[发明专利]一种基于插件的安全配置检查框架及其构造方法

说明书

技术领域

本发明设计一种安全配置检查框架及其构造方法，尤其指一种基于插件的安全配置检查框架及其构造方法，属于信息安全领域。

背景技术

Internet的飞速发展，使人们能够更方便地获取信息、交换信息、管理信息和进行各种社会活动，为社会的发展提供了强大的动力。但是由于计算机系统、网络设备等设计的缺陷和漏洞以及网络协议本身存在的不完善因素，给黑客提供了很好的入侵机会，并造成极大的安全风险。因此，事先对系统和网络进行安全配置检查尤为必要。然而以前的安全配置检查工具往往只是针对某一种系统或单一网络环境，所以构建一种易扩展的安全配置检查框架显得十分必要。

插件技术是现代软件设计思想的体现，其本质是在不修改程序主体的情况下对软件功能进行加强，因此插件技术有利于软件的升级和功能扩展。使用插件技术可以自由地为应用程序增加新的插件或者是卸载现有的插件，而应用程序不需要重新编译和连接。

插件一般用DLL实现，现在多用OCX控件实现，因为它不但可以用于宿主软件中，更可用于其他应用中而无须改动代码。

从广义的范围来看，插件有以下三种类型：

1)类似批命令的简单插件。

2)使用一种特殊的脚本语言来实现的插件。

3)利用已有的程序开发环境来制作的插件。

插件的编写涉及以下问题：

1)主体程序的插件处理机制以及用来进行初始化每个插件的过程，每个插件接口的管理，在插件访问时能够做出的正确反馈；

2)插件接口函数的定义，以及如何对插件接口函数进行封装；

3)插件和主程序之间的通信机制。

发明内容

现有的一些对系统安全配置检查的系统往往只是针对某一特定系统或单一网络环境，而对于某一类系统以及多网络环境却无能为力。基于以上原因，本发明设计了一种基于插件的安全配置检查框架及其构造方法。所述框架包括以下几个部分：

1、配置项知识库：根据信息安全标准库，由信息安全领域专家从受检系统知识库中识别出与信息安全有关的配置项及其信息。

2、基线库：由配置项知识库和网络环境知识库导出。基线是指能保证处于某一种网络环境的系统的安全配置的最低配置要求。基线不是固定不变的，它可能会因为计算机使用者的某些特殊要求而不同。

3、配置项检查插件库：由配置项检查插件构成。配置项检查插件主要针对配置项知识库中某一个配置项进行检查。

4、配置项和检查插件对应关系表。该表主要记录配置项和检查插件之间的对应关系。

5、系统信息提取组件。该组件的功能是提取目标系统的系统类型和网络类型等信息。

6、基线选择组件。该组件根据对目标系统提取的信息，选择相应的安全基线。

7、插件装载组件。该组件根据所选择的基线中包含的配置项的信息，装载对应的检查插件。

其中信息安全标准库、受检系统知识库和网络环境知识库描述如下：

1、信息安全标准库。信息安全标准库包括国际或者国内一些在信息安全领域已经被普遍认可的判别系统安全程度的标准，如安全体系结构和框架标准。

2、受检系统知识库。受检系统知识库包括受检系统中与安全相关的所有具体信息。

3、网络环境知识库。网络环境知识库包括受检系统可能处在的所有网络类型的集合。例如外网、内网和互联网等网络环境。

所述构造方法包括以下步骤：

1、根据信息安全标准和受检系统知识库，构建配置项知识库，使该知识库包括与系统安全有关的配置项的所有信息。

2、根据配置项知识库，构建配置项检查插件库，并建立配置项和检查插件的对应关系表，使得在配置项知识库中的每一个配置项，在配置项检查插件库都有与之对应的检查插件。

3、根据网络环境知识库和配置项知识库，构建基线库，使得每一种网络环境都有一条基线与之对应。

4、根据导入的经过处理过的目标系统的信息，选择基线，装载插件，启动对目标系统的安全配置检查。

所述步骤1包括：

1.1、根据信息安全有关标准，识别出与系统安全有关的所有配置项信息。

1.2、将步骤(1.1)中识别出的所有配置项信息记录在知识库中。

所述步骤2包括：

2.1、对配置项知识库中的每一配置项，根据配置项的详细描述信息，识别该配置项的检查方法。

2.2、将步骤(2.1)确定的配置项的检查方法进行分类，针对每一类检查方法构建相应检查插件。