技術領域

本發明涉及單機安全防護領域，具體而言，涉及一種單機安全防護系統。

背景技術

現代網絡安全管理體系的日臻完善，使得對網絡中的單機安全管理的需求強烈凸現出來。正確、全面地認識終端管理產品的發展趨勢和技術特點，是IT研發廠商面臨的發展抉擇，同時也是企、事業IT管理人員和高層決策人員在進行終端桌面安全防護部署時必須考慮的議題。

近兩年的安全防御調查也表明，政府、企業以及金融證券等單位中超過80%的管理和安全問題來自終端，以計算機為主要代表的終端廣泛涉及每個用戶，由于其分散、不被重視、安全手段缺乏的特點，已使得終端安全成為信息安全體系的薄弱環節。因此，網絡安全呈現出了新的發展趨勢，安全問題防護的側重點已經逐步由核心與主干的防護，轉向網絡內部的每一個終端。

而相關技術中的單機安全防護系統，其防護措施往往較為單一，沒有形成全面的防護系統，因此防護性能較差。

發明內容

本發明的目的在于提供單機安全防護系統，以解決上述的問題。

在本發明的實施例中提供了單機安全防護系統，包括登錄控制子系統、主機監控與補丁分發子系統和光盤刻錄監控子系統；

所述登錄控制子系統，用于通過USBkey對用戶登錄單機操作系統的登錄過程進行控制；

所述主機監控與補丁分發子系統，用于對單機的運行過程進行安全監控，并對補丁分發進行管理；

所述光盤刻錄監控子系統，用于對光盤刻錄進行安全監控。

其中，所述登錄控制子系統，包括USBKey管理模塊、USBKey客戶端和USBKey；

所述USBKey管理模塊，用于初始化USBKey、激活用戶USBKey的PIN碼和設置用戶USBKey的使用權限；

所述USBKey客戶端，用于控制所述單機的使用權限、審計USBKey的使用記錄、設置系統的登錄方式和在USBKey拔除后及時進行鎖屏管理

所述USBKey，用于在USBKey客戶端的控制下完成對所述單機的啟動登錄、鎖屏登錄及注銷登錄的使用控制。

其中，所述USBKey管理模塊，包括系統賬戶綁定單元、第一刪除單元、系統設置單元和密碼激活單元；

所述系統賬戶綁定單元，用于初始化USBKey的系統級賬戶，實現USBKey與單機操作系統賬戶的綁定；

所述第一刪除單元，用于刪除在USBKey中已完成初始化的USBKey系統級賬戶；

所述系統設置單元，用于設置USBKey登錄操作系統的的身份；

所述密碼激活單元，用于在管理員輸入的正確的管理員PIN碼之后對用戶PIN碼進行激活和重設。

其中，所述USBKey客戶端，包括新建單元、修改單元、第二刪除單元、授權單元、審計單元和設置單元；

所述新建單元，用于在USBKey上新建一個非管理組的用戶級賬戶，以供USBKey可以通過非管理員賬戶登錄操作系統，實現USBKey與操作系統的綁定；

所述修改單元，用于修改USBKey的賬戶名稱和PIN碼；

所述第二刪除單元，用于刪除USBKey中用戶已新建完成的非管理員賬戶信息；

所述授權單元，用于通過具有登錄權限的USBKey對另一只USBKey進行授權，授權的USBKey為母USBKey，被授權的USBKey為子USBKey，授權后的母USBKey和子USBKey均可登錄當前操作系統；

所述審計單元，用于記錄和控制USBKey的使用時間、使用次數，并限制子USBKey的使用；

所述設置單元，用于設置用戶登錄時是否僅通過USBKey進行身份驗證、USBKey拔出后是否鎖屏、單機啟動時是否自動啟動USBKey程序。

其中，還包括電子文檔安全控制子系統，用于采用驅動層加密的方式對電子文檔進行加密管理，包括驅動層加密模塊和安全策略設置模塊；

所述驅動層加密模塊，用于通過驅動程序對電子文檔存在屬性、訪問進行控制以實現對電子文檔的操作進行保護，并設置文件是否只讀、是否可編輯、是否可打印，是否可刪除，同時通過驅動程序對操作系統中各種電子文檔操作進行日志記錄；

所述安全策略設置模塊，包括多密鑰管理單元、指紋識別單元、可信進程策略設置單元、身份認證單元和郵件自動解密單元；

所述多密鑰管理單元，用于設置統一的一級密鑰的同時設置多個基于統一的一級密鑰的二級密鑰；

所述指紋識別單元，用于通過指紋技術識別用戶應用程序，防止篡改應用程序文件；