一种操作系统安全加固装置及运行方法
【专利摘要】本发明提供了一种操作系统安全加固装置及运行方法,其中,装置包括:文件访问规则链表,用于存储服务器操作系统内配置文件与用户之间相互对应的访问规则;文件防护模块,用于截获目标用户针对目标配置文件的业务请求,当目标用户和目标文件的访问规则为允许访问时,向检测模块发送检测指令;在接收到指示信息后,将业务请求转发给处理装置,使得处理装置对目标配置文件进行相应的业务处理;检测模块,用于存储每一个配置文件分别对应的第一特征值;计算目标配置文件的第二特征值,当目标配置文件的第一特征值和第二特征值相同时,向文件防护模块发送表征目标配置文件完整性未受到破坏的指示信息。本发明的技术方案,可提高服务器的安全性。
【专利说明】
一种操作系统安全加固装置及运行方法
技术领域
[0001]本发明涉及计算机技术领域,特别涉及一种操作系统安全加固装置及运行方法。
【背景技术】
[0002]随着信息技术的发展,完成数据处理业务及数据存储业务的服务器的安全性已日趋重要。
[0003]目前,为了防止入侵者入侵服务器以窃取或破坏服务器内的业务数据,通常利用利用服务器组建一个受保护的网络,以防火墙的形式在服务器操作系统内安装相应的安全加固软件,只有经过授权允许的应用协议才能通过防火墙,可禁止如NFS (Network FileSystem,网络文件系统)协议进出受保护的网络、以及拒绝IP(Internet Protocol,网络之间互联的协议)选项中的源路由攻击和ICMP(Internet Control Message Protocol,控制报文协议)重定向路径攻击等多种攻击类型的报文,在受到攻击时可及时通知防火墙管理员。
[0004]但是,在上述技术方案中,由于服务器操作系统的用户具备较高的管理权限,一旦入侵者窃取到用户帐号及密码,即可以用户身份获取服务器操作系统内配置文件的使用权利,通过恶意修改或删除服务器操作系统的配置文件等技术手段威胁服务器安全。
【发明内容】
[0005]本发明实施例提供了一种操作系统安全加固装置及运行方法,可提高服务器安全性。
[0006]第一方面,本发明提供了一种操作系统安全加固装置,包括:
[0007]文件访问规则链表,用于存储服务器操作系统内至少一个配置文件与至少一个用户之间相互对应的访问规则;
[0008]文件防护模块,用于截获目标用户针对目标配置文件的业务请求,查询所述文件访问规则链表,当所述文件访问规则链表中对应所述目标用户和所述目标文件的访问规则为允许访问时,向检测模块发送对应目标配置文件的检测指令;在接收到检测模块发送的指示信息后,将截获的业务请求转发给外部处理装置,使得外部处理装置根据所述业务请求对目标配置文件进行相应的业务处理;
[0009]检测模块,用于存储每一个所述配置文件分别对应的第一特征值;在接收到对应目标配置文件的检测指令后,计算目标配置文件的第二特征值,当目标配置文件的第一特征值和第二特征值完全相同时,向所述文件防护模块发送表征目标配置文件完整性未受到破坏的指示信息。
[0010]进一步的,
[0011 ]所述业务请求对应的业务处理包括:删除目标配置文件或修改目标配置文件;
[0012]和/或,
[0013]所述特征值,包括:哈希值。
[0014]进一步的,还包括:应用程序规则链表和应用程序防护模块;
[0015]所述应用程序规则链表,用于存储至少一个应用程序的执行规则;
[0016]所述应用程序防护模块,用于截获针对目标应用程序的执行请求,查询所述应用程序规则链表,当所述应用程序规则链表中对应所述目标应用程序的执行规则为允许执行时,向检测模块发送对应所述目标应用程序的检测指令;在接收到检测模块发送的可执行指令后,将截获的执行请求转发给外部处理装置,使得外部处理装置根据所述执行请求完成相应的业务处理;
[0017]所述检测模块,进一步用于存储每一个所述应用程序分别对应的第三特征值;在接收到对应所述目标应用程序的检测指令后,计算所述目标应用程序的第四特征值,当所述目标应用程序的第三特征值和第四特征值完全相同时,向所述应用程序防护模块发送表征目标应用程序完整性未受到破坏的可执行指令。
