[发明专利]国产操作系统下的可移动介质访问权限的管控方法及系统

说明书

技术领域

本发明涉及计算机安全领域，特别涉及一种国产操作系统下的可移动介质访问权限的管控方法及系统。

背景技术

随着计算机技术的发展，信息安全观念的加强，国有化安全可控的重视，致使国产操作系统的研发与普及近年达到了空前的热度，为实现自主研发安全可控打下夯实的基础。由于可移动介质是恶意代码传播的重要方式，因此国产操作系统需要对移动介质数据传输进行综合管控，主动防御通过移动介质传输的恶意代码。

可移动介质种类繁多，开发并不繁琐，以致开发者良莠不齐，版本型号很难有效控制。可移动介质又有很好的便携性，是存储和传输数据的重要工具，因此这些也被很多攻击者所利用，攻击者通过将恶意代码植入可移动介质，在可移动介质介入主机后，将恶意代码以某种形式导入主机，进而做一系列非法操作。

国产操作系统下现有技术并没有成熟的对可移动介质数据传输管控的解决方案，传统的可移动介质存储数据管理，恶意代码的发现也就是通过扫描方式进行的。但是对于一些未知的恶意代码，并不能有效的阻止其执行，一些恶意代码并不是立即进行攻击操作，会进行一系列的伪装工作，因此在常规检测扫描中很难发现，不能够满足我们的需求。主动防御技术已经普遍的用于各种操作系统，但对于国产操作系统下的使用与普及仍给研究人员提供了更大的交互舞台。基于LSM框架动态监控可移动介质的数据传输和执行等操作，是Linux内核的一个轻量级通用访问控制框架。

发明内容

本发明提出一种国产操作系统下的可移动介质访问权限的管控方法及系统，解决了国产操作系统下可移动介质中数据访问权限以及传输管控的问题。

本发明方法具体为，一种国产操作系统下的可移动介质访问权限的管控方法，包括：读写权限控制、执行权限控制、重命名权限控制、删除权限控制及权限更改控制；

各权限控制方法具体为：

注册LSM框架下securty_operations结构下相应权限控制的回调函数；

获取操作信息，所述操作信息包括当前操作的文件的文件名、所述文件的进程信息或操作所述文件的进程信息及操作所述文件的用户信息；

判断当前操作的文件是否被禁止相应操作，或所述文件的进程信息是否为恶意，如果是，则拦截所述操作；

否则若所述操作为读写操作，则判断操作所述文件的进程信息是否为异常进程，如果是则拦截所述操作，否则判断操作所述文件的用户信息是否非法，如果是则拦截所述操作，否则允许继续操作；

若所述操作为执行操作，则判断所述文件的父进程是否异常，如果是则拦截所述操作，否则判断所述文件的用户信息是否非法，如果是，则拦截所述操作，否则允许继续操作；

若所述操作为重命名、删除或权限更改，则允许继续操作。

所述的方法中，还包括传输管控；所述传输管控包括：

普通模式，允许可移动介质与主机间进行文件相互传输，并对数据传输信息形成日志记录；

只读模式，只允许可移动介质中文件拷贝至主机，拦截对可移动介质的所有写操作，并统计记录拦截信息形成拦截日志记录；

安全模式，禁止拷贝文件至可移动介质，同时监控主机，控制可移动介质中的文件只可拷贝到主机的特定目录。

所述的方法中，还包括接入管控：设置可移动介质白名单及黑名单，控制是否允许可移动介质接入主机；所述白名单及黑名单中至少包含供应商ID、产品识别码及全局唯一标识字段。

所述的方法中，所述当前操作的文件是否被禁止相应操作的设置，通过配置文件进行设置和更改。

本发明还相应提出一种国产操作系统下的可移动介质访问权限管控系统，包括：

注册模块，用于注册LSM框架下securty_operations结构下相应权限控制的回调函数；

信息获取模块，用于获取操作信息，所述操作信息包括当前操作的文件的文件名、所述文件的进程信息或操作所述文件的进程信息及操作所述文件的用户信息；

读写权限控制模块，用于判断当前操作的文件是否被禁止相应操作，如果是，则拦截所述操作；否则，判断操作所述文件的进程信息是否为异常进程，如果是则拦截所述操作；否则判断操作所述文件的用户信息是否非法，如果是则拦截所述操作，否则允许继续操作；

执行权限控制模块，用于判断所述文件的进程信息是否为恶意，如果是，则拦截所述操作；否则判断所述文件的父进程是否异常，如果是则拦截所述操作，否则判断所述文件的用户信息是否非法，如果是，则拦截所述操作，否则允许继续操作；