1.一种基于文件访问控制和进程访问控制的服务器加固方法,利用服务器加固装置对服务器进行加固,使系统成为安装有安全内核的系统,其特征在于,所述的服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块;双重身份认证模块,用户采用USB Key和密码双重身份证方式,只有插入USB Key输入正确的口令才能登录,否则无法登录;USB外设管制模块,对USB存储设备进行禁用,未经授权禁止使用,而对非USB存储设备不影响其正常的使用;注册表访问控制模块,对注册表访问进行监控,对于未经授权禁止修改;网络控制模块,对于未经授权开放的端口禁止外部网络访问,未经授权的进程禁止使用网络功能,对于已经授权的进程允许外对访问指定IP或端口;进程保护机制模块,对于进程采用白名单机制,对进程进行指纹识别,指纹识别方法包MD5值和微软数字签名,符合白名单的进程能正常启动和使用,不在其中的禁止运行;敏感数据的访问控制模块,对于敏感的数据采用windows文件过滤驱动技术,对于未经授权的进程禁止访问,已经授权进程能根据敏感的数据要求授予读、写、删除功能;系统自身防护模块,采用进程指纹识别、进程防杀和A与B进程方式,保护系统自身进程不被异常终止、伪造。
2.根据权利要求1所述的基于文件访问控制和进程访问控制的服务器加固方法,其特征在于,所述的系统为Windows Server系列、AIX、Solaris、HP-UNIX、Redhat、Linux操作系统中的任意一种。
3.根据权利要求1所述的基于文件访问控制和进程访问控制的服务器加固方法,其特征在于,其实现流程如下:
(1)首先建立合法进程的数字签名和MD5值池并保存到数据库中,收集数字签名和MD5值的方法包括静态方法和动态方法:静态方法是通过收集工具选取指定的程序,读取微软的数字签名和对进程的二进制文件进行MD5运算;动态的方法是本安装有安全内核的系统的控制中心下发策略,通过本系统后台服务向本系统的终端发起读取数字签名和MD5值的命令,终端执行完成命令后回传给后台服务,后台服务接收并保存到数据库中。
(2)建立用户权限组和用户帐户,并将用户加入到指定的权限组中,用户能归属不同的组,实现一个用户能兼任多种角色;初始化用户的身份证的密码和登录认证USB Key;用户第一次登录本系统时必须修改密码,之后必须插入USB Key和输入用户和密码才能正确登录本系统,未登录本系统将电脑进行锁屏处理。
(3)进程控制的流程,包括:
31)运行控制,首先通过进程保护机制模块监控到进程的创建动作,读取进程文件的数字签名和对文件内容进行MD5运算,查找本系统控制中心配置的策略来匹配是否为合法进程,如果是合法进程则允许此进程运行,如果不是合法进程则禁止此进程运行,并生成相应的日志上传到本系统的后台保存;
32)注册表访问控制,首先通过注册表访问控制模块监控到访问注册表的读取或者写入行为,查找本系统控制中心配置的策略来匹配是否允许访问,如果允许访问则放行,如果不允许访问则返回失败,并生成相应的日志上传到本系统的后台服务保存到数据库中;
33)网络访问控制,首先通过网络控制模块监控进程的网络的访问,对TCP/IP包进行拦截,查找本系统控制中心配置的策略来匹配是否允许访问的协议、端口、IP地址,如果是允许访问的则返回成功,如果是不允许访问的则返回失败,并生成相应的日志上传到本系统的后台服务保存到数据库中。
(4)文件访问控制流程
敏感数据的访问控制模块,采用的是基于Windows MiniFilter框架的文件过滤驱动和Linux文件过滤驱动来实现对指定的敏感数据目录下所有的文件或者敏感数据文件的新建、读取、修改、覆盖、删除操作:
41)首先注册IRP包处理回调例程接口,对IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION的IRP包进行过滤,就能实现对敏感数据的访问控制;新建、读取、修改、覆盖操作的过滤是在IRP_MJ_CREATE例程中实现,对于删除文件的过滤是在IRP_MJ_SET_INFORMATION例程实现;
42)设置新建、覆盖、读取、修改、删除标志为TRUE;
43)新建,查找本系统控制中心配置的策略,对文件或目录进行匹配,如果匹配成功,设置新建标志为FALSE,并对文件或目录的打开标志进行判断,如果包含有FILE_CREATE标志,则设置新建标志为TRUE;否则判断是否包含有FILE_OPEN_IF或FILE_OVERWRITE_IF标志,如果包含再继续判断该文件或目录是否存在,如果该文件或目录不存在,则设置新建标志为TRUE;
44)覆盖,查找本系统控制中心配置的策略,对文件进行匹配,如果匹配成功,设置覆盖标志为FALSE,并对文件或目录的打开标志进行判断,如果包含有FILE_SUPERSEDE或者FILE_OVERWRITE标志,则设置覆盖标志为TRUE,否则判断是否包含有FILE_OPEN_IF或FILE_OVERWRITE_IF标志,如果包含再继续判断该文件是否存在,如果该文件存在,则设置覆盖标志为TRUE;
45)读取,查找本系统控制中心配置的策略,对文件进行匹配,如果匹配成功,设置读取标志为FALSE,并对该文件的读写标志进行判断,如果包含FILE_READ_DATA、FILE_READ_ATTRIBUTES、FILE_READ_EA中的任意一个标志,设置读取标志为TRUE;
46)修改,查找系统控制中心配置的策略,对文件进行匹配,如果匹配成功,设置修改标志为FALSE,并对文件的读写标志进行判断,如果包含FILE_WRITE_DATA、FILE_APPEND_DATA、FILE_WRITE_EA中的任意一个标志,设置修改标志为TRUE;
47)删除,查找本系统控制中心配置的策略,对文件进行匹配,如果匹配成功,设置删除标志为FALSE,判断查询文件的信息标志是否为FileDispositionInformation,如果是,设置删除标志为TRUE;
48)如果新建、覆盖、读取、修改、删除标志都为TRUE,那么文件操作直接放行,否则返回失败,并设置错误标志为拒绝访问。
4.根据权利要求1所述的基于文件访问控制和进程访问控制的服务器加固方法,其特征在于,安装了服务器加固装置之后的系统,由软件和硬件两部分组成,软件部分包括服务器操作系统安全增强软件、服务器加固系统客户端、服务器加固系统控制中心,硬件部分包括用户身份认证USB Key;其中,服务器加固系统控制中心是核心,各服务器在服务器加固系统控制中心的支撑下,接受安全管理员的统一管理,以实现各服务器的运行状态始终可控、可管;硬件模块USB Key,作为系统的信任根以及用户身份的唯一标识。
5.根据权利要求4所述的基于文件访问控制和进程访问控制的服务器加固方法,其特征在于,所述的服务器加固系统客户端软件安装于每台受保护的服务器操作系统内核层,执行安全策略。