安全策略的生成方法及裝置與流程

本申請涉及通訊技術領域，尤其涉及一種安全策略的生成方法及裝置。

背景技術：

伴隨著計算機網絡技術的高速發展，利用漏洞進行攻擊的網絡安全事件也頻繁出現。若服務器存在重大漏洞，黑客將通過該漏洞竊取服務器中的重要信息，導致對企業造成不可估量的損失。

在相關技術中，利用漏洞檢測工具生成安全策略，從而根據該安全策略對服務器進行漏洞掃描，從而及時發現漏洞的存在。

然而，在實際使用漏洞檢測工具時，僅僅是根據固定的漏洞分類來生成安全策略，進而檢測漏洞，而不能根據用戶的實際需求來自定義生成安全策略。

技術實現要素：

有鑒于此，本申請提供一種安全策略的生成方法及裝置，可以根據用戶的實際需求來自定義生成安全策略。

為實現上述目的，本申請提供技術方案如下：

根據本申請的第一方面，提出了一種安全策略的生成方法，所述方法包括：

根據接收到的用戶選擇指令，確定被選中的標簽；

根據漏洞與標簽之間的預生成的自定義映射關系，選取所述被選中的標簽對應的特定漏洞；

針對選取的所述特定漏洞，生成相應的自定義安全策略。

根據本申請的第二方面，提出了一種安全策略的生成裝置，所述裝置包括：

確定單元，根據接收到的用戶選擇指令，確定被選中的標簽；

選取單元，根據漏洞與標簽之間的預生成的自定義映射關系，選取所述被選中的標簽對應的特定漏洞；

生成單元，針對選取的所述特定漏洞，生成相應的自定義安全策略。

由以上技術方案可見，在本申請的技術方案中，由用戶預先自定義漏洞和標簽之間的映射關系，再由用戶通過選擇標簽來選取實際所需掃描的漏洞，進而自定義生成安全策略。通過本申請的技術方案，用戶可以靈活地根據實際情況和習慣的分類方式來對漏洞進行管理，并根據實際需求來自定義生成安全策略，避免因采用固定的分類方式而選取了一些實際不需要掃描的漏洞，從而提升后續根據安全策略掃描漏洞的效率。同時，用戶可以根據一個或多個維度，針對同一漏洞定義多個標簽，使得對漏洞的描述更為全面，從而方便用戶選取實際所需掃描的漏洞。

附圖說明

圖1是本申請一示例性實施例示出的一種安全策略的生成方法的流程圖。

圖2是本申請一示例性實施例示出的檢測工具中預定義的安全策略的示意圖。

圖3是本申請一示例性實施例示出的標簽組的管理頁面的示意圖。

圖4是本申請一示例性實施例示出的標簽的管理頁面的示意圖。

圖5是本申請一示例性實施例示出的自定義安全策略的示意圖。

圖6是本申請一示例性實施例示出的一種電子設備的結構示意圖。

圖7是本申請一示例性實施例示出的一種安全策略的生成裝置的框圖。

具體實施方式

這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。

在本申請使用的術語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權利要求書中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式，除非上下文清楚地表示其他含義。還應當理解，本文中使用的術語“和/或”是指并包含一個或多個相關聯的列出項目的任何或所有可能組合。

應當理解，盡管在本申請可能采用術語第一、第二、第三等來描述各種信息，但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”。

在相關技術中，漏洞檢測工具僅僅是根據固定的漏洞分類來生成安全策略，然后再根據生成的安全策略來檢測漏洞。由于漏洞分類為固定不變的，所以生成的對應于該分類的安全策略也是固定不變的，而不能根據用戶的實際需求來自定義生成安全策略。同時，針對固定單一的分類方式，無法準確全面地描述漏洞。例如，存在一個漏洞是由于配置錯誤導致信息泄露的，那么將該漏洞歸類到配置錯誤類型，或者歸類到信息泄露類型都不能準確且全面地描述該漏洞。

因此，本申請通過改進生成安全策略的方式，以解決相關技術中存在的上述技術問題。為對本申請進行進一步說明，提供下列實施例：

圖1是本申請一示例性實施例示出的一種安全策略的生成方法的流程圖，該方法可以應用于安全檢測設備，如圖1所示，該方法可以包括以下步驟：

步驟101，根據接收到的用戶選擇指令，確定被選中的標簽。

在本實施例中，可以先確定所述用戶選擇指令指示的特定標簽組(標簽組中可以進一步包含標簽組和標簽)，再根據各個標簽組與標簽之間的預生成的自定義包含關系，確定所述特定標簽組包含的標簽，以作為所述被選中的標簽。其中，每一標簽的內容包括：相應漏洞的共同特征描述信息。基于上述對標簽的命名方式，可以方便用戶后續選取實際所需特征的漏洞。

步驟102，根據漏洞與標簽之間的預生成的自定義映射關系，選取所述被選中的標簽對應的特定漏洞。

在本實施例中，當任一漏洞對應多個標簽時，多個標簽屬于一個或多個預設維度。具體的，預設維度可以包括以下至少之一：漏洞所在的服務、漏洞所在應用的名稱、漏洞產生的原因、漏洞造成的危害。通過一個或多個預設維度來對標簽與漏洞之間建立映射關系，可以準確且全面地描述漏洞的特征。

