按照系統(tǒng)登錄策略對Linux主機用戶的系統(tǒng)登錄行為進行強制性監(jiān)控����,系統(tǒng)將分兩種情況進行處理:
[0057]a.對于用戶的首次系統(tǒng)登錄行為,系統(tǒng)首先檢查登錄時間是否符合系統(tǒng)登錄策略中規(guī)定的時間窗口,如果不符合則禁止登錄�,并給出警告信息;如果符合則提示用戶輸入初始的用戶名和口令��,然后進行用戶身份鑒別���。如果身份鑒別為真則允許登錄�,然后提示用戶更改初始口令�����,并對用戶輸入的新口令進行檢查���,判別新口令字符串長度和復雜度是否符合系統(tǒng)登錄策略中規(guī)定的口令長度和復雜度要求�����,符合則修改成功���;不符合則需要重新輸入新口令,直到符合要求為止��;如果身份鑒別為假則拒絕登錄���,并檢查登錄失敗次數(shù)是否達到系統(tǒng)登錄策略中規(guī)定的最大嘗試登錄失敗次數(shù)�����,如果未達到則允許用戶繼續(xù)嘗試登錄���,如果達到則禁止用戶繼續(xù)嘗試登錄,系統(tǒng)進入屏幕鎖定狀態(tài)�,保留嘗試登錄的屏幕狀態(tài)。
[0058]b.對于用戶的非首次系統(tǒng)登錄行為��,系統(tǒng)首先檢查登錄時間是否符合系統(tǒng)登錄策略中規(guī)定的時間窗口��,如果不符合則禁止登錄���,并給出警告信息����;如果符合則提示用戶輸入用戶名和口令���,然后進行用戶身份鑒別���,如果身份鑒別為真則允許登錄���,并判別口令使用周期是否達到系統(tǒng)登錄策略中規(guī)定的最大口令更新周期,如果達到則提示用戶輸入新口令����,并對新口令的長度和復雜度進行檢查,直到用戶輸入符合要求的新口令為止���;如果身份鑒別為假則拒絕登錄����,并檢查登錄失敗次數(shù)是否達到系統(tǒng)登錄策略中規(guī)定的最大嘗試登錄失敗次數(shù)�,如果未達到則允許用戶繼續(xù)嘗試登錄,如果達到則禁止用戶繼續(xù)嘗試登錄����,系統(tǒng)進入屏幕鎖定狀態(tài),保留嘗試登錄的屏幕狀態(tài)�。
[0059]對成功和不成功的系統(tǒng)登錄行為進行日志記錄,記錄的信息有:登錄用戶名��、登錄日期和時間���、登錄失敗次數(shù)���、是否更改口令等�,以便于事后取證和追蹤�����。
[0060]②按照外設(shè)使用策略對用戶的外設(shè)使用行為進行強制性監(jiān)控��,受監(jiān)控的外部設(shè)備主要是可能引起病毒輸入和信息泄露的輸入輸出設(shè)備����,如移動硬盤���、移動優(yōu)盤�����、光盤�����、打印機���、掃描儀等���,在外設(shè)使用策略中規(guī)定了每個主機允許使用的外部設(shè)備。對于用戶的外設(shè)使用行為�����,系統(tǒng)從操作系統(tǒng)內(nèi)核中捕獲用戶發(fā)出的外設(shè)使用請求����,提取其中的特征參數(shù),檢查是否與外設(shè)使用策略中允許使用的外部設(shè)備相符合���,如果不符合則拒絕使用����,攔截該請求并報警�;如果符合則允許使用,正常處理該請求�����,并做日志記錄����,記錄的信息有:設(shè)備類型�、操作類型(輸入/輸出)�、文件名、日期和時間等��,以便于事后取證和追蹤����。
[0061]③按照網(wǎng)絡(luò)通信策略對用戶的外設(shè)使用行為進行強制性監(jiān)控�,受監(jiān)控的網(wǎng)絡(luò)通信接口包括以太網(wǎng)接口、各種無線網(wǎng)接口�、各種串行通信接口等,在網(wǎng)絡(luò)通信策略中規(guī)定了每個主機允許使用的網(wǎng)絡(luò)通信接口�。對于用戶的網(wǎng)絡(luò)通信行為,系統(tǒng)從操作系統(tǒng)內(nèi)核中捕獲用戶發(fā)出的網(wǎng)絡(luò)通信請求���,提取其中的特征參數(shù)���,檢查其網(wǎng)絡(luò)通信接口是否與網(wǎng)絡(luò)通信策略中允許使用的網(wǎng)絡(luò)通信接口相符合,如果不符合則拒絕訪問�,攔截該請求并報警;如果符合則做進一步檢查:
[0062]a.提取數(shù)據(jù)包中的源IP地址�����、目的IP地址、源端口號����、目的端口號、協(xié)議類型等信息��,檢查是否與網(wǎng)絡(luò)通信策略中所規(guī)定的相符合���,如果不符合則拒絕訪問�,攔截該請求并報警�����;如果符合則允許訪問����,正常處理該請求,將數(shù)據(jù)包輸出到網(wǎng)絡(luò)通信接口���。
[0063]b.做日志記錄��,記錄的信息有:網(wǎng)絡(luò)通信接口類型��、物理地址��、源IP地址���、目的IP地址����、源端口號����、目的端口號、協(xié)議類型���、日期和時間、允許/拒絕等���,以便于事后取證和追足示O
【主權(quán)項】
1.一種Linux主機接入網(wǎng)絡(luò)系統(tǒng)安全增強方法����,其特征在于包括以下步驟: (1)在網(wǎng)絡(luò)系統(tǒng)中����,設(shè)置一個稱為安全監(jiān)控中心的計算機,在所述計算機上安裝并運行安全監(jiān)控中心軟件,負責統(tǒng)一設(shè)置和管理網(wǎng)絡(luò)中所有Linux主機的全局安全策略�,并對每個Linux主機的安全狀態(tài)進行監(jiān)控和審計;全局安全策略包括各個Linux主機的系統(tǒng)登錄策略��、外設(shè)使用策略和網(wǎng)絡(luò)通信策略�����,并通過網(wǎng)絡(luò)將全局安全策略下發(fā)給相應(yīng)的Linux主機執(zhí)行�����; (2)每個Linux主機安裝并運行經(jīng)過安全增強的Linux操作系統(tǒng)���,按照全局安全策略對用戶的系統(tǒng)登錄�、外設(shè)使用以及網(wǎng)絡(luò)通信操作行為進行安全監(jiān)控和審計�����;對Linux操作系統(tǒng)的安全增強包括如下幾個方面: ①按照系統(tǒng)登錄策略對Linux主機用戶的系統(tǒng)登錄行為進行強制性監(jiān)控�����,系統(tǒng)將分兩種情況進行處理: a.對于用戶的首次系統(tǒng)登錄行為�����,系統(tǒng)首先檢查登錄時間是否符合系統(tǒng)登錄策略中規(guī)定的時間窗口,如果不符合則禁止登錄����,并給出警告信息;如果符合則提示用戶輸入初始的用戶名和口令�����,然后進行用戶身份鑒別���;如果身份鑒別為真則允許登錄��,然后提示用戶更改初始口令�����,并對用戶輸入的新口令進行檢查,判別新口令字符串長度和復雜度是否符合系統(tǒng)登錄策略中規(guī)定的口令長度和復雜度要求����,符合則修改成功;不符合則需要重新輸入新口令�,直到符合要求為止;如果身份鑒別為假則拒絕登錄,并檢查登錄失敗次數(shù)是否達到系統(tǒng)登錄策略中規(guī)定的最大嘗試登錄失敗次數(shù)��,如果未達到則允許用戶繼續(xù)嘗試登錄��,如果達到則禁止用戶繼續(xù)嘗試登錄�,系統(tǒng)進入屏幕鎖定狀態(tài),保留嘗試登錄的屏幕狀態(tài)��; b.對于用戶的非首次系統(tǒng)登錄行為���,系統(tǒng)首先檢查登錄時間是否符合系統(tǒng)登錄策略中規(guī)定的時間窗口�����,如果不符合則禁止登錄����,并給出警告信息����;如果符合則提示用戶輸入用戶名和口令,然后進行用戶身份鑒別�����,如果身份鑒別為真則允許登錄,并判別口令使用周期是否達到系統(tǒng)登錄策略中規(guī)定的最大口令更新周期�����,如果達到則提示用戶輸入新口令�����,并對新口令的長度和復雜度進行檢查����,直到用戶輸入符合要求的新口令為止;如果身份鑒別為假則拒絕登錄���,并檢查登錄失敗次數(shù)是否達到系統(tǒng)登錄策略中規(guī)定的最大嘗試登錄失敗次數(shù)���,如果未達到則允許用戶繼續(xù)嘗試登錄,如果達到則禁止用戶繼續(xù)嘗試登錄���,系統(tǒng)進入屏幕鎖定狀態(tài)����,保留嘗試登錄的屏幕狀態(tài)��; 