技術(shù)領(lǐng)域

本發(fā)明涉及一種面向終端計(jì)算機(jī)的策略、安全的管理和控制，屬于計(jì)算機(jī)安全檢查技術(shù)領(lǐng)域。

背景技術(shù)

在大規(guī)模的網(wǎng)絡(luò)系統(tǒng)中通常包括大量不同的網(wǎng)絡(luò)設(shè)備，例如網(wǎng)關(guān)、路由器和向用戶提供服務(wù)、運(yùn)行各種應(yīng)用程序的服務(wù)器、客戶機(jī)。設(shè)備、服務(wù)、應(yīng)用程序、服務(wù)器、客戶機(jī)以及用戶，甚至他們之間的關(guān)系都是需要管理的對象。在這種大規(guī)模網(wǎng)絡(luò)系統(tǒng)的內(nèi)部高度復(fù)雜，導(dǎo)致管理異常困難，管理周期冗長，而且隨著系統(tǒng)規(guī)模的擴(kuò)大，管理的開銷也成指數(shù)規(guī)律增加。

網(wǎng)絡(luò)安全策略的管理是任何網(wǎng)絡(luò)系統(tǒng)管理必不可少的一部分，網(wǎng)絡(luò)安全配置的不當(dāng)，一方面可能使一些用戶有了過高的權(quán)限，而使另一些需要高權(quán)限的用戶卻得不到相應(yīng)的權(quán)限，造成權(quán)限配置不當(dāng)；另一方面還可能給網(wǎng)絡(luò)帶來非常大的安全隱患，降低整個(gè)網(wǎng)絡(luò)的安全防御能力。

目前通用的操作是利用計(jì)算機(jī)提供的各種功能去設(shè)置和獲取這些策略，但是這些功能較分散，而且設(shè)置的不夠充分，達(dá)不到用戶需要的很多重要的功能。對于已有的功能也需要用戶需要一定的計(jì)算機(jī)專業(yè)技術(shù)知識(shí)才能夠使用，且設(shè)置繁瑣，不利于用戶的操作。

發(fā)明內(nèi)容

本發(fā)明的技術(shù)解決問題：克服現(xiàn)有技術(shù)的不足，提供一種面向終端計(jì)算機(jī)的策略安全在線檢查系統(tǒng)，該系統(tǒng)能夠?qū)崿F(xiàn)一臺(tái)中心計(jì)算機(jī)對網(wǎng)絡(luò)內(nèi)的所有終端計(jì)算機(jī)進(jìn)行集中在線檢查，檢查效率高。

本發(fā)明的技術(shù)解決方案：面向終端計(jì)算機(jī)的策略安全在線檢查系統(tǒng)，在一臺(tái)中心計(jì)算機(jī)上在線對所有終端計(jì)算機(jī)進(jìn)行集中檢查，所有的計(jì)算機(jī)之間通過網(wǎng)絡(luò)連接；所述的系統(tǒng)包括在線檢查工具、封裝模塊和中心計(jì)算機(jī)，封裝模塊將在線檢查工具打包成CAB的形式并存儲(chǔ)在中心計(jì)算機(jī)上，中心計(jì)算機(jī)將CAB嵌入IE瀏覽器，終端計(jì)算機(jī)通過IE瀏覽器從中心計(jì)算機(jī)上下載該CAB并自動(dòng)安裝；所述在線檢查工具包括策略定義模塊、統(tǒng)一數(shù)據(jù)接口模塊、查詢分析模塊、策略內(nèi)比模塊和顯示模塊；

用戶通過中心計(jì)算機(jī)上的IE瀏覽器輸入對每臺(tái)終端計(jì)算機(jī)期望檢查的策略類型、策略內(nèi)容、策略生效時(shí)間以及策略生效的有效條件，并發(fā)起策略安全在線檢查指令，每臺(tái)終端計(jì)算機(jī)上的CAB根據(jù)接收的指令啟動(dòng)檢查，具體如下：

