库操作,然后将检测项推送结果发送至第一节点。其中,第一节点文件服务器,可以是第一节点本身,也可以是与第一节点建立有通信连接的其它设备。
在图5中,集团用户执行删除检测项操作之后,将删除结果同步至第一节点,第一节点执行检测项数据入库操作,并基于检测项接口,发送https请求将更新后的检测项推送至第二节点,在该https请求中,携带有更新后的检测项文件路径以及文件名称;第二节点接收到该https请求之后,可以定向至检测项文件路径下获取检查项,并执行检测项数据入库操作,然后将检测项推送结果发送至第一节点。在检测项删除操作过程中,由于不产生新的检测项,因此,直接将检测项删除的结果发送至第二节点,以供第二节点删除对应的检测项即可。
示例性地,第二节点的状态检测数据,可以是通过以下方式实现的:
第二节点基于检测脚本以及第二信息执行状态检测,状态检测结束之后,还可以通过检测脚本自动生成状态检测数据,在状态检测数据生成之后,第二节点可以通过SFTP发送至第一节点。
示例性地,表4为本申请实施例提供的第二节点将状态检测数据上报至第一节点过程中所用的参数说明集合。
表4中包括数据类型、数据流向、参数名称、参数类型、参数说明以及参数必要性六列数据。
其中,数据类型,为POST类型,可以通过路径/bms/v1/UploadScriptExecuteResult/{provCode}下存储的检测脚本执行结果推送接口来实现。
在表4中,数据流向可以包括从第一节点流向第一节点的推送的检测项请求,以及从第二节点至第一节点方向返回检测项推送结果至第一节点。
在表4中,从第二节点至第一节点方向的数据流向对应的参数可以包括:success和errorMsg。这两个参数的说明与表3中一致,此处不再赘述。从第一节点至第二节点方向的数据流向对应的参数可以包括checkType、checkPlanId、filePath以及assetCount。其中,checkType参数类型为int,表示检查类型,检查类型可以包括以下几种:checkType为1时,表示合规检测;checkType为2时,表示弱口令;参数checkPlanId为检测批次标识,该参数由第二节点提供用于判定当前检测数据对应的检测操作的唯一性;参数必要性为M;参数filePath为第二节点SFTP文件服务器文件路径(带文件名),参数必要性为C;参数assetCount表示设备数量,需要与JSON文件中设备数量一致。
表4
其中,本申请实施例中的JSON文件,可以为第一节点与任一第二节点之间约定的文件的格式。比如,第二节点在基于安全基线以及检测项执行状态检测时,可以将检测项中规定的设备数量添加至JSON文件中,还可以按照JSON文件格式,将状态检测数据填充至JSON文件的指定字段中,如此,第一节点获取到该JSON文件中之后,就可以按照约定的规则,从JSON文件中方便快捷的获取第二节点的状态检测数据。
图6为本申请实施例提供的第一节点获取状态检测数据的流程示意图。
在图6中,第二节点用户创建检测计划,并将检测计划上传至第二节点,第二节点根据检测计划以及安全基线和/或检查项执行状态检测,构建JSON文件,并上传到第二节点文件服务器,同时通过https请求,调用上报脚本执行结果接口,将JSON文件的路径以及文件名称告知第一节点,第一节点根据JSON文件的路径以及文件名称,登录第二节点文件服务器获取JSON文件,并返回JSON文件获取结果至第二节点,第二节点还可以将第一节点的JSON文件获取结果发送至第二节点用户。其中,第二节点文件服务器,可以是第二节点本身,也可以是与第二节点建立有通信连接的其他设备。示例性地,在第二节点在执行状态检测的过程中,任一设备对应的检测脚本执行结束之后,第二节点都可以判断是否已经完成了全部的设备检测,或是否完成了指定数量的设备检测;在上传JSON文件至第二节点服务器之前,还可以对JSON文件进行压缩打包;第一节点在获取到JSON文件之后,可以对JSON文件进行解析,以判断JSON文件中执行状态检测的设备数量是否与assetCount一致。
示例性地,本申请实施例提供的应用于第一节点的状态检测方法,还可以包括步骤C:
步骤C、向第二节点提供状态检测结果。
示例性地,向第二节点提供状态检测结果,可以是通过SFTP实现的。
示例性地,表5提供了第一节点向第二节点提供状态检测结果的参数汇总。表5中包括数据类型、数据流向、参数名称、参数类型、参数说明以及参数必要性六列数据。表5中,与表3中保持一致的参数不再赘述。其中,数据类型,为POST类型,可以通过路径/bms/v1/pushCheckResult下存储的状态检测结果推送接口来发送。
