面向終端計算機的策略安全在線檢查系統的製作方法
2023-05-08 06:46:41
專利名稱:面向終端計算機的策略安全在線檢查系統的製作方法
技術領域:
本發明涉及一種面向終端計算機的策略、安全的管理和控制,屬於計算機安全檢查技術領域。
背景技術:
在大規模的網絡系統中通常包括大量不同的網絡設備,例如網關、路由器和向用戶提供服務、運行各種應用程式的伺服器、客戶機。設備、服務、應用程式、伺服器、客戶機以及用戶,甚至他們之間的關係都是需要管理的對象。在這種大規模網絡系統的內部高度複雜,導致管理異常困難,管理周期冗長,而且隨著系統規模的擴大,管理的開銷也成指數規律増加。 網絡安全策略的管理是任何網絡系統管理必不可少的一部分,網絡安全配置的不當,一方面可能使一些用戶有了過高的權限,而使另ー些需要高權限的用戶卻得不到相應的權限,造成權限配置不當;另一方面還可能給網絡帶來非常大的安全隱患,降低整個網絡的安全防禦能力。目前通用的操作是利用計算機提供的各種功能去設置和獲取這些策略,但是這些功能較分散,而且設置的不夠充分,達不到用戶需要的很多重要的功能。對於已有的功能也需要用戶需要一定的計算機專業技術知識才能夠使用,且設置繁瑣,不利於用戶的操作。
發明內容
本發明的技術解決問題克服現有技術的不足,提供一種面向終端計算機的策略安全在線檢查系統,該系統能夠實現一臺中心計算機對網絡內的所有終端計算機進行集中在線檢查,檢查效率高。本發明的技術解決方案面向終端計算機的策略安全在線檢查系統,在一臺中心計算機上在線對所有終端計算機進行集中檢查,所有的計算機之間通過網絡連接;所述的系統包括在線檢查工具、封裝模塊和中心計算機,封裝模塊將在線檢查工具打包成CAB的形式並存儲在中心計算機上,中心計算機將CAB嵌入IE瀏覽器,終端計算機通過IE瀏覽器從中心計算機上下載該CAB並自動安裝;所述在線檢查工具包括策略定義模塊、統ー數據接ロ模塊、查詢分析模塊、策略內比模塊和顯示模塊;用戶通過中心計算機上的IE瀏覽器輸入對每臺終端計算機期望檢查的策略類型、策略內容、策略生效時間以及策略生效的有效條件,並發起策略安全在線檢查指令,每臺終端計算機上的CAB根據接收的指令啟動檢查,具體如下統ー數據接ロ模塊通過IE瀏覽器接收策略安全在線檢查指令,啟動查詢分析模塊;並從IE瀏覽器上接收對應的策略類型、策略內容、策略生效時間以及策略生效的有效條件並發送至查詢分析模塊和策略定義模塊;將策略映射表、策略內比模塊發送的內比結果連同對應的唯一標識值一起回傳至中心計算機;由中心計算機對回傳結果進行匯總顯示;
查詢分析模塊啟動策略定義模塊,同時根據策略安全在線檢查指令從本地計算機上抓取策略映射表中策略類型對應的策略內容的實際值,並將該實際值填充到策略映射表相應的擴展項中;根據統ー數據接ロ模塊發送的策略類型、策略內容、策略生效時間以及策略生效的有效條件,將傳入的策略有效時間填充到對應的策略映射表中,將策略生效的有效條件根據相應策略內容,與策略內容對應的唯一標識值一起存儲;
策略定義模塊根據統ー數據接ロ模塊發送的策略類型及策略內容,建立策略映射表;該策略映射表包括唯一標識值、策略類型、策略內容、策略生效時間和擴展項四項內容;策略類型與策略內容為ー對一或者ー對多的關係,策略內容為對應的策略類型的策略檢查要求;擴展項為相應策略內容的實際值,唯一標識值與策略內容、策略生效時間、擴展項一一對應;策略內比模塊將策略映射表中的擴展項內容與查詢分析模塊存儲的唯一標識值對應的策略生效有效條件進行內比,將內比結果連同對應的唯一標識值一起存儲並傳給顯示模塊及統ー數據接ロ模塊;顯示模塊接收策略內比模塊發送的內比結果以及唯一標識值,從策略映射表中獲取唯一標識值對應的策略生效時間,將在策略生效時間內且內比結果錯誤的策略內容以及策略生效有效條件在本地計算機上進行顯示。