1.本发明实施例涉及云计算信息安全技术领域,尤其涉及一种安全配置核查系统及方法。
背景技术:
2.随着云计算技术的快速发展和广泛应用,越来越多的企业选择将自己业务系统部署到云平台中,采购和使用了大量的云计算资源。大多数情况下,企业的云计算环境中同时存在不同的云计算技术架构以及多家云服务提供商的云平台产品。云平台的安全管控是技术、规范和操作的复杂组合,云平台的整体安全性需要综合考虑通信网络、区域边界、计算环境、安全管理中心以及终端、用户等诸多因素,将各个层面的安全防护措施相互联合、综合运行,才能形成“纵深防御、异构互补”的云平台安全防护体系。
3.随着企业建设的云平台规模日益庞大,在对云平台安全运维过程中面临的安全问题也日益突出,尤其是在对多类型云平台共存的情况下,由于不同云平台的接口异构,对于云平台安全配置核查的问题一直无法解决,长期以来面临着云平台安全配置核查实施难度大、人员投入成本高、安全运维效率低等一系列问题。
4.传统的安全配置核查装置大多是基于操作系统、数据库、中间件、应用程序的安全配置基线的检查设备,此类安全配置核查装置无法对云平台中的云资源进行安全配置检查。此外,目前公有云提供商的安全配置核查系统仅仅能够支持自身的云平台的安全配置核查,无法覆盖私有云及其他公有云提供商的云平台。
技术实现要素:
5.本发明实施例提供了一种安全配置核查系统,能够对混合云平台上的云资源进行安全配置核查,该系统可以有效降低实施核查的难度,该系统投入成本低,安全运维效率高。
6.第一方面,本发明实施例提供了一种安全配置核查系统,包括扫描规则生成器、管理器、安全配置核查引擎以及扫描报告生成器,所述管理器、所述扫描规则生成器以及所述安全配置核查引擎两两相连,所述安全配置核查引擎与所述扫描报告生成器相连;
7.所述扫描规则生成器,用于生成至少一个扫描规则,并将所述扫描规则发送给所述安全配置核查引擎;
8.所述管理器,用于获取至少一个扫描任务,并将所述扫描任务发送给所述安全配置核查引擎,所述每个扫描任务与至少一个扫描规则相对应;
9.所述安全配置核查引擎,用于根据所述扫描任务扫描混合云平台目标用户账号所对应的云资源的安全配置,得到扫描结果;
10.所述扫描报告生成器,用于将所述扫描结果与预设的安全配置基线进行核查生成扫描报告。
11.第二方面,本发明实施例还提供了一种安全配置核查方法,包括:
12.获取管理器下发的扫描任务;
13.从扫描规则生成器中获取与所述扫描任务对应的扫描规则;
14.根据所述扫描规则对混合云平台中的目标云资源的安全配置进行扫描,得到扫描结果;
15.将所述扫描结果发送至扫描报告生成器进行安全配置核查。
16.本发明实施例提供了一种安全配置核查系统及方法,首先通过扫描规则生成器生成至少一个扫描规则,并将所述扫描规则发送给所述安全配置核查引擎;然后通过管理器获取至少一个扫描任务,并将所述扫描任务发送给所述安全配置核查引擎;之后通过安全配置核查引擎根据所述扫描任务扫描混合云平台目标用户账号所对应的云资源的安全配置,得到扫描结果;最后通过扫描报告生成器将所述扫描结果与预设的安全配置基线进行核查生成扫描报告。利用上述技术方案,能够对混合云平台上的云资源进行安全配置核查,此外可以有效降低实施核查的难度,降低投入成本,提高安全运维效率。
附图说明
17.图1为本发明实施例一所提供的一种安全配置核查系统的结构示意图;
18.图2为本发明实施例二所提供的一种安全配置核查系统的一种结构示意图;
19.图3为本发明实施例二所提供的一种安全配置核查系统的另一种结构示意图;
20.图4为本发明示例实施例所提供的一种安全配置核查系统的结构示意图;
21.图5为本发明实施例三所提供的一种安全配置核查方法的流程示意图;
22.图6为本发明实施例四所提供的一种安全配置核查引擎的结构示意图。
具体实施方式
23.下面将参照附图更详细地描述本发明的实施例。虽然附图中显示了本发明的某些实施例,然而应当理解的是,本发明可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本发明。应当理解的是,本发明的附图及实施例仅用于示例性作用,并非用于限制本发明的保护范围。
