实现操作系统安全控制的系统及方法技术方案

本发明专利技术涉及一种实现操作系统安全控制的系统及方法。该系统由上级操作系统模块；一系统隔离模块，一数据隔离模块，一安全控制模块构成，删除、建立和引导下级操作系统模块，并复制动态数据到磁盘保护分区；该方法读取上级操作系统模块的启动信息，并与标准信息比较，一致则创建下级操作系统模块，并加载所述上级操作系统模块和所述下级操作系统模块，否则使用标准信息修复上级操作系统模块的启动信息。通过本发明专利技术的系统和方法，防止对计算机内核的恶意破坏；保证了当前操作系统环境的安全性；采用数据隔离的方法保证了数据的完整性；并采用系统隔离的方法保证了某一操作系统不安全因素不会波及整个系统。

【技术实现步骤摘要】

本专利技术涉及一种，尤其涉及一种应用数据隔离方法及系统隔离方法，属于计算机操作系统与计算机安全领域。
技术介绍
计算机操作系统用于控制计算机硬件设备，并为各种应用软件提供运行环境，其可靠性与安全性十分重要。随着越来越多的应用被部署在单一操作系统环境中，用户计算环境变得非常复杂，难以管理与维护，且复杂的计算环境使得各种计算机安全防护技术无法进行即时防护与识别，难以避免病毒和间谍软件的攻击。为解决上述问题，目前比较通用的方法之一，是在操作系统中安装操作系统恢复软件来解决操作系统故障以及病毒破坏的问题。此种方法的缺点在于虽然系统恢复软件可以将操作系统还原到以前的某个健康状态，但用户的数据也会被还原到旧的状态，从而使得操作系统还原软件的可用性大大的降低。目前比较通用的方法之二，是用户在操作系统中安装杀毒软件和防火墙一类的安全防护软件来应付日渐猖獗的病毒与恶意程序的破坏。此种方法的缺点在于安全防护软件产品的发展一般都滞后于病毒和恶意程序的传播。且这些防护软件能否正常使用，往往依赖于操作系统本身是否可靠的运行；因此，在操作系统中安装安全防护软件来保证操作系统、应用软件、用户数据的安全，虽然在一定程度上有效阻止病毒的破坏和传播，但用户需要不断的升级和维护病毒特征码，一旦疏忽即给病毒和恶意程序造成可乘之机。综上所述，在IT应用中，计算机的安全性是目前普通遇到的最大问题，这些问题给计算机消费者和企业造成了巨大的时间成本和经济成本，而目前尚没有全面彻底的进行操作系统安全控制的方法。因此，用户需要一种能够简化安全防护的步骤，显著降低安全防护的成本，并且能保证企业信息资产和个人用户数据安全可靠的技术方案。
技术实现思路
本专利技术的目的是提供一种实现操作系统安全控制的系统，该系统能够对操作系统的数据隔离并保护；并且能够对操作系统进行隔离，产生可在用户不再使用时被删除的下级操作系统模块。本专利技术的另一目的是提供一种实现操作系统安全控制的方法，该方法能够实现数据隔离和系统隔离，实现隔离的系统及数据不会互相影响；并且能对操作系统进行校验，一旦发现未经授权的篡改，则进行恢复。为实现上述目的，本专利技术提供了一种实现操作系统安全控制的系统，包括上级操作系统模块；一系统隔离模块，所述系统隔离模块与所述上级操作系统模块交互，用于根据用户指令引导和/或建立下级操作系统模块；所述系统隔离模块还分别同所述上级操作系统模块和下级操作系统模块交互，用于监控所述上级操作系统模块和下级操作系统模块对磁盘的读/写访问；一数据隔离模块，所述数据隔离模块将所述上级操作系统模块和/或下级操作系统模块的动态数据复制到磁盘保护分区；监控所述上级操作系统模块和/或下级操作系统模块对动态数据的读/写访问，并将对所述动态数据的读/写访问重定向和/或实时复制到所述磁盘保护分区；一安全控制模块，与所述上级操作系统模块和/或下级操作系统模块交互，用于存储所述上级操作系统模块的标准信息，采集所述上级操作系统模块的启动信息，比较所述上级操作系统模块的标准信息及所述启动信息，并根据比较结果对所述上级操作系统模块进行加载和/或修复控制；以及用于删除所述下级操作系统模块，并通知所述系统隔离模块创建或自行创建新的下级操作系统模块。