面向终端计算机的策略安全在线检查系统

摘要

面向终端计算机的策略安全在线检查系统，在一台中心计算机上在线对所有终端计算机进行集中检查，所有的计算机之间通过网络连接；所述的系统包括在线检查工具、封装模块和中心计算机，封装模块将在线检查工具打包成CAB的形式并存储在中心计算机上，中心计算机将CAB嵌入IE浏览器，终端计算机通过IE浏览器从中心计算机上下载该CAB并自动安装；所述在线检查工具包括策略定义模块、统一数据接口模块、查询分析模块、策略内比模块和显示模块，该系统具有开发周期短、可维护性好、灵活的开放接口、完善的调试功能以及易于使用和管理的优点。

说明书

技术领域

本发明涉及一种面向终端计算机的策略、安全的管理和控制，属于计算机 安全检查技术领域。

背景技术

在大规模的网络系统中通常包括大量不同的网络设备，例如网关、路由器 和向用户提供服务、运行各种应用程序的服务器、客户机。设备、服务、应用 程序、服务器、客户机以及用户，甚至他们之间的关系都是需要管理的对象。 在这种大规模网络系统的内部高度复杂，导致管理异常困难，管理周期冗长， 而且随着系统规模的扩大，管理的开销也成指数规律增加。

网络安全策略的管理是任何网络系统管理必不可少的一部分，网络安全配 置的不当，一方面可能使一些用户有了过高的权限，而使另一些需要高权限的 用户却得不到相应的权限，造成权限配置不当；另一方面还可能给网络带来非 常大的安全隐患，降低整个网络的安全防御能力。

目前通用的操作是利用计算机提供的各种功能去设置和获取这些策略，但 是这些功能较分散，而且设置的不够充分，达不到用户需要的很多重要的功能。 对于已有的功能也需要用户需要一定的计算机专业技术知识才能够使用，且设 置繁琐，不利于用户的操作。

发明内容

本发明的技术解决问题：克服现有技术的不足，提供一种面向终端计算机 的策略安全在线检查系统，该系统能够实现一台中心计算机对网络内的所有终 端计算机进行集中在线检查，检查效率高。

本发明的技术解决方案：面向终端计算机的策略安全在线检查系统，在一 台中心计算机上在线对所有终端计算机进行集中检查，所有的计算机之间通过 网络连接；所述的系统包括在线检查工具、封装模块和中心计算机，封装模块 将在线检查工具打包成CAB的形式并存储在中心计算机上，中心计算机将CAB 嵌入IE浏览器，终端计算机通过IE浏览器从中心计算机上下载该CAB并自动 安装；所述在线检查工具包括策略定义模块、统一数据接口模块、查询分析模 块、策略内比模块和显示模块；

用户通过中心计算机上的IE浏览器输入对每台终端计算机期望检查的策 略类型、策略内容、策略生效时间以及策略生效的有效条件，并发起策略安全 在线检查指令，每台终端计算机上的CAB根据接收的指令启动检查，具体如下：

统一数据接口模块：通过IE浏览器接收策略安全在线检查指令，启动查询 分析模块；并从IE浏览器上接收对应的策略类型、策略内容、策略生效时间以 及策略生效的有效条件并发送至查询分析模块和策略定义模块；将策略映射表、 策略内比模块发送的内比结果连同对应的唯一标识值一起回传至中心计算机； 由中心计算机对回传结果进行汇总显示；

查询分析模块：启动策略定义模块，同时根据策略安全在线检查指令从本 地计算机上抓取策略映射表中策略类型对应的策略内容的实际值，并将该实际 值填充到策略映射表相应的扩展项中；根据统一数据接口模块发送的策略类型、 策略内容、策略生效时间以及策略生效的有效条件，将传入的策略有效时间填 充到对应的策略映射表中，将策略生效的有效条件根据相应策略内容，与策略 内容对应的唯一标识值一起存储；

策略定义模块：根据统一数据接口模块发送的策略类型及策略内容，建立 策略映射表；该策略映射表包括唯一标识值、策略类型、策略内容、策略生效 时间和扩展项四项内容；策略类型与策略内容为一对一或者一对多的关系，策 略内容为对应的策略类型的策略检查要求；扩展项为相应策略内容的实际值， 唯一标识值与策略内容、策略生效时间、扩展项一一对应；