24.应当理解,本发明的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本发明的范围在此方面不受限制。
25.本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
26.需要注意,本发明中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
27.需要注意,本发明中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
28.本发明实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
29.实施例一
30.图1为本发明实施例一所提供的一种安全配置核查系统的结构示意图,该系统可适用于对混合云平台中云资源的安全配置进行扫描核查的情况,其中该系统可由软件和/或硬件实现。该安全配置核查系统可以包括安全配置核查引擎,以对混合云平台中云资源的安全配置进行查询。
31.如图1所示,本发明实施例一提供的一种安全配置核查系统,包括:
32.扫描规则生成器110、管理器120、安全配置核查引擎130以及扫描报告生成器140,管理器120、扫描规则生成器110以及安全配置核查引擎130两两相连,安全配置核查引擎130与扫描报告生成器140相连;
33.扫描规则生成器110,用于生成至少一个扫描规则,并将所述扫描规则发送给所述安全配置核查引擎;
34.管理器120,用于获取至少一个扫描任务,并将所述扫描任务发送给所述安全配置核查引擎,所述每个扫描任务与至少一个扫描规则相对应;
35.安全配置核查引擎130,用于根据所述扫描任务扫描混合云平台目标用户账号所对应的云资源的安全配置,得到扫描结果;
36.扫描报告生成器140,用于将所述扫描结果与预设的安全配置基线进行核查生成扫描报告。
37.其中,扫描规则生成器110可以为一种可以生成扫描规则的设备。扫描规则生成器110可以用于根据用户输入的安全检查项内容生成一个或多个扫描规则,每个扫描规则可以与一种云平台资源对应,云平台资源可以理解为混合云平台中的一种云资源,安全检查项可以理解为需要进行安全检查的项目,示例性的,安全检查项可以包括扫描安全漏洞、扫描安全基线以及扫描恶意代码等。
38.扫描规则生成器110可以通过连接线与管理器120以及安全配置核查引擎相连,扫描规则生成器110通过与管理器120相连可以用于接收管理器120发送的安全检查项,并根据接收到的安全检查项生成一个或多个扫描规则。一个扫描规则可以包括一个或多个安全检查项,示例性的,扫描规则可以包括安全基线规则、操作系统安全漏洞规则、数据库安全漏洞规则、中间件安全漏洞规则、web应用安全漏洞规则以及代码规则等,此处不一一列举。
39.其中,管理器120可以为任意一种具有管理功能的设备,管理器120可以对扫描任务进行管理。扫描任务可以理解为对混合云平台中的云资源进行扫描的任务,在本实施例中,对如何获取扫描任务不作具体限制。
40.管理器120可以具有以下功能:下发扫描任务、暂停扫描任务、取消扫描任务以及查看扫描任务执行结果。
41.管理器120通过连接线与扫描规则生成器110相连可以用于向扫描规则生成器110发送安全检查项,以使扫描规则生成器110根据安全检查项生成扫描规则;管理器120通过连接线与安全配置核查引擎130相连可以用于向安全配置核查引擎130发送扫描任务。根据扫描任务可以确定所要扫描的云资源、扫描规则以及扫描任务执行的时间和次数。
42.其中,安全配置核查引擎130可以为能够对混合云平台中的各类型云资源的安全配置进行扫描的设备。安全配置核查引擎130可以根据扫描任务和扫描规则对目标云资源的安全配置进行扫描。
