[发明专利]基于访问限制的信息安全防护主机

说明书

本发明公开了一种基于访问限制的信息安全防护主机。涉及软件开发技术领域。包括主体包括操作系统、应用系统、网络设备、应用软件、数据库操作，与主机系统相联，该主机系统包括网络服务认证模块、用户操作控制模块、用户认证；主机系统分别与安全防护主机包括的入侵检测系统、病毒防护系统、多级备份系统相联；主机系统与客体相联，客体包括文件、存储器。本发明通过限定用户的访问权限加强对用户的管理，解决大部分内部具有不同合法访问权限用户的违规、违法、滥用现象，外部通过入侵检测系统、病毒防护系统完成保密网内的主机系统在物理上与外部安全隔绝的特性，大大的降低了主机系统收外部攻击的可能性。

技术领域

本发明属于软件开发技术领域，特别是涉及基于访问限制的信息安全防护主机。

背景技术

主机入侵防御系统的解决方法就是从根本入手，大大细化了对资源的控制粒度。不管是UNIX还是Windows服务器操作系统，对文件和目录的安全许可权限都是非常有限的。但是通过主机入侵防御系统就能够使文件和目录的许可控制大大增强。

HIDS全称是Host-basedIntrusionDetectionSystem，即基于主机型入侵检测系统。作为计算机系统的监视器和分析器，它并不作用于外部接口，而是专注于系统内部，监视系统全部或部分的动态的行为以及整个计算机系统的状态。

发明内容

本发明的目的在于提供基于访问限制的信息安全防护主机，通过限定用户的访问权限加强对用户的管理，解决大部分内部具有不同合法访问权限用户的违规、违法、滥用现象，外部通过入侵检测系统、病毒防护系统完成保密网内的主机系统在物理上与外部安全隔绝的特性，大大的降低了主机系统收外部攻击的可能性。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为基于访问限制的信息安全防护主机，包括主体包括操作系统、应用系统、网络设备、应用软件、数据库操作，与主机系统相联，用于运行主机系统，该主机系统包括网络服务认证模块、用户操作控制模块、用户认证，用于限定本机的访问权限；主机系统分别与安全防护主机包括的入侵检测系统、病毒防护系统、多级备份系统相联，该入侵检测系统提供多种检测规则，该病毒防护系统用于病毒的检测及病毒库的更新，该多级备份系统用于重要数据、文件等资料的定期备份；主机系统与客体相联，客体包括文件、存储器。

优选地，入侵检测系统采用HIDS实现对主机的保护，HIDS有多种实时监测方式，基于IDA(Intrusion Detection Agent)方式检测到：主机和用户信息、系统日志、非法访问、可疑地址的网络连接、网络服务信息、用户shell及操作命令、系统和用户启动的进程、用户口令及账号、重要文件内容及目录是否变化信息。

优选地，用户认证用于对本机访问权限的认证；网络服务认证模块与用户认证相联，用于网络IP地址的认证；用户认证与用户操作控制模块相联，用户操作控制模块用限定用户的访问权限；用户认证、网络服务认证模块、户操作控制模块记录的工作日志存储到存储模块中。

优选地，入侵检测系统、病毒防护系统对主机系统的检测工作日志存储到多级备份系统中；多级备份系统分层次采用网络异地备份、服务器双机热备份、RAID镜像技术、软件系统自动备份。

本发明具有以下有益效果：

本发明通过限定用户的访问权限加强对用户的管理，解决大部分内部具有不同合法访问权限用户的违规、违法、滥用现象，外部通过入侵检测系统、病毒防护系统完成保密网内的主机系统在物理上与外部安全隔绝的特性，大大的降低了主机系统收外部攻击的可能性；并通过受限的shell对系统管理员的系统管理行为进行监控、限定，保证系统的安全运行。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明