CN102663298B - 面向终端计算机的安全在线检查系统 - Google Patents
面向终端计算机的安全在线检查系统 Download PDFInfo
- Publication number
- CN102663298B CN102663298B CN201210101276.XA CN201210101276A CN102663298B CN 102663298 B CN102663298 B CN 102663298B CN 201210101276 A CN201210101276 A CN 201210101276A CN 102663298 B CN102663298 B CN 102663298B
- Authority
- CN
- China
- Prior art keywords
- module
- information
- computer
- patch
- central computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
面向终端计算机的安全在线检查系统,在一台中心计算机上在线对网络中的所有终端计算机进行集中检查;所述的系统包括在线检查工具、封装模块和中心计算机,封装模块将在线检查工具打包成CAB的形式并存储在中心计算机上,中心计算机将CAB嵌入IE浏览器,终端计算机通过IE浏览器从中心计算机上下载该CAB并自动安装;用户通过中心计算机上的IE浏览器输入期望检查的项目指令及对应检查项目的输入信息,每台终端计算机上的统一数据接口模块对接收的项目指令及对应检查项目的输入信息传送至安全检查单元,安全检查单元根据项目指令启动策略安全在线检查或者补丁安全在线检查或者硬件资源信息安全在线检查或者软件安全在线检查,并将检查结果交由显示模块进行显示。
Description
技术领域
本发明属于计算机安全检查技术领域。
背景技术
在大规模的网络系统中通常包括大量不同的网络设备,例如网关、路由器和向用户提供服务、运行各种应用程序的服务器、客户机。设备、服务、应用程序、服务器、客户机以及用户,甚至他们之间的关系都是需要管理的对象。在这种大规模网络系统的内部高度复杂,导致管理异常困难,管理周期冗长,而且随着系统规模的扩大,管理的开销也成指数规律增加。
网络安全策略的管理是任何网络系统管理必不可少的一部分,网络安全配置的不当,一方面可能使一些用户有了过高的权限,而使另一些需要高权限的用户却得不到相应的权限,造成权限配置不当;另一方面还可能给网络带来非常大的安全隐患,降低整个网络的安全防御能力。
目前通用的操作是利用计算机提供的各种功能去设置和获取这些策略,但是这些功能较分散,而且设置的不够充分,达不到用户需要的很多重要的功能。对于已有的功能也需要用户需要一定的计算机专业技术知识才能够使用,且设置繁琐,不利于用户的操作。
发明内容
本发明的技术解决问题:克服现有技术的不足,提供一种面向终端计算机的安全在线检查系统,该系统能够实现一台中心计算机对网络内的所有终端计算机进行集中在线检查,检查效率高。
本发明的技术解决方案:面向终端计算机的安全在线检查系统,在一台中心计算机上在线对所有终端计算机进行集中检查,所有的计算机之间通过网络连接;所述的系统包括在线检查工具、封装模块和中心计算机,封装模块将在线检查工具打包成CAB的形式并存储在中心计算机上,中心计算机将CAB嵌入IE浏览器,终端计算机通过IE浏览器从中心计算机上下载该CAB并自动安装;所述在线检查工具包括统一数据接口模块、安全检查单元和显示模块;
用户通过中心计算机上的IE浏览器输入期望检查的项目指令及对应检查项目的输入信息,每台终端计算机上的统一数据接口模块对接收的项目指令及对应检查项目的输入信息传送至安全检查单元,安全检查单元根据项目指令启动策略安全在线检查或者补丁安全在线检查或者硬件资源信息安全在线检查或者软件安全在线检查,并将检查结果交由显示模块进行显示。
所述的安全检查单元包括策略定义模块、查询分析模块、策略内比模块、资源信息抓取模块、信息解析模块、分析处理模块、策略定制模块、统一数据接口模块、补丁解析模块、查询模块、下载分发模块、软件信息获取模块、软件控制模块;
当接收的项目指令为策略安全在线检查指令时,对应的检查项目的输入信息为每台终端计算机期望检查的策略类型、策略内容、策略生效时间以及策略生效的有效条件,具体检查步骤如下:
查询分析模块:启动策略定义模块,同时根据策略安全在线检查指令从本地计算机上抓取策略映射表中策略类型对应的策略内容的实际值,并将该实际值填充到策略映射表相应的扩展项中;根据统一数据接口模块发送的策略类型、策略内容、策略生效时间以及策略生效的有效条件,将传入的策略有效时间填充到对应的策略映射表中,将策略生效的有效条件根据相应策略内容,与策略内容对应的唯一标识值一起存储;
策略定义模块:根据统一数据接口模块发送的策略类型及策略内容,建立策略映射表;该策略映射表包括唯一标识值、策略类型、策略内容、策略生效时间和扩展项四项内容;策略类型与策略内容为一对一或者一对多的关系,策略内容为对应的策略类型的策略检查要求;扩展项为相应策略内容的实际值,唯一标识值与策略内容、策略生效时间、扩展项一一对应;
策略内比模块:将策略映射表中的扩展项内容与查询分析模块存储的唯一标识值对应的策略生效有效条件进行内比,将内比结果连同对应的唯一标识值一起存储并传给显示模块及统一数据接口模块;
当接收的项目指令为补丁安全在线检查指令时,具体检查步骤如下:
补丁解析模块根据补丁安全在线检查指令解析出补丁类型以及最新版本号;并从策略定制模块中获取本地计算机当前补丁类别及补丁版本号,将二者进行比对,若本地计算机当前补丁版本号小于最新版本号,则将补丁类别发送至下载分发模块;下载分发模块根据接收的补丁类别获取该补丁类别对应的补丁包,并下载安装,将安装后的状态及结果反馈给补丁解析模块;补丁解析模块根据反馈结果,当安装成功时,将安装的补丁包对应的最新版本号传给策略定制模块;若安装失败,则重新下载安装,若在预设的次数限制内一直安装失败,则通知查询模块将失败信息进行显示;策略定制模块中存储本地计算机的当前补丁类别及补丁版本号,并将接收的最新版本号与当前补丁版本号进行比对,当当前补丁版本号小于等于最新版本号时,用最新版本号更新当前补丁版本号;否则,调用查询模块将当前补丁版本号大于最新版本号进行显示;
当接收的项目指令为硬件资源信息在线检查指令时,具体检查步骤如下:
资源信息抓取模块根据调用获取本地计算机的IP地址或者MAC地址以及本地计算机的硬件资源信息,将该地址通过统一数据接口模块回传给中心计算机,将本地计算机的硬件资源信息发送给信息解析模块;中心计算机根据IP地址或者MAC地址通过统一数据接口模块该地址对应的终端计算机登记的硬件资源信息发送至分析处理模块;
信息解析模块将接收的硬件资源信息通过映射表解析成用户能够识别的信息并发送至分析处理模块;
分析处理模块将解析后的信息与登记的硬件资源信息进行比对,将比对结果通过统一数据接口模块回传至中心计算机,同时将比对不一致的结果送至显示模块;中心计算机将回传结果进行显示、并存储;
当接收的项目指令为软件安全在线检查指令时,具体步骤如下:
软件信息获取模块根据软件安全在线检查指令获取当前计算上安装的每个软件的运行信息以及特殊软件的特定信息,所述的特殊软件为当前计算机上根据单位要求必须安装的软件,其特定信息包括软件安装时间、版本号、升级时间;