策略内比模块：将策略映射表中的扩展项内容与查询分析模块存储的唯一 标识值对应的策略生效有效条件进行内比，将内比结果连同对应的唯一标识值 一起存储并传给显示模块及统一数据接口模块；

显示模块：接收策略内比模块发送的内比结果以及唯一标识值，从策略映 射表中获取唯一标识值对应的策略生效时间，将在策略生效时间内且内比结果 错误的策略内容以及策略生效有效条件在本地计算机上进行显示。

当查询分析模块接收的策略安全在线检查指令为判断系统是否安装有真实 光驱时，所述的抓取策略映射表中策略类型对应的策略内容的实际值步骤如下：

(1)读取策略安全在线检查指令，判断指令的操作内容，将指令的操作内 容与查询分析模块默认的同一指令的内容相比较，判断二者是否一致，若不一 致，则直接返回错误信息，等待下一个策略安全在线检查指令；若一致，则转 步骤(2)；

(2)根据windows管理接口WMI获取光驱信息，若没有获取带光驱信息， 则在策略映射表相应的扩展项中记录“否”，若有则转步骤(3)；

(3)至少获取6次光驱的读取速度，计算平均值；获取当前硬盘的读取的 速度，次数和获取光驱的一致，计算平均值；比较获取的光驱的读取速度和硬 盘的读取速度，若误差在10MB/s内则认为该光驱是虚拟光驱，若超出了这个范 围则认为是真实光驱，将比较结果记录在策略映射表相应的扩展项中。

本发明与现有技术相比的有益效果在于：

(1)本发明系统通过将检查工具封装成CAB的形式并嵌入IE浏览器中， 避免目前对每台终端计算机都需要现场检查的缺陷，解放了人力；并且本发明 检查工具将目前待检查项以映射表的形式，通过实时抓取终端计算机上的策略 信息与映射表相关内容进行内比，可以一次性完成所有期望检查的项目，并最 终实现一台中心计算机对网络内的所有终端计算机进行集中在线检查，提高了 检查效率。

(2)本发明策略映射表的内容可以涵盖目前操作系统已有的策略类型和自 定义的策略类型，将目前操作系统已有策略类型复杂的检查流程通过内部程序 实现，减少人为对计算机特有命令的输入，降低了对检查人员的专业技术知识 要求。对于自定义策略类型根据网络安全的要求，通过抓取计算机当前的运行 状态是否符合计算机安全策略要求，提高的系统的整体安全性能。

(3)本发明的抓取方法采用从计算机底层性能的判断，这种方法获取的信 息不易伪造，可真实反应当前的计算机的安全水平。保证了在线检查结果的真 实有效性。

附图说明

图1为本发明系统的体系结构图；

图2为本发明系统中的统一数据接口模块实现过程；

图3为本发明系统中的查询分析模块实现过程；

图4为本发明系统中的策略定义模块实现过程；

图5为本发明系统中的策略内比和显示模块实现过程.

具体实施方式

下面结合附图详细介绍本发明系统的实现过程。本系统在一台中心计算机 上在线对所有终端计算机进行集中检查，所有的计算机之间通过网络连接；所 述的系统包括在线检查工具和封装模块，封装模块将在线检查工具打包成CAB 的形式并存储在中心计算机上，中心计算机将CAB嵌入IE浏览器(可以采用 com技术实现嵌入)，终端计算机通过IE浏览器从中心计算机上下载该CAB并 自动安装；所述在线检查工具包括策略定义模块、统一数据接口模块、查询分 析模块、策略内比模块和显示模块；

本发明系统可以实现在线集中检查和自查两种情形，其中，在线集中检查： 用户通过中心计算机上的IE浏览器输入对每台终端计算机期望检查的策略类 型、策略内容、策略生效时间以及策略生效的有效条件，并发起策略安全在线 检查指令，每台终端计算机上的CAB根据接收的指令启动检查。自查：当终端 计算机进行自查时，终端计算机首先向中心计算机发起检查请求，中心计算机 根据该请求，对该终端计算机发起策略安全在线检查指令，并输入策略类型、 策略内容、策略生效时间以及策略生效的有效条件。具体实现如下：

(一)统一数据接口模块

统一数据接口模块：如图2所示，通过IE浏览器接收策略安全在线检查指 令，启动查询分析模块；并从IE浏览器上接收对应的策略类型、策略内容、策 略生效时间以及策略生效的有效条件并发送至查询分析模块和策略定义模块； 将策略映射表、策略内比模块发送的内比结果连同对应的唯一标识值一起回传 至中心计算机；由中心计算机对回传结果进行汇总显示；

