一种基于文件访问控制和进程访问控制的服务器加固方法技术

本发明专利技术公开了一种基于文件访问控制和进程访问控制的服务器加固方法，利用服务器加固装置对服务器进行加固，使系统成为安装有安全内核的系统，服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块。本发明专利技术解决了传统安全软件被动防御现状，使服务器具备主动防御的能力，为服务器提供全面的安全保护。

【技术实现步骤摘要】

本专利技术涉及Windows操作系统文件过滤驱动技术、进程访问控制技术，具体是一种基于文件访问控制和进程访问控制的服务器加固方法。
技术介绍
随着国民经济和社会事业的发展，网络信息技术在人们的日常工作和生活中发挥着越来越重要的作用，人们在积极参与国民经济和社会信息化进程的同时，也在充分享受信息技术为我们工作和生活所带来的便利。各种网站所面临的Web应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等，极大地困扰着用户，给组织的信息网络和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵和攻击、保证Web应用系统的安全和正常运行成为目前所面临的一个重要问题。传统系统层安全解决方案，虽然产品众多，但安全事件依然频发，究其原因是其只能解决系统中某“点”的安全(如HIDS、HIPS、安全审计、文档安全、杀毒软件等产品的相应作用)，即使联合使用多种产品，也只能分别解决相应几“点”的安全。因设计体系上的问题，即使“点”的安全解决再多也很难连成“面”，所以无法从根本上解决系统层的安全问题。
技术实现思路
本专利技术的目的在于提供一种基于文件访问控制和进程访问控制的服务器加固方法，解决了传统安全软件被动防御现状，使服务器具备主动防御的能力，为服务器提供全面的安全保护。为实现上述目的，本专利技术提供如下技术方案：一种基于文件访问控制和进程访问控制的服务器加固方法，利用服务器加固装置对服务器进行加固，使系统成为安装有安全内核的系统，所述的服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块；双重身份认证模块，用户采用USBKey和密码双重身份证方式，只有插入USBKey输入正确的口令才能登录，否则无法登录；USB外设管制模块，对USB存储设备进行禁用，未经授权禁止使用，而对非USB存储设备不影响其正常的使用；注册表访问控制模块，对注册表访问进行监控，对于未经授权禁止修改；网络控制模块，对于未经授权开放的端口禁止外部网络访问，未经授权的进程禁止使用网络功能，对于已经授权的进程允许外对访问指定IP或端口；进程保护机制模块，对于进程采用白名单机制，对进程进行指纹识别，指纹识别方法包MD5值和微软数字签名，符合白名单的进程能正常启动和使用，不在其中的禁止运行；敏感数据的访问控制模块，对于敏感的数据采用windows文件过滤驱动技术，对于未经授权的进程禁止访问，已经授权进程能根据敏感的数据要求授予读、写、删除功能；系统自身防护模块，采用进程指纹识别、进程防杀和A与B进程方式，保护系统自身进程不被异常终止、伪造。作为本专利技术进一步的方案：所述的系统为WindowsServer系列、AIX、Solaris、HP-UNIX、Redhat、Linux操作系统中的任意一种。作为本专利技术进一步的方案：其实现流程如下：（1）首先建立合法进程的数字签名和MD5值池并保存到数据库中，收集数字签名和MD5值的方法包括静态方法和动态方法：静态方法是通过收集工具选取指定的程序，读取微软的数字签名和对进程的二进制文件进行MD5运算；动态的方法是本安装有安全内核的系统的控制中心下发策略，通过本系统后台服务向本系统的终端发起读取数字签名和MD5值的命令，终端执行完成命令后回传给后台服务，后台服务接收并保存到数据库中。