为实现上述另一目的，本专利技术提供了一种实现操作系统安全控制的方法，包括以下步骤步骤1、读取上级操作系统模块的启动信息，并与预先存储的所述上级操作系统标准信息比较，如果所述上级操作系统模块的启动信息与所述上级操作系统标准信息一致，则执行步骤2，否则使用所述上级操作系统标准信息修复所述的上级操作系统模块的启动信息；步骤2、创建下级操作系统模块，并加载所述上级操作系统模块和所述下级操作系统模块。所述步骤2之后还包括步骤3监控所述上级操作系统模块和/或所述下级操作系统模块中动态数据的读写操作，并将对所述动态数据的读/写操作重定向或实时复制到磁盘保护分区。所述步骤1之前，将所述上级操作系统模块的安全状态下的备份数据存储为所述上级操作系统标准信息。因此，本专利技术具有以下优点1、计算机每次启动时，都创建新的当前操作系统环境，保证了当前操作系统环境的安全性；2、采用数据隔离的方法，使每次创建的操作系统环境都可映射出以前操作的数据，保证了数据的完整性；3、对操作系统内核进行校验，防止对计算机内核的恶意破坏；4、操作系统模块彼此隔离，保证了某一操作系统不安全因素不会波及整个系统。下面结合附图和实施例，对本专利技术的技术方案做进一步的详细描述。附图说明图1为本专利技术实现操作系统安全控制的系统框图；图2基于传统计算机架构下实现操作系统隔离的系统示意图；图3为本专利技术实现操作系统安全控制的系统实施例2的框图；图4为本专利技术实现操作系统安全控制的方法的流程图。具体实施例方式参见图1，是本专利技术实现操作系统安全控制的系统的实施例1，由上级操作系统模块1，系统隔离模块2，数据隔离模块3，安全控制模块4以及下级操作系统模块5和磁盘保护分区6构成。上级操作系统模块1为操作系统内核或操作系统内核和预先设置的应用程序构成的母操作系统模块，所述上级操作系统模块1作为母操作系统模块，其上不再具有上级操作系统模块。上级操作系统模块1可以仅包括一个用于完成最基本功能的操作系统内核，所谓操作系统内核指用于提供操作系统必需的基本功能的软件程序；这个完成最基本功能的操作系统内核可以为Linux或者Unix或者Windows的内核；本实施例中以Windows为例。上级操作系统模块1也可包括内核和内核之外的软件程序在内，即包括内核和操作系统内核之外的应用程序，用于提供操作系统必需的基本功能和其他用户选择的功能。比如，如果管理员设定所有的操作环境中都有Office软件，就可以将Office软件安装在上级操作系统模块1中。在用户或管理员确认的安全状态下，可以将上级操作系统模块1的备份数据，也就是安全状态下的操作系统程序作为标准信息存储起来。上级操作系统模块1为一个或一个以上。在传统计算机架构下，同时仅能运行一个上级操作系统模块1，比如运行Windows或者Linux，但其中之一可以作为另外一个的副操作系统，举例来说，当默认的Windows操作系统出现故障，作为副操作系统的Linux系统自动运行加载。在虚拟机架构下，同时可以运行多个上级操作系统模块1。系统隔离模块2与所述上级操作系统模块1交互，用于根据用户指令引导和/或建立下级操作系统模块5。该下级操作系统模块5可以为一个或一个以上，包括对所述上级操作系统模块1所做的任何修改信息。本实施例中以一个为例，下级操作系统模块5为在上级操作系统模块1基础上安装了Office软件、翻译软件和计算软件程序，同时对IE进行了屏蔽；下级操作系统模块2同上级操作系统模块1共同构成一个完整的办公操作系统环境，可以进行文字处理及数据计算，但是不可以上网。下级操作系统模块5可以为多个，比如，还包括一个下级操作系统模块5(图中未示)，在上级操作系统模块1基础上安装了的游戏软件和多媒体播放软件，同上级操作系统模块1共同构成一个完整的娱乐操作系统环境，可以游戏、看视频文件以及上网等。下级操作系统模块5同上级操作系统模块1交互，可以对上级操作系统模块1的独享磁盘空间中的数据进行读取访问。下级操作系统模块5具有独享磁盘空间本文档来自技高网...

