一种实现操作系统安全的方法和装置的制造方法

文档序号:9708678阅读:229来源:国知局
一种实现操作系统安全的方法和装置的制造方法
【技术领域】
[0001]本发明涉及计算机信息安全领域,特别涉及一种实现操作系统安全的方法和装置。
【背景技术】
[0002]操作系统的主体安全作为信息安全的最后一道壁皇,显得格外重要,目前,主要通过扩张强制访问控制安全模块(Security-Enhanced Linux,简称Sel inux)来维护linux操作系统的安全。由于Sel inux已并入Linux内核代码,使得Sel inux中的钩子操作函数不可被更改,管理员需要按照Selinux规范的格式来为钩子操作函数配置维护策略,以保护操作系统中的文件、进程等,在配置维护策略之后,操作系统需要重启才能启动维护策略,例如:管理员通过规范的格式添加保护文件1的策略,在操作系统重启之后,才能执行该保护文件1的策略,如果配置N个策略,操作系统需要重启N次,造成配置维护策略的灵活性较差。

【发明内容】

[0003]本发明提供一种实现操作系统安全的方法和装置,从而提高配置维护的灵活性。
[0004]—种实现操作系统安全的方法,包括:
[0005]获取钩子操作函数集的第一地址,并将所述第一地址映射到第二地址;
[0006]在所述第二地址修改所述钩子操作函数集,预设各种维护策略;
[0007]接收选定的至少一个目标,为所述至少一个目标配置所述各种维护策略中的第一目标维护策略。
[0008]优选地,该方法进一步包括:设置web界面;
[0009]所述接收选定的至少一个目标,为所述至少一个目标选定所述维护策略中的目标维护策略,包括:通过所述web界面接收选定的至少一个目标,并通过所述web界面为所述至少一个目标配置所述各种维护策略中的目标维护策略。
[0010]优选地,该方法进一步包括:
[0011]拦截当前操作;
[0012]获取所述当前操作对应的当前进程和/或当前文件;
[0013]在所述第一目标维护策略中,确定所述当前进程和/或当前文件对应的第二目标维护策略;
[0014]将所述当前操作与所述第二目标维护策略进行匹配,如果所述当前操作满足所述第二目标维护策略,则控制操作系统执行所述当前操作,否则,控制所述操作系统拒绝所述当前操作。
[0015]优选地,在所述预设各种维护策略之后,在所述接收选定的至少一个目标之前,进一步包括:建立所述各种维护策略与所述钩子操作函数集中钩子函数的对应关系;
[0016]在所述将所述当前操作与所述第二目标维护策略进行匹配之后,进一步包括:根据所述对应关系,运行所述第二目标维护策略对应的所述钩子操作函数集中的目标钩子函数。
[0017]优选地,所述当前操作,包括:读、写、执行、删除、重命名以及链接中的任意一种或多种。
[0018]优选地,该方法,应用于linux内核,所述获取钩子操作函数集的第一地址,并将所述第一地址映射到第二地址,包括:获取selinuX_opS数据结构的内存地址,并将所述内存地址映射到第二地址。
[0019]—种实现操作系统安全的装置,包括:
[0020]映射单元,用于获取钩子操作函数集的第一地址,并将所述第一地址映射到第二地址;
[0021]第一设置单元,用于在所述映射单元映射的第二地址修改所述钩子操作函数集,预设各种维护策略;
[0022]配置单元,用于接收选定的至少一个目标,为所述至少一个目标配置所述第一设置单元设置的各种维护策略中的第一目标维护策略。
[0023]优选地,该装置进一步包括:第二设置单元,其中,
[0024]所述第二设置单元,用于设置web界面;
[0025]所述配置单元,用于通过所述第二设置单元设置的web界面接收选定的至少一个目标,并通过所述web界面为所述至少一个目标配置所述第一设置单元预设的各种维护策略中的目标维护策略。
[0026]优选地,该装置进一步包括:获取单元、确定单元、匹配单元和控制单元,其中,
