按照系统登录策略对Linux主机用户的系统登录行为进行强制性监控,系统将分两种情况进行处理:
[0057]a.对于用户的首次系统登录行为,系统首先检查登录时间是否符合系统登录策略中规定的时间窗口,如果不符合则禁止登录,并给出警告信息;如果符合则提示用户输入初始的用户名和口令,然后进行用户身份鉴别。如果身份鉴别为真则允许登录,然后提示用户更改初始口令,并对用户输入的新口令进行检查,判别新口令字符串长度和复杂度是否符合系统登录策略中规定的口令长度和复杂度要求,符合则修改成功;不符合则需要重新输入新口令,直到符合要求为止;如果身份鉴别为假则拒绝登录,并检查登录失败次数是否达到系统登录策略中规定的最大尝试登录失败次数,如果未达到则允许用户继续尝试登录,如果达到则禁止用户继续尝试登录,系统进入屏幕锁定状态,保留尝试登录的屏幕状态。
[0058]b.对于用户的非首次系统登录行为,系统首先检查登录时间是否符合系统登录策略中规定的时间窗口,如果不符合则禁止登录,并给出警告信息;如果符合则提示用户输入用户名和口令,然后进行用户身份鉴别,如果身份鉴别为真则允许登录,并判别口令使用周期是否达到系统登录策略中规定的最大口令更新周期,如果达到则提示用户输入新口令,并对新口令的长度和复杂度进行检查,直到用户输入符合要求的新口令为止;如果身份鉴别为假则拒绝登录,并检查登录失败次数是否达到系统登录策略中规定的最大尝试登录失败次数,如果未达到则允许用户继续尝试登录,如果达到则禁止用户继续尝试登录,系统进入屏幕锁定状态,保留尝试登录的屏幕状态。
[0059]对成功和不成功的系统登录行为进行日志记录,记录的信息有:登录用户名、登录日期和时间、登录失败次数、是否更改口令等,以便于事后取证和追踪。
[0060]②按照外设使用策略对用户的外设使用行为进行强制性监控,受监控的外部设备主要是可能引起病毒输入和信息泄露的输入输出设备,如移动硬盘、移动优盘、光盘、打印机、扫描仪等,在外设使用策略中规定了每个主机允许使用的外部设备。对于用户的外设使用行为,系统从操作系统内核中捕获用户发出的外设使用请求,提取其中的特征参数,检查是否与外设使用策略中允许使用的外部设备相符合,如果不符合则拒绝使用,拦截该请求并报警;如果符合则允许使用,正常处理该请求,并做日志记录,记录的信息有:设备类型、操作类型(输入/输出)、文件名、日期和时间等,以便于事后取证和追踪。
[0061]③按照网络通信策略对用户的外设使用行为进行强制性监控,受监控的网络通信接口包括以太网接口、各种无线网接口、各种串行通信接口等,在网络通信策略中规定了每个主机允许使用的网络通信接口。对于用户的网络通信行为,系统从操作系统内核中捕获用户发出的网络通信请求,提取其中的特征参数,检查其网络通信接口是否与网络通信策略中允许使用的网络通信接口相符合,如果不符合则拒绝访问,拦截该请求并报警;如果符合则做进一步检查:
[0062]a.提取数据包中的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等信息,检查是否与网络通信策略中所规定的相符合,如果不符合则拒绝访问,拦截该请求并报警;如果符合则允许访问,正常处理该请求,将数据包输出到网络通信接口。
[0063]b.做日志记录,记录的信息有:网络通信接口类型、物理地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型、日期和时间、允许/拒绝等,以便于事后取证和追足示O
【主权项】
1.一种Linux主机接入网络系统安全增强方法,其特征在于包括以下步骤: (1)在网络系统中,设置一个称为安全监控中心的计算机,在所述计算机上安装并运行安全监控中心软件,负责统一设置和管理网络中所有Linux主机的全局安全策略,并对每个Linux主机的安全状态进行监控和审计;全局安全策略包括各个Linux主机的系统登录策略、外设使用策略和网络通信策略,并通过网络将全局安全策略下发给相应的Linux主机执行; (2)每个Linux主机安装并运行经过安全增强的Linux操作系统,按照全局安全策略对用户的系统登录、外设使用以及网络通信操作行为进行安全监控和审计;对Linux操作系统的安全增强包括如下几个方面: ①按照系统登录策略对Linux主机用户的系统登录行为进行强制性监控,系统将分两种情况进行处理: a.