在表5中,数据流向可以包括第一节点向第二节点推送的状态检测结果,以及第二节点将状态检测结果推送结果至第一节点。第一节点至第二节点方向的数据流向对应的参数可以包括checkType、checkPlanId、filePath以及assetCount。其中,checkType表示检测类型,当checkType为1时,表示合规检测;参数checkPlanId为检测批次标识,该参数由第二节点提供,用于判定当前检测结果对应的检测操作的唯一性;参数必要性为M;参数filePath表示第二节点SFTP文件服务器文件路径(带文件名),参数必要性为C;参数assetCount表示设备数量,该参数的参数值应该与JSON文件中设备数量一致。
表5
图7为本申请实施例提供的第一节点向第二节点提供检测结果JSON文件的流程示意图。在图7中,第一节点在获取到携带有第二节点的状态检测数据的JSON文件之后,解析JSON文件,判断检测结果是否合规,根据判断结果构建检测结果JSON文件,并上传至第一节点文件服务器,然后通过检测结果推送接口向第二节点发送https请求,将检测结果JSON文件的路径以及文件名称发送至第二节点,第二节点收到检测结果JSON文件的路径以及文件名称之后,登录第一节点文件服务器获取检测结果JSON文件,并将检测结果JSON文件获取结果发送至第一节点。
如此,本申请实施例提供的应用于第一节点的状态检测方法中,第一节点能够获取任一第二节点的状态检测数据,还能够基于第二节点的状态检测数据得到第二节点的状态检测结果,从而实现了第一节点对任一第二节点的状态检测结果的总体把握控制,有利于企事业集团从整体上把控企事业单位网络的安全状态。
示例性地,步骤C还可以通过步骤D1-步骤D2来实现:
步骤D1、接收第二节点发送的状态检测结果获取请求。
其中,状态检测结果获取请求,是第二节点在指定时间内未获取到第一节点提供的状态检测结果的情况下发送的。
在一种实施方式中,第二节点在指定时间内未获取到第一节点提供的状态检测结果,可以是在第一节点或第一节点的文件服务器出现故障时出现的,或者在第一节点与第二节点之间的通信链路状态通信链路拥堵时出现的。其中,,指定时间,可以是企事业单位自行设置的时间长度。
步骤D2、向第二节点提供第二节点的状态检测结果。
表6为本申请实施例中第二节点向第一节点发送状态检测结果获取请求、以及第一节点向第二节点发送状态检测结果的参数汇总。
表6中包括数据类型、数据流向、参数名称、参数类型、参数说明以及参数必要性六列数据。在表6中,与表5相同参数不再赘述。
其中,数据类型,为GET类型,可以通过路径/bms/v1/queryCheckResult/{provCode}下存储的状态检测结果推送接口来实现。在表6中,数据流向可以包括第二节点向第二节点发送的状态检测结果获取请求、以及第一节点向第二节点发送的状态检测结果。
在表6中,第一节点至第二节点数据流向对应的参数可以包括:success和errorMsg以及fileDirectory。其中,success和errorMsg的参数说明与表5中一致,此处不再赘述;若success取值为true,则fileDirectory表示第一节点STPF文件路径,若fileDirectory为空,则表示状态检测结果未生成,参数必要性为O。
表6
图8为本申请实施例提供的第一节点向第二节点提供状态检测结果的流程示意图。在图8中,第二节点通过查询状态检测结果接口,发送获取状态检测结果请求至第一节点,以供第一节点查询对应批次标识状态检测结果、确定第二节点请求的批次以查询该批次所有JSON文件、并将JSON文件打包为一个压缩文件、并上传至第一节点文件服务器,然后将JSON压缩文件的路径和文件名称返回至第二节点;最后向第二节点返回获取状态检测结果的处理结果。
示例性地,第二节点发送至第一节点的https请求中,可以携带有第二节点本地缓存的token以及批次标识。
如此,本申请实施例提供的应用于第一节点的状态检测方法,第一节点能够获取任一第二节点进行状态检测的条件配置参数,并基于该条件配置参数统一确定适用于每一第二节点的安全基线,从而能够实现安全基线在企事业单位网络中的横向和纵向的推广,还能够从总体上把握每一第二节点的状态检测需求;并且,在第一节点向第二节点提供安全基线之后,还可以向第二节点提供状态检测的选项信息,因此,第二节点可以根据安全基线以及状态检测的选项信息,进行针对性的状态检测,一方面使得第二节点的状态检测更加灵活,另一方面也降低了全面状态检测导致的时间和资源的双重浪费,还能够使得第一节点能够灵活的控制每一第二节点的状态检测侧重点;在第二节点状态检测结束之后,第一节点能够根据获取到的第二节点的状态检测数据生成第二节点的状态检测结果,从而使得第一节点能够从总体上把握每一第二节点的安全状态。
基于前述实施例,本申请实施例提供了第一种应用于第二节点的状态检测方法,第二节点能够获取第一节点提供的安全基线,且安全基线用于供第二节点执行状态检测。
需要说明的是,应用于第二节点的状态检测方法,可以通过第二节点的处理器来实现。上述处理器可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。
图9为本申请实施例提供的第一种应用于第二节点的状态检测方法流程示意图,该方法可以包括以下流程:
步骤901、获取第一节点提供的安全基线。
其中,安全基线,是第一节点获取第一配置参数之后,基于第一配置参数确定的;第一配置参数,包括对第二节点进行状态检测的条件配置参数。
步骤902、基于安全基线,执行状态检测,得到状态检测数据。
步骤903、提供状态检测数据至第一节点。
由以上可知,本申请实施例提供的应用于第二节点的状态检测方法中的第二节点,能够获取第一节点基于对每一第二节点进行状态检测的条件配置参数,确定适用于每一第二节点的安全基线,还能够基于从第一节点接收的安全基线执行状态检测,得到状态检测数据,并将状态检测数据提供至第一节点。如此,企事业单位中的任一第二节点,都能够获取到与其适配的安全基线,从而使得企事业单位的安全基线能够得到广泛推广,且状态检测数据统一由第一节点进行处理,从而使得第一节点能够实时把握每一第二节点的安全状态。
示例性地,在步骤901之前,本申请实施例提供的应用于第二节点的状态检测方法,还可以包括以下环节:
接收第一节点发送的第一验证结果;其中,第一验证结果,表示第一节点执行的、针对第二节点的身份验证操作的结果;或者,
执行第二验证操作,得到第二验证结果;发送第二验证结果至第一节点;其中,第二验证操作,用于对第一节点进行身份验证;第二验证结果,为第二节点针对第一节点的身份验证的结果。
示例性地,步骤902可以通过以下方式实现:
获取第一节点发送的第二信息;基于第二信息以及安全基线,执行状态检测,得到状态检测数据。
其中,第二信息,包括对第二节点的软件和/或硬件环境中的任意项进行检测的选项信息。
示例性地,本申请实施例提供的应用于第二节点的状态检测方法,还可以包括步骤E1至步骤E2:
步骤E1、在指定时间内未获取到第一节点提供的、第二节点的状态检测结果的情况下,发送状态检测结果获取请求至第一节点。
步骤E2、获取第一节点发送的第二节点的状态检测结果。
示例性地,在本申请实施例提供的应用于第二节点的状态检测方法中,对于第二节点中部分未配置有自动执行状态检测环境的设备而言,基于安全基线,执行状态检测,得到状态检测数据,还可以通过步骤F1-步骤F2得到:
步骤F1、在第二节点中的至少一个子节点满足指定条件时,获取第二配置参数。
指定条件,表示至少一个子节点中未设置有状态检测的执行环境;第二配置参数,包括对至少一个子节点进行状态检测的参数。
在一种实施方式中,至少一个子节点,可以是第二节点中的任一软件和/或硬件设备。
在一种实施方式中,未设置有状态检测的执行环境,可以表示子节点中未安装相关的检测脚本获取和执行环境。
在一种实施方式中,第二配置参数,可以是由子节点的用户根据对子节点的状态检测需求而构建的。
步骤F2、基于第二配置参数以及安全基线,对至少一个子节点进行状态检测,得到状态检测数据。
在一种实施方式中,安全基线,可以是当前未配置有状态检测的子节点、基于其与配置有状态检测的子节点之间的通信连接而获取到的。
在一种实施方式中,基于第二配置参数以及安全基线,对至少一个子节点进行状态检测,得到状态检测数据,可以是由至少一个子节点的用户配置检测脚本执行环境,并将第二配置参数加载至安全基线的检测脚本中,启动检测脚本执行状态检测。
与步骤F1-步骤F2中所对应的子节点的状态检测过程,可以称为离线状态检测。,离线状态检测结束之后得到状态检测数据,可以通过配置有状态检测环境的子节点与第一节点之间的通信连接,提供至第一节点。
示例性地,表7为本申请实施例提供的离线状态检测提供至第一节点所需参数汇总。
表7中,数据类型,为POST类型,可以通过路径/bms/v1/uploadOfflineScriptResult/{provCode}下存储的离线状态检测结果推送接口来发送。
在表7中,数据流向可以包括第二节点向第一节点推送离线状态检测结果,而第一节点向第二节点方向、以及可以表示第一节点向第二节点发送其对离线状态检测结果的获取结果。
表7中的fileCount表示本次离线检测对应的文件数量,用于供第一节点校验离线状态检测结果的文件数量,参数为M。
表7
表7中的其它参数与前述实施例中的相同参数的说明一致,此处不再赘述。
图10为本申请实施例提供的离线状态检测执行以及离线状态检测数据上传流程示意图。
在图10中,第二节点用户创建离线检测配置参数,并上传至未配置有状态检测环境的第二节点,第二节点获取并执行离线检测脚本,再上传离线状态检测结果到第二节点的文件服务器,之后将通过https请求,调用离线状态检测结果上报接口,告知第一节点离线状态检测结果文件的路径以及文件名称,以供第一节点获取对应的离线状态检测结果文件,并判断是否与第二节点上传的离线文件检测结果文件的数量一致,然后将文件数量信息返回至第二节点。
如此,本申请实施例提供的应用于第二节点的状态检测方法,第二节点在获取到与其对应的安全基线之后,还能够基于第一节点发送的状态检测选项信息执行状态检测,从而减少了每次状态检测都是全方位检测而带来的时间和资源的双重浪费,也有利于第一节点有针对性的把握每一第二节点的安全状态信息。
