一种基于文件访问控制和进程访问控制的服务器加固方法与流程

本发明涉及Windows操作系统文件过滤驱动技术、进程访问控制技术，具体是一种基于文件访问控制和进程访问控制的服务器加固方法。

背景技术：

随着国民经济和社会事业的发展，网络信息技术在人们的日常工作和生活中发挥着越来越重要的作用，人们在积极参与国民经济和社会信息化进程的同时，也在充分享受信息技术为我们工作和生活所带来的便利。各种网站所面临的Web应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等，极大地困扰着用户，给组织的信息网络和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵和攻击、保证Web应用系统的安全和正常运行成为目前所面临的一个重要问题。

传统系统层安全解决方案，虽然产品众多，但安全事件依然频发，究其原因是其只能解决系统中某“点”的安全(如HIDS、HIPS、安全审计、文档安全、杀毒软件等产品的相应作用)，即使联合使用多种产品，也只能分别解决相应几“点”的安全。因设计体系上的问题，即使“点”的安全解决再多也很难连成“面”，所以无法从根本上解决系统层的安全问题。

技术实现要素：

本发明的目的在于提供一种基于文件访问控制和进程访问控制的服务器加固方法，解决了传统安全软件被动防御现状，使服务器具备主动防御的能力，为服务器提供全面的安全保护。

为实现上述目的，本发明提供如下技术方案：

一种基于文件访问控制和进程访问控制的服务器加固方法，利用服务器加固装置对服务器进行加固，使系统成为安装有安全内核的系统，所述的服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块；双重身份认证模块，用户采用USB Key和密码双重身份证方式，只有插入USB Key输入正确的口令才能登录，否则无法登录；USB外设管制模块，对USB存储设备进行禁用，未经授权禁止使用，而对非USB存储设备不影响其正常的使用；注册表访问控制模块，对注册表访问进行监控，对于未经授权禁止修改；网络控制模块，对于未经授权开放的端口禁止外部网络访问，未经授权的进程禁止使用网络功能，对于已经授权的进程允许外对访问指定IP或端口；进程保护机制模块，对于进程采用白名单机制，对进程进行指纹识别，指纹识别方法包MD5值和微软数字签名，符合白名单的进程能正常启动和使用，不在其中的禁止运行；敏感数据的访问控制模块，对于敏感的数据采用windows文件过滤驱动技术，对于未经授权的进程禁止访问，已经授权进程能根据敏感的数据要求授予读、写、删除功能；系统自身防护模块，采用进程指纹识别、进程防杀和A与B进程方式，保护系统自身进程不被异常终止、伪造。

作为本发明进一步的方案：所述的系统为Windows Server系列、AIX、Solaris、HP-UNIX、Redhat、Linux操作系统中的任意一种。

作为本发明进一步的方案：其实现流程如下：

（1）首先建立合法进程的数字签名和MD5值池并保存到数据库中，收集数字签名和MD5值的方法包括静态方法和动态方法：静态方法是通过收集工具选取指定的程序，读取微软的数字签名和对进程的二进制文件进行MD5运算；动态的方法是本安装有安全内核的系统的控制中心下发策略，通过本系统后台服务向本系统的终端发起读取数字签名和MD5值的命令，终端执行完成命令后回传给后台服务，后台服务接收并保存到数据库中。

（2）建立用户权限组和用户帐户，并将用户加入到指定的权限组中，用户能归属不同的组，实现一个用户能兼任多种角色；初始化用户的身份证的密码和登录认证USB Key；用户第一次登录本系统时必须修改密码，之后必须插入USB Key和输入用户和密码才能正确登录本系统，未登录本系统将电脑进行锁屏处理。

（3）进程控制的流程，包括：

31）运行控制，首先通过进程保护机制模块监控到进程的创建动作，读取进程文件的数字签名和对文件内容进行MD5运算，查找本系统控制中心配置的策略来匹配是否为合法进程，如果是合法进程则允许此进程运行，如果不是合法进程则禁止此进程运行，并生成相应的日志上传到本系统的后台保存；

32）注册表访问控制，首先通过注册表访问控制模块监控到访问注册表的读取或者写入行为，查找本系统控制中心配置的策略来匹配是否允许访问，如果允许访问则放行，如果不允许访问则返回失败，并生成相应的日志上传到本系统的后台服务保存到数据库中；