43.安全配置核查引擎130通过连接线与管理器120相连可以用于接收管理器120下发的扫描任务,安全配置核查引擎130通过连接线与扫描规则生成器110相连可以用于从扫描规则生成器110处获取与扫描任务对应的扫描规则;安全配置核查引擎130可以与混合云平台相连,进而可以对混合云平台中云资源的安全配置进行扫描,得到扫描结果;安全配置核查引擎还可以通过连接线与扫描报告生成器140相连,用于对扫描结果进行核查生成扫描报告和修复建议。
44.示例性的,若扫描任务为在2021年11月12日上午10点根据扫描规则1和扫描规则2对混合云平台中的云服务器的安全配置进行扫描,则安全配置核查引擎130从管理器120获取该扫描任务后可以从扫描规则生成器110中获取扫描规则1和扫描规则2。
45.其中,扫描报告生成器140可以为一种具有生成报告功能的设备,扫描报告生成器140可以通过与安全配置核查引擎130相连,用于从安全配置核查引擎130处获取扫描结果,并将扫描结果与预设的安全配置基线进行比对分析形成扫描报告。
46.在本实施例中,扫描报告生成器140生成扫描报告后可以将扫描报告发送至管理器120,以使用户可以从管理器120查看扫描报告。
47.本发明实施例一提供的一种安全配置核查系统,首先通过扫描规则生成器生成至少一个扫描规则,并将所述扫描规则发送给所述安全配置核查引擎;然后通过管理器生成至少一个扫描任务,并将所述扫描任务发送给所述安全配置核查引擎;之后通过安全配置核查引擎根据所述扫描任务对应的扫描规则扫描混合云平台目标用户账号所对应的云资源的安全配置,得到扫描结果;最后通过扫描报告生成器将所述扫描结果与预设的安全配置基线进行核查生成扫描报告。利用上述系统,能够对混合云平台上的云资源进行安全配置核查。此外,该系统可以有效降低实施核查的难度,降低投入成本,提高安全运维效率。
48.实施例二
49.图2为本发明实施例二所提供的一种安全配置核查系统的一种结构示意图,本实施例二在上述实施例一的基础上进行优化。本实施例尚未详尽之处可参见实施例一,此处不作赘述。
50.在本实施例中,管理器220包括系统配置管理器221以及扫描任务管理器222;系统配置管理器221用于接收用户输入的操作请求,所述操作请求包括添加系统用户账户以及访问密钥请求、设置扫描规则请求、执行扫描任务请求、查询扫描报告请求中的一个或多个;扫描任务管理器222用于获取所述系统配置管理器传输的执行扫描任务请求,从所述执行扫描任务请求中获取至少一个扫描任务,并将所述扫描任务发送给所述安全配置核查引擎,以使所述安全配置核查引擎执行所述扫描任务。
51.其中,系统配置管理器221与扫描任务管理器222通过连接线相连,系统配置管理器221通过与扫描任务管理器222相连可以向扫描任务管理器222发送执行扫描任务请求,以使扫描任务管理器222下发扫描任务至安全核查引擎230,使安全核查引擎230执行扫描任务。
52.在本实施例中,系统配置管理器221可以为一种对系统配置进行管理的设备,系统配置管理器221可以接收用户输入的操作请求,并根据操作请求执行相应的操作。
53.具体的,系统配置管理器221接收到用户发送的添加系统用户账户以及访问密钥请求后,可以添加用户输入的系统用户账户以及访问密钥,以使用户可以通过系统账户和
访问密钥登录系统。系统配置管理器221接收到用户发送的设置扫描规则请求后,可以获取用户输入的安全检查项,并将安全检查项下发至扫描规则生成器210,以使扫描规则生成器210生成扫描规则。系统配置管理器221接收到用户发送的执行扫描任务请求后,可以将执行扫描任务请求下发至扫描任务管理器222以使扫描任务管理器222可以根据执行扫描任务请求确定扫描任务,进而扫描任务管理器222可以将扫描任务发送至安全配置核查引擎230,以使安全配置核查引擎230对混合云平台中的资源云进行扫描并得到扫描结果。系统配置管理器221接收到用户发送的查询扫描报告请求后,可以从扫描报告生成器或数据库中获取扫描报告。
