账号扫描系统[发明专利]

(12)发明专利申请

(10)申请公布号 CN 1105134 A(43)申请公布日 2019.11.29

(21)申请号 201910741101.7(22)申请日 2019.08.12

(71)申请人 广州海颐信息安全技术有限公司

地址 510000 广东省广州市天河区中山大

道西号办公楼（部位：B栋101）(72)发明人 董明　杨达盛　周浩城　潘明政　(74)专利代理机构 北京联瑞联丰知识产权代理

事务所(普通合伙) 11411

代理人 郑自群(51)Int.Cl.

G06F 21/45(2013.01)G06F 21/31(2013.01)

权利要求书2页 说明书5页 附图2页

CN 1105134 A(54)发明名称

账号扫描系统(57)摘要

本发明公开了一种账号扫描系统，包括相互连接的扫描概况单元、任务列表单元、扫描

外部集成配置单元和扫描结果规类型配置单元、

则配置单元；扫描概况单元用于进行数据分析及数据图表呈现；任务列表单元用于新建扫描任务，能手工或者批量导入连接账号，定时或者实时对不同类型的目标设备发起扫描，并返回相应扫描结果，能根据需求将账号导出为表格或者集成推送到外部系统；扫描类型配置单元用于管理账号扫描系统的自定义扫描插件；外部集成配置单元用于配置账号扫描系统与企业或组织自有的系统进行相结合，用以实现账号的导入和推送。本发明能够实时或定时扫描、发现、分析、管理企业或组织账号。

CN 1105134 A

权　利　要　求　书

1/2页

1.一种账号扫描系统，其特征在于，包括：扫描概况单元：用于进行数据分析及数据图表呈现；任务列表单元：用于新建扫描任务，能手工或者批量导入连接账号，定时或者实时对不同类型的目标设备发起扫描，并返回相应扫描结果，能根据需求将账号导出为表格或者集成推送到外部系统；

扫描类型配置单元：用于管理账号扫描系统的自定义扫描插件；外部集成配置单元：用于配置账号扫描系统与企业或组织自有的系统进行相结合，用以实现账号的导入和推送；

扫描结果规则配置单元：用于配置通过账号扫描系统扫描出来的账号做一些结果的预标记，方便使用账号扫描系统的人员进行区分和对目标设备账号作标识；

所述扫描概况单元、任务列表单元、扫描类型配置单元、外部集成配置单元和扫描结果规则配置单元相互连接。

2.根据权利要求1所述的账号扫描系统，其特征在于，所述任务列表单元进一步包括：

任务查询模块：用于根据搜索条件快速查询扫描任务及其任务历史记录，然后对选定的扫描任务执行相应的动作；

任务配置模块：用于新增或者修改扫描任务；连接账号配置模块：用于配置将要对目标设备进行扫描的连接账号；外部账号导入模块：用于配置从外部系统导入的连接账号；设备扫描查询模块：用于查询扫描过程中目标设备连接账号扫描成功或者失败的情况，并作出结果统计；

账号结果查询模块：用于将扫描出来的账号做页面展示；账号结果导出模块：用于将扫描出来的账号导出为Execl表格；日志查询模块：用于查询扫描过程中目标设备连接账号的扫描成功或者失败日志；集成推送模块：用于将扫描出来的账号与外部系统作对比，并将账号推送至外部系统进行纳管；

