一種設(shè)備弱口令集中核查的方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機網(wǎng)絡(luò)信息安全���、網(wǎng)絡(luò)管理技術(shù)領(lǐng)域,特別涉及一種設(shè)備弱口令集中核查的方法和系統(tǒng)��。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的快速發(fā)展和普及�,各大企業(yè)加大了 IT系統(tǒng)的建設(shè)投入,使得各種應(yīng)用系統(tǒng)和用戶數(shù)量不斷增加����,網(wǎng)絡(luò)規(guī)模迅速擴大,企業(yè)面臨的信息安全問題也愈見突出���。長期以來�����,弱口令一直作為各種安全檢查�、風(fēng)險評估報告中最常見的高風(fēng)險安全問題存在�����,成為攻擊者控制系統(tǒng)的主要途徑。
[0003]目前弱口令核查采用主要采用兩種方式:遠程連接網(wǎng)元反復(fù)嘗試登錄賬號口令的方式和人工登錄主機等設(shè)備獲取口令文件進行離線單機破解方式�。
[0004]在遠程連接網(wǎng)元反復(fù)嘗試登錄賬號口令的方式中,由于考慮對網(wǎng)元設(shè)備存在影響�,不能開展超大字典庫的嘗試,因而往往集中于出廠缺省賬號配置和少量其它弱口令�����,不能更加全面發(fā)現(xiàn)不符合強口令策略的其它弱口令�;在人工登錄主機等設(shè)備獲取口令文件,利用帶弱口令字典的破解工具進行離線�����、單機破解方式中�,弱口令字典分散在各個離線破解的工具當(dāng)中,無法進行統(tǒng)一����、高效的配置和管理,如弱口令字典庫升級����,無法做到一點升級全網(wǎng)有效���,及時更新最新弱口令字典。在這兩種核查的方式中�����,都沒有實現(xiàn)對弱口令字典進行統(tǒng)一的管理和維護���。
[0005]另外��,在遠程連接網(wǎng)元反復(fù)嘗試登錄賬號口令的方式中,存在有損探傷的問題����,極易造成配置了賬號鎖定策略的設(shè)備死鎖,影響用戶正常訪問��;由于只嘗試登錄從互聯(lián)網(wǎng)可以訪問到的設(shè)備��,無法實現(xiàn)防火墻隔離的內(nèi)網(wǎng)設(shè)備的弱口令核查����;由于采用嘗試登錄可連接的設(shè)備進行弱口令核查,沒有口令破解算法模塊��,不支持離線對口令文件的檢查,未購買相應(yīng)工具的省公司無法借助已有平臺完成所有防火墻內(nèi)���、外網(wǎng)設(shè)備的弱口令核查����。在人工登錄主機等設(shè)備獲取口令文件����,利用帶弱口令字典的破解工具進行離線、單機破解方式中�����,需要的人工工作量巨大�,需要逐個設(shè)備獲取文件、破解結(jié)果統(tǒng)一分析形成報告�����;同時效率低下�����,無法實現(xiàn)定期、全網(wǎng)性弱口令排查����。
【發(fā)明內(nèi)容】
[0006]鑒于上述問題,本發(fā)明實施例提供一種設(shè)備弱口令集中核查方法和系統(tǒng)�����,能夠?qū)崿F(xiàn)集中化的核查設(shè)備的弱口令�����,達到全面高效核查設(shè)備口令設(shè)置情況的目的����。
[0007]本發(fā)明實施例采用了如下技術(shù)方案:
[0008]本發(fā)明一個實施例提供了一種設(shè)備弱口令集中核查方法�����,所述方法包括:
[0009]當(dāng)需對設(shè)備進行弱口令核查時��,所述方法包括:
[0010]接收待檢查設(shè)備和待檢查項�;
[0011]采集各待檢查設(shè)備的密碼文件,上傳至集中控制服務(wù)器上���;