软件控制模块将软件信息获取模块获取的所有信息回传至中心计算机,并将软件信息获取模块获取的软件运行信息与存储在本地计算机上的软件监控描述表进行比对,将软件监控描述表中不允许安装的软件从本地计算机结束进程;根据软件的运行信息判断软件监控描述表中必须运行的软件是否运行,若存在未运行的软件,则调用显示模块进行提示;根据获取的特殊软件的特定信息,判断该特定信息与软件监控描述表中特殊软件的相应条件是否匹配,若不匹配,则调用显示模块进行显示。
当查询分析模块接收的策略安全在线检查指令为判断系统是否安装有真实光驱时,所述的抓取策略映射表中策略类型对应的策略内容的实际值步骤如下:
(1)读取策略安全在线检查指令,判断指令的操作内容,将指令的操作内容与查询分析模块默认的同一指令的内容相比较,判断二者是否一致,若不一致,则直接返回错误信息,等待下一个策略安全在线检查指令;若一致,则转步骤(2);
(2)根据windows管理接口WMI获取光驱信息,若没有获取带光驱信息,则在策略映射表相应的扩展项中记录“否”,若有则转步骤(3);
(3)至少获取6次光驱的读取速度,计算平均值;获取当前硬盘的读取的速度,次数和获取光驱的一致,计算平均值;比较获取的光驱的读取速度和硬盘的读取速度,若误差在10MB/s内则认为该光驱是虚拟光驱,若超出了这个范围则认为是真实光驱,将比较结果记录在策略映射表相应的扩展项中。
所述的策略定制模块还存储本地计算机当前补丁检测周期,终端计算机根据补丁检测周期主动通过统一数据接口模块发起补丁更新申请至中心计算机,中心计算机将该补丁类型以及最新版本号发送至该终端计算机。
所述的下载分发模块具体实现步骤如下:
(1)接收补丁解析模块发送的需要更新的补丁类别,将该补丁类别信息发送至中心计算机;
(2)中心计算机通过Ping命令获取网络中中心计算机与各个终端计算机之间的连通状态;
(3)中心计算机通过IE浏览器发送网络状态查询指令,相应终端计算机的统一数据接口模块从IE浏览器上获取该指令发送给下载分发模块,下载分发模块获取与其它终端计算机的连接状态,并将获取的信息通过统一数据接口模块回传至中心计算机;
(4)中心计算机根据接收到的状态信息,建立一个集合,该集合以中心计算机作为起点,遍历与之相连的终端计算机的状态,将显示连通状态良好的计算机之间的对应关系<Vi,Vj>存入该集合中,当中心计算机与终端计算机的响应时间为500毫秒以内时,表示中心计算机与终端之间连接状态良好,反之表示二者连接状态为阻塞,相应的阻塞终端计算机记为Vk;其中,Vi(i=1)代表中心计算机,Vj(j≠1)代表与中心计算机连通状态良好的终端计算机;
(5)在集合中确定与中心计算机阻塞的某一台终端计算机Vkm的对应关系,具体如下:
(5.1)获取步骤(4)中与中心计算机阻塞的某一台终端计算机Vkm与步骤(4)集合中的Vj之间的连接状态信息,若存在连接状态良好的计算机,则将连接状态信息中响应时间最短的Vj与相应的Vkm的对应关系<Vj,Vkm>存入集合中;若Vj中不存在与该台终端计算机Vkm连接状态良好的计算机,则转步骤(5.2);
(5.2)获取与该台终端计算机Vkm连接状态良好的其它与中心计算机阻塞的终端计算机Vkn;将<Vkn,Vkm>存入该集合,转(5.3);
(5.3)获取终端计算机Vkn与步骤(4)集合中的Vj之间的连接状态信息,若存在连接状态良好的计算机,则将连接状态信息中响应时间最短的Vj与相应的Vkn的对应关系<Vj,Vkn>存入集合中;若不存在连接状态良好的计算机,则从集合中删除<Vkn,Vkm>,将<V1,Vkm>存入集合中;
(6)对其它所有与中心计算机阻塞的终端计算机按照步骤(5)进行处理;
(7)中心计算机根据集合中的内容,通过IE浏览器发送状态信息和相应的补丁包,与中心计算机连接良好的终端计算机的统一数据接口模块从IE浏览器上获取状态信息和补丁包,判断状态信息是否需要将该补丁包转发到其它的终端计算机。若需要,则将补丁包转发到其它终端计算机,并安装相应的补丁包,返回结果给补丁解析模块。
所述的资源信息抓取模块抓取本地计算机的硬件资源信息的实现步骤如下:
(1)定义资源信息抓取模块外部调用的统一接口,并向接口中传入相关参数,统一接口采用下列形式表达:GetInformation(“硬件类型”,”类型键值”);
(2)根据传入的参数查找资源信息描述表,通过资源信息描述表确定类型键值对应的映射地址,同时根据映射地址确定该类型键值的抓取方法;
上述一类硬件类型对应一张资源信息描述表,每张资源信息描述表包括三部分内容,标识、类型键值和映射地址,三者一一对应,抓取方法存储在本地计算机内存中且与上述映射地址一一对应;
(3)按照步骤(2)确定的抓取方法抓取相应的硬件资源信息,创建数据返回链表并统计链表长度,该链表中存储硬件类型、类型键值以及对应的抓取值。
所述的抓取方法按照硬件类型进行分类,当硬件类型为CPU时:
(2.1)找到内存中描述传入参数中类型键值信息的地址,将该地址信息保存到段寄存器EAX中;
(2.2)读取上述地址的一个双字信息,并保存到一个内存数组中;
(2.3)将上述内存数组指针加4,将段寄存器EBX保存的信息存入上述内存数组中;
(2.4)重复上述步骤(2.3),总共获取48字节信息;
(2.5)将内存数组中的数据转换为字符串,存入到返回链表中,即完成了该种类型数据的抓取。
本发明与现有技术相比的有益效果在于:
(1)本发明系统通过将检查工具封装成CAB的形式并嵌入IE浏览器中,避免目前对每台终端计算机都需要现场检查的缺陷,解放了人力;并且本发明检查工具将目前待检查项以映射表的形式,通过实时抓取终端计算机上的策略信息与映射表相关内容进行内比,可以一次性完成所有期望检查的项目,并最终实现一台中心计算机对网络内的所有终端计算机进行集中在线检查,提高了检查效率。
(2)本发明策略映射表的内容可以涵盖目前操作系统已有的策略类型和自定义的策略类型,将目前操作系统已有策略类型复杂的检查流程通过内部程序实现,减少人为对计算机特有命令的输入,降低了对检查人员的专业技术知识要求。对于自定义策略类型根据网络安全的要求,通过抓取计算机当前的运行状态是否符合计算机安全策略要求,提高的系统的整体安全性能。
(3)本发明的抓取方法采用从计算机底层性能的判断,这种方法获取的信息不易伪造,可真实反应当前的计算机的安全水平。保证了在线检查结果的真实有效性。
(4)本发明系统提供补丁自动代理转发功能,提高补丁下发效率,减少网络带宽的占用率,节省网络资源。可在指定时间、指定网络范围内以不同方式(如推、拉)分发补丁,或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时,可对漏打补丁客户端进行推送补丁。
(5)本发明系统提供补丁自动代理转发功能,提高了补丁下发效率,减少了网络带宽的占用率,节省了网络资源。可根据当前网络中各个节点之间网络连通状态,以转发的方式进行补丁的推送,而且降低了中心计算机的负载率,保证了中心计算机高效有序的进行工作。
(6)本发明能够及时的反应各个客户端即终端计算机的补丁状态,当状态发生变化的时候,能够及时返回状态信息,提醒用户,使得计算机始终处于安全的环境内。
(7)本发明利用资源信息抓取模块将计算机的硬件的资源进行统一获取和管理,并与已登记的硬件资源信息进行对比,实现结果的自动化输出,降低了人为参与的流程和检查人员的专业技术知识要求。
附图说明
图1为本发明系统的体系结构图;
图2为本发明系统中的策略安全在线检查单元结构图;
图3为本发明系统中的查询分析模块实现过程示意图;
图4为本发明系统中的策略定义模块实现过程示意图;
图5为本发明系统中的策略内比实现过程示意图.
