[发明专利]面向终端计算机的安全在线检查系统

说明书

技术领域

本发明属于计算机安全检查技术领域。

背景技术

在大规模的网络系统中通常包括大量不同的网络设备，例如网关、路由器和向用户提供服务、运行各种应用程序的服务器、客户机。设备、服务、应用程序、服务器、客户机以及用户，甚至他们之间的关系都是需要管理的对象。在这种大规模网络系统的内部高度复杂，导致管理异常困难，管理周期冗长，而且随着系统规模的扩大，管理的开销也成指数规律增加。

网络安全策略的管理是任何网络系统管理必不可少的一部分，网络安全配置的不当，一方面可能使一些用户有了过高的权限，而使另一些需要高权限的用户却得不到相应的权限，造成权限配置不当；另一方面还可能给网络带来非常大的安全隐患，降低整个网络的安全防御能力。

目前通用的操作是利用计算机提供的各种功能去设置和获取这些策略，但是这些功能较分散，而且设置的不够充分，达不到用户需要的很多重要的功能。对于已有的功能也需要用户需要一定的计算机专业技术知识才能够使用，且设置繁琐，不利于用户的操作。

发明内容

本发明的技术解决问题：克服现有技术的不足，提供一种面向终端计算机的安全在线检查系统，该系统能够实现一台中心计算机对网络内的所有终端计算机进行集中在线检查，检查效率高。

本发明的技术解决方案：面向终端计算机的安全在线检查系统，在一台中心计算机上在线对所有终端计算机进行集中检查，所有的计算机之间通过网络连接；所述的系统包括在线检查工具、封装模块和中心计算机，封装模块将在线检查工具打包成CAB的形式并存储在中心计算机上，中心计算机将CAB嵌入IE浏览器，终端计算机通过IE浏览器从中心计算机上下载该CAB并自动安装；所述在线检查工具包括统一数据接口模块、安全检查单元和显示模块；

用户通过中心计算机上的IE浏览器输入期望检查的项目指令及对应检查项目的输入信息，每台终端计算机上的统一数据接口模块对接收的项目指令及对应检查项目的输入信息传送至安全检查单元，安全检查单元根据项目指令启动策略安全在线检查或者补丁安全在线检查或者硬件资源信息安全在线检查或者软件安全在线检查，并将检查结果交由显示模块进行显示。

所述的安全检查单元包括策略定义模块、查询分析模块、策略内比模块、资源信息抓取模块、信息解析模块、分析处理模块、策略定制模块、统一数据接口模块、补丁解析模块、查询模块、下载分发模块、软件信息获取模块、软件控制模块；

当接收的项目指令为策略安全在线检查指令时，对应的检查项目的输入信息为每台终端计算机期望检查的策略类型、策略内容、策略生效时间以及策略生效的有效条件，具体检查步骤如下：

查询分析模块：启动策略定义模块，同时根据策略安全在线检查指令从本地计算机上抓取策略映射表中策略类型对应的策略内容的实际值，并将该实际值填充到策略映射表相应的扩展项中；根据统一数据接口模块发送的策略类型、策略内容、策略生效时间以及策略生效的有效条件，将传入的策略有效时间填充到对应的策略映射表中，将策略生效的有效条件根据相应策略内容，与策略内容对应的唯一标识值一起存储；

策略定义模块：根据统一数据接口模块发送的策略类型及策略内容，建立策略映射表；该策略映射表包括唯一标识值、策略类型、策略内容、策略生效时间和扩展项四项内容；策略类型与策略内容为一对一或者一对多的关系，策略内容为对应的策略类型的策略检查要求；扩展项为相应策略内容的实际值，唯一标识值与策略内容、策略生效时间、扩展项一一对应；

策略内比模块：将策略映射表中的扩展项内容与查询分析模块存储的唯一标识值对应的策略生效有效条件进行内比，将内比结果连同对应的唯一标识值一起存储并传给显示模块及统一数据接口模块；

当接收的项目指令为补丁安全在线检查指令时，具体检查步骤如下：