一种信创终端/服务器安全加固框架的制作方法

本发明涉及信创终端/服务器安全加固软件开发的框架设计领域，具体是涉及一种信创终端/服务器安全加固框架。

背景技术：

1、

2、目前，信创终端/服务器的系统级软硬件国产化替代正在全国范围内有序进行。信创终端/服务器往往集中存储着重要的数据信息，运行着关键业务软件，所以数据安全和稳定性是至关重要的。信创终端/服务器面临着cpu架构和操作系统多样化的问题，而信创终端/服务器本身也面临着非授权访问、远程提权攻击、使用非授权设备/软件进行摆渡攻击等安全问题。

3、传统的包含登陆模块安全加固、网络访问控制、软件使用管理、外设使用授权等功能的终端权限控制类产品，绝大部分基于x86架构+windows操作系统配套开发。由于windos与国产化操作系统的架构与系统是完全不同的两类产品，相关的管控类软件产品向信创终端移植等同于全新的开发。目前，国产化信创终端/服务器终端安全管控面临着没有可选方案的困境。

4、本发明通过信创终端/服务器身份识别与校验模块、信创终端/服务器使用权识别与校验模块、信创终端/服务器办公场所识别与校验模块、信创终端/服务器外设识别与校验模块、信创终端/服务器软件识别与校验模块、信创终端/服务器网络管控模块的研发与迭加共用，通过技术手段实现了信创终端/服务器“专机、专地、专人、专网、专用”，降低信创终端/服务器遭受远程网络攻击、社交工程攻击、丢失被盗破解攻击、外设摆渡攻击等可能，阻绝非授权访问、远程提权攻击、使用非授权设备/软件进行摆渡攻击等危害信创终端/服务器安全的行为，加固接触与非接触条件下的信创终端/服务器安全。

技术实现思路

1、为解决相关问题，本发明提供了一种终端安全加固的整体技术框架。

2、本发明是通过以下技术方案来实现的：一种信创终端/服务器安全加固框架，是由信创终端/服务器身份识别与校验模块（1）、信创终端/服务器使用权识别与校验模块（2）、信创终端/服务器办公场所识别与校验模块（3）、信创终端/服务器外设识别与校验模块（4）、信创终端/服务器软件识别与校验模块（5）、信创终端/服务器网络管控模块（6）组成的，各模块可独立、组合、完全使用（7），如完全使用，可实现信创终端/服务器“专机、专地、专人、专网、专用”的效果，其特征在于：前述的信创终端/服务器身份识别与校验模块（1）通过基于标准linux的pam登陆身份验证模块改造和基于信创终端/服务器的系统登陆模块进行适配性技术改造，实现了只能使用ukey来登陆信创终端/服务器；前述的信创终端/服务器使用权识别与校验模块（2）通过用户与ukey的绑定和终端使用权的管理与分发，实现了特定人（ukey）才能登陆使用特定的信创终端/服务器；前述的信创终端/服务器办公场所识别与校验模块（3）通过场所码的统一编制管理与校验，实现了信创终端/服务器系统及各应用只能在指定的场所开机使用；前述的信创终端/服务器外设识别与校验模块（4）通过连接到信创终端/服务器的外设信息采集与管理和使用权限的分发，实现了信创终端/服务器只能使用指定的外设；前述的信创终端/服务器软件识别与校验模块（5）通过拟使用于信创终端/服务器的软件/应用信息的采集与管理和使用权限的分发，实现了信创终端/服务器只能使用指定的软件；前述的信创终端/服务器网络管控模块（6）通过网络访问策略拟制、管理与分发，实现了信创终端只能访问特定网络，或者特定网址才能访问信创服务器。

3、前述的信创终端/服务器身份识别与校验模块（1），其特征在于：所述的基于标准linux的pam登陆身份验证模块改造，改造了基于标准linux终端与服务器的pam认证模块，使之由原来的双要素，即由原来的账号+密码实现身份校验并登陆，转变为账号与ukey绑定，并发展成为账号、密码、ukey、pin码四个要素来实现身份校验并登陆；所述的基于信创终端/服务器的系统登陆模块（1）进行适配性技术改造，将基于标准linux的pam登陆身份验证模块改造的成果，迁移到信创终端/服务器，包括：基于arm64、mips64、loongarch64等cpu架构的国产化终端/服务器的操作系统，如麒麟或者统信uos，使之同样实现能基于账号、密码、ukey、pin码四个要素来进行身份校验并登陆。

4、前述的信创终端/服务器使用权识别与校验模块（2），其特征在于：所述的用户与ukey的绑定，是由组织采集、管理、汇总用户信息，并将用户信息通过系统或者工具烧录到ukey中；所述的终端使用权的管理，是由组织通过系统或者工具，拟定特定信创终端/服务器可由特定的用户（即特定的ukey）才有权登陆使用；所述的终端使用权的分发，是指终端使用权的管理者通过系统或者工具，将使用权策略信息传输到信创终端，终端在进行pam认证的时候，会基于使用权进行检验，只有经过授权的ukey才可能通过校验；通过使用权识别与校验模块，实现了只接受使用授权的ukey登陆使用指定的信创终端/服务器；信创终端/服务器使用权识别与校验模块（2）适配于基于arm64、mips64、loongarch64等cpu架构的国产化终端/服务器的操作系统，如麒麟或者统信uos。