所述任务查询模块、任务配置模块、连接账号配置模块、外部账号导入模块、设备扫描查询模块、账号结果查询模块、账号结果导出模块、日志查询模块和集成推送模块相互连接。

3.根据权利要求1所述的账号扫描系统，其特征在于，所述扫描类型配置单元进一步包括：

扫描类型查询模块：用于根据搜索条件快速查询扫描类型，然后对特定的扫描类型执行相应的动作；

扫描类型导入模块：用于导入自定义扫描插件，除所述账号扫描系统自带的扫描插件外，成为所述账号扫描系统新的一种扫描类型；

自定义属性模块：用于定义所述自定义扫描插件的属性规范并将属性统一管理，使得所述账号扫描系统在配置连接账号的时候，校验性功能进一步提升；

所述扫描类型查询模块、扫描类型导入模块和自定义属性模块相互连接。4.根据权利要求1所述的账号扫描系统，其特征在于，所述外部集成配置单元进一

2

CN 1105134 A

权　利　要　求　书

2/2页

步包括：

集成信息查询模块：用于根据搜索条件快速查询集成信息，然后对特定的集成信息执行相应的动作；

集成信息配置模块：用于配置外部系统的通用信息；所述集成信息查询模块和集成信息配置模块相互连接。5.根据权利要求1所述的账号扫描系统，其特征在于，所述扫描结果规则配置单元进一步包括：

规则查询模块：用于根据搜索条件快速查询扫描结果分类信息，然后对特定的分类信息执行相应的动作；

规则配置模块：用于配置扫描结果的分类名称和分类条件，其中，所述分类条件支持多条，且支持并、或两种逻辑关系，最终对扫描结果打上相应标记；

所述规则查询模块和规则配置模块相互连接。

3

CN 1105134 A

说　明　书账号扫描系统

1/5页

技术领域

[0001]本发明涉及IT安全领域领域，特别涉及一种账号扫描系统。

背景技术

[0002]目前IT安全领域发展日新月异，不断变化，因此，用于保护企业或组织的安全工具和技术也必须作相应改变以适应这些变化。企业或组织最经常采用预防性安全技术，例如防火墙，防病毒软件，标准的用户认证系统等等，但现实情况是，专业且资源充足的攻击者往往可以很轻松的绕过企业所有常用的预防性安全系统，其中最受攻击者青睐的漏洞隐患则是账号。

[0003]账号是指企业的IT信息环境中，能获取重要机密数据资料、或进行毁灭性破坏的高权限账号，这些高权限的账号，除了员工的个人账号之外，也包括企业或组织整个IT基础架构的底层系统账号以及应用内嵌账号。这些账号往往被人们所忽略，从而不受监控，最终成为了大多数攻击的突破口。因此企业或组织已不再仅仅依赖于预防性安全技术而是需要更多敏捷工具(DevOps)进行安全操作，以充分保护他们免受当今最复杂的攻击。市面上也出现了一些账号扫描工具，虽然可以实现一些基本功能，但也存在着诸多痛点：

[0004]痛点1：目前市面上的账号扫描工具只能依靠企业或者组织的管理人员手动去对设备进行账号扫描，不能做到定期自动的去扫描，比较消耗时间人力。[0005]痛点2：目前市面上的账号扫描工具仅仅支持OS，DB类型的账号扫描，而大型企业或者组织往往不会局限于这两种类型，账号的扫描类型较少也不支持扫描类型的动态拓展。[0006]痛点3：目前市面上的账号扫描工具仅支持手动填入连接账号以进行扫描，未提供批量导入功能，对于拥有成千上百设备的企业或者组织并不适用。[0007]痛点4：目前市面上的账号扫描工具不支持从账号管理系统中直接导入账号作为扫描使用，同样也不支持将扫描出来的账号手动或者自动推送到账号管理系统进行管理。

[0008]痛点5：目前市面上的账号扫描工具只是单纯扫描出账号，并不能对扫描结果做一个数据分类，分析或者是数据图表呈现，不方便企业或者组织的安全审计人员查看。

[0009]痛点6：目前市面上的账号扫描工具只是单纯的实现扫描，在批量扫描目标设备的情况下，如果面对目标设备网络不通，关机等等的情况，最终只会出现一个扫描报错的提示，而没有进行一个日志的详细记录和展示，不方便运维人员的排错和检查。发明内容

[0010]本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种能够实时或定时扫描、发现、分析、管理企业或组织账号的账号扫描系统。

4

CN 1105134 A[0011]

