信息系统修正方法、装置、电子设备、介质及产品与流程

1.本发明涉及网络安全技术领域，尤其涉及一种信息系统修正方法、装置、电子设备、介质及产品。


背景技术：

2.信息安全等级保护测评(简称等保测评)是一项依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。等保测评总体上分为安全技术测评和安全管理测评两大类，其中，安全技术测评又包括针对物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评。
3.目前，在主机系统安全层面，等保测评的首次测评通过率不高，其主要原因是被测评的单位不了解检查项是哪些、检查项对应的标准又是什么，从而也不知道如何改正才能符合标准；而且等保测评机构对信息系统只负责检查和建议，不负责实际帮助落地改正，被测评单位需要不断花费时间去理解，然后一个一个按照测评机构给的不符合项进行手动修改，极易出现漏改、改后仍不合格和未改的情况，导致工作效率低。


技术实现要素：

4.本发明提供一种信息系统修正方法、装置、电子设备、介质及产品，用以解决上述缺陷。
5.本发明提供一种信息系统修正方法，包括：调取待修正信息系统中的各个检查项；
6.判断各个所述检查项是否符合预定义的标准，若所述检查项中存在不符合预定义的标准的目标检查项，则将所述目标检查项作为不符合项；
7.获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正；
8.其中，所述检查项是信息安全等级保护测评中针对主机系统安全进行检查的项目；
9.所述修正方案是根据所述预定义的标准设定的。
10.根据本发明提供的一种信息系统修正方法，所述获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正，具体包括：
11.从所述预定义的标准中找到与所述不符合项相匹配的字段，基于所述字段利用修改命令对所述不符合项进行修改，对各个所述不符合项进行修改，从而完成对所述待修正信息系统的修正。
12.根据本发明提供的一种信息系统修正方法，在所述调取待修正信息系统中的各个检查项之前，方法还包括：
13.获取历史命令痕迹存储文件，对所述历史命令痕迹存储文件中最末端的命令痕迹进行标记得到标记点；
14.相应地，在所述获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正之后，方法还包括：
15.清除所述标记点之后因修正所产生的命令痕迹。
16.根据本发明提供的一种信息系统修正方法，在所述获取历史命令痕迹存储文件，对所述历史命令痕迹存储文件中最末端的命令痕迹进行标记得到标记点之前，方法还包括：
17.确定所述待修正信息系统的系统版本，基于所述系统版本确定所述预定义的标准。根据本发明提供的一种信息系统修正方法，在所述获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正之前，方法还包括：
18.记录所述不符合项；
19.相应地，在所述获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正之后，方法还包括：
20.记录修正后的不符合项。
21.本发明还提供一种信息系统修正装置，包括：检查项调取模块，用于调取待修正信息系统中的各个检查项；
22.不符合项判定模块，用于判断所述检查项是否符合预定义的标准，若所述检查项中存在不符合预定义的标准的目标检查项，则将所述目标检查项作为不符合项；
23.修正模块，用于获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正；
24.其中，所述检查项是信息安全等级保护测评中针对主机系统安全进行检查的项目；
25.所述修正方案是根据所述预定义的标准设定的。
26.根据本发明提供的一种信息系统修正装置，所述修正模块，具体用于：
27.从所述预定义的标准中找到与所述不符合项相匹配的字段，基于所述字段利用修改命令对所述不符合项进行修改，对各个所述不符合项进行修改，从而完成对所述待修正信息系统的修正。
28.本发明还提供一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述信息系统修正方法的步骤。
29.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述信息系统修正方法的步骤。
30.本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述信息系统修正方法的步骤。
31.本发明提供的信息系统修正方法、装置、电子设备、介质及产品，其中，信息系统修正方法通过根据预定义的标准预先设定好修正方案，进而利用修正方案对所有不符合项进行自动修正，从而使得信息系统一次性自动完成所有不符合项的改正，不需要人为地根据首次测评结果进行修改，避免漏改，且能够一次性通过等保测评，提升工作效率。
附图说明
32.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
33.图1是本发明实施例提供的信息系统修正方法的流程示意图；
34.图2为本发明实施例提供的信息系统修正装置结构示意图；
35.图3为本发明实施例提供的一种电子设备的实体结构示意图。
具体实施方式
36.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
37.图1是本发明实施例提供的信息系统修正方法的流程示意图；如图1所示，本发明实施例提供的信息系统修正方法包括如下步骤：
38.步骤101，调取待修正信息系统中的各个检查项。
39.其中，所述检查项是信息安全等级保护测评中针对主机系统安全进行检查的项目。
40.主机系统安全层面的测评主要包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等不同方面的内容。在测评过程中，针对不同方面的内容所需要调用的检查项不同，例如：身份鉴别方面需要检查密码长度最小值、密码最短使用期限、密码最长使用期限、账户锁定阈值等诸多项目；访问控制方面需要检查默认账号是否改名、是否对重要文件的访问权限进行了限制等众多内容。