步驟103，針對選取的所述特定漏洞，生成相應的自定義安全策略。

由以上技術方案可見，在本申請的技術方案中，由用戶預先自定義漏洞和標簽之間的映射關系，再由用戶通過選擇標簽來選取實際所需掃描的漏洞，進而自定義生成安全策略。通過本申請的生成方法，可以避免因采用固定的分類方式而選取了一些實際不需要掃描的漏洞，從而提升后續根據安全策略掃描漏洞的效率。同時，用戶可以根據一個或多個維度，針對同一漏洞定義多個標簽，使得對漏洞的描述更為全面，從而方便用戶選取實際所需掃描的漏洞。

為了便于理解，下面結合圖2-4，對本申請的技術方案進行詳細說明：

假定用戶新上線了一臺網站服務器，其中，網站使用Apache HTTP Server+PHP(Hypertext Preprocessor，超文本預處理器)搭建，支持HTTP(HyperText Transfer Protocol，超文本傳輸協議)和HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，安全套接字層超文本傳輸協議)訪問，服務器使用CentOS(Community Enterprise Operating System，社區企業操作系統)操作系統。此時需要使用安全檢測設備中的檢測工具來檢測該網站服務器是否存在漏洞，那么用戶可以選擇直接使用該安全檢測設備中預定義的安全策略來進行漏洞掃描，也可以選擇自定義安全策略來進行漏洞掃描。下面分別針對上述兩種方式進行舉例說明。

1)預定義安全策略

請參見圖2，圖2是本申請一示例性實施例示出的檢測工具中預定義的安全策略的示意圖。如圖2所示，該檢測工具中預定義的安全策略包括Linux/Unix掃描策略、Web中間件掃描策略。Linux/Unix掃描策略中包含標簽組和標簽(內容為該標簽下所有漏洞的共同特征描述信息)。其中，標簽組中可以進一步包含標簽組或者標簽。具體的，在Linux/Unix掃描策略中，包含標簽組“Linux/Unix系統補丁”和標簽“SSH(Secure Shell，安全外殼協議)”。在“Linux/Unix系統補丁”中，包含標簽“CentOS系統補丁”和“FreeBSD系統補丁”，其中，標簽“CentOS系統補丁”對應“CentOS安全更新CESA-2009:1154(dhcp)”，標簽“FreeBSD系統補丁”對應“FreeBSD Linux Compatibility Layer本地提權漏洞(CVE-2016-1883)”；而標簽“SSH”對應“OpenSSH sshd緩沖區錯誤漏洞”。Web中間件掃描策略中包含標簽“Apache”、“PHP”、“IIS(Internet Information Services，互聯網信息服務)”、“Tomcat”。具體的，標簽“Apache”對應“Apache HTTP Server拒絕服務漏洞”和“Apache Tomcat遠程代碼執行漏洞”，標簽“PHP”對應“PHP安全漏洞”，標簽“IIS”對應“Microsoft IIS文件枚舉漏洞”，標簽“Tomcat”對應“Apache Tomcat遠程代碼執行漏洞”。其中，由于“Apache Tomcat遠程代碼執行漏洞”既屬于Apache類的漏洞，又屬于Tomcat類的漏洞，所以該漏洞對應標簽“Apache”和標簽“Tomcat”。

針對上述網站服務器，用戶可以單獨采用Linux/Unix掃描策略或Web中間件掃描策略對其進行漏洞掃描，也可以同時采用Linux/Unix掃描策略和Web中間件掃描策略對該網站服務器進行漏洞掃描，當然，本申請對此并不進行限制。

2)自定義安全策略

在本申請的技術方案中，用戶可以根據實際需求來自定義生成安全策略，從而避免因選取了一些實際不需要掃描的漏洞而導致降低了掃描效率的問題。請參見圖3，圖3是本申請一示例性實施例示出的標簽組的管理頁面的示意圖。如圖3所示，標簽組的管理頁面包含標簽組列表、搜索框(用戶可以通過在搜索框輸入關鍵詞來搜索相應的標簽或標簽組)、已存在標簽/標簽組列表。其中，標簽組列表中包含已創建的標簽組(包含預定義安全策略中的標簽組和自定義安全策略中的標簽組)，在點擊相應的標簽組后，右側的列表框中會顯示該標簽組中包含的標簽組和標簽。比如，點擊標簽組“Linux/Unix系統補丁”，在標簽組列表右側的“已存在標簽/標簽組”中會顯示標簽“CentOS系統補丁”和“FreeBSD系統補丁”。用戶可以通過點擊“新建標簽組”來新建所需要的標簽組，在對應于新建的標簽組的“已存在標簽/標簽組”中，會默認顯示所有的標簽，用戶可以根據實際需求新建或者刪除標簽。請參見圖4，圖4是本申請一示例性實施例示出的標簽的管理頁面的示意圖。如圖4所示，標簽的管理頁面包含標簽列表、搜索框(用戶可以通過在搜索框輸入關鍵詞來搜索相應的漏洞)、漏洞列表。其中，標簽列表中包含已創建的標簽(包含預定義安全策略中的標簽和自定義安全策略中的標簽)，用戶可以通過點擊“新建標簽”來新建所需要的標簽，也可以根據實際需求刪除標簽。在新建一標簽時，漏洞列表中會默認顯示所有的漏洞，用戶可以根據實際需求選取該標簽對應的漏洞。

