本發(fā)明公開了一種基于文件訪問控制和進(jìn)程訪問控制的服務(wù)器加固方法，利用服務(wù)器加固裝置對服務(wù)器進(jìn)行加固，使系統(tǒng)成為安裝有安全內(nèi)核的系統(tǒng)，服務(wù)器加固裝置包括雙重身份認(rèn)證模塊、USB外設(shè)管制模塊、注冊表訪問控制模塊、網(wǎng)絡(luò)控制模塊、進(jìn)程保護(hù)機(jī)制模塊、敏感數(shù)據(jù)的訪問控制模塊、系統(tǒng)自身防護(hù)模塊。本發(fā)明解決了傳統(tǒng)安全軟件被動防御現(xiàn)狀，使服務(wù)器具備主動防御的能力，為服務(wù)器提供全面的安全保護(hù)。

技術(shù)領(lǐng)域

本發(fā)明涉及Windows操作系統(tǒng)文件過濾驅(qū)動技術(shù)、進(jìn)程訪問控制技術(shù)，具體是一種基于文件訪問控制和進(jìn)程訪問控制的服務(wù)器加固方法。

背景技術(shù)

隨著國民經(jīng)濟(jì)和社會事業(yè)的發(fā)展，網(wǎng)絡(luò)信息技術(shù)在人們的日常工作和生活中發(fā)揮著越來越重要的作用，人們在積極參與國民經(jīng)濟(jì)和社會信息化進(jìn)程的同時，也在充分享受信息技術(shù)為我們工作和生活所帶來的便利。各種網(wǎng)站所面臨的Web應(yīng)用安全問題越來越復(fù)雜，安全威脅正在飛速增長，尤其混合威脅的風(fēng)險，如黑客攻擊、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應(yīng)用安全漏洞利用等，極大地困擾著用戶，給組織的信息網(wǎng)絡(luò)和核心業(yè)務(wù)造成嚴(yán)重的破壞。能否及時發(fā)現(xiàn)并成功阻止網(wǎng)絡(luò)黑客的入侵和攻擊、保證Web應(yīng)用系統(tǒng)的安全和正常運(yùn)行成為目前所面臨的一個重要問題。

傳統(tǒng)系統(tǒng)層安全解決方案，雖然產(chǎn)品眾多，但安全事件依然頻發(fā)，究其原因是其只能解決系統(tǒng)中某“點(diǎn)”的安全(如HIDS、HIPS、安全審計、文檔安全、殺毒軟件等產(chǎn)品的相應(yīng)作用)，即使聯(lián)合使用多種產(chǎn)品，也只能分別解決相應(yīng)幾“點(diǎn)”的安全。因設(shè)計體系上的問題，即使“點(diǎn)”的安全解決再多也很難連成“面”，所以無法從根本上解決系統(tǒng)層的安全問題。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于文件訪問控制和進(jìn)程訪問控制的服務(wù)器加固方法，解決了傳統(tǒng)安全軟件被動防御現(xiàn)狀，使服務(wù)器具備主動防御的能力，為服務(wù)器提供全面的安全保護(hù)。

為實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

一種基于文件訪問控制和進(jìn)程訪問控制的服務(wù)器加固方法，利用服務(wù)器加固裝置對服務(wù)器進(jìn)行加固，使系統(tǒng)成為安裝有安全內(nèi)核的系統(tǒng)，所述的服務(wù)器加固裝置包括雙重身份認(rèn)證模塊、USB外設(shè)管制模塊、注冊表訪問控制模塊、網(wǎng)絡(luò)控制模塊、進(jìn)程保護(hù)機(jī)制模塊、敏感數(shù)據(jù)的訪問控制模塊、系統(tǒng)自身防護(hù)模塊；雙重身份認(rèn)證模塊，用戶采用USB Key和密碼雙重身份證方式，只有插入USB Key輸入正確的口令才能登錄，否則無法登錄；USB外設(shè)管制模塊，對USB存儲設(shè)備進(jìn)行禁用，未經(jīng)授權(quán)禁止使用，而對非USB存儲設(shè)備不影響其正常的使用；注冊表訪問控制模塊，對注冊表訪問進(jìn)行監(jiān)控，對于未經(jīng)授權(quán)禁止修改；網(wǎng)絡(luò)控制模塊，對于未經(jīng)授權(quán)開放的端口禁止外部網(wǎng)絡(luò)訪問，未經(jīng)授權(quán)的進(jìn)程禁止使用網(wǎng)絡(luò)功能，對于已經(jīng)授權(quán)的進(jìn)程允許外對訪問指定IP或端口；進(jìn)程保護(hù)機(jī)制模塊，對于進(jìn)程采用白名單機(jī)制，對進(jìn)程進(jìn)行指紋識別，指紋識別方法包MD5值和微軟數(shù)字簽名，符合白名單的進(jìn)程能正常啟動和使用，不在其中的禁止運(yùn)行；敏感數(shù)據(jù)的訪問控制模塊，對于敏感的數(shù)據(jù)采用windows文件過濾驅(qū)動技術(shù)，對于未經(jīng)授權(quán)的進(jìn)程禁止訪問，已經(jīng)授權(quán)進(jìn)程能根據(jù)敏感的數(shù)據(jù)要求授予讀、寫、刪除功能；系統(tǒng)自身防護(hù)模塊，采用進(jìn)程指紋識別、進(jìn)程防殺和A與B進(jìn)程方式，保護(hù)系統(tǒng)自身進(jìn)程不被異常終止、偽造。

作為本發(fā)明進(jìn)一步的方案：所述的系統(tǒng)為Windows Server系列、AIX、Solaris、HP-UNIX、Redhat、Linux操作系統(tǒng)中的任意一種。

作為本發(fā)明進(jìn)一步的方案：其實(shí)現(xiàn)流程如下：

（1）首先建立合法進(jìn)程的數(shù)字簽名和MD5值池并保存到數(shù)據(jù)庫中，收集數(shù)字簽名和MD5值的方法包括靜態(tài)方法和動態(tài)方法：靜態(tài)方法是通過收集工具選取指定的程序，讀取微軟的數(shù)字簽名和對進(jìn)程的二進(jìn)制文件進(jìn)行MD5運(yùn)算；動態(tài)的方法是本安裝有安全內(nèi)核的系統(tǒng)的控制中心下發(fā)策略，通過本系統(tǒng)后臺服務(wù)向本系統(tǒng)的終端發(fā)起讀取數(shù)字簽名和MD5值的命令，終端執(zhí)行完成命令后回傳給后臺服務(wù)，后臺服務(wù)接收并保存到數(shù)據(jù)庫中。