说　明　书

2/5页

本发明解决其技术问题所采用的技术方案是：构造一种账号扫描系统，包括：

[0012]扫描概况单元：用于进行数据分析及数据图表呈现；[0013]任务列表单元：用于新建扫描任务，能手工或者批量导入连接账号，定时或者实时对不同类型的目标设备发起扫描，并返回相应扫描结果，能根据需求将账号导出为表格或者集成推送到外部系统；[0014]扫描类型配置单元：用于管理账号扫描系统的自定义扫描插件；[0015]外部集成配置单元：用于配置账号扫描系统与企业或组织自有的系统进行相结合，用以实现账号的导入和推送；[0016]扫描结果规则配置单元：用于配置通过账号扫描系统扫描出来的账号做一些结果的预标记，方便使用账号扫描系统的人员进行区分和对目标设备账号作标识；[0017]所述扫描概况单元、任务列表单元、扫描类型配置单元、外部集成配置单元和扫描结果规则配置单元相互连接。

[0018]在本发明所述的账号扫描系统中，所述任务列表单元进一步包括：[0019]任务查询模块：用于根据搜索条件快速查询扫描任务及其任务历史记录，然后对选定的扫描任务执行相应的动作；[0020]任务配置模块：用于新增或者修改扫描任务；[0021]连接账号配置模块：用于配置将要对目标设备进行扫描的连接账号；[0022]外部账号导入模块：用于配置从外部系统导入的连接账号；[0023]设备扫描查询模块：用于查询扫描过程中目标设备连接账号扫描成功或者失败的情况，并作出结果统计；

[0024]账号结果查询模块：用于将扫描出来的账号做页面展示；[0025]账号结果导出模块：用于将扫描出来的账号导出为Execl表格；[0026]日志查询模块：用于查询扫描过程中目标设备连接账号的扫描成功或者失败日志；

[0027]集成推送模块：用于将扫描出来的账号与外部系统作对比，并将账号推送至外部系统进行纳管；

[0028]所述任务查询模块、任务配置模块、连接账号配置模块、外部账号导入模块、设备扫描查询模块、账号结果查询模块、账号结果导出模块、日志查询模块和集成推送模块相互连接。

[0029]在本发明所述的账号扫描系统中，所述扫描类型配置单元进一步包括：[0030]扫描类型查询模块：用于根据搜索条件快速查询扫描类型，然后对特定的扫描类型执行相应的动作；[0031]扫描类型导入模块：用于导入自定义扫描插件，除所述账号扫描系统自带的扫描插件外，成为所述账号扫描系统新的一种扫描类型；[0032]自定义属性模块：用于定义所述自定义扫描插件的属性规范并将属性统一管理，使得所述账号扫描系统在配置连接账号的时候，校验性功能进一步提升；[0033]所述扫描类型查询模块、扫描类型导入模块和自定义属性模块相互连接。[0034]在本发明所述的账号扫描系统中，所述外部集成配置单元进一步包括：[0035]集成信息查询模块：用于根据搜索条件快速查询集成信息，然后对特定的集成信

5

CN 1105134 A

说　明　书

3/5页

息执行相应的动作；

[0036]集成信息配置模块：用于配置外部系统的通用信息；[0037]所述集成信息查询模块和集成信息配置模块相互连接。[0038]在本发明所述的账号扫描系统中，所述扫描结果规则配置单元进一步包括：[0039]规则查询模块：用于根据搜索条件快速查询扫描结果分类信息，然后对特定的分类信息执行相应的动作；[0040]规则配置模块：用于配置扫描结果的分类名称和分类条件，其中，所述分类条件支持多条，且支持并、或两种逻辑关系，最终对扫描结果打上相应标记；[0041]所述规则查询模块和规则配置模块相互连接。[0042]实施本发明的账号扫描系统，具有以下有益效果：由于设有扫描概况单元、任务列表单元、扫描类型配置单元、外部集成配置单元和扫描结果规则配置单元，本发明解决了目前市面上的账号扫描工具存在诸多痛点等问题，其能够实时或定时扫描、发现、分析、管理企业或组织账号。附图说明