33）网络访问控制，首先通过网络控制模块监控进程的网络的访问，对TCP/IP包进行拦截，查找本系统控制中心配置的策略来匹配是否允许访问的协议、端口、IP地址，如果是允许访问的则返回成功，如果是不允许访问的则返回失败，并生成相应的日志上传到本系统的后台服务保存到数据库中。

（4）文件访问控制流程

敏感数据的访问控制模块，采用的是基于Windows MiniFilter框架的文件过滤驱动和Linux文件过滤驱动来实现对指定的敏感数据目录下所有的文件或者敏感数据文件的新建、读取、修改、覆盖、删除操作：

41）首先注册IRP包处理回调例程接口，对IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION的IRP包进行过滤，就能实现对敏感数据的访问控制；新建、读取、修改、覆盖操作的过滤是在IRP_MJ_CREATE例程中实现，对于删除文件的过滤是在IRP_MJ_SET_INFORMATION例程实现；

42）设置新建、覆盖、读取、修改、删除标志为TRUE；

43）新建，查找本系统控制中心配置的策略，对文件或目录进行匹配，如果匹配成功，设置新建标志为FALSE，并对文件或目录的打开标志进行判断，如果包含有FILE_CREATE标志，则设置新建标志为TRUE；否则判断是否包含有FILE_OPEN_IF或FILE_OVERWRITE_IF标志，如果包含再继续判断该文件或目录是否存在，如果该文件或目录不存在，则设置新建标志为TRUE；

44）覆盖，查找本系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置覆盖标志为FALSE，并对文件或目录的打开标志进行判断，如果包含有FILE_SUPERSEDE或者FILE_OVERWRITE标志，则设置覆盖标志为TRUE，否则判断是否包含有FILE_OPEN_IF或FILE_OVERWRITE_IF标志，如果包含再继续判断该文件是否存在，如果该文件存在，则设置覆盖标志为TRUE；

45）读取，查找本系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置读取标志为FALSE，并对该文件的读写标志进行判断，如果包含FILE_READ_DATA、FILE_READ_ATTRIBUTES、FILE_READ_EA中的任意一个标志，设置读取标志为TRUE；

46）修改，查找系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置修改标志为FALSE，并对文件的读写标志进行判断，如果包含FILE_WRITE_DATA、FILE_APPEND_DATA、FILE_WRITE_EA中的任意一个标志，设置修改标志为TRUE；

47）删除，查找本系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置删除标志为FALSE，判断查询文件的信息标志是否为FileDispositionInformation，如果是，设置删除标志为TRUE；

48）如果新建、覆盖、读取、修改、删除标志都为TRUE，那么文件操作直接放行，否则返回失败，并设置错误标志为拒绝访问。

作为本发明进一步的方案：安装了服务器加固装置之后的系统，由软件和硬件两部分组成，软件部分包括服务器操作系统安全增强软件、服务器加固系统客户端、服务器加固系统控制中心，硬件部分包括用户身份认证USB Key；其中，服务器加固系统控制中心是核心，各服务器在服务器加固系统控制中心的支撑下，接受安全管理员的统一管理，以实现各服务器的运行状态始终可控、可管；硬件模块USB Key，作为系统的信任根以及用户身份的唯一标识。

作为本发明进一步的方案：所述的服务器加固系统客户端软件安装于每台受保护的服务器操作系统内核层，执行安全策略。

与现有技术相比，本发明的有益效果是：

本发明采用的服务器加固装置对服务器加固，服务器加固是针对最核心部分——操作系统进行安全加固，强制USB Key身份认证登录、强制访问控制、USB外设管制、注册表访问控制、网络模块管制、进程保护机制等安全功能对服务器系统进行深度防御，免疫了针对操作系统的木马、蠕虫等病毒破坏及黑客攻击，有效地保护了整体信息系统的安全。并且该服务器加固装置拥有很好的兼容性，能稳定地运行于各类操作系统，包括：Windows Server系列、AIX、Solaris、HP-UNIX、Redhat、Linux等主流的操作系统，不会影响到客户正常的业务应用，具有很强的实用性。

本系统内核代码都是采用的在内核运行，因此在效率、性能与安全性方面都较高，用户不会感觉到任何性能方面的问题，不管是网络恶意攻击、木马运行、重要数据的恶意盗取和破坏都能得到非常大的安全性能上的提升。本发明解决了传统安全软件被动防御现状，使服务器具备主动防御的能力，为服务器提供全面的安全保护。