基于前述实施例,本申请实施例还提供了一种企事业平台的总部-分支之间的合规检查结构。图11为本申请实施例提供的一种企事业平台的总部-分支之间的合规检查结构示意图。
在图11中,总部-分支之间的结构,可以是本申请实施例中第一节点与第二节点之间的结构。图11中,总部-分支之间设置有合规结构,通过合规结构可以实现合规脚本/检测项全量推动。在总部需要通知分支脚本和检测项文件路径、以及合规脚本/检测项新增或修改时,都可以调用通知分支脚本和检测路项文件路径的相关接口通知分支。
在图11中,当总部通知分支脚本和检测项文件路径时,还可以执行总部权限校验操作,并反馈权限校验操作至总部,在权限校验操作通过的情况下,分支可以从总部的SFTP下载文件并解析入库,并返回成功消息至总部,分支可以进行在线/离线执行脚本,然后将脚本在线/离线执行结果上报操作,以通知总部执行结果文件路径,在总部获取执行结果文件时,还可以执行分支权限校验操作,在权限校验通过的情况下可以获取执行结果文件。
总部在接收到执行结果文件消息中携带的执行结果文件路径时,总部可以从分支SFTP下载该文件并解析,分支在超过预设时间未接收到总部的状态检测结果时,可以向总部发起状态检测结果获取请求,总部在接收到该请求后,可以推送状态检测结果,告知分支SFTP路径和文件名称,分支在获取状态检测结果时,可以再次执行分支权限校验操作,当权限校验通过后,分支从总部SFTP下载上述文件并解析入库。
在图11中,当合规脚本/检测项删除时,可以直接调用推送接口通知分支,分支可以依据总部的推送消息删除相关数据。
如此,本申请实施例提供的应用于第一节点和第二节点的状态检测方法,在应用于企事业单位网络的总部和分支结构中时,总部能够向分支推送合规脚本和检测项,分支能够向总部提供脚本执行结果,总部还能够根据分支的脚本执行结果确定分支的状态检测结果,并将状态检测结果发送至分支,从而实现了分支与总部之间合规脚本、检测项以及脚本执行结果的随意推送,进而实现了合规脚本的广泛推广,还能使得第一节点能够灵活的掌握第二节点的安全状态。
基于前述实施例,本申请实施例还提供了第一种第一节点12,图12为本申请提供的第一节点12的结构示意图。第一节点12能够为至少一个第二节点提供安全基线;安全基线用于供第二节点执行状态检测;第一节点12包括:第一获取模块1201,第一处理模块1202、第一共享模块1203;其中:
第一获取模块1201,用于获取第一配置参数;其中,第一配置参数,包括对每一第二节点进行状态检测的条件配置参数;
第一处理模块1202,用于基于第一配置参数,确定安全基线;
第一共享模块1203,用于向第二节点提供安全基线;其中,安全基线,用于供第二节点执行状态检测得到状态检测数据。
第一获取模块1201,还用于获取第二节点的状态检测数据;
第一处理模块1202,还用于基于状态检测数据,生成第二节点的状态检测结果;其中,状态检测数据,表示第二节点基于安全基线执行状态检测得到的数据。
需要说明的是,上述第一获取模块1201,第一处理模块1202以及第一共享模块1203,可以利用第一节点中的处理器实现,上述处理器可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。
本申请实施例提供的第一节点12,能够确定满足每一第二节点状态检测需求的安全基线,从而实现了对企事业单位中安全基线的统一制定,有利于安全基线在企事业单位网络的全面推广;在每一第二节点执行状态检测结束之后,还能根据第二节点的状态检测数据得到第二节点的安全检测结果,从而能够从总体上掌控企事业单位网络的整体安全状态。
基于前述实施例,本申请实施例还提供了第二种第一节点。第一节点能够为至少一个第二节点提供安全基线;安全基线用于供第二节点执行状态检测;第一节点包括:第一处理器、第一存储器以及第一通信总线,其中:第一通信总线,用于实现第一处理器与第一存储器之间的通信连接;第一处理器,用于实现第一存储器中存储的计算机程序,以实现如前任一所述的应用于第一节点的状态检测方法。
其中,上述第一处理器可以为特定用途集成电路ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。可以理解地,用于实现上述第一处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。上述第一存储器,可以是易失性存储器(volatile memory),例如RAM;或者非易失性存储器(non-volatile memory),例如ROM,快闪存储器(flash memory,硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-StateDrive,SSD);或者上述种类的存储器的组合,并向处理器提供指令和数据。
基于前述实施例,本申请实施例还提供了第一种第二节点13,图13为本申请提供的一种第二节点13的结构示意图。
