安全终端系统及终端安全方法

专利名称：安全终端系统及终端安全方法
技术领域：
本发明涉及计算机安全领域，尤其涉及一种安全终端系统及终端安全方法。
背景技术：
随着信息化程度的快速提高，生产和办公系统的电子化，使得企业内部
网络成为组织和或企业机密信息和知识产权的主要载体。FBI (Federal Bureau of Investigation,美国联邦调査局)和CSI (Crime Scene Investigation,美国犯 罪现场鉴证科)曾对484家公司调査发现超过85%的安全威胁来自企业内 部，其中有16%来自内部未授权的存取，14%来自专利信息被窃取，12%来 自内部人员的财务欺骗，11%来自资料或网络的破坏。
因此企业内部网络中的终端成了网络安全的焦点之一，终端安全技术也 迅速发展起来，以试图阻隔安全威胁，保证内网安全。现有的终端安全技术 主要包括防病毒技术，防火墙技术，IDS (Intrusion Detection Systems,入 侵检测系统)、可信终端方案和可信终端锁等。
防火墙、杀毒软件等安全解决方案大多是构建企业网络边界的安全屏障， 而且往往是针对某种特定的安全防护技术，针对内部的和全面的攻击方式缺 乏前瞻性的预防，无法有效防范未知攻击手段。
可信终端方案主要通过在终端主板等上设置安全模块实现。可信终端锁 则使用终端锁来记录终端的用户行为、保护涉密文件，审查用户身份及使用 权限和接入内网的可信度，从而保护终端及内网的安全。因此可信终端方案 无法适用于己有的终端设备。
然而，单一的安全技术难以实现有效防控。例如防火墙没有办法实现对 内部用户安全攻击的控制；IDS不能实现对所有业务的监测和控制；防病毒软件没有办法控制病毒在网络内的传播；同时，终端用户行为未受控，用户行
为管理失效。
此外，在一个较大的局域网中，机器配置档次高低各异，操作系统分门 别类，系统软件千差万别，网络管理员要想同时对这几百台甚至上千台终端 设备及时快速地打上新的补丁程序，几乎是不可能的。要保障每一个补丁在 安装后正常运行，不对整个网络系统造成其它破坏和隐患，更是非常困难的。

发明内容
本发明要解决的技术问题在于，针对上述每一安全手段功能单一的缺陷， 提出一种新的安全终端系统及终端安全方法。
本发明解决上述技术问题的技术方案是，构造一种安全终端系统，包括 终端及通过数据接口连接到所述终端的移动存储装置，所述终端包括从所述 移动存储装置载入的可信操作系统及安全管理客户端模块，
所述可信操作系统模块，用于控制终端的运行的可信操作系统； 所述安全管理客户端模块，用于收集客户端身份信息以及收集和缓存运 行事件。
在本发明所述的安全终端系统中，还包括位于企业受保护的主机上的安 全管理中心模块。
在本发明所述的安全终端系统中，所述安全管理客户端模块包括身份管 理模块、事件池模块、事件过滤模块、过滤规则模块和协同管理模块，其中 身份管理模块用于与安全管理中心模块配合，共同完成安全终端节点互认证、 用户身份认证与鉴权；事件池模块用于收集可信操作系统模块的安全终端运 行状况信息、日志信息，并提交事件过滤模块；事件过滤模块用于根据过滤 规则模块的规则信息，对接收到的事件进行匹配，过滤出可疑事件，并将可 疑事件规格化为安全事件，提交给协同管理模块；过滤规则模块用于为事件 过滤模块提供规则信息，同时接收协同管理模块的控制，更新规则信息；协 同管理模块用于所述身份管理模块和事件过滤模块的协同请求，并将请求信 息提交到安全管理中心模块。在本发明所述的安全终端系统中，所述可信操作系统为包括用户管理模
