本發明公開了一種針對可信計算平臺的安全策略管理系統，包括策略模板配置管理下發模塊與安全策略配置管理下發模塊。策略模板配置管理下發模塊定制不同安全級別的策略模板以滿足系統差異性的安全需求，安全策略管理系統首先進行策略配置，并存儲到中心策略數據庫，之后，將中心策略數據庫中的策略以在線發布或離線導出的形式傳遞給終端。本發明建立了安全策略及其模板管理下發機制，解決了在可信計算平臺的多級管理中心運行過程中，由于安全策略種類繁多、策略規范不統一、不同安全等級對應的策略內容不同等引起的安全策略的下發混亂，不利于管理的問題。

技術領域

本發明屬于可信計算平臺的多級管理中心運行安全技術領域，具體涉及一種針對可信計算平臺的安全策略管理系統?。

背景技術

可信計算是指計算機系統所提供的服務是可以論證其是可信賴的，可信計算的原理是在系統啟動、運行階段信任鏈從信任根開始到硬件平臺、到操作系統、再到應用，一級認證一級，一級信任一級。為了認證系統啟動到軟件運行整個過程的可信，必須依據相關的認證策略，如：訪問控制策略、度量策略、主機策略、網絡策略、審計策略、文件策略、軟件度量策略等等。此外在多級管控系統中，由于存在不同級別的中心，各個中心所管理的下級中心或者終端的密級又不同，而不同安全等級對安全策略的需求不同。過多的安全策略種類以及多種安全等級同時存在等需求，易造成策略規范不統一、管理混亂等問題，導致策略配置、下發過程出現問題，引起安全隱患。因此安全策略的統一管理與下發在可信計算多級管控系統中尤為重要。

發明內容

針對目前多級管理系統存在管理中心到管理中心的策略模板下發，管理中心到終端的策略下發兩種情況，易造成策略下發混亂等嚴重問題，本發明針對此問題提出在中心到中心之間下發指定安全等級的策略模板，在中心到終端下發相應的安全策略。

解決上述技術問題所采用的技術方案，是采用一種針對可信計算平臺的安全策略管理系統，該系統包括策略模板配置管理下發模塊與安全策略配置管理下發模塊。

策略模板配置管理下發模塊：定制不同安全級別的策略模板以滿足系統差異性的安全需求，并支持各策略模板查詢、添加、刪除功能，支持各策略模板從上級管理中心到下級管理中心的在線下發和離線導入導出功能。

各策略模板從上級管理中心到下級管理中心的在線下發步驟：

（1）選擇要下發的密級，根據選擇的密級獲取密級編號，查詢本地數據庫獲取對應密級的策略內容。其中，定制不同安全級別的策略模板是由策略管理員定制新的策略模板，或者或者由管理員對原有策略模板進行修改來適應系統安全需求的動態變化。

（2）選擇要下發的主機，查詢數據庫獲取對應主機的IP地址；并判斷已選擇的主機是否在線，若不在線則不能采用在線下發模式下發策略模板。

（3）調用通信模塊，向目標主機發送策略模板數據。

（4）策略模板接收代理接收到策略模板數據后，將策略內容導入本地數據庫中。

各策略模板從上級管理中心到下級管理中心的導出步驟：

（1）首先獲取被選中的密級編號T_ID。

（2）查詢數據庫中對應T_ID的策略模板數據。

（3）生成相應的數據庫插入語句，語句形式如下所示：insert?into?host_templatevalues(T_ID,?T_Name,?P_ID,?P_Detail,?P_Mark)，并將該語句以“\n”為結束標志輸出到本地的/home/策略模板.txt文件中。

（4）連接資源注入介質，并獲取設備句柄，將上一步中生成的策略模板文檔導入到資源介質中。如果介質中已存在相同文檔，則先刪除該文檔再導入。

（5）刪除本地路徑/home/下的策略模板.txt文檔。