对于用户的首次系统登录行为,系统首先检查登录时间是否符合系统登录策略中规定的时间窗口,如果不符合则禁止登录,并给出警告信息;如果符合则提示用户输入初始的用户名和口令,然后进行用户身份鉴别;如果身份鉴别为真则允许登录,然后提示用户更改初始口令,并对用户输入的新口令进行检查,判别新口令字符串长度和复杂度是否符合系统登录策略中规定的口令长度和复杂度要求,符合则修改成功;不符合则需要重新输入新口令,直到符合要求为止;如果身份鉴别为假则拒绝登录,并检查登录失败次数是否达到系统登录策略中规定的最大尝试登录失败次数,如果未达到则允许用户继续尝试登录,如果达到则禁止用户继续尝试登录,系统进入屏幕锁定状态,保留尝试登录的屏幕状态; b.对于用户的非首次系统登录行为,系统首先检查登录时间是否符合系统登录策略中规定的时间窗口,如果不符合则禁止登录,并给出警告信息;如果符合则提示用户输入用户名和口令,然后进行用户身份鉴别,如果身份鉴别为真则允许登录,并判别口令使用周期是否达到系统登录策略中规定的最大口令更新周期,如果达到则提示用户输入新口令,并对新口令的长度和复杂度进行检查,直到用户输入符合要求的新口令为止;如果身份鉴别为假则拒绝登录,并检查登录失败次数是否达到系统登录策略中规定的最大尝试登录失败次数,如果未达到则允许用户继续尝试登录,如果达到则禁止用户继续尝试登录,系统进入屏幕锁定状态,保留尝试登录的屏幕状态; 对成功和不成功的系统登录行为进行日志记录,记录的信息有登录用户名、登录日期和时间、登录失败次数以及是否更改口令,以便于事后取证和追踪; ②按照外设使用策略对用户的外设使用行为进行强制性监控,受监控的外部设备包括移动硬盘、移动优盘、光盘、打印机以及扫描仪,在外设使用策略中规定了每个主机允许使用的外部设备;对于用户的外设使用行为,系统从操作系统内核中捕获用户发出的外设使用请求,提取其中的特征参数,检查是否与外设使用策略中允许使用的外部设备相符合,如果不符合则拒绝使用,拦截该请求并报警;如果符合则允许使用,正常处理该请求,并做日志记录,记录的信息有设备类型、操作类型、文件名、日期和时间,以便于事后取证和追踪; ③按照网络通信策略对用户的外设使用行为进行强制性监控,受监控的网络通信接口包括以太网接口、各种无线网接口、各种串行通信接口等,在网络通信策略中规定了每个主机允许使用的网络通信接口 ;对于用户的网络通信行为,系统从操作系统内核中捕获用户发出的网络通信请求,提取其中的特征参数,检查其网络通信接口是否与网络通信策略中允许使用的网络通信接口相符合,如果不符合则拒绝访问,拦截该请求并报警;如果符合则做进一步检查: a.提取数据包中的源IP地址、目的IP地址、源端口号、目的端口号以及协议类型信息,检查是否与网络通信策略中所规定的相符合,如果不符合则拒绝访问,拦截该请求并报警;如果符合则允许访问,正常处理该请求,将数据包输出到网络通信接口 ; b.做日志记录,记录的信息有网络通信接口类型、物理地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型、日期和时间以及允许/拒绝信息,以便于事后取证和追足示O
【专利摘要】本发明公开了一种Linux主机接入网络系统安全增强方法,用于解决现有Linux主机接入网络系统安全性差的技术问题。技术方案是在网络系统中设置一个安全监控中心,安全监控中心安装并运行安全监控中心软件,负责统一设置和管理网络中所有Linux主机的全局安全策略,并对每个Linux主机的安全状态进行监控和审计。每个Linux主机安装并运行经过安全增强的Linux操作系统,按照全局安全策略对用户的系统登录、外设使用、网络通信等操作行为进行安全监控和审计。本发明能够及时发现并阻断用户的违规行为,增强了用户操作行为的可信性、可控性以及可追溯性,从而提高了接入主机以及网络信息系统的安全性。
【IPC分类】H04L9-32, H04L29-06
【公开号】CN104821943
【申请号】CN201510205085
【发明人】蔡皖东, 蔡霖, 赵磊, 贾锐
【申请人】西北工业大学
【公开日】2015年8月5日
【申请日】2015年4月27日