當查詢分析模塊接收的策略安全在線檢查指令為判斷系統是否安裝有真實光碟機時,所述的抓取策略映射表中策略類型對應的策略內容的實際值步驟如下(I)讀取策略安全在線檢查指令,判斷指令的操作內容,將指令的操作內容與查詢分析模塊默認的同一指令的內容相比較,判斷二者是否一致,若不一致,則直接返回錯誤信息,等待下ー個策略安全在線檢查指令;若一致,則轉步驟(2);(2)根據windows管理接ロ WMI獲取光碟機信息,若沒有獲取帶光碟機信息,則在策略映射表相應的擴展項中記錄「否」,若有則轉步驟(3);(3)至少獲取6次光碟機的讀取速度,計算平均值;獲取當前硬碟的讀取的速度,次數和獲取光碟機的一致,計算平均值;比較獲取的光碟機的讀取速度和硬碟的讀取速度,若誤差在lOMB/s內則認為該光碟機是虛擬光碟機,若超出了這個範圍則認為是真實光碟機,將比較結果記錄在策略映射表相應的擴展項中。本發明與現有技術相比的有益效果在於(I)本發明系統通過將檢查工具封裝成CAB的形式並嵌入IE瀏覽器中,避免目前對每臺終端計算機都需要現場檢查的缺陷,解放了人力;並且本發明檢查工具將目前待檢查項以映射表的形式,通過實時抓取終端計算機上的策略信息與映射表相關內容進行內比,可以一次性完成所有期望檢查的項目,並最終實現一臺中心計算機對網絡內的所有終端計算機進行集中在線檢查,提高了檢查效率。(2)本發明策略映射表的內容可以涵蓋目前作業系統已有的策略類型和自定義的策略類型,將目前作業系統已有策略類型複雜的檢查流程通過內部程序實現,減少人為對計算機特有命令的輸入,降低了對檢查人員的專業技術知識要求。對於自定義策略類型根據網絡安全的要求,通過抓取計算機當前的運行狀態是否符合計算機安全策略要求,提高的系統的整體安全性能。(3)本發明的抓取方法採用從計算機底層性能的判斷,這種方法獲取的信息不易偽造,可真實反應當前的計算機的安全水平。保證了在線檢查結果的真實有效性。
圖I為本發明系統的體系結構圖;圖2為本發明系統中的統ー數據接ロ模塊實現過程;圖3為本發明系統中的查詢分析模塊實現過程;圖4為本發明系統中的策略定義模塊實現過程;圖5為本發明系統中的策略內比和顯示模塊實現過程.
具體實施例方式下面結合附圖詳細介紹本發明系統的實現過程。本系統在一臺中心計算機上在線對所有終端計算機進行集中檢查,所有的計算機之間通過網絡連接;所述的系統包括在線檢查工具和封裝模塊,封裝模塊將在線檢查工具打包成CAB的形式並存儲在中心計算機上,中心計算機將CAB嵌入IE瀏覽器(可以採用com技術實現嵌入),終端計算機通過IE瀏覽器從中心計算機上下載該CAB並自動安裝;所述在線檢查工具包括策略定義模塊、統一數據接ロ模塊、查詢分析模塊、策略內比模塊和顯示模塊;本發明系統可以實現在線集中檢查和自查兩種情形,其中,在線集中檢查用戶通過中心計算機上的IE瀏覽器輸入對每臺終端計算機期望檢查的策略類型、策略內容、策略生效時間以及策略生效的有效條件,並發起策略安全在線檢查指令,每臺終端計算機上的CAB根據接收的指令啟動檢查。自查當終端計算機進行自查時,終端計算機首先向中心計算機發起檢查請求,中心計算機根據該請求,對該終端計算機發起策略安全在線檢查指令,並輸入策略類型、策略內容、策略生效時間以及策略生效的有效條件。具體實現如下(—)統ー數據接ロ模塊統ー數據接ロ模塊如圖2所示,通過IE瀏覽器接收策略安全在線檢查指令,啟動查詢分析模塊;並從IE瀏覽器上接收對應的策略類型、策略內容、策略生效時間以及策略生效的有效條件並發送至查詢分析模塊和策略定義模塊;將策略映射表、策略內比模塊發送的內比結果連同對應的唯一標識值一起回傳至中心計算機;由中心計算機對回傳結果進行匯總顯示;統ー數據接ロ模塊通過利用成熟的JSON技術實現統ー的數據接ロ(ニ)查詢分析模塊查詢分析模塊如圖3所示,啟動策略定義模塊,同時根據策略安全在線檢查指令從本地計算機上抓取策略映射表中策略類型對應的策略內容的實際值,並將該實際值填充到策略映射表相應的擴展項中;根據統ー數據接ロ模塊發送的策略類型、策略內容、策略生效時間以及策略生效的有效條件,將傳入的策略有效時間填充到對應的策略映射表中,將策略生效的有效條件根據相應策略內容,與策略內容對應的唯一標識值一起存儲;具體的抓取的步驟和內容如下(I)讀取策略安全在線檢查指令,判斷指令的操作內容。(2)根據指令的操作內容,抓取相應的策略信息,例如判斷系統是否安裝有真實光碟機,方法如下所示