[0043]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

[0044]图1为本发明账号扫描系统一个实施例中的结构示意图；[0045]图2为所述实施例中任务列表单元的结构示意图；

[0046]图3为所述实施例中扫描类型配置单元的结构示意图；[0047]图4为所述实施例中外部集成配置单元的结构示意图；[0048]图5为所述实施例中扫描结果规则配置单元的结构示意图。

具体实施方式

[0049]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

[0050]在本发明账号扫描系统实施例中，该账号扫描系统的结构示意图如图1所示。图1中，该账号扫描系统包括相互连接的扫描概况单元1、任务列表单元2、扫描类型配置单元3、外部集成配置单元4和扫描结果规则配置单元5。[0051]其中，扫描概况单元1用于进行数据分析及数据图表呈现。具体而言，针对背景技术中的痛点5中提到的不能对数据进行作分析或者图表呈现的问题，通过账号扫描系统对某一个目标进行扫描，最终可以根据扫描出来的结果做一个数据分析和图表呈现，例如：SSH密钥的信任关系映射图，使得企业或组织的审计人员可以通过扫描概况页面清楚的了解到他们账号的分布情况。

[0052]任务列表单元2用于新建扫描任务，能手工或者批量导入连接账号，定时或者实时

6

CN 1105134 A

说　明　书

4/5页

对不同类型的目标设备发起扫描，并返回相应扫描结果，公司或组织的使用人员能根据需求将账号导出为表格或者集成推送到外部系统。[0053]扫描类型配置单元3、外部集成配置单元4和扫描结果规则配置单元5主要用于配置管理。具体而言，扫描类型配置单元3用于管理账号扫描系统的自定义扫描插件，包含导入、删除和自定义属性功能。

[0054]外部集成配置单元4用于配置账号扫描系统与企业或组织自有的系统进行相结合，用以实现账号的导入和推送。[0055]扫描结果规则配置单元5用于配置通过账号扫描系统扫描出来的账号做一些结果的预标记，方便使用账号扫描系统的人员进行区分和对目标设备账号作标识。本发明解决了目前市面上的账号扫描工具存在诸多痛点等问题，其能够实时或定时扫描、发现、分析、管理企业或组织账号。

[0056]图2为本实施例中任务列表单元的结构示意图，图2中，该任务列表单元2进一步包括相互连接的任务查询模块21、任务配置模块22、连接账号配置模块23、外部账号导入模块24、设备扫描查询模块25、账号结果查询模块26、账号结果导出模块27、日志查询模块28和集成推送模块29。[0057]其中，任务查询模块21用于根据搜索条件快速查询扫描任务及其任务历史记录，然后对选定的扫描任务执行相应的动作。

[0058]任务配置模块22用于新增或者修改扫描任务。针对背景技术中的痛点1中提到的做不到定期去发现扫描账号的问题，账号扫描系统可配置扫描任务的扫描频率，包含实时或者定时，定时则可以分为按星期或者按日期两个维度进行配置，也可配置扫描任务的扫描类型，添加任务备注。

[0059]连接账号配置模块23用于配置将要对目标设备进行扫描的连接账号。针对背景技术中的痛点3中提到的未能批量导入账号的问题，连接账号配置模块23包含了测试账号连通性功能、账号模板下载功能和账号模板导入功能，可以手工进行添加连接账号，也可以通过账号模板批量导入连接账号。

[0060]外部账号导入模块24用于配置从外部系统导入的连接账号。针对背景技术中的痛点4中提到的未能与企业或者组织的账号管理系统进行相结合的问题，外部账号导入模块24用于将账号扫描系统与外部系统集成后，将外部系统的账号导入并作为扫描任务的连接账号使用。