5、前述的信创终端/服务器场所识别与校验模块（3），其特征在于：所述的场所码的统一编制管理与校验，是由组织对场所（含办公与非办公场所）进行统一编码与信息管理保存，信创终端在登陆使用前进行场所码校验，只有校验通过才能正常登陆使用信创终端；流程包括统一编码、编码保存、编码分发、编码校验等；信创终端/服务器场所识别与校验模块（3）适配于基于arm64、mips64、loongarch64等cpu架构的国产化终端/服务器的操作系统，如麒麟或者统信uos。

6、前述的信创终端/服务器外设识别与校验模块（4），其特征在于：所述的连接到信创终端/服务器的外设信息采集，是指外设连接到信创终端/服务器后，通过手工/自动化等方式，采集信创终端/服务器上的操作系统所识别的外设的设备信息，包括名称、制造厂家、vender id、设备 id等外设信息；所述的外设信息管理，是对采集到的外设信息通过接口或者手工编制保存等方式进行传输、存储与管理；所述的使用权限的分发，是指基于外设信息管理成果，对使用权限进行限定，即指定特定信创终端/服务器可使用特定的外设，实现了特定的信创终端只能使用特定的外设；信创终端/服务器外设识别与校验模块（4）适配于基于arm64、mips64、loongarch64等cpu架构的国产化终端/服务器的操作系统，如麒麟或者统信uos。

7、前述的信创终端/服务器软件识别与校验模块（5），其特征在于：所述的拟使用于信创终端/服务器的软件/应用信息的采集，是指通过手工/自动化等方式，采集拟安装到信创终端/服务器的各应用/软件，包括应用/软件名称、版本、开发者、主应用位置、主应用大小、主应用md5值等应用软件信息；所述的应用/软件信息管理，是对采集到的应用/软件信息通过接口或者手工编制保存等方式进行传输、存储与管理；所述的使用权限的分发，是指基于应用/软件信息管理成果，对使用权限进行限定，即指定特定信创终端/服务器可使用特定的应用/软件，实现了特定的信创终端只能使用特定的应用/软件；信创终端/服务器软件识别与校验模块（5）适配于基于arm64、mips64、loongarch64等cpu架构的国产化终端/服务器的操作系统，如麒麟或者统信uos。

8、前述的信创终端/服务器网络管控模块（6），其特征在于：所述的网络访问策略拟制，是指基于白名单机制/黑名单机制/灰名单机制对信创终端可访问、信创终端不可访问、待定访问权的目标ip地址，以及可访问信创服务器、不可访问信创服务器、待定访问权的源ip地址进行规划与编制，形成特定信创终端/服务器的白/黑/灰名单；所述的网络访问策略管理，是对网络访问策略拟制后的白/黑/灰名单进行传输、存储与管理；所述的网络访问策略分发，是针对信创终端/服务器基于白/黑/灰名单进行分发授权，实现白名单内的ip清单（含ip地址/地址列表/地址段/端口/端口列表）可以访问，黑名单内的ip清单（参白名单的ip清单）不可访问，未在白/黑名单内的ip清单或者在灰名单内的ip清单，则需要权限管理方临时授权才可访问；信创终端/服务器网络管控模块（6）适配于基于arm64、mips64、loongarch64等cpu架构的国产化终端/服务器的操作系统，如麒麟或者统信uos。

9、前述的各模块可独立、组合、完全使用（7），其特征在于：所述的独立使用，指单独使用某一个模块，实现对信创终端/服务器的单个领域的安全加强；所述的组合使用，指使用数个模块，实现对信创终端/服务器的多个领域的安全加强；所述的完全使用，指综合使用上述所有模块，实现信创终端/服务器“专机、专地、专人、专网、专用”的安全要求。

10、与传统终端权限控制类产品相比，本发明的有益效果是：

11、权限控制类产品向信创终端适配，已适配的cpu架构为arm64,mips64,loongarch64,已适配的操作系统包括麒麟操作系统和统信uos操作系统，解决了信创终端权限控制类产品的有无问题；

12、实现信创终端身份校验的安全升级，将信创终端原账号+密码的两维认证升级到账号+密码+ukey+pin码的四维认证，由于远程攻击无ukey，从而拦截了所有的远程非授权登陆校验尝试；

13、实现信创终端与使用者的一一绑定，信创终端身份校验的安全升级的基础上，加入使用者权限校验，保证仅通过授权使用信创终端的用户才能使用本人的ukey登陆使用信创终端，非授权用户即使有ukey也不可登陆使用信创终端；

14、实现信创终端与使用场所的绑定，即信创终端在指定场所以外的地方登陆不了，使用不了，即使信创终端指定场所外携带过程中丢失、失管，也不能登陆使用；

15、实现指定外设才能在信创终端使用，降低了通过外设对信创终端的摆渡攻击的可能性；

16、实现信创终端只能访问指定的网络，降低了用户识操作导致信创终端上的数据流失等可能性；

17、实现信创终端只能使用指定的软件，降低了用户使用非授权软件导致系统安全问题发生的可能性，提高了信创终端的运行效率；

18、迭加使用后，实现了信创终端“专机、专地、专人、专网、专用”，确保信创终端的系统“控得住、管得了、用途明确、安全可靠”。