[发明专利]一种基于文件访问控制和进程访问控制的服务器加固方法

说明书

本发明公开了一种基于文件访问控制和进程访问控制的服务器加固方法，利用服务器加固装置对服务器进行加固，使系统成为安装有安全内核的系统，服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块。本发明解决了传统安全软件被动防御现状，使服务器具备主动防御的能力，为服务器提供全面的安全保护。

技术领域

本发明涉及Windows操作系统文件过滤驱动技术、进程访问控制技术，具体是一种基于文件访问控制和进程访问控制的服务器加固方法。

背景技术

随着国民经济和社会事业的发展，网络信息技术在人们的日常工作和生活中发挥着越来越重要的作用，人们在积极参与国民经济和社会信息化进程的同时，也在充分享受信息技术为我们工作和生活所带来的便利。各种网站所面临的Web应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等，极大地困扰着用户，给组织的信息网络和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵和攻击、保证Web应用系统的安全和正常运行成为目前所面临的一个重要问题。

传统系统层安全解决方案，虽然产品众多，但安全事件依然频发，究其原因是其只能解决系统中某“点”的安全(如HIDS、HIPS、安全审计、文档安全、杀毒软件等产品的相应作用)，即使联合使用多种产品，也只能分别解决相应几“点”的安全。因设计体系上的问题，即使“点”的安全解决再多也很难连成“面”，所以无法从根本上解决系统层的安全问题。

发明内容

本发明的目的在于提供一种基于文件访问控制和进程访问控制的服务器加固方法，解决了传统安全软件被动防御现状，使服务器具备主动防御的能力，为服务器提供全面的安全保护。

为实现上述目的，本发明提供如下技术方案：

一种基于文件访问控制和进程访问控制的服务器加固方法，利用服务器加固装置对服务器进行加固，使系统成为安装有安全内核的系统，所述的服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块；双重身份认证模块，用户采用USB Key和密码双重身份证方式，只有插入USB Key输入正确的口令才能登录，否则无法登录；USB外设管制模块，对USB存储设备进行禁用，未经授权禁止使用，而对非USB存储设备不影响其正常的使用；注册表访问控制模块，对注册表访问进行监控，对于未经授权禁止修改；网络控制模块，对于未经授权开放的端口禁止外部网络访问，未经授权的进程禁止使用网络功能，对于已经授权的进程允许外对访问指定IP或端口；进程保护机制模块，对于进程采用白名单机制，对进程进行指纹识别，指纹识别方法包MD5值和微软数字签名，符合白名单的进程能正常启动和使用，不在其中的禁止运行；敏感数据的访问控制模块，对于敏感的数据采用windows文件过滤驱动技术，对于未经授权的进程禁止访问，已经授权进程能根据敏感的数据要求授予读、写、删除功能；系统自身防护模块，采用进程指纹识别、进程防杀和A与B进程方式，保护系统自身进程不被异常终止、伪造。

作为本发明进一步的方案：所述的系统为Windows Server系列、AIX、Solaris、HP-UNIX、Redhat、Linux操作系统中的任意一种。

作为本发明进一步的方案：其实现流程如下：

（1）首先建立合法进程的数字签名和MD5值池并保存到数据库中，收集数字签名和MD5值的方法包括静态方法和动态方法：静态方法是通过收集工具选取指定的程序，读取微软的数字签名和对进程的二进制文件进行MD5运算；动态的方法是本安装有安全内核的系统的控制中心下发策略，通过本系统后台服务向本系统的终端发起读取数字签名和MD5值的命令，终端执行完成命令后回传给后台服务，后台服务接收并保存到数据库中。