CN108388792A - 一种办公操作系统加固方法和系统 - Google Patents
一种办公操作系统加固方法和系统 Download PDFInfo
- Publication number
- CN108388792A CN108388792A CN201810233445.2A CN201810233445A CN108388792A CN 108388792 A CN108388792 A CN 108388792A CN 201810233445 A CN201810233445 A CN 201810233445A CN 108388792 A CN108388792 A CN 108388792A
- Authority
- CN
- China
- Prior art keywords
- office
- windows
- software
- management
- operation system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种办公操作系统加固方法和系统,方法包括:借助PKI身份认证机制,对Windows办公操作系统开机引导程序以及系统登录认证的修改步骤;对操作系统磁盘进行全盘数据加密步骤;统一管理办公软件,验证软件包MD5值,确保程序软件安全可靠步骤;设置安全程序目录、安全网络地址,监控所有系统进程和网络访问请求,禁止进程执行及网络访问行为步骤。通过本发明实现了对Windows办公操作系统的数据保护、进程保护、网络访问保护,提高了系统的安全性,保护了办公操作系统使用者的权益。
Description
技术领域
本发明涉及安全技术领域,特别是涉及一种办公操作系统加固方法和系统。
背景技术
当前计算机及网络技术与应用发展迅猛,计算机系统安全形势也比以往任何时候都更加严峻,几乎每天都可能听到众多的黑客事件、病毒威胁等,一旦计算机系统遭受破坏,可能给使用单位造成重大经济损失,严重影响正常工作开展,加强计算机系统安全加固工作,是信息化建设的重要工作内容之一。
目前微软Windows操作系统仍占据桌面操作系统的最大份额,占有率超过90%以上,是绝对主流的办公操作系统。然而Windows操作系统及应用服务存在很多安全隐患,当下防病毒及杀毒软件、攻击防护软件虽然为数众多,但是在最近影响广泛的勒索病毒事件中,众多安装了杀毒软件、攻击防护系统的办公桌面操作系统依旧中招,给使用单位和个人造成了重大的经济损失。究其原因重点主要还在于,杀毒软件及攻击防护系统仅能针对已知的病毒和攻击行为建立特征库,而对于未知的新兴病毒只能在病毒发生后,紧急处理采取后发补救的措施。
Windows操作系统使用状况复杂,用户所使用的软件、运行的程序、访问的网络资源形形色色、各式各样,新型病毒和攻击手段层出不穷,计算机系统安全形势及其严峻。
发明内容
为了解决上述技术所存在的不足之处,本发明提供了一种办公操作系统加固方法及系统。
为了解决以上技术问题,本发明采用的技术方案是:一种办公操作系统加固方法,包括:
借助PKI身份认证机制,对Windows办公操作系统开机引导程序以及系统登录认证的修改步骤;
对操作系统磁盘进行全盘数据加密步骤;
统一管理办公软件,验证软件包MD5值,确保程序软件安全可靠步骤;
设置安全程序目录、安全网络地址,监控所有系统进程和网络访问请求,禁止进程执行及网络访问行为步骤。
进一步地,所述对操作系统磁盘进行全盘数据加密步骤,包括:
对操作系统磁盘加密,用户设定加密秘钥后,磁盘全盘加密以透明加密方式进行。
进一步地,所述对操作系统磁盘加密支持多种加密算法。
进一步地,所述借助PKI身份认证机制,对Windows办公操作系统开机引导程序以及系统登录认证的修改步骤,包括:
在U锁中存储用户身份证书,提供用户认证接口;修改Windows办公操作系统开机启动过程增加U锁用户身份验证环节;修改操作系统登录认证方式,改为验证U锁中的用户身份证书。
进一步地,所述借助PKI身份认证机制,对Windows办公操作系统开机引导程序以及系统登录认证的修改步骤,包括:
在Windows办公操作系统本地加密存储并隐藏用户公钥证书;所述U锁中的用户身份证书与Windows办公操作系统绑定验证。
进一步地,所述设置安全程序目录、安全网络地址,包括:
提供安全程序目录查看、添加、修改、删除、同步等管理接口,并禁止所有目录共享行为;提供安全网络地址查看、添加、修改、删除、同步等管理接口。
进一步地,所述监控所有系统进程和网络访问请求,禁止进程执行及网络访问行为,包括:
监控Windows办公操作系统所有进程启动、执行,并按照设置的安全程序目录规则,禁止所有不符合安全程序目录规则要求的进程启动和执行操作;监控Windows办公操作系统所有网络访问请求,并按照安全网络地址规则,禁止所有不符合安全网络地址规则要求的网络访问请求。
进一步地,所述统一管理办公软件,验证软件包MD5值,确保程序软件安全可靠,包括:
办公软件采取内部统一管理方式,办公软件进行特殊压缩打包处理,在软件安装之前进行软件包MD5值验证,对Windows办公操作系统的软件安装接口封装,禁止直接运行安装程序。
本发明的内容还包括一种办公操作系统加固系统,包括:
管理后台和客户端;
管理后台包括:
策略管理后台模块,用于实现办公网络内部Windows办公终端的用户管理,安全软件、安全网络加固策略的管理;
客户端包括:
开机认证模块,在Windows操作系统本地隐藏加密存储用户公钥证书,修改Windows办公操作系统开机引导及登录认证过程,增加U锁用户证书验证模块;
系统磁盘加密模块,用于实现对Windows操作系统磁盘全盘加密;
全程序管控模块,统一软件安装管理,从软件程序源头确保安全可靠的程序才能够运行,实现对Windows操作系统所有程序的监控,并依据安全程序目录及可信任程序规则,禁止不符合规则的程序进程启动运行;