块、磁盘管理模块、文件管理模块及进程管理模块和网络管理模的Linux操作 系统；所述用户管理模块用于管理用户名、用户密码和用户身份认证，所述 管理至少包括禁用特权用户、禁止创建用户、禁止非本地登录；所述磁盘管 理模块用于读写磁盘，至少包括禁止写受保护磁盘；所述文件管理模块用于 读写文件，至少包括禁止访问授权文件；所述进程管理模块用于启动、结束 进程，至少包括禁止杀死受保护进程；所述网络管理模块用于管理网络，至 少包括禁用网络接口査询、优化防火墙、优化动态主机分配协议。 在本发明所述的安全终端系统中，所述可信操作系统还包括 启动安全加固模块，用于在终端启动时对终端自身进行完整性检查； 内存检查模块，用于在终端运行期间对内存进行完整性检查。 本发明还提供一种终端安全方法，包括以下步骤
终端通过数据接口从存储有可信操作系统的移动存储装置中载入可信操 作系统并由所述可信操作系统控制该终端；
终端通过数据接口从存储有安全管理客户端模块的移动存储装置载入安 全管理客户端模块，以收集客户端身份信息以及收集和缓存运行事件。
在本发明所述的终端安全方法中，在所述可信操作系统控制终端之后还 包括在移动存储装置被移除后，所述终端重新启动并恢复最初运行状态。
在本发明所述的终端安全方法中，还包括与安全管理中心配合进行终 端监控。
在本发明所述的终端安全方法中，所述可信操作系统为包括用户管理模
块、磁盘管理模块、文件管理模块及进程管理模块和网络管理模的Linux操作 系统；所述用户管理模块用于管理用户名、用户密码和用户身份认证，所述 管理至少包括禁用特权用户、禁止创建用户、禁止非本地登录；所述磁盘管 理模块用于读写磁盘，至少包括禁止写受保护磁盘；所述文件管理模块用于 读写文件，至少包括禁止访问授权文件；所述进程管理模块用于启动、结束 进程，至少包括禁止杀死受保护进程；，所述网络管理模块用于管理网络，至 少包括禁用网络接口査询、优化防火墙、优化动态主机分配协议。在本发明所述的终端安全方法中，所述可信操作系统控制终端后还包括
在终端启动时，对终端自身进行完整性检査；
在终端运行期间，对内存进行完整性检查；
禁止对终端的本地磁盘的读写操作；
禁止强制终止关键进程。
本发明的安全终端系统及终端安全方法，通过载入移动存储装置上的可 信操作系统对终端进行控制，彻底屏蔽终端上原有的系统环境，构建一个纯 粹的安全终端环境，实现终端的安全要求和高性能。在拔掉移动磁盘后，终 端能自动恢复为原态，不会保留任何使用痕迹，无需事后恢复。


下面将结合附图及实施例对本发明作进一步说明，附图中
图1是本发明终端安全方法实施例的流程示意图2是安全管理客户端管理的示意图3是安全管理中心管理的示意图4是本发明安全终端系统实施例的结构示意图。
具体实施例方式
本发明提供了一种新的安全终端系统及终端安全方法，其核心思想是 构建一个安全加固的可信操作系统(例如可信Linux操作系统)，并维护一个 已通过验证的安全软件名单，上述可信操作系统、安全软件名单及安全软件 预先安装在移动存储装置(例如移动硬盘或闪存盘等)上，并用该移动存储 装置启动普通终端，使该终端运行移动存储装置上的可信操作系统，从而创 建出安全终端环境。该终端运行时，位于移动存储装置上的安全管理客户端 与位于组织和/或企业内部受保护网络中的安全管理中心交互，监控终端系统 上的用户行为。移动存储装置被拔掉后，上述终端将恢复为原态，且不会保 留任何运行移动存储装置的信息。以下就本发明方法与系统进行详细说明。
如图1所示，是本发明终端安全方法实施例的示意图。该方法包括以下步骤
步骤S11:终端正常运行(也可处于关闭状态)，其中上述终端可以是处 于组织和/或企业内部网络中的普通个人计算机，也可以是位于组织和/或企业 网络外部的普通个人计算机。
步骤S12:判断终端的数据接口中是否有移动存储装置插入，若有插入则 执行步骤S13，否则返回步骤Sll。该移动存储装置可以是移动硬盘或者闪存 盘等且该移动存储装置中具有可信操作系统。其中可信操作系统可以是安全
加固的Linux操作系统(例如以SE-Linux为基础的定制化Linux操作系统)。 其中所述的安全加固是指包括以下模块中的一个或多个