(2. I)將指令的操作內容與查詢分析模塊預先設置的同一指令的內容相比較,判斷二者是否一致,若不一致,則直接返回錯誤信息,等待下ー個策略安全在線檢查指令;若一致,則轉步驟(2. 2);例如,當指令的操作內容,即判斷系統是否安裝有真實光碟機為strType =」CDR0M」,而查詢分析模塊默認的是否安裝有真實光碟機指令內容strType = 」 WIRELESS」,則輸入的指令內容有誤,返回錯誤信息。(2. 2)根據windows管理接ロ WMI獲取光碟機信息,若沒有獲取帶光碟機信息,則在策略映射表相應的擴展項中記錄「否」,若有則轉步驟(2.3);(2. 3)獲取ー個時間段內光碟機的讀取速度,計算平均值。(最少要獲取6次的值);獲取當前硬碟的讀取的速度。次數和獲取光碟機的一致,計算平均值。比較獲取的光碟機的讀取速度和硬碟的讀取速度,若誤差在lOMB/s內則認為該光碟機是虛擬光碟機,若超出了這個範圍則認為是真實光碟機,將比較結果記錄在策略映射表相應的擴展項中。例如,當帳戶ロ令是否是弱ロ令或者帳戶密碼是否為空時,方法步驟如下(2-1)將指令的操作內容與查詢分析模塊預先設置的同一指令的內容相比較,判斷二者是否一致,若不一致,則直接返回錯誤信息,等待下ー個策略安全在線檢查指令;若一致,則轉步驟(2-2);例如,當指令的操作內容,即判斷系統是否安裝有真實光碟機為strType=」 EMPTYPASSffORD 」,而查詢分析模塊默認的是否安裝有真實光碟機指令內容strType= 」ADMINACC0UNT」,則輸入的指令內容有誤,返回錯誤信息。(2-2)根據Windows API (應用程式接ロ),調用系統登錄函數,傳入空字符串或者弱ロ令如「 123456」,給登錄函數,查看函數返回結果,若函數返回成功,則表明該帳戶密碼為空或者為弱ロ令,將比較結果記錄在策略映射表相應的擴展項中。若返回失敗則轉步驟(2-3);(2-3)獲取失敗錯誤信息,若信息表示密碼錯誤,則將結果記錄在策略映射表相應的擴展項中。否則,調用系統修改密碼函數,傳入空字符串或者弱ロ令,若修改成功,則表明該帳戶密碼為空或者為弱ロ令,將比較結果記錄在策略映射表相應的擴展項中,否則返回錯誤結果。下面表I中的其它策略類型可採用ー些通用WMI技術進行抓取,具體步驟如下(I)調用函數CoInitializeEx用於初始化COM庫。(2)調用函數CoInitializeSecurity用於初始化COM安全級別。(3)通過調用CoCreateInstance初始化WMI的定位器(4)調用IWbemLocator: :ConnectServer方法,通過定位器連接到WMI的命名空間,通過把一個IWbemServices的實例以參數形式傳遞給ConnectServer方法,倉Il建服務。(5)設置畫I服務的安全級別(6)使用之前得到的服務,進行ー些操作,如查詢、調用方法和其他ー些操作。(7)釋放資源,關閉服務與連接,關閉COM庫。(8)返回查詢的結果。例如判斷是否含有共享信息,按照上述步驟限初始COM庫,初始化安全級別和定位器,然後連接到WMI的命名空間,傳入參數「Win32 Share」,」Name」.其中「Win32 Share」、表示共享服務,「Name」表示查詢計算機共享服務的名稱。若結果存在則返回結果,若不存在則返回空字符串。並將比較結果記錄在策略映射表相應的擴展項中。(三)策略定義模塊策略定義模塊如圖4所示,根據統ー數據接ロ模塊發送的策略類型及策略內容,建立策略映射表,如表I所示;該策略映射表包括唯一標識值、策略類型、策略內容、策略生效時間和擴展項四項內容;策略類型與策略內容為ー對一或者ー對多的關係,策略內容為對應的策略類型的策略檢查要求;擴展項為相應策略內容的實際值,唯一標識值與策略內容、策略生效時間、擴展項一一對應;表I策略映射表
權利要求
