一种操作系统安全加固装置及运行方法制造方法及图纸

本发明专利技术提供了一种操作系统安全加固装置及运行方法，其中，装置包括：文件访问规则链表，用于存储服务器操作系统内配置文件与用户之间相互对应的访问规则；文件防护模块，用于截获目标用户针对目标配置文件的业务请求，当目标用户和目标文件的访问规则为允许访问时，向检测模块发送检测指令；在接收到指示信息后，将业务请求转发给处理装置，使得处理装置对目标配置文件进行相应的业务处理；检测模块，用于存储每一个配置文件分别对应的第一特征值；计算目标配置文件的第二特征值，当目标配置文件的第一特征值和第二特征值相同时，向文件防护模块发送表征目标配置文件完整性未受到破坏的指示信息。本发明专利技术的技术方案，可提高服务器的安全性。

【技术实现步骤摘要】

本专利技术涉及计算机
，特别涉及一种操作系统安全加固装置及运行方法。
技术介绍
随着信息技术的发展，完成数据处理业务及数据存储业务的服务器的安全性已日趋重要。目前，为了防止入侵者入侵服务器以窃取或破坏服务器内的业务数据，通常利用利用服务器组建一个受保护的网络，以防火墙的形式在服务器操作系统内安装相应的安全加固软件，只有经过授权允许的应用协议才能通过防火墙，可禁止如NFS(Network File System，网络文件系统)协议进出受保护的网络、以及拒绝IP(Internet Protocol，网络之间互联的协议)选项中的源路由攻击和ICMP(Internet Control Message Protocol，控制报文协议)重定向路径攻击等多种攻击类型的报文，在受到攻击时可及时通知防火墙管理员。但是，在上述技术方案中，由于服务器操作系统的用户具备较高的管理权限，一旦入侵者窃取到用户帐号及密码，即可以用户身份获取服务器操作系统内配置文件的使用权利，通过恶意修改或删除服务器操作系统的配置文件等技术手段威胁服务器安全。
技术实现思路
本专利技术实施例提供了一种操作系统安全加固装置及运行方法，可提高服
务器安全性。第一方面，本专利技术提供了一种操作系统安全加固装置，包括：文件访问规则链表，用于存储服务器操作系统内至少一个配置文件与至少一个用户之间相互对应的访问规则；文件防护模块，用于截获目标用户针对目标配置文件的业务请求，查询所述文件访问规则链表，当所述文件访问规则链表中对应所述目标用户和所述目标文件的访问规则为允许访问时，向检测模块发送对应目标配置文件的检测指令；在接收到检测模块发送的指示信息后，将截获的业务请求转发给外部处理装置，使得外部处理装置根据所述业务请求对目标配置文件进行相应的业务处理；检测模块，用于存储每一个所述配置文件分别对应的第一特征值；在接收到对应目标配置文件的检测指令后，计算目标配置文件的第二特征值，当目标配置文件的第一特征值和第二特征值完全相同时，向所述文件防护模块发送表征目标配置文件完整性未受到破坏的指示信息。进一步的，所述业务请求对应的业务处理包括：删除目标配置文件或修改目标配置文件；和/或，所述特征值，包括：哈希值。进一步的，还包括：应用程序规则链表和应用程序防护模块；所述应用程序规则链表，用于存储至少一个应用程序的执行规则；所述应用程序防护模块，用于截获针对目标应用程序的执行请求，查询所述应用程序规则链表，当所述应用程序规则链表中对应所述目标应用程序的执行规则为允许执行时，向检测模块发送对应所述目标应用程序的检测指令；在接收到检测模块发送的可执行指令后，将截获的执行请求转发给外部处理装置，使得外部处理装置根据所述执行请求完成相应的业务处理；所述检测模块，进一步用于存储每一个所述应用程序分别对应的第三特