用户管理安全加固模块，主要用于用户身份认证机制加固，包括群组与 用户信息文件仅内核许可的进程可以访问；群组与用户仅内核许可的进程可 以维护；强制施行用户密码管理策略，强制要求密码长度、复杂程度、有效 期限和同 一密码重复时间界隔。
网络管理安全加固模块，仅允许内核方式执行网络配置与网络査询；强 制启用Linux防火墙服务，且初始配置只能访问安全中心服务和安全DHCP 服务；定制DHCP，在DHCP的协议包中增加身份信息(如磁盘序列号)，只 有定制DHCP请求失效时，才启用标准DHCP。
进程管理安全加固模块，仅允许内核许可的进程创建和/或终止进程。
文件管理安全加固模块，授权文件不允许非授权进程访问；伪文件系统 /proc目录不允许非授权进程访问；内核镜像采用CROM文件系统；仅指定文 件目录可写；记录所有针对文件创建、修改和删除调用；文件拷贝后自动加 密。
磁盘管理安全加固模块，支持关闭非移动磁盘。
启动安全加固模块，包括启动脚本更改为二进制、启动后自动进行自身 完整性检査、和用户登录SHELL加固，包括定制命令行用户SHELL，拒绝 运行未授权的程序和脚本；定制图形用户SHELL,不允许以root身份登录； 定制登录后的SHELL,不允许以目前常用的BSH/CSH/KSH等作为默认的 SHELL;不支持特权用户登录。审计安全加固模块，支持记录符合指定条件的系统调用、日志文件不允 许非授权进程访问。
设备驱动安全加固模块，必须支持USB外设，关闭所有易带来安全隐患 的驱动如蓝牙和红外设备驱动。
步骤S13:若终端的数据接口 (例如USB接口)有移动存储装置插入，
则该终端载入移动装置中的可信操作系统。
步骤S14:终端重新启动，移动存储装置中的可信操作系统控制终端运行。
例如终端重新启动，并使用上述可信操作系统运行，由此终端即转变为安全 终端。
步骤S15:终端运行软件程序之前，查询存储于移动存储装置中的合法终 端软件名单进行验证，并在验证通过时运行该软件程序，否则阻止软件程序 的运行。合法终端软件名单中包括多款经过测试验证是安全可靠的软件程序， 每一款软件程序构成合法终端软件名单中的一项记录，每一记录包括名称、 版本、特征码、补丁等信息，其中上述软件程序可以是办公软件、业务应用 软件和安全管理客户端软件等。
上述移动存储装置设置有电子锁，因此仅在特定设备上才能进行写入操 作，从而在移动存储装置插入普通终端后，其上的数据不能改变。可信操作 系统、合法终端软件名单在特定写入设备安装到移动磁盘装置。除了可信操 作系统和安全管理客户端软件外，其它软件可以选装，且只安装必须的软件。
在终端运行合法终端软件名单中的安全管理客户端软件时，该终端即成 为安全管理客户端，其与企业内部网络中的安全管理中心配合，完成终端监 控。具体包括
a、安全终端管理其为安全终端自身的安全管理，由一系列子过程组成。 核心是自身完整性检查；只有确认无误后，才与安全管理中心进行身份互 认证；在身份验证后，安全终端才能正式进入工作态；启动实时监控，上报 安全事件，并接收安全管理中心的控制指令，保证安全终端的用户行为合规 性。具体如图2所示，包括
自身完整性检查；自身完整性检査包括Linux操作系统完整性检査和已安装的各安全软件的完整性检查。至少采用2种HASH散列法验证完整性， 只有各检査项都通过时，安全终端才继续下一步，否则，自动退出。所有待 检查软件(包括操作系统)的HASH散列值都预装载在内核镜像文件中，该 文件不能被安全客户终端自身修改。
获取IP地址；启用已定制的DHCP协议，向预设的DHCP服务器请求IP 地址。DHCP服务器只为身份已注册的客户端分配IP地址，否则，直接丢弃 该请求。DHCP服务成功分配一个IP后，都向安全管理中心发送一安全事件， 汇报终端标志、IP地址和MAC地址等信息。此步骤在一定程度上减轻了 IP 欺骗。
