一种针对铁路行业信息系统的安全配置采集方法与流程

1.本发明涉及信息安全领域，尤其涉及一种针对铁路行业信息系统的安全配置采集方法。


背景技术：

2.随着信息技术的不断发展，尤其是伴随着业务系统网络结构越来越复杂，重要的应用和设备数量越来越庞大，类型也繁多复杂。而服务和软件不正确部署和配置造成安全配置漏洞，入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁。
3.由于攻击形式和各种安全威胁事件的不断发生，越来越多的安全管理人员已经意识到正确进行安全配置的重要性，重点行业和一个管理部门已经制定了统一的安全配置标准和检查标准。一些重要的行业如铁路系统建立了自己的安全配置基线规范，规范明确的各种设备或系统中基本要求，可有效的规避因配置问题造成的安全问题。但规范只是一个指导性的内容，缺乏自动化的手段进行配置信息采集。
4.铁路业务系统网络结构非常复杂，重要应用和服务器数量及种类繁多，真正能够完成配置合规检查和修复，是一个十分巨大的工作，安全工作需要深入结合业务系统的生命周期进行开展，难度十分大，相对应的现在各行业和单位专职安全岗位设置有限，安全技术水平参差不齐，因此很容易发生因安全管理人员的配置操作失误，从而产生极大的不良后果。
5.目前对于配置信息的采集主要还是通过人工来实现，人工采集方式的优点在于操作灵活，但存在对人员的技术及知识储备要求高，采集耗时长、人力资源成本高等问题。