图6为本发明系统中的补丁安全检查单元结构图;
图7为本发明系统中的查询模块实现过程示意图;
图8为本发明系统中的补丁解析模块实现过程示意图;
图9为本发明下载分发模块实现过程示意图;
图10为本发明系统的硬件资源信息安全检查单元结构图;
图11为本发明系统中的资源信息抓取模块实现过程示意图;
图12为本发明系统中的信息解析模块实现过程示意图;
图13为本发明系统中的分析处理模块实现过程示意图。
具体实施方式
下面结合附图详细介绍本发明系统的实现过程。如图1所示,本系统在一台中心计算机上在线对所有终端计算机进行集中检查,所有的计算机之间通过网络连接;所述的系统包括在线检查工具和封装模块,封装模块将在线检查工具打包成CAB的形式并存储在中心计算机上,中心计算机将CAB嵌入IE浏览器(可以采用com技术实现嵌入),终端计算机通过IE浏览器从中心计算机上下载该CAB并自动安装;所述在线检查工具包括统一数据接口模块、安全检查单元和显示模块;
用户通过中心计算机上的IE浏览器输入期望检查的项目指令及对应检查项目的输入信息,每台终端计算机上的统一数据接口模块对接收的项目指令及对应检查项目的输入信息传送至安全检查单元,安全检查单元根据项目指令启动策略安全在线检查或者补丁安全在线检查或者硬件资源信息安全在线检查或者软件安全在线检查,并将检查结果交由显示模块进行显示。
统一数据接口模块通过IE浏览器接收策略安全在线检查指令或者补丁安全在线检查指令或者硬件资源信息安全在线检查指令或者软件安全在线检查指令;并从IE浏览器上接收策略安全在线检查项目对应的策略类型、策略内容、策略生效时间以及策略生效的有效条件等输入信息,启动相应的检查项目。统一数据接口模块通过利用成熟的JSON技术实现统一的数据接口。
封装模块将在线检查工具打包成CAB包的形式,具体步骤如下:
(1)利用makecert.exe制作数字签名
◆进入系统doc界面,输入命令cd makecert.exe的目录,按回车键。例如:cd C:/makeCab
◆输入命令,命令格式如下:makecert-sv-n-ss-r-b-e。例如:makecert
-sv dsoframer.pvk-n“CN=XXXX”-ss My-r-b 01/01/1900-e01/01/9999
-sv dsoframer.pvk意思是生成一个私匙文件dsoframer.pvk
-n″CN=XXXX″其中的″XXXX″就是签名中显示的证书所有人的名字。
-ss My指定生成后的证书保存在个人证书中
-r 意思是说证书是自己颁发给自己。
-b 01/01/2009指定证书的有效期起始日期,格式为月/日/年,最低为1900年
-e 01/01/2018指定证书的有效期终止日期,格式同上。
◆打开IE的″Internet选项″,切换到″内容″标签,点击″证书″按钮″选中″XXXX″就是生成的证书,把它″导出″为dsoframer.cer,
(2)建立inf文件,运行IEXPRESS.EXE,选中″创建新的自解压缩指令文件″,进入下一步,选中″只创建压缩文件(ActiveX安装)″,进入下一步把用到的程序包括程序调用的DLL(如果有的话)添加进列表中,按配置选项后,就连续点″下一步″,即生成dsoframer.CAB。
(3)运行signcode.exe,选择dsoframer.CAB,″签名选项″中的″签名类型″选定″自定义(C)″,下一步″从文件中选择″上面第一步导出的证书文件dsoframer.cer,再下一步的私匙选定第一步生成的dsoframer.pvk文件,然后进入描述,注意,图中″描述(可选)″:下的输入框中根据需要写上相应的描述语句,点击“下一步“,一直到签名完成。
(4)将做好的CAB包嵌入到网页。
下面分别对上述四种检查项目进行详细描述。
(一)策略安全在线检查
如图2所示,启动策略安全在线检查时,查询分析模块:启动策略定义模块,同时根据策略安全在线检查指令从本地计算机上抓取策略映射表中策略类型对应的策略内容的实际值,并将该实际值填充到策略映射表相应的扩展项中;根据统一数据接口模块发送的策略类型、策略内容、策略生效时间以及策略生效的有效条件,将传入的策略有效时间填充到对应的策略映射表中,将策略生效的有效条件根据相应策略内容,与策略内容对应的唯一标识值一起存储;
策略定义模块:根据统一数据接口模块发送的策略类型及策略内容,建立策略映射表;该策略映射表包括唯一标识值、策略类型、策略内容、策略生效时间和扩展项四项内容;策略类型与策略内容为一对一或者一对多的关系,策略内容为对应的策略类型的策略检查要求;扩展项为相应策略内容的实际值,唯一标识值与策略内容、策略生效时间、扩展项一一对应;
策略内比模块:将策略映射表中的扩展项内容与查询分析模块存储的唯一标识值对应的策略生效有效条件进行内比,将内比结果连同对应的唯一标识值一起存储并传给显示模块及统一数据接口模块;
本发明系统可以实现在线集中检查和自查两种情形,其中,在线集中检查:用户通过中心计算机上的IE浏览器输入对每台终端计算机期望检查的策略类型、策略内容、策略生效时间以及策略生效的有效条件,并发起策略安全在线检查指令,每台终端计算机上的CAB根据接收的指令启动检查。自查:当终端计算机进行自查时,终端计算机首先向中心计算机发起检查请求,中心计算机根据该请求,对该终端计算机发起策略安全在线检查指令,并输入策略类型、策略内容、策略生效时间以及策略生效的有效条件。具体实现如下:
查询分析模块:如图3所示,启动策略定义模块,同时根据策略安全在线检查指令从本地计算机上抓取策略映射表中策略类型对应的策略内容的实际值,并将该实际值填充到策略映射表相应的扩展项中;根据统一数据接口模块发送的策略类型、策略内容、策略生效时间以及策略生效的有效条件,将传入的策略有效时间填充到对应的策略映射表中,将策略生效的有效条件根据相应策略内容,与策略内容对应的唯一标识值一起存储;
具体的抓取的步骤和内容如下:
(1)读取策略安全在线检查指令,判断指令的操作内容。
(2)根据指令的操作内容,抓取相应的策略信息,例如判断系统是否安装有真实光驱,方法如下所示:
(2.1)将指令的操作内容与查询分析模块预先设置的同一指令的内容相比较,判断二者是否一致,若不一致,则直接返回错误信息,等待下一个策略安全在线检查指令;若一致,则转步骤(2.2);
例如,当指令的操作内容,即判断系统是否安装有真实光驱为strType=”CDROM”,而查询分析模块默认的是否安装有真实光驱指令内容strType=”WIRELESS”,则输入的指令内容有误,返回错误信息。
(2.2)根据windows管理接口WMI获取光驱信息,若没有获取带光驱信息,则在策略映射表相应的扩展项中记录“否”,若有则转步骤(2.3);
(2.3)获取一个时间段内光驱的读取速度,计算平均值。(最少要获取6次的值);获取当前硬盘的读取的速度。次数和获取光驱的一致,计算平均值。比较获取的光驱的读取速度和硬盘的读取速度,若误差在10MB/s内则认为该光驱是虚拟光驱,若超出了这个范围则认为是真实光驱,将比较结果记录在策略映射表相应的扩展项中。
例如,当帐户口令是否是弱口令或者账户密码是否为空时,方法步骤如下:
(2-1)将指令的操作内容与查询分析模块预先设置的同一指令的内容相比较,判断二者是否一致,若不一致,则直接返回错误信息,等待下一个策略安全在线检查指令;若一致,则转步骤(2-2);
例如,当指令的操作内容,即判断系统是否安装有真实光驱为strType=”EMPTYPASSWORD”,而查询分析模块默认的是否安装有真实光驱指令内容strType=”ADMINACCOUNT”,则输入的指令内容有误,返回错误信息。
(2-2)根据Windows API(应用程序接口),调用系统登录函数,传入空字符串或者弱口令如:“123456”,给登录函数,查看函数返回结果,若函数返回成功,则表明该账户密码为空或者为弱口令,将比较结果记录在策略映射表相应的扩展项中。若返回失败则转步骤(2-3);
(2-3)获取失败错误信息,若信息表示密码错误,则将结果记录在策略映射表相应的扩展项中。否则,调用系统修改密码函数,传入空字符串或者弱口令,若修改成功,则表明该账户密码为空或者为弱口令,将比较结果记录在策略映射表相应的扩展项中,否则返回错误结果。