（2）建立用户权限组和用户帐户，并将用户加入到指定的权限组中，用户能归属不同的组，实现一个用户能兼任多种角色；初始化用户的身份证的密码和登录认证USBKey；用户第一次登录本系统时必须修改密码，之后必须插入USBKey和输入用户和密码才能正确登录本系统，未登录本系统将电脑进行锁屏处理。（3）进程控制的流程，包括：31）运行控制，首先通过进程保护机制模块监控到进程的创建动作，读取进程文件的数字签名和对文件内容进行MD5运算，查找本系统控制中心配置的策略来匹配是否为合法进程，如果是合法进程则允许此进程运行，如果不是合法进程则禁止此进程运行，并生成相应的日志上传到本系统的后台保存；32）注册表访问控制，首先通过注册表访问控制模块监控到访问注册表的读取或者写入行为，查找本系统控制中心配置的策略来匹配是否允许访问，如果允许访问则放行，如果不允许访问则返回失败，并生成相应的日志上传到本系统的后台服务保存到数据库中；33）网络访问控制，首先通过网络控制模块监控进程的网络的访问，对TCP/IP包进行拦截，查找本系统控制中心配置的策略来匹配是否允许访问的协议、端口、IP地址，如果是允许访问的则返回成功，如果是不允许访问的则返回失败，并生成相应的日志上传到本系统的后台服务保存到数据库中。（4）文件访问控制流程敏感数据的访问控制模块，采用的是基于WindowsMiniFilter框架的文件过滤驱动和Linux文件过滤驱动来实现对指定的敏感数据目录下所有的文件或者敏感数据文件的新建、读取、修改、覆盖、删除操作：41）首先注册IRP包处理回调例程接口，对IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION的IRP包进行过滤，就能实现对敏感数据的访问控制；新建、读取、修改、覆盖操作的过滤是在IRP_MJ_CREATE例程中实现，对于删除文件的过滤是在IRP_MJ_SET_INFORMATION例程实现；42）设置新建、覆盖、读取、修改、删除标志为TRUE；43）新建，查找本系统控制中心配置的策略，对文件或目录进行匹配，如果匹配成功，设置新建标志为FALSE，并对文件或目录的打开标志进行判断，如果包含有FILE_CREATE标志，则设置新建标志为TRUE；否则判断是否包含有FILE_OPEN_IF或FILE_OVERWRITE_IF标志，如果包含再继续判断该文件或目录是否存在，如果该文件或目录不存在，则设置新建标志为TRUE；44）覆盖，查找本系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置覆盖标志为FALSE，并对文件或目录的打开标志进行判断，如果包含有FILE_SUPERSEDE或者FILE_OVERWRITE标志，则设置覆盖标志为TRUE，否则判断是否包含有FILE_OPEN_IF或FILE_OVERWRITE_IF标志，如果包含再继续判断该文件是否存在，如果该文件存在，则设置覆盖标志为TRUE；45）读取，查找本系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置读取标志为FALSE，并对该文件的读写标志进行判断，如果包含FILE_READ_DATA、FILE_READ_ATTRIBUTES、FILE_READ_EA中的任意一个标志，设置读取标志为TRUE；46）修改，查找系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置修改标志为FALSE，并对文件的读写标志进行判断，如果包含FILE_WRITE_DATA、FILE_APPEND_DATA、FILE_WRITE_EA中的任意一个标志，设置修改标志为TRUE；47）删除，查找本系统控制中心配置的策略，对文件进行匹配，如果匹配成功，设置删除标志为FALSE，判断查询文件的信息标志是本文档来自技高网...