舉例而言，基于新上線網站服務器的配置信息，可以從Web網站和操作系統兩個維度分別創建標簽組，即用戶可以通過圖3的標簽組管理頁面來新建標簽組“Web網站相關漏洞”和“操作系統漏洞”。而在新建標簽時，可以根據一個或多個維度來定義標簽與漏洞之間的映射關系。其中，維度可以采用以下至少之一：漏洞所在的服務、漏洞所在應用的名稱、漏洞產生的原因、漏洞造成的危害；而標簽的內容可以為對應于該標簽的所有漏洞的共同特征描述信息。比如，以漏洞所在的服務來定義標簽與漏洞之間的映射關系：在標簽組“Web網站相關漏洞”中，可以通過圖4的標簽管理頁面來新建標簽“Apache”、“PHP”、“https”、“Tomcat”。定義“Apache”對應Apache HTTP Server拒絕服務漏洞和Apache Tomcat遠程代碼執行漏洞，“PHP”對應PHP安全漏洞，“https”對應HTTPS安全漏洞，“Tomcat”對應Apache Tomcat遠程代碼執行漏洞。其中，由于Apache Tomcat遠程代碼執行漏洞既屬于“Apache”又屬于“Tomcat”，所以該漏洞可以分別對應“Apache”和“Tomcat”兩個標簽。通過多個維度來描述漏洞，可以更為準確全面地描述該漏洞的特征，從而在后續自定義安全策略時，可以更為準確且高效地選取實際所需求的漏洞。同時，在標簽組“操作系統漏洞”中，同樣可以通過圖4的標簽管理頁面來新建標簽“CentOS系統補丁”和“SSH”。定義“CentOS系統補丁”對應CentOS安全更新CESA-2009:1154(dhcp)，“SSH”對應OpenSSH sshd緩沖區錯誤漏洞。然后，針對這些標簽所對應的所有漏洞，可以生成如圖5所示的自定義安全策略。當然，還可以根據其他任意維度來定義標簽與漏洞之間的映射關系，其過程與上述類似，在此不再贅述。

由以上技術方案可見，在本申請的技術方案中，由用戶預先自定義漏洞和標簽之間的映射關系，再由用戶通過選擇標簽來選取實際所需掃描的漏洞，進而自定義生成安全策略。通過本申請的技術方案，用戶可以靈活地根據實際情況和習慣的分類方式來對漏洞進行管理，并根據實際需求來自定義生成安全策略，避免因采用固定的分類方式而選取了一些實際不需要掃描的漏洞，從而提升后續根據安全策略掃描漏洞的效率。同時，用戶可以根據一個或多個維度，針對同一漏洞定義多個標簽，使得對漏洞的描述更為全面，從而方便用戶選取實際所需掃描的漏洞。

圖6示出了根據本申請的一示例性實施例的電子設備的示意結構圖。請參考圖6，在硬件層面，該電子設備包括處理器602、內部總線604、網絡接口606、內存608以及非易失性存儲器610，當然還可能包括其他業務所需要的硬件。處理器602從非易失性存儲器610中讀取對應的計算機程序到內存608中然后運行，在邏輯層面上形成安全策略的生成裝置。當然，除了軟件實現方式之外，本申請并不排除其他實現方式，比如邏輯器件抑或軟硬件結合的方式等等，也就是說以下處理流程的執行主體并不限定于各個邏輯單元，也可以是硬件或邏輯器件。

請參考圖7，在軟件實施方式中，該安全策略的生成裝置可以包括確定單元701、選取單元702和生成單元703。其中：

確定單元701，根據接收到的用戶選擇指令，確定被選中的標簽；

選取單元702，根據漏洞與標簽之間的預生成的自定義映射關系，選取所述被選中的標簽對應的特定漏洞；

生成單元703，針對選取的所述特定漏洞，生成相應的自定義安全策略。

可選的，每一標簽的內容包括：相應漏洞的共同特征描述信息。

可選的，當任一漏洞對應多個標簽時，多個標簽屬于一個或多個預設維度。

可選的，所述預設維度包括以下至少之一：

漏洞所在的服務、漏洞所在應用的名稱、漏洞產生的原因、漏洞造成的危害。

可選的，所述確定單元701具體用于：

確定所述用戶選擇指令指示的特定標簽組；

根據各個標簽組與標簽之間的預生成的自定義包含關系，確定所述特定標簽組包含的標簽，以作為所述被選中的標簽。

上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的實現過程，在此不再贅述。

對于裝置實施例而言，由于其基本對應于方法實施例，所以相關之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部模塊來實現本申請方案的目的。本領域普通技術人員在不付出創造性勞動的情況下，即可以理解并實施。

以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本申請保護的范圍之內。