第二节点13能够获取第一节点12提供的安全基线;安全基线用于供第二节点13执行状态检测;第二节点13包括:第二获取模块1301、第二处理模块1302以及第二共享模块1303;其中:
第二获取模块1301,用于获取第一节点12提供的安全基线;其中,安全基线,是第一节点12获取第一配置参数之后,基于第一配置参数确定的;第一配置参数,包括对第二节点进行状态检测的条件配置参数;
第二处理模块1302,用于基于安全基线,执行状态检测,得到状态检测数据;
第二共享模块1303,用于提供状态检测数据至第一节点12。
需要说明的是,上述第二获取模块1301、第二处理模块1302以及第二共享模块1303,可以利用第二节点中的处理器实现,上述处理器可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。
由以上可知,本申请实施例提供的第二节点13,能够获取第一节点12基于对每一第二节点13进行状态检测的条件配置参数,确定适用于每一第二节点13的安全基线,还能够基于从第一节点12接收的安全基线执行状态检测,得到状态检测数据,并将状态检测数据提供至第一节点12。如此,企事业单位中的任一第二节点13,都能够获取到与其适配的安全基线,从而使得企事业单位的安全基线能够得到广泛推广,且状态检测数据统一由第一节点12进行处理,从而使得第一节点12能够实时把握每一第二节点13的安全状态。
基于前述实施例,本申请实施例还提供了第二种第二节点。第二节点能够获取第一节点13提供的安全基线;其中,安全基线用于供第二节点执行状态检测;第二节点包括:第二处理器、第二存储器以及第二通信总线,其中:
第二通信总线,用于实现第二处理器与第二存储器之间的通信连接;
第二处理器,用于实现第二存储器中存储的计算机程序,以实现如前任一应用于第二节点的状态检测方法。
基于前述实施例,本申请实施例还提供了一种状态检测***。该***可以包括如前述实施例所述的第一节点以及如前述实施例所述的第二节点。
基于前述实施例,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,该程序被执行时能够实现如前任一实施例所述的应用于第一节点的状态检测方法、或应用于第二节点的状态检测方法。
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述。
本申请所提供的各方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。本申请所提供的各产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。本申请所提供的各方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
需要说明的是,上述计算机可读存储介质可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器;也可以是包括上述存储器之一或任意组合的各种电子设备,如移动电话、计算机、平板设备、个人数字助理等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件节点的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所描述的方法。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (12)

1.一种状态检测方法,其特征在于,所述方法应用于第一节点,所述第一节点能够为至少一个第二节点提供统一的安全基线;所述安全基线用于供所述第二节点执行状态检测;所述方法包括:
获取第一配置参数;其中,所述第一配置参数,包括对每一所述第二节点进行状态检测的条件配置参数;
基于所述第一配置参数,确定所述安全基线;
向所述第二节点提供所述安全基线;其中,所述安全基线,用于供所述第二节点执行状态检测得到状态检测数据;所述第二节点中的每一节点都能基于所述安全基线执行状态检测;
获取所述第二节点的状态检测数据;
基于所述状态检测数据,生成所述第二节点的状态检测结果;
其中,所述第二节点执行状态检测得到状态检测数据,包括:
在所述第二节点中的至少一个子节点满足指定条件时,获取第二配置参数;所述指定条件,表示至少一个所述子节点中未设置有所述状态检测的执行环境;所述第二配置参数,包括对至少一个所述子节点进行状态检测的参数;
基于所述第二配置参数以及所述安全基线,对至少一个所述子节点进行状态检测,得到所述状态检测数据。
2.根据权利要求1所述的方法,其特征在于,在所述获取所述第二节点的状态检测数据之前,所述方法还包括:
获取第二信息;其中,所述第二信息,包括对所述第二节点的软件和/或硬件环境中的任意项进行检测的选项信息;
