[发明专利]一种实现操作系统安全的方法和装置

说明书

技术领域

本发明涉及计算机信息安全领域，特别涉及一种实现操作系统安全的方法和装置。

背景技术

操作系统的主体安全作为信息安全的最后一道壁垒，显得格外重要，目前，主要通过扩张强制访问控制安全模块(Security-EnhancedLinux，简称Selinux)来维护linux操作系统的安全。由于Selinux已并入Linux内核代码，使得Selinux中的钩子操作函数不可被更改，管理员需要按照Selinux规范的格式来为钩子操作函数配置维护策略，以保护操作系统中的文件、进程等，在配置维护策略之后，操作系统需要重启才能启动维护策略，例如：管理员通过规范的格式添加保护文件1的策略，在操作系统重启之后，才能执行该保护文件1的策略，如果配置N个策略，操作系统需要重启N次，造成配置维护策略的灵活性较差。

发明内容

本发明提供一种实现操作系统安全的方法和装置，从而提高配置维护的灵活性。

一种实现操作系统安全的方法，包括：

获取钩子操作函数集的第一地址，并将所述第一地址映射到第二地址；

在所述第二地址修改所述钩子操作函数集，预设各种维护策略；

接收选定的至少一个目标，为所述至少一个目标配置所述各种维护策略中的第一目标维护策略。

优选地，该方法进一步包括：设置web界面；

所述接收选定的至少一个目标，为所述至少一个目标选定所述维护策略中的目标维护策略，包括：通过所述web界面接收选定的至少一个目标，并通过所述web界面为所述至少一个目标配置所述各种维护策略中的目标维护策略。

优选地，该方法进一步包括：

拦截当前操作；

获取所述当前操作对应的当前进程和/或当前文件；

在所述第一目标维护策略中，确定所述当前进程和/或当前文件对应的第二目标维护策略；

将所述当前操作与所述第二目标维护策略进行匹配，如果所述当前操作满足所述第二目标维护策略，则控制操作系统执行所述当前操作，否则，控制所述操作系统拒绝所述当前操作。

优选地，在所述预设各种维护策略之后，在所述接收选定的至少一个目标之前，进一步包括：建立所述各种维护策略与所述钩子操作函数集中钩子函数的对应关系；

在所述将所述当前操作与所述第二目标维护策略进行匹配之后，进一步包括：根据所述对应关系，运行所述第二目标维护策略对应的所述钩子操作函数集中的目标钩子函数。

优选地，所述当前操作，包括：读、写、执行、删除、重命名以及链接中的任意一种或多种。

优选地，该方法，应用于linux内核，所述获取钩子操作函数集的第一地址，并将所述第一地址映射到第二地址，包括：获取selinux_ops数据结构的内存地址，并将所述内存地址映射到第二地址。

一种实现操作系统安全的装置，包括：

映射单元，用于获取钩子操作函数集的第一地址，并将所述第一地址映射到第二地址；

第一设置单元，用于在所述映射单元映射的第二地址修改所述钩子操作函数集，预设各种维护策略；

配置单元，用于接收选定的至少一个目标，为所述至少一个目标配置所述第一设置单元设置的各种维护策略中的第一目标维护策略。

优选地，该装置进一步包括：第二设置单元，其中，

所述第二设置单元，用于设置web界面；

所述配置单元，用于通过所述第二设置单元设置的web界面接收选定的至少一个目标，并通过所述web界面为所述至少一个目标配置所述第一设置单元预设的各种维护策略中的目标维护策略。

优选地，该装置进一步包括：获取单元、确定单元、匹配单元和控制单元，其中，

所述获取单元，用于拦截当前操作，并获取所述当前操作对应的当前进程和/或当前文件；

所述确定单元，用于在所述配置单元配置的第一目标维护策略中，确定所述当前进程和/或当前文件对应的第二目标维护策略；

所述匹配单元，用于将所述获取单元拦截的当前操作与所述确定单元确定的第二目标维护策略进行匹配，判断所述当前操作是否满足所述第二目标维护策略，并触发控制单元；

所述控制单元，用于接收到所述匹配单元触发时，如果所述当前操作满足所述第二目标维护策略，则控制操作系统执行所述当前操作，否则，控制所述操作系统拒绝所述当前操作。

优选地，该装置进一步包括：构建单元和运行单元，其中，