41.本实施例中，待修正信息系统即等保测评机构的测评对象，由于在测评过程中会检测到不符合标准的检查项，需要对信息系统进行修正，因而将测评前的信息系统作为待修正信息系统。
42.在本步骤中，以上述不同测评内容为单元，依次通过正则化表达式从信息系统中的配置文件中调取出对应的包含相关字符串的检查项，例如，对身份鉴别方面内容进行检查时，从信息系统中调取出鉴别用户身份信息的检查项，例如，设置密码的密码历史记录、密码最长与最短使用期限、最短密码长度等。
43.步骤102，判断各个所述检查项是否符合预定义的标准，若所述检查项中存在不符合预定义的标准的目标检查项，则将所述目标检查项作为不符合项。
44.其中，不同的测评机构对不同的检查项有不同的标准，例如身份鉴别中要求用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期变更，这其中的定期变更周期是多少、何种口令算复杂，不同测评机构的标准不相同。
45.在本步骤中，根据预定义的标准来判断检查项是否符合，若存在不符合的目标检查项，则作为不符合项，若检查项全部符合，则说明待修正系统测评通过，不需要进行修正，直接得到测评结果。
46.步骤103，获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正。
47.其中，所述修正方案是根据所述预定义的标准设定的。例如：若预定义的标准中表明最短密码长度为8位、最长使用期限为90天以内、登录失败次数5次后锁定账号等，则在最短密码长度不符合标准时，对系统中能够令最短密码长度为8位生效的配置进行修改，使得修改后的最短密码长度为8位，从而达到最低要求，即预定义的标准。
48.在本步骤中，通过根据预定义的标准来设定修正方案，利用设定好的修正方案来对不符合项进行修正，使得所有不符合项在修正后能够符合标准。
49.本发明实施例提供的信息系统修正方法，通过根据预定义的标准预先设定好修正方案，进而利用修正方案对所有不符合项进行自动修正，从而使得信息系统一次性自动完成所有不符合项的改正，不需要人为地根据首次测评结果进行修改，避免漏改，且能够一次性通过等保测评，提升工作效率。
50.进一步地，所述获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正，具体包括：
51.从所述预定义的标准中找到与所述不符合项相匹配的字段，基于所述字段利用修改命令对所述不符合项进行修改，对各个所述不符合项进行修改，从而完成对所述待修正信息系统的修正。
52.具体地，利用正则表达式算法从所述预定义的标准中匹配到与所述不符合项相应的字段，例如：不符合项为最短密码长度为5(字符串为：pass-min-len:5)，则从预定义的标准找到最短密码长度为8位的字段，然后基于该字段利用修改命令对不符合项进行修改，从而使得字符串变为pass-min-len:8。
53.本发明实施例提供的信息系统修正方法，通过根据预定义的标准对不符合项进行修正，从而使得修正后的信息系统中所有检查项都能够达到预定义的标准，不需要人工一条一条的修改，提高了工作效率，保证修正后的信息系统在等保测评中一次性通过。
54.进一步地，在所述调取待修正信息系统中的各个检查项之前，方法还包括：
55.获取历史命令痕迹存储文件，对所述历史命令痕迹存储文件中最末端的命令痕迹进行标记得到标记点；
56.相应地，在所述获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正之后，方法还包括：
57.清除所述标记点之后因修正所产生的命令痕迹。
58.具体地，事先获取痕迹存储文件的行数，基于获取到的行数进行标记，例如，修正前的行数为500行，则在修正后多余500的命令痕迹进行删除。
59.本发明实施例提供的信息系统修正方法，通过事先对命令痕迹进行标记，并在修正之后根据标记点将多余的因修正所产生的命令痕迹清除，从而能够使得服务器上不留下执行痕迹。
60.进一步地，在所述获取历史命令痕迹存储文件，对所述历史命令痕迹存储文件中最末端的命令痕迹进行标记得到标记点之前，方法还包括：
61.确定所述待修正信息系统的系统版本，基于所述系统版本确定所述预定义的标准。
62.具体地，不同系统版本对应的调取检查项的命令、文件路径和文件名等均不相同，比如centos6、centos7系统的下载软件命令是yum，而ubuntu系统下的下载软件命令则是apt。确定系统版本之后，获取对应的标准，以及确定调取检查项、对不符合项进行修改的命令方式。
63.本发明实施例提供的信息系统修正方法，通过针对不同系统版本的待修正信息系统设定对应的预定义标准，从而能够全面覆盖不同信息系统的修正，适用范围广。
64.进一步地，在所述获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正之前，方法还包括：
65.记录所述不符合项；
66.相应地，在所述获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正之后，方法还包括：
67.记录修正后的不符合项。
68.具体地，实时记录检查项的调取过程、被判断为不符合标准的不符合项、对不符合项的修正过程以及修正后的不符合项。
69.本发明实施例提供的信息系统修正方法，通过实时记录修正过程，使得修正过程有迹可循，有源可溯。
70.下面对本发明提供的信息系统修正装置进行描述，下文描述的信息系统修正装置与上文描述的信息系统修正方法可相互对应参照。
71.图2为本发明实施例提供的信息系统修正装置结构示意图；如图2所示，一种信息系统修正装置包括：
72.检查项调取模块210，用于调取待修正信息系统中的各个检查项。
73.其中，所述检查项是信息安全等级保护测评中针对主机系统安全进行检查的项目。
74.主机系统安全层面的测评主要包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等不同方面的内容。在测评过程中，针对不同方面的内容所需要调用的检查项不同，例如：身份鉴别方面需要检查密码长度最小值、密码最短使用期限、密码最长使用期限、账户锁定阈值等诸多项目；访问控制方面需要检查默认账号是否改名、是否对重要文件的访问权限进行了限制等众多内容。