节点与用户身份验证；安全终端上的安全管理客户端向已预设的安全管 理中心申请节点和用户身份验证。实现安全管理客户端和安全管理中心间节 点身份是互认证的安全管理中心验证安全管理客户端节点的身份，同时安 全管理客户端也验证安全管理中心的身份；节点间身份互验证成功后，才验 证当前客户端的用户身份。用户身份验证是单向验证。
启动安全监控安全管控客户端在安全终端进入工作态后，立即启动安 全监控，监管安全终端行为与资源。优选地，安全监控接收安全中心的控制， 随时更新各类规则库和/或执行指定操作。
运行日志监控；运行日志暴露了安全终端操作系统、业务应用的最近一 个时间段内的运转状况。依据预设的关联规则，对日志内容条目进行解析， 剥离出日志内容，并作为安全事件原始信息，提交安全事件处理。优选地， 基于预设的时间、日志条目关键域统计阈值，对日志内容条目进行统计，挖 掘出可疑信息，并作为安全事件的原始信息，提交给安全事件处理。
进程监控；跟踪进程的统计信息与关键进程清单中的明细，依据预设的 进程监控规则，收集与规则不匹配的进程信息，作为安全事件原始信息，提 交安全事件处理。
开放端口监控；跟踪安全终端上的开放端口，依据预设的端口监控规则， 收集与规则不匹配的端口信息，作为安全事件原始信息，提交安全事件处理。 活动外联监控跟踪安全终端上的活动网络连接，依据预设的连接监控接信息，作为安全事件原始信息，提交安全事 件处理。
URL (统一资源位置)监控；跟踪安全终端上的URL信息，依据预设的 URL监控规则， 一经发现非URL白名单内的URL时，立即作为安全事件原 始信息，提交安全事件处理；并关闭所有正运行的安全应用。
用户行为监控；记录安全终端上用户在安全终端上的操作流，依据预设 的操作监控规则，收集与规则匹配的操作链，作为安全事件原始信息，提交 安全事件处理。
P2P (个人到个人)通信监控；记录安全终端上P2P交互信息，基于预设 的P2P内容监控规则，发现与规则匹配的内容时，将P2P内容作为安全事件 原始信息，提交安全事件处理。
外发邮件监控；记录安全终端上外发邮件信息，基于预设的邮件监控规 则，发现与规则匹配的邮件时，将邮件内容和/或附件作为安全事件原始信息， 提交安全事件处理。
安全事件监控；收到安全事件原始信息后，本地缓存；并提交给安全管 理中心。优选地，对本地缓存的安全事件，基于时间、安全事件分类、CIA (机 密性完整性可用性)等属性进行统计分析，挖掘新安全事件；并将挖掘到事 件序列，提交给安全管理中心。
B、安全管理中心管理；安全管理中心作为安全终端上的安全管理客户的 指挥中心，其核心处理是基本信息管理，包括管理客户端身份信息与管理 各种监控规则；身份鉴别与鉴权管理，包括安全终端节点认证、用户身份认 证与鉴权；处理客户端的安全事件以及协同各类装置完成对安全客户端的安 全管控。具体如图3所示，包括
维护基本信息；基本信息包括安全终端节点信息、用户信息、各类匹配 规则、各类统计阈值、以及用户角色权限信息。终端节点信息包括节点编号、 特征码、证书信息等属性。用户信息包括用户编号、用户名、密码、紧急联 系方式等属性。匹配规则，依据其面向的目标对象不同而不同，规则分原子 规则和复合规则。原子规则由单条规则构成，如针对活动连接的规则，直接是"<10"即可。复杂规则至少由2条原子规则构成。各规则间可以是"和"，
"或"，"非"组成，并允许使用括号，将某些规则组合成一个类原子规则。
规则间的优先级定义如下"括号" > "非"> "和"> "或"。
所有原子规则，其内容可以是直接的逻辑表达式，也可以是正则表达式。 规则最终由安全管理客户端解释，安全管理中心不做任何解析，只保证语法 正确性。各类统计阈值是一种特殊的匹配规则，只由原子规则组成，且其内 容只能是逻辑表达式。用户角色权限由角色信息、权限信息、角色权限对应 关系以及用户角色对应关系组成。同时，不同的角色，对应了不同的匹配规 则模板和统计阈值模板，便于规则配置与同步。
身份鉴别管理；此步骤包括节点身份互认证和用户身份认证。安全管理