[0012]所述集中控制服務(wù)器將接收到的密碼文件拆分為多個破解任務(wù)�,并根據(jù)負載均衡的原則分配到多個破解分析服務(wù)器上;
[0013]所述破解分析服務(wù)器根據(jù)所述待檢查項自動匹配對應(yīng)的弱口令字典�,按照對應(yīng)的核查級別完成弱口令核查;
[0014]各破解分析服務(wù)器將核查結(jié)果上傳至所述集中控制服務(wù)器上�,進行匯總分析。
[0015]所述采集各待檢查設(shè)備的密碼文件����,上傳至集中控制服務(wù)器上包括:
[0016]根據(jù)網(wǎng)元與探針的覆蓋關(guān)系,確定所述待檢查設(shè)備所對應(yīng)的集中部署的采集探針或分布式部署的采集探針���;
[0017]對應(yīng)的采集探針采集所對應(yīng)待檢查設(shè)備的密碼文件�,并上傳至集中控制服務(wù)器上���。
[0018]所述采集各待檢查設(shè)備的密碼文件����,上傳至集中控制服務(wù)器上包括:
[0019]預(yù)置在各待檢查設(shè)備上的離線采集腳本采集所述待檢查設(shè)備的密碼文件�����;
[0020]利用預(yù)置在各待檢查設(shè)備上的離線導(dǎo)入模塊����,將采集到的密碼文件上傳至集中控制服務(wù)器上�。
[0021]判斷是否需對設(shè)備進行弱口令核查的方法包括:
[0022]監(jiān)控預(yù)置的核查任務(wù)計劃模板�����,當(dāng)滿足核查條件時���,觸發(fā)對設(shè)備進行弱口令核查�;所述核查任務(wù)計劃模塊包括待檢查設(shè)備�����、待檢查項及核查周期��;或
[0023]當(dāng)接收到對設(shè)備進行弱口令核查的請求時�����,觸發(fā)對設(shè)備進行弱口令核查�����。
[0024]所述方法還包括分級管理所述弱口令字典�����,包括管理和維護極弱口令級字典�、一般弱口令級字典和輕微弱口令級字典。
[0025]另外�����,本發(fā)明實施例還提供了一種設(shè)備弱口令集中核查系統(tǒng)�,所述系統(tǒng)包括弱口令核查設(shè)備、集中控制服務(wù)器和破解分析服務(wù)器:
[0026]所述弱口令核查設(shè)備包括:
[0027]接收模塊����,用于當(dāng)需對設(shè)備進行弱口令核查時,接收待檢查設(shè)備和待檢查項�;
[0028]采集上傳模塊,用于采集各待檢查設(shè)備的密碼文件�,上傳至所述集中控制服務(wù)器上;
[0029]所述集中控制服務(wù)器將接收到的密碼文件拆分為多個破解任務(wù)�,并根據(jù)負載均衡的原則分配到多個破解分析服務(wù)器上;并根據(jù)各破解分析服務(wù)器上傳的核查結(jié)果進行匯總分析�;
[0030]所述破解分析服務(wù)器根據(jù)所述待檢查項自動匹配對應(yīng)的弱口令字典,按照對應(yīng)的核查級別完成弱口令核查�����;并將核查結(jié)果上傳至所述集中控制服務(wù)器上。
[0031 ] 所述采集上傳模塊包括:
[0032]采集探針確定單元�����,用于根據(jù)網(wǎng)元與探針的覆蓋關(guān)系�,確定所述待檢查設(shè)備所對應(yīng)的集中部署的采集探針或分布式部署的采集探針;
[0033]采集上傳單元�����,用于對應(yīng)的采集探針采集所對應(yīng)待檢查設(shè)備的密碼文件�����,并上傳至集中控制服務(wù)器上��。
[0034]所述采集上傳模塊包括:
[0035]預(yù)置單元����,用于預(yù)置在各待檢查設(shè)備上的離線采集腳本采集所述待檢查設(shè)備的密碼文件;
[0036]離線采集上傳單元��,用于利用預(yù)置在各待檢查設(shè)備上的離線導(dǎo)入模塊����,將采集到的密碼文件上傳至集中控制服務(wù)器上。
