可信网络环境保护方法、装置和计算机可读存储介质

摘要

本发明实施方式提出一种可信网络环境保护方法、装置和计算机可读存储介质。该方法包括：在检测到电源开关按下事件之后以及基于BIOS的启动代码启动操作系统之前，获取可访问网络的网络特征；解析所述网络特征以判定当前网络环境是否可信；当判定网络环境不可信时，执行预定的保护操作。本发明实施方式可以为计算机提供安全可靠的网络检测手段，防止有意或人为疏漏连接不可信网络所导致的安全问题，尤其适用于信创产业。

说明书

技术领域

本发明属于信息技术领域，特别是涉及一种可信网络环境保护方法、装置和计算机可读存储介质。

背景技术

所谓信创产业，即信息技术应用创新产业。基于自有IT底层架构和标准建立起来的IT产业生态，便是信创产业的主要内涵。

信创产业包含从IT底层的基础软硬件到上层的应用软件全产业链的安全和可控策略。以“云”和“端”角度为例：(1)、基于国产平台的终端全栈架构：包括国产CPU、整机设备、基本输入输出系统(BIOS)、操作系统及驱动层和应用层(办公软件、应用软件)等。终端设备包括单独部署的个人桌面计算机、笔记本计算机、接入云平台的瘦客户端等。(2)、基于国产平台的云计算全栈架构：随着云计算的发展，政府、金融、电信等各个行业都在逐步从传统信息系统“烟囱式”的建设方式向私有云、公有云环境进行迁移。云计算的核心就是利用以虚拟化为代表的技术进行计算、存储、网络等资源的配置管理和弹性扩展。云计算整体架构包括：基于国产CPU的基础设施层，如整机、网络、存储等；IaaS层，包括操作系统和云管理平台； PaaS层，主要是通过使用容器环境对应用软件进行微服务化定制封装，使用DevOps理念对云原生应用进行持续部署和集成，使用容器编排工具对容器进行统一集群管理；SaaS层包括政府、金融、电信等各行业业务软件。此外，还包括整个平台的安全管理、运维管理及相应的标准制定遵循。

随着信创产业的发展，大批计算机提出越来越高的安全性要求。为屏蔽互联网络上有可能潜伏的病毒和木马侵害，需要为信创产业内的计算机，提供一个安全可靠的网络检测手段，以防止有意或人为疏漏连接互联网所导致的安全问题。

发明内容

本发明实施例提出一种可信网络环境保护方法、装置和计算机可读存储介质。

本发明实施例的技术方案如下：

一种可信网络环境保护方法，该方法包括：

在检测到电源开关按下事件之后以及基于BIOS的启动代码启动操作系统之前，获取可访问网络的网络特征；

解析所述网络特征以判定当前网络环境是否可信；

当判定网络环境不可信时，执行预定的保护操作。

在一个实施方式中，所述在检测到电源开关按下事件之后以及启动操作系统之前包括：

在检测到加电后自检完成后以及启动操作系统之前；或

在检测到更新扩展系统配置数据ESCD完成后以及启动操作系统之前。

在一个实施方式中，所述获取可访问网络的网络特征包括：获取使能网卡向预定IP地址发送Ping包的回复包。

在一个实施方式中，所述执行预定的保护操作包括下列中的至少一个

芯片断电；禁止网络访问；硬盘数据加密；硬盘数据粉碎；上传计算机特征码；屏幕弹窗警告。

一种可信网络环境保护装置，包括：

网络特征获取模块，用于在检测到电源开关按下事件之后以及基于BIOS 的启动代码启动操作系统之前，获取可访问网络的网络特征；

解析模块，用于解析所述网络特征以判定当前网络环境是否可信；

保护模块，用于当判定网络环境不可信时，执行预定的保护操作。

在一个实施方式中，网络特征获取模块，用于在检测到加电后自检完成后以及启动操作系统之前，获取可访问网络的网络特征；或，在检测到更新扩展系统配置数据ESCD完成后以及启动操作系统之前，获取可访问网络的网络特征。

在一个实施方式中，保护模块，用于执行下列中的至少一个：

芯片断电；禁止网络访问；硬盘数据加密；硬盘数据粉碎；上传计算机特征码；屏幕弹窗警告。

一种可信网络环境保护装置，包括处理器和存储器；

所述存储器中存储有可被所述处理器执行的应用程序，用于使得所述处理器执行如上任一项所述的可信网络环境保护方法。

一种可信网络环境保护系统，包括：

可信网络环境保护装置，布置在主板芯片组中，用于在检测到电源开关按下事件之后以及基于BIOS的启动代码启动操作系统之前，获取可访问网络的网络特征；解析所述网络特征以判定当前网络环境是否可信；当判定网络环境不可信时，执行预定的保护操作。

一种计算机可读存储介质，其中存储有计算机可读指令，该计算机可读指令用于执行如上任一项所述的可信网络环境保护方法。

从上述技术方案可以看出，在本发明实施方式中，在检测到电源开关按下事件之后以及基于BIOS的启动代码启动操作系统之前，获取可访问网络的网络特征；解析网络特征以判定当前网络环境是否可信；当判定网络环境不可信时，执行预定的保护操作。因此，本发明实施方式可以在计算机启动早期，为计算机提供安全可靠的网络检测手段，防止有意或人为疏漏连接不可信网络所导致的安全问题，尤其适用于信创产业。

而且，将可信网络环境保护装实施为硬件芯片(比如，部署在主板芯片组中)或固化在BIOS或者操作系统内，可以在开机时启动、定时启动或根据需要启动，具有多种实施方式。

附图说明

图1为根据本发明实施方式可信网络环境保护方法的流程图。

图2为根据本发明实施方式可信网络环境保护方法的示范性流程图。

图3为根据本发明实施方式可信网络环境保护装置的结构图。

图4为根据本发明实施方式具有存储器-处理器架构的可信网络环境保护装置的结构图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。

为了描述上的简洁和直观，下文通过描述若干代表性的实施方式来对本发明的方案进行阐述。实施方式中大量的细节仅用于帮助理解本发明的方案。但是很明显，本发明的技术方案实现时可以不局限于这些细节。为了避免不必要地模糊了本发明的方案，一些实施方式没有进行细致地描述，而是仅给出了框架。下文中，“包括”是指“包括但不限于”，“根据……”是指“至少根据……，但不限于仅根据……”。由于汉语的语言习惯，下文中没有特别指出一个成分的数量时，意味着该成分可以是一个也可以是多个，或可理解为至少一个。

图1为根据本发明实施方式可信网络环境保护方法的流程图。

如图1所示，该方法包括：

步骤101：在检测到电源开关按下事件之后以及基于BIOS的启动代码启动操作系统之前，获取可访问网络的网络特征。

首先，对计算机的启动过程进行示范性说明。具体包括：

第一步：当用户按下电源开关时，电源向主板和其它设备供电，此时电压不太稳定，主板上的控制芯片组向CPU发出并保持重置(RESET)信号，让CPU内部自动恢复到初始状态，但CPU在此刻不会马上执行指令。当控制芯片组检测到电源已经开始稳定供电，便撤去RESET信号(其中，如果是手工按下计算机面板上的Reset按钮重启机器，那么松开该按钮时，芯片组就会撤去RESET信号)，CPU从地址FFFF0H处开始执行指令。该地址在系统BIOS的地址范围内，具体为跳转指令，跳转到系统BIOS中真正的启动代码处。

第二步：系统BIOS的启动代码首先执行加电后自检(Power-On Self Test，POST)，POST的主要任务是检测系统中关键设备(例如内存和显卡等设备)是否存在和能否正常工作。由于POST是最早进行的检测过程，此时显卡还没有初始化，如果系统BIOS在进行POST的过程中发现了一些致命错误，例如没有找到内存或者内存有问题，那么系统BIOS就会直接控制喇叭发声来报告错误，声音的长短和次数代表了错误的类型。POST结束之后就会调用其它代码来进行更完整的硬件检测。

第三步：接下来系统BIOS将查找显卡的BIOS。存放显卡BIOS的ROM 芯片的起始地址通常设在C0000H处，系统BIOS在这个地址找到显卡BIOS 之后就调用它的初始化代码，由显卡BIOS来初始化显卡。此时，多数显卡都会在屏幕上显示出一些初始化信息，介绍生产厂商、图形芯片类型等内容，系统BIOS接着会查找其它设备的BIOS程序，找到之后同样要调用这些 BIOS内部的初始化代码来初始化相关的设备。

第四步：查找完所有其它设备的BIOS之后，系统BIOS将显示出它自己的启动画面，其中包括有系统BIOS的类型、序列号和版本号等内容。

第五步：接着系统BIOS将检测和显示CPU的类型和工作频率，然后开始测试所有的RAM，并同时在屏幕上显示内存测试的进度，此时用户可以在CMOS设置中自行决定使用简单耗时少或者详细耗时多的测试方式。

第六步：内存测试通过之后，系统BIOS将开始检测系统中安装的一些标准硬件设备，包括硬盘、CD-ROM、串口、并口、软驱等设备，另外绝大多数较新版本的系统BIOS在这一过程中还要自动检测和设置内存的定时参数、硬盘参数和访问模式等。

第七步：标准设备检测完毕后，系统BIOS内部的支持即插即用的代码将开始检测和配置系统中安装的即插即用设备(比如，即插即用的网卡)，每找到一个设备之后，系统BIOS都会在屏幕上显示出设备的名称和型号等信息，同时为该设备分配中断、DMA通道和I/O端口等资源。

第八步：至此所有硬件都已经检测配置完毕了，系统BIOS会重新清屏并在屏幕上方显示出一个表格，其中概略地列出了系统中安装的各种标准硬件设备，以及它们使用的资源和一些相关工作参数。

第九步：接下来系统BIOS将更新ESCD(Extended System Configuration Data，扩展系统配置数据)。ESCD是系统BIOS用来与操作系统交换硬件配置信息的一种手段，这些数据被存放在CMOS(一小块特殊的RAM，由主板上的电池来供电)之中。通常ESCD数据只在系统硬件配置发生改变后才会更新，所以不是每次启动机器时都能够看到“UpdateESCD...Success”这样的信息，不过，某些主板的系统BIOS在保存ESCD数据时使用了与 Windows9x不相同的数据格式，于是Windows9x在它自己的启动过程中会把ESCD数据修改成自己的格式，但在下一次启动机器时，即使硬件配置没有发生改变，系统BIOS也会把ESCD的数据格式改回来，如此循环，将会导致在每次启动机器时，系统BIOS都要更新一遍ESCD，这就是为什么有些机器在每次启动时都会显示出相关信息的原因。

第十步：ESCD更新完毕后，系统BIOS的启动代码将进行它的最后一项工作，即根据用户指定的启动顺序从软盘、硬盘或光驱启动。以从C盘启动为例，系统BIOS将读取并执行硬盘上的主引导记录，主引导记录接着从分区表中找到第一个活动分区，然后读取并执行这个活动分区的分区引导记录，而分区引导记录将负责读取并执行IO.SYS文件。如果系统之中安装有引导多种操作系统的工具软件，通常主引导记录将被替换成该软件的引导代码，这些代码将允许用户选择一种操作系统，然后读取并执行该操作系统的基本引导代码(DOS和Windows的基本引导代码就是分区引导记录)。上面介绍的便是计算机在打开电源开关(或按Reset键)进行冷启动时所要完成的各种初始化工作。

优选地，在步骤101中，在检测到加电后自检POST完成后以及启动操作系统之前，获取可访问网络的网络特征；或，在检测到更新扩展系统配置数据ESCD完成后以及启动操作系统之前，获取可访问网络的网络特征。

更优选地，在步骤101中，在上述启动过程的第六步与第九步之间，获取可访问网络的网络特征。比如，申请人发现：在第六步完成检测标准硬件设备之后与第九步的更新ESCD之前，获取可访问网络的网络特征，既可以在计算机启动早期尽快实现安全检测，还可以保证计算机具有完成网络检测的足够启动资源。

而且，获取可访问网络的网络特征包括：获取使能网卡向预定IP地址发送 Ping包的回复包。比如，该预定IP地址可以为非可信网络环境中的地址。

步骤102：解析所述网络特征以判定当前网络环境是否可信。

其中，当确定成功接收到回复包时，则认定当前网络环境不可信。当确定没有成功接收到回复包时，则认定当前网络环境可信。

步骤103：当判定网络环境不可信时，执行预定的保护操作。

在这里，当判定网络环境不可信时时，可以执行下列操作中的至少一个：芯片断电；禁止网络访问；硬盘数据加密；硬盘数据粉碎；上传计算机特征码；屏幕弹窗警告，等等。

图2为根据本发明实施方式可信网络环境保护方法的示范性流程图。

如图2所示，该方法包括：

步骤21：检测计算机的电源开关按下事件。

步骤22：在基于BIOS的启动代码启动操作系统之前，获取可访问网络的网络特征。比如，向非可信网络中的特定的IP地址(比如，74.125.23.147)发生Ping包，以尝试获取回复包。

步骤23：基于网络特征判定网络环境是否可信。比如，当接收到Ping包的回复包时，认定网络环境不可信；当没有接收到Ping包的回复包时，认定网络环境可信。其中，当认定网络环境不可信时，执行步骤24及其后续步骤；认定网络环境可信时，执行步骤31及其后续步骤。

步骤24：执行断网操作。

步骤25：发出报警提示，并结束本流程。

步骤31：运行并维护与可信网络的心跳连接。

步骤32：判断网络是否发生变化，如果是，则执行步骤23及其后续步骤，否则执行步骤31及其后续步骤。

基于上述描述，本发明实施方式还提出了可信网络环境保护装置。

图3为根据本发明实施方式可信网络环境保护装置的结构图。

如图3所示，可信网络环境保护装置300包括：

网络特征获取模块301，用于在检测到电源开关按下事件之后以及基于 BIOS的启动代码启动操作系统之前，获取可访问网络的网络特征；

解析模块302，用于解析所述网络特征以判定当前网络环境是否可信；

保护模块303，用于当判定网络环境不可信时，执行预定的保护操作。

在一个实施方式中，网络特征获取模块301，用于在检测到加电后自检完成后以及启动操作系统之前，获取可访问网络的网络特征；或，在检测到更新扩展系统配置数据ESCD完成后以及启动操作系统之前，获取可访问网络的网络特征。

在一个实施方式中，保护模块303，用于执行下列中的至少一个：

芯片断电；禁止网络访问；硬盘数据加密；硬盘数据粉碎；上传计算机特征码；屏幕弹窗警告。

其中，可信网络环境保护装置300可以实施为硬件芯片(比如，部署在主板芯片组中)或固化在BIOS或者操作系统内，从而保证得到优先执行。而且，可信网络环境保护装置300可以开机时启动、定时启动或根据需要启动。根据需求启动包括开启某些需要可信环境的应用或者文档时。该网络特征，可以是预置的网址或者网页信息、PING返回包等。保护模块303还可以展示配置界面，可以根据用户反馈的状态和实际需要，配置和设定网络环境不可信时执行的具体保护操作。较佳的，网络特征，还可以包括与可信网络环境建立“心跳”连接，以保证计算机时刻处于可信网络环境中。

图4为根据本发明实施方式具有存储器-处理器架构的可信网络环境保护装置的结构图。

如图4所示，具有存储器-处理器架构的可信网络环境保护装置400包括：处理器401和存储器402；其中存储器402中存储有可被处理器401执行的应用程序，用于使得处理器401执行如上任一项所述的可信网络环境保护方法。

其中，存储器402具体可以实施为电可擦可编程只读存储器(EEPROM)、快闪存储器(Flash memory)、可编程程序只读存储器(PROM)等多种存储介质。处理器401可以实施为包括一或多个中央处理器或一或多个现场可编程门阵列，其中现场可编程门阵列集成一或多个中央处理器核。具体地，中央处理器或中央处理器核可以实施为CPU或MCU。

需要说明的是，上述各流程和各结构图中不是所有的步骤和模块都是必须的，可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的，可以根据需要进行调整。各模块的划分仅仅是为了便于描述采用的功能上的划分，实际实现时，一个模块可以分由多个模块实现，多个模块的功能也可以由同一个模块实现，这些模块可以位于同一个设备中，也可以位于不同的设备中。

各实施方式中的硬件模块可以以机械方式或电子方式实现。例如，一个硬件模块可以包括专门设计的永久性电路或逻辑器件(如专用处理器，如FPGA 或ASIC)用于完成特定的操作。硬件模块也可以包括由软件临时配置的可编程逻辑器件或电路(如包括通用处理器或其它可编程处理器)用于执行特定操作。至于具体采用机械方式，或是采用专用的永久性电路，或是采用临时配置的电路(如由软件进行配置)来实现硬件模块，可以根据成本和时间上的考虑来决定。

本发明还提供了一种机器可读的存储介质，存储用于使一机器执行如本申请所述方法的指令。具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施方式的功能的软件程序代码，且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。此外，还可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作。还可以将从存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作，从而实现上述实施方式中任一实施方式的功能。

用于提供程序代码的存储介质实施方式包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地，可以由通信网络从服务器计算机或云上下载程序代码。

在本文中，“示意性”表示“充当实例、例子或说明”，不应将在本文中被描述为“示意性”的任何图示、实施方式解释为一种更优选的或更具优点的技术方案。为使图面简洁，各图中的只示意性地表示出了与本发明相关部分，而并不代表其作为产品的实际结构。另外，以使图面简洁便于理解，在有些图中具有相同结构或功能的部件，仅示意性地绘示了其中的一个，或仅标出了其中的一个。在本文中，“一个”并不表示将本发明相关部分的数量限制为“仅此一个”，并且“一个”不表示排除本发明相关部分的数量“多于一个”的情形。在本文中，“上”、“下”、“前”、“后”、“左”、“右”、“内”、“外”等仅用于表示相关部分之间的相对位置关系，而非限定这些相关部分的绝对位置。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。