客户端与安全中心身份进行互认证，任何一方认证失败均视为节点身份认证 失败。安全管理中心依据本地的保留的基本信息对安全管理客户端、用户进 行身份验证。进一步地，如果安全终端不属于本地终端，则安全中心将认证 请求发送到安全终端的归属地(保留了安全终端信息的安全管理中心)，此时 安全中心等同认证中间代理。
用户鉴权管理；安全中心依据用户身份验证成功的身份信息，査找基本 信息中的用户角色权限信息，并依据附加的权限管理策略(如当前节点所属 地位位置、时间段不同而进一步关闭权限)，放开用户权限，并将权限集合提 供给安全管理客户端，同时通知协同装置，开放通信通路。
运行安全事件管理；安全管理中心收到各安全管理客户端上报的安全事 件后，依据安全事件的类属，査找具体的响应策略，并依据响应策略指示， 通知协同装置，对安全事件进行响应。响应策略包含了针对特定安全事件的 响应处理，包括事件类型、目标装置、操作类型、操作数据等信息。
协同管理；安全管理中心请求其它安全管理相关装置，如防火墙、路由 器、主机等， 一起联动，共同实现对安全终端的安全管控。协同管理内容由 具体指令组成，包括操作命令和操作数。由安全管理中心发出的指令可以是 具体的、目标装置可直接远行的指令序列；也可以是提示性指令，该指令由 相关装置的操作中心接收，并由其转换为最终操作指令。从终端的数据接口移除后，终端将重新启动，并 用其本地硬盘引导。被使用过的上述终端上，无任使用痕迹。
如图4所示，是本发明安全终端系统实施例的结构示意图。该系统包括 终端、通过数据接口连接到该终端的移动存储装置以及部署于组织或企业受
保护的主机上的安全管理中心模块48。该终端包括由移动存储装置载入的可 信操作系统模块43、办公应用模块44、业务专用模块45、磁盘写保护模块 46和安全管理客户端模块47。终端在从移动存储装置载入可信操作系统模块 43后关闭原有系统，并使用可信操作系统模块43控制该终端。上述的办公应 用模块44、业务专用模块45、磁盘写保护模块46为选用模块。
磁盘写保护模块46用于保护可信操作系统模块43、办公应用模块44、 业务专用模块45和安全管理客户端模块46不会被随便更改。该磁^:写保护 模块46提供了磁盘写保护功能，保证所述的受保护模块所在的移动存储装置 不会被改写。
可信操作系统模块43为办公应用模块44，业务专用模块45和安全管理 客户端模块46提供安全加固的操作系统平台。该操作系统模块43为终端提 供操作系统支持。
在本实施例中，可信操作系统模块43为安全加固操作系统(例如Lirmx)， 具体包括用户管理安全加固模块、网络管理安全加固模块、进程管理安全加 固模块、文件管理安全加固模块、磁盘管理安全加固模块、启动安全加固模 块、内存检查模块、审计安全加固模块和设备驱动安全加固模块中的一个或 多个。
此外，可信操作系统模块43为安全管理客户端模块47的事件池模块52 提供操作系统级别的运行日志，也接受安全管理客户端模块47的协同管理模 块55的协同控制命令，完成安全终端系统的操作系统级管控。
办公应用模块44由合法终端软件名单中的办公软件组成，为终端提供办 公支持。此外，此模块为事件池模块52提供应用运行日志。
业务专用模块45由合法终端软件名单中的业务软件组成，为终端提供业 务处理支持。此外，此模块为事件池52提供应用运行日志。安全管理客户端模块47为终端安全管理核心模块，为终端提供获得性安 全保障支持。具体包括身份管理模块51、事件池模块52、事件过滤模块53、 过滤规则模块54和协同管理模块55。
其中身份管理模块51用于与安全管理中心模块48配合，共同完成安全 终端节点互认证、用户身份认证与鉴权。
事件池模块52收集可信操作系统模块43的安全终端运行状况信息、日 志信息，以及办公应用模块44和业务专用模块45的日志信息，进行格式化 后提交事件过滤模块53。
