一种服务器安全加固系统的制作方法
【专利说明】一种服务器安全加固系统
[0001]
技术领域
[0002]本发明涉及计算机信息安全领域,具体地说是一种服务器安全加固系统。
【背景技术】
[0003]现有技术中,主机加固类软件产品具备一键功能激活,通常包括文件防护、进程防护、服务防护以及账户防护等。防护功能主要以文件、进程、服务的强制访问控制规则为主,辅以对系统用户(即账户)保护,如新增账户、删除账户等,虽然能够满足常见的加固要求,但仍然存在工作效率低,且需要针对每一台机器进行配置策略。
[0004]另外,现有主机加固类软件产品与国家主机防护政策不贴切,不能充分满足国家等级保护三级中主机安全主要功能的要求。
【发明内容】
[0005]本发明的技术任务是针对上述现有技术的不足,提供一种能够更好的提升主机可靠性的服务器安全加固系统。
[0006]本发明的技术任务是按以下方式实现的:一种服务器安全加固系统,其特点是包括账户控制模块、剩余信息清理模块、系统补丁安装接口、安全软件检索模块、登录控制模块、进程监控模块。
[0007]所述账户控制模块通过信息收集,将现有系统用户名与密码进行收集,并且通过特定的加密算法对目前的密码进行加密控制。
[0008]收集到的用户会通过安全流程检测其密码复杂度、密码长度、更换密码周期等,同时可对无用/临时账号直接进行关闭/开启。
[0009]所述剩余信息清理模块包括内存剩余信息清理单元及磁盘剩余信息清理单元: 内存剩余信息清理单元用于对内存空间进行重新的写入操作,将无关(或者垃圾)信息写入该内存空间,或对该内存空间进行清零操作;
磁盘剩余信息清理单元用于对文件中存储的信息进行删除,将文件的存储空间清空或者写入随机的无关信息,即调用函数从文件中读取字符后并将操作后的字符(设置成零或对原有信息进行操作)写回文件中,保证被删除的文件经过处理。
[0010]所述系统补丁安装接口用于统一对安装了服务器安全加固系统的操作系统进行补丁升级。
[0011]所述安全软件检索模块用于对系统中的安全文件和主要系统常用软件、以及运行中的服务、进程进行检索,并与特征库进行比对确认正在运行的市场常用杀毒软件、数据库、中间件或其他文件,利用规则模板进行对比和匹配。所述模板可设置可编辑功能。
[0012]所述登录控制模块用于对登陆源IP和MAC进行识别,并通过白名单和黑名单进行区分控制。
[0013]所述进程监控模块用于块对安装主机加固系统的操作系统进程实时进行监测,以保证系统进程在出现变化时第一时刻提示/报警。
[0014]上述功能模块可具备一键加固功能,并做到启用、关闭、维护等多种策略的选择,以便达到提高工作效率,且保证主机的安全加固的效果。
[0015]为了进一步提升系统可靠性,所述账户控制模块还可以用于禁止用户(包括系统管理员及非授权进程)对系统用户进行创建、删除及改密等操作。
[0016]作为优选,所述特定的加密算法为三重数据加密算法3DES。可以通过3DES算法直接对当前用户生成8位随机密码(满足密码复杂度、密码长度、更换密码周期的规则设定),生成密码以邮件方式发送至特定内网服务器。
[0017]所述登录控制模块中,添加到白名单的单个IP或者网段可以对客体机器进行控制;添加到黑名单中的单个IP或者网段不允许进行任何的控制和访问。对于不在白名单且不在黑名单中的则按照时间、IP范围等规则进行登录。
[0018]与现有技术相比,本发明的服务器安全加固系统解决现有加固系统功能复杂且与国家主机防护政策不贴切问题,可以充分满足国家等级保护三级中主机安全主要功能要求,并且大幅度提高了加固系统的工作效率。
【附图说明】
[0019]附图1是本发明服务器安全加固系统结构示意图。
【具体实施方式】
[0020]参照说明书附图以具体实施例对本发明的服务器安全加固系统作以下详细地说明。
[0021]实施例:
如附图1所示,本发明的服务器安全加固系统主要由身份鉴别检测模块、访问控制检测模块、剩余信息清理模块、入侵防护检测模块及其他模块构成。
[0022]身份鉴别检测模块下的强身份认证模块、访问控制检测模块下的文件强制访问控制、进程强制访问控制、服务强制访问控制及注册表强制访问控制、剩余信息清理模块下的用户使用痕迹清理、入侵防护检测模块的磁盘限额、用户使用痕迹清理、文件、服务完整性检测及其他模块下的磁盘限额、资源监控模块与现有技术中服务器安全加固系统的相应功能模块相同。
[0023]在现有安全加固系统的基础上,在身份鉴别检测模块下新增了账户控制模块;在剩余信息清理模块增加了剩余信息清理模块;在入侵防护检测模块增加了系统补丁安装接口 ;在其他模块增加了安全软件检索模块、登录控制模块及进程监控模块。