統(tǒng)一數(shù)據(jù)接口模塊：通過IE瀏覽器接收策略安全在線檢查指令，啟動(dòng)查詢分析模塊；并從IE瀏覽器上接收對應(yīng)的策略類型、策略內(nèi)容、策略生效時(shí)間以及策略生效的有效條件并發(fā)送至查詢分析模塊和策略定義模塊；將策略映射表、策略內(nèi)比模塊發(fā)送的內(nèi)比結(jié)果連同對應(yīng)的唯一標(biāo)識(shí)值一起回傳至中心計(jì)算機(jī)；由中心計(jì)算機(jī)對回傳結(jié)果進(jìn)行匯總顯示；

查詢分析模塊：啟動(dòng)策略定義模塊，同時(shí)根據(jù)策略安全在線檢查指令從本地計(jì)算機(jī)上抓取策略映射表中策略類型對應(yīng)的策略內(nèi)容的實(shí)際值，并將該實(shí)際值填充到策略映射表相應(yīng)的擴(kuò)展項(xiàng)中；根據(jù)統(tǒng)一數(shù)據(jù)接口模塊發(fā)送的策略類型、策略內(nèi)容、策略生效時(shí)間以及策略生效的有效條件，將傳入的策略有效時(shí)間填充到對應(yīng)的策略映射表中，將策略生效的有效條件根據(jù)相應(yīng)策略內(nèi)容，與策略內(nèi)容對應(yīng)的唯一標(biāo)識(shí)值一起存儲(chǔ)；

策略定義模塊：根據(jù)統(tǒng)一數(shù)據(jù)接口模塊發(fā)送的策略類型及策略內(nèi)容，建立策略映射表；該策略映射表包括唯一標(biāo)識(shí)值、策略類型、策略內(nèi)容、策略生效時(shí)間和擴(kuò)展項(xiàng)四項(xiàng)內(nèi)容；策略類型與策略內(nèi)容為一對一或者一對多的關(guān)系，策略內(nèi)容為對應(yīng)的策略類型的策略檢查要求；擴(kuò)展項(xiàng)為相應(yīng)策略內(nèi)容的實(shí)際值，唯一標(biāo)識(shí)值與策略內(nèi)容、策略生效時(shí)間、擴(kuò)展項(xiàng)一一對應(yīng)；

策略內(nèi)比模塊：將策略映射表中的擴(kuò)展項(xiàng)內(nèi)容與查詢分析模塊存儲(chǔ)的唯一標(biāo)識(shí)值對應(yīng)的策略生效有效條件進(jìn)行內(nèi)比，將內(nèi)比結(jié)果連同對應(yīng)的唯一標(biāo)識(shí)值一起存儲(chǔ)并傳給顯示模塊及統(tǒng)一數(shù)據(jù)接口模塊；

顯示模塊：接收策略內(nèi)比模塊發(fā)送的內(nèi)比結(jié)果以及唯一標(biāo)識(shí)值，從策略映射表中獲取唯一標(biāo)識(shí)值對應(yīng)的策略生效時(shí)間，將在策略生效時(shí)間內(nèi)且內(nèi)比結(jié)果錯(cuò)誤的策略內(nèi)容以及策略生效有效條件在本地計(jì)算機(jī)上進(jìn)行顯示。

當(dāng)查詢分析模塊接收的策略安全在線檢查指令為判斷系統(tǒng)是否安裝有真實(shí)光驅(qū)時(shí)，所述的抓取策略映射表中策略類型對應(yīng)的策略內(nèi)容的實(shí)際值步驟如下：

(1)讀取策略安全在線檢查指令，判斷指令的操作內(nèi)容，將指令的操作內(nèi)容與查詢分析模塊默認(rèn)的同一指令的內(nèi)容相比較，判斷二者是否一致，若不一致，則直接返回錯(cuò)誤信息，等待下一個(gè)策略安全在線檢查指令；若一致，則轉(zhuǎn)步驟(2)；

(2)根據(jù)windows管理接口WMI獲取光驅(qū)信息，若沒有獲取帶光驅(qū)信息，則在策略映射表相應(yīng)的擴(kuò)展項(xiàng)中記錄“否”，若有則轉(zhuǎn)步驟(3)；