54.在本实施例中,扫描任务管理器222可以为一种对扫描任务进行管理的设备,扫描任务管理器222可以用于下发扫描任务、暂停扫描任务、取消扫描任务以及查看扫描任务执行结果等。示例性的,若用户想暂停扫描任务则可以通过系统配置管理器221下发暂停任务指令,扫描任务管理器222接收到暂停任务指令后可以停止向安全配置核查引擎230发送扫描任务,扫描任务管理器222还可以发送对应的指令至安全配置核查引擎230,以使安全配置核查引擎230暂停执行扫描任务。
55.进一步的,系统配置管理器221还用于接收到用户输入的添加系统用户账户以及访问密钥请求后,将用户输入的系统用户账户以及访问密钥作为系统用户账户以及访问密钥;
56.系统配置管理器221还用于接收到用户输入的设置扫描规则请求后,接收用户设置的安全检查项。
57.在本实施例中,将用户输入的系统用户账户以及访问密钥作为系统用户账户以及访问密钥只是一种方式,还可以通过其他方式设置系统用户账户以及访问密钥。
58.其中,系统配置管理器221接收到用户设置的安全检查项后可以将安全检查项发送至扫描规则生成器210,以使扫描规则生成器210可以根据安全检查项生成一个或多个扫描规则。
59.进一步的,扫描规则生成器210具体用于:从系统配置管理器221中获取用户设置的安全检查项;根据所述用户设置的安全检查项生成至少一个扫描规则;其中,所述扫描规则对应于混合云平台中的一种云资源,每个安全检查项根据对应的云资源上的安全配置确定。
60.其中,混合云平台上可以包括多种类型的云资源,不同云资源可以对应不同的扫描规则,一个云资源可以对应一个或多个扫描规则,此处不作具体限定。由于扫描规则与云资源对应,则可以理解的是,扫描规则中的安全检查项可以与云资源的安全配置相关联。
61.进一步的,安全配置核查引擎230具体用于:接收所述扫描任务,所述扫描任务包括扫描信息;从所述扫描规则生成器中获取所述扫描任务对应的扫描规则;根据所述扫描信息以及所述扫描规则对混合云平台目标用户账号所对应的云资源的安全配置进行扫描,得到安全配置信息;根据所述安全配置信息生成扫描结果。
62.其中,扫描信息可以包括扫描时间信息、扫描目标信息、扫描规则信息。
63.在本实施例中,安全配置核查引擎230通过与扫描任务管理器222相连可以接收扫描任务管理器222下发的扫描任务,安全配置核查引擎230接收到扫描任务后可以获取扫描信息,安全配置核查引擎230可以根据扫描时间确定何时进行扫描,根据扫描目标信息确定
需要对哪个云资源进行扫描,根据扫描规则信息可以确定需要用哪些扫描规则进行扫描,进而可以从扫描规则生成器210中获取对应的扫描规则。
64.其中,目标用户账号所对应的云资源可以根据扫描信息确定,混合云平台中的云资源具有与其对应的用户账号,需要登录用户账号和账号密码后才能对该账户对应的云资源的安全配置进行扫描。
65.进一步的,安全配置核查引擎230与混合云平台相连,所述混合云平台包括私有云平台和公有云平台。
66.其中,混合云平台中可以包括多种类型的云资源,示例性的,云资源可以包括云服务器、云硬盘、云网络以及云账户等,此处不一一列举。
67.图3为本发明实施例二所提供的一种安全配置核查系统的另一种结构示意图,本发明实施例二提供的一种安全配置核查系统还包括数据库250,数据库250可以用于存储系统在运行过程中所述的所有数据,至少包括系统初始化配置数据、系统用户账号和密钥、目标用户账号和密码、扫描规则、扫描任务以及扫描报告等。
68.进一步的,扫描报告生成器210还用于将所述扫描报告发送至数据库250存储。
69.进一步的,系统配置管理器221还用于接收到查询扫描报告请求后,从数据库250或扫描报告生成器240中获取扫描报告,并将所述扫描报告展示给用户。
70.在本实施例中,系统配置管理器221可以从数据库250中获取扫描报告,也可以从扫描报告生成器240中获取扫描报告,可以根据实际情况进行选择。
71.本发明实施例二提供的一种安全配置核查系统,克服现有技术的不足,提供了一种面向混合云平台的安全配置核查系统,既能支持包括公有云厂商以及私有云厂商等混合云平台中各类资源类型的安全配置扫描,又能够将安全配置扫描结果与预设的合规基线进行自动对比,发现存在的风险点,生成安全配置扫描报告和修复建议,从而降低企业在使用云产品过程中因配置不当所造成的信息安全风险,降低云平台的安全管控成本,提高云平台的安全运维效率。
