一种涉密计算机操作系统安装方法、系统、设备及介质与流程

1.本发明属于计算机领域，具体涉及一种涉密计算机操作系统安装方法、系统、设备及可读存储介质。


背景技术：

2.随着涉密计算机的不断发展，涉密计算机的受众也越来越广，产量也越来越大，但由于涉密计算机的特殊性，在生产及运维等工作环节中存在批量安装、备份还原系统、人工检验等阶段步骤冗杂，耗费大量人力物力的问题存在。因此，如何优化对应环节，节省人力物力，提高效率已经成为亟待解决的问题。目前的实现方法为先将硬盘进行系统安装，再交由组装环节安装到整机，整机安装完成后再进行机器的初步调试(接口检查等)，随后再进行老化测试，最后完成检验包装。步骤冗杂，效率低且靠人工把握容易出错。
3.因此，亟需一种有效的应对方案以解决传统方式上的技术问题。


技术实现要素：

4.为解决上述问题，本发明提出一种涉密计算机操作系统安装方法，包括：
5.将认证为安全的客户机的当前操作系统作为目标操作系统，基于所述目标操作系统制作目标镜像；
6.将所述目标镜像以批量安装的方式安装到目标客户机上。
7.在本发明的一些实施方式中，基于所述目标操作系统制作目标镜像包括：
8.通过livecd对所述客户机上的当前操作系统进行备份并生成对应的目标操作系统的目标镜像。
9.在本发明的一些实施方式中，将所述目标镜像以批量安装的方式安装到认证为安全的客户机上，包括：
10.将多个目标客户机通过网络连接到交换机上；
11.以pxe的方式在所述多个目标客户机上加载livecd内存操作系统，并通过所述livecd内存操作系统将所述目标镜像安装到所述多个目标客户机上。
12.在本发明的一些实施方式中，方法还包括：
13.响应于所述目标镜像安装完成，将所述目标客户机的bios更新为安全版的bios固件。
14.在本发明的一些实施方式中，方法还包括：
15.通过所述livecd内存操作系统获取所述目标客户机的各个接口硬件信息；
16.并将所述各个接口硬件信息与预设的接口硬件信息对比，响应于所述对比结果为相同，则将所述接口硬件信息作为检测报告发送到预设的服务器中。
17.在本发明的一些实施方式中，方法还包括：
18.响应于所述对比结果为不同，则终止或停止所述目标镜像的安装，并将接口硬件信息异常上报到预设的服务器中。
19.在本发明的一些实施方式中，方法还包括：
20.响应于所述目标客户机安装目标镜像之前，为所述目标客户机安装支持pxe功能的bios。
21.本发明的另一方面还提出一种涉密计算机操作系统安装系统，包括：
22.镜像复制模块，所述镜像复制模块配置用于将认证为安全的客户机的当前操作系统作为目标操作系统，基于所述目标操作系统制作目标镜像。
23.镜像安装模块，所述镜像安装模块配置用于将所述目标镜像以批量安装的方式安装到目标客户机上。
24.本发明的又一方面还提出一种计算机设备，包括：
25.至少一个处理器；以及
26.存储器，所述存储器存储有可在所述处理器上运行的计算机指令，所述指令由所述处理器执行时实现上述实施方式中任意一项所述方法的步骤。
27.本发明的再一方面还提出一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述实施方式中任意一项所述方法的步骤。
28.通过本发明提出的一种涉密计算机操作系统安装方法，通过对用户确认的操作系统进行备份以生成对应的目标镜像，然后通过pxe技术对其他未安装的计算机进行批量安装可有效解决涉密计算机出厂时操作系统的安全安装问题。
附图说明
29.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
30.图1为本发明实施例提供的一种涉密计算机操作系统安装方法的实施例流程图；
31.图2为本发明实施例提供的一种涉密计算机操作系统安装系统的结构示意图；
32.图3为本发明实施例提供的一种计算机设备的结构示意图；
33.图4为本发明实施例提供的一种计算机可读存储介质的结构示意图。
具体实施方式
34.为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。
35.如图1所示，为解决上述问题，本发明提出一种涉密计算机操作系统安装方法，包括：
36.步骤s1、将认证为安全的客户机的当前操作系统作为目标操作系统，基于所述目标操作系统制作目标镜像；
37.步骤s2、将所述目标镜像以批量安装的方式安装到目标客户机上。
38.在本发明的实施例中，在步骤s1中，根据客户的对操作系统的安全需要配置操作系统中对应的软件或服务，经用户确认后将确认的操作系统制作成用于批量安装的目标操
作系统，并生成对应的目标镜像。客户机是指客户对安全要求定制的计算机。
39.在步骤s2中，采用批量安装的方式将目标进行安装到多个目标客户机上，批量安装方式可采用磁盘复制的方式或者是通过ghost软件加载目标镜像并通过网络向其他运行ghost软件系统的客户机上发送对应的目标镜像。
