[发明专利]一种实现操作系统资源访问限制的方法及装置

说明书

本发明提供一种实现操作系统资源访问限制的方法及装置，所述方法步骤如下：在应用软件中预设安全策略，以及在操作系统内核中增设安全模块；所述应用软件包括可执行程序和安全策略；应用软件运行时，安全模块对应用软件进行加载，并判断应用软件中安全策略是否已由安全管理员审核通过，并在未审核通过时等待安全管理员审核；应用软件中安全策略审核通过后，根据安全策略选择允许或禁止应用软件中可执行程序启动，实现操作系统资源访问限制。本发明将安全策略固化到可执行程序中，从而将安全策略的定制提前到软件开发阶段，提升了可执行程序安全策略定制的准确性，有利于提升可执行程序运行过程中的安全性，减少软件被攻击的可能。

技术领域

本发明属于操作系统安全技术领域，具体涉及一种实现操作系统资源访问限制的方法及装置。

背景技术

操作系统安全是指操作系统在自主访问控制、强制访问控制、标记、身份鉴别、日志审计、数据完整性保密性、传输的完整性保密性等方面的安全要求。

在程序对操作系统资源的访问控制方面目前主要通过自主访问控制和强制访问等功能实现的。自主访问控制完成了基于操作系统用户对资源读、写、执行的控制基本控制，基于强制访问控制完成了三权分立、标记、数据的完整性和保密性的控制。三权分立主要是指将操作系统根用户的权限划分给系统管理员、安全管理员和审计管理员。系统管理员负责系统管理维护等，安全管理员负责系统安全策略的制定维护等，审计管理员负责系统日志的审计和维护等。

操作系统安全策略的定制是由安全管理员负责和维护的，由安全管理员负责对操作系统下的各个软件进行权限制定，但现实中安全管理员往往是不了解业务和使用场景的，导致安全策略不准确，影响操作系统的安全，且在安全策略的定制过程中安全管理员需要跟业务人员不断的去沟通和调试。

此为现有技术的不足，因此，针对现有技术中的上述缺陷，提供一种实现操作系统资源访问限制的方法及装置，是非常有必要的。

发明内容

针对现有技术的上述安全管理员负责进行操作系统下各个软件的定制，缺陷，本发明提供一种实现操作系统资源访问限制的方法及装置，以解决上述技术问题。

第一方面，本发明提供一种实现操作系统资源访问限制的方法，包括如下步骤：

S1.在应用软件中预设安全策略，以及在操作系统内核中增设安全模块；所述应用软件包括可执行程序和安全策略；

S2.应用软件运行时，安全模块对应用软件进行加载，并判断应用软件中安全策略是否已由安全管理员审核通过，并在未审核通过时等待安全管理员审核；

S3.应用软件中安全策略审核通过后，根据安全策略选择允许或禁止应用软件中可执行程序启动，实现操作系统资源访问限制。

进一步地，步骤S1具体步骤如下：

S11.获取系统管理员或软件开发人员定制的安全策略，并将安全策略提供给安全管理员审核；

S12.在可执行程序编译阶段，添加安全管理员审核通过的安全策略，并将安全策略固化到可执行程序中，生成应用软件；

S13.在操作系统内核中增设安全模块，所述安全模块包括安全加载单元、运行控制单元、日志记录单元、安全接口单元、策略审计单元以及日志审计单元。安全模块负责加载应用软件的可执行程序和应用软件的安全策略。如果可执行程序没有安全策略则直接拒绝应用软件运行。