安全网络地址管控模块,实现对Windows操作系统所有网络访问的监控,并依据安全网络地址规则,禁止建立不符合规则的网络访问通信;
通信加密模块,实现客户端与策略管理后台模块的通信保密安全。
进一步地,所述办公操作系统加固系统还包括:
日志记录模块,用于记录Windows办公操作系统登录、程序运行以及网络访问操作日志信息。
进一步地,所述日志记录模块包括:
客户端日志记录模块:用于操作日志的记录和推送;和
管理后台日志记录模块:用于在后台同步和管理客户端的日志记录。
本发明通过对Windows办公操作系统开机引导过程进行修改;对Windows登录认证进行修改封装;设置安全程序目录进行保护,并监控Windows所有进程;采用验证软件包MD5值方法确保程序软件安全可靠性;设置安全网络资源地址并监控系统网络访问请求;Windows办公操作系统磁盘加密;将所述方法打包,实现对Windows办公操作系统的加固。通过本发明实现了对Windows办公操作系统的数据保护、进程保护、网络访问保护,提高了系统的安全性,保护了办公操作系统使用者的权益。
通过本发明实现了对Windows办公操作系统的数据保护、进程保护、网络访问保护,提高了系统的安全性,保护了办公操作系统使用者的权益。
附图说明
图1为本发明的Windows办公操作系统加固方法的步骤流程图;
图2为本发明的Windows办公操作系统加固系统的结构示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
【实施例一】
参照图1,示出了一种Windows办公操作系统加固方法的步骤流程图。在本实施例中,所述Windows办公操作系统加固方法可以包括:
步骤102,借助PKI身份认证机制,对Windows办公操作系统开机引导程序以及系统登录认证的修改。
Public Key Infrastructure,PKI,一种管理秘钥和证书的公钥安全基础设施。U锁为一种USB智能卡电脑加密钥匙。
PKI可以提供可靠的用户身份证书管理,在本实施例方法中利用可信的用户证书系统为用户建立身份证书,并存储于U锁中;证书公钥隐藏并加密保存在Windows办公操作系统本地磁盘;修改Windows操作系统开机引导程序,在开机引导环节要求插入U锁,并验证U锁中用户证书,验证通过才能进入Windows操作系统用户登录界面;修改Windows操作系统登录认证,添加U锁用户证书验证功能。修改封装以后的Windows操作系统认证功能更加安全隐蔽,有效防止了非法的用户登录。
步骤104,对操作系统磁盘进行全盘数据加密。
对Windows操作系统磁盘进行加密,加解密过程对用户透明,在系统使用之前要求完成全盘加密,防止数据泄露。磁盘加密算法可以是SM4、SM2等国密算法,也可以是AES等标准加密算法。
步骤106,统一管理办公软件,验证软件包MD5值,确保程序软件安全可靠。
在本实施例中,要对单位内部办公软件统一收集管理,在软件推广使用前采取安全扫描、预安装等措施进行软件安全检测,通过后再进入统一软件管理平台进行推广。Windows操作系统全面禁止用户自主手动安装软件,软件安装通过统一的安装接口执行,在安装前要求验证软件包MD5值,确保软件安全可靠,保证Windows操作系统的环境安全。
步骤108,设置安全程序目录、安全网络地址,监控所有系统进程和网络访问请求,禁止进程执行及网络访问行为。
在本实施例中,对操作系统终端设置安全程序目录、安全网络地址规则,并统一后台管理。在Windows操作系统内,对所有程序运行和网络访问行为进行监控,禁止所有不符合安全程序目录、安全网络地址规则的程序运行和网络访问行为。
【实施例二】
基于与上述方法实施例同一发明构思,参照图2,示出了一种Windows办公操作系统加固系统的结构图。
在本实施例中,所述操作系统加固系统包括:
管理后台、客户端;
管理后台包括:
策略管理后台模块202,用于实现办公网络内部Windows办公终端的用户管理,安全软件、安全网络加固策略的管理;
管理后台日志记录模块2042:用于网络访问操作日志信息,在后台同步和管理客户端的日志记录。
客户端包括:
开机认证模块206,在Windows操作系统本地隐藏加密存储用户公钥证书,修改Windows办公操作系统开机引导及登录认证过程,增加U锁用户证书验证模块;
系统磁盘加密模块208,用于实现对Windows操作系统磁盘全盘加密;
安全程序管控模块210,统一软件安装管理,从软件程序源头确保安全可靠的程序才能够运行,实现对Windows操作系统所有程序的监控,并依据安全程序目录及可信任程序规则,禁止不符合规则的程序进程启动运行;
安全网络地址管控模块212,实现对Windows操作系统所有网络访问的监控,并依据安全网络地址规则,禁止建立不符合规则的网络访问通信;
通信加密模块214,实现客户端中开机认证模块206、安全程序管控模块210和安全网络地址管控模块212与策略管理后台模块的通信保密安全。
客户端日志记录模块2041,用于记录和推送Windows办公操作系统登录、程序运行
上述实施方式并非是对本发明的限制,本发明也并不仅限于上述举例,本技术领域的技术人员在本发明的技术方案范围内所做出的变化、改型、添加或替换,也均属于本发明的保护范围。
Claims (10)
1.一种办公操作系统加固方法,其特征在于:包括:
借助PKI身份认证机制,对Windows办公操作系统开机引导程序以及系统登录认证的修改步骤;
对操作系统磁盘进行全盘数据加密步骤;
统一管理办公软件,验证软件包MD5值,确保程序软件安全可靠步骤;
设置安全程序目录、安全网络地址,监控所有系统进程和网络访问请求,禁止进程执行及网络访问行为步骤。
2.根据权利要求1所述的一种办公操作系统加固方法,其特征在于:所述对操作系统磁盘进行全盘数据加密步骤,包括:
对操作系统磁盘加密,用户设定加密秘钥后,磁盘全盘加密以透明加密方式进行。
3.根据权利要求2所述的一种办公操作系统加固方法,其特征在于:所述对操作系统磁盘加密支持多种加密算法。
4.根据权利要求1所述的一种办公操作系统加固方法,其特征在于:所述借助PKI身份认证机制,对Windows办公操作系统开机引导程序以及系统登录认证的修改步骤,包括:
在U锁中存储用户身份证书,提供用户认证接口;修改Windows办公操作系统开机启动过程增加U锁用户身份验证环节;修改操作系统登录认证方式,改为验证U锁中的用户身份证书。
5.根据权利要求4所述的一种办公操作系统加固方法,其特征在于:所述借助PKI身份认证机制,对Windows办公操作系统开机引导程序以及系统登录认证的修改步骤,包括:
在Windows办公操作系统本地加密存储并隐藏用户公钥证书;所述U锁中的用户身份证书与Windows办公操作系统绑定验证。
6.根据权利要求1所述的一种办公操作系统加固方法,其特征在于:所述设置安全程序目录、安全网络地址,包括:
提供安全程序目录查看、添加、修改、删除、同步等管理接口,并禁止所有目录共享行为;提供安全网络地址查看、添加、修改、删除、同步等管理接口。
7.根据权利要求1所述的一种办公操作系统加固方法,其特征在于:所述监控所有系统进程和网络访问请求,禁止进程执行及网络访问行为,包括:
监控Windows办公操作系统所有进程启动、执行,并按照设置的安全程序目录规则,禁止所有不符合安全程序目录规则要求的进程启动和执行操作;监控Windows办公操作系统所有网络访问请求,并按照安全网络地址规则,禁止所有不符合安全网络地址规则要求的网络访问请求。
8.根据权利要求1所述的一种办公操作系统加固方法,其特征在于:所述统一管理办公软件,验证软件包MD5值,确保程序软件安全可靠,包括:
办公软件采取内部统一管理方式,办公软件进行特殊压缩打包处理,在软件安装之前进行软件包MD5值验证,对Windows办公操作系统的软件安装接口封装,禁止直接运行安装程序。
9.一种办公操作系统加固系统,包括:
管理后台和客户端;
管理后台包括:
策略管理后台模块,用于实现办公网络内部Windows办公终端的用户管理,安全软件、安全网络加固策略的管理;
客户端包括:
开机认证模块,在Windows操作系统本地隐藏加密存储用户公钥证书,修改Windows办公操作系统开机引导及登录认证过程,增加U锁用户证书验证模块;
系统磁盘加密模块,用于实现对Windows操作系统磁盘全盘加密;
全程序管控模块,统一软件安装管理,从软件程序源头确保安全可靠的程序才能够运行,实现对Windows操作系统所有程序的监控,并依据安全程序目录及可信任程序规则,禁止不符合规则的程序进程启动运行;
安全网络地址管控模块,实现对Windows操作系统所有网络访问的监控,并依据安全网络地址规则,禁止建立不符合规则的网络访问通信;
通信加密模块,实现客户端与策略管理后台模块的通信保密安全。
10.根据权利要求9所述的办公操作系统加固系统,其特征在于:所述Windows办公操作系统加固系统还包括:
日志记录模块,用于记录Windows办公操作系统登录、程序运行以及网络访问操作日志信息;日志记录模块包括:用于操作日志的记录和推送的客户端日志记录模块、用于在后台同步和管理客户端的日志记录的管理后台日志记录模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810233445.2A CN108388792A (zh) | 2018-03-21 | 2018-03-21 | 一种办公操作系统加固方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810233445.2A CN108388792A (zh) | 2018-03-21 | 2018-03-21 | 一种办公操作系统加固方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108388792A true CN108388792A (zh) | 2018-08-10 |
Family
ID=63068259
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810233445.2A Pending CN108388792A (zh) | 2018-03-21 | 2018-03-21 | 一种办公操作系统加固方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108388792A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111611565A (zh) * | 2020-05-11 | 2020-09-01 | 叶春林 | 自主达意式安全验证系统 |
| CN112784282A (zh) * | 2021-01-22 | 2021-05-11 | 苏州浪潮智能科技有限公司 | 一种安全配置加固方法、系统及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101916348A (zh) * | 2010-08-16 | 2010-12-15 | 武汉天喻信息产业股份有限公司 | 一种用户操作系统的安全引导方法及引导系统 |
| CN103413083A (zh) * | 2013-08-15 | 2013-11-27 | 水利部水利信息中心 | 单机安全防护系统 |
-
2018
- 2018-03-21 CN CN201810233445.2A patent/CN108388792A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101916348A (zh) * | 2010-08-16 | 2010-12-15 | 武汉天喻信息产业股份有限公司 | 一种用户操作系统的安全引导方法及引导系统 |
| CN103413083A (zh) * | 2013-08-15 | 2013-11-27 | 水利部水利信息中心 | 单机安全防护系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111611565A (zh) * | 2020-05-11 | 2020-09-01 | 叶春林 | 自主达意式安全验证系统 |
| CN112784282A (zh) * | 2021-01-22 | 2021-05-11 | 苏州浪潮智能科技有限公司 | 一种安全配置加固方法、系统及介质 |
| CN112784282B (zh) * | 2021-01-22 | 2022-09-20 | 苏州浪潮智能科技有限公司 | 一种安全配置加固方法、系统及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2019262187B2 (en) | Systems and methods for providing data loss prevention via an embedded browser | |
| AU2019206006B2 (en) | System and method for biometric protocol standards | |
| US11528142B2 (en) | Methods, systems and computer program products for data protection by policing processes accessing encrypted data | |
| US11354400B2 (en) | Systems and methods for offline usage of SaaS applications | |
| JP7545419B2 (ja) | 統合された隔離されたアプリケーションにおけるランサムウェアの被害の軽減 | |
| CN106326699B (zh) | 一种基于文件访问控制和进程访问控制的服务器加固方法 | |
| US8225404B2 (en) | Trusted secure desktop | |
| US8726342B1 (en) | Keystore access control system | |
| US8549326B2 (en) | Method and system for extending encrypting file system | |
| CN109361668A (zh) | 一种数据可信传输方法 | |
| CN108509802B (zh) | 一种应用程序数据防泄密方法和装置 | |
| CN114003943B (zh) | 一种用于机房托管管理的安全双控管理平台 | |
| US20150264047A1 (en) | Method and system for providing secure communication between multiple operating systems in a communication device | |
| US20170201528A1 (en) | Method for providing trusted service based on secure area and apparatus using the same | |
| CN112765637A (zh) | 数据处理方法、密码服务装置和电子设备 | |
| WO2021046637A1 (en) | Methods and systems for data self-protection | |
| Sikder et al. | A survey on android security: development and deployment hindrance and best practices | |
| US9219728B1 (en) | Systems and methods for protecting services | |
| Almohri et al. | Process authentication for high system assurance | |
| Ghorbanzadeh et al. | A survey of mobile database security threats and solutions for it | |
| CN108388792A (zh) | 一种办公操作系统加固方法和系统 | |
| US10142344B2 (en) | Credential management system | |
| CN103430153B (zh) | 用于计算机安全的接种器和抗体 | |
| US20170262640A1 (en) | Database operation method and device | |
| Zolkin et al. | Problems of personal data and information protection in corporate computer networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180810 |