[发明专利]一种基于自学习的Linux安全策略配置方法有效
| 申请号: | 201210563375.X | 申请日: | 2012-12-21 |
| 公开(公告)号: | CN103176817A | 公开(公告)日: | 2013-06-26 |
| 发明(设计)人: | 时坚;邓松;张涛;林为民;李伟伟;汪晨;周诚;管小娟;朱其军;蒋静 | 申请(专利权)人: | 中国电力科学研究院;国家电网公司 |
| 主分类号: | G06F9/445 | 分类号: | G06F9/445;H04L12/24;H04L29/06 |
| 代理公司: | 北京安博达知识产权代理有限公司 11271 | 代理人: | 徐国文 |
| 地址: | 100192 北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 自学习 linux 安全策略 配置 方法 | ||
1.一种基于自学习的Linux安全策略配置方法,其特征在于,在SeLinux的安全服务器区中嵌入策略学习模块;所述方法包括如下步骤:
(1)安装Linux操作系统,并将改进后的SeLinux作为安装项;
(2)进入Linux操作系统,开启策略学习模块流程,并开启所述策略学习模块的学习开关;
(3)部署应用软件与业务系统;
(4)经过一段时间的安全稳定运行,关闭所述策略学习模块的学习开关;
(5)手动调整,合并部分自动生成的访问控制策略;
(6)经过一段时间的稳定运行,对安全日志进行审计,记录并生成没有正常运行的主体名单及访问的客体名单;
(7)手动调整所述自动生成的访问控制策略,为所述没有正常运行的主体名单中的主体添加对应客体的访问权限;
(8)安全策略配置结束。
2.如权利要求1所述的安全策略配置方法,其特征在于,步骤(2)所述开启策略学习模块流程包括如下步骤:
1)系统启动,策略学习模块从文件中读取策略信息;
2)操作系统中主体A对客体B进行访问,策略学习模块通过LSM接口拦截这一访问过程;
3)策略学习模块读取主体的安全标示符SIDA和客体的安全标示符SIDB;判断所述策略学习模块的学习开关状态;
4)若所述学习开关为关,则所述策略学习模块未启用,移至步骤8),否则进行步骤5);
5)向安全服务器提交策略查询请求,判断是否存在<SIDA,SIDB,通过>的策略信息;若策略已经存在,移至步骤8,否则进行步骤6);
6)所述策略学习模块生成一条策略<SIDA,SIDB,通过>并向安全服务器提交;
7)所述策略学习模块将生成的策略保存到策略文件;
8)转入Selinux策略处理。
3.如权利要求1所述的安全策略配置方法,其特征在于,步骤8)所述转入Selinux策略处理是指:
安全服务器依据更新后的安全策略,对主客体的访问进行决策,并将决策结果交由客体管理器;若决策结果为通过,客体管理器放行此次主体A对客体B的访问,若决策结果为拒绝,则终止此次主体A对客体B的访问。
4.如权利要求1所述的安全策略配置方法,其特征在于,步骤(3)所述应用软件与业务系统是由用户决定的,需要受到安全保护进行安全配置的应用软件或业务系统。
5.如权利要求1所述的安全策略配置方法,其特征在于,步骤(4)和步骤(6)所述一段时间是指用户进入所述策略学习模块开始,将其全部功能用完一遍的时间。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电力科学研究院;国家电网公司,未经中国电力科学研究院;国家电网公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201210563375.X/1.html,转载请声明来源钻瓜专利网。
