[发明专利]一种主机安全基线自动加固方法及系统

说明书

技术领域

本发明涉及计算机安全技术，尤其涉及一种主机安全基线自动加固方法及系统。

背景技术

目前，主机安全已获得越来越多企业的重视与关注，许多企业特别是电信运营企业都会定期制定并颁布新的主机安全加固规范，对业务支撑系统使用的主机进行定期安全扫描和加固，确保业务系统运行在安全稳定的环境中。其中，安全基线检查和加固是主机安全检查和加固的主要内容。安全基线是设备和配置方面的基本安全要求，是信息系统的最小安全保证和最基本的、必须满足的安全要求。因此，为了保证整体安全水平，防止系统设备因为安全配置不到位而带来安全风险，有必要对系统设备的安全性进行检查和加固。若系统按照安全基线进行了检查和加固，则可以确保系统和设备安全符合性达到要求，杜绝大部分的安全隐患。

在现有的技术中，可以使用专业的安全基线检查工具对基线各个要求项进行自动化的基线检查，但是无法实现自动对主机安全基线进行加固。由于安全、资金、技术等方面的限制，实际工作环境中主机安全基线检查和加固基本都是通过人工操作完成的。然而，当所需加固的主机数量以及每台主机涉及的基线检查条目都较多、且需要周期性对主机基线进行检查时，依靠人工操作不仅需要耗费较多人力资源，而且效率较低；人工操作还容易造成人为误操作行为，从而对系统的正常运行造成影响；此外，对主机进行安全基线检查和加固需要维护人员具有较强的专业技术能力以及解决问题能力，然而，不同的维护人员通常对检查和加固方法理解不同，即：缺乏统一的基线检查和加固流程。

发明内容

有鉴于此，本发明实施例期望提供一种主机安全基线自动加固方法及系统，能够实现对主机安全基线的自动检查与加固。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种主机安全基线自动加固方法，所述方法包括：

设置主机安全基线；

选择加固项，并设置所选择加固项分别对应的安全加固函数；

调用所述加固项对应的安全加固函数对加固项进行加固，并获取加固项的当前值；

根据所述加固项的当前值与所述安全加固函数中包含的基线标准值的关系生成加固结果。

上述方案中，所述方法还包括：

在设置主机安全基线之前，备份主机操作系统安全基线配置文件和/或主机操作系统。

上述方案中，

所述安全加固函数还包含：加固项的关键字；

所述调用所述加固项对应的安全加固函数对加固项进行加固，包括：根据所述加固项中包含的关键字，搜索具有相同关键字的安全加固函数，并调用所述安全加固函数对加固项进行加固。

上述方案中，所述根据所述加固项的当前值与所述安全加固函数中包含的基线标准值的关系生成加固结果，包括：

当加固项的当前值与安全加固函数中包含的基线标准值相同时，保留加固项的当前值；

当加固项的当前值与安全加固函数中包含的基线标准值不相同时，将加固项的当前值修复为基线标准值。

上述方案中，所述方法还包括：

当对一个加固项进行加固的时间大于预置的阈值时，中止对该加固项进行加固，并发出告警；

验证加固结果是否已生效，如果加固结果已生效，则加固完成；如果加固结果未生效，则发送告警提示。

本发明还提供了一种主机安全基线自动加固系统，所述系统包括：基线管理模块、基线检查模块、基线加固模块；其中，

所述基线管理模块，用于设置主机安全基线；选择加固项，并设置所选择加固项分别对应的安全加固函数；

所述基线检查模块，用于调用所述加固项对应的安全加固函数对加固项进行加固，并获取加固项的当前值；

所述基线加固模块，用于根据所述加固项的当前值与所述安全加固函数中包含的基线标准值的关系生成加固结果。

上述方案中，所述系统还包括：备份模块，用于在设置主机安全基线之前，备份主机操作系统安全基线配置文件和/或主机操作系统。

上述方案中，所述基线管理模块设置的安全加固函数中还包含：加固项的关键字；

所述基线检查模块调用所述加固项对应的安全加固函数对加固项进行加固，包括：根据所述加固项中包含的关键字，搜索具有相同关键字的安全加固函数，并调用所述安全加固函数对加固项进行加固。

上述方案中，所述基线加固模块，具体用于：

当加固项的当前值与安全加固函数中包含的基线标准值相同时，保留加固项的当前值；