[发明专利]一种基于资产模型的自动化安全检查方法及终端

说明书

本发明公开了一种基于资产模型的自动化安全检查方法及终端，通过在SCAP中增设资产信息模型，在OVAL中遵循OVAL的语法建立虚拟化定义；当进行自动化安全检查时，如果OVAL引擎无法通过标准的数据采集路径获取到所述自动化安全检查所需的待检查数据，则基于所述虚拟化定义通过虚拟化的数据采集路径从对应的资产信息模型获取所述待检查数据；由于所建立的虚拟化定义是遵循OVAL语法的，在OVAL中仍然能够被作为一个正常的语义被使用，而这个虚拟化定义的数据来源则被解释成资产信息模型，丰富了资产描述的内容，并且能够通过虚拟化定义灵活地获取待检查数据，提高了SCAP的通用性，使其适用于各种复杂的安全检查场景。

技术领域

本发明涉及资产管理领域，特别涉及一种基于资产模型的自动化安全检查方法及终端。

背景技术

SCAP(security content automatic protocol，安全内容自动化协议)中使用CPE(Common Platform Enumeration，通用平台枚举)对资产进行描述；使用XCCDF(ExtensibleConfiguration Checklist Description Format，可扩展配置清单描述格式)描述自动化检查所使用的检查单，并具有对检查项进行裁剪和报告展示的功能；使用OVAL(OpenVulnerability and Assessment Language，开放漏洞与评估语言)描述漏洞、补丁、资产或者配置检查等技术细节，定义具体的检查方法，并且CPE对OVAL有依赖，XCCDF是建立在CPE和OVAL之上的。

但是SCAP存在以下不足：首先，CPE只包含名称和版本信息，其包含的软件资产信息覆盖面严重不足，使得SCAP对资产的描述具有较大的局限性；其次，XCCDF和CPE最终都依赖OVAL的资产识别能力，然而OVAL对操作系统软件有一些特定的识别方法，但对于其他软件的识别有很大的局限性，使得OVAL的检查规则无法满足资产识别的灵活性及复杂性要求，进而限制了整个SCAP的能力。

发明内容

本发明所要解决的技术问题是：提供了一种基于资产模型的自动化安全检查方法及终端，能够适用于各种复杂的安全检查场景，并保证安全检查自动化进行。

为了解决上述技术问题，本发明采用的技术方案为：

一种基于资产模型的自动化安全检查方法，包括步骤：

在SCAP中增设资产信息模型，并在OVAL中建立虚拟化定义；

获取自动化安全检查请求，判断OVAL引擎是否能够通过标准的数据采集路径获取到所述自动化安全检查请求所需的待检查数据，若是，则直接获取所述待检查数据，若否，则基于所述虚拟化定义通过虚拟化的数据采集路径从对应的资产信息模型获取所述待检查数据；

基于所述待检查数据按照OVAL引擎的标准检查方法进行自动化安全检查。

为了解决上述技术问题，本发明采用的另一种技术方案为：

一种基于资产模型的自动化安全检查终端，包括存储器、处理器以及存储在所述存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

在SCAP中增设资产信息模型，并在OVAL中建立虚拟化定义；

获取自动化安全检查请求，判断OVAL引擎是否能够通过标准的数据采集路径获取到所述自动化安全检查请求所需的待检查数据，若是，则直接获取所述待检查数据，若否，则基于所述虚拟化定义通过虚拟化的数据采集路径从对应的资产信息模型获取所述待检查数据；

基于所述待检查数据按照OVAL引擎的标准检查方法进行自动化安全检查。