[发明专利]操作系统镜像的安全保护方法、装置及电子设备

权利要求书

1.一种操作系统镜像的安全保护方法，其特征在于，包括：

响应于针对电子设备的镜像部署请求，获取公共操作系统镜像，以作为待进行安全保护的操作系统镜像；

获取所述操作系统镜像中的版本信息，以作为目标版本信息；

从安全保护规范中获取需要进行安全保护的身份鉴别项目、访问控制项目、安全检查项目及入侵防范项目；

其中，所述身份鉴别项目包括所述操作系统镜像中与密码、用户管理、登录失败处理及会话超时处理对应的内容；所述访问控制项目包括所述操作系统镜像中与管理员权限及文件权限对应的内容；所述安全检查项目包括所述操作系统镜像中与日志记录及日志备份对应的内容；所述入侵防范项目包括所述操作系统镜像中与服务、端口以及入侵检测对应的内容；

根据设定顺序遍历所述身份鉴别项目、所述访问控制项目、所述安全检查项目及所述入侵防范项目，并

将所述安全保护规范中针对遍历到的项目的安全条件、与所述操作系统镜像中的所述遍历到的项目进行匹配处理；

当所述遍历到的项目与对应的安全条件匹配失败时，在与多个版本信息对应的更新操作中，确定与所述目标版本信息对应的更新操作，并

根据与所述目标版本信息对应的更新操作，对所述操作系统镜像中对应所述遍历到的项目的内容进行更新，以符合所述遍历到的项目的安全条件；

其中，所述版本信息对应的更新操作包括与所述版本信息对应的执行命令和文件路径；所述执行命令包括更新配置的命令、修改权限的命令、开启进程的命令、关闭服务的命令、开放或关闭端口的命令、以及安装软件的命令；

将更新后的所述操作系统镜像，确定为符合所述安全保护规范的操作系统镜像；

其中，符合所述安全保护规范的操作系统镜像用于部署至所述电子设备中。

2.根据权利要求1所述的安全保护方法，其特征在于，所述对所述操作系统镜像中对应所述遍历到的项目的内容进行更新，包括：

当所述遍历到的项目为所述身份鉴别项目时，对所述操作系统镜像中的密码配置、登录失败配置和会话超时配置进行更新，以符合所述身份鉴别项目的安全条件；

对所述操作系统镜像中的管理员权限配置进行更新，以禁止拥有管理员权限的账户登录；

在所述操作系统镜像中创建新的系统管理组以及新的管理员账户，并

对所述管理员权限配置进行更新，以允许所述新的管理员账户拥有所述管理员权限。

3.根据权利要求2所述的安全保护方法，其特征在于，所述在所述操作系统镜像中创建新的系统管理组以及新的管理员账户之后，还包括：

获取用户多次输入的针对所述新的管理员账户的密码；

当所述多次输入的密码相同、且所述多次输入的密码符合所述密码配置时，将所述多次输入的密码确定为所述新的管理员账户的密码。

4.根据权利要求1所述的安全保护方法，其特征在于，所述对所述操作系统镜像中对应所述遍历到的项目的内容进行更新，包括：

当所述遍历到的项目为所述访问控制项目时，对所述操作系统镜像中的管理员权限配置进行更新，以使系统管理组中的管理员账户拥有管理员权限，并禁止所述管理员账户之外的账户拥有所述管理员权限；

对所述操作系统镜像中的文件权限配置进行更新，以使设定文件的所有者账户拥有对所述设定文件的读写权限，所述所有者账户之外的账户拥有对所述设定文件的读权限。

5.根据权利要求1所述的安全保护方法，其特征在于，所述对所述操作系统镜像中对应所述遍历到的项目的内容进行更新，包括：

当所述遍历到的项目为所述安全检查项目时，启动所述操作系统镜像中的日志进程；

对所述日志进程的配置文件进行更新，以根据所述日志进程对设定文件、以及针对所述设定文件的设定操作进行记录；

对所述操作系统镜像中的备份配置文件进行更新，以对所述日志进程运行过程中产生的文件进行备份管理。

6.根据权利要求5所述的安全保护方法，其特征在于，还包括：

启动所述操作系统镜像中的监控服务；

其中，所述监控服务用于监控在所述操作系统镜像对应的操作系统中执行的命令。