下面表1中的其它策略类型可采用一些通用WMI技术进行抓取,具体步骤如下:
(1)调用函数CoInitializeEx用于初始化COM库。
(2)调用函数CoInitializeSecurity用于初始化COM安全级别。
(3)通过调用CoCreateInstance初始化WMI的定位器
(4)调用IWbemLocator::ConnectServer方法,通过定位器连接到WMI的命名空间,通过把一个IWbemServices的实例以参数形式传递给ConnectServer方法,创建服务。
(5)设置WMI服务的安全级别
(6)使用之前得到的服务,进行一些操作,如查询、调用方法和其他一些操作。
(7)释放资源,关闭服务与连接,关闭COM库。
(8)返回查询的结果。
例如:判断是否含有共享信息,按照上述步骤限初始COM库,初始化安全级别和定位器,然后连接到WMI的命名空间,传入参数“Win32_Share”,”Name”.其中“Win32_Share”表示共享服务,“Name”表示查询计算机共享服务的名称。若结果存在则返回结果,若不存在则返回空字符串。并将比较结果记录在策略映射表相应的扩展项中。
策略定义模块:如图4所示,根据统一数据接口模块发送的策略类型及策略内容,建立策略映射表,如表1所示;该策略映射表包括唯一标识值、策略类型、策略内容、策略生效时间和扩展项四项内容;策略类型与策略内容为一对一或者一对多的关系,策略内容为对应的策略类型的策略检查要求;扩展项为相应策略内容的实际值,唯一标识值与策略内容、策略生效时间、扩展项一一对应;
表1策略映射表
| 唯一标识值 | 策略类型 | 策略内容 | 策略生效时间 | 扩展项 |
| 1 | 密码策略 | 密码最小长度 | 一直有效 | 8位 |
| 2 | 密码策略 | 密码最长存留期 | 一直有效 | 42天 |
| 3 | 密码策略 | 密码最短存留期 | 一直有效 | 0天 |
| 4 | 密码策略 | 密码历史 | 一直有效 | 0个记住的密码 |
| 5 | 帐户锁定策略 | 帐户锁定时间 | 一直有效 | 30分钟 |
| 6 | 帐户锁定策略 | 复位帐户锁定计数器 | 一直有效 | 30分钟后 |
| 7 | 帐户锁定策略 | 帐户锁定阀值 | 一直有效 | 2次无效的登录 |
| 8 | 审核策略 | 审核策略更改 | 一直有效 | 无审核 |
| 9 | 审核策略 | 审核登录事件 | 一直有效 | 成功、失败 |
| 10 | 审核策略 | 审核对象访问 | 一直有效 | 成功 |
| 11 | 审核策略 | 审核过程追踪 | 一直有效 | 成功、失败 |
| 12 | 审核策略 | 审核目录服务访问 | 一直有效 | 无审核 |
| 13 | 审核策略 | 审核特权使用 | 一直有效 | 成功、失败 |
| 14 | 审核策略 | 审核系统事件 | 一直有效 | 成功 |
| 15 | 审核策略 | 审核帐户登录事件 | 一直有效 | 失败 |
| 16 | 审核策略 | 审核帐户管理 | 一直有效 | 失败、成功 |
| 17 | 自定义策略 | 是否安装了双系统 | 一直有效 | 否 |
| 18 | 自定义策略 | 是否含有共享 | 一直有效 | 有 |
| 19 | 自定义策略 | 是否含有无线模块 | 一直有效 | 有 |
| 20 | 自定义策略 | 是否包含不合规帐户 | 一直有效 | 有 |
| 21 | 自定义策略 | 帐户是否被禁用 | 一直有效 | 是 |
| 22 | 自定义策略 | 帐户密码是否为空 | 一直有效 | 否 |
| 23 | 自定义策略 | 帐户口令是否是弱口令 | 一直有效 | 否 |
| 24 | 自定义策略 | 是否含有光驱 | 一直有效 | 有 |
| ... | ... | ... | ... | ... |
说明:前面部分例如1-16项为根据终端计算机操作系统中的策略类型,建立策略映射表,通过程序集合操作系统已有的策略功能获取相应的值。填充该相应的项内容。
根据各个网络安全要求,用户也可以定义自己需要检查的策略项目,如密码策略、审核策略等。用户可以根据需要自定义策略类型,并将该类型与相应的实际值相对应,便于用户理解各个值的含义。如上表中的17-24项,策略内容根据策略类型的不同表现为不同的值,如大小、天数等。策略生效的时间可根据需要动态调整策略在整个在网络系统中的有效期,超过了有效期就按照默认的策略运行,保证网络在一定的安全保护范围内。
策略内比模块如图5所示,将策略映射表中的扩展项内容与查询分析模块存储的唯一标识值对应的策略生效有效条件进行内比,将内比结果连同对应的唯一标识值一起存储并传给显示模块及统一数据接口模块;
例如,对于是否含有光驱,找到该项的唯一标识值24,查询策略映射表的扩展项,该值为”有”。在根据该唯一标识值查询存储的策略有效条件,若有效条件为“无”,则返回相应结果表示该项违规。若“有”,则表示该项目检查通过,返回相应的结果。
(二)补丁安全在线检查
如图6所示,补丁解析模块根据补丁安全在线检查指令解析出补丁类型以及最新版本号;并从策略定制模块中获取本地计算机当前补丁类别及补丁版本号,将二者进行比对,若本地计算机当前补丁版本号小于最新版本号,则将补丁类别发送至下载分发模块;下载分发模块根据接收的补丁类别获取该补丁类别对应的补丁包,并下载安装,将安装后的状态及结果反馈给补丁解析模块;补丁解析模块根据反馈结果,当安装成功时,将安装的补丁包对应的最新版本号传给策略定制模块;若安装失败,则重新下载安装,若在预设的次数限制内一直安装失败,则通知查询模块将失败信息进行显示;策略定制模块中存储本地计算机的当前补丁类别及补丁版本号,并将接收的最新版本号与当前补丁版本号进行比对,当当前补丁版本号小于等于最新版本号时,用最新版本号更新当前补丁版本号;否则,调用查询模块将当前补丁版本号大于最新版本号进行显示;
为了提高下载分发的补丁下发效率,减少网络带宽占有率以及节省网络资源,方法具体步骤如图9所示:
(1)接收补丁解析模块发送的需要更新的补丁类别,将该补丁类别信息发送至中心计算机;
(2)中心计算机通过应用程序接口API发出Ping命令至各个终端计算机,终端计算机通过接收该Ping命令后,操作系统返回一个接收到的信息至中心计算机,中心计算机根据发出命令到接收到信息的时间间隔,确定中心计算机与各个终端计算机之间的网络连通状态。
(3)中心计算机通过IE浏览器发送网络状态查询指令,相应终端计算机的统一数据接口模块从IE浏览器上获取该指令发送给下载分发模块,下载分发模块获取与其它终端计算机的连接状态,并将获取的信息通过统一数据接口模块回传至中心计算机。
假设一台终端计算机记为A计算机从IE浏览器上获取网络状态查询指令,A计算机根据该网络状态查询指令通过应用程序接口API发出Ping命令至与A计算机相连的所有终端计算机,A计算机根据发出命令到接收到信息的时间间隔确定A计算机与其相连所有终端计算机的网络连通状态,A计算机上的下载分发模块将上述状态信息通过统一数据接口模块发送至中心计算机;
(4)中心计算机根据接收到的状态信息,建立一个集合,该集合以中心计算机作为起点,遍历与之相连的终端计算机的状态,将显示连通状态良好的计算机之间的对应关系<Vi,Vj>存入该集合中,一般中心计算机与终端计算机的响应时间(即状态信息)为500毫秒以内时,表示中心计算机与终端之间连接状态良好,反之表示二者连接状态为阻塞,相应的阻塞终端计算机记为Vk;其中,Vi(i=1)代表中心计算机,Vj(j≠1)代表与中心计算机连通状态良好的终端计算机;
(5)在集合中确定与中心计算机阻塞的某一台终端计算机Vkm的对应关系,具体如下:
(5.1)获取步骤(4)中与中心计算机阻塞的某一台终端计算机Vkm与步骤(4)集合中的Vj之间的连接状态信息,若存在连接状态良好的计算机,则将连接状态信息中响应时间最短的Vj与相应的Vkm的对应关系<Vj,Vkm>存入集合中;若Vj中不存在与该台终端计算机Vkm连接状态良好的计算机,则转步骤(5.2);
(5.2)获取与该台终端计算机Vkm连接状态良好的其它与中心计算机阻塞的终端计算机Vkn;将<Vkn,Vkm>存入该集合,转(5.3);