统一数据接口模块通过利用成熟的JSON技术实现统一的数据接口

(二)查询分析模块

查询分析模块：如图3所示，启动策略定义模块，同时根据策略安全在线 检查指令从本地计算机上抓取策略映射表中策略类型对应的策略内容的实际 值，并将该实际值填充到策略映射表相应的扩展项中；根据统一数据接口模块 发送的策略类型、策略内容、策略生效时间以及策略生效的有效条件，将传入 的策略有效时间填充到对应的策略映射表中，将策略生效的有效条件根据相应 策略内容，与策略内容对应的唯一标识值一起存储；

具体的抓取的步骤和内容如下：

(1)读取策略安全在线检查指令，判断指令的操作内容。

(2)根据指令的操作内容，抓取相应的策略信息，例如判断系统是否安装 有真实光驱，方法如下所示：

(2.1)将指令的操作内容与查询分析模块预先设置的同一指令的内容相比 较，判断二者是否一致，若不一致，则直接返回错误信息，等待下一个策略安 全在线检查指令；若一致，则转步骤(2.2)；

例如，当指令的操作内容，即判断系统是否安装有真实光驱为 strType＝”CDROM”，而查询分析模块默认的是否安装有真实光驱指令内容 strType＝”WIRELESS”，则输入的指令内容有误，返回错误信息。

(2.2)根据windows管理接口WMI获取光驱信息，若没有获取带光驱信 息，则在策略映射表相应的扩展项中记录“否”，若有则转步骤(2.3)；

(2.3)获取一个时间段内光驱的读取速度，计算平均值。(最少要获取6 次的值)；获取当前硬盘的读取的速度。次数和获取光驱的一致，计算平均值。 比较获取的光驱的读取速度和硬盘的读取速度，若误差在10MB/s内则认为该光 驱是虚拟光驱，若超出了这个范围则认为是真实光驱，将比较结果记录在策略 映射表相应的扩展项中。

例如，当帐户口令是否是弱口令或者账户密码是否为空时，方法步骤如下：

(2-1)将指令的操作内容与查询分析模块预先设置的同一指令的内容相比 较，判断二者是否一致，若不一致，则直接返回错误信息，等待下一个策略安 全在线检查指令；若一致，则转步骤(2-2)；

例如，当指令的操作内容，即判断系统是否安装有真实光驱为 strType＝”EMPTYPASSWORD”，而查询分析模块默认的是否安装有真实光驱指 令内容strType＝”ADMINACCOUNT”，则输入的指令内容有误，返回错误信息。

(2-2)根据Windows API(应用程序接口)，调用系统登录函数，传入空 字符串或者弱口令如：“123456”，给登录函数，查看函数返回结果，若函数返 回成功，则表明该账户密码为空或者为弱口令，将比较结果记录在策略映射表 相应的扩展项中。若返回失败则转步骤(2-3)；

(2-3)获取失败错误信息，若信息表示密码错误，则将结果记录在策略映 射表相应的扩展项中。否则，调用系统修改密码函数，传入空字符串或者弱口 令，若修改成功，则表明该账户密码为空或者为弱口令，将比较结果记录在策 略映射表相应的扩展项中，否则返回错误结果。

下面表1中的其它策略类型可采用一些通用WMI技术进行抓取，具体步骤 如下：

(1)调用函数CoInitializeEx用于初始化COM库。

(2)调用函数CoInitializeSecurity用于初始化COM安全级别。

(3)通过调用CoCreateInstance初始化WMI的定位器

(4)调用IWbemLocator::ConnectServer方法，通过定位器连接到WMI的 命名空间，通过把一个IWbemServices的实例以参数形式传递给ConnectServer 方法，创建服务。

(5)设置WMI服务的安全级别

(6)使用之前得到的服务，进行一些操作，如查询、调用方法和其他一些 操作。

(7)释放资源，关闭服务与连接，关闭COM库。

(8)返回查询的结果。

例如：判断是否含有共享信息，按照上述步骤限初始COM库，初始化安 全级别和定位器，然后连接到WMI的命名空间，传入参数 “Win32 Share”，”Name”.其中“Win32 Share”表示共享服务，“Name”表示查 询计算机共享服务的名称。若结果存在则返回结果，若不存在则返回空字符串。 并将比较结果记录在策略映射表相应的扩展项中。