[0024]所述账户控制模块通过信息收集,将现有系统用户名与密码进行收集,并且通过三重数据加密算法3DES对目前的密码进行加密控制。收集到的用户会通过安全流程检测其密码复杂度、密码长度、更换密码周期等,同时可对无用/临时账号直接进行关闭/开启。在任何用户包括系统管理员及非授权进程对系统用户进行创建、删除、改密等操作时,都将被禁止。
[0025]可以通过3DES算法直接对当前用户生成8位随机密码(满足密码复杂度、密码长度、更换密码周期的规则设定),生成密码以邮件方式发送至特定内网服务器。
[0026]所述剩余信息清理模块包括:
(一)内存剩余信息清理
身份认证函数在使用完用户名和密码信息后,对曾经存储过这些信息的内存空间进行重新的写入操作,将无关(或者垃圾)信息写入该内存空间,或对该内存空间进行清零操作。
[0027](二)磁盘剩余信息清理
发现具有删除文件/目录操作时,调用清理模块对文件中存储的信息进行删除,也将文件的存储空间清空或者写入随机的无关信息。即调用函数从文件中读取字符后并将操作后的字符(设置成零或对原有信息进行操作)写回文件中,保证被删除的文件经过处理。
[0028]所述系统补丁安装接口,可以通过该接口,统一对安装了主机加固类产品进行操作系统的补丁升级。
[0029]所述安全软件检索模块用于对系统中的安全文件和主要系统常用软件进行检索,对目前运行中的服务、进程进行检索,与特征库进行比对确认正在运行的市场常用杀毒软件、数据库、中间件或其他文件,利用前期制作的规则模板进行对比和匹配,并且模板具备可编辑功能。
[0030]所述登录控制模块用于对登陆源IP和MAC进行识别。通过白名单和黑名单进行区分。添加到百名单(单个IP或者网段)可以对客体机器进行控制,添加到黑名单中则不允许进行任何的控制和访问,不在百名单且不在黑名单中的则按照时间、IP范围等规则进行登录。
[0031]所述进程监控模块用于对安装主机加固类软件的操作系统进程实时进行监测,保证系统进程进行在出现变化时第一时刻提示/报警。
[0032]—键加固功能:
利用现有技术,还可以对附图1中展示的所有功能模块设置一键检测功能,并做到启用、关闭、维护等多种策略的选择。
[0033]在驱动层(O层)增加上述安全内核模块,拦截并记录所有的内核访问路径,即可达到处理服务器故障的技术要求,达到的安全效果和重构操作系统代码技术差不多,其好处是不会影响客户的业务连续性,甚至不需要客户重启系统,对上层的所有应用以及下层的所有系统和机器都支持,而且能在操作系统粒度上保证上层应用的安全。
【主权项】
1.一种服务器安全加固系统,其特征在于:包括账户控制模块、剩余信息清理模块、系统补丁安装接口、安全软件检索模块、登录控制模块、进程监控模块, 所述账户控制模块通过信息收集,将现有系统用户名与密码进行收集,并且通过特定的加密算法对目前的密码进行加密控制; 所述剩余信息清理模块包括内存剩余信息清理单元及磁盘剩余信息清理单元,内存剩余信息清理单元用于对内存空间进行重新的写入操作,将无关信息写入该内存空间,或对该内存空间进行清零操作;磁盘剩余信息清理单元用于对文件中存储的信息进行删除,将文件的存储空间清空或者写入随机的无关信息; 所述系统补丁安装接口用于统一对安装了服务器安全加固系统的操作系统进行补丁升级; 所述安全软件检索模块用于对系统中的安全文件和主要系统常用软件、以及运行中的服务、进程进行检索,并与特征库进行比对确认正在运行的市场常用杀毒软件、数据库、中间件或其他文件,利用规则模板进行对比和匹配; 所述登录控制模块用于对登陆源IP和MAC进行识别,并通过白名单和黑名单进行区分控制; 所述进程监控模块用于块对安装主机加固系统的操作系统进程实时进行监测,以保证系统进程在出现变化时第一时刻提示/报警。
2.根据权利要求1所述的服务器安全加固系统,其特征在于,所述账户控制模块用于禁止用户对系统用户进行创建、删除及改密操作。
3.根据权利要求1或2所述的服务器安全加固系统,其特征在于,所述特定的加密算法为三重数据加密算法3DES。
4.根据权利要求1所述的服务器安全加固系统,其特征在于,所述登录控制模块中,添加到白名单的单个IP或者网段可以对客体机器进行控制;添加到黑名单中的单个IP或者网段不允许进行任何的控制和访问。
【专利摘要】本发明公开了一种服务器安全加固系统,属于计算机信息安全领域。所述安全加固系统包括账户控制模块、剩余信息清理模块、系统补丁安装接口、安全软件检索模块、登录控制模块及进程监控模块。通过增加上述功能模块,解决了现有技术中安全加固系统与国家主机防护政策不贴切问题,可以充分满足国家等级保护三级中主机安全主要功能要求,且能够有效提高工作效率,具有很好的推广应用价值。
【IPC分类】G06F21-57
【公开号】CN104573530
【申请号】CN201510088153
【发明人】高嵩
【申请人】浪潮电子信息产业股份有限公司
【公开日】2015年4月29日
【申请日】2015年2月26日