(5.3)获取终端计算机Vkn与步骤(4)集合中的Vj之间的连接状态信息,若存在连接状态良好的计算机,则将连接状态信息中响应时间最短的Vj与相应的Vkn的对应关系<Vj,Vkn>存入集合中;若不存在连接状态良好的计算机,则从集合中删除<Vkn,Vkm>,将<V1,Vkm>存入集合中;
(6)对其它所有与中心计算机阻塞的终端计算机按照步骤(5)进行处理;
(7)中心计算机根据集合中的内容,通过IE浏览器发送状态信息和相应的补丁包,与中心计算机连接良好的终端计算机的统一数据接口模块从IE浏览器上获取状态信息和补丁包,判断状态信息是否需要将该补丁包转发到其它的终端计算机。若需要,则将补丁包转发到其它终端计算机,并安装相应的补丁包,返回结果给补丁解析模块。
例如:集合中的内容
<V1,V2>
<V1,V3>
<V1,V5>
<V1,V7>
<V2,V4>
<V3,V6>
则,中心计算机需要通过IE浏览器发送状态信息和相应的补丁包,终端计算机V2、V3将根据状态信息将接收的补丁包转发给与中心计算机阻塞的V4、V6。
(8)中心计算机根据各个终端返回的信息判断各个终端是否安装完成。
补丁解析模块实现过程如图8所示。
(1)补丁解析模块根据补丁安全在线检查指令解析出补丁类型以及最新版本号;
(2)从策略定制模块中获取本地计算机当前补丁类别及补丁版本号,将二者进行比对,若本地计算机当前补丁版本号小于最新版本号,则将补丁类别发送至下载分发模块,转步骤(3);否则,不进行处理,结束流程;
(3)接收下载分发模块返回的安装状态及结果,当结果显示安装成功时,将安装的补丁包对应的最新版本号及安装时间传给策略定制模块;当结果显示安装失败时,启动下载分发模块重新下载安装,若在预设的次数限制内一直安装失败,则通知查询模块将失败信息进行显示并提示重新启动计算机。上述预设的次数一般为2次,也可以多次。
策略定制模块中存储的内容可以包含补丁类别(例如,系统补丁、IE补丁、应用程序补丁等)、补丁版本号、补丁安装时间、补丁检测周期、操作系统种类等,其内容可以根据实际要求进行扩展,可以采用表格形式或者INI文件形式。
例如采用INI形式:
[补丁版本]
Version=v1.6.0.8
[补丁类别]
类别1=系统补丁
类别2=IE补丁
[补丁检测周期]
Time=10(默认单位是天)
[操作系统]
operating systems=Windows XP
查询模块实现过程如图7所示:
(1)接收传入的补丁查询指令,解析指令所代表的查询条件,例如:补丁类型、补丁版本号,补丁安装时间等,根据这些条件调用统一数据接口模块从策略定制模块获取该类信息。
(2)创建链表,将查询到的信息存入到链表中,记录信息的总量。若查询的补丁不存在,则返回查询的条件不存在或不存在该条补丁。
(三)硬件资源信息安全在线检查
如图10所示,资源信息抓取模块根据调用获取本地计算机的IP地址或者MAC地址以及本地计算机的硬件资源信息,将该地址通过统一数据接口模块回传给中心计算机,将本地计算机的硬件资源信息发送给信息解析模块;中心计算机根据IP地址或者MAC地址通过统一数据接口模块该地址对应的终端计算机登记的硬件资源信息发送至分析处理模块;
信息解析模块将接收的硬件资源信息通过映射表解析成用户能够识别的信息并发送至分析处理模块;
分析处理模块将解析后的信息与登记的硬件资源信息进行比对,将比对结果通过统一数据接口模块回传至中心计算机,同时将比对不一致的结果送至显示模块;中心计算机将回传结果进行显示、并存储;
上述资源信息抓取模块抓取本地计算机的硬件资源信息的实现步骤如图11所示:
第一步,定义资源信息抓取模块外部调用的统一接口,接口采用下列形式表达:
GetInformation(“硬件类型”,”类型键值”),并向接口中传入相关参数,如:当硬件类型为CPU,类型键值为CPU的外频时,输入参数为GetInformation(“CPU”,”ExtClock”);所述的类型键值为CPU的序列号时,输入参数为GetInformation(“CPU”,”ProcessorId”);
例如当硬件类型为CPU时,类型键值包括CPU厂商、指令集、当前频率等信息。
当硬件类型为硬盘时,类型键值包括硬盘名称、硬盘大小、硬盘序列号、硬盘使用时间、硬盘序列号。
当硬件类型为显卡时,类型键值包括显卡名称、显存大小、内核名称、驱动版本等。
当硬件类型为主板时,类型键值包括主板制造商、主板型号、制造日期、BIOS版本、主板序列号等。
这些信息采用了一定的规则进行定义,需要调用信息解析模块对抓取出来的信息进行解析,保证信息是能够被用户识别和接受的数据格式。
第二步,利用第一步中定义的统一接口传入参数,资源信息抓取模块根据传入的参数查找资源信息描述表,通过资源信息描述表确定类型键值对应的映射地址,同时根据映射地址确定该类型键值的抓取方法;
上述一类硬件类型对应一张资源信息描述表,每张资源信息描述表包括三部分内容,标识、类型键值和映射地址,三者一一对应,抓取方法存储在本地计算机内存中且与上述映射地址一一对应;
当资源信息抓取模块被调用时,资源信息抓取模块会被加入内存,操作系统会给资源信息抓取模块中包含的每个抓取方法分配一块地址,例如如表2所示,将抓取CPU的外频方法分配地址0xEa46,将最大时钟速度抓取方法分配地址0xEb47等。最后按照硬件类型形成资源信息描述表。
表2CPU-资源信息描述表
| 标识 | 类型键值 | 映射地址 |
| 1 | ExtClock | 0xEa46 |
| 2 | MaxClockSpeed | 0xEb47 |
| 3 | DataWidth | 0xEb48 |
| ... | ... | ... |
对于抓取方法一般可以按照硬件类型进行分类,
当硬件类型为CPU时:
(1)根据传入的参数查找信息资源描述表,找到对应的映射地址,如当类型键值为ExtClock(或者MaxClockSpeed等)时,具体获取步骤如下显示:
(2)找到内存中描述ExtClock(或者MaxClockSpeed等)信息的地址,将该地址信息保存到段寄存器EAX中。
(3)读取该地址的一个双字信息,并保存到一个内存数组中。
(4)将内存数组指针加4,将EBX的信息存入。重复上述步骤,总共获取48字节信息。
(5)将内存数组中的数据转换为字符串,存入到返回链表中,即完成了该种类型数据的抓取。
当硬件类型为硬盘时:
(1)根据传入的参数查找信息资源描述表,找到对应的映射地址,如当类型键值为硬盘序列号或者硬盘缓存时,具体步骤如下:
(2)打开硬盘设备PhysicalDrive0,若打开成功,则根据打开的硬盘设备句柄,查找硬盘的信息的缓存,发送IO控制码(当为硬盘序列号时,IO控制码为SMART_RCV_DRIVE_DATA,当为缓存IO控制码为IOCTL_DISK_GET_DRIVE_GEOMETRY)。若失败,则循环调用PhysicalDrive1一直到PhysicalDrive10,大部分情况下,客户端计算机中不会超过10块硬盘。若还是失败则返回错误的结果给调用者,成功则继续下面的步骤。
(3)将查询到的结果保存到缓存中,查看硬盘类型,若硬盘的类型为IDE则将缓存中的结果16进制结果转换成字符串,查找到序列号,返回结果。若硬盘类型不为IDE,则返回硬盘类型不匹配。
对于其它数据类型可采用一些通用WMI技术进行获取具体步骤如下:
(1)调用函数CoInitializeEx用于初始化COM库。
(2)调用函数CoInitializeSecurity用于初始化COM安全级别。
(3)通过调用CoCreateInstance初始化WMI的定位器
(4)调用IWbemLocator::ConnectServer方法,通过定位器连接到WMI的命名空间,通过把一个IWbemServices的实例以参数形式传递给ConnectServer方法,创建服务。
(5)设置WMI服务的安全级别
(6)使用之前得到的服务,进行一些操作,如查询、调用方法和其他一些操作。
(7)释放资源,关闭服务与连接,关闭COM库。
(8)返回查询的结果。
第三步,按照第二步确定的抓取方法抓取相应的硬件资源信息,创建数据返回链表并统计链表长度,该链表中存储硬件类型、类型键值以及对应的抓取值;
表3返回数据链表
