基于动态策略的网络安全接口模糊检测系统的制作方法

1.本发明涉及网络安全测评技术领域，尤其涉及一种基于动态策略的网络安全接口模糊检测系统。


背景技术：

2.网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，在进行网络安全的评测过程中会使用到评测系统。
3.等保测评工作中包括网络安全的测评，是对已经按《信息安全技术信息系统安全等级保护定级指南》定级的网络设备进行测评，检查被测网络设备是否达到既定的级别；具体地，《信息系统安全等级保护测评要求》制定有对网络设备的测评检查的安全配置检查点，该安全配置检查点包括：身份鉴别检查、访问控制措施检查、审计容完整性检查、入侵防范措施检查、链接控制措施、恶意代码防范措施检查等。
4.在网络安全等级保护技术测评2.0时期，结合重要性、安全性、共享性、全面性、符合性五大原则进行抽样，网络设备、安全设备、主机设备、数据库系统、中间件等通用测评对象，很难通过人力实现准确、快速、高效和全面覆盖的技术测评工作。
5.如申请号为cn202010637553.3公开了一种等级保护的人工智能测评方法、客户端及系统，方法包括步骤:通过即时通信工具获取网络信息系统中网络设备的图像数据，对前述图像数据进行图像识别后获取网络设备的设备信息，以及通过运营状态识别终端获取网络设备的运营状态信息并判断该网络设备是否符合正常运营状态；判定网络设备符合正常运营状态时，根据网络设备的设备信息，对应着预设的网络安全等级评定模型进行测评打分，获得所述网络信息系统对应的评分值以获得对应的等级保护级别。
6.然而上述技术方案存在以下缺陷：测评方法不能全面测评覆盖所有通用设备或系统，同时不能模拟用户登录网络设备进行无损检测，且该方案不能对网络设备进行基线测评。


技术实现要素：

7.本发明的目的在于克服现有技术的不足，提供一种基于动态策略的网络安全接口模糊检测系统。
8.本发明的目的是通过以下技术方案来实现的：基于动态策略的网络安全接口模糊检测系统，主要包括：项目导入模块、等保测评模块、基线测评模块、配置导出模块和标准学习模块；其中，项目导入模块用于将系统目录下设备信息文件中的待测设备信息导入系统；等保测评模块用于根据导入的待测设备信息进行指纹识别并判断设备的版本信息，以及调用测评插件库对待测设备进行等保测评，输出等保测评结果；基线测评模块用于根据导入的待测设备信息进行指纹识别并判断待测设备的版
本信息，以及调用测评插件库对待测设备进行基线测评，输出基线测评结果；配置导出模块用于指根据导入的待测设备信息进行指纹识别并判断待测设备的版本信息，以及调用测评插件库对待测设备进行基线测评，输出基线测评结果，同时对待测设备安全性能进行无损检测并输出检测结果；标准学习模块用于展示文件目录中收录的等保文件信息。
9.具体的，待测设备信息包括项目名称、项目经理、设备名称、设备类型、连接方式、ip地址、端口、用户名、密码、测评情况和备注。
10.等保测评模块具体用于依据已有的基本的设备种类信息，调用后台指纹识别功能，自动判断待测设备的具体版本信息；然后调用系统工具目录中的测评插件库对待测设备进行等保测评，输出等保测评结果；系统将会依据设备信息文件中的用户信息，模拟用户进行设备登录操作后，对设备的身份鉴别、访问控制、安全审计、入侵防护、传输保密性和传输完整性等进行无损检测，无损检测结果依据标准文件进行结果判断，最后等保测评完成后修改设备信息文件中的待测设备的等保测评情况，将其标记为已测。
11.基线测评模块具体用于依据已有的基本的设备种类信息，调用后台指纹识别功能，自动判断待测设备的具体版本信息；然后调用系统工具目录中的测评插件库对待测设备进行基线测评，输出基线测评结果；最后基线测评完成后修改设备信息文件中的待测设备的基线测评情况，将其标记为已测。
12.配置导出模块具体用于依据已有的基本的设备种类信息，调用后台指纹识别功能，自动判断待测设备的具体版本信息；然后调用系统工具目录中的测评插件库对待测设备进行等保测评，输出等保测评结果；系统将会依据设备信息文件中的用户信息，模拟用户进行设备登录操作后，对设备的身份鉴别、访问控制、安全审计、入侵防护、传输保密性和传输完整性进行无损检测，系统直接输出无损检测结果，最后等保测评完成后修改设备信息文件中的待测设备的等保测评情况，将其标记为已测。
13.此外，系统还包括登录模块，用于为用户提供登录界面，并在用户登录验证时，系统打开系统配置目录中的配置文件，校验登录的用户名及使用sm3加盐后的密码hash是否正确，如果用户名密码正确则进入系统功能界面。
14.系统还包括密码修改模块，用于将用户修改的密码采用sm3杂凑密码算法加盐存储，存储在系统配置目录下的配置文件中。
15.本发明的有益效果：本发明极大的方便了网络安全等级保护测评公司现场测评工作的配置取证工作，无需抽样选择，可直接全面测评覆盖所有通用设备或系统（网络设备、操作系统、数据库、中间件、终端等）。
附图说明
16.图1是本发明的系统架构图。
具体实施方式
17.为了对本发明的技术特征、目的和有益效果有更加清楚的理解，现对本发明的技术方案精选以下详细说明。显然，所描述的实施案例是本发明一部分实施例，而不是全部实
施例，不能理解为对本发明可实施范围的限定。基于本发明的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的其他所有实施例，都属于本发明的保护范围。
18.实施例一：本实施例中，如图1所示，一种基于动态策略的网络安全接口模糊检测系统，主要包括：项目导入模块、等保测评模块、基线测评模块、配置导出模块和标准学习模块；其中，项目导入模块用于将系统目录下设备信息文件中的待测设备信息导入系统；等保测评模块用于根据导入的待测设备信息进行指纹识别并判断设备的版本信息，以及调用测评插件库对待测设备进行等保测评，输出等保测评结果；基线测评模块用于根据导入的待测设备信息进行指纹识别并判断待测设备的版本信息，以及调用测评插件库对待测设备进行基线测评，输出基线测评结果；配置导出模块用于指根据导入的待测设备信息进行指纹识别并判断待测设备的版本信息，以及调用测评插件库对待测设备进行基线测评，输出基线测评结果，同时对待测设备安全性能进行无损检测并输出检测结果；标准学习模块用于展示文件目录中收录的等保文件信息。
19.其中，系统进行网络安全等级保护学习时，通过项目导入模块录入待测设备信息，等保测评模块根据导入的待测设备信息进行指纹识别，指纹识别过程中分别调用等保测评模块和基线测评模块进行测评，并导出配置信息，用于等保测评过程进行对比验证。等保测评和基线测评结束后，根据导出的配置信息和测评结果生成相应测评报告。此外，系统还具有定级、备案、监督修改和整改等功能，进一步方便了网络安全等级保护测评公司现场测评工作的配置取证工作，提高了系统的通用性。
20.本实施例中，待测设备信息包括项目名称、项目经理、设备名称、设备类型、连接方式、ip地址、端口、用户名、密码、测评情况和备注。
21.目前网络安全的等保测评工作都是采用人工测评方法，包括：1、根据等级保护技术标准要求的相应等级下的各个测评指标对不同型号的网络设备进行测评，具体是对不同类型的网络设备的各个安全配置检查点进行检查，这些不同类型的网络设备是指不同厂商生产的各种型号路由器、交换机、防火墙等网络设备；2、根据人工测评的结果编写等保测评报告。这种采用人工进行测评的方法存在以下问题：1)检查手段过于简单，导致测评结果不全面；2)耗时过长，测评效率低；3)人为的测评失误容易带来测评失误的风险；4)对不同型号的网络设备的安全配置检查点检查测评时，因人为因素而不够规范。
22.本实施例中，等保测评模块具体用于依据已有的基本的设备种类信息，调用后台指纹识别功能，自动判断待测设备的具体版本信息；然后调用系统工具目录中的测评插件库对待测设备进行等保测评，输出等保测评结果；系统将会依据设备信息文件中的用户信息，模拟用户进行设备登录操作后，对设备的身份鉴别、访问控制、安全审计、入侵防护、传输保密性和传输完整性进行无损检测，无损检测结果依据标准文件进行结果判断，最后等保测评完成后修改设备信息文件中的待测设备的等保测评情况，将其标记为已测。
23.基线测评模块具体用于依据已有的基本的设备种类信息，调用后台指纹识别功能，自动判断待测设备的具体版本信息；然后调用系统工具目录中的测评插件库对待测设备进行基线测评，输出基线测评结果；最后基线测评完成后修改设备信息文件中的待测设备的基线测评情况，将其标记为已测。
24.配置导出模块具体用于依据已有的基本的设备种类信息，调用后台指纹识别功能，自动判断待测设备的具体版本信息；然后调用系统工具目录中的测评插件库对待测设备进行等保测评，输出等保测评结果；系统将会依据设备信息文件中的用户信息，模拟用户进行设备登录操作后，对设备的身份鉴别、访问控制、安全审计、入侵防护、传输保密性和传输完整性进行无损检测，系统直接输出无损检测结果，最后等保测评完成后修改设备信息文件中的待测设备的等保测评情况，将其标记为已测。
25.此外，系统还包括登录模块，用于为用户提供登录界面，并在用户登录验证时，系统打开配置目录中的配置文件，校验登录的用户名及使用sm3加盐后的密码hash是否正确，如果用户名密码正确则进入系统功能界面。
26.系统还包括密码修改模块，用于将用户修改的密码采用sm3杂凑密码算法加盐存储，存储在配置目录下的配置文件中。
27.本实施例提供的极大的方便了网络安全等级保护测评公司现场测评工作的配置取证工作，无需抽样选择，可直接全面测评覆盖所有通用设备或系统（网络设备、操作系统、数据库、中间件、终端等）。
28.实施例二：本实施例中， 基于实施例一提供的系统，用户进行系统操作流程主要包括用户登录、密码修改、项目导入、等保测评、基线测评、配置导出和标准学习。上述操作流程具体如下：1.用户登录首次使用时可通过默认账户admin及密码123456登录系统，登录验证时系统会打开配置目录下的配置文件，校验登录的用户名及使用sm3加盐后的密码hash是否正确，如果用户名密码正确，系统将自动跳转到系统的主要功能界面。
29.2.密码修改点击系统主界面的右上方的登录名（admin），打开密码修改界面。然后在密码修改界面输入正确的原密码及新密码，最后点击确定修改按钮进行修改，新密码要求长度大于6位，修改的密码采用sm3杂凑密码算法加盐存储，存储位置在系统配置目录中的配置文件。
30.3.项目导入打开系统目录下的设备信息文件，参照现有的格式填写需要测评的待测设备信息（项目名称、项目经理、设备名称、设备类型、连接方式、ip地址、端口、用户名、密码、测评情况、备注）。点击主界面的项目导入功能按钮，即可将系统目录下的设备信息文件中的待测设备信息导入系统中。
31.4.等保测评项目导入后，右键单击选择测评对象打开测评菜单，选择等保测评后，系统将依据对应已有的基本的设备种类信息（比如linux），调用后台指纹识别功能，自动判断所测评对象的具体版本信息（比如centos7.5），然后调用系统工具目录中的对应测评插件库（该插件库指的是等保测评功能支持的测评插件集合库，其包含window、linux、oracle、mysql、mssql等，它们能分别对各种设备进行自动化测评），并自动跳转到等保测评结果展示页面，同时系统将会依据设备信息文件中的用户名密码等信息，模拟用户进行设备登录操作后，依据《gb∕t 28448-2019 信息安全技术网络安全等级保护测评要求》对设备的身份鉴别、访
问控制、安全审计、入侵防护、传输保密性、传输完整性等方面进行无损检测（无损检测指的是系统模拟用户登录后使用的检测命令是经过充分测试评估的查询类命令，不会增、删、修改设备配置，导致设备异常），检测结果依据标准文件进行结果判断，最后测评完成后将会修改设备信息文件中的测评情况，将其标记为已测。
32.5.基线测评项目导入后，右键单击选择测评对象打开测评菜单，选择基线测评后，系统将依据对应已有的基本的设备种类信息（比如linux），调用后台指纹识别功能，自动判断所测评对象的具体版本信息（比如centos7.5），然后调用系统工具目录中的对应测评插件库（该插件库指的是基线测评功能支持的测评插件集合库，其包含window和linux，它们能分别对各种设备进行自动化测评），并自动跳转到基线测评结果展示页面，最后测评完成后将会修改设备信息文件中的测评情况，将其标记为已测。
33.6.配置导出项目导入后，右键单击选择测评对象打开测评菜单，选择配置导出后，系统将依据对应已有的基本的设备种类信息（比如linux），调用后台指纹识别功能，自动判断所测评对象的具体版本信息（比如centos7.5），然后调用系统工具目录中的对应测评插件库（该插件库指的是等保测评功能支持的测评插件集合库，其包含window、linux、oracle、mysql、mssql等，它们能分别对各种设备进行自动化测评），并自动跳转到等保测评结果展示页面，同时系统将会依据设备信息文件中的用户名密码等信息，模拟用户进行设备登录操作，依据《gb∕t 28448-2019 信息安全技术网络安全等级保护测评要求》对设备的身份鉴别、访问控制、安全审计、入侵防护、传输保密性、传输完整性等方面进行无损检测（无损检测指的是系统模拟用户登录后使用的检测命令是经过充分测试评估的查询类命令，不会增、删、修改设备配置，导致设备异常），系统不对检测结果进行判断，直接导出，最后测评完成后将会修改设备信息文件中的测评情况，将其标记为已测。
34.7.等保学习点击等保学习按钮后，自动展示系统文件目录下收录的等保相关文件：《gb∕t 22239-2019 信息安全技术 网络安全等级保护基本要求》、《gb∕t 28448-2019 信息安全技术网络安全等级保护测评要求》等，单击文件名即可使用本地默认浏览器打开对应文件，供系统使用者进行阅读学习。
35.以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护的范围由所附的权利要求书及其等效物界定。