向所述第二节点提供所述第二信息,以供所述第二节点基于所述第二信息以及所述安全基线执行所述状态检测。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述第二节点发送的状态检测结果获取请求;其中,所述状态检测结果获取请求,是所述第二节点在指定时间内未获取到所述第一节点提供的所述状态检测结果的情况下发送的;
向所述第二节点提供所述状态检测结果。
4.一种状态检测方法,其特征在于,所述方法应用于第二节点,所述第二节点能够获取第一节点提供的统一的安全基线;所述安全基线用于供所述第二节点执行状态检测,所述方法包括:
获取所述第一节点提供的所述安全基线;其中,所述安全基线,是所述第一节点获取第一配置参数之后,基于所述第一配置参数确定的;所述第一配置参数,包括对所述第二节点进行状态检测的条件配置参数;
基于所述安全基线,执行所述状态检测,得到状态检测数据;
提供所述状态检测数据至所述第一节点;所述基于所述安全基线,执行所述状态检测,得到状态检测数据,包括:
在所述第二节点中的至少一个子节点满足指定条件时,获取第二配置参数;所述指定条件,表示至少一个所述子节点中未设置有所述状态检测的执行环境;所述第二配置参数,包括对至少一个所述子节点进行状态检测的参数;
基于所述第二配置参数以及所述安全基线,对至少一个所述子节点进行状态检测,得到所述状态检测数据。
5.根据权利要求4所述的方法,其特征在于,所述基于所述安全基线,执行所述状态检测,得到状态检测数据,包括:
获取所述第一节点发送的第二信息;其中,所述第二信息,包括对所述第二节点的软件和/或硬件环境中的任意项进行检测的选项信息;
基于所述第二信息以及所述安全基线,执行所述状态检测,得到所述状态检测数据。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
在指定时间内未获取到所述第一节点提供的、所述第二节点的状态检测结果的情况下,发送状态检测结果获取请求至所述第一节点;
获取所述第一节点发送的所述第二节点的状态检测结果。
7.一种第一节点,其特征在于,所述第一节点能够为至少一个第二节点提供统一的安全基线;所述安全基线用于供所述第二节点执行状态检测;所述第一节点包括:第一获取模块,第一处理模块、第一共享模块;其中:
所述第一获取模块,用于获取第一配置参数;其中,所述第一配置参数,包括对每一所述第二节点进行状态检测的条件配置参数;
所述第一处理模块,用于基于所述第一配置参数,确定所述安全基线;
所述第一共享模块,用于向所述第二节点提供所述安全基线;其中,所述安全基线,用于供所述第二节点执行状态检测得到状态检测数据;所述第二节点中的每一节点都能基于所述安全基线执行状态检测;
所述第一获取模块,还用于获取所述第二节点的状态检测数据;
所述第一处理模块,还用于基于所述状态检测数据,生成所述第二节点的状态检测结果;其中,所述状态检测数据,表示所述第二节点基于所述安全基线执行状态检测得到的数据;
其中,所述第二节点执行状态检测得到状态检测数据,包括:
在所述第二节点中的至少一个子节点满足指定条件时,获取第二配置参数;所述指定条件,表示至少一个所述子节点中未设置有所述状态检测的执行环境;所述第二配置参数,包括对至少一个所述子节点进行状态检测的参数;
基于所述第二配置参数以及所述安全基线,对至少一个所述子节点进行状态检测,得到所述状态检测数据。
8.一种第一节点,其特征在于,所述第一节点能够为至少一个第二节点提供安全基线;所述安全基线用于供所述第二节点执行状态检测;所述第一节点包括:第一处理器、第一存储器以及第一通信总线,其中:
所述第一通信总线,用于实现所述第一处理器与所述第一存储器之间的通信连接;
所述第一处理器,用于实现所述第一存储器中存储的计算机程序,以实现如权利要求1-3任一所述的状态检测方法。
9.一种第二节点,其特征在于,所述第二节点能够获取第一节点提供的统一的安全基线;所述安全基线用于供所述第二节点执行状态检测;所述第二节点包括:第二获取模块、第二处理模块以及第二共享模块;其中:
所述第二获取模块,用于获取所述第一节点提供的所述安全基线;其中,所述安全基线,是所述第一节点获取第一配置参数之后,基于所述第一配置参数确定的;所述第一配置参数,包括对所述第二节点进行状态检测的条件配置参数;
所述第二处理模块,用于基于所述安全基线,执行所述状态检测,得到状态检测数据;所述第二节点中的每一节点都能基于所述安全基线执行状态检测;所述基于所述安全基线,执行所述状态检测,得到状态检测数据,包括:
在所述第二节点中的至少一个子节点满足指定条件时,获取第二配置参数;所述指定条件,表示至少一个所述子节点中未设置有所述状态检测的执行环境;所述第二配置参数,包括对至少一个所述子节点进行状态检测的参数;
基于所述第二配置参数以及所述安全基线,对至少一个所述子节点进行状态检测,得到所述状态检测数据;
所述第二共享模块,用于提供所述状态检测数据至所述第一节点。