| 硬件类型 | 类型键值 | 抓取值 |
| 硬盘 | 硬盘序列号 | K41LT882LYJC |
| 硬盘 | 硬盘大小 | 500G |
| 硬盘 | 硬盘使用时间 | 2356小时 |
| 硬盘 | 硬盘名称 | IDE硬盘 |
第四步,用户可根据需要更新资源信息描述表,保证对计算机资源信息获取的健壮性和扩展性,减少模块后期的维护难度。
信息解析模块将接收的硬件资源信息通过映射表解析成用户能够识别的信息并发送至分析处理模块具体实现如图12所示,步骤如下:
信息解析模块首先获取上述第三步中的链表长度,根据链表长度从链表中获取相应数量的抓取值,当抓取值本身为十进制时(与表3对应)或者抓取值本身即为用户能够识别的信息,例如硬盘序列号,获取出来即为可识别的信息“K41LT882LYJC”,不需进行解析;当获取的信息为一些不可翻译的值,它用16进制表示一些特殊的含义,需通过映射表(即解码表)解析成用户能够识别的信息并发送至分析处理模块。
表4映射表
| 类型键值 | 获取值 | 真实值 |
| CPU类型 | 0xea34 | 奔腾 |
| CPU类型 | 0xea34 | 酷睿 |
(四)软件安全在线检查
软件信息获取模块根据软件安全在线检查指令获取当前计算上安装的每个软件的运行信息(包括PID值、用户名、CPU占用率等信息)以及特殊软件的特定信息,所述的特殊软件为当前计算机上根据单位要求必须安装的软件(例如某单位根据单位工作性质,要求每台终端计算机必须安装瑞星杀毒软件或者安全审计软件以及其他安全控制类软件),其特定信息包括软件安装时间、版本号、升级时间;
软件控制模块将软件信息获取模块获取的所有信息回传至中心计算机,并将软件信息获取模块获取的软件运行信息与存储在本地计算机上的软件监控描述表进行比对,将软件监控描述表中不允许安装的软件从本地计算机结束进程;根据软件的运行信息判断软件监控描述表中必须运行的软件是否运行,若存在未运行的软件,则调用显示模块进行提示;根据获取的特殊软件的特定信息,判断该特定信息与软件监控描述表中特殊软件的相应条件是否匹配,若不匹配,则调用显示模块进行显示。
将软件监控描述表中不允许安装的软件从本地计算机结束进程可以采用下列方式进行:
例如:软件控制模块发出一个结束进行的I/O请求,Win32子系统调用相应的服务代表该请求进行操作。这时,CPU转换成核心模式特权级。I/O管理器构造一个输入/输出包(IRP包),来描述这个I/O请求,然后用适当的项来调用文件系统驱动。文件系统驱动完成适当的处理并向I/O管理器返回处理结果,I/O管理器依次向Win32子系统返回结果,Win32子系统最终把结果返回给软件控制模块。软件控制模块通过在文件驱动程序之上挂载一个过滤驱动,该过滤驱动用于拦截上层的IRP包,当上层的请求来到时,查看相应软件监控描述表,根据该表是确定否允许该请求的运行,若允许,让该IRP包通过该层,否则抛弃该IPR包,返回相应的结果。
应用举例:本发明的软件及方法已经成功应用于航天某院的计算机在线保密检查过程,成功完成了1000多台计算机同时在线保密检查的任务。证明了软件具有开发周期短、可维护性好、灵活的开放接口、完善的调试功能以及易于使用和管理的优点。
本发明未详细描述的部分属于本领域公知技术。
Claims (7)
1.面向终端计算机的安全在线检查系统,其特征在于:在一台中心计算机上在线对所有终端计算机进行集中检查,所有的计算机之间通过网络连接;所述的系统包括在线检查工具、封装模块和中心计算机,封装模块将在线检查工具打包成CAB的形式并存储在中心计算机上,中心计算机将CAB嵌入IE浏览器,终端计算机通过IE浏览器从中心计算机上下载该CAB并自动安装;所述在线检查工具包括统一数据接口模块、安全检查单元和显示模块;
用户通过中心计算机上的IE浏览器输入期望检查的项目指令及对应检查项目的输入信息,每台终端计算机上的统一数据接口模块对接收的项目指令及对应检查项目的输入信息传送至安全检查单元,安全检查单元根据项目指令启动策略安全在线检查或者补丁安全在线检查或者硬件资源信息安全在线检查或者软件安全在线检查,并将检查结果交由显示模块进行显示。
2.根据权利要求1所述的面向终端计算机的安全在线检查系统,其特征在于:所述的安全检查单元包括策略定义模块、查询分析模块、策略内比模块、资源信息抓取模块、信息解析模块、分析处理模块、策略定制模块、统一数据接口模块、补丁解析模块、查询模块、下载分发模块、软件信息获取模块、软件控制模块;
当接收的项目指令为策略安全在线检查指令时,对应的检查项目的输入信息为每台终端计算机期望检查的策略类型、策略内容、策略生效时间以及策略生效的有效条件,具体检查步骤如下:
查询分析模块:启动策略定义模块,同时根据策略安全在线检查指令从本地计算机上抓取策略映射表中策略类型对应的策略内容的实际值,并将该实际值填充到策略映射表相应的扩展项中;根据统一数据接口模块发送的策略类型、策略内容、策略生效时间以及策略生效的有效条件,将传入的策略有效时间填充到对应的策略映射表中,将策略生效的有效条件根据相应策略内容,与策略内容对应的唯一标识值一起存储;
策略定义模块:根据统一数据接口模块发送的策略类型及策略内容,建立策略映射表;该策略映射表包括唯一标识值、策略类型、策略内容、策略生效时间和扩展项五项内容;策略类型与策略内容为一对一或者一对多的关系,策略内容为对应的策略类型的策略检查要求;扩展项为相应策略内容的实际值,唯一标识值与策略内容、策略生效时间、扩展项一一对应;
策略内比模块:将策略映射表中的扩展项内容与查询分析模块存储的唯一标识值对应的策略生效有效条件进行内比,将内比结果连同对应的唯一标识值一起存储并传给显示模块及统一数据接口模块;
当接收的项目指令为补丁安全在线检查指令时,具体检查步骤如下:
补丁解析模块根据补丁安全在线检查指令解析出补丁类型以及最新版本号;并从策略定制模块中获取本地计算机当前补丁类别及补丁版本号,将二者进行比对,若本地计算机当前补丁版本号小于最新版本号,则将补丁类别发送至下载分发模块;下载分发模块根据接收的补丁类别获取该补丁类别对应的补丁包,并下载安装,将安装后的状态及结果反馈给补丁解析模块;补丁解析模块根据反馈结果,当安装成功时,将安装的补丁包对应的最新版本号传给策略定制模块;若安装失败,则重新下载安装,若在预设的次数限制内一直安装失败,则通知查询模块将失败信息进行显示;策略定制模块中存储本地计算机的当前补丁类别及补丁版本号,并将接收的最新版本号与当前补丁版本号进行比对,当当前补丁版本号小于等于最新版本号时,用最新版本号更新当前补丁版本号;否则,调用查询模块将当前补丁版本号大于最新版本号进行显示;
当接收的项目指令为硬件资源信息在线检查指令时,具体检查步骤如下:
资源信息抓取模块根据调用获取本地计算机的IP地址或者MAC地址以及本地计算机的硬件资源信息,将该地址通过统一数据接口模块回传给中心计算机,将本地计算机的硬件资源信息发送给信息解析模块;中心计算机根据IP地址或者MAC地址通过统一数据接口模块将该地址对应的终端计算机登记的硬件资源信息发送至分析处理模块;
信息解析模块将接收的硬件资源信息通过映射表解析成用户能够识别的信息并发送至分析处理模块;
分析处理模块将解析后的信息与登记的硬件资源信息进行比对,将比对结果通过统一数据接口模块回传至中心计算机,同时将比对不一致的结果送至显示模块;中心计算机将回传结果进行显示、并存储;
当接收的项目指令为软件安全在线检查指令时,具体步骤如下:
软件信息获取模块根据软件安全在线检查指令获取当前计算上安装的每个软件的运行信息以及特殊软件的特定信息,所述的特殊软件为当前计算机上根据单位要求必须安装的软件,其特定信息包括软件安装时间、版本号、升级时间;
软件控制模块将软件信息获取模块获取的所有信息回传至中心计算机,并将软件信息获取模块获取的软件运行信息与存储在本地计算机上的软件监控描述表进行比对,将软件监控描述表中不允许安装的软件从本地计算机结束进程;根据软件的运行信息判断软件监控描述表中必须运行的软件是否运行,若存在未运行的软件,则调用显示模块进行提示;根据获取的特殊软件的特定信息,判断该特定信息与软件监控描述表中特殊软件的相应条件是否匹配,若不匹配,则调用显示模块进行显示。