附图说明

图1是对敏感数据的访问控制的过程对比示意图；

图2是网络访问控制的过程对比示意图；

图3是利用本方法的服务器加固系统的部署图。

具体实施方式

下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

本发明实施例中，一种基于文件访问控制和进程访问控制的服务器加固方法，利用服务器加固装置对服务器进行加固，使系统成为安装有安全内核的系统，所述的服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块，各模块的功能如下：双重身份认证模块，用户采用USB Key和密码双重身份证方式，只有插入USB Key输入正确的口令才可登录，否则无法登录；USB外设管制模块，对USB存储设备进行禁用，未经授权禁止使用，而对非USB存储设备不影响其正常的使用；注册表访问控制模块，对注册表访问进行监控，对于未经授权禁止修改；网络控制模块，对于未经授权开放的端口禁止外部网络访问，未经授权的进程禁止使用网络功能，对于已经授权的进程允许外对访问指定IP或端口；进程保护机制模块，对于进程采用白名单机制，对进程进行指纹识别，指纹识别方法包MD5值和微软数字签名，符合白名单的进程可以正常启动和使用，不在其中的禁止运行；敏感数据的访问控制模块，对于敏感的数据采用windows文件过滤驱动技术，对于未经授权的进程禁止访问，已经授权进程可以根据敏感的数据要求授予读、写、删除等功能；系统自身防护模块，采用进程指纹识别、进程防杀和A与B进程方式，保护系统自身进程不被异常终止、伪造。

具体地，上述服务器加固方法中的服务器加固实现流程如下：

（1）首先建立合法进程的数字签名和MD5值（进程指纹）池并保存到数据库中，收集数字签名和MD5值的方法可以通过静态和动态方法：静态方法是通过收集工具选取指定的程序，读取微软的数字签名和对进程的二进制文件进行MD5运算；动态的方法是本安装有安全内核的系统的控制中心下发策略，通过本系统后台服务向本系统的终端发起读取数字签名和MD5值的命令，终端执行完成命令后回传给后台服务，后台服务接收并保存到数据库中。

（2）建立用户权限组和用户帐户，并将用户加入到指定的权限组中，用户可以归属不同的组，实现一个用户能兼任多种角色；初始化用户的身份证的密码和登录认证USB Key；用户第一次登录本系统时必须修改密码，之后必须插入USB Key和输入用户和密码才能正确登录本系统，未登录本系统将电脑进行锁屏处理。

（3）进程控制的流程，包括：

31）运行控制，首先通过进程保护机制模块监控到进程的创建动作，读取进程文件的数字签名和对文件内容进行MD5运算，查找本系统控制中心配置的策略来匹配是否为合法进程，如果是合法进程则允许此进程运行，如果不是合法进程则禁止此进程运行，并生成相应的日志上传到本系统的后台保存；

32）注册表访问控制，首先通过注册表访问控制模块监控到访问注册表的读取或者写入行为，查找本系统控制中心配置的策略来匹配是否允许访问，如果允许访问则放行，如果不允许访问则返回失败，并生成相应的日志上传到本系统的后台服务保存到数据库中；

33）网络访问控制，首先通过网络控制模块监控进程的网络的访问，对TCP/IP包进行拦截，查找本系统控制中心配置的策略来匹配是否允许访问的协议、端口、IP地址，如果是允许访问的则返回成功，如果是不允许访问的则返回失败，并生成相应的日志上传到本系统的后台服务保存到数据库中。

（4）文件访问控制流程

敏感数据的访问控制模块，采用的是基于Windows MiniFilter框架的文件过滤驱动和Linux文件过滤驱动来实现对指定的敏感数据目录下所有的文件或者敏感数据文件的新建、读取、修改、覆盖、删除操作：

41）首先注册IRP包处理回调例程接口，对IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION的IRP包进行过滤，就可以实现对敏感数据的访问控制；新建、读取、修改、覆盖操作的过滤是在IRP_MJ_CREATE例程中实现，对于删除文件的过滤是在IRP_MJ_SET_INFORMATION例程实现；