征值；在接收到对应所述目标应用程序的检测指令后，计算所述目标应用程序的第四特征值，当所述目标应用程序的第三特征值和第四特征值完全相同时，向所述应用程序防护模块发送表征目标应用程序完整性未受到破坏的可执行指令。进一步的，还包括：授权模块和用户防护模块；所述授权模块，用于向至少一个用户授权用户信息，其中，所述用户信息包括用户名称、密码参数和通用串行总线USB认证参数；以及，授权每一个用户分别对应的如下保护选项中的一种或多种：新增用户信息、删除用户信息和修改用户信息；所述用户防护模块，用于截获对应目标用户的登录请求，检测所述登录请求携带的用户信息是否为所述授权模块授权的用户信息，如果是，则将所述登录请求转发给外部处理装置，以使得外部处理装置允许所述目标用户登录；截获针对目标用户的操作指令，检测所述目标用户对应的至少一个保护选项中是否存在对应所述操作指令的保护选项，如果不存在，则将截获的操作指令转发给外部处理装置，使得外部处理装置根据所述操作指令完成相应的业务处理。进一步的，还包括：进程防护链表和进程防护模块；所述进程防护链表，用于存储至少一个业务进程分别对应的标识信息；所述进程防护模块，用于截获针对目标业务进程的终止执行指令，查询所述进程防护链表，当所述进程防护链表中存在对应所述目标业务进程的标识信息时，将所述终止执行指令转发给外部处理装置，以使得外部处理装置终止所述目标业务进程。第二方面，本专利技术提供了一种如上述第一方面中任一所述操作系统安全加固装置的运行方法，包括：S0：预先设置文件访问规则链表，利用文件访问规则链表存储至少一个配置文件与至少一个用户之间相互对应的访问规则；S1：利用检测模块存储每一个所述配置文件分别对应的第一特征值；S2：利用文件防护模块截获目标用户针对目标配置文件的业务请求，查询所述文件访问规则链表，当所述文件访问规则链表中对应所述目标用户和所述目标文件的访问规则为允许访问时，向检测模块发送对应目标配置文件的检测指令；S3：利用检测模块在接收到对应目标配置文件的检测指令后，计算目标配置文件的第二特征值，当目标配置文件的第一特征值和第二特征值完全相同时，向所述文件防护模块发送表征目标配置文件完整性未受到破坏的指示信息；S4：利用文件防护模块在接收到检测模块发送的指示信息后，将截获的业务请求转发给外部处理装置，使得外部处理装置根据所述业务请求对目标配置文件进行相应的业务处理。进一步的，所述业务请求对应的业务处理包括：删除目标配置文件或修改目标配置文件；和/或，所述特征值，包括：哈希值。进一步的，还包括：预先设置应用程序规则链表，利用应用程序规则链表存储至少一个应用程序的执行规则；以及，利用检测模块存储每一个所述应用程序分别对应的第三特征值；利用应用程序防护模块截获针对目标应用程序的执行请求，查询所述应用程序规则链表，当所述应用程序规则链表中对应所述目标应用程序的执行规则为允许执行时，向检测模块发送对应所述目标应用程序的检测指令；利用检测模块在接收到对应所述目标应用程序的检测指令后，计算所述目标应用程序的第四特征值，当所述目标应用程序的第三特征值和第四特征值完全相同时，向所述应用程序防护模块发送表征目标应用程序完整性未受到破坏的可执行指令；利用应用程序防护模块在接收到检测模块发送的可执行指令后，将截获的执行请求转发给外部处理装置，使得外部处理装置根据所述执行请求完成相应的业务处理。进一步的，还包括：利用授权模块向至少一个用户授权用户信息，其中，所述用户信息包括用户名称、密码参数和通用串行总线USB认证参数；以及，授权每一个用户分别对应的如下保护选项中的一种或多种：新增用户信息、删除用户信息和修改用户信息；利用用户防护模块截获对应目标用户的登录请求，检测所述登录请求携带的用户信息是否为所述授权模块授权的用户信息，如果是，则将所述登录请求转发给外部处理装置，以使得外部处理装置允许所述目标用户登录；截获针对目标用户的操作指令，检测所述目标用户对应的至少一个保护选项中是否存在对应所述操作指令的保护选项，如果不存在，则将截获的操作指令转发给外部处理装置，使得外部处理装置根据所述操作指令完成相应的业务处理。进一步的，还包括：预先设置进程防护链表，利用进程防护链表存储至少一个业务进程分别对应的标识信息；利用进程防护模块截获针对目标业务进程的终止执行指令，本文档来自技高网...