3.根据权利要求2所述的面向终端计算机的安全在线检查系统,其特征在于:当查询分析模块接收的策略安全在线检查指令为判断系统是否安装有真实光驱时,所述的抓取策略映射表中策略类型对应的策略内容的实际值步骤如下:
(1)读取策略安全在线检查指令,判断指令的操作内容,将指令的操作内容与查询分析模块默认的同一指令的内容相比较,判断二者是否一致,若不一致,则直接返回错误信息,等待下一个策略安全在线检查指令;若一致,则转步骤(2);
(2)根据windows管理接口WMI获取光驱信息,若没有获取带光驱信息,则在策略映射表相应的扩展项中记录“否”,若有则转步骤(3);
(3)至少获取6次光驱的读取速度,计算平均值;获取当前硬盘的读取的速度,次数和获取光驱的一致,计算平均值;比较获取的光驱的读取速度和硬盘的读取速度,若误差在10MB/s内则认为该光驱是虚拟光驱,若超出了这个范围则认为是真实光驱,将比较结果记录在策略映射表相应的扩展项中。
4.根据权利要求2所述的面向终端计算机的安全在线检查系统,其特征在于:所述的策略定制模块还存储本地计算机当前补丁检测周期,终端计算机根据补丁检测周期主动通过统一数据接口模块发起补丁更新申请至中心计算机,中心计算机将该补丁类型以及最新版本号发送至该终端计算机。
5.根据权利要求2所述的面向终端计算机的安全在线检查系统,其特征在于:所述的下载分发模块具体实现步骤如下:
(1)接收补丁解析模块发送的需要更新的补丁类别,将该补丁类别信息发送至中心计算机;
(2)中心计算机通过Ping命令获取网络中中心计算机与各个终端计算机之间的连通状态;
(3)中心计算机通过IE浏览器发送网络状态查询指令,相应终端计算机的统一数据接口模块从IE浏览器上获取该指令发送给下载分发模块,下载分发模块获取与其它终端计算机的连接状态,并将获取的信息通过统一数据接口模块回传至中心计算机;
(4)中心计算机根据接收到的状态信息,建立一个集合,该集合以中心计算机作为起点,遍历与之相连的终端计算机的状态,将显示连通状态良好的计算机之间的对应关系<Vi,Vj>存入该集合中,当中心计算机与终端计算机的响应时间为500毫秒以内时,表示中心计算机与终端之间连接状态良好,反之表示二者连接状态为阻塞,相应的阻塞终端计算机记为Vk;其中,Vi(i=1)代表中心计算机,Vj(j≠1)代表与中心计算机连通状态良好的终端计算机;
(5)在集合中确定与中心计算机阻塞的某一台终端计算机Vkm的对应关系,具体如下:
(5.1)获取步骤(4)中与中心计算机阻塞的某一台终端计算机Vkm与步骤(4)集合中的Vj之间的连接状态信息,若存在连接状态良好的计算机,则将连接状态信息中响应时间最短的Vj与相应的Vkm的对应关系<Vj,Vkm>存入集合中;若Vj中不存在与该台终端计算机Vkm连接状态良好的计算机,则转步骤(5.2);
(5.2)获取与该台终端计算机Vkm连接状态良好的其它与中心计算机阻塞的终端计算机Vkn;将<Vkn,Vkm>存入该集合,转(5.3);
(5.3)获取终端计算机Vkn与步骤(4)集合中的Vj之间的连接状态信息,若存在连接状态良好的计算机,则将连接状态信息中响应时间最短的Vj与相应的Vkn的对应关系<Vj,Vkn>存入集合中;若不存在连接状态良好的计算机,则从集合中删除<Vkn,Vkm>,将<V1,Vkm>存入集合中;
(6)对其它所有与中心计算机阻塞的终端计算机按照步骤(5)进行处理;
(7)中心计算机根据集合中的内容,通过IE浏览器发送状态信息和相应的补丁包,与中心计算机连接良好的终端计算机的统一数据接口模块从IE浏览器上获取状态信息和补丁包,判断状态信息是否需要将该补丁包转发到其它的终端计算机;若需要,则将补丁包转发到其它终端计算机,并安装相应的补丁包,返回结果给补丁解析模块。
6.根据权利要求2所述的面向终端计算机的安全在线检查系统,其特征在于:所述的资源信息抓取模块抓取本地计算机的硬件资源信息的实现步骤如下:
(1)定义资源信息抓取模块外部调用的统一接口,并向接口中传入相关参数,统一接口采用下列形式表达:GetInformation(“硬件类型”,“类型键值”);
(2)根据传入的参数查找资源信息描述表,通过资源信息描述表确定类型键值对应的映射地址,同时根据映射地址确定该类型键值的抓取方法;
上述一类硬件类型对应一张资源信息描述表,每张资源信息描述表包括三部分内容,标识、类型键值和映射地址,三者一一对应,抓取方法存储在本地计算机内存中且与上述映射地址一一对应;
(3)按照步骤(2)确定的抓取方法抓取相应的硬件资源信息,创建数据返回链表并统计链表长度,该链表中存储硬件类型、类型键值以及对应的抓取值。
7.根据权利要求6所述的面向终端计算机的安全在线检查系统,其特征在于:所述的抓取方法按照硬件类型进行分类,当硬件类型为CPU时:
(2.1)找到内存中描述传入参数中类型键值信息的地址,将该地址保存到段寄存器EAX中;
(2.2)读取上述地址的一个双字信息,并保存到一个内存数组中;
(2.3)将上述内存数组指针加4,将段寄存器EBX保存的信息存入上述内存数组中;
(2.4)重复上述步骤(2.3),总共获取48字节信息;
(2.5)将内存数组中的数据转换为字符串,存入到返回链表中,即完成了CPU类型数据的抓取。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210101276.XA CN102663298B (zh) | 2012-04-06 | 2012-04-06 | 面向终端计算机的安全在线检查系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210101276.XA CN102663298B (zh) | 2012-04-06 | 2012-04-06 | 面向终端计算机的安全在线检查系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102663298A CN102663298A (zh) | 2012-09-12 |
| CN102663298B true CN102663298B (zh) | 2014-12-17 |
Family
ID=46772785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210101276.XA Active CN102663298B (zh) | 2012-04-06 | 2012-04-06 | 面向终端计算机的安全在线检查系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102663298B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102736970A (zh) * | 2012-06-29 | 2012-10-17 | 浪潮电子信息产业股份有限公司 | 一种操作系统活动状态的监控方法 |
| CN104751060A (zh) * | 2013-12-27 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 对终端进行体检的方法及装置 |
| CN104503774B (zh) * | 2014-11-28 | 2018-11-23 | 广东欧珀移动通信有限公司 | 一种软件调试方法、相关设备及系统 |
| CN107195144B (zh) * | 2017-05-25 | 2019-10-08 | 深圳市百富智能新技术有限公司 | 管理支付终端硬件模块的方法、装置及计算机可读存储介质 |
| CN109033840B (zh) * | 2018-06-28 | 2021-08-03 | 成都飞机工业(集团)有限责任公司 | 一种对计算机终端进行保密检查的方法 |
| CN109165513B (zh) * | 2018-09-13 | 2021-08-06 | 新华三技术有限公司 | 系统配置信息的巡检方法、装置和服务器 |
| CN109558311A (zh) * | 2018-10-26 | 2019-04-02 | 深圳点猫科技有限公司 | 一种教育系统的自动化接口校验方法及电子设备 |
