一种网络边界设备的配置检测方法及装置与流程

本发明涉及计算机安全，尤其涉及一种网络边界设备的配置检测方法及装置。

背景技术：

1、由于防火墙、ips、ids和waf等网络设备在网络架构中承担着关键的安全防护职责，其配置的合规性直接影响到网络安全防护能力。此外，随着政府对网络安全监管力度的不断加强，以及行业对网络安全标准的日益关注，必须确保网络中的安全设备配置符合相关法规法律。

2、现有技术中的防火墙、ips、ids和waf等网络设备的配置都是人为管理配置，导致检测网络设备的合规性效率低。

技术实现思路

1、有鉴于此，有必要提供一种网络边界设备的配置检测方法及装置，用以解决检测网络设备的合规性效率低的问题。

2、为了解决上述问题，本发明提供一种网络边界设备的配置检测方法，包括：

3、基于网络安全规范得到多个规则项；

4、根据业务类型从所述多个规则项中选择目标规则项，基于所述目标规则项得到多个规则模板；

5、基于待检测业务类型从所述多个规则模板中选择对应的目标规则模板；

6、基于待检测网络边界设备的检查点逻辑和所述目标规则模板，得到待检测网络边界设备的安全合规性检测结果。

7、在一种可能的实现方式中，所述待检测网络边界设备包括：防火墙、ips、ids和waf中的一种或多种。

8、在一种可能的实现方式中，还包括：

9、对所述待检测网络边界设备的配置项进行管理，所述待检测网络边界设备的配置项包括设备的ip、设备类型、设备的厂商和型号、设备的凭据、设备采集超时时间以及设备采集类型中的一种或多种。

10、在一种可能的实现方式中，所述检查逻辑包括：简单条件、复杂条件、策略搜索条件、取值计算条件以及自定义插件条件中的一种或多种：

11、所述简单条件为基于正则表达式对所述待检测网络边界设备的配置项进行合规性检测；

12、所述复杂条件为基于若干个正则表达式对所述待检测网络边界设备的配置项进行合规性检测；

13、所述策略搜索条件为对所述待检测网络边界设备的配置项是否存在重复的策略、临过期的策略以及隐藏的策略；

14、所述取值计算条件对所述待检测网络边界设备的配置项做具体的计算；

15、所述自定义插件条件为基于python脚本来判断待检测网络边界设备的配置项的合规性。

16、在一种可能的实现方式中，所述基于待检测网络边界设备的检查点逻辑和所述目标规则模板，得到待检测网络边界设备的安全合规性检测结果，包括：

17、基于待检测网络边界设备的检查点逻辑将待检测网络边界设备的配置项与所述目标规则模板中的规则项进行匹配；

18、统计所述待检测网络边界设备的配置项中不匹配所述目标规则模板中的规则项的数量；

19、基于所述数量确定待检测网络边界设备安全合规性检测结果。

20、另一方面，本发明还提供了一种网络边界设备安全合规性检测装置，包括：

21、规则管理单元，用于对规则项进行管理，所述规则项基于网络安全规范得到；

22、规则模板管理单元，用于对规则模板进行管理，所述规则模板根据业务类型从所述规则项中选择目标规则项得到；

23、检查逻辑点管理单元，用于配置所述规则项的检查逻辑点，并对网络边界设备的检查逻辑点进行管理；

24、任务管理单元，用于基于待检测业务类型从所述多个规则模板中选择对应的目标规则模板，并基于待检测网络边界设备的检查点逻辑和所述目标规则模板，得到待检测网络边界设备的安全合规性检测结果。

25、在一种可能的实现方式中，还包括：

26、设备管理单元，用于对网络边界设备的配置项进行管理；

27、设备凭据管理单元，用于对网络边界设备的凭据进行管理。

28、在一种可能的实现方式中，所述任务管理单元还用于按照任务设置执行任务计划，所述任务设置包括需检测网络边界设备的类型以及型号，所述任务计划包括：设置按天执行、设置按周执行以及设置按月执行。

29、在一种可能的实现方式中，所述任务管理单元还用于当检查网络边界设备的配置项存在不合规的配置项时，以邮箱的形式发送给对应的设备管理人员。

30、在一种可能的实现方式中，规则模板管理单元还用于对规则模板的启用和关闭进行设置。

31、本发明的有益效果是：本发明提供的一种网络边界设备的配置检测方法，首先基于网络安全规范得到规则项，然后根据业务类型从所述规则项中选择规则项得到多个规则模板，进一步基于待检测业务类型从多个规则模板中选择目标规则模板，进一步基于待检测网络边界设备的检查点逻辑和目标规则模板，得到待检测网络边界设备的安全合规性的检测结果。本发明将不同业务场景下常用的一些检查规则预置为模版，检查设备配置项是否合规时的判断标准，通过不同的标准配置，可灵活制定各种检查逻辑点来检测不同厂商、类型设备的配置项是否合规，从而提高检测网络设备的合规性效率。

技术特征：

1.一种网络边界设备的配置检测方法，其特征在于，包括：

2.根据权利要求1所述的网络边界设备的配置检测方法，其特征在于，所述待检测网络边界设备包括：防火墙、ips、ids和waf中的一种或多种。

3.根据权利要求1所述的网络边界设备的配置检测方法，其特征在于，还包括：

4.根据权利要求1所述的网络边界设备的配置检测方法，其特征在于，所述检查点逻辑包括：简单条件、复杂条件、策略搜索条件、取值计算条件以及自定义插件条件中的一种或多种：

5.根据权利要求4所述的网络边界设备的配置检测方法，其特征在于，基于待检测网络边界设备的检查点逻辑和所述目标规则模板，得到待检测网络边界设备的安全合规性检测结果，包括：

6.一种网络边界设备的配置检测装置，其特征在于，包括：

7.根据权利要求6所述的网络边界设备的配置检测装置，其特征在于，还包括：

8.根据权利要求6所述的网络边界设备的配置检测装置，其特征在于，所述任务管理单元还用于按照任务设置执行任务计划，所述任务设置包括需检测网络边界设备的类型以及型号，所述任务计划包括：设置按天执行、设置按周执行以及设置按月执行。

9.根据权利要求8所述的网络边界设备的配置检测装置，其特征在于，所述任务管理单元还用于当检查网络边界设备的配置项存在不合规的配置项时，以邮箱的形式发送给对应的设备管理人员。

10.根据权利要求6所述的网络边界设备的配置检测装置，其特征在于，规则模板管理单元还用于对规则模板的启用和关闭进行设置。

技术总结本发明涉及一种网络边界设备的配置检测方法及装置，属于计算机安全技术领域，其中，该方法包括：基于网络安全规范得到多个规则项；根据业务类型从多个规则项中选择目标规则项，基于目标规则项得到多个规则模板；基于待检测业务类型从多个规则模板中选择对应的目标规则模板；基于待检测网络边界设备的检查点逻辑和所述目标规则模板，得到待检测网络边界设备的安全合规性检测结果。本发明将不同业务场景下的规则项预置为规则模版作为设备配置项是否合规时的判断标准，通过不同的标准配置，可灵活制定各种检查逻辑点来检测不同厂商、类型设备的配置项是否合规，从而提高检测网络设备的合规性效率。技术研发人员：李先瞧,肖俊受保护的技术使用者：武汉思普崚技术有限公司技术研发日：技术公布日：2024/7/29