[发明专利]一种基于SELinux安全子系统的策略适配系统及方法

权利要求书

1.一种基于SELinux安全子系统的策略适配系统，其特征在于，包括：

信息采集模块，其用于采集SELinux安全子系统和SELinux安全子系统中所运行的服务的信息；

策略模板存储模块，其用于以数据库的存储方式来存储原子性策略模板和预先设定服务的策略库；

策略生成模块，其利用所述原子性策略模板和所述策略库，根据所采集的信息来生成策略语句；

策略测试模块，其测试所述策略生成模块所生成的策略语句的语法是否合法；以及

策略修复模块，其在所述策略测试模块的测试结果为合法时，重新启动系统，通过降低或升高SELinux安全子系统的安全等级来测试已加载的所述策略语句在不同的安全等级中是否运行正常，在所述策略测试模块的测试结果为不合法时，则进入所述策略生成模块以重新利用所述原子性策略模板和所述策略库根据所采集的信息来生成策略语句，其中，

所述原子性策略模板包括关键字策略模板和宏定义策略模板。

2.根据权利要求1所述的系统，其特征在于，在所述策略修复模块中，当所述策略语句在所述不同安全等级的其中一个安全等级中运行不正常时，

所述信息采集模块采集处于所述安全等级中的SELinux安全子系统的扩展属性资源信息；

所述策略修复模块，其基于扩展属性资源信息生成补充策略语句，将所述补充策略语句添加至所述策略语句中以生成新的策略语句以使所生成的新的策略语句在所述安全等级中运行正常，以及

在所述策略模板存储模块中存储运行正常的所述新的策略语句。

3.根据权利要求2所述的系统，其特征在于，还包括：

日志存储模块，其对运行正常的所述新的策略语句所产生的日志信息进行存储，所述日志信息包括新的策略语句的生成的时间和新的策略语句所存储的位置。

4.根据权利要求1所述的系统，其特征在于，

所述信息采集模块，其基于细粒度权限来采集SELinux安全子系统及SELinux安全子系统的服务的信息，其中，

所采集的信息包括SELinux安全子系统的服务文件常规资源信息、SELinux安全子系统的服务文件模拟启动所需资源信息、SELinux安全子系统的扩展属性资源信息和用户补充资源信息。

5.根据权利要求4所述的系统，其特征在于，

所述信息采集模块，其根据服务器软件安装列表中的服务文件的资源来采集服务文件系统常规资源信息。

6.根据权利要求1所述的系统，其特征在于，

在所述策略生成模块，其利用所述原子性策略模板和所述策略库，根据所采集的信息来生成符合最小权限原则的策略语句。

7.一种基于SELinux安全子系统的策略适配方法，其特征在于，包括：

采集SELinux安全子系统及SELinux安全子系统中所运行的服务的信息；

利用原子性策略模板和策略库，根据所采集的信息来生成策略语句；

测试所生成的所述策略语句的语法是否合法；

若测试结果为合法，则重新启动系统，通过降低或升高SELinux安全子系统的安全等级来测试已加载的所述策略语句在不同的安全等级中是否运行正常，反之，则重新利用原子性策略模板和策略库、根据所采集的信息来生成策略，其中，

所述原子性策略模板包括关键字策略模板和宏定义策略模板。

8.根据权利要求7所述的方法，其特征在于，所述策略语句在所述不同安全等级的其中一个安全等级中运行不正常时，

采集处于所述安全等级中的SELinux安全子系统的扩展属性资源信息；

基于所述扩展属性资源信息生成补充策略语句；

将所述补充策略语句添加至所述策略语句中以生成新的策略语句以使得所生成的新的策略语句在所述安全等级中运行正常，以及

存储运行正常的所述新的策略语句。

9.根据权利要求8所述的方法，其特征在于，

存储运行正常的所述新的策略语句所产生的日志信息，所述日志信息包括新的策略语句的生成的时间和新的策略语句所存储的位置。

10.根据权利要求8所述的方法，其特征在于，

对SELinux安全子系统及SELinux安全子系统的服务进行细粒度权限的信息采集，其中，

所采集的信息包括SELinux安全子系统的服务文件常规资源信息、SELinux安全子系统的服务文件模拟启动所需资源信息、SELinux安全子系统的扩展属性资源信息和用户补充资源信息。