72.在上述实施例的基础上,本发明还提供了一种示例性的实施例,图4为本发明示例实施例所提供的一种安全配置核查系统的结构示意图,如图4所示,该系统包括系统配置管理器410、扫描任务管理器420、安全配置核查引擎430、扫描规则生成器440、扫描报告生成器450以及数据库460。
73.其中,系统配置管理器410分别与扫描任务管理器420以及扫描规则生成器440相连,扫描规则生成器440还分别与安全配置核查引擎430以及数据库460相连,安全配置核查引擎430还分别与扫描任务管理器420以及扫描报告生成器450相连,数据库460还分别与扫描报告生成器450以及系统配置管理器410相连。
74.在该系统中,系统配置管理器410可以用于接收用户对系统的操作请求,系统配置管理器可以向扫描规则生成器440发送配置扫描规则指令,扫描规则生成器440接收到扫描规则指令后可以生成扫描规则,并将扫描规则发送至数据库460进行存储。
75.扫描任务管理器420可以用于对扫描任务进行管理,扫描任务管理器420可以下发扫描任务至安全配置核查引擎430,安全配置核查引擎430可以从扫描规则生成器440处获取扫描任务对应的扫描规则,并根据扫描规则对混合云平台中的目标资源云的安全配置进行扫描,将扫描结果发送至扫描报告生成器450,以使扫描报告生成器450根据扫描结果生
成扫描报告;扫描报告生成器450还用于将生成的扫描报告发送至数据库460进行存储。
76.实施例三
77.图5为本发明实施例三所提供的一种安全配置核查方法的流程示意图,本实施例可适用于对混合云平台中云资源的安全配置进行扫描核查的情况,该方法可以由实施例一和二中提供的安全配置核查引擎来执行,该安全配置核查引擎可以由硬件和软件来实现,该方法具体包括如下步骤:
78.s110、获取管理器下发的扫描任务。
79.其中,扫描任务可以为用户下发的扫描任务,根据用户发送的操作请求可以确定扫描任务的内容,每个扫描任务对应于一个或多个扫描规则。
80.s120、从扫描规则生成器中获取与所述扫描任务对应的扫描规则。
81.其中,扫描规则生成器可以根据用户输入的安全检查项生成多个扫描规则,每个扫描规则对应于一种云平台资源,每个扫描规则可以包括一个或者多个安全检查项。
82.s130、根据所述扫描规则对混合云平台中的目标云资源的安全配置进行扫描,得到扫描结果。
83.其中,根据扫描任务可以确定目标云资源,需要根据用户账号和密码登录后才能对目标云资源的安全配置进行扫描。
84.进一步的,安全配置核查引擎具体用于:接收所述扫描任务,所述扫描任务包括扫描信息;从所述扫描规则生成器中获取所述扫描任务对应的扫描规则;根据所述扫描信息以及所述扫描规则对混合云平台目标用户账号所对应的云资源的安全配置进行扫描,得到安全配置信息;根据所述安全配置信息生成扫描结果。
85.s140、将所述扫描结果发送至扫描报告生成器进行安全配置核查。
86.其中,将扫描结果与预设的安全配置基线进行核查后可以形成扫描报告。
87.本发明实施例三提供的一种安全配置核查方法,首先获取管理器下发的扫描任务;然后从扫描规则生成器中获取与所述扫描任务对应的扫描规则;之后根据所述扫描规则对混合云平台中的目标云资源的安全配置进行扫描,得到扫描结果;最后将所述扫描结果发送至扫描报告生成器进行安全配置核查。利用上述方法,能够对混合云平台上的云资源进行安全配置核查。此外,该系统可以有效降低实施核查的难度,降低投入成本,提高安全运维效率。
88.实施例四
89.图6为本发明实施例四所提供的一种安全配置核查引擎的结构示意图。如图6所示,本发明实施例四提供的安全配置核查引擎包括:一个或多个处理器41和存储装置42;该安全配置核查引擎中的处理器41可以是一个或多个,图6中以一个处理器41为例;存储装置42用于存储一个或多个程序;所述一个或多个程序被所述一个或多个处理器41执行,使得所述一个或多个处理器41实现如本发明方法实施例中所述的安全配置核查方法。
