一種服務(wù)器安全加固系統(tǒng)的制作方法
【專利說明】一種服務(wù)器安全加固系統(tǒng)
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及計算機信息安全領(lǐng)域,具體地說是一種服務(wù)器安全加固系統(tǒng)���。
【背景技術(shù)】
[0003]現(xiàn)有技術(shù)中����,主機加固類軟件產(chǎn)品具備一鍵功能激活��,通常包括文件防護�����、進程防護、服務(wù)防護以及賬戶防護等���。防護功能主要以文件��、進程�����、服務(wù)的強制訪問控制規(guī)則為主���,輔以對系統(tǒng)用戶(即賬戶)保護,如新增賬戶�、刪除賬戶等,雖然能夠滿足常見的加固要求��,但仍然存在工作效率低�,且需要針對每一臺機器進行配置策略����。
[0004]另外,現(xiàn)有主機加固類軟件產(chǎn)品與國家主機防護政策不貼切����,不能充分滿足國家等級保護三級中主機安全主要功能的要求���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的技術(shù)任務(wù)是針對上述現(xiàn)有技術(shù)的不足,提供一種能夠更好的提升主機可靠性的服務(wù)器安全加固系統(tǒng)�。
[0006]本發(fā)明的技術(shù)任務(wù)是按以下方式實現(xiàn)的:一種服務(wù)器安全加固系統(tǒng),其特點是包括賬戶控制模塊�、剩余信息清理模塊、系統(tǒng)補丁安裝接口��、安全軟件檢索模塊����、登錄控制模塊、進程監(jiān)控模塊����。
[0007]所述賬戶控制模塊通過信息收集,將現(xiàn)有系統(tǒng)用戶名與密碼進行收集�,并且通過特定的加密算法對目前的密碼進行加密控制。
[0008]收集到的用戶會通過安全流程檢測其密碼復(fù)雜度��、密碼長度�、更換密碼周期等,同時可對無用/臨時賬號直接進行關(guān)閉/開啟��。
[0009]所述剩余信息清理模塊包括內(nèi)存剩余信息清理單元及磁盤剩余信息清理單元: 內(nèi)存剩余信息清理單元用于對內(nèi)存空間進行重新的寫入操作,將無關(guān)(或者垃圾)信息寫入該內(nèi)存空間�,或?qū)υ搩?nèi)存空間進行清零操作;
磁盤剩余信息清理單元用于對文件中存儲的信息進行刪除��,將文件的存儲空間清空或者寫入隨機的無關(guān)信息����,即調(diào)用函數(shù)從文件中讀取字符后并將操作后的字符(設(shè)置成零或?qū)υ行畔⑦M行操作)寫回文件中,保證被刪除的文件經(jīng)過處理���。
[0010]所述系統(tǒng)補丁安裝接口用于統(tǒng)一對安裝了服務(wù)器安全加固系統(tǒng)的操作系統(tǒng)進行補丁升級�����。
[0011]所述安全軟件檢索模塊用于對系統(tǒng)中的安全文件和主要系統(tǒng)常用軟件��、以及運行中的服務(wù)��、進程進行檢索�����,并與特征庫進行比對確認正在運行的市場常用殺毒軟件、數(shù)據(jù)庫�、中間件或其他文件����,利用規(guī)則模板進行對比和匹配�。所述模板可設(shè)置可編輯功能。
[0012]所述登錄控制模塊用于對登陸源IP和MAC進行識別���,并通過白名單和黑名單進行區(qū)分控制�。
[0013]所述進程監(jiān)控模塊用于塊對安裝主機加固系統(tǒng)的操作系統(tǒng)進程實時進行監(jiān)測����,以保證系統(tǒng)進程在出現(xiàn)變化時第一時刻提示/報警。
[0014]上述功能模塊可具備一鍵加固功能�����,并做到啟用�、關(guān)閉、維護等多種策略的選擇����,以便達到提高工作效率,且保證主機的安全加固的效果�����。
[0015]為了進一步提升系統(tǒng)可靠性,所述賬戶控制模塊還可以用于禁止用戶(包括系統(tǒng)管理員及非授權(quán)進程)對系統(tǒng)用戶進行創(chuàng)建��、刪除及改密等操作�����。
[0016]作為優(yōu)選��,所述特定的加密算法為三重數(shù)據(jù)加密算法3DES�。可以通過3DES算法直接對當前用戶生成8位隨機密碼(滿足密碼復(fù)雜度��、密碼長度�����、更換密碼周期的規(guī)則設(shè)定)�����,生成密碼以郵件方式發(fā)送至特定內(nèi)網(wǎng)服務(wù)器����。
[0017]所述登錄控制模塊中,添加到白名單的單個IP或者網(wǎng)段可以對客體機器進行控制�����;添加到黑名單中的單個IP或者網(wǎng)段不允許進行任何的控制和訪問�����。對于不在白名單且不在黑名單中的則按照時間�、IP范圍等規(guī)則進行登錄。
[0018]與現(xiàn)有技術(shù)相比���,本發(fā)明的服務(wù)器安全加固系統(tǒng)解決現(xiàn)有加固系統(tǒng)功能復(fù)雜且與國家主機防護政策不貼切問題�����,可以充分滿足國家等級保護三級中主機安全主要功能要求����,并且大幅度提高了加固系統(tǒng)的工作效率�。
【附圖說明】
[0019]附圖1是本發(fā)明服務(wù)器安全加固系統(tǒng)結(jié)構(gòu)示意圖。
【具體實施方式】
[0020]參照說明書附圖以具體實施例對本發(fā)明的服務(wù)器安全加固系統(tǒng)作以下詳細地說明��。
[0021]實施例:
如附圖1所示�,本發(fā)明的服務(wù)器安全加固系統(tǒng)主要由身份鑒別檢測模塊、訪問控制檢測模塊�、剩余信息清理模塊�����、入侵防護檢測模塊及其他模塊構(gòu)成����。
[0022]身份鑒別檢測模塊下的強身份認證模塊����、訪問控制檢測模塊下的文件強制訪問控制、進程強制訪問控制����、服務(wù)強制訪問控制及注冊表強制訪問控制、剩余信息清理模塊下的用戶使用痕跡清理�、入侵防護檢測模塊的磁盤限額、用戶使用痕跡清理���、文件�����、服務(wù)完整性檢測及其他模塊下的磁盤限額�����、資源監(jiān)控模塊與現(xiàn)有技術(shù)中服務(wù)器安全加固系統(tǒng)的相應(yīng)功能模塊相同����。
[0023]在現(xiàn)有安全加固系統(tǒng)的基礎(chǔ)上,在身份鑒別檢測模塊下新增了賬戶控制模塊����;在剩余信息清理模塊增加了剩余信息清理模塊����;在入侵防護檢測模塊增加了系統(tǒng)補丁安裝接口 ;在其他模塊增加了安全軟件檢索模塊�����、登錄控制模塊及進程監(jiān)控模塊����。
[0024]所述賬戶控制模塊通過信息收集,將現(xiàn)有系統(tǒng)用戶名與密碼進行收集��,并且通過三重數(shù)據(jù)加密算法3DES對目前的密碼進行加密控制�。收集到的用戶會通過安全流程檢測其密碼復(fù)雜度、密碼長度、更換密碼周期等����,同時可對無用/臨時賬號直接進行關(guān)閉/開啟。在任何用戶包括系統(tǒng)管理員及非授權(quán)進程對系統(tǒng)用戶進行創(chuàng)建�、刪除、改密等操作時�����,都將被禁止��。
[0025]可以通過3DES算法直接對當前用戶生成8位隨機密碼(滿足密碼復(fù)雜度�、密碼長度、更換密碼周期的規(guī)則設(shè)定)���,生成密碼以郵件方式發(fā)送至特定內(nèi)網(wǎng)服務(wù)器����。
[0026]所述剩余信息清理模塊包括:
(一)內(nèi)存剩余信息清理
身份認證函數(shù)在使用完用戶名和密碼信息后�,對曾經(jīng)存儲過這些信息的內(nèi)存空間進行重新的寫入操作,將無關(guān)(或者垃圾)信息寫入該內(nèi)存空間�,或?qū)υ搩?nèi)存空間進行清零操作。
[0027](二)磁盤剩余信息清理
發(fā)現(xiàn)具有刪除文件/目錄操作時����,調(diào)用清理模塊對文件中存儲的信息進行刪除����,也將文件的存儲空間清空或者寫入隨機的無關(guān)信息����。即調(diào)用函數(shù)從文件中讀取字符后并將操作后的字符(設(shè)置成零或?qū)υ行畔⑦M行操作)寫回文件中,保證被刪除的文件經(jīng)過處理���。
[0028]所述系統(tǒng)補丁安裝接口,可以通過該接口���,統(tǒng)一對安裝了主機加固類產(chǎn)品進行操作系統(tǒng)的補丁升級�����。
[0029]所述安全軟件檢索模塊用于對系統(tǒng)中的安全文件和主要系統(tǒng)常用軟件進行檢索����,對目前運行中的服務(wù)��、進程進行檢索�����,與特征庫進行比對確認正在運行的市場常用殺毒軟件、數(shù)據(jù)庫�����、中間件或其他文件�,利用前期制作的規(guī)則模板進行對比和匹配,并且模板具備可編輯功能�。
[0030]所述登錄控制模塊用于對登陸源IP和MAC進行識別。通過白名單和黑名單進行區(qū)分��。添加到百名單(單個IP或者網(wǎng)段)可以對客體機器進行控制��,添加到黑名單中則不允許進行任何的控制和訪問�,不在百名單且不在黑名單中的則按照時間、IP范圍等規(guī)則進行登錄�。