對成功和不成功的系統(tǒng)登錄行為進行日志記錄��,記錄的信息有登錄用戶名���、登錄日期和時間�、登錄失敗次數(shù)以及是否更改口令�����,以便于事后取證和追蹤���; ②按照外設(shè)使用策略對用戶的外設(shè)使用行為進行強制性監(jiān)控�����,受監(jiān)控的外部設(shè)備包括移動硬盤���、移動優(yōu)盤、光盤�����、打印機以及掃描儀��,在外設(shè)使用策略中規(guī)定了每個主機允許使用的外部設(shè)備;對于用戶的外設(shè)使用行為�����,系統(tǒng)從操作系統(tǒng)內(nèi)核中捕獲用戶發(fā)出的外設(shè)使用請求�,提取其中的特征參數(shù),檢查是否與外設(shè)使用策略中允許使用的外部設(shè)備相符合��,如果不符合則拒絕使用���,攔截該請求并報警����;如果符合則允許使用��,正常處理該請求�����,并做日志記錄����,記錄的信息有設(shè)備類型、操作類型����、文件名、日期和時間�����,以便于事后取證和追蹤�; ③按照網(wǎng)絡(luò)通信策略對用戶的外設(shè)使用行為進行強制性監(jiān)控,受監(jiān)控的網(wǎng)絡(luò)通信接口包括以太網(wǎng)接口��、各種無線網(wǎng)接口�����、各種串行通信接口等�����,在網(wǎng)絡(luò)通信策略中規(guī)定了每個主機允許使用的網(wǎng)絡(luò)通信接口 �;對于用戶的網(wǎng)絡(luò)通信行為,系統(tǒng)從操作系統(tǒng)內(nèi)核中捕獲用戶發(fā)出的網(wǎng)絡(luò)通信請求�����,提取其中的特征參數(shù)�����,檢查其網(wǎng)絡(luò)通信接口是否與網(wǎng)絡(luò)通信策略中允許使用的網(wǎng)絡(luò)通信接口相符合,如果不符合則拒絕訪問�����,攔截該請求并報警����;如果符合則做進一步檢查: a.提取數(shù)據(jù)包中的源IP地址、目的IP地址����、源端口號、目的端口號以及協(xié)議類型信息�����,檢查是否與網(wǎng)絡(luò)通信策略中所規(guī)定的相符合�,如果不符合則拒絕訪問,攔截該請求并報警�;如果符合則允許訪問,正常處理該請求����,將數(shù)據(jù)包輸出到網(wǎng)絡(luò)通信接口 �; b.做日志記錄����,記錄的信息有網(wǎng)絡(luò)通信接口類型、物理地址��、源IP地址���、目的IP地址、源端口號���、目的端口號��、協(xié)議類型�、日期和時間以及允許/拒絕信息���,以便于事后取證和追足示O
【專利摘要】本發(fā)明公開了一種Linux主機接入網(wǎng)絡(luò)系統(tǒng)安全增強方法���,用于解決現(xiàn)有Linux主機接入網(wǎng)絡(luò)系統(tǒng)安全性差的技術(shù)問題。技術(shù)方案是在網(wǎng)絡(luò)系統(tǒng)中設(shè)置一個安全監(jiān)控中心���,安全監(jiān)控中心安裝并運行安全監(jiān)控中心軟件����,負責統(tǒng)一設(shè)置和管理網(wǎng)絡(luò)中所有Linux主機的全局安全策略,并對每個Linux主機的安全狀態(tài)進行監(jiān)控和審計�����。每個Linux主機安裝并運行經(jīng)過安全增強的Linux操作系統(tǒng)��,按照全局安全策略對用戶的系統(tǒng)登錄���、外設(shè)使用���、網(wǎng)絡(luò)通信等操作行為進行安全監(jiān)控和審計。本發(fā)明能夠及時發(fā)現(xiàn)并阻斷用戶的違規(guī)行為�����,增強了用戶操作行為的可信性���、可控性以及可追溯性�����,從而提高了接入主機以及網(wǎng)絡(luò)信息系統(tǒng)的安全性���。
【IPC分類】H04L9-32, H04L29-06
【公開號】CN104821943
【申請?zhí)枴緾N201510205085
【發(fā)明人】蔡皖東, 蔡霖, 趙磊, 賈銳
【申請人】西北工業(yè)大學
【公開日】2015年8月5日
【申請日】2015年4月27日