75.本实施例中，待修正信息系统即等保测评机构的测评对象，由于在测评过程中会检测到不符合标准的检查项，需要对信息系统进行修正，因而将测评前的信息系统作为待修正信息系统。
76.在检查项调取模块210中，以上述不同测评内容为单元，依次通过正则化表达式从信息系统中的配置文件中调取出对应的包含相关字符串的检查项，例如，对身份鉴别方面内容进行检查时，从信息系统中调取出鉴别用户身份信息的检查项(比如设置密码的密码历史记录、密码最长与最短使用期限、最短密码长度等等)。
77.不符合项判定模块220，用于判断所述检查项是否符合预定义的标准，若所述检查项中存在不符合预定义的标准的目标检查项，则将所述目标检查项作为不符合项。
78.其中，不同的测评机构对不同的检查项有不同的标准，例如身份鉴别中要求用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期变更，这其中的定期变更
周期是多少、何种口令算复杂，不同测评机构的标准不相同。
79.在不符合项判定模块220中，根据预定义的标准来判断检查项是否符合，若存在不符合的目标检查项，则作为不符合项，若全部检查项都符合，则说明待修正系统测评通过，不需要进行修正，直接得到测评结果。
80.修正模块230，用于获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正。
81.其中，所述修正方案是根据所述预定义的标准设定的。例如：若预定义的标准中表明最短密码长度为8位、最长使用期限为90天以内、登录失败次数5次后锁定账号等，则在最短密码长度不符合标准时，对系统中能够令最短密码长度为8位生效的配置进行修改，使得修改后的最短密码长度为8位，从而达到最低要求，即预定义的标准。
82.在修正模块230中，通过根据预定义的标准来设定修正方案，利用设定好的修正方案来对不符合项进行修正，使得所有不符合项在修正后能够符合标准。
83.本发明实施例提供的信息系统修正装置，通过根据预定义的标准预先设定好修正方案，进而利用修正方案对所有不符合项进行自动修正，从而使得信息系统一次性自动完成所有不符合项的改正，不需要人为地根据首次测评结果进行修改，避免漏改，且能够一次性通过等保测评，提升工作效率。
84.进一步地，所述修正模块230，具体用于：
85.从所述预定义的标准中找到与所述不符合项相匹配的字段，基于所述字段利用修改命令对所述不符合项进行修改，对各个所述不符合项进行修改，从而完成对所述待修正信息系统的修正。
86.具体地，利用正则表达式算法从所述预定义的标准中匹配到与所述不符合项相应的字段，例如：不符合项为最短密码长度为5(字符串为：pass-min-len:5)，则从预定义的标准找到最短密码长度为8位的字段，然后基于该字段利用修改命令对不符合项进行修改，从而使得字符串变为pass-min-len:8。
87.本发明实施例提供的信息系统修正装置，通过根据预定义的标准对不符合项进行修正，从而使得修正后的信息系统中所有检查项都能够达到预定义的标准，不需要人工一条一条的修改，提高了工作效率，保证修正后的信息系统在等保测评中一次性通过。
88.图3为本发明实施例提供的一种电子设备的实体结构示意图，如图3所示，该电子设备可以包括：处理器(processor)310、通信接口(communications interface)320、存储器(memory)330和通信总线340，其中，处理器310，通信接口320，存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令，以执行信息系统修正方法，该方法包括：调取待修正信息系统中的各个检查项；判断各个所述检查项是否符合预定义的标准，若所述检查项中存在不符合预定义的标准的目标检查项，则将所述目标检查项作为不符合项；获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正；其中，所述检查项是信息安全等级保护测评中针对主机系统安全进行检查的项目；所述修正方案是根据所述预定义的标准设定的。
89.此外，上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以
软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
90.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的执行信息系统修正方法，该方法包括：调取待修正信息系统中的各个检查项；判断各个所述检查项是否符合预定义的标准，若所述检查项中存在不符合预定义的标准的目标检查项，则将所述目标检查项作为不符合项；获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正；其中，所述检查项是信息安全等级保护测评中针对主机系统安全进行检查的项目；所述修正方案是根据所述预定义的标准设定的。
91.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的以执行信息系统修正方法，该方法包括：调取待修正信息系统中的各个检查项；判断各个所述检查项是否符合预定义的标准，若所述检查项中存在不符合预定义的标准的目标检查项，则将所述目标检查项作为不符合项；获取所述不符合项对应的修正方案，并基于所述修正方案对所述待修正信息系统进行修正；其中，所述检查项是信息安全等级保护测评中针对主机系统安全进行检查的项目；所述修正方案是根据所述预定义的标准设定的。
92.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
93.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
94.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。