40.在本发明的一些实施方式中，基于所述目标操作系统制作目标镜像包括：
41.通过livecd对所述客户机上的当前操作系统进行备份并生成对应的目标操作系统的目标镜像。
42.在本实施例中，在将客户确认安全的客户机上的操作系统生成对应的目标镜像时，通过livecd方式在livecd内存操作系统中通过fsarchiver工具将客户机上的操作系统的各个分区备份并上传至服务端，还原时通过pxe功能引导客户机进入live系统，在live系统中首先使用parted命令对客户机硬盘创建对应分区，然后使用fsarchiver工具将服务端中备份的内容还原至客户机硬盘中，完成系统还原。
43.在本发明的一些实施方式中，将所述目标镜像以批量安装的方式安装到认证为安全的客户机上，包括：
44.将多个目标客户机通过网络连接到交换机上；
45.以pxe的方式在所述多个目标客户机上加载livecd内存操作系统，并通过所述livecd内存操作系统将所述目标镜像安装到所述多个目标客户机上。
46.在本实施例中，对于要批量安装目标镜像的目标客户机，将对应的目标客户机连接到支持pxe功能的交换机上。
47.进一步以pxe的方式通过交换机对多个目标交换机以网络的方式加载启动项，并将livecd内存操作系统通过交换机发送到对应的多个目标客户机上，并加载livecd内存操作系统，当livecd内存操作系统加载完成后，通过livecd内存操作系统中对应的应用程序获取目标镜像，然后通过livecd内存操作系统将目标镜像展开写入到目标客户机上的硬盘中。
48.在本发明的一些实施方式中，方法还包括：
49.响应于所述目标镜像安装完成，将所述目标客户机的bios更新为安全版的bios固件。
50.在本实施例中，当目标镜像安装完成，livecd内存操作系统中对应的bios管理程序将判断目标客户机的版本是否为安全版本，当目标客户机上的bios版本为非安全版本后，获取安全的bios版本同时获取安全bios版本的md5值，进一步对获取的安全的bios程序进行哈希计算以得到对应的当前bios固件的md5值，并将计算的得到的md5值与获取的安全bios版本的md5值进行比较，如果结果相同则说明获取的安全的bios程序文件验证通过，则将该bios程序文件更新到bios中，更新完成后重启目标客户机即可从目标客户机上安装的系统中启动。
51.在本发明的一些实施方式中，方法还包括：
52.通过所述livecd内存操作系统获取所述目标客户机的各个接口硬件信息；
53.并将所述各个接口硬件信息与预设的接口硬件信息对比，响应于所述对比结果为相同，则将所述接口硬件信息作为检测报告发送到预设的服务器中。
54.在本实施例中，在livecd内存操作系统安装完成后，通过在livecd内存操作系统
中预先设置的硬件接口检测程序获取当前客户机上的各个接口硬件的硬件信息，并将获取的硬件接口信息与预先保存或者通过网络在线获取的接口硬件的信息进行对比，如果对比结果均为一致且通过，则将当前客户机的硬件信息和检测结果上报到指定的服务器中备案。
55.在本发明的一些实施方式中，方法还包括：
56.响应于所述对比结果为不同，则终止或停止所述目标镜像的安装，并将接口硬件信息异常上报到预设的服务器中。
57.在本实施例中，如果检测到的接口硬件信息与预先保存或者通过网络在线获取的接口硬件的信息不同，则说明该目标机硬件信息异常，可能存在对应的设备被更改或者添加了未知的接口设备，例如无法识别的无限网卡模块等。可能会对用户的信息安全造成泄露的风险，因此，当检测到接口硬件的信息不对时，如果此时存在目标镜像的安装则终止该行为，并将异常的接口信息上报到指定的服务器中。
58.在本发明的一些实施方式中，方法还包括：
59.响应于所述目标客户机安装目标镜像之前，为所述目标客户机安装支持pxe功能的bios。
60.在本实施例中，如果目标客户机的bios不支持pxe功能，则需要通过批量刷新bios的方式将目标客户机上的主板bios固件进行更新。
61.如图2所示，本发明的另一方面还提出一种涉密计算机操作系统安装系统，包括：
62.镜像复制模块1，所述镜像复制模块1配置用于将认证为安全的客户机的当前操作系统作为目标操作系统，基于所述目标操作系统制作目标镜像。
63.镜像安装模块2，所述镜像安装模块2配置用于将所述目标镜像以批量安装的方式安装到目标客户机上。
64.通过本发明提出的一种涉密计算机操作系统安装方法，通过对用户确认的操作系统进行备份以生成对应的目标镜像，然后通过pxe技术对其他未安装的计算机进行批量安装可有效解决涉密计算机出厂时操作系统的安全安装问题。
65.如图3所示，本发明的又一方面还提出一种计算机设备，包括：
66.至少一个处理器21；以及
67.存储器22，所述存储器22存储有可在所述处理器21上运行的计算机指令23，所述指令23由所述处理器21执行时实现上述实施方式中任意一项所述方法的步骤。