事件过滤模块53收到原始事件后，遵循过滤规则模块54的规则信息， 对原始事件进行匹配，过滤出可疑事件，并将可疑事件规格化为安全事件， 提交给协同管理模块55。此外，此模块还对本地缓存的运行事件基于时间、 数量、机密性完整性可用性危害等属性内容进行挖掘，创建安全事件，提交 给协同管理模块55;将挖掘安全事件所依赖的运行事件序列格式化并提交给 协同管理模块55。
过滤规则模块54为事件过滤模块53提供规则信息，同时接收协同管理 模块55的控制，更新规则信息。
协同管理模块55 —方面接受移动安全终端系统上身份管理模块51和事 件过滤模块53的协同请求，并将请求信息组合成标准控制包，安全地提交到 安全管理中心模块的协同管理模块63;另一方面，接收安全管理中心模块的 协同管理模块63的协同请求，并将请求提交给可信操作系统模块43或过滤 规则模块54。
安全管理中心模块48为终端获得安全保障的安全管理中心，包括身份 与鉴权信息管理模块61、身份鉴别与鉴权模块62、协同管理模块63、规则与 响应策略管理模块64和安全事件处理模块65。
身份与鉴权信息管理模块61从控制台接收移动安全终端节点信息、用户 信息、角色权限信息等，为身份鉴别与鉴权模块B62提供标准支持。
身份鉴别与鉴权模块62用于处理安全管理客户端模块47的身份管理模 块51的节点、用户身份鉴别，并为当前用户分配权限；进一步地，此模块确
1认移动终端安全系统节点是非本地节点时，可以向该节点的归属安全管理中 心模块申请节点认证。此模块将身份认证结果、用户权限提交到协同管理模
块63，同时，直接将权限翻译成协同指令，提交给协同管理模块63。
协同管理模块63， 一方面将需要提交给安全管理客户端的协同请求或协 同处理结果提交到安全管理客户端模块47的协同管理模块55;另一方面将直 接的系统指令下发到正确的安全管控装置(如防火墙、路由器、主机等)。
规则与响应策略管理模块64从控制台接收规则信息、安全事件响应策略 信息，为安全事件处理模块65提供标准支持；同时接收安全事件处理模块65 上报的挖掘规则。进一步地，此模块在接收到控制台地规则信息、直接控制 信息后，将其转换为协同指示后，提交给协同管理模块63。
安全事件处理模块65接收到安全管理客户端模块47提交的安全事件后， 依据规则与响应策略管理模块64提供的响应策略，对安全事件进行处理。在 需要协同处理时，直接创建协同指令，并提交到协同管理模块63。进一步地， 此模块将基于安全事件的时间、空间、机密性完整性可用性危害等属性，挖 掘出新安全事件，并对新安全事件进行处理；同时，将安全事件序列格式化 为规则，提交给规则与响应策略管理模块64。
身份与鉴权信息管理模块61与规则与响应策略管理模块64接收控制台 控制；安全事件处理模块65也会依据响应策略，将安全事件转换为告警信息， 提交到控制台。协同管理模块63与协同管理模块55用于安全设备间协同交 互。
以上所述，仅为本发明较佳的具体实施方式
，但本发明的保护范围并不 局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可 轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明 的保护范围应该以权利要求的保护范围为准。
权利要求
1、一种安全终端系统，其特征在于，包括终端及通过数据接口连接到所述终端的移动存储装置，所述终端包括从所述移动存储装置载入的可信操作系统及安全管理客户端模块，所述可信操作系统模块，用于控制终端的运行的可信操作系统；所述安全管理客户端模块，用于收集客户端身份信息以及收集和缓存运行事件。
2、 根据权利要求1所述的安全终端系统，其特征在于，还包括位于企业 受保护的主机上的安全管理中心模块。
