本发明涉及电信业务管理领域,尤其涉及一种自动化托管式采集主机风险信息的方法及装置。
背景技术:
系统配置、应用配置、网络配置等如果配置不当或者使用不当,非常容易给攻击者留下攻击后门,这些关键环节是主机风险产生的重要因素,其在某种程度上表现了主机自身的脆弱性,或成为主机被劫持的痕迹。对业务主机及上层应用信息是全面监控主机安全风险非常重要的一部分。目前业界普遍的解决方案是在目标主机上安装采集代理程序,并预先写好采集脚本随采集代理程序一起部署在目标主机上,以服务的方式运行代理程序定期执行脚本采集相关敏感配置数据,然后通过接口进行数据回传,服务端收到数据后进行风险分析。目前在实际实施过程产生了诸多问题,第一,部署成本,首次安装需要人为进行操作,主机数量少尚可接受,如果主机数量成千上万台,人工成本消耗可想而知;第二:开发维护成本,由于操作系统版本繁多,针对不同操作系统需要开发相应版本的采集代理程序、脚本;第三,运维成本,脚本可能需要不定时的更新,采集代理程序也存在更新场景,这对服务端的要求非常高,而一旦出现问题,比如某个业务主机上采集代理程序无法启动,或者结果无法回传,均无法快速定位问题。第四,安全性问题,从安全性考虑,存在禁止安装采集代理程序的场景,这样该部分主机就无法进行安全监控,为网内出现风险留下隐患。
技术实现要素:
本发明的目的在于提供一种自动化托管式采集主机风险信息的方法及装置。
本发明采用的技术方案是:
一种自动化托管式采集主机风险信息装置,其包括管理服务器、风险分析服务器和业务主机,每个子网部署一台管理服务器,同一子网的业务主机均该子网的管理服务器通信连接,风险分析服务器与所有子网的管理服务器通信连接,同一子网的所有业务主机的远程登录账号托管到该子网的管理服务器,管理服务器配置有对业务主机的风险信息进行采集的采集任务,风险分析服务器上配置有风险分析程序,风险分析程序用于对管理服务器回传的风险信息的进行分析以及甄别告警。
一种自动化托管式采集主机风险信息的方法,其包括以下步骤:
步骤1,将同一子网的所有业务主机的远程登录账号和密码托管至该子网的管理服务器;
步骤2,风险分析服务器控制对应的管理服务器开始风险信息采集;
步骤3,管理服务器基于预设配置执行采集任务采集业务主机的风险信息;
步骤4,管理服务器将获取的风险信息回传至风险分析服务器;
步骤5,风险分析服务器对回传的风险信息的进行分析,并在甄别到风险时发出告警。
步骤3中采集任务的具体步骤如下:
步骤3.1,管理服务器接收风险信息采集指令,并获取需执行的采集任务;
步骤3.2,管理服务器使用托管的远程登录账号和密码远程连接发起与该子网内的业务主机的连接;
步骤3.3,判断是否成功连接业务主机;是则,执行步骤3.4;否则,执行步骤3.2;
步骤3.4,执行采集任务对应的脚本获取业务主机的风险信息;
步骤3.5,判断获取的业务主机的风险信息的结果是否为空;是则,执行步骤3.2;否则,执行步骤3.6;
步骤3.6,管理服务器回传获取的业务的风险信息至风险分析服务器,并带等待下个风险信息采集指令。
本发明采用以上技术方案,所有业务主机远程登录的账号/密码托管到管理服务器;管理服务器根据风险分析服务器的要求配置采集任务(脚本、周期、关联资产、值含义等),并使用托管账号/密码远程连接业务主机,通过执行采集任务脚本命令采集业务主机的风险信息;完成采集任务脚本后,管理服务器获取脚本执行结果,通过接口回传给风险分析服务器;风险分析服务器风险分析程序通过分析风险数据、甄别告警。本发明采用远程登录回显技术将人工成本从实施中剥离出来,只需要将主机登录信息收集汇总,配置后台任务,即可实现主机信息自动化获取与管理。
附图说明
以下结合附图和具体实施方式对本发明做进一步详细说明;
图1为本发明一种自动化托管式采集主机风险信息装置的结构示意图;
图2为本发明一种自动化托管式采集主机风险信息的方法的采集任务的流程示意图。
具体实施方式
如图1或2所示,本发明公开了一种自动化托管式采集主机风险信息装置,其包括管理服务器、风险分析服务器和业务主机,每个子网部署一台管理服务器,同一子网的业务主机均该子网的管理服务器通信连接,风险分析服务器与所有子网的管理服务器通信连接,同一子网的所有业务主机的远程登录账号托管到该子网的管理服务器,管理服务器配置有对业务主机的风险信息进行采集的采集任务,风险分析服务器上配置有风险分析程序,风险分析程序用于对管理服务器回传的风险信息的进行分析以及甄别告警。
一种自动化托管式采集主机风险信息的方法,其包括以下步骤:
步骤1,将同一子网的所有业务主机的远程登录账号和密码托管至该子网的管理服务器;
步骤2,风险分析服务器控制对应的管理服务器开始风险信息采集;
步骤3,管理服务器基于预设配置执行采集任务采集业务主机的风险信息;
步骤4,管理服务器将获取的风险信息回传至风险分析服务器;
步骤5,风险分析服务器对回传的风险信息的进行分析,并在甄别到风险时发出告警。
进一步地,如图2所示,步骤3中采集任务的具体步骤如下:
步骤3.1,管理服务器接收风险信息采集指令,并获取需执行的采集任务;
步骤3.2,管理服务器使用托管的远程登录账号和密码远程连接发起与该子网内的业务主机的连接;
步骤3.3,判断是否成功连接业务主机;是则,执行步骤3.4;否则,执行步骤3.2;
步骤3.4,执行采集任务对应的脚本获取业务主机的风险信息;
步骤3.5,判断获取的业务主机的风险信息的结果是否为空;是则,执行步骤3.2;否则,执行步骤3.6;
步骤3.6,管理服务器回传获取的业务的风险信息至风险分析服务器,并带等待下个风险信息采集指令。
本发明采用以上技术方案,所有业务主机远程登录的账号/密码托管到管理服务器;管理服务器根据风险分析服务器的要求配置采集任务(脚本、周期、关联资产、值含义等),并使用托管账号/密码远程连接业务主机,通过执行采集任务脚本命令采集业务主机的风险信息;完成采集任务脚本后,管理服务器获取脚本执行结果,通过接口回传给风险分析服务器;风险分析服务器风险分析程序通过分析风险数据、甄别告警。本发明采用远程登录回显技术将人工成本从实施中剥离出来,只需要将主机登录信息收集汇总,配置后台任务,即可实现主机信息自动化获取与管理。