1.面向終端計算機的策略安全在線檢查系統,其特徵在於在一臺中心計算機上在線對所有終端計算機進行集中檢查,所有的計算機之間通過網絡連接;所述的系統包括在線檢查工具、封裝模塊和中心計算機,封裝模塊將在線檢查工具打包成CAB的形式並存儲在中心計算機上,中心計算機將CAB嵌入IE瀏覽器,終端計算機通過IE瀏覽器從中心計算機上下載該CAB並自動安裝;所述在線檢查工具包括策略定義模塊、統ー數據接ロ模塊、查詢分析模塊、策略內比模塊和顯示模塊; 用戶通過中心計算機上的IE瀏覽器輸入對每臺終端計算機期望檢查的策略類型、策略內容、策略生效時間以及策略生效的有效條件,並發起策略安全在線檢查指令,每臺終端計算機上的CAB根據接收的指令啟動檢查,具體如下 統ー數據接ロ模塊通過IE瀏覽器接收策略安全在線檢查指令,啟動查詢分析模塊;並從IE瀏覽器上接收對應的策略類型、策略內容、策略生效時間以及策略生效的有效條件並發送至查詢分析模塊和策略定義模塊;將策略映射表、策略內比模塊發送的內比結果連同對應的唯一標識值一起回傳至中心計算機;由中心計算機對回傳結果進行匯總顯示; 查詢分析模塊啟動策略定義模塊,同時根據策略安全在線檢查指令從本地計算機上抓取策略映射表中策略類型對應的策略內容的實際值,並將該實際值填充到策略映射表相應的擴展項中;根據統ー數據接ロ模塊發送的策略類型、策略內容、策略生效時間以及策略生效的有效條件,將傳入的策略有效時間填充到對應的策略映射表中,將策略生效的有效條件根據相應策略內容,與策略內容對應的唯一標識值一起存儲; 策略定義模塊根據統ー數據接ロ模塊發送的策略類型及策略內容,建立策略映射表;該策略映射表包括唯一標識值、策略類型、策略內容、策略生效時間和擴展項四項內容;策略類型與策略內容為ー對一或者ー對多的關係,策略內容為對應的策略類型的策略檢查要求;擴展項為相應策略內容的實際值,唯一標識值與策略內容、策略生效時間、擴展項一一對應; 策略內比模塊將策略映射表中的擴展項內容與查詢分析模塊存儲的唯一標識值對應的策略生效有效條件進行內比,將內比結果連同對應的唯一標識值一起存儲並傳給顯示模塊及統一數據接ロ模塊; 顯示模塊接收策略內比模塊發送的內比結果以及唯一標識值,從策略映射表中獲取唯一標識值對應的策略生效時間,將在策略生效時間內且內比結果錯誤的策略內容以及策略生效有效條件在本地計算機上進行顯示。
2.根據權利要求I所述的面向終端計算機的策略安全在線檢查系統,其特徵在於當查詢分析模塊接收的策略安全在線檢查指令為判斷系統是否安裝有真實光碟機時,所述的抓取策略映射表中策略類型對應的策略內容的實際值步驟如下 (1)讀取策略安全在線檢查指令,判斷指令的操作內容,將指令的操作內容與查詢分析模塊默認的同一指令的內容相比較,判斷二者是否一致,若不一致,則直接返回錯誤信息,等待下ー個策略安全在線檢查指令;若一致,則轉步驟(2); (2)根據windows管理接ロWMI獲取光碟機信息,若沒有獲取帶光碟機信息,則在策略映射表相應的擴展項中記錄「否」,若有則轉步驟⑶; (3)至少獲取6次光碟機的讀取速度,計算平均值;獲取當前硬碟的讀取的速度,次數和獲取光碟機的一致,計算平均值;比較獲取的光碟機的讀取速度和硬碟的讀取速度,若誤差在lOMB/s內則認為該光碟機是虛擬光碟機,若超出了這個範圍則認為是真實光碟機,將比較結果記錄在策略映射表相應的擴展項 中。
全文摘要
面向終端計算機的策略安全在線檢查系統,在一臺中心計算機上在線對所有終端計算機進行集中檢查,所有的計算機之間通過網絡連接;所述的系統包括在線檢查工具、封裝模塊和中心計算機,封裝模塊將在線檢查工具打包成CAB的形式並存儲在中心計算機上,中心計算機將CAB嵌入IE瀏覽器,終端計算機通過IE瀏覽器從中心計算機上下載該CAB並自動安裝;所述在線檢查工具包括策略定義模塊、統一數據接口模塊、查詢分析模塊、策略內比模塊和顯示模塊,該系統具有開發周期短、可維護性好、靈活的開放接口、完善的調試功能以及易於使用和管理的優點。
文檔編號H04L12/26GK102647419SQ201210099538
公開日2012年8月22日 申請日期2012年4月6日 優先權日2012年4月6日
發明者劉霞, 吳宏彬, 吳曉明, 唐立才, 姜紅星, 張東山, 張敬鵬, 文梁, 方超, 朱喜剛, 楊景校, 王旭, 石志勇, 紀曦, 紀樹峰, 趙衛靈, 趙飛, 鄧文浩, 陳佳, 陳楚平, 陳燕軍, 韓磊 申請人:北京空間飛行器總體設計部, 廣東航宇衛星科技有限公司