90.所述安全配置核查引擎还可以包括:输入装置43和输出装置44。
91.安全配置核查引擎中的处理器41、存储装置42、输入装置43和输出装置44可以通过总线或其他方式连接,图6中以通过总线连接为例。
92.存储装置42可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据安全配置核查引擎的使用所创建的
数据等。此外,存储装置42可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置42可进一步包括相对于处理器41远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
93.输入装置43可用于接收输入的数字或字符信息,以及产生与安全配置核查引擎的用户设置以及功能控制有关的键信号输入。输出装置44可包括显示屏等显示设备。
94.并且,当上述安全配置核查引擎所包括一个或者多个程序被所述一个或者多个处理器41执行时,程序进行如下操作:
95.获取管理器下发的扫描任务;
96.从扫描规则生成器中获取与所述扫描任务对应的扫描规则;
97.根据所述扫描规则对混合云平台中的目标云资源的安全配置进行扫描,得到扫描结果;
98.将所述扫描结果发送至扫描报告生成器进行安全配置核查。
99.实施例五
100.本发明实施例五提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时用于执行安全配置核查方法,该方法包括:
101.获取管理器下发的扫描任务;
102.从扫描规则生成器中获取与所述扫描任务对应的扫描规则;
103.根据所述扫描规则对混合云平台中的目标云资源的安全配置进行扫描,得到扫描结果;
104.将所述扫描结果发送至扫描报告生成器进行安全配置核查。
105.可选的,该程序被处理器执行时还可以用于执行本发明任意实施例所提供的安全配置核查方法。
106.本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是,但不限于,电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(random access memory,ram)、只读存储器(read only memory,rom)、可擦式可编程只读存储器(erasable programmable read only memory,eprom)、闪存、光纤、便携式cd-rom、光存储器件、磁存储器件、或者上述的任意合适的组合。计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
107.计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于:电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
108.计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:
无线、电线、光缆、无线电频率(radio frequency,rf)等等,或者上述的任意合适的组合。
109.可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如java、smalltalk、c++,还包括常规的过程式程序设计语言,诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(lan)或广域网(wan),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
110.注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
技术特征:
1.一种安全配置核查系统,其特征在于,所述系统包括扫描规则生成器、管理器、安全配置核查引擎以及扫描报告生成器,所述管理器、所述扫描规则生成器以及所述安全配置核查引擎两两相连,所述安全配置核查引擎与所述扫描报告生成器相连;所述扫描规则生成器,用于生成至少一个扫描规则,并将所述扫描规则发送给所述安全配置核查引擎;所述管理器,用于获取至少一个扫描任务,并将所述扫描任务发送给所述安全配置核查引擎,所述每个扫描任务与至少一个扫描规则相对应;所述安全配置核查引擎,用于根据所述扫描任务扫描混合云平台目标用户账号所对应的云资源的安全配置,得到扫描结果;所述扫描报告生成器,用于将所述扫描结果与预设的安全配置基线进行核查生成扫描报告。2.根据权利要求1所述的系统,其特征在于,所述安全配置核查引擎与混合云平台相连,所述混合云平台包括私有云平台和公有云平台。3.根据权利要求1所述的系统,其特征在于,所述管理器包括系统配置管理器以及扫描任务管理器;所述系统配置管理器用于接收用户输入的操作请求,所述操作请求包括添加系统用户账户以及访问密钥请求、设置扫描规则请求、执行扫描任务请求、查询扫描报告请求中的一个或多个;所述扫描任务管理器用于获取所述系统配置管理器传输的执行扫描任务请求,从所述执行扫描任务请求中获取至少一个扫描任务,并将所述扫描任务发送给所述安全配置核查引擎,以使所述安全配置核查引擎执行所述扫描任务。4.根据权利要求3所述的系统,其特征在于,所述系统配置管理器还用于接收到用户输入的添加系统用户账户以及访问密钥请求后,将用户输入的系统用户账户以及访问密钥作为系统用户账户以及访问密钥;所述系统配置管理器还用于接收到用户输入的设置扫描规则请求后,接收用户设置的安全检查项。5.根据权利要求4所述的系统,其特征在于,所述扫描规则生成器具体用于:从所述系统配置管理器中获取用户设置的安全检查项;根据所述用户设置的安全检查项生成至少一个扫描规则;其中,所述扫描规则对应于混合云平台中的一种云资源,每个安全检查项根据对应的云资源上的安全配置确定。6.根据权利要求1所述的系统,其特征在于,所述安全配置核查引擎具体用于:接收所述扫描任务,所述扫描任务包括扫描信息;从所述扫描规则生成器中获取所述扫描任务对应的扫描规则;根据所述扫描信息以及所述扫描规则对混合云平台目标用户账号所对应的云资源的安全配置进行扫描,得到安全配置信息;根据所述安全配置信息生成扫描结果。7.根据权利要求1所述的系统,其特征在于,所述系统还包括数据库,所述数据库用于存储数据,所述数据为所述系统在运行过程中使用和产生的。
8.根据权利要求7所述的系统,其特征在于,所述扫描报告生成器还用于将所述扫描报告发送至所述数据库存储。9.根据权利要求1所述的系统,其特征在于,所述系统配置管理器还用于接收到查询扫描报告请求后,从数据库或所述扫描报告生成器中获取扫描报告,并将所述扫描报告展示给用户。10.一种安全配置核查方法,其特征在于,由如权利要求1所述的安全配置核查引擎执行,所述方法包括:获取管理器下发的扫描任务;从扫描规则生成器中获取与所述扫描任务对应的扫描规则;根据所述扫描规则对混合云平台中的目标云资源的安全配置进行扫描,得到扫描结果;将所述扫描结果发送至扫描报告生成器进行安全配置核查。
技术总结
本发明公开了一种安全配置核查系统及方法。系统包括扫描规则生成器、管理器、安全配置核查引擎以及扫描报告生成器,管理器、扫描规则生成器以及安全配置核查引擎两两相连,安全配置核查引擎与扫描报告生成器相连;扫描规则生成器用于生成至少一个扫描规则,并将扫描规则发送给安全配置核查引擎;管理器用于获取至少一个扫描任务,并将扫描任务发送给安全配置核查引擎;安全配置核查引擎用于根据扫描任务扫描混合云平台目标用户账号所对应的云资源的安全配置得到扫描结果;扫描报告生成器用于将扫描结果与预设的安全配置基线进行核查生成扫描报告。上述系统能够对混合云平台上的云资源进行安全配置核查。资源进行安全配置核查。资源进行安全配置核查。
技术研发人员:段鑫冬 解培
受保护的技术使用者:中国光大银行股份有限公司
技术研发日:2021.11.29
技术公布日:2022/3/8