(三)策略定义模块

策略定义模块：如图4所示，根据统一数据接口模块发送的策略类型及策 略内容，建立策略映射表，如表1所示；该策略映射表包括唯一标识值、策略 类型、策略内容、策略生效时间和扩展项四项内容；策略类型与策略内容为一 对一或者一对多的关系，策略内容为对应的策略类型的策略检查要求；扩展项 为相应策略内容的实际值，唯一标识值与策略内容、策略生效时间、扩展项一 一对应；

表1策略映射表

说明：前面部分例如1-16项为根据终端计算机操作系统中的策略类型，建 立策略映射表，通过程序集合操作系统已有的策略功能获取相应的值。填充该 相应的项内容。

根据各个网络安全要求，用户也可以定义自己需要检查的策略项目，如密 码策略、审核策略等。用户可以根据需要自定义策略类型，并将该类型与相应 的实际值相对应，便于用户理解各个值的含义。如上表中的17-24项，策略内 容根据策略类型的不同表现为不同的值，如大小、天数等。策略生效的时间可 根据需要动态调整策略在整个在网络系统中的有效期，超过了有效期就按照默 认的策略运行，保证网络在一定的安全保护范围内。

(四)策略内比模块

策略内比模块如图5所示，将策略映射表中的扩展项内容与查询分析模块 存储的唯一标识值对应的策略生效有效条件进行内比，将内比结果连同对应的 唯一标识值一起存储并传给显示模块及统一数据接口模块；

例如，对于是否含有光驱，找到该项的唯一标识值24，查询策略映射表的 扩展项，该值为”有”。在根据该唯一标识值查询存储的策略有效条件，若有效 条件为“无”，则返回相应结果表示该项违规。若“有”，则表示该项目检查通 过，返回相应的结果。

(五)显示模块

显示模块：接收策略内比模块发送的内比结果以及唯一标识值，从策略映 射表中获取唯一标识值对应的策略生效时间，将在策略生效时间内且内比结果 错误的策略内容以及策略生效有效条件在本地计算机上进行显示。

(六)封装模块

封装模块将在线检查工具打包成CAB包的形式，具体步骤如下：

(1)利用makecert.exe制作数字签名

◆进入系统doc界面，输入命令cd makecert.exe的目录，按回车键。例 如：cd C：/makeCab

◆输入命令，命令格式如下：makecert-sv-n-ss-r-b-e。例如：makecert -sv dsoframer.pvk-n“CN＝XXXX”-ss My-r-b 01/01/1900-e 01/01/9999

-sv dsoframer.pvk意思是生成一个私匙文件dsoframer.pvk

-n″CN＝XXXX″其中的″XXXX″就是签名中显示的证书所有人的名 字。

-ss My指定生成后的证书保存在个人证书中

-r意思是说证书是自己颁发给自己。

-b 01/01/2009指定证书的有效期起始日期，格式为月/日/年，最低 为1900年

-e 01/01/2018指定证书的有效期终止日期，格式同上。

◆打开IE的″Internet选项″，切换到″内容″标签，点击″证书″按钮″选 中″XXXX″就是生成的证书，把它″导出″为dsoframer.cer，

(2)建立inf文件，运行IEXPRESS.EXE，选中″创建新的自解压缩指令文件 ″，进入下一步，选中″只创建压缩文件(ActiveX安装)″，进入下一步把用到 的程序包括程序调用的DLL(如果有的话)添加进列表中，按配置选项后， 就连续点″下一步″，即生成dsoframer.CAB。

(3)运行signcode.exe，选择dsoframer.CAB，″签名选项″中的″签名类型″ 选定″自定义(C)″，下一步″从文件中选择″上面第一步导出的证书文件 dsoframer.cer，再下一步的私匙选定第一步生成的dsoframer.pvk文件，然后 进入描述，注意，图中″描述(可选)″：下的输入框中根据需要写上相应的描 述语句，点击“下一步“，一直到签名完成。

(4)将做好的CAB包嵌入到网页。

应用举例：本发明的软件及方法已经成功应用于航天某院的计算机在线保 密检查过程，成功完成了1000多台计算机同时在线保密检查的任务。证明了软 件具有开发周期短、可维护性好、灵活的开放接口、完善的调试功能以及易于 使用和管理的优点。

本发明未详细描述的部分属于本领域公知技术。