[0031]所述進程監(jiān)控模塊用于對安裝主機加固類軟件的操作系統(tǒng)進程實時進行監(jiān)測,保證系統(tǒng)進程進行在出現(xiàn)變化時第一時刻提示/報警���。
[0032]—鍵加固功能:
利用現(xiàn)有技術(shù)���,還可以對附圖1中展示的所有功能模塊設(shè)置一鍵檢測功能,并做到啟用�����、關(guān)閉、維護等多種策略的選擇����。
[0033]在驅(qū)動層(O層)增加上述安全內(nèi)核模塊,攔截并記錄所有的內(nèi)核訪問路徑���,即可達到處理服務(wù)器故障的技術(shù)要求�,達到的安全效果和重構(gòu)操作系統(tǒng)代碼技術(shù)差不多�����,其好處是不會影響客戶的業(yè)務(wù)連續(xù)性��,甚至不需要客戶重啟系統(tǒng)���,對上層的所有應(yīng)用以及下層的所有系統(tǒng)和機器都支持,而且能在操作系統(tǒng)粒度上保證上層應(yīng)用的安全�。
【主權(quán)項】
1.一種服務(wù)器安全加固系統(tǒng),其特征在于:包括賬戶控制模塊��、剩余信息清理模塊���、系統(tǒng)補丁安裝接口����、安全軟件檢索模塊、登錄控制模塊����、進程監(jiān)控模塊, 所述賬戶控制模塊通過信息收集���,將現(xiàn)有系統(tǒng)用戶名與密碼進行收集��,并且通過特定的加密算法對目前的密碼進行加密控制�����; 所述剩余信息清理模塊包括內(nèi)存剩余信息清理單元及磁盤剩余信息清理單元��,內(nèi)存剩余信息清理單元用于對內(nèi)存空間進行重新的寫入操作�,將無關(guān)信息寫入該內(nèi)存空間����,或?qū)υ搩?nèi)存空間進行清零操作;磁盤剩余信息清理單元用于對文件中存儲的信息進行刪除�,將文件的存儲空間清空或者寫入隨機的無關(guān)信息����; 所述系統(tǒng)補丁安裝接口用于統(tǒng)一對安裝了服務(wù)器安全加固系統(tǒng)的操作系統(tǒng)進行補丁升級�; 所述安全軟件檢索模塊用于對系統(tǒng)中的安全文件和主要系統(tǒng)常用軟件、以及運行中的服務(wù)�、進程進行檢索,并與特征庫進行比對確認正在運行的市場常用殺毒軟件���、數(shù)據(jù)庫���、中間件或其他文件,利用規(guī)則模板進行對比和匹配�; 所述登錄控制模塊用于對登陸源IP和MAC進行識別,并通過白名單和黑名單進行區(qū)分控制��; 所述進程監(jiān)控模塊用于塊對安裝主機加固系統(tǒng)的操作系統(tǒng)進程實時進行監(jiān)測���,以保證系統(tǒng)進程在出現(xiàn)變化時第一時刻提示/報警。
2.根據(jù)權(quán)利要求1所述的服務(wù)器安全加固系統(tǒng)�����,其特征在于�,所述賬戶控制模塊用于禁止用戶對系統(tǒng)用戶進行創(chuàng)建���、刪除及改密操作。
3.根據(jù)權(quán)利要求1或2所述的服務(wù)器安全加固系統(tǒng)�����,其特征在于�����,所述特定的加密算法為三重數(shù)據(jù)加密算法3DES���。
4.根據(jù)權(quán)利要求1所述的服務(wù)器安全加固系統(tǒng)�,其特征在于����,所述登錄控制模塊中,添加到白名單的單個IP或者網(wǎng)段可以對客體機器進行控制���;添加到黑名單中的單個IP或者網(wǎng)段不允許進行任何的控制和訪問��。
【專利摘要】本發(fā)明公開了一種服務(wù)器安全加固系統(tǒng)���,屬于計算機信息安全領(lǐng)域���。所述安全加固系統(tǒng)包括賬戶控制模塊、剩余信息清理模塊����、系統(tǒng)補丁安裝接口、安全軟件檢索模塊��、登錄控制模塊及進程監(jiān)控模塊�����。通過增加上述功能模塊��,解決了現(xiàn)有技術(shù)中安全加固系統(tǒng)與國家主機防護政策不貼切問題����,可以充分滿足國家等級保護三級中主機安全主要功能要求,且能夠有效提高工作效率�,具有很好的推廣應(yīng)用價值。
【IPC分類】G06F21-57
【公開號】CN104573530
【申請?zhí)枴緾N201510088153
【發(fā)明人】高嵩
【申請人】浪潮電子信息產(chǎn)業(yè)股份有限公司
【公開日】2015年4月29日
【申請日】2015年2月26日