[发明专利]一种基于强制访问控制的Windows系统文件防护方法

说明书

技术领域

本发明涉及计算机系统安全技术领域，特别涉及一种基于强制访问控制的Windows系统文件防护方法。

背景技术

随着网络的普及和应用，各类网络应用层出不穷。网络在给企业带来收益的同时也存在着各种安全风险，网络服务的漏洞一旦被发现并利用，整个主机和存储的数据信息将完全暴露在攻击者面前，从而造成严重的损失。如何保证网络服务主机的安全引起了大家越来越多的关注。

基于此，本发明提出了一种基于强制访问控制的Windows系统文件防护方法。通过分析得到的系统中的关键文件，结合SSR（浪潮主机安全增强系统）的文件强制访问控制功能，对系统中的关键文件进行最后一层防护，从最根本上防止恶意上传和破坏，保证网络服务主机的安全和稳定。SSR是基于对主机的内核级安全增强防护，当未经授权的内、外网用户进入了主机内部，它通过对原有系统管理员的权力进行分散，使其不再具有对系统自身安全构成威胁的能力，从而达到从根本上保障系统安全的目的。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种简单高效的基于强制访问控制的Windows系统文件防护方法。

本发明是通过如下技术方案实现的：

一种基于强制访问控制的Windows系统文件防护方法，其特征在于：首先在服务器上安装SSR客户端，在本地计算机上安装SSR控制端，计算机SSR控制端通过三层交换机连接外网，服务器SSR客户端也连接到三层交换机，所述三层交换机与外网之间还连接有防火墙；然后通过对已知漏洞和高危文件的分析，得到Windows系统中的关键文件列表，并确定需要防护的系统的关键路径，修改提前制定好的文件防护规则模版中文件的路径，通过SSR的文件强制访问控制功能进行文件防护规则配置和下发，实现对系统中的关键文件的底层防护。

通过分析发现，当前Windows主机环境下被攻击率较高的文件包括以下几类文件：.EXE、.CMD、.COM、.MSI、.DLL、.PIF、.LNK、.SCR、.SYS、.BAT、.VBE、.VBS、.REG；针对上述类型文件，制定文件防护策略，并做成基于SSR的文件防护规则模版，根据系统环境中的关键路径，修改规则路径，然后使用SSR的规则导入功能将文件防护规则导入，从而按照规则对系统中的关键文件进行内核级的强制访问控制。

针对关键类型文件，制定文件防护策略，所述文件防护策略具体如下：设置.EXE、.CMD、.COM、.MSI、.DLL、.PIF、.LNK、.SCR、.SYS、.BAT、.VBE、.VBS格式的文件对于所有进程均只有读权限；设置.REG格式的文件对所有进程无任何权限。

本发明的有益效果是：该基于强制访问控制的Windows系统文件防护方法，基于白名单，与其他黑名单形式的防护手段形成了互补，且实现于内核层，即使攻击者突破了防火墙、IPS、WAF、杀毒软件等防护设备，获取了系统的管理员权限，准备上传木马或修改、破坏系统中的关键文件时，基于内核层文件强制访问控制的文件防护策略仍能阻止其恶意行为，从而使主机环境不受破坏，同时赢得宝贵的漏洞修复和攻击溯源时间。

附图说明

附图1为本发明基于强制访问控制的Windows系统文件防护系统示意图。

附图2为本发明基于强制访问控制的Windows系统文件防护方法示意图。

具体实施方式

为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行详细的说明。应当说明的是，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

该基于强制访问控制的Windows系统文件防护方法，首先在服务器上安装SSR客户端，在本地计算机上安装SSR控制端，计算机SSR控制端通过三层交换机连接外网，服务器SSR客户端也连接到三层交换机，所述三层交换机与外网之间还连接有防火墙；然后通过对已知漏洞和高危文件的分析，得到Windows系统中的关键文件列表，并确定需要防护的系统的关键路径，修改提前制定好的文件防护规则模版中文件的路径，通过SSR的文件强制访问控制功能进行文件防护规则配置和下发，实现对系统中的关键文件的底层防护。