68.如图4所示，本发明的再一方面还提出一种计算机可读存储介质401，所述计算机可读存储介质401存储有计算机程序402，所述计算机程序402被处理器执行时实现上述实施方式中任意一项所述方法的步骤。
69.最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(rom)或随机存储记忆体(ram)等。所述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
70.此外，典型地，本发明实施例公开所述的装置、设备等可为各种电子终端设备，例如手机、个人数字助理(pda)、平板电脑(pad)、智能电视等，也可以是大型终端设备，如服务
器等，因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开所述的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。
71.此外，根据本发明实施例公开的方法还可以被实现为由cpu执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被cpu执行时，执行本发明实施例公开的方法中限定的上述功能。
72.此外，上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
73.此外，应该明白的是，本文所述的计算机可读存储介质(例如，存储器)可以是易失性存储器或非易失性存储器，或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的，非易失性存储器可以包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦写可编程rom(eeprom)或快闪存储器。易失性存储器可以包括随机存取存储器(ram)，该ram可以充当外部高速缓存存储器。作为例子而非限制性的，ram可以以多种形式获得，比如同步ram(dram)、动态ram(dram)、同步dram(sdram)、双数据速率sdram(ddr sdram)、增强sdram(esdram)、同步链路dram(sldram)、以及直接rambus ram(drram)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
74.本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
75.结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行：通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器，但是可替换地，处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合，例如，dsp和微处理器的组合、多个微处理器、一个或多个微处理器结合dsp和/或任何其它这种配置。
76.结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在ram存储器、快闪存储器、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动盘、cd-rom、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器，使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中，所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在asic中。asic可以驻留在用户终端中。在一个替换方案中，处理器和存储介质可以作为分立组件驻留在用户终端中。
77.在一个或多个示例性设计中，所述功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将所述功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，
该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括ram、rom、eeprom、cd-rom或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(dsl)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、dsl或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。