[0037]所述弱口令核查設(shè)備還包括判斷模塊�����,用于判斷是否需對設(shè)備進行弱口令核查���,具體包括:
[0038]第一觸發(fā)單元��,用于監(jiān)控預(yù)置的核查任務(wù)計劃模板����,當(dāng)滿足核查條件時��,觸發(fā)對設(shè)備進行弱口令核查�����;所述核查任務(wù)計劃模板包括待檢查設(shè)備�����、待檢查項及核查周期���;或
[0039]第二觸發(fā)單元��,用于當(dāng)接收到對設(shè)備進行弱口令核查的請求時��,觸發(fā)對設(shè)備進行弱口令核查����。
[0040]所述弱口令核查設(shè)備還包括弱口令字典分級管理模塊,用于分級管理所述弱口令字典���,包括管理和維護極弱口令級字典��、一般弱口令級字典和輕微弱口令級字典���。
[0041]可見,本發(fā)明實施例提供了一種設(shè)備弱口令集中核查方法和系統(tǒng)�,當(dāng)需對設(shè)備進行弱口令核查時,通過接收待檢查設(shè)備和待檢查項����,采集各待檢查設(shè)備的密碼文件,上傳至集中控制服務(wù)器上�����;集中控制服務(wù)器將接收到的密碼文件拆分為多個破解任務(wù),并根據(jù)負載均衡的原則分配到多個破解分析服務(wù)器上��;破解分析服務(wù)器根據(jù)所述待檢查項自動匹配對應(yīng)的弱口令字典��,按照對應(yīng)的核查級別完成弱口令核查����;各破解分析服務(wù)器將核查結(jié)果上傳至所述集中控制服務(wù)器上���,進行匯總分析�。
[0042]進一步的���,當(dāng)判斷是否需對設(shè)備進行弱口令核查���,本發(fā)明還可以監(jiān)控預(yù)置的核查任務(wù)計劃模板,當(dāng)滿足核查條件時����,觸發(fā)對設(shè)備進行弱口令核查;或當(dāng)接收到對設(shè)備進行弱口令核查的請求時��,觸發(fā)對設(shè)備進行弱口令核查�����。
[0043]本發(fā)明實施例彌補了現(xiàn)有的弱口令檢查方法費時費力且檢查結(jié)果片面、不準確的缺點�,可以全面準確的核查所有設(shè)備的弱口令,實現(xiàn)集中化的弱口令字典管理�,統(tǒng)一全網(wǎng)弱口令標準,同時可以基于弱口令字典進行弱口令狀況分析����,達到全面掌控設(shè)備口令設(shè)置情況的目的,發(fā)現(xiàn)設(shè)備上存在的弱口令賬號�,無損探傷,避免在線登錄失敗過多導(dǎo)致設(shè)備賬號鎖定�,影響設(shè)備正常運行。節(jié)省大量用于檢查人力及管理成本����,避免了檢查過程中的人為因素,保證核查結(jié)果的準確����,提高檢查實施時的工作效率和效果,實現(xiàn)定期����、全網(wǎng)性弱口令排查,減少弱口令事故對用戶造成的直接或間接損失,從而提高了企業(yè)生產(chǎn)效率����,增強了企業(yè)的競爭力。
【附圖說明】
[0044]圖1為本發(fā)明實施例提供的一種設(shè)備弱口令集中核查方法流程圖���;
[0045]圖2為本發(fā)明實施例提供的一種設(shè)備弱口令集中核查系統(tǒng)結(jié)構(gòu)框圖�。
【具體實施方式】
[0046]為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點更加清楚���,下面將結(jié)合附圖對本發(fā)明實施方式作進一步地詳細描述。
[0047]本發(fā)明實施例具備完全不影響業(yè)務(wù)系統(tǒng)正常運行的�、以在線或者離線獲取各網(wǎng)元口令文件、后臺集中破解為主要特征的“無損探傷”模式弱口令核查功能�,實現(xiàn)針對一定設(shè)備資產(chǎn)范圍,利用技術(shù)或人工方式獲得密碼密