10.一种第二节点,其特征在于,所述第二节点能够获取所述第一节点提供的安全基线;所述安全基线用于供所述第二节点执行状态检测;所述第二节点包括:第二处理器、第二存储器以及第二通信总线,其中:
所述第二通信总线,用于实现所述第二处理器与所述第二存储器之间的通信连接;
所述第二处理器,用于实现所述第二存储器中存储的计算机程序,以实现如权利要求4-6任一所述的状态检测方法。
11.一种状态检测***,其特征在于,所述***包括如权利要求7或8所述的第一节点以及至少一个如权利要求9或10所述的第二节点。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序;所述计算机程序能够被处理器执行,以实现如权利要求1-3任一所述的应用于第一节点的状态检测方法、或如权利要求4-6任一所述的应用于第二节点的状态检测方法。
CN202110127456.4A 2021-01-29 2021-01-29 一种状态检测方法、节点、***以及存储介质 Active CN114915431B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110127456.4A CN114915431B (zh) 2021-01-29 2021-01-29 一种状态检测方法、节点、***以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110127456.4A CN114915431B (zh) 2021-01-29 2021-01-29 一种状态检测方法、节点、***以及存储介质

Publications (2)

Publication Number Publication Date
CN114915431A CN114915431A (zh) 2022-08-16
CN114915431B true CN114915431B (zh) 2024-05-24

Family

ID=82760760

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110127456.4A Active CN114915431B (zh) 2021-01-29 2021-01-29 一种状态检测方法、节点、***以及存储介质

Country Status (1)

Country Link
CN (1) CN114915431B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7849495B1 (en) * 2002-08-22 2010-12-07 Cisco Technology, Inc. Method and apparatus for passing security configuration information between a client and a security policy server
CN103905270A (zh) * 2014-03-11 2014-07-02 国网湖北省电力公司信息通信公司 智能电网andriod***安全基线自动化检查***及检查方法
CN105740723A (zh) * 2016-01-28 2016-07-06 浪潮电子信息产业股份有限公司 一种安全基线的管理方法与***
CN106470115A (zh) * 2015-08-20 2017-03-01 阿里巴巴集团控股有限公司 一种安全配置方法、相关装置和***
CN106933819A (zh) * 2015-12-29 2017-07-07 大唐高鸿信安(浙江)信息科技有限公司 基于元数据的安全基线库动态构建方法
CN109344621A (zh) * 2018-09-17 2019-02-15 郑州云海信息技术有限公司 一种安全基线检测方法、装置、设备及可读存储介质
CN110348201A (zh) * 2019-05-22 2019-10-18 中国科学院信息工程研究所 一种设备安全策略的配置方法及装置
CN110414237A (zh) * 2019-06-12 2019-11-05 武汉青藤时代网络科技有限公司 一种基于终端设备的自动化基线检查方法
CN110855652A (zh) * 2019-11-05 2020-02-28 南方电网数字电网研究院有限公司 安全基线配置合规检测方法、装置、计算机设备及介质
WO2020177632A1 (zh) * 2019-03-01 2020-09-10 华为技术有限公司 一种安全保护方法及装置

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7849495B1 (en) * 2002-08-22 2010-12-07 Cisco Technology, Inc. Method and apparatus for passing security configuration information between a client and a security policy server