技术实现要素：

6.本发明目的是针对上述问题，提供一种降低人力成本、提高采集检测效率的针对铁路行业信息系统的安全配置采集方法。
7.为了实现上述目的，本发明的技术方案是：
8.一种针对铁路行业信息系统的安全配置采集方法，包括以下步骤：
9.s1、建立运行安全配置采集系统；设置对所述铁路行业信息系统进行安全扫描的任务属性参数，所述任务属性参数包括所述铁路行业信息系统的ip地址、扫描模式；
10.对铁路行业信息系统进行安全扫描，获取所述对铁路行业信息系统的安全配置参数；将所述安全配置参数的数值与对应的标准值进行比较，判断所述安全配置参数是否存在安全漏洞；若是，则对所述对铁路行业信息系统进行安全配置；
11.s2、在安全配置采集系统中添加被核查设备的认证信息，设定安全评价指标参数，获取的所述铁路行业信息系统的安全配置参数与所述安全评价指标参数相一致；接收用户设定的数值作为所述安全评价指标参数的数值，或者，以所述铁路行业信息系统对应的标准安全配置文件中的相应参数值作为所述安全评价指标参数的数值；所述安全评价指标参数的数值为所述标准值；
12.s3、安全配置采集系统选择所需的采集脚本；
13.s4、安全配置采集系统对被核查设备进行身份验证，身份验证成功后安全配置采集系统将选择的脚本发送到被核查设备；如果验证不成功，进行安全漏洞提示，以使得用户根据所述安全漏洞对相应的安全配置参数进行修改；或者，根据所述铁路行业信息系统的标识，获取与所述铁路行业信息系统对应的标准安全配置文件；并将所述标准安全配置文件设置到所述铁路行业信息系统中；
14.s5、采集脚本在被核查设备中执行并记录为临时缓存文件；
15.s6、被核查设备将临时缓存文件反馈给安全配置采集系统；
16.s7、安全配置采集系统调用格式函数要求将临时缓存文件组装为结果文件，并通过结果文件得到被核查设备的安全配置信息。
17.作为对上述技术方案的进一步改进，所述步骤s1中安全配置采集系统安装在linux或windows操作系统中。
18.作为对上述技术方案的进一步改进，所述步骤s3中采集脚本包括shell脚本和bat脚本。
19.作为对上述技术方案的进一步改进，所述步骤s4中身份验证操作为账号密码认证。
20.作为对上述技术方案的进一步改进，所述安全配置采集系统与被核查设备通过网络连接。
21.与现有技术相比，本发明具有的优点和积极效果是：
22.本发明通过安全配置采集系统进行配置采集，实现了安全配置信息采集的自动化，对人工技术要求不高、且准确高效，解决了人工方式的效率低但对人员技术和知识储备要求高的弊病，具有简单高效、节约成本、准确易用的优点；另一方面，本发明在进行检查时只检查必要配置，使用最小化的采集指令，只做配置信息的查看，避免了目标设备返回信息过长和过多消耗被核查设备性能的缺陷，有效地缩短了检查原始结果的输出时间，有效提高了安全配置信息的采集效率。
附图说明
23.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
24.图1为本发明的工作流程图。
具体实施方式
25.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
26.本发明的针对铁路行业信息系统的安全配置采集方法，包括以下步骤：
27.s1、建立运行安全配置采集系统；设置对所述铁路行业信息系统进行安全扫描的任务属性参数，所述任务属性参数包括所述铁路行业信息系统的ip地址、扫描模式；
28.对铁路行业信息系统进行安全扫描，获取所述对铁路行业信息系统的安全配置参数；将所述安全配置参数的数值与对应的标准值进行比较，判断所述安全配置参数是否存在安全漏洞；若是，则对所述对铁路行业信息系统进行安全配置；
29.s2、在安全配置采集系统中添加被核查设备的认证信息，设定安全评价指标参数，获取的所述铁路行业信息系统的安全配置参数与所述安全评价指标参数相一致；接收用户设定的数值作为所述安全评价指标参数的数值，或者，以所述铁路行业信息系统对应的标准安全配置文件中的相应参数值作为所述安全评价指标参数的数值；所述安全评价指标参数的数值为所述标准值；
30.s3、安全配置采集系统选择所需的采集脚本；
31.s4、安全配置采集系统对被核查设备进行身份验证，身份验证成功后安全配置采集系统将选择的脚本发送到被核查设备；如果验证不成功，进行安全漏洞提示，以使得用户根据所述安全漏洞对相应的安全配置参数进行修改；或者，根据所述铁路行业信息系统的标识，获取与所述铁路行业信息系统对应的标准安全配置文件；并将所述标准安全配置文件设置到所述铁路行业信息系统中；
32.s5、采集脚本在被核查设备中执行并记录为临时缓存文件；
33.s6、被核查设备将临时缓存文件反馈给安全配置采集系统；
34.s7、安全配置采集系统调用格式函数要求将临时缓存文件组装为结果文件，并通过结果文件得到被核查设备的安全配置信息。
35.所述步骤s1中安全配置采集系统安装在linux或windows操作系统中。所述步骤s3中采集脚本包括shell脚本和bat脚本。所述步骤s4中身份验证操作为账号密码认证。所述安全配置采集系统与被核查设备通过网络连接。
36.本发明主要应用于设备入网、日常维护、合规检查等方面。通过对目标设备系统展开合规安全检查，找出不符合的项并选择和实施安全措施来控制安全风险。根据铁路行业特点和安全基线规范基准，推出了专业检查方法——安全配置采集方法，使安全检查过程达到自动化、标准化、持续化、可视化。它可以大大提高检查结果的准确性和合规性，用以在铁路行业的上线安全检查、第三方入网安全检查、合规安全检查(上级检查)、日常安全检查和安全服务任务中，协助查找设备在安全配置中存在的差距，并与安全整改与安全建设相结合，提升各类业务系统的安全防护能力和达到整体合规要求。
37.一、安全配置采集系统结构如下：
38.本发明中的安全配置采集系统结构主要由资产认证、脚本选择、配置采集、结果生成四部分组成。
39.资产认证：负责确定目标系统，验证用户输入，并调用操作系统认证；
40.脚本选择：选择需要下发的脚本；如windows、linux。
41.配置采集：负责配置信息的采集，将内置的指令在系统中执行，并记录临时缓存；
42.结果文件生成：接收配置采集中的缓存信息，调用格式函数要求组装结果文件，执行文件生成过程，生成结果。
43.二、采集方法如下：
44.本发明的工作流程如图1所示；
45.1、安全配置采集方法运行。可运行在任意主流操作系统上，比如：windows、linux。