[0018]进一步的,还包括:授权模块和用户防护模块;
[0019]所述授权模块,用于向至少一个用户授权用户信息,其中,所述用户信息包括用户名称、密码参数和通用串行总线USB认证参数;以及,授权每一个用户分别对应的如下保护选项中的一种或多种:
[0020]新增用户信息、删除用户信息和修改用户信息;
[0021]所述用户防护模块,用于截获对应目标用户的登录请求,检测所述登录请求携带的用户信息是否为所述授权模块授权的用户信息,如果是,则将所述登录请求转发给外部处理装置,以使得外部处理装置允许所述目标用户登录;截获针对目标用户的操作指令,检测所述目标用户对应的至少一个保护选项中是否存在对应所述操作指令的保护选项,如果不存在,则将截获的操作指令转发给外部处理装置,使得外部处理装置根据所述操作指令完成相应的业务处理。
[0022]进一步的,还包括:进程防护链表和进程防护模块;
[0023]所述进程防护链表,用于存储至少一个业务进程分别对应的标识信息;
[0024]所述进程防护模块,用于截获针对目标业务进程的终止执行指令,查询所述进程防护链表,当所述进程防护链表中存在对应所述目标业务进程的标识信息时,将所述终止执行指令转发给外部处理装置,以使得外部处理装置终止所述目标业务进程。
[0025]第二方面,本发明提供了一种如上述第一方面中任一所述操作系统安全加固装置的运行方法,包括:
[0026]S0:预先设置文件访问规则链表,利用文件访问规则链表存储至少一个配置文件与至少一个用户之间相互对应的访问规则;
[0027]S1:利用检测模块存储每一个所述配置文件分别对应的第一特征值;
[0028]S2:利用文件防护模块截获目标用户针对目标配置文件的业务请求,查询所述文件访问规则链表,当所述文件访问规则链表中对应所述目标用户和所述目标文件的访问规则为允许访问时,向检测模块发送对应目标配置文件的检测指令;
[0029]S3:利用检测模块在接收到对应目标配置文件的检测指令后,计算目标配置文件的第二特征值,当目标配置文件的第一特征值和第二特征值完全相同时,向所述文件防护模块发送表征目标配置文件完整性未受到破坏的指示信息;
[0030]S4:利用文件防护模块在接收到检测模块发送的指示信息后,将截获的业务请求转发给外部处理装置,使得外部处理装置根据所述业务请求对目标配置文件进行相应的业务处理。
[0031]进一步的,
[0032]所述业务请求对应的业务处理包括:删除目标配置文件或修改目标配置文件;
[0033]和/或,
[0034]所述特征值,包括:哈希值。
[0035]进一步的,还包括:
[0036]预先设置应用程序规则链表,利用应用程序规则链表存储至少一个应用程序的执行规则;以及,利用检测模块存储每一个所述应用程序分别对应的第三特征值;
[0037]利用应用程序防护模块截获针对目标应用程序的执行请求,查询所述应用程序规则链表,当所述应用程序规则链表中对应所述目标应用程序的执行规则为允许执行时,向检测模块发送对应所述目标应用程序的检测指令;
[0038]利用检测模块在接收到对应所述目标应用程序的检测指令后,计算所述目标应用程序的第四特征值,当所述目标应用程序的第三特征值和第四特征值完全相同时,向所述应用程序防护模块发送表征目标应用程序完整性未受到破坏的可执行指令;
[0039]利用应用程序防护模块在接收到检测模块发送的可执行指令后,将截获的执行请求转发给外部处理装置,使得外部处理装置根据所述执行请求完成相应的业务处理。
[0040]进一步的,还包括:
[0041]利用授权模块向至少一个用户授权用户信息,其中,所述用户信息包括用户名称、密码参数和通用串行总线USB认证参数;以及,授权每一个用户分别对应的如下保护选项中的一种或多种:
[0042]新增用户信息、删除用户信息和修改用户信息;
[0043]利用用户防护模块截获对应目标用户的登录请求,检测所述登录请求携带的用户信息是否为所述授权模块授权的用户信息,如果是,则将所述登录请求转发给外部处理装置,以使得外部处理装置允许所述目标用户登录;截获针对目标用户的操作指令,检测所述目标用户对应的至少一个保护选项中是否存在对应所述操作指令的保护选项,如果不存在,则将截获的操作指令转发给外部处理装置,使得外部处理装置根据所述操作指令完成相应的业务处理。
[0044]进一步的,还包括:
[0045]预先设置进程防护链表,利用进程防护链表存储至少一个业务进程分别对应的标识信息;
[0046]利用进程防护模块截获针对目标业务进程的终止执行指令,查询所述进程防护链表,当所述进程防护链表中存在对应所述目标业务进程的标识信息时,将所述终止执行指令转发给外部处理装置,以使得外部处理装置终止所述目标业务进程。
[0047]本发明实施例提供了一种操作系统安全加固装置及运行方法,利用文件访问规则链表存储服务器操作系统内至少一个配置文件与至少一个用户之间相互对应的访问规则,以及利用文件防护模块截获目标用户针对目标配置文件的业务请求,实现对配置文件的被访问权限进行限定;而且,在确定目标用户具备访问目标配置文件的前提下,还需要确保目标配置文件的完整性未受到破坏,才能将截获的业务请求转发给处理装置,以使得处理装置根据业务请求对目标配置文件进行相应的业务处理;可见,通过本发明的技术方案,可避免入侵者以目标用户的身份恶意访问服务器操作系统的配置文件以及恶意访问已发生篡改的配置文件,提高服务器的安全性。
【附图说明】
[0048]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0049]图1是本发明一实施例提供的一种操作系统安全加固装置的结构图;
[0050]图2是本发明一实施例提供的另一种操作系统安全加固装置的结构图;
[0051]图3是本发明一实施例提供的一种操作系统安全加固装置的运行方法流程图。
【具体实施方式】
[0052]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0053]如图1所示,本发明实施例提供了一种操作系统安全加固装置,包括:
[0054]文件访问规则链表101,用于存储服务器操作系统内至少一个配置文件与至少一个用户之间相互对应的访问规则;
[0055]文件防护模块102,用于截获目标用户针对目标配置文件的业务请求,查询所述文件访问规则链表101,当所述文件访问规则链表101中对应所述目标用户和所述目标文件的访问规则为允许访问时,向检测模块103发送对应目标配置文件的检测指令;在接收到检测模块103发送的指示信息后,将截获的业务请求转发给外部处理装置,使得外部处理装置根据所述业务请求对目标配置文件进行相应的业务处理;
[0056]检测模块103,用于存储每一个所述配置文件分别对应的第一特征值;在接收到对应目标配置文件的检测指令后,计算目标配置文件的第二特征值,当目标配置文件的第一特征值和第二特征值完全相同时,向所述文件防护模块102发送表征目标配置文件完整性未受到破坏的指示信息。
[0057]本发明一实施例中,利用文件访问规则链表存储服务器操作系统内至少一个配置文件与至少一个用户之间相互对应的访问规则,以及利用文件防护模块截获目标用户针对目标配置文件的业务请求,实现对配置文件的被访问权限进行限定;而且,在确定目标用户具备访问目标配置文件的前提下,还需要确保目标配置文件的完整性未受到破坏,才能将截获的业务请求转发给处理装置,以使得处理装置根据业务请求对目标配置文件进行相应的业务处理;可见,通过本发明的技术方案,可避免入侵者以目标用户的身份恶意访问服务器操作系统的配置文件以及恶意访问已发生篡改的配置文件,提高服务器的安全性。
[0058]具体地,本发明一个优选实施例中,所述业务请求对应的业务处理包括:删除目标配置文件或修改目标配置文件;
[0059]和/或,
[0060]所述特征值,包括:哈希值。
[0061]本发明一实施例中,可以通过在服务器操作系统的内核层重建服务器操作系统的权限访问模型,即在操作系统内核层增加本发明实施例所述的操作系统安全加固装置,在操作系统初始化的过程中,向文件访问规则链表动态添加或删除每一个配置文件与至少一个用户之间的访问规则,具体地,访问规则包括每一个配置文件分别对应的至少一个用户,以及每一个配置文件是否允许对应的至少一个用户访问;如此,实现对服务器操作系统配置文件的被访问权限进行限定,同时确保被访问的配置完整性未受到破坏,防止入侵者恶意调用配置文件及恶意调用服务器内完整性已发生破坏的配置文件以威胁服务器安全。
[0062]进一步的,为了防止入侵者通过加载恶意应用程序及加载服务器内完整性已受到破坏的应用程序,以窃取或破坏服务器内的业务数据,如图2所示,本发明一个优选实施例中,还包括:应用程序规则链表201和应用程序防护模块202;
[0063]所述应用程序规则链表201,用于存储至少一个应用程序的执行规则;
[0064]所述应用程序防护模块202,用于截获针对目标应用程序的执行请求,查询所述应用程序规则链表201,当所述应用程序规则链表201中对应所述目标应用程序的执行规则为允许执行时,向检测模块103发送对应所述目标应用程序的检测指令;在接收到检测模块103发送的可执行指令后,将截获的执行请求转发给外部处理装置,使得外部处理装置根据所述执行请求完成相应的业务处理;
[0065]所述检测模块103,进一步用于存储每一个所述应用程序分别对应的第三特征值;在接收到对应所述目标应用程序的检测指令后,计算所述目标应用程序的第四特征值,当所述目标应用程序的第三特征值和第四特征值完全相同时,向所述应用程序防护模块202发送表征目标应用程序完整性未受到破坏的可执行指令。
[0066]进一步的,为了提高用户帐号的安全性,如图2所示,本发明一个优选实施例中,还包括:授权模块203和用户防护模块204;
[0067]所述授权模块203,用于向至少一个用户授权用户信息,其中,所述用户信息包括用户名称、密码参数和USB(Universal Serial Bus,通用串行总线)认证参数;以及,授权每一个用户分别对应的如下保护选项中的一种或多种:
[0068]新增用户信息、删除用户信息和修改用户信息;
[0069]所述用户防护模块204,用于截获对应目标用户的登录请求,检测所述登录请求携带的用户信息是否为所述授权模块授权的用户信息,如果是,则将所述登录请求转发给外部处理装置,以使得外部处理装置允许所述目标用户登录;截获针对目标用户的操作指令,检测所述目标用户对应的至少一个保护选项中是否存在对应所述操作指令的保护选项,如果不存在,则将截获的操作指令转发给外部处理装置,使得外部处理装置根据所述操作指令完成相应的业务处理。
[ΟΟΤ?] 本发明一实施例中,通过设置密码参数加附加参数(比如,USB认证参数)或双重密码参数的形式,对登录用户进行多重认证,防止入侵者在窃取到用户密码后直接登录服务器操作系统;而且,还可以对不同用户设置不同的保护选项,防止用户信息被恶意修改。
[0071]进一步的,为了防止正在运行的业务进程被恶意终止,如图2所示,本发明一个优选实施例中,还包括:进程防护链表206和进程防护模块205 ;
[0072]所述进程防护链表206,用于存储至少一个业务进程分别对应的标识信息;
[0073]所述进程防护模块205,用于截获针对目标业务进程的终止执行指令,查询所述进程防护链表206,当所述进程防护链表206中存在对应所述目标业务进程的标识信息时,将所述终止执行指令转发给外部处理装置,以使得外部处理装置终止所述目标业务进程。
[0074]本发明一实施例中,业务进程的标识信息可以包括当前业务进程的进程号。
[0075]需要说明的是,本领域相关技术人员应当理解的是,用户防护模块针对用户登录服务器操作系统的时间进行监控和管理,而进程防护模块、文件防护模块及应用程序防护模块均需要在确保目标用户已登录当前服务器操作系统的前提下,才能进行相应的业务,因此,本发明一实施例中,如图2所示,用户防护模块应分别连接进程防护模块、文件防护模块、应用程序防护模块及授权模块。
[0076]如图3所示,本发明实施例提供了一种如上述实施例中任一所述的操作系统安全加固装置的运行方法,该方法可以包括如下步骤:
[0077]SO:预先设置文件访问规则链表,利用文件访问规则链表存储至少一个配置文件与至少一个用户之间相互对应的访问规则;
[0078]S1:利用检测模块存储每一个所述配置文件分别对应的第一特征值;
[0079]S2:利用文件防护模块截获目标用户针对目标配置文件的业务请求,查询所述文件访问规则链表,当所述文件访问规则链表中对应所述目标用户和所述目标文件的访问规则为允许访问时,向检测模块发送对应目标配置文件的检测指令;
[0080]S3:利用检测模块在接收到对应目标配置文件的检测指令后,计算目标配置文件的第二特征值,当目标配置文件的第一特征值和第二特征值完全相同时,向所述文件防护模块发送表征目标配置文件完整性未受到破坏的指示信息;
[0081]S4:利用文件防护模块在接收到检测模块发送的指示信息后,将截获的业务请求转发给外部处理装置,使得外部处理装置根据所述业务请求对目标配置文件进行相应的业务处理。
[0082]本发明一实施例中,可以通过在服务器操作系统的内核层重建服务器操作系统的权限访问模型,即在操作系统内核层增加本发明实施例所述的操作系统安全加固装置,在操作系统初始化的过程中,向文件访问规则链表动态添加或删除每一个配置文件与至少一个用户之间的访问规则,具体地,访问规则包括每一个配置文件分别对应的至少一个用户,以及每一个配置文件是否允许对应的至少一个用户访问;如此,实现对服务器操作系统配置文件的被访问权限进行限定,同时确保被访问的配置完整性未受到破坏,防止入侵者恶意调用配置文件及恶意调用服务器内完整性已发生破坏的配置文件以威胁服务器安全。
[0083]进一步的,为了防止入侵者通过加载恶意应用程序或恶意加载服务器内完整性已受到破坏的应用程序,进而窃取或破坏服务器内的业务数据,本发明一个优选实施例中,还包括:预先设置应用程序规则链表,利用应用程序规则链表存储至少一个应用程序的执行规则;以及,利用检测模块存储每一个所述应用程序分别对应的第三特征值;
[0084]利用应用程序防护模块截获针对目标应用程序的执行请求,查询所述应用程序规则链表,当所述应用程序规则链表中对应所述目标应用程序的执行规则为允许执行时,向检测模块发送对应所述目标应用程序的检测指令;
[0085]利用检测模块在接收到对应所述目标应用程序的检测指令后,计算所述目标应用程序的第四特征值,当所述目标应用程序的第三特征值和第四特征值完全相同时,向所述应用程序防护模块发送表征目标应用程序完整性未受到破坏的可执行指令;
[0086]利用应用程序防护模块在接收到检测模块发送的可执行指令后,将截获的执行请求转发给外部处理装置,使得外部处理装置根据所述执行请求完成相应的业务处理。
[0087]进一步的,为了提高用户帐号的安全性,本发明一个优选实施例中,还包括:
[0088]利用授权模块向至少一个用户授权用户信息,其中,所述用户信息包括用户名称、密码参数和USB认证参数;以及,授权每一个用户分别对应的如下保护选项中的一种或多种:
[0089]新增用户信息、删除用户信息和修改用户信息;
[0090]利用用户防护模块截获对应目标用户的登录请求,检测所述登录请求携带的用户信息是否为所述授权模块授权的用户信息,如果是,则将所述登录请求转发给外部处理装置,以使得外部处理装置允许所述目标用户登录;截获针对目标用户的操作指令,检测所述目标用户对应的至少一个保护选项中是否存在对应所述操作指令的保护选项,如果不存在,则将截获的操作指令转发给外部处理装置,使得外部处理装置根据所述操作指令完成相应的业务处理。
[0091]进一步的,为了防止正在运行的业务进程被恶意终止,本发明一个优选实施例中,还包括:
[0092]预先设置进程防护链表,利用进程防护链表存储至少一个业务进程分别对应的标识信息;
[0093]利用进程防护模块截获针对目标业务进程的终止执行指令,查询所述进程防护链表,当所述进程防护链表中存在对应所述目标业务进程的标识信息时,将所述终止执行指令转发给外部处理装置,以使得外部处理装置终止所述目标业务进程。
[0094]需要说明的是,本发明实施例中所述的特征值可以包括哈希值,业务请求对应的业务操作包括但不限于删除目标配置文件、修改目标配置文件。
[0095]本发明各个实施例至少具有如下有益效果:
[0096]1、利用文件访问规则链表存储服务器操作系统内至少一个配置文件与至少一个用户之间相互对应的访问规则,以及利用文件防护模块截获目标用户针对目标配置文件的业务请求,实现对配置文件的被访问权限进行限定;而且,在确定目标用户具备访问目标配置文件的前提下,还需要确保目标配置文件的完整性未受到破坏,才能将截获的业务请求转发给处理装置,以使得处理装置根据业务请求对目标配置文件进行相应的业务处理;可见,通过本发明的技术方案,可避免入侵者以目标用户的身份恶意访问服务器操作系统的配置文件以及恶意访问已发生篡改的配置文件,提高服务器的安全性。
[0097]2、利用应用程序规则链表和应用程序防护模块,限定应用程序的执行权限,防止入侵者在服务器中加载恶意应用程序,同时,对具备可执行权限的应用程序再次进行完整性验证,进一步防止入侵者恶意执行服务器中完整性受到破坏的应用程序。
[0098]3、利用授权模块和用户防护模块,授权用户多重密码认证参数或密码认证参数加USB认证参数等附加参数,对用户的登录信息进行多重验证,防止用户窃取到用户登录密码后直接登录服务器操作系统;相应的,授权每一个用户分别对应的至少一个保护选项,避免用户信息被入侵者恶意修改。
[0099]4、利用进程防护链表和进程防护模块,针对需要保护的业务进程进行强制访问控制,进程防护链表中被保护的业务进程不会被入侵者恶意终止。
[0100]需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃.....”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0101]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
[0102]最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
【主权项】
1.一种操作系统安全加固装置,其特征在于,包括: 文件访问规则链表,用于存储服务器操作系统内至少一个配置文件与至少一个用户之间相互对应的访问规则; 文件防护模块,用于截获目标用户针对目标配置文件的业务请求,查询所述文件访问规则链表,当所述文件访问规则链表中对应所述目标用户和所述目标文件的访问规则为允许访问时,向检测模块发送对应目标配置文件的检测指令;在接收到检测模块发送的指示信息后,将截获的业务请求转发给外部处理装置,使得外部处理装置根据所述业务请求对目标配置文件进行相应的业务处理; 检测模块,用于存储每一个所述配置文件分别对应的第一特征值;在接收到对应目标配置文件的检测指令后,计算目标配置文件的第二特征值,当目标配置文件的第一特征值和第二特征值完全相同时,向所述文件防护模块发送表征目标配置文件完整性未受到破坏的指示信息。2.根据权利要求1所述的操作系统安全加固装置,其特征在于, 所述业务请求对应的业务处理包括:删除目标配置文件或修改目标配置文件; 和/或, 所述特征值,包括:哈希值。3.根据权利要求1所述的操作系统安全加固装置,其特征在于,还包括:应用程序规则链表和应用程序防护模块; 所述应用程序规则链表,用于存储至少一个应用程序的执行规则; 所述应用程序防护模块,用于截获针对目标应用程序的执行请求,查询所述应用程序规则链表,当所述应用程序规则链表中对应所述目标应用程序的执行规则为允许执行时,向检测模块发送对应所述目标应用程序的检测指令;在接收到检测模块发送的可执行指令后,将截获的执行请求转发给外部处理装置,使得外部处理装置根据所述执行请求完成相应的业务处理; 所述检测模块,进一步用于存储每一个所述应用程序分别对应的第三特征值;在接收到对应所述目标应用程序的检测指令后,计算所述目标应用程序的第四特征值,当所述目标应用程序的第三特征值和第四特征值完全相同时,向所述应用程序防护模块发送表征目标应用程序完整性未受到破坏的可执行指令。4.根据权利要求1所述的操作系统安全加固装置,其特征在于,还包括:授权模块和用户防护模块; 所述授权模块,用于向至少一个用户授权用户信息,其中,所述用户信息包括用户名称、密码参数和通用串行总线USB认证参数;以及,授权每一个用户分别对应的如下保护选项中的一种或多种: 新增用户信息、删除用户信息和修改用户信息; 所述用户防护模块,用于截获对应目标用户的登录请求,检测所述登录请求携带的用户信息是否为所述授权模块授权的用户信息,如果是,则将所述登录请求转发给外部处理装置,以使得外部处理装置允许所述目标用户登录;截获针对目标用户的操作指令,检测所述目标用户对应的至少一个保护选项中是否存在对应所述操作指令的保护选项,如果不存在,则将截获的操作指令转发给外部处理装置,使得外部处理装置根据所述操作指令完成相应的业务处理。5.根据权利要求1至4中任一所述的操作系统安全加固装置,其特征在于,还包括:进程防护链表和进程防护模块; 所述进程防护链表,用于存储至少一个业务进程分别对应的标识信息; 所述进程防护模块,用于截获针对目标业务进程的终止执行指令,查询所述进程防护链表,当所述进程防护链表中存在对应所述目标业务进程的标识信息时,将所述终止执行指令转发给外部处理装置,以使得外部处理装置终止所述目标业务进程。6.—种如上述权利要求1至5中任一所述操作系统安全加固装置的运行方法,其特征在于,包括: 预先设置文件访问规则链表,利用文件访问规则链表存储至少一个配置文件与至少一个用户之间相互对应的访问规则; 利用检测模块存储每一个所述配置文件分别对应的第一特征值; 利用文件防护模块截获目标用户针对目标配置文件的业务请求,查询所述文件访问规则链表,当所述文件访问规则链表中对应所述目标用户和所述目标文件的访问规则为允许访问时,向检测模块发送对应目标配置文件的检测指令; 利用检测模块在接收到对应目标配置文件的检测指令后,计算目标配置文件的第二特征值,当目标配置文件的第一特征值和第二特征值完全相同时,向所述文件防护模块发送表征目标配置文件完整性未受到破坏的指示信息; 利用文件防护模块在接收到检测模块发送的指示信息后,将截获的业务请求转发给外部处理装置,使得外部处理装置根据所述业务请求对目标配置文件进行相应的业务处理。7.根据权利要求6所述的方法,其特征在于, 所述业务请求对应的业务处理包括:删除目标配置文件或修改目标配置文件; 和/或, 所述特征值,包括:哈希值。8.根据权利要求6所述的方法,其特征在于,还包括: 预先设置应用程序规则链表,利用应用程序规则链表存储至少一个应用程序的执行规贝1J;以及,利用检测模块存储每一个所述应用程序分别对应的第三特征值; 利用应用程序防护模块截获针对目标应用程序的执行请求,查询所述应用程序规则链表,当所述应用程序规则链表中对应所述目标应用程序的执行规则为允许执行时,向检测模块发送对应所述目标应用程序的检测指令; 利用检测模块在接收到对应所述目标应用程序的检测指令后,计算所述目标应用程序的第四特征值,当所述目标应用程序的第三特征值和第四特征值完全相同时,向所述应用程序防护模块发送表征目标应用程序完整性未受到破坏的可执行指令; 利用应用程序防护模块在接收到检测模块发送的可执行指令后,将截获的执行请求转发给外部处理装置,使得外部处理装置根据所述执行请求完成相应的业务处理。9.根据权利要求6所述的方法,其特征在于,还包括: 利用授权模块向至少一个用户授权用户信息,其中,所述用户信息包括用户名称、密码参数和通用串行总线USB认证参数;以及,授权每一个用户分别对应的如下保护选项中的一种或多种: 新增用户信息、删除用户信息和修改用户信息; 利用用户防护模块截获对应目标用户的登录请求,检测所述登录请求携带的用户信息是否为所述授权模块授权的用户信息,如果是,则将所述登录请求转发给外部处理装置,以使得外部处理装置允许所述目标用户登录;截获针对目标用户的操作指令,检测所述目标用户对应的至少一个保护选项中是否存在对应所述操作指令的保护选项,如果不存在,则将截获的操作指令转发给外部处理装置,使得外部处理装置根据所述操作指令完成相应的业务处理。10.根据权利要求6至9中任一所述的方法,其特征在于,还包括: 预先设置进程防护链表,利用进程防护链表存储至少一个业务进程分别对应的标识信息; 利用进程防护模块截获针对目标业务进程的终止执行指令,查询所述进程防护链表,当所述进程防护链表中存在对应所述目标业务进程的标识信息时,将所述终止执行指令转发给外部处理装置,以使得外部处理装置终止所述目标业务进程。
【文档编号】G06F21/62GK105912945SQ201610204386
【公开日】2016年8月31日
【申请日】2016年4月5日
【发明人】邢希双
【申请人】浪潮电子信息产业股份有限公司