42）设置新建、覆盖、读取、修改、删除标志为TRUE；

43）新建，查找本系统控制中心配置的策略，对文件或目录进行匹配，如果匹配成功，设置新建标志为FALSE，并对文件或目录的打开标志进行判断，如果包含有FILE_CREATE标志，则设置新建标志为TRUE；否则判断是否包含有FILE_OPEN_IF或FILE_OVERWRITE_IF标志，如果包含再继续判断该文件或目录是否存在，如果该文件或目录不存在，则设置新建标志为TRUE；

44）覆盖，查找本系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置覆盖标志为FALSE，并对文件或目录的打开标志进行判断，如果包含有FILE_SUPERSEDE或者FILE_OVERWRITE标志，则设置覆盖标志为TRUE，否则判断是否包含有FILE_OPEN_IF或FILE_OVERWRITE_IF标志，如果包含再继续判断该文件是否存在，如果该文件存在，则设置覆盖标志为TRUE；

45）读取，查找本系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置读取标志为FALSE，并对该文件的读写标志进行判断，如果包含FILE_READ_DATA、FILE_READ_ATTRIBUTES、FILE_READ_EA中的任意一个标志，设置读取标志为TRUE；

46）修改，查找系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置修改标志为FALSE，并对文件的读写标志进行判断，如果包含FILE_WRITE_DATA、FILE_APPEND_DATA、FILE_WRITE_EA中的任意一个标志，设置修改标志为TRUE；

47）删除，查找本系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置删除标志为FALSE，判断查询文件的信息标志是否为FileDispositionInformation，如果是，设置删除标志为TRUE；

48）如果新建、覆盖、读取、修改、删除标志都为TRUE，那么文件操作直接放行，否则返回失败，并设置错误标志为拒绝访问。

请参阅图1-2，有无服务器加固装置的系统对敏感数据、网络的访问控制流程存在大的差异。其中，对敏感数据的访问控制流程如下：一般情况下，黑客可以通过获得系统管理员权限，进入文件系统；然而当安装了服务器加固装置后，系统就应用了基于数字签名的安全内核，如此，黑客即使获得了系统管理员权限，也不能够访问文件系统；具体的对敏感数据的访问控制流程如图1所示。类似地，网络访问控制流程如下：一般情况下，黑客获得了系统管理员权限，可以往外发送数据包；然而当安装了服务器加固装置后，系统就应用了基于数字签名的安全内核，如此，黑客即使获得了系统管理员权限，也不能往外发送数据包。具体的网络访问控制流程如图2所示。

请参阅图3，安装了服务器加固装置之后的系统，由软件和硬件两部分组成，软件部分包括服务器操作系统安全增强软件、服务器加固系统客户端、服务器加固系统控制中心，硬件部分包括用户身份认证USB Key。其中服务器加固系统控制中心是核心，各服务器在服务器加固系统控制中心的支撑下，接受安全管理员的统一管理，以实现各服务器的运行状态始终可控、可管。服务器加固系统客户端软件安装于每台受保护的服务器操作系统内核层，执行安全策略。硬件模块USB Key，作为系统的信任根以及用户身份的唯一标识；一般情况下，服务器加固系统部署如图3所示。

利用本发明方法，根据网络的规模和复杂程度，可以提供符合用户实际情况的服务器安全加固方案。针对中小型网络，提供精细管理的服务器加固解决方案，通过基于不同类型服务器的策略管理，制定不同的规则和管理方式，实现面向不同用户、实现不同策略的智能化、精细化的服务器安全加固。针对结构复杂的大型网络，可以提供集中分级管理的服务器解决方案，统一的服务器加固系统控制中心对各个区域的服务器（如安全管理区、DMZ区、服务器区及办公区）进行统一管理，上级服务器加固系统控制中心可以将最新的升级补丁、规则模板文件、配置文件等统一发送到下级服务器加固系统控制中心，保持整个系统的服务器安全策略的完整统一性。

本发明采用的服务器加固装置对服务器加固，服务器加固是针对最核心部分——操作系统进行安全加固，强制USB Key身份认证登录、强制访问控制、USB外设管制、注册表访问控制、网络模块管制、进程保护机制等安全功能对服务器系统进行深度防御，免疫了针对操作系统的木马、蠕虫等病毒破坏及黑客攻击，有效地保护了整体信息系统的安全。并且该服务器加固装置拥有很好的兼容性，能稳定地运行于各类操作系统，包括：Windows Server系列、AIX、Solaris、HP-UNIX、Redhat、Linux等主流的操作系统，不会影响到客户正常的业务应用，具有很强的实用性。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。