[发明专利]面向终端计算机的安全在线检查系统

权利要求书

1.面向终端计算机的安全在线检查系统，其特征在于：在一台中心计算机上在线对所有终端计算机进行集中检查，所有的计算机之间通过网络连接；所述的系统包括在线检查工具、封装模块和中心计算机，封装模块将在线检查工具打包成CAB的形式并存储在中心计算机上，中心计算机将CAB嵌入IE浏览器，终端计算机通过IE浏览器从中心计算机上下载该CAB并自动安装；所述在线检查工具包括统一数据接口模块、安全检查单元和显示模块；

用户通过中心计算机上的IE浏览器输入期望检查的项目指令及对应检查项目的输入信息，每台终端计算机上的统一数据接口模块对接收的项目指令及对应检查项目的输入信息传送至安全检查单元，安全检查单元根据项目指令启动策略安全在线检查或者补丁安全在线检查或者硬件资源信息安全在线检查或者软件安全在线检查，并将检查结果交由显示模块进行显示。

2.根据权利要求1所述的面向终端计算机的安全在线检查系统，其特征在于：所述的安全检查单元包括策略定义模块、查询分析模块、策略内比模块、资源信息抓取模块、信息解析模块、分析处理模块、策略定制模块、统一数据接口模块、补丁解析模块、查询模块、下载分发模块、软件信息获取模块、软件控制模块；

当接收的项目指令为策略安全在线检查指令时，对应的检查项目的输入信息为每台终端计算机期望检查的策略类型、策略内容、策略生效时间以及策略生效的有效条件，具体检查步骤如下：

查询分析模块：启动策略定义模块，同时根据策略安全在线检查指令从本地计算机上抓取策略映射表中策略类型对应的策略内容的实际值，并将该实际值填充到策略映射表相应的扩展项中；根据统一数据接口模块发送的策略类型、策略内容、策略生效时间以及策略生效的有效条件，将传入的策略有效时间填充到对应的策略映射表中，将策略生效的有效条件根据相应策略内容，与策略内容对应的唯一标识值一起存储；

策略定义模块：根据统一数据接口模块发送的策略类型及策略内容，建立策略映射表；该策略映射表包括唯一标识值、策略类型、策略内容、策略生效时间和扩展项四项内容；策略类型与策略内容为一对一或者一对多的关系，策略内容为对应的策略类型的策略检查要求；扩展项为相应策略内容的实际值，唯一标识值与策略内容、策略生效时间、扩展项一一对应；

策略内比模块：将策略映射表中的扩展项内容与查询分析模块存储的唯一标识值对应的策略生效有效条件进行内比，将内比结果连同对应的唯一标识值一起存储并传给显示模块及统一数据接口模块；

当接收的项目指令为补丁安全在线检查指令时，具体检查步骤如下：

补丁解析模块根据补丁安全在线检查指令解析出补丁类型以及最新版本号；并从策略定制模块中获取本地计算机当前补丁类别及补丁版本号，将二者进行比对，若本地计算机当前补丁版本号小于最新版本号，则将补丁类别发送至下载分发模块；下载分发模块根据接收的补丁类别获取该补丁类别对应的补丁包，并下载安装，将安装后的状态及结果反馈给补丁解析模块；补丁解析模块根据反馈结果，当安装成功时，将安装的补丁包对应的最新版本号传给策略定制模块；若安装失败，则重新下载安装，若在预设的次数限制内一直安装失败，则通知查询模块将失败信息进行显示；策略定制模块中存储本地计算机的当前补丁类别及补丁版本号，并将接收的最新版本号与当前补丁版本号进行比对，当当前补丁版本号小于等于最新版本号时，用最新版本号更新当前补丁版本号；否则，调用查询模块将当前补丁版本号大于最新版本号进行显示；

当接收的项目指令为硬件资源信息在线检查指令时，具体检查步骤如下：

资源信息抓取模块根据调用获取本地计算机的IP地址或者MAC地址以及本地计算机的硬件资源信息，将该地址通过统一数据接口模块回传给中心计算机，将本地计算机的硬件资源信息发送给信息解析模块；中心计算机根据IP地址或者MAC地址通过统一数据接口模块该地址对应的终端计算机登记的硬件资源信息发送至分析处理模块；

信息解析模块将接收的硬件资源信息通过映射表解析成用户能够识别的信息并发送至分析处理模块；

分析处理模块将解析后的信息与登记的硬件资源信息进行比对，将比对结果通过统一数据接口模块回传至中心计算机，同时将比对不一致的结果送至显示模块；中心计算机将回传结果进行显示、并存储；

当接收的项目指令为软件安全在线检查指令时，具体步骤如下：

软件信息获取模块根据软件安全在线检查指令获取当前计算上安装的每个软件的运行信息以及特殊软件的特定信息，所述的特殊软件为当前计算机上根据单位要求必须安装的软件，其特定信息包括软件安装时间、版本号、升级时间；

软件控制模块将软件信息获取模块获取的所有信息回传至中心计算机，并将软件信息获取模块获取的软件运行信息与存储在本地计算机上的软件监控描述表进行比对，将软件监控描述表中不允许安装的软件从本地计算机结束进程；根据软件的运行信息判断软件监控描述表中必须运行的软件是否运行，若存在未运行的软件，则调用显示模块进行提示；根据获取的特殊软件的特定信息，判断该特定信息与软件监控描述表中特殊软件的相应条件是否匹配，若不匹配，则调用显示模块进行显示。