46.2、在操作系统上添加被采集资产(被采集资产即为被核查设备)的认证信息。可以采集不同的设备类型、不同的操作系统。
47.被采集资产类型：
48.主机(linux、windows、alx、solaris等)；
49.网络设备(交换机、路由器、wlan)；
50.安全设备(防火墙、安全防护网关、web应用安全网关、入侵检测)；
51.数据库(oracle、sqlserver、mysql、db2、sybase)；
52.中间件(websphere、weblogic、tomcat、iis、apache、bind、jboss、tong web、domino、resin、nginx、tuxedo)；
53.3、安全配置采集方法对采集脚本选择。操作系统类：shell、bat；网络设备类：网络设备操作系统命令；数据库类：sql语句、所属操作系统脚本。
54.4、根据安全配置采集需求运行采集任务(比如：操作系统安全配置采集、网络设备安全配置采集、安全设备安全配置采集、数据库安全配置采集等等)。
55.采集任务：
56.主机操作系统类：账号和密码；网络设备类：账号、密码和enable密码；数据库类：所属操作系统的账号和密码、数据库端口、数据库的账号和密码。
57.采集内容包括系统账号信息、口令策略、访问控制、系统漏洞、审计等。
58.例如检查linux主机账户中新建用户的密码是否满足要求：
59.(1)新建用户的密码最长使用天数不大于90；
60.(2)新建用户的密码最短使用天数为10；
61.(3)新建用户的密码到期提前提醒天数为7。
62.5、安全配置采集资产进行身份验证，验证成功后将脚本发送到被采集资产。
63.6、脚本在采集资产上执行后，得到采集原始采集结果。原始采集结果中若存在报错信息则表示脚本执行失败。
64.报错信息包括：
65.(1)系统不支持。区分linux和windows系统，linux系统支持shell脚本，windows支持bat脚本。
66.(2)命令错误，命令不支持。
67.(3)未找到文件路径，文件不存在。
68.采集结果：
69.操作系统类：shell脚本执行结果、bat脚本执行结果；网络设备类：网络设备操作系统命令执行结果；数据库类：sql语句执行结果、所属操作系统shell脚本执行结果。
70.7、对被采集资产返回的原始结果，生成结果文件。
71.安全配置采集的应用非常灵活，只要待查设备为支持范围内的设备等都能够进行安全配置检查，就主要的应用情况来看，甚至支持多个命令集合来完成复杂的采集。例如命令1的结果作为命令2的参数传递，从而轻松得出需要大量人力付出才能得到的结果，节约了人力成本和时间成本，同时自定义检查项的功能也为自定义采集的标准提供了有力的保
障。
72.安全配置采集方法分别采集windows系统和linux系统的安全配置，首先需要在安全配置采集方法理系统输入被采集设备的账号密码，采集任务下发后，采集平台将脚本下发到被采集设备，脚本执行后，被采集设备会自动反馈原始采集结果。
73.安全配置采集的应用非常灵活，只要待查设备为支持范围内的设备等都能够进行安全配置检查，就主要的应用情况来看，按照不同的设备类型、不同的操作系统，通过系统中的检查项配置功能完成用户的自定义检查项，支持windows系统的doc命令、批处理，linux系统的shell命令、shell脚本，甚至支持多个命令集合来完成复杂的配合核查。例如命令1的结果作为命令2的参数传递，从而轻松得出需要大量人力付出才能得到的结果，节约了人力成本和时间成本，同时自定义检查项的功能也为自定义核查的标准提供了有力的保障。
74.三、安全配置采集系统的相关信息
75.1、工作原理
76.1)安全配置采集对于铁路系统中的各类操作系统(linux、windows、网络设备、安全设备、中间件、数据库等等)，在网络互通，协议支持的情况下，对被核查设备下发采集脚本，如vbs、shell脚本。脚本在被核查设备中成功执行后返回执行结果。
77.2)同样也可以登录被检查对象，将相应的小程序拷贝到目标系统当中，运行程序，录入必要的参数信息，执行完毕后生成格式化的采集结果文件。
78.3)采集系统可安装在linux、windows操作系统上，提供ssh/telnet/smb/rdp/jdbc/agent/winrm等协议支持。
79.4)协议解释：
80.smb是基于netbios的api，所有的windows操作系统都支持smb协议，使用smb协议对windows操作系统进行基线检查不需要安装代理服务和启动特定的服务，并且配置方便防火墙默认放行445端口，可以实现点对点检查，也可以实现批量检查。
81.rdp是微软终端服务应用的协议，服务端基于win2000/winnt。协议基于t.128(t.120协议族)提供多通道通信。
82.5)自定义端口：通常情况下，世界上的所有黑客都知道终端服务器使用的是端口3389进行rdp通信。在这种情况下，提高终端服务器环境安全以及抵御黑客攻击的最快方法就是更改这种默认端口分配设置。支持广泛：所有windows主机都支持rdp。
83.2、采集条件
84.安全配置采集系统，主要实现对目标区域中的主机设备、数据库、中间件、网络设备、防火墙等设备的配置进行安全检查，检查后生成符合情况报告，并对不符合项提出详细的改进方案。
85.本发明可以提供安全告警、安全加固、安全咨询等专业安全服务，为铁路系统提供完善的网络设备安全风险管理，提高移动各中心对新业务系统上线、第三方系统接入和日常安全运维检查和加固的实际效果，有效降低安全风险的发生概率。
86.安全采集需要满足以下条件：
87.被核查设备支持ssh/telnet/smb/rdp/jdbc/agent/winrm等协议；
88.采集系统和被核查设备网络互通；
89.采集脚本在被核查设备上成功执行。
90.3、采集结果
91.验证用户根据安全配置采集系统得到的采集结果，可以全面的了解不同检查的周期性检查结果和过程整改结果，全面的掌握脆弱性的发展，同时也为it系统建设和发展提供有力的过程指导依据。
92.本发明通过安全配置采集系统进行配置采集，实现了安全配置信息采集的自动化，对人工技术要求不高、且准确高效，解决了人工方式的效率低但对人员技术和知识储备要求高的弊病，具有简单高效、节约成本、准确易用的优点；另一方面，本发明在进行检查时只检查必要配置，使用最小化的采集指令，只做配置信息的查看，避免了目标设备返回信息过长和过多消耗被核查设备性能的缺陷，有效地缩短了检查原始结果的输出时间，有效提高了安全配置信息的采集效率。