[发明专利]面向终端计算机的策略安全在线检查系统

说明书

技术领域

本发明涉及一种面向终端计算机的策略、安全的管理和控制，属于计算机安全检查技术领域。

背景技术

在大规模的网络系统中通常包括大量不同的网络设备，例如网关、路由器和向用户提供服务、运行各种应用程序的服务器、客户机。设备、服务、应用程序、服务器、客户机以及用户，甚至他们之间的关系都是需要管理的对象。在这种大规模网络系统的内部高度复杂，导致管理异常困难，管理周期冗长，而且随着系统规模的扩大，管理的开销也成指数规律增加。

网络安全策略的管理是任何网络系统管理必不可少的一部分，网络安全配置的不当，一方面可能使一些用户有了过高的权限，而使另一些需要高权限的用户却得不到相应的权限，造成权限配置不当；另一方面还可能给网络带来非常大的安全隐患，降低整个网络的安全防御能力。

目前通用的操作是利用计算机提供的各种功能去设置和获取这些策略，但是这些功能较分散，而且设置的不够充分，达不到用户需要的很多重要的功能。对于已有的功能也需要用户需要一定的计算机专业技术知识才能够使用，且设置繁琐，不利于用户的操作。

发明内容

本发明的技术解决问题：克服现有技术的不足，提供一种面向终端计算机的策略安全在线检查系统，该系统能够实现一台中心计算机对网络内的所有终端计算机进行集中在线检查，检查效率高。

本发明的技术解决方案：面向终端计算机的策略安全在线检查系统，在一台中心计算机上在线对所有终端计算机进行集中检查，所有的计算机之间通过网络连接；所述的系统包括在线检查工具、封装模块和中心计算机，封装模块将在线检查工具打包成CAB的形式并存储在中心计算机上，中心计算机将CAB嵌入IE浏览器，终端计算机通过IE浏览器从中心计算机上下载该CAB并自动安装；所述在线检查工具包括策略定义模块、统一数据接口模块、查询分析模块、策略内比模块和显示模块；

用户通过中心计算机上的IE浏览器输入对每台终端计算机期望检查的策略类型、策略内容、策略生效时间以及策略生效的有效条件，并发起策略安全在线检查指令，每台终端计算机上的CAB根据接收的指令启动检查，具体如下：

统一数据接口模块：通过IE浏览器接收策略安全在线检查指令，启动查询分析模块；并从IE浏览器上接收对应的策略类型、策略内容、策略生效时间以及策略生效的有效条件并发送至查询分析模块和策略定义模块；将策略映射表、策略内比模块发送的内比结果连同对应的唯一标识值一起回传至中心计算机；由中心计算机对回传结果进行汇总显示；

查询分析模块：启动策略定义模块，同时根据策略安全在线检查指令从本地计算机上抓取策略映射表中策略类型对应的策略内容的实际值，并将该实际值填充到策略映射表相应的扩展项中；根据统一数据接口模块发送的策略类型、策略内容、策略生效时间以及策略生效的有效条件，将传入的策略有效时间填充到对应的策略映射表中，将策略生效的有效条件根据相应策略内容，与策略内容对应的唯一标识值一起存储；

策略定义模块：根据统一数据接口模块发送的策略类型及策略内容，建立策略映射表；该策略映射表包括唯一标识值、策略类型、策略内容、策略生效时间和扩展项四项内容；策略类型与策略内容为一对一或者一对多的关系，策略内容为对应的策略类型的策略检查要求；扩展项为相应策略内容的实际值，唯一标识值与策略内容、策略生效时间、扩展项一一对应；

策略内比模块：将策略映射表中的扩展项内容与查询分析模块存储的唯一标识值对应的策略生效有效条件进行内比，将内比结果连同对应的唯一标识值一起存储并传给显示模块及统一数据接口模块；

显示模块：接收策略内比模块发送的内比结果以及唯一标识值，从策略映射表中获取唯一标识值对应的策略生效时间，将在策略生效时间内且内比结果错误的策略内容以及策略生效有效条件在本地计算机上进行显示。

当查询分析模块接收的策略安全在线检查指令为判断系统是否安装有真实光驱时，所述的抓取策略映射表中策略类型对应的策略内容的实际值步骤如下：

(1)读取策略安全在线检查指令，判断指令的操作内容，将指令的操作内容与查询分析模块默认的同一指令的内容相比较，判断二者是否一致，若不一致，则直接返回错误信息，等待下一个策略安全在线检查指令；若一致，则转步骤(2)；

(2)根据windows管理接口WMI获取光驱信息，若没有获取带光驱信息，则在策略映射表相应的扩展项中记录“否”，若有则转步骤(3)；