一种基于可配置知识库的UNIX主机安全配置审计方法

摘要

本发明公开了一种基于可配置知识库的UNIX主机安全配置审计方法。知识库包括用于安全审计的系统配置规则库及能为用户提供信息安全决策支撑的安全加固建议库，支持针对不同UNIX操作系统类型及安全审计需求对知识库进行灵活定制。本系统根据UNIX操作系统类型、审计需求等过滤条件对知识库提供的审计项进行筛选，实施UNIX主机系统的自动化配置审计、漏洞分析、风险评级、加固实施风险分析，并形成报表。本发明有利于及时发现主机系统存在的安全隐患，最终实现对UNIX主机系统的安全防护。

主权项

一种基于可配置知识库的UNIX主机安全配置审计方法，其特征在于：利用可配置知识库（1），实现对不同类型的UNIX主机的自动化安全配置审计（2）；所述的可配置知识库（1）针对不同类型的UNIX主机操作系统分别进行定制，可根据安全配置审计需求的不同灵活实现知识库的升级，所述的可配置知识库（1）包含UNIX配置规则库和安全加固建议库，其总体三层结构为{检测类别,{检测项目,{配置规则,安全加固建议}}}，其中：1）检测类别标识UNIX主机安全配置审计指标，涉及账户口令策略、网络与服务、内核网络参数、主机信任关系、文件系统、日志审计，每个检测类别包含若干检测项目；2）检测项目对UNIX主机安全配置审计指标进行分解，细化至UNIX主机系统具体的安全配置，每个检测项目对应相应的配置规则和安全加固建议；3）配置规则对应若干检测指令集合，是检测项目的具体实现，检测指令采用管道命令、awk脚本语言、词法分析、正则表达式技术，实现数据过滤和自动分析统计功能；4）安全加固建议包括漏洞描述、安全风险等级、建议解决方案、加固整改风险和重要等级；其中，漏洞描述针对检测项目存在的安全风险进行客观定性分析；安全风险等级对检测项目存在的安全风险进行定量分析；建议解决方案以安全配置审计标准要求为依据，从安全加固整改的角度提供漏洞的解决方法；加固整改风险针对加固整改行为对UNIX主机系统安全性的影响进行分析；重要等级综合检测项目的安全风险和加固整改风险，对其对UNIX主机系统安全性的影响进行定量分析；所述的自动化安全配置审计（2）所包含的步骤为：步骤1）对安全配置审计发起方进行安全授权验证，若认证为合法授权用户则转步骤2），否则转步骤9）；步骤2）安全配置审计发起方创建扫描任务，并提供被扫描的目标主机IP、登录用户名和口令、主机操作系统类型及可用的远程连接方式；步骤3）以可配置知识库（1）为基础，安全配置审计发起方对扫描检测项目进行灵活定制；步骤4）启动扫描引擎，通过Telnet、SSH方式与目标主机建立通信通道，若连接成功则转步骤5），否则转步骤2）；步骤5）扫描引擎根据安全配置审计发起方定制的扫描检测项目，从可配置知识库（1）中获取目标主机操作系统类型专用的检测指令集合，并添加特殊标记对不同指令进行分隔，实现检测指令集合的结构化预处理；步骤6）扫描引擎通过已建立的通信通道执行预处理后的检测指令，对目标主机实施安全配置检测，并采集目标主机系统Banner信息、口令策略、网络参数、文件系统权限、主机信任关系、日志审计配置信息；步骤7）扫描引擎对检测结果进行语义解析，采用特殊标记匹配的方法识别不同指令对应的检测结果，并采用Unicode格式对获取的有效数据进行编码转换，避免检测结果中的特殊字符可能引发的异常，最后将编码后数据存入数据库；步骤8）如果触发报表引擎，将数据库中相应的数据采用Unicode格式进行解码转换，并填充报表模版，以.xls文件形式及.html网页形式输出；步骤9）全过程结束。