【技术保护点】
一种基于文件访问控制和进程访问控制的服务器加固方法，利用服务器加固装置对服务器进行加固，使系统成为安装有安全内核的系统，其特征在于，所述的服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块；双重身份认证模块，用户采用USB Key和密码双重身份证方式，只有插入USB Key输入正确的口令才能登录，否则无法登录；USB外设管制模块，对USB存储设备进行禁用，未经授权禁止使用，而对非USB存储设备不影响其正常的使用；注册表访问控制模块，对注册表访问进行监控，对于未经授权禁止修改；网络控制模块，对于未经授权开放的端口禁止外部网络访问，未经授权的进程禁止使用网络功能，对于已经授权的进程允许外对访问指定IP或端口；进程保护机制模块，对于进程采用白名单机制，对进程进行指纹识别，指纹识别方法包MD5值和微软数字签名，符合白名单的进程能正常启动和使用，不在其中的禁止运行；敏感数据的访问控制模块，对于敏感的数据采用windows文件过滤驱动技术，对于未经授权的进程禁止访问，已经授权进程能根据敏感的数据要求授予读、写、删除功能；系统自身防护模块，采用进程指纹识别、进程防杀和A与B进程方式，保护系统自身进程不被异常终止、伪造。...

【技术特征摘要】
1.一种基于文件访问控制和进程访问控制的服务器加固方法，利用服务器加固装置对服务器进行加固，使系统成为安装有安全内核的系统，其特征在于，所述的服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块；双重身份认证模块，用户采用USBKey和密码双重身份证方式，只有插入USBKey输入正确的口令才能登录，否则无法登录；USB外设管制模块，对USB存储设备进行禁用，未经授权禁止使用，而对非USB存储设备不影响其正常的使用；注册表访问控制模块，对注册表访问进行监控，对于未经授权禁止修改；网络控制模块，对于未经授权开放的端口禁止外部网络访问，未经授权的进程禁止使用网络功能，对于已经授权的进程允许外对访问指定IP或端口；进程保护机制模块，对于进程采用白名单机制，对进程进行指纹识别，指纹识别方法包MD5值和微软数字签名，符合白名单的进程能正常启动和使用，不在其中的禁止运行；敏感数据的访问控制模块，对于敏感的数据采用windows文件过滤驱动技术，对于未经授权的进程禁止访问，已经授权进程能根据敏感的数据要求授予读、写、删除功能；系统自身防护模块，采用进程指纹识别、进程防杀和A与B进程方式，保护系统自身进程不被异常终止、伪造。2.根据权利要求1所述的基于文件访问控制和进程访问控制的服务器加固方法，其特征在于，所述的系统为WindowsServer系列、AIX、Solaris、HP-UNIX、Redhat、Linux操作系统中的任意一种。3.根据权利要求1所述的基于文件访问控制和进程访问控制的服务器加固方法，其特征在于，其实现流程如下：（1）首先建立合法进程的数字签名和MD5值池并保存到数据库中，收集数字签名和MD5值的方法包括静态方法和动态方法：静态方法是通过收集工具选取指定的程序，读取微软的数字签名和对进程的二进制文件进行MD5运算；动态的方法是本安装有安全内核的系统的控制中心下发策略，通过本系统后台服务向本系统的终端发起读取数字签名和MD5值的命令，终端执行完成命令后回传给后台服务，后台服务接收并保存到数据库中。（2）建立用户权限组和用户帐户，并将用户加入到指定的权限组中，用户能归属不同的组，实现一个用户能兼任多种角色；初始化用户的身份证的密码和登录认证USBKey；用户第一次登录本系统时必须修改密码，之后必须插入USBKey和输入用户和密码才能正确登录本系统，未登录本系统将电脑进行锁屏处理。（3）进程控制的流程，包括：31）运行控制，首先通过进程保护机制模块监控到进程的创建动作，读取进程文件的数字签名和对文件内容进行MD5运算，查找本系统控制中心配置的策略来匹配是否为合法进程，如果是合法进程则允许此进程运行，如果不是合法进程则禁止此进程运行，并生成相应的日志上传到本系统的后台保存；32）注册表访问控制，首先通过注册表访问控制模块监控到访问注册表的读取或者写入行为，查找本系统控制中心配置的策略来匹配是否允许访问，如果允许访问则放行，如果不允许访问则返回失败，并生成相应的日志上传到本系统的后台服务保存到数据库中；33）网络访问控制，首先通过网络控制模块监控进程的网络的访问，对TCP/IP包进行拦截，查找本系统控制中心配置的策略来匹配是否允许访问的协议、端口、IP地址，如果是允许访问的则返回成功，如果是不允许访问的则返回失败，并生成相应的日志上传到本系统的后台...

【专利技术属性】
技术研发人员：张军，肖赛龙，
申请(专利权)人：广东七洲科技股份有限公司，
类型：发明
国别省市：广东;44