[0027]所述获取单元,用于拦截当前操作,并获取所述当前操作对应的当前进程和/或当前文件;
[0028]所述确定单元,用于在所述配置单元配置的第一目标维护策略中,确定所述当前进程和/或当前文件对应的第二目标维护策略;
[0029]所述匹配单元,用于将所述获取单元拦截的当前操作与所述确定单元确定的第二目标维护策略进行匹配,判断所述当前操作是否满足所述第二目标维护策略,并触发控制单元;
[0030]所述控制单元,用于接收到所述匹配单元触发时,如果所述当前操作满足所述第二目标维护策略,则控制操作系统执行所述当前操作,否则,控制所述操作系统拒绝所述当前操作。
[0031]优选地,该装置进一步包括:构建单元和运行单元,其中,
[0032]所述构建单元,用于建立所述第一设置单元预设的各种维护策略与所述钩子操作函数集中钩子函数的对应关系;
[0033]所述运行单元,用于根据所述构建单元建立的对应关系,运行所述确定单元确定的第二目标维护策略对应的所述钩子操作函数集中的目标钩子函数。
[0034]优选地,所述获取单元拦截的当前操作,包括:读、写、执行、删除、重命名以及链接中的任意一种或多种。
[0035 ] 优选地,该装置应用于1 i nux内核,所述映射单元,用于获取s e 1 inux_op s数据结构的内存地址,并将所述内存地址映射到第二地址。
[0036]本发明实施例提供了一种实现操作系统安全的方法和装置,在该实现操作系统安全的方法中,通过获取钩子操作函数集的第一地址,并将所述第一地址映射到第二地址,由于控制安全模块中的钩子操作函数集被修改往往需要重新编译操作系统内核,而通过该映射,可以在映射的第二地址中修改所述钩子操作函数集,预设各种维护策略;那么,用户在选定要维护的目标之后,只需要为该选定的目标配置所述各种维护策略中的第一目标维护策略,即完成目标的维护策略配置,而无需重新启动操作系统来实现配置,有效的提高了配置维护策略的灵活性。
【附图说明】
[0037]图1为本发明实施例提供的实现操作系统安全的方法流程图;
[0038]图2为本发明另一实施例提供的实现操作系统安全的方法流程图;
[0039]图3为本发明实施例提供的实现操作系统安全的装置结构示意图;
[0040]图4为本发明另一实施例提供的实现操作系统安全的装置结构示意图;
[0041]图5为本发明又一实施例提供的实现操作系统安全的装置结构示意图。
【具体实施方式】
[0042]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0043]如图1所示,本发明实施例提供一种实现操作系统安全的方法,该方法可以包括如下步骤:
[0044]步骤101:获取钩子操作函数集的第一地址,并将第一地址映射到第二地址;
[0045]步骤102:在第二地址修改钩子操作函数集,预设各种维护策略;
[0046]步骤103:接收选定的至少一个目标,为至少一个目标配置所述各种维护策略中的第一目标维护策略。
[0047]在本发明一个实施例中,为了提高配置目标维护策略的便利性,使目标维护策略更加简单,该方法进一步包括:设置web界面;步骤103的【具体实施方式】:通过web界面接收选定的至少一个目标,并通过web界面为至少一个目标配置各种维护策略中的目标维护策略。
[0048]在本发明一个实施例中,为了使目标维护策略能够有针对性地维护操作,并有效地提高维护策略对操作的验证效率,该方法进一步包括:拦截当前操作;获取当前操作对应的当前进程和/或当前文件;在第一目标维护策略中,确定当前进程和/或当前文件对应的第二目标维护策略;将当前操作与第二目标维护策略进行匹配,如果当前操作满足第二目标维护策略,则控制操作系统执行当前操作,否则,控制操作系统拒绝当前操作。
[0049]在本发明一个实施例中,为了能够保证操作系统内核中原钩子函数的正常运行,避免
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1