專利名稱:面向終端計算機的策略安全在線檢查系統(tǒng)的制作方法
技術(shù)領域:
本發(fā)明涉及一種面向終端計算機的策略、安全的管理和控制�,屬于計算機安全檢查技術(shù)領域。
背景技術(shù):
在大規(guī)模的網(wǎng)絡系統(tǒng)中通常包括大量不同的網(wǎng)絡設備���,例如網(wǎng)關��、路由器和向用戶提供服務����、運行各種應用程序的服務器����、客戶機。設備�、服務、應用程序����、服務器���、客戶機以及用戶,甚至他們之間的關系都是需要管理的對象���。在這種大規(guī)模網(wǎng)絡系統(tǒng)的內(nèi)部高度復雜�����,導致管理異常困難��,管理周期冗長����,而且隨著系統(tǒng)規(guī)模的擴大����,管理的開銷也成指數(shù)規(guī)律増加。 網(wǎng)絡安全策略的管理是任何網(wǎng)絡系統(tǒng)管理必不可少的一部分����,網(wǎng)絡安全配置的不當��,一方面可能使一些用戶有了過高的權(quán)限���,而使另ー些需要高權(quán)限的用戶卻得不到相應的權(quán)限��,造成權(quán)限配置不當�����;另一方面還可能給網(wǎng)絡帶來非常大的安全隱患��,降低整個網(wǎng)絡的安全防御能力�����。目前通用的操作是利用計算機提供的各種功能去設置和獲取這些策略����,但是這些功能較分散,而且設置的不夠充分����,達不到用戶需要的很多重要的功能。對于已有的功能也需要用戶需要一定的計算機專業(yè)技術(shù)知識才能夠使用�,且設置繁瑣,不利于用戶的操作�。
發(fā)明內(nèi)容
本發(fā)明的技術(shù)解決問題克服現(xiàn)有技術(shù)的不足,提供一種面向終端計算機的策略安全在線檢查系統(tǒng)�����,該系統(tǒng)能夠?qū)崿F(xiàn)一臺中心計算機對網(wǎng)絡內(nèi)的所有終端計算機進行集中在線檢查,檢查效率高�。本發(fā)明的技術(shù)解決方案面向終端計算機的策略安全在線檢查系統(tǒng),在一臺中心計算機上在線對所有終端計算機進行集中檢查���,所有的計算機之間通過網(wǎng)絡連接����;所述的系統(tǒng)包括在線檢查工具���、封裝模塊和中心計算機�����,封裝模塊將在線檢查工具打包成CAB的形式并存儲在中心計算機上���,中心計算機將CAB嵌入IE瀏覽器,終端計算機通過IE瀏覽器從中心計算機上下載該CAB并自動安裝�;所述在線檢查工具包括策略定義模塊、統(tǒng)ー數(shù)據(jù)接ロ模塊�����、查詢分析模塊�、策略內(nèi)比模塊和顯示模塊;用戶通過中心計算機上的IE瀏覽器輸入對每臺終端計算機期望檢查的策略類型���、策略內(nèi)容��、策略生效時間以及策略生效的有效條件��,并發(fā)起策略安全在線檢查指令�����,每臺終端計算機上的CAB根據(jù)接收的指令啟動檢查�,具體如下統(tǒng)ー數(shù)據(jù)接ロ模塊通過IE瀏覽器接收策略安全在線檢查指令�,啟動查詢分析模塊;并從IE瀏覽器上接收對應的策略類型�、策略內(nèi)容、策略生效時間以及策略生效的有效條件并發(fā)送至查詢分析模塊和策略定義模塊�����;將策略映射表��、策略內(nèi)比模塊發(fā)送的內(nèi)比結(jié)果連同對應的唯一標識值一起回傳至中心計算機���;由中心計算機對回傳結(jié)果進行匯總顯示�����;
查詢分析模塊啟動策略定義模塊�����,同時根據(jù)策略安全在線檢查指令從本地計算機上抓取策略映射表中策略類型對應的策略內(nèi)容的實際值�����,并將該實際值填充到策略映射表相應的擴展項中��;根據(jù)統(tǒng)ー數(shù)據(jù)接ロ模塊發(fā)送的策略類型���、策略內(nèi)容����、策略生效時間以及策略生效的有效條件��,將傳入的策略有效時間填充到對應的策略映射表中�����,將策略生效的有效條件根據(jù)相應策略內(nèi)容,與策略內(nèi)容對應的唯一標識值一起存儲�;
策略定義模塊根據(jù)統(tǒng)ー數(shù)據(jù)接ロ模塊發(fā)送的策略類型及策略內(nèi)容,建立策略映射表��;該策略映射表包括唯一標識值����、策略類型��、策略內(nèi)容�、策略生效時間和擴展項四項內(nèi)容;策略類型與策略內(nèi)容為ー對一或者ー對多的關系�����,策略內(nèi)容為對應的策略類型的策略檢查要求����;擴展項為相應策略內(nèi)容的實際值,唯一標識值與策略內(nèi)容����、策略生效時間、擴展項一一對應;策略內(nèi)比模塊將策略映射表中的擴展項內(nèi)容與查詢分析模塊存儲的唯一標識值對應的策略生效有效條件進行內(nèi)比����,將內(nèi)比結(jié)果連同對應的唯一標識值一起存儲并傳給顯示模塊及統(tǒng)ー數(shù)據(jù)接ロ模塊;顯示模塊接收策略內(nèi)比模塊發(fā)送的內(nèi)比結(jié)果以及唯一標識值��,從策略映射表中獲取唯一標識值對應的策略生效時間�����,將在策略生效時間內(nèi)且內(nèi)比結(jié)果錯誤的策略內(nèi)容以及策略生效有效條件在本地計算機上進行顯示����。當查詢分析模塊接收的策略安全在線檢查指令為判斷系統(tǒng)是否安裝有真實光驅(qū)時,所述的抓取策略映射表中策略類型對應的策略內(nèi)容的實際值步驟如下(I)讀取策略安全在線檢查指令���,判斷指令的操作內(nèi)容�����,將指令的操作內(nèi)容與查詢分析模塊默認的同一指令的內(nèi)容相比較��,判斷二者是否一致�����,若不一致�,則直接返回錯誤信息,等待下ー個策略安全在線檢查指令���;若一致�,則轉(zhuǎn)步驟(2);(2)根據(jù)windows管理接ロ WMI獲取光驅(qū)信息��,若沒有獲取帶光驅(qū)信息���,則在策略映射表相應的擴展項中記錄“否”,若有則轉(zhuǎn)步驟(3)����;(3)至少獲取6次光驅(qū)的讀取速度,計算平均值���;獲取當前硬盤的讀取的速度��,次數(shù)和獲取光驅(qū)的一致��,計算平均值����;比較獲取的光驅(qū)的讀取速度和硬盤的讀取速度,若誤差在lOMB/s內(nèi)則認為該光驅(qū)是虛擬光驅(qū)���,若超出了這個范圍則認為是真實光驅(qū)�,將比較結(jié)果記錄在策略映射表相應的擴展項中�����。本發(fā)明與現(xiàn)有技術(shù)相比的有益效果在于(I)本發(fā)明系統(tǒng)通過將檢查工具封裝成CAB的形式并嵌入IE瀏覽器中���,避免目前對每臺終端計算機都需要現(xiàn)場檢查的缺陷�,解放了人力�����;并且本發(fā)明檢查工具將目前待檢查項以映射表的形式����,通過實時抓取終端計算機上的策略信息與映射表相關內(nèi)容進行內(nèi)比,可以一次性完成所有期望檢查的項目�����,并最終實現(xiàn)一臺中心計算機對網(wǎng)絡內(nèi)的所有終端計算機進行集中在線檢查���,提高了檢查效率���。(2)本發(fā)明策略映射表的內(nèi)容可以涵蓋目前操作系統(tǒng)已有的策略類型和自定義的策略類型����,將目前操作系統(tǒng)已有策略類型復雜的檢查流程通過內(nèi)部程序?qū)崿F(xiàn)����,減少人為對計算機特有命令的輸入,降低了對檢查人員的專業(yè)技術(shù)知識要求����。對于自定義策略類型根據(jù)網(wǎng)絡安全的要求,通過抓取計算機當前的運行狀態(tài)是否符合計算機安全策略要求��,提高的系統(tǒng)的整體安全性能���。(3)本發(fā)明的抓取方法采用從計算機底層性能的判斷,這種方法獲取的信息不易偽造����,可真實反應當前的計算機的安全水平。保證了在線檢查結(jié)果的真實有效性����。
圖I為本發(fā)明系統(tǒng)的體系結(jié)構(gòu)圖��;圖2為本發(fā)明系統(tǒng)中的統(tǒng)ー數(shù)據(jù)接ロ模塊實現(xiàn)過程����;圖3為本發(fā)明系統(tǒng)中的查詢分析模塊實現(xiàn)過程���;圖4為本發(fā)明系統(tǒng)中的策略定義模塊實現(xiàn)過程��;圖5為本發(fā)明系統(tǒng)中的策略內(nèi)比和顯示模塊實現(xiàn)過程.
具體實施例方式下面結(jié)合附圖詳細介紹本發(fā)明系統(tǒng)的實現(xiàn)過程���。本系統(tǒng)在一臺中心計算機上在線對所有終端計算機進行集中檢查,所有的計算機之間通過網(wǎng)絡連接����;所述的系統(tǒng)包括在線檢查工具和封裝模塊,封裝模塊將在線檢查工具打包成CAB的形式并存儲在中心計算機上�,中心計算機將CAB嵌入IE瀏覽器(可以采用com技術(shù)實現(xiàn)嵌入),終端計算機通過IE瀏覽器從中心計算機上下載該CAB并自動安裝���;所述在線檢查工具包括策略定義模塊����、統(tǒng)一數(shù)據(jù)接ロ模塊、查詢分析模塊��、策略內(nèi)比模塊和顯示模塊�����;本發(fā)明系統(tǒng)可以實現(xiàn)在線集中檢查和自查兩種情形�,其中,在線集中檢查用戶通過中心計算機上的IE瀏覽器輸入對每臺終端計算機期望檢查的策略類型����、策略內(nèi)容、策略生效時間以及策略生效的有效條件��,并發(fā)起策略安全在線檢查指令����,每臺終端計算機上的CAB根據(jù)接收的指令啟動檢查。自查當終端計算機進行自查時���,終端計算機首先向中心計算機發(fā)起檢查請求,中心計算機根據(jù)該請求���,對該終端計算機發(fā)起策略安全在線檢查指令���,并輸入策略類型�、策略內(nèi)容����、策略生效時間以及策略生效的有效條件。具體實現(xiàn)如下(—)統(tǒng)ー數(shù)據(jù)接ロ模塊統(tǒng)ー數(shù)據(jù)接ロ模塊如圖2所示��,通過IE瀏覽器接收策略安全在線檢查指令��,啟動查詢分析模塊����;并從IE瀏覽器上接收對應的策略類型、策略內(nèi)容���、策略生效時間以及策略生效的有效條件并發(fā)送至查詢分析模塊和策略定義模塊�����;將策略映射表��、策略內(nèi)比模塊發(fā)送的內(nèi)比結(jié)果連同對應的唯一標識值一起回傳至中心計算機���;由中心計算機對回傳結(jié)果進行匯總顯示�����;統(tǒng)ー數(shù)據(jù)接ロ模塊通過利用成熟的JSON技術(shù)實現(xiàn)統(tǒng)ー的數(shù)據(jù)接ロ(ニ)查詢分析模塊查詢分析模塊如圖3所示���,啟動策略定義模塊,同時根據(jù)策略安全在線檢查指令從本地計算機上抓取策略映射表中策略類型對應的策略內(nèi)容的實際值���,并將該實際值填充到策略映射表相應的擴展項中��;根據(jù)統(tǒng)ー數(shù)據(jù)接ロ模塊發(fā)送的策略類型����、策略內(nèi)容�����、策略生效時間以及策略生效的有效條件�,將傳入的策略有效時間填充到對應的策略映射表中,將策略生效的有效條件根據(jù)相應策略內(nèi)容����,與策略內(nèi)容對應的唯一標識值一起存儲����;具體的抓取的步驟和內(nèi)容如下(I)讀取策略安全在線檢查指令�,判斷指令的操作內(nèi)容�����。(2)根據(jù)指令的操作內(nèi)容����,抓取相應的策略信息,例如判斷系統(tǒng)是否安裝有真實光驅(qū)��,方法如下所示
(2. I)將指令的操作內(nèi)容與查詢分析模塊預先設置的同一指令的內(nèi)容相比較�����,判斷二者是否一致�����,若不一致�����,則直接返回錯誤信息,等待下ー個策略安全在線檢查指令��;若一致���,則轉(zhuǎn)步驟(2. 2)�����;例如��,當指令的操作內(nèi)容���,即判斷系統(tǒng)是否安裝有真實光驅(qū)為strType =”CDR0M”,而查詢分析模塊默認的是否安裝有真實光驅(qū)指令內(nèi)容strType = ” WIRELESS”��,則輸入的指令內(nèi)容有誤�,返回錯誤信息。(2. 2)根據(jù)windows管理接ロ WMI獲取光驅(qū)信息���,若沒有獲取帶光驅(qū)信息����,則在策略映射表相應的擴展項中記錄“否”��,若有則轉(zhuǎn)步驟(2.3);(2. 3)獲取ー個時間段內(nèi)光驅(qū)的讀取速度��,計算平均值��。(最少要獲取6次的值)���;獲取當前硬盤的讀取的速度。次數(shù)和獲取光驅(qū)的一致�,計算平均值。比較獲取的光驅(qū)的讀取速度和硬盤的讀取速度���,若誤差在lOMB/s內(nèi)則認為該光驅(qū)是虛擬光驅(qū)����,若超出了這個范圍則認為是真實光驅(qū)����,將比較結(jié)果記錄在策略映射表相應的擴展項中。例如�,當帳戶ロ令是否是弱ロ令或者賬戶密碼是否為空時,方法步驟如下(2-1)將指令的操作內(nèi)容與查詢分析模塊預先設置的同一指令的內(nèi)容相比較����,判斷二者是否一致����,若不一致���,則直接返回錯誤信息�,等待下ー個策略安全在線檢查指令�;若一致,則轉(zhuǎn)步驟(2-2)�;例如,當指令的操作內(nèi)容�����,即判斷系統(tǒng)是否安裝有真實光驅(qū)為strType=” EMPTYPASSffORD ”�����,而查詢分析模塊默認的是否安裝有真實光驅(qū)指令內(nèi)容strType= ”ADMINACC0UNT”���,則輸入的指令內(nèi)容有誤����,返回錯誤信息�����。(2-2)根據(jù)Windows API (應用程序接ロ),調(diào)用系統(tǒng)登錄函數(shù)�����,傳入空字符串或者弱ロ令如“ 123456”���,給登錄函數(shù),查看函數(shù)返回結(jié)果�,若函數(shù)返回成功,則表明該賬戶密碼為空或者為弱ロ令����,將比較結(jié)果記錄在策略映射表相應的擴展項中。若返回失敗則轉(zhuǎn)步驟(2-3)�;(2-3)獲取失敗錯誤信息,若信息表示密碼錯誤�����,則將結(jié)果記錄在策略映射表相應的擴展項中�。否則,調(diào)用系統(tǒng)修改密碼函數(shù)�����,傳入空字符串或者弱ロ令,若修改成功��,則表明該賬戶密碼為空或者為弱ロ令���,將比較結(jié)果記錄在策略映射表相應的擴展項中����,否則返回錯誤結(jié)果���。下面表I中的其它策略類型可采用ー些通用WMI技術(shù)進行抓取�����,具體步驟如下(I)調(diào)用函數(shù)CoInitializeEx用于初始化COM庫�����。(2)調(diào)用函數(shù)CoInitializeSecurity用于初始化COM安全級別���。(3)通過調(diào)用CoCreateInstance初始化WMI的定位器(4)調(diào)用IWbemLocator: :ConnectServer方法,通過定位器連接到WMI的命名空間���,通過把一個IWbemServices的實例以參數(shù)形式傳遞給ConnectServer方法,倉Il建服務��。(5)設置畫I服務的安全級別(6)使用之前得到的服務����,進行ー些操作,如查詢���、調(diào)用方法和其他ー些操作�。(7)釋放資源�����,關閉服務與連接�,關閉COM庫���。(8)返回查詢的結(jié)果����。例如判斷是否含有共享信息��,按照上述步驟限初始COM庫�����,初始化安全級別和定位器,然后連接到WMI的命名空間�,傳入?yún)?shù)“Win32 Share”,”Name”.其中“Win32 Share”�����、表示共享服務�����,“Name”表示查詢計算機共享服務的名稱����。若結(jié)果存在則返回結(jié)果,若不存在則返回空字符串�����。并將比較結(jié)果記錄在策略映射表相應的擴展項中����。(三)策略定義模塊策略定義模塊如圖4所示,根據(jù)統(tǒng)ー數(shù)據(jù)接ロ模塊發(fā)送的策略類型及策略內(nèi)容,建立策略映射表�����,如表I所示����;該策略映射表包括唯一標識值、策略類型��、策略內(nèi)容�����、策略生效時間和擴展項四項內(nèi)容���;策略類型與策略內(nèi)容為ー對一或者ー對多的關系,策略內(nèi)容為對應的策略類型的策略檢查要求�;擴展項為相應策略內(nèi)容的實際值,唯一標識值與策略內(nèi)容��、策略生效時間�����、擴展項一一對應;表I策略映射表
權(quán)利要求
1.面向終端計算機的策略安全在線檢查系統(tǒng)���,其特征在于在一臺中心計算機上在線對所有終端計算機進行集中檢查���,所有的計算機之間通過網(wǎng)絡連接;所述的系統(tǒng)包括在線檢查工具���、封裝模塊和中心計算機�����,封裝模塊將在線檢查工具打包成CAB的形式并存儲在中心計算機上���,中心計算機將CAB嵌入IE瀏覽器,終端計算機通過IE瀏覽器從中心計算機上下載該CAB并自動安裝�����;所述在線檢查工具包括策略定義模塊����、統(tǒng)ー數(shù)據(jù)接ロ模塊、查詢分析模塊��、策略內(nèi)比模塊和顯示模塊; 用戶通過中心計算機上的IE瀏覽器輸入對每臺終端計算機期望檢查的策略類型�����、策略內(nèi)容�����、策略生效時間以及策略生效的有效條件����,并發(fā)起策略安全在線檢查指令,每臺終端計算機上的CAB根據(jù)接收的指令啟動檢查��,具體如下 統(tǒng)ー數(shù)據(jù)接ロ模塊通過IE瀏覽器接收策略安全在線檢查指令��,啟動查詢分析模塊�����;并從IE瀏覽器上接收對應的策略類型��、策略內(nèi)容��、策略生效時間以及策略生效的有效條件并發(fā)送至查詢分析模塊和策略定義模塊��;將策略映射表���、策略內(nèi)比模塊發(fā)送的內(nèi)比結(jié)果連同對應的唯一標識值一起回傳至中心計算機����;由中心計算機對回傳結(jié)果進行匯總顯示�; 查詢分析模塊啟動策略定義模塊,同時根據(jù)策略安全在線檢查指令從本地計算機上抓取策略映射表中策略類型對應的策略內(nèi)容的實際值���,并將該實際值填充到策略映射表相應的擴展項中����;根據(jù)統(tǒng)ー數(shù)據(jù)接ロ模塊發(fā)送的策略類型����、策略內(nèi)容、策略生效時間以及策略生效的有效條件�����,將傳入的策略有效時間填充到對應的策略映射表中����,將策略生效的有效條件根據(jù)相應策略內(nèi)容�����,與策略內(nèi)容對應的唯一標識值一起存儲�����; 策略定義模塊根據(jù)統(tǒng)ー數(shù)據(jù)接ロ模塊發(fā)送的策略類型及策略內(nèi)容���,建立策略映射表;該策略映射表包括唯一標識值��、策略類型��、策略內(nèi)容����、策略生效時間和擴展項四項內(nèi)容;策略類型與策略內(nèi)容為ー對一或者ー對多的關系��,策略內(nèi)容為對應的策略類型的策略檢查要求��;擴展項為相應策略內(nèi)容的實際值���,唯一標識值與策略內(nèi)容��、策略生效時間����、擴展項一一對應����; 策略內(nèi)比模塊將策略映射表中的擴展項內(nèi)容與查詢分析模塊存儲的唯一標識值對應的策略生效有效條件進行內(nèi)比,將內(nèi)比結(jié)果連同對應的唯一標識值一起存儲并傳給顯示模塊及統(tǒng)一數(shù)據(jù)接ロ模塊�; 顯示模塊接收策略內(nèi)比模塊發(fā)送的內(nèi)比結(jié)果以及唯一標識值,從策略映射表中獲取唯一標識值對應的策略生效時間���,將在策略生效時間內(nèi)且內(nèi)比結(jié)果錯誤的策略內(nèi)容以及策略生效有效條件在本地計算機上進行顯示���。
2.根據(jù)權(quán)利要求I所述的面向終端計算機的策略安全在線檢查系統(tǒng),其特征在于當查詢分析模塊接收的策略安全在線檢查指令為判斷系統(tǒng)是否安裝有真實光驅(qū)時���,所述的抓取策略映射表中策略類型對應的策略內(nèi)容的實際值步驟如下 (1)讀取策略安全在線檢查指令��,判斷指令的操作內(nèi)容��,將指令的操作內(nèi)容與查詢分析模塊默認的同一指令的內(nèi)容相比較����,判斷二者是否一致,若不一致����,則直接返回錯誤信息,等待下ー個策略安全在線檢查指令��;若一致�����,則轉(zhuǎn)步驟(2); (2)根據(jù)windows管理接ロWMI獲取光驅(qū)信息�����,若沒有獲取帶光驅(qū)信息����,則在策略映射表相應的擴展項中記錄“否”,若有則轉(zhuǎn)步驟⑶���; (3)至少獲取6次光驅(qū)的讀取速度�����,計算平均值�����;獲取當前硬盤的讀取的速度���,次數(shù)和獲取光驅(qū)的一致,計算平均值�;比較獲取的光驅(qū)的讀取速度和硬盤的讀取速度,若誤差在lOMB/s內(nèi)則認為該光驅(qū)是虛擬光驅(qū)�����,若超出了這個范圍則認為是真實光驅(qū)��,將比較結(jié)果記錄在策略映射表相應的擴展項 中��。
全文摘要
面向終端計算機的策略安全在線檢查系統(tǒng)�,在一臺中心計算機上在線對所有終端計算機進行集中檢查,所有的計算機之間通過網(wǎng)絡連接�����;所述的系統(tǒng)包括在線檢查工具�����、封裝模塊和中心計算機,封裝模塊將在線檢查工具打包成CAB的形式并存儲在中心計算機上����,中心計算機將CAB嵌入IE瀏覽器,終端計算機通過IE瀏覽器從中心計算機上下載該CAB并自動安裝����;所述在線檢查工具包括策略定義模塊、統(tǒng)一數(shù)據(jù)接口模塊��、查詢分析模塊��、策略內(nèi)比模塊和顯示模塊��,該系統(tǒng)具有開發(fā)周期短��、可維護性好�����、靈活的開放接口�����、完善的調(diào)試功能以及易于使用和管理的優(yōu)點。
文檔編號H04L12/26GK102647419SQ201210099538
公開日2012年8月22日 申請日期2012年4月6日 優(yōu)先權(quán)日2012年4月6日
發(fā)明者劉霞, 吳宏彬, 吳曉明, 唐立才, 姜紅星, 張東山, 張敬鵬, 文梁, 方超, 朱喜剛, 楊景校, 王旭, 石志勇, 紀曦, 紀樹峰, 趙衛(wèi)靈, 趙飛, 鄧文浩, 陳佳, 陳楚平, 陳燕軍, 韓磊 申請人:北京空間飛行器總體設計部, 廣東航宇衛(wèi)星科技有限公司