本發明提出了一種基于自主可控BIOS的安全保障方法、計算機及存儲介質；方法包括：在操作系統中預設虛擬設備驅動程序，虛擬設備驅動程序用于記錄惡意程序的特征及對應的處理方式；響應于UEFI啟動并加載虛擬設備驅動程序，基于虛擬設備驅動程序中記錄的惡意程序的特征對操作系統的內核程序進行特征比對，并對識別出的存在安全隱患的操作系統的內核程序采用對應的處理方式進行處理；在操作系統運行的過程中，響應于相應的操作系統程序檢測到惡意程序，對惡意程序的特征進行提取，并獲得相應的操作系統程序對惡意程序的處理方式；將惡意程序的特征及對應的處理方式更新到虛擬設備驅動程序中。本發明能夠在惡意程序運行之前，從根源上識別惡意程序并處理。

技術領域

本發明涉及計算機應用技術領域，尤其涉及一種基于自主可控BIOS的安全保障方法、計算機及存儲介質。

背景技術

近些年來隨著各類病毒攻擊技術的不斷成熟發展。僅僅憑借操作系統級別的安全保障體系進行防護已經不能滿足信息安全技術發展的需要。計算機安全機制應該進一步拓展到系統固件層，甚至硬件層。在自主可控的技術要求下，固件作為計算機處理器最早執行的軟件，其安全性直接影響上層操作系統和整個計算機安全體系。針對固件安全問題的研究已經成為信息安全領域研究和關注的新熱點。

UEFI(Unified Extensible Firmware Interface)統一的可擴展固件接口是Intel為全新類型的固件體系架構、接口和服務提出的一種建議標準，可以提供一組在操作系統加載之前所有平臺一致的、正確引導的啟動服務。隨著UEFI內核的開源，其自身的安全可控性和高可用性，非常符合現階段我國自主可控軟硬件發展的需求，得到了廣大研發人員的認可。UEFI的普及和發展離不開行業支持的開源實現及行業制定的平臺固件規范，也確保它可以獲得來自整個行業的廣泛支持和投資，并且推進了整個行業的技術變革。

隨著UEFI固件逐漸替代傳統的BIOS，針對其安全性問題的研究也越來越多。在自主可控的UEFI開發中融入了關于可信啟動、數字簽名和數字摘要等服務功能，這些定義符合可信計算組織制定的可信平臺規范，可用于固件執行過程中的完整性檢查和身份證。這些研究成果主要集中在可信計算領域，以數字認證技術為核心，通過禁止固件中未知代碼的運行或部分限制其行為來避免對系統的啟動造成危害。在實際應用中，UEFI固件雖然能夠保證固件自身的安全，但由于管理復雜，整個系統的靈活性和擴展性較差，因此不能適應環境變化的需求，缺乏靈活的安全管理機制。其次，目前的自主可控UEFI的研究成果只著眼于保護UEFI固件本身的安全，而未考慮將UEFI納入整個計算機系統的安全防范體系中，缺乏連貫性和聯系。以往的惡意入侵的目的通常不僅僅是破壞系統固件或簡單地阻止操作系統的啟動，而是利用底層的漏洞從源頭開始向系統中植入惡意病毒等，進而在操作系統加載之初獲得整個計算機體系的控制權，實現對上層操作系統的入侵。因此，自主可控的UEFI固件需要更加完善的安全保障系統。

發明內容

為解決上述技術問題，在本發明的一個方面，提出了一種基于自主可控BIOS的安全保障方法，所述方法包括：在操作系統中預設虛擬設備驅動程序，所述虛擬設備驅動程序用于記錄惡意程序的特征及對應的處理方式；響應于UEFI啟動并加載所述虛擬設備驅動程序，基于所述虛擬設備驅動程序中記錄的惡意程序的特征對操作系統的內核程序進行特征比對，并對識別出的存在安全隱患的操作系統的內核程序采用對應的處理方式進行處理；在操作系統運行的過程中，響應于相應的操作系統程序檢測到惡意程序，對所述惡意程序的特征進行提取，并獲得所述相應的操作系統程序對所述惡意程序的處理方式；將所述惡意程序的特征及對應的處理方式更新到所述虛擬設備驅動程序中。

在一個或多個實施例中，所述基于所述虛擬設備驅動程序中記錄的惡意程序的特征對操作系統的內核程序進行特征比對，包括：基于所述虛擬設備驅動程序中記錄的惡意程序的特征對操作系統的內核程序進行全功能的數據對比，以識別出存在安全隱患的內核程序。