本發明提出了一種基于IMA保護Linux操作系統安全的系統和方法，首先，安全管理中心節點單元配置保護策略給被保護節點單元，其次，當被保護節點單元上系統可執行文件、系統動態鏈接庫、系統配置文件等需要運行、加載到Linux操作系統時，被保護節點單元利用IMA技術度量該客體得到度量值，然后上報度量值給安全管理中心節點單元，最后安全管理中心節點單元解析并確認被保護節點單元的身份信息后，比較上傳的度量值與事先收集的基準值是否相同，來判斷被保護客體是否被篡改，從而保護被保護節點單元上Linux操作系統的安全。本發明保護了Linux操作系統核心系統文件的完整性，增強了Linux操作系統的安全性，并且保護周期會伴隨著整個操作系統運行階段。

技術領域

本發明涉及Linux操作系統安全領域，一種基于IMA保護Linux操作系統安全的系統和方法。

背景技術

隨著計算機技術的發展和網絡應用的普及，信息安全越來越收到人們的重視。計算機操作系統不僅是各種應用程序運行的基礎，更是各種應用的載體。目前，保護Linux操作系統的安全主要由防火墻和殺毒軟件進行防護。防火墻主要阻止網絡攻擊和網絡滲透，殺毒軟件主要依靠病毒庫和病毒行為特征進行告警和攔截。防火墻和殺毒軟件大都是被動的檢測網絡攻擊和病毒行為，而不太關注Linux操作系統本身的安全，比如系統動態鏈接庫被攻擊時，傳統的安全防護軟件大都無法進行有效防護。

發明內容

針對以上缺點，本發明提出了一種基于IMA保護Linux操作系統安全的系統和方法，可以保護Linux操作系統核心系統文件的完整性，增強了Linux 操作系統的安全性。

本發明實施例提供了一種基于IMA保護Linux操作系統安全的系統和方法，該系統包括：

安全管理中心節點單元和被保護節點單元；

安全管理中心節點單元：用于統一的策略配置和安全狀態判斷；

被保護節點單元：負責安全策略保存，IMA完整性度量和上報度量值；所述被保護節點單元為被保護Linux操作系統安全的節點。

進一步的，所述安全管理中心節點單元包括安全策略配置模塊、基準值收集模塊和安全狀態判斷模塊；

安全策略配置模塊：用于下發基礎文件到被保護節點節點單元、同時設置安全管理中心節點單元的工作模式；所述工作模式包括R模式和A模式；所述R模式為基準值收集模式；所述A模式為安全狀態監控模式；

基準值收集模塊：用于安全管理中心節點單元的工作模式為R模式時，收集安全策略配置模塊對應的基礎文件的基準值；所述基準值收集模塊應用的場景包括第一次部署基礎文件到被保護節點單元、更新基礎文件到被保護節點單元和被保護節點單元系統升級；

安全狀態判斷模塊：用于安全管理中心節點單元的工作模式為A模式時，判斷所述被保護節點單元的安全狀態；所述安全狀態判斷模塊應用的場景為實時監控被保護節點單元的安全狀態。

進一步的，所述被保護節點單元包括安全策略保存模塊、IMA完整性度量模塊和度量值上報模塊；

安全策略保存模塊：用于接受并保存安全策略對應的基礎文件到IMA配置文件；

IMA完整性度量模塊：用于計算所述被保護節點單元上基礎文件的度量值；

度量值上報模塊：用于上報基礎文件的度量值給安全管理中心節點單元。

進一步的，所述基礎文件為需要保護的系統文件，所述基礎文件包括系統可執行文件、系統動態鏈接庫、系統配置文件和指定某類文件。

一種基于IMA保護Linux操作系統安全的方法，是在一種基于IMA保護 Linux操作系統安全的系統實現的，包括以下步驟：