【技术保护点】
一种实现操作系统安全控制的系统，其特征在于包括：上级操作系统模块；一系统隔离模块，所述系统隔离模块与所述上级操作系统模块交互，用于根据用户指令引导和／或建立下级操作系统模块；所述系统隔离模块还分别同所述上级操作系统模块和下级 操作系统模块交互，用于监控所述上级操作系统模块和下级操作系统模块对磁盘的读／写访问；一数据隔离模块，所述数据隔离模块将所述上级操作系统模块和／或下级操作系统模块的动态数据复制到磁盘保护分区；监控所述上级操作系统模块和／或下级操作系统 模块对动态数据的读／写访问，并将对所述动态数据的读／写访问重定向和／或实时复制到所述磁盘保护分区；一安全控制模块，与所述上级操作系统模块和／或下级操作系统模块交互，用于存储所述上级操作系统模块的标准信息，采集所述上级操作系统模块的启 动信息，比较所述上级操作系统模块的标准信息及所述启动信息，并根据比较结果对所述上级操作系统模块进行加载和／或修复控制；以及用于删除所述下级操作系统模块，并通知所述系统隔离模块创建或自行创建新的下级操作系统模块。

【技术特征摘要】
1.一种实现操作系统安全控制的系统，其特征在于包括上级操作系统模块；一系统隔离模块，所述系统隔离模块与所述上级操作系统模块交互，用于根据用户指令引导和/或建立下级操作系统模块；所述系统隔离模块还分别同所述上级操作系统模块和下级操作系统模块交互，用于监控所述上级操作系统模块和下级操作系统模块对磁盘的读/写访问；一数据隔离模块，所述数据隔离模块将所述上级操作系统模块和/或下级操作系统模块的动态数据复制到磁盘保护分区；监控所述上级操作系统模块和/或下级操作系统模块对动态数据的读/写访问，并将对所述动态数据的读/写访问重定向和/或实时复制到所述磁盘保护分区；一安全控制模块，与所述上级操作系统模块和/或下级操作系统模块交互，用于存储所述上级操作系统模块的标准信息，采集所述上级操作系统模块的启动信息，比较所述上级操作系统模块的标准信息及所述启动信息，并根据比较结果对所述上级操作系统模块进行加载和/或修复控制；以及用于删除所述下级操作系统模块，并通知所述系统隔离模块创建或自行创建新的下级操作系统模块。2.根据权利要求1所述的实现操作系统安全控制的系统，其特征在于所述上级操作系统模块为一个或一个以上，由操作系统内核或操作系统内核和预先设置的应用程序构成的母操作系统模块。3.根据权利要求1所述的实现操作系统安全控制的系统，其特征在于所述上级操作系统模块为一个或一个以上，由预先设置的应用程序构成。4.根据权利要求1、2或3所述的实现操作系统安全控制的系统，其特征在于所述下级操作系统模块为一个或一个以上。5.根据权利要求1所述的实现操作系统安全控制的系统，其特征在于所述安全控制模块设置在BIOS、EFI、磁盘主引导记录、副操作系统、虚拟机的副操作系统模块或虚拟机的虚拟内存管理模块中，且先于所述上级操作系统模块启动。6.根据权利要求1所述的实现操作系统安全控制的系统，其特征在于所述安全控制模块中还设有模块创建模块，用于创建下级操作系统模块。7.根据权利要求1所述的实现操作系统安全控制的系统，其特征在于所述安全控制模块中还设有一标准信息存储控制模块，用于存储所述上级操作系统模块的标准信息。8.根据权利要求7所述的实现操作系统安全控制的系统，其特征在于所述标准信息存储控制模块设置在所述磁盘保护分区、计算机芯片或网络服务器上。9.根据权利要求1所述的实现操作系统安全控制的系统，其特征在于所述上级操作系统模块的标准信息为存储到所述安全控制模块的上级操作系统模块安全状态下的备份数据。10.根据权利要求1或7所述的实现操作系统安全控制的系统，其特征在于所述上级...

【专利技术属性】
技术研发人员：张兴明，梁金千，
申请(专利权)人：北京软通科技有限责任公司，
类型：发明
国别省市：11[中国|北京]