3、 根据权利要求1所述的安全终端系统，其特征在于，所述安全管理客 户端模块包括身份管理模块、事件池模块、事件过滤模块、过滤规则模块和 协同管理模块，其中身份管理模块用于与安全管理中心模块配合，共同完成 安全终端节点互认证、用户身份认证与鉴权；事件池模块用于收集可信操作 系统模块的安全终端运行状况信息、日志信息，并提交事件过滤模块；事件 过滤模块用于根据过滤规则模块的规则信息，对接收到的事件进行匹配，过 滤出可疑事件，并将可疑事件规格化为安全事件，提交给协同管理模块；过 滤规则模块用于为事件过滤模块提供规则信息，同时接收协同管理模块的控 制，更新规则信息；协同管理模块用于所述身份管理模块和事件过滤模块的 协同请求，并将请求信息提交到安全管理中心模块。
4、 根据权利要求1所述的安全终端系统，其特征在于，所述可信操作系 统为包括用户管理模块、磁盘管理模块、文件管理模块及进程管理模块和网 络管理模的Limix操作系统；所述用户管理模块用于管理用户名、用户密码和 用户身份认证，所述管理至少包括禁用特权用户、禁止创建用户、禁止非本 地登录；所述磁盘管理模块用于读写磁盘，至少包括禁止写受保护磁盘；所 述文件管理模块用于读写文件，至少包括禁止访问授权文件；所述进程管理 模块用于启动、结束进程，至少包括禁止杀死受保护进程；，所述网络管理模 块用于管理网络，至少包括禁用网络接口查询、优化防火墙、优化动态主机 分配协议。
5、 根据权利要求1所述的安全终端系统，其特征在于，所述可信操作系 统还包括启动安全加固模块，用于在终端启动时对终端自身进行完整性检査；内存检査模块，用于在终端运行期间对内存进行完整性检查。
6、 一种终端安全方法，其特征在于，包括以下步骤终端通过数据接口从存储有可信操作系统的移动存储装置中载入可信操作系统并由所述可信操作系统控制该终端；终端通过数据接口从存储有安全管理客户端模块的移动存储装置载入安 全管理客户端模块，以收集客户端身份信息以及收集和缓存运行事件。
7、 根据权利要求6所述的终端安全方法，其特征在于，在所述可信操作系统控制终端之后还包括在移动存储装置被移除后，所述终端重新启动并恢复最初运行状态。
8、 根据权利要求6所述的终端安全方法，其特征在于，还包括与安全管理中心配合进行终端监控。
9、 根据权利要求6所述的终端安全方法，其特征在于，所述可信操作系统为包括用户管理模块、磁盘管理模块、文件管理模块及进程管理模块和网络管理模的Linux操作系统；所述用户管理模块用于管理用户名、用户密码和用户身份认证，所述管理至少包括禁用特权用户、禁止创建用户、禁止非本地登录；所述磁盘管理模块用于读写磁盘，至少包括禁止写受保护磁盘；所 述文件管理模块用于读写文件，至少包括禁止访问授权文件；所述进程管理 模块用于启动、结束进程，至少包括禁止杀死受保护进程；，所述网络管理模 块用于管理网络，至少包括禁用网络接口查询、优化防火墙、优化动态主机 分配协议。
10、 根据权利要求9所述的终端安全方法，其特征在于，所述可信操作 系统控制终端后还包括在终端启动时，对终端自身进行完整性检查； 在终端运行期间，对内存进行完整性检査； 禁止对终端的本地磁盘的读写操作； 禁止强制终止关键进程。
全文摘要
本发明涉及一种安全终端系统，包括终端及通过数据接口连接到所述终端的移动存储装置，所述终端包括从所述移动存储装置载入的可信操作系统及安全管理客户端模块，所述可信操作系统模块，用于控制终端的运行的可信操作系统；所述安全管理客户端模块，用于收集客户端身份信息以及收集和缓存运行事件。本发明还提供一种对应的终端安全方法。本发明通过载入移动存储装置上的可信操作系统对终端进行控制，彻底屏蔽终端上原有的系统环境，构建一个纯粹的安全终端环境，实现终端的安全要求和高性能。
文档编号G06F21/00GK101520831SQ20091010616
公开日2009年9月2日 申请日期2009年3月27日 优先权日2009年3月27日
发明者威 唐, 戚建淮, 邹跃军 申请人:深圳市永达电子有限公司