【技术保护点】
一种操作系统安全加固装置，其特征在于，包括：文件访问规则链表，用于存储服务器操作系统内至少一个配置文件与至少一个用户之间相互对应的访问规则；文件防护模块，用于截获目标用户针对目标配置文件的业务请求，查询所述文件访问规则链表，当所述文件访问规则链表中对应所述目标用户和所述目标文件的访问规则为允许访问时，向检测模块发送对应目标配置文件的检测指令；在接收到检测模块发送的指示信息后，将截获的业务请求转发给外部处理装置，使得外部处理装置根据所述业务请求对目标配置文件进行相应的业务处理；检测模块，用于存储每一个所述配置文件分别对应的第一特征值；在接收到对应目标配置文件的检测指令后，计算目标配置文件的第二特征值，当目标配置文件的第一特征值和第二特征值完全相同时，向所述文件防护模块发送表征目标配置文件完整性未受到破坏的指示信息。

【技术特征摘要】
1.一种操作系统安全加固装置，其特征在于，包括：文件访问规则链表，用于存储服务器操作系统内至少一个配置文件与至少一个用户之间相互对应的访问规则；文件防护模块，用于截获目标用户针对目标配置文件的业务请求，查询所述文件访问规则链表，当所述文件访问规则链表中对应所述目标用户和所述目标文件的访问规则为允许访问时，向检测模块发送对应目标配置文件的检测指令；在接收到检测模块发送的指示信息后，将截获的业务请求转发给外部处理装置，使得外部处理装置根据所述业务请求对目标配置文件进行相应的业务处理；检测模块，用于存储每一个所述配置文件分别对应的第一特征值；在接收到对应目标配置文件的检测指令后，计算目标配置文件的第二特征值，当目标配置文件的第一特征值和第二特征值完全相同时，向所述文件防护模块发送表征目标配置文件完整性未受到破坏的指示信息。2.根据权利要求1所述的操作系统安全加固装置，其特征在于，所述业务请求对应的业务处理包括：删除目标配置文件或修改目标配置文件；和/或，所述特征值，包括：哈希值。3.根据权利要求1所述的操作系统安全加固装置，其特征在于，还包括：应用程序规则链表和应用程序防护模块；所述应用程序规则链表，用于存储至少一个应用程序的执行规则；所述应用程序防护模块，用于截获针对目标应用程序的执行请求，查询所述应用程序规则链表，当所述应用程序规则链表中对应所述目标应用程序的执行规则为允许执行时，向检测模块发送对应所述目标应用程序的检测指令；在接收到检测模块发送的可执行指令后，将截获的执行请求转发给外部
\t处理装置，使得外部处理装置根据所述执行请求完成相应的业务处理；所述检测模块，进一步用于存储每一个所述应用程序分别对应的第三特征值；在接收到对应所述目标应用程序的检测指令后，计算所述目标应用程序的第四特征值，当所述目标应用程序的第三特征值和第四特征值完全相同时，向所述应用程序防护模块发送表征目标应用程序完整性未受到破坏的可执行指令。4.根据权利要求1所述的操作系统安全加固装置，其特征在于，还包括：授权模块和用户防护模块；所述授权模块，用于向至少一个用户授权用户信息，其中，所述用户信息包括用户名称、密码参数和通用串行总线USB认证参数；以及，授权每一个用户分别对应的如下保护选项中的一种或多种：新增用户信息、删除用户信息和修改用户信息；所述用户防护模块，用于截获对应目标用户的登录请求，检测所述登录请求携带的用户信息是否为所述授权模块授权的用户信息，如果是，则将所述登录请求转发给外部处理装置，以使得外部处理装置允许所述目标用户登录；截获针对目标用户的操作指令，检测所述目标用户对应的至少一个保护选项中是否存在对应所述操作指令的保护选项，如果不存在，则将截获的操作指令转发给外部处理装置，使得外部处理装置根据所述操作指令完成相应的业务处理。5.根据权利要求1至4中任一所述的操作系统安全加固装置，其特征在于，还包括：进程防护链表和进程防护模块；所述进程防护链表，用于存储至少一个业务进程分别对应的标识信息；所述进程防护模块，用于截获针对目标业务进程的终止执行指令，查询所述进程防护链表，当所述进程防护链表中存在对应所述目标业务进程的标识信息时，将所述终止执行指令转发给外部处理装置，以使得外部处理装置终止所述...

【专利技术属性】
技术研发人员：邢希双，
申请(专利权)人：浪潮电子信息产业股份有限公司，
类型：发明
国别省市：山东;37