CN103905270A (zh) * 2014-03-11 2014-07-02 国网湖北省电力公司信息通信公司 智能电网andriod***安全基线自动化检查***及检查方法
CN106470115A (zh) * 2015-08-20 2017-03-01 阿里巴巴集团控股有限公司 一种安全配置方法、相关装置和***
CN106933819A (zh) * 2015-12-29 2017-07-07 大唐高鸿信安(浙江)信息科技有限公司 基于元数据的安全基线库动态构建方法
CN105740723A (zh) * 2016-01-28 2016-07-06 浪潮电子信息产业股份有限公司 一种安全基线的管理方法与***
CN109344621A (zh) * 2018-09-17 2019-02-15 郑州云海信息技术有限公司 一种安全基线检测方法、装置、设备及可读存储介质
WO2020177632A1 (zh) * 2019-03-01 2020-09-10 华为技术有限公司 一种安全保护方法及装置
CN110348201A (zh) * 2019-05-22 2019-10-18 中国科学院信息工程研究所 一种设备安全策略的配置方法及装置
CN110414237A (zh) * 2019-06-12 2019-11-05 武汉青藤时代网络科技有限公司 一种基于终端设备的自动化基线检查方法
CN110855652A (zh) * 2019-11-05 2020-02-28 南方电网数字电网研究院有限公司 安全基线配置合规检测方法、装置、计算机设备及介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
电信运营商***安全状态基线研究及应用;***;皇甫涛;陈涛;吴鹏;;电信工程技术与标准化;20121215(12);全文 *

Also Published As

Publication number Publication date
CN114915431A (zh) 2022-08-16

Similar Documents

Publication Publication Date Title
CN110727712B (zh) 基于区块链网络的数据处理方法、装置、电子设备及存储介质
CN109728954B (zh) 联盟链节点管理***以及方法
CN110933163B (zh) 区块链合约部署方法、装置、设备以及存储介质
CN106936835B (zh) 设备接入的方法及***
CN109995866B (zh) 分布式文件校验方法、装置、计算机装置及存储介质
CN110944046B (zh) 一种共识机制的控制方法及相关设备
CN110895603B (zh) 多***账号信息整合方法和装置
CN112527912A (zh) 基于区块链网络的数据处理方法、装置及计算机设备
CN113904847B (zh) 物联网卡的云平台绑定方法、***、设备及介质
CN112800129A (zh) 区块状态更新方法、装置、***和电子设备
CN110597541A (zh) 基于区块链的接口更新处理方法、装置、设备及存储介质
CN112860778A (zh) 桌面应用程序的数据库管理方法、装置、设备和介质
WO2015039562A1 (zh) 账号信息处理方法及装置
CN115695012A (zh) 一种登录请求的处理方法、装置、电子设备及存储介质
US20170238122A1 (en) User equipment registration method, entity, system and computer storage medium
CN115004666A (zh) 物联网设备的注册方法、装置、设备及存储介质
CN110910141A (zh) 交易处理方法、***、装置、设备及计算机可读存储介质
CN106209569B (zh) 一种企业即时通讯的鉴权方法及装置
CN114915431B (zh) 一种状态检测方法、节点、***以及存储介质
CN111935251B (zh) 区块链网络管理方法、网络、装置、设备及存储介质
CN114385503A (zh) 接口测试方法、装置、设备及存储介质
CN114356607A (zh) 远程命令的执行控制方法、装置、第一设备及存储介质
CN114968276A (zh) 一种应用程序部署方法、装置、计算机设备和存储介质
EP3403147B1 (en) Industrial control system management
US20210044589A1 (en) Access control

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant