技術(shù)領(lǐng)域

本發(fā)明涉及一種系統(tǒng)保護(hù)架構(gòu)，特別是涉及一種采用多訪問控制機(jī)制相結(jié)合的方式對系 統(tǒng)進(jìn)行保護(hù)的架構(gòu)。

背景技術(shù)

隨著社會信息化的發(fā)展，計(jì)算機(jī)系統(tǒng)的安全問題日益嚴(yán)重，近年來病毒功能越來越強(qiáng)大， 隨著犯罪分子將木馬、病毒和相關(guān)技術(shù)作為從事網(wǎng)絡(luò)犯罪活動的主要工具和手段，其影響小 則瀏覽器配置被修改、系統(tǒng)使用受限、網(wǎng)絡(luò)無法使用，大到帳號密碼被盜等甚至能控制計(jì)算 機(jī)并盜竊系統(tǒng)內(nèi)的重要信息。

因此，有效的系統(tǒng)保護(hù)方法極其重要。但是傳統(tǒng)的系統(tǒng)保護(hù)方式多采用“頭痛醫(yī)頭腳痛 醫(yī)腳”的方式，例如終端自身不安全就安裝防火墻與殺毒軟件、系統(tǒng)內(nèi)不安全就進(jìn)行身份認(rèn) 證、網(wǎng)絡(luò)不安全則安裝網(wǎng)閘與VPN等等。雖然上述方法在某種程度上起到了保護(hù)作用，但是 其只能在有限的范圍內(nèi)發(fā)揮作用，并且還需要隨著威脅的增加而增強(qiáng)，因此對于系統(tǒng)來說， 分別使用多種獨(dú)立的方法進(jìn)行保護(hù)不僅達(dá)不到實(shí)時全面防護(hù)的能力，而且不利于實(shí)際操作， 無法形成一個全局有效的保護(hù)。

譬如：殺毒軟件是運(yùn)用在各終端的一種防護(hù)手段，其實(shí)現(xiàn)是在病毒出現(xiàn)后才提取其特征 并建立病毒庫進(jìn)行防御，因此對于新出現(xiàn)的病毒無法實(shí)現(xiàn)即時防御，具有滯后性，且智能通 過不斷做大病毒庫來記錄所有出現(xiàn)過病毒特征來實(shí)現(xiàn)對病毒的防御，由此造成的后果就是防 火墻越砌越高、病毒庫越做越大，系統(tǒng)可用性越來越差。同時，由于殺毒軟件通常在系統(tǒng)的 應(yīng)用層進(jìn)行作用，對染病毒文件進(jìn)行搜索，通過掃描代碼特征發(fā)現(xiàn)并清楚惡意染毒文件，這 樣并不能從根本上杜絕其破壞，如果惡意程序在驅(qū)動層提前關(guān)閉了殺毒軟件，則殺毒軟件就 完全無法發(fā)揮作用。因此，對于用戶來說，殺毒軟件是無法達(dá)到讓終端環(huán)境安全可信的預(yù)期 的。同樣，網(wǎng)閘設(shè)施及VPN等都存在相應(yīng)的問題，而把這些均不完善的防護(hù)手段生硬地組裝 在一起進(jìn)行系統(tǒng)防護(hù)，其結(jié)果可想而知。

發(fā)明內(nèi)容

鑒于現(xiàn)有技術(shù)對系統(tǒng)的整體保護(hù)存在系統(tǒng)性和協(xié)調(diào)性差，以及對系統(tǒng)的保護(hù)效果不理想 的問題，本發(fā)明的之一目的在于提供了一種從全局角度觸發(fā)實(shí)施的，多訪問控制機(jī)制相結(jié)合 的保護(hù)架構(gòu)。

為了達(dá)到上述目的，本發(fā)明采用了下述技術(shù)方案：

所述一種多訪問控制機(jī)制結(jié)合的系統(tǒng)保護(hù)架構(gòu)包括一個基于多層次訪問控制機(jī)制的主系 統(tǒng)以及一個實(shí)現(xiàn)多層訪問控制機(jī)制聯(lián)動的三權(quán)分立的安全管理中心。所述主系統(tǒng)包括終端資 源層、應(yīng)用服務(wù)層和邊界層，且所述終端資源層為終端自身，所述應(yīng)用服務(wù)層指的是各個終 端之間，而所述邊界層指的是安全域之間；所述安全管理中心對分布于終端資源層、應(yīng)用服 務(wù)層以及邊界層的訪問請求進(jìn)行統(tǒng)一裁決并下發(fā)控制策略，即從整個系統(tǒng)的角度實(shí)現(xiàn)該三種 不同層次的訪問控制機(jī)制的聯(lián)動，以便于各層訪問控制機(jī)制各司其職，相互協(xié)作，沒有冗余， 且該安全管理中心包括安全管理子系統(tǒng)、系統(tǒng)管理子系統(tǒng)和審計(jì)子系統(tǒng)；所述安全管理子系 統(tǒng)主要實(shí)施標(biāo)記管理、授權(quán)管理及策略管理；所述系統(tǒng)管理子系統(tǒng)則是負(fù)責(zé)身份管理和資源 管理；所述審計(jì)子系統(tǒng)對系統(tǒng)中各用戶操作行為進(jìn)行審計(jì)，對安全事件及時做出響應(yīng)。

其中，所述系統(tǒng)管理子系統(tǒng)負(fù)責(zé)用戶身份管理，采集和維護(hù)平臺軟硬件資源信息，但系 統(tǒng)管理子系統(tǒng)無權(quán)將資源的反問權(quán)限直接賦予用戶，必須經(jīng)過安全管理子系統(tǒng)的審核和批復(fù)； 而所述安全管理子系統(tǒng)能夠?qū)τ脩粜袨檫M(jìn)行授權(quán)，但對于用戶及平臺身份管理和資源管理， 安全管理子系統(tǒng)無法逾越系統(tǒng)管理子系統(tǒng)的權(quán)限，即無法將未經(jīng)系統(tǒng)管理子系統(tǒng)審核的資源 授權(quán)給用戶訪問，安全管理子系統(tǒng)的授權(quán)操作要以系統(tǒng)管理子系統(tǒng)收集的信息為依據(jù)；以及 所述審計(jì)子系統(tǒng)可以根據(jù)安全需求，制定審計(jì)策略，對系統(tǒng)管理子系統(tǒng)和安全管理子系統(tǒng)的 操作行為進(jìn)行審計(jì)，系統(tǒng)管理子系統(tǒng)、安全管理子系統(tǒng)和審計(jì)子系統(tǒng)的重要行為均將發(fā)送給 審計(jì)子系統(tǒng)查看和處理。

此外，本發(fā)明的另一目的在于提供一種多訪問控制機(jī)制結(jié)合的系統(tǒng)保護(hù)方法，該方法包 括如下步驟：

1)對終端資源層的訪問控制，即通過在操作系統(tǒng)層截獲主體對客體資源的訪問請求，依 據(jù)全系統(tǒng)統(tǒng)一的訪問控制策略判決是否允許主體對客體的訪問；

2)對應(yīng)用服務(wù)層的訪問控制，即當(dāng)基于服務(wù)封裝的訪問控制為針對于以服務(wù)方式提供資 源訪問的實(shí)際情況時，則通過對服務(wù)的封裝，將請求服務(wù)的主體信息通過封裝的方法傳遞到 操作系統(tǒng)的訪問控制決策模塊；

3)對邊界層的訪問控制，即通過邊界訪問控制實(shí)現(xiàn)不同安全域之間的安全信息流動，確 保安全域內(nèi)信息資源的安全；