[0061]针对背景技术中的痛点7中提到的未能很好记录和展示日志的问题，设备扫描查询模块25用于查询扫描过程中目标设备连接账号扫描成功或者失败的情况，并作出结果统计，方便查看。

[0062]账号结果查询模块26用于将扫描出来的账号做页面展示，方便查看整理。账号结果导出模块27用于将扫描出来的账号导出为Execl表格，方便查看整理。针对背景技术中的痛点7中提到的未能很好记录和展示日志的问题，日志查询模块28用于查询扫描过程中目标设备连接账号的扫描成功或者失败日志，方便定位排错。

[0063]针对背景技术中的痛点4中提到的未能与企业或者组织的账号管理系统进行相结合的问题，集成推送模块29用于将扫描出来的账号与外部系统作对比，并将账号推送至外部系统进行纳管。

7

CN 1105134 A[00]

说　明　书

5/5页

图3为本实施例中扫描类型配置单元的结构示意图，图3中，该扫描类型配置单元3

进一步包括相互连接的扫描类型查询模块31、扫描类型导入模块32和自定义属性模块33；其中，[0065]扫描类型查询模块31用于根据搜索条件快速查询扫描类型，然后对特定的扫描类型执行相应的动作。

[0066]针对背景技术中的痛点2中提到的支持目标设备类型较少，不支持动态拓展，另外也不能发现应用内嵌账号，SSH密钥信任关系等问题，扫描类型导入模块32用于导入自定义扫描插件，除账号扫描系统自带的扫描插件外，成为账号扫描系统新的一种扫描类型(例如专门扫描SSH密钥，应用内嵌账号等等)；而自定义扫描插件是可以由企业或者组织的运维人员所编写，以应对扫描不同设备的要求。

[0067]自定义属性模块33用于定义自定义扫描插件的属性规范并将属性统一管理，使得账号扫描系统在配置连接账号的时候，校验性功能进一步提升，减少扫描失败率。[0068]图4为本实施例中外部集成配置单元的结构示意图，图4中，该外部集成配置单元4进一步包括相互连接的集成信息查询模块41和集成信息配置模块42；其中，集成信息查询模块41用于根据搜索条件快速查询集成信息，然后对特定的集成信息执行相应的动作。[0069]集成信息配置模块42用于配置外部系统的通用信息。具体而言，针对背景技术中的痛点4中提到的未能与企业或者组织的账号管理系统进行相结合的问题，集成信息配置模块42用于导入自定义集成插件，从而使得外部系统能够与账号扫描系统连通，方便后续账号扫描系统与外部系统的账号做集成操作。而自定义集成插件是可以由企业或者组织的运维人员所编写，以应对集成不同外部系统的要求。

[0070]图5为本实施例中扫描结果规则配置单元的结构示意图，图5中，该扫描结果规则配置单元5进一步包括相互连接的规则查询模块51和规则配置模块52；其中，规则查询模块51用于根据搜索条件快速查询扫描结果分类信息，然后对特定的分类信息执行相应的动作。

[0071]针对针对背景技术中的痛点5中提到的未能将扫描结果做数据分类的问题，规则配置模块52用于配置扫描结果的分类名称和分类条件，其中，分类条件支持多条，且支持并、或两种逻辑关系，最终会对扫描结果打上相应标记，方便企业或者组织的运维人员查看和整理。[0072]总之，本实施例中，由于设有扫描概况单元1、任务列表单元2、扫描类型配置单元3、外部集成配置单元4和扫描结果规则配置单元5，企业或组织的运维人员能够清楚地了解到所在企业或组织的整个IT基础架构账号的情况，从而可以更好地做到安全防范，例如：和账号管理系统相结合，避免账号的滥用和凭证盗窃，避免成为攻击者的攻击武器。

[0073]以上所述仅为本发明的较佳实施例而已，并不用以本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

8

CN 1105134 A

说　明　书　附　图

1/2页

图1

图2

图3

9

CN 1105134 A

说　明　书　附　图

2/2页

图4

图5

10