| CN112241353B (zh) * | 2019-07-16 | 2023-10-13 | 腾讯科技(深圳)有限公司 | 运行状态的检查方法、装置、终端及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
| CN101206575A (zh) * | 2006-12-19 | 2008-06-25 | 大唐移动通信设备有限公司 | 一种软件补丁在线升级方法、单板及系统 |
| CN101369930A (zh) * | 2008-09-01 | 2009-02-18 | 深圳市深信服电子科技有限公司 | 一种网络插件的安全检查方法、系统及安全检查设备 |
| CN101482834A (zh) * | 2009-01-20 | 2009-07-15 | 华为技术有限公司 | 在线补丁激活方法、通信装置及系统 |
| CN101533356A (zh) * | 2009-04-21 | 2009-09-16 | 华为技术有限公司 | 一种实现软件在线升级的方法、装置及系统 |
| CN102118500A (zh) * | 2010-12-27 | 2011-07-06 | 清华大学 | 移动终端开源操作系统基于软件包的在线自动更新方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040034794A1 (en) * | 2000-05-28 | 2004-02-19 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
| JP4197311B2 (ja) * | 2004-06-22 | 2008-12-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セキュリティポリシー生成方法、セキュリティポリシー生成装置、プログラム、及び記録媒体 |
| CN100370431C (zh) * | 2004-08-16 | 2008-02-20 | 上海华为技术有限公司 | 对嵌入式系统进行在线监测的方法及其系统 |
| CN1320801C (zh) * | 2004-10-09 | 2007-06-06 | 中国工商银行股份有限公司 | 一种计算机辅助安全方法及系统 |
| CN100337204C (zh) * | 2004-11-05 | 2007-09-12 | 华为技术有限公司 | 软件在线升级的方法 |
| CN101272250A (zh) * | 2007-03-21 | 2008-09-24 | 杭州华三通信技术有限公司 | 一种客户端接入认证方法、系统及其装置 |
| US7962431B2 (en) * | 2007-09-18 | 2011-06-14 | International Business Machines Corporation | Automatically controlling in-process software distributions through time prediction of a disturbance |
-
2012
- 2012-04-06 CN CN201210101276.XA patent/CN102663298B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101206575A (zh) * | 2006-12-19 | 2008-06-25 | 大唐移动通信设备有限公司 | 一种软件补丁在线升级方法、单板及系统 |
| CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
| CN101369930A (zh) * | 2008-09-01 | 2009-02-18 | 深圳市深信服电子科技有限公司 | 一种网络插件的安全检查方法、系统及安全检查设备 |
| CN101482834A (zh) * | 2009-01-20 | 2009-07-15 | 华为技术有限公司 | 在线补丁激活方法、通信装置及系统 |
| CN101533356A (zh) * | 2009-04-21 | 2009-09-16 | 华为技术有限公司 | 一种实现软件在线升级的方法、装置及系统 |
| CN102118500A (zh) * | 2010-12-27 | 2011-07-06 | 清华大学 | 移动终端开源操作系统基于软件包的在线自动更新方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张智,袁庆霓.《BIOS安全检查系统设计与实现》.《计算机技术与发展》.2012,第22卷(第2期),172-180. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102663298A (zh) | 2012-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102663298B (zh) | 面向终端计算机的安全在线检查系统 | |
| CN110297689B (zh) | 智能合约执行方法、装置、设备及介质 | |
| CN110908879B (zh) | 埋点数据的上报方法、装置、终端和存储介质 | |
| CN111279309A (zh) | 基于环境要求的容器部署 | |
| CN111695156A (zh) | 业务平台的访问方法、装置、设备及存储介质 | |
| US20190372804A1 (en) | Method and apparatus for operating smart network interface card | |
| US10481890B2 (en) | Environment mapping and patching synthesis | |
| CN105893097A (zh) | 一种处理bios的选项信息的方法及装置 | |
| EP2862119B1 (en) | Network based management of protected data sets | |
| CN109995523B (zh) | 激活码管理方法及装置、激活码生成方法及装置 | |
| CN104281808A (zh) | 一种通用的Android恶意行为检测方法 | |
| CN104636678A (zh) | 一种云计算环境下对终端设备进行管控的方法和系统 | |
| CN115033894B (zh) | 一种基于知识图谱的软件组件供应链安全检测方法及装置 | |
| WO2021190659A1 (zh) | 系统的数据获取方法、装置、介质及电子设备 | |
| KR20130140508A (ko) | 로그 정보 수집 장치 | |
| CN111586177B (zh) | 集群会话防丢失方法及系统 | |
| CN109189652A (zh) | 一种封闭网络终端行为数据的采集方法及系统 | |
| CN113238815B (zh) | 一种接口访问控制方法、装置、设备及存储介质 | |
| CN113626882A (zh) | 一种生成设备标识符的方法、装置、介质 | |
| CN106201542B (zh) | 一种wof快速开发平台 | |
| CN102647419B (zh) | 面向终端计算机的策略安全在线检查系统 | |
| CN112187509A (zh) | 多架构云平台执行日志管理方法、系统、终端及存储介质 | |
| CN105247618A (zh) | 一种硬盘执行应用代码的方法及装置 | |
| KR20130108855A (ko) | 어플리케이션의 유해성 판단 방법 및 시스템 | |
| CN112416875B (zh) | 日志管理方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |