CN106534101A - 一种文件防护方法、安全系统客户端及文件防护系统 - Google Patents

一种文件防护方法、安全系统客户端及文件防护系统 Download PDF

Info

Publication number
CN106534101A
CN106534101A CN201610971429.4A CN201610971429A CN106534101A CN 106534101 A CN106534101 A CN 106534101A CN 201610971429 A CN201610971429 A CN 201610971429A CN 106534101 A CN106534101 A CN 106534101A
Authority
CN
China
Prior art keywords
file
authority
access request
security system
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610971429.4A
Other languages
English (en)
Inventor
刘雁鸣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Inspur Smart Computing Technology Co Ltd
Original Assignee
Guangdong Inspur Big Data Research Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Inspur Big Data Research Co Ltd filed Critical Guangdong Inspur Big Data Research Co Ltd
Priority to CN201610971429.4A priority Critical patent/CN106534101A/zh
Publication of CN106534101A publication Critical patent/CN106534101A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种文件防护方法、安全系统客户端及文件防护系统。该文件防护方法包括:确定至少一个文件类别,为每一个所述文件类别分配至少一个权限;接收外部发送的目标文件的访问请求;确定所述目标文件对应的文件类别,根据所述目标文件对应的文件类别,为所述目标文件确定至少一个目标权限;判断所述访问请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。本方案能够提高文件防护的安全性。

Description

一种文件防护方法、安全系统客户端及文件防护系统
技术领域
本发明涉及计算机技术领域,特别涉及一种文件防护方法、安全系统客户端及文件防护系统。
背景技术
随着网络技术的发展,各个网络应用层出不穷,网络应用过程中存在各种安全风险,如何保证网络服务器的安全引起了大家越来越多的关注。
目前,通常采用为每一个用户分配相应的用户权限,根据接收到的当前用户信息,确定当前用户对应的用户权限。根据确定的用户权限,当前用户可以对相应的文件进行添加、修改和删除等操作。但是一旦攻击者获取相应的用户权限,就可以根据获取的用户权限上传木马、修改、破坏文件中的关键文件,因此,文件防护安全性较低。
发明内容
本发明实施例提供了一种文件防护方法、安全系统客户端及文件防护系统,以便于提高文件防护的安全性。
第一方面,本发明实施例提供了一种文件防护方法,该方法可以包括:
确定至少一个文件类别,为每一个所述文件类别分配至少一个权限;
接收外部发送的目标文件的访问请求;
确定所述目标文件对应的文件类别,根据所述目标文件对应的文件类别,为所述目标文件确定至少一个目标权限;
判断所述访问请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。
优选地,
所述文件类别,包括:可执行文件、库文件、进程文件、启动程序文件、启动过程文件、运行状态文件、裸磁盘文件、系统认证过程文件、存储设备文件、文件系统文件和系统账号文件中的任意一种或多种;
所述权限,包括:只读权限和执行权限中一种或两种;
所述为每一个所述文件类别分配至少一个权限,包括:
分别为所述可执行文件、所述库文件、所述进程文件、所述启动过程文件、所述运行状态文件、所述裸磁盘文件和所述系统认证过程文件,分配只读权限和执行权限;
分别为所述启动程序文件、所述存储设备文件、所述文件系统文件和所述系统账号文件,分配只读权限。
优选地,
所述访问请求中包括:只读请求、执行请求、编辑请求、增加请求和删除请求中的任意一种或多种。
优选地,
所述对所述访问请求对应的目标文件作防护处理,包括:
发送警告信息给外部的安全系统控制端,其中所述警告信息包括,目标文件名称和目标文件的文件类别;
当接收到所述外部的安全系统控制端发送的所述目标文件的文件类别对应的拦截指令时,拦截所述目标文件名称对应的目标文件。
第二方面,本发明实施例提供了一种安全系统客户端,该安全系统客户端,包括:
权限确定单元,用于确定至少一个文件类别,为每一个文件类别分配至少一个权限;
接收单元,用于接收外部发送的目标文件的访问请求;
防护处理单元,用于根据所述权限确定单元为每一个文件类别分配的至少一个权限,确定所述接收单元发送的目标文件对应的文件类别,根据所述目标文件对应的文件类别,为所述目标文件确定至少一个目标权限;判断所述访问请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。
优选地,
所述文件类别包括:可执行文件、库文件、进程文件、启动程序文件、启动过程文件、运行状态文件、裸磁盘文件、系统认证过程文件、存储设备文件、文件系统文件和系统账号文件中的任意一种或多种;
所述权限包括:只读权限和执行权限中一种或两种;
所述权限确定单元,用于分别为所述可执行文件、所述库文件、所述进程文件、所述启动过程文件、所述运行状态文件、所述裸磁盘文件和所述系统认证过程文件,分配只读权限和执行权限;分别为所述启动程序文件、所述存储设备文件、所述文件系统文件和所述系统账号文件,分配只读权限。
优选地,
所述防护处理单元,进一步包括:发送子单元和拦截子单元;
所述发送子单元,用于发送警告信息给外部的安全系统控制端,其中所述警告信息包括,目标文件名称和目标文件的文件类别;
所述拦截子单元,用于当接收到所述外部的安全系统控制端发送的所述目标文件的文件类别对应的拦截指令时,拦截所述目标文件名称对应的目标文件。
第三方面,本发明实施例提供了一种文件防护系统,该文件防护系统包括:
第二方面任一所述的安全系统客户端和安全系统控制端,其中,
所述安全系统控制端,用于发送访问请求给所述安全系统客户端。
优选地,
所述安全系统控制端,进一步用于接收所述安全系统客户端发送的警告信息,并根据所述警告信息生成拦截指令,并将所述拦截指令发送至所述服务端。
优选地,
所述安全系统客户端安装于服务端;
优选地,
所述安全系统控制端安装于用户客户端。
可见,本发明实施例提供了一种文件防护方法、安全系统客户端及文件防护系统,该文件防护方法通过确定至少一个文件类别,并为每一个所述文件类别分配至少一个权限,接收外部发送的目标文件的访问请求;确定所述目标文件对应的文件类别,根据所述目标文件对应的文件类别,为所述目标文件确定至少一个目标权限;判断所述访问请求是否满足任意所述目标权限,如果否,则对所述访问文件指令对应的文件进行防护处理。本方案中是为确定的每一个文件类别分配对应的权限,当目标文件的访问请求中的对应的请求不满足目标文件对应分配的权限时,对访问请求对应的目标文件进行防护处理,只有当目标文件的访问请求中的对应的请求满足目标文件对应的分配的权限时,才允许访问目标文件,因此本方案可以提高文件防护的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的一种文件防护方法的流程图;
图2是本发明一个实施例提供的一种安全系统客户端的结构示意图;
图3是本发明另一个实施例提供的一种安全系统客户端的结构示意图;
图4是本发明一个实施例提供的一种文件防护系统的结构示意图;
图5是本发明另一个实施例提供的一种文件防护方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种文件防护方法,该方法可以包括以下步骤:
步骤101:确定至少一个文件类别,为每一个所述文件类别分配至少一个权限;
步骤102:接收外部发送的目标文件的访问请求;
步骤103:确定所述目标文件对应的文件类别,根据所述目标文件对应的文件类别,为所述目标文件确定至少一个目标权限;
步骤104:判断所述访问请求是否满足任意所述目标权限,如果是,则执行步骤105;否则执行步骤106;
步骤105:对所述访问请求对应的目标文件进行访问,并结束当前流程;
步骤106:对所述访问请求对应的目标文件进行防护处理。
根据上述实施例,通过为确定的每一个文件类别分配对应的权限,当目标文件的访问请求中的对应的请求不满足目标文件对应分配的权限时,对访问请求对应的目标文件进行防护处理,只有当目标文件的访问请求中的对应的请求满足目标文件对应的分配的权限时,才允许访问目标文件,因此本方案可以提高文件防护的安全性。
在本发明一个实施例中,确定至少一个文件类别中的文件类别可以包括:可执行文件、库文件、进程文件、启动程序文件、启动过程文件、运行状态文件、裸磁盘文件、系统认证过程文件、存储设备文件、文件系统文件和系统账号文件中的任意一种或多种。为每一个所述文件类别分配至少一个权限,其中,所述权限可以包括:只读权限和执行权限中一种或两种。
所述为每一个所述文件类别分配至少一个权限,包括:
分别为所述可执行文件、所述库文件、所述进程文件、所述启动过程文件、所述运行状态文件、所述裸磁盘文件和所述系统认证过程文件,分配只读权限和执行权限;
分别为所述启动程序文件、所述存储设备文件、所述文件系统文件和所述系统账号文件,分配只读权限。
确定的文件类别可以根据具体的业务要求来确定,其中每一种文件类别对应的权限也可以根据具体的业务要求来分配。例如对于可执行文件/bin、/sbin、/usr/bin、/usr/sbin分配只读权限和执行权限;对于库文件/lib、/usr/lib分配只读权限和执行权限;对于启动过程文件和运行状态文件/etc/init.d、/etc/rc*、/etc/rc.d/rc*文件分配只读权限和执行权限;对于裸磁盘文件/dev/hd*、/dev/sd*文件分配只读权限和执行权限;对于系统认证过程/etc/pam*文件分配只读权限和执行权限;对于/etc/ld.so.conf.d文件分配只读权限;启动程序文件/etc/inittab、/sbin/telinit、/sbin/init文件分配只读权限;对于存储设备文件和文件系统文件/etc/fstab文件分配只读权限,对于/dev/mapper文件分配执行权限;对于系统账号文件/etc/passwd、/etc/shadow文件分配只读权限。
根据上述实施例,分别为所述可执行文件、所述库文件、所述进程文件、所述启动过程文件、所述运行状态文件、所述裸磁盘文件和所述系统认证过程文件,分配只读权限和执行权限;分别为所述启动程序文件、所述存储设备文件、所述文件系统文件和所述系统账号文件,分配只读权限。可以根据具体的业务要求来为每一种文件类别对应分配权限,因此可以灵活分配权限。
在本发明一个实施例中,所述访问请求中可以包括只读请求、执行请求、编辑请求、增加请求和删除请求中的任意一种或多种;判断所述访问请求是否满足任意所述目标权限,包括:判断所述只读请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。
当所述访问请求中包括只读请求时,判断所述只读请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括执行请求时,判断所述执行请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括编辑请求时,判断所述编辑请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括增加请求时,判断所述增加请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括删除请求时,判断所述删除请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。
所述访问请求中包括的具体内容可以根据具体的业务要求来确定,比如,目标文件对应的权限为只读权限和执行权限,访问请求中包括执行请求,那么就需要判断访问请求中的执行请求是否满足目标文件对应的权限只读权限和执行权限,可以看出是满足的,那么访问请求可以访问目标文件,又比如,目标文件对应的权限为只读权限和执行权限,访问请求中包括删除请求,那么就需要判断访问请求中的删除请求是否满足目标文件对应的权限只读权限和执行权限,可以看出是不满足的,那么对访问请求对应的目标文件进行防护处理。
根据上述实施例,所述访问请求中可以包括只读请求、执行请求、编辑请求、增加请求和删除请求中的任意一种或多种,判断所述访问请求是否满足任意所述目标权限,包括判断所述只读请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。可以根据访问请求中包括的具体内容,根据目标文件对应的具体权限对文件进行相应的防护处理。
在本发明一个实施例中,当对所述访问文件指令对应的文件作防护处理时,发送警告信息给外部的安全系统控制端,其中所述警告信息包括,目标文件名称和目标文件对应的类别;当接收到所述外部的安全系统控制端发送的所述目标文件的文件类别对应的拦截指令时,拦截所述目标文件名称对应的目标文件。
所述警告信息中可以包括目标文件的名称、类别、对应访问请求发送的时间和遭遇恶意攻击的信息。当接收到外部的安全系统控制端发送的拦截指令时,拦截所述目标文件名称对应的目标文件。拦截指令可以包括拒绝访问目标文件的指令。
根据上述实施例,当需要对访问请求对应的目标文件作防护处理时,发送警告信息给外部的安全系统控制端,当接收到所述外部的安全系统控制端发送的所述目标文件的文件类别对应的拦截指令时,拦截所述目标文件名称对应的目标文件。可以及时根据访问请求对应的目标文件作防护处理,当目标文件被恶意攻击时,及时拦截目标文件,保护目标文件不被恶意攻击。
如图2所示,本发明实施例提供了一种安全系统客户端,该安全系统客户端可以包括:
权限确定单元201,用于确定至少一个文件类别,为每一个文件类别分配至少一个权限;
接收单元202,用于接收外部发送的目标文件的访问请求;
防护处理单元203,用于根据所述权限确定单元为每一个文件类别分配的至少一个权限,确定所述接收单元发送的目标文件对应的文件类别,根据所述目标文件对应的文件类别,为所述目标文件确定至少一个目标权限;判断所述访问请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。
根据上述实施例,该安全系统客户端包括权限确定单元,用于确定至少一个文件类别,为每一个文件类别分配至少一个权限;接收单元,用于接收外部发送的目标文件的访问请求;防护处理单元,用于根据所述权限确定单元为每一个文件类别分配的至少一个权限,确定所述接收单元发送的目标文件对应的文件类别,根据所述目标文件对应的文件类别,为所述目标文件确定至少一个目标权限;判断所述访问请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。本方案中通过权限确定单元确定每一个文件类别分配对应的权限,当目标文件的访问请求中的对应的请求不满足目标文件对应分配的权限时,利用防护处理单元对访问请求对应的目标文件进行防护处理,只有当目标文件的访问请求中的对应的请求满足目标文件对应的分配的权限时,才允许访问目标文件,因此本方案可以提高文件防护的安全性。
在本发明一个实施例中,所述文件类别包括:可执行文件、库文件、进程文件、启动程序文件、启动过程文件、运行状态文件、裸磁盘文件、系统认证过程文件、存储设备文件、文件系统文件和系统账号文件中的任意一种或多种;所述权限包括:只读权限和执行权限中一种或两种;所述权限确定单元,用于分别为所述可执行文件、所述库文件、所述进程文件、所述启动过程文件、所述运行状态文件、所述裸磁盘文件和所述系统认证过程文件,分配只读权限和执行权限;分别为所述启动程序文件、所述存储设备文件、所述文件系统文件和所述系统账号文件,分配只读权限。
在本发明一个实施例中,所述访问请求中包括:只读请求、执行请求、编辑请求、增加请求和删除请求中的任意一种或多种;所述防护处理单元,在执行所述判断所述访问请求是否满足任意所述目标权限时,用于:
当所述访问请求中包括只读请求时,判断所述只读请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括执行请求时,判断所述执行请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括编辑请求时,判断所述编辑请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括增加请求时,判断所述增加请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括删除请求时,判断所述删除请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。
在本发明一个实施例中,如图3所示,所述防护处理单元可以进一步包括:发送子单元301和拦截子单元302;所述发送子单元301,用于发送警告信息给外部的安全系统控制端,其中所述警告信息包括,目标文件名称和目标文件对应的类别;所述拦截子单元302,用于当接收到所述外部的安全系统控制端发送的所述目标文件的文件类别对应的拦截指令时,拦截所述目标文件名称对应的目标文件。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
如图4所示,本发明实施例提供了一种文件防护系统,该文件防护系统可以包括:安全系统客户端401和安全系统控制端402,其中,
所述安全系统控制端402,用于发送访问请求给所述安全系统客户端401。
所述安全系统客户端和安全系统控制端可以根据具体的业务要求来确定。其中所述安全系统控制端可以部署在用户客户端中,利用安全系统控制端和安全系统客户端之间的交互来完成文件的防护。
根据上述实施例,文件防护系统包括安全系统客户端和安全系统控制端,可以根据具体的业务要求将安全系统客户端和安全系统控制端分别部署,通过它们之间的相互交互来实现文件防护。
在本发明一个实施例中,所述安全系统控制端可以进一步用于接收所述安全系统客户端发送的警告信息,并根据所述警告信息生成拦截指令,并将所述拦截指令发送至所述服务端。
在本发明一个实施例中,所述安全系统客户端安装于服务端。
所述安全系统客户端可以根据具体的业务要求安装于服务端中,并根据服务端中数据,确定需要保护的文件类别,并对需要保护的文件类别进行文件防护。
在本发明一个实施例中,所述安全系统控制端安装于用户客户端。
所述安全系统控制端可以根据具体的业务要求安装于用户客户端中,并用来接收安全系统客户端发送来的警告信息,并根据警告信息生成截止指令,并发送给安全系统客户端,以使安全系统客户端对文件进行拦截。
下面以安全系统客户端和安全系统控制端之间的交互过程中,对文件类别A中的各个文件进行防护处理为例,展开说明文件防护方法,如图5所示,该文件防护方法可以包括如下步骤:
步骤501:为服务端安装安全系统客户端,为用户客户端安装安全系统控制端。
根据具体的业务要求,将安全系统客户端安装在服务端中,将安全系统控制端安装在用户客户端中。
步骤502:在服务端,通过安全系统客户端为文件类别A分配对应的权限。
所述文件类别,包括:可执行文件、库文件、进程文件、启动程序文件、启动过程文件、运行状态文件、裸磁盘文件、系统认证过程文件、存储设备文件、文件系统文件和系统账号文件中的任意一种或多种;所述权限,包括:只读权限和执行权限中一种或两种;
当文件类别A为可执行文件、库文件、进程文件、启动过程文件、运行状态文件、裸磁盘文件和系统认证过程文件中的任意一种时,该步骤可以为其分配只读权限和执行权限;
当文件类别A为启动程序文件、存储设备文件、文件系统文件和系统账号文件,分配只读权限。
本方法可以根据具体的业务要求在不同的主机环境下运行,例如:在Linux系统主机环境下,确定/bin、/sbin、/usr/bin、/usr/sbin文件对应的文件类别A为可执行文件,并对应分配只读权限和执行权限。又如确定/lib、/usr/lib文件对应的文件类别A为库文件,并对应分配只读权限和执行权限。但是当主机上的某个文件有系统账户管理功能,则将账户管理相关的文件不进行权限分配。
步骤503:在用户客户端,通过安全系统控制端发送目标文件的访问请求。
所述访问请求中包括:只读请求、执行请求、编辑请求、增加请求和删除请求中的任意一种或多种。所述访问请求中包括的内容可以根据具体的业务要求来确定,在本实施例中,在用户客户端,通过安全系统控制端发送文件类别A中的目标文件的访问请求包括编辑请求。
步骤504:通过安全系统客户端接收目标文件的访问请求。
在本实施例中,通过在服务端安装的安全系统客户端接收安全系统控制端发送文件类别A中的目标文件包括编辑请求的访问请求。
步骤505:通过安全系统客户端确定目标文件属于文件类别A,根据文件类别A,确定所述目标文件对应的目标权限。
在本实施例中,确定的目标文件/lib对应的文件类别A为库文件,并根据文件类别为库文件为目标文件/lib确定的目标权限为只读权限和执行权限。
步骤506:通过安全系统客户端判断所述访问请求是否满足目标权限,如果是,则执行步骤511;否则,则执行步骤507。
当所述访问请求中包括:只读请求、执行请求、编辑请求、增加请求和删除请求中的任意一种或多种时,所述判断所述访问请求是否满足任意所述目标权限,包括:
当所述访问请求中包括只读请求时,判断所述只读请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括执行请求时,判断所述执行请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括编辑请求时,判断所述编辑请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括增加请求时,判断所述增加请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理;
当所述访问请求中包括删除请求时,判断所述删除请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。
例如,当访问请求中包括编辑请求时,只需判断编辑请求是否满足目标权限只读权限和执行权限,可以看出访问请求是不满足目标权限的,执行步骤507。又如,当访问请求中包括只读请求时,只需判断只读请求是否满足目标权限只读权限和执行权限,可以看出访问请求是满足目标权限的,执行步骤511。
步骤507:通过安全系统客户端发送警告信息给外部的安全系统控制端。
其中所述警告信息包括,目标文件名称和目标文件对应的类别。所述警告信息中可以包括目标文件的名称、类别、对应访问请求发送的时间和遭遇恶意攻击的信息。比如,警告信息中包括目标文件名称a和目标文件对应的类别。
步骤508:通过安全系统控制端接收警告信息,当安全系统控制端接收到对警告信息的处理为禁止访问时,执行步骤509;当安全系统控制端接收到对警告信息的处理为允许访问时,执行步骤511。
警告信息的方式根据具体的业务要求确定,可以采用通知窗口的方式呈现。其中,通知窗口中存在两个执行命令,一种是禁止访问命令,另一种是允许访问命令。当触发禁止访问命令时,安全系统控制端将接收到对警告信息处理为禁止访问对应的信息,执行步骤509;当触发允许访问命令时,安全系统控制端将接收到对警告信息处理为允许访问对应的信息,执行步骤511。
步骤509:通过安全系统控制端生成拦截指令,并发送拦截指令给安全系统客户端。
生成的拦截指令可以包括拒绝访问文件类别A中的目标文件的指令。并将该拦截指令发送至安装在服务端中的安全系统客户端。
步骤510:安全系统客户端根据拦截指令,拦截所述访问请求对应的目标文件,并结束当前流程。
当安全系统客户端接收安全系统控制端发送的拦截文件类别A中的目标文件对应的拦截指令时,拦截目标文件名称对应的目标文件。
步骤511:安全系统客户端对所述访问请求对应的目标文件进行访问。
可以看出本方法基于白名单,与其他黑名单形式的防护手段形成了互补,且实现于内核层,作为主机防护体系中的最后一道防线,保证了主机的安全、稳定运行。
综上,本发明各个实施例至少可以实现如下有益效果:
1、在本发明实施例中,该文件防护方法通过确定至少一个文件类别,并为每一个所述文件类别分配至少一个权限,接收外部发送的目标文件的访问请求;确定所述目标文件对应的文件类别,根据所述目标文件对应的文件类别,为所述目标文件确定至少一个目标权限;判断所述访问请求是否满足任意所述目标权限,如果否,则对所述访问文件指令对应的文件进行防护处理。本方案中是为确定的每一个文件类别分配对应的权限,当目标文件的访问请求中的对应的请求不满足目标文件对应分配的权限时,对访问请求对应的目标文件进行防护处理,只有当目标文件的访问请求中的对应的请求满足目标文件对应的分配的权限时,才允许访问目标文件,因此本方案可以提高文件防护的安全性。
2、在本发明实施例中,分别为所述可执行文件、所述库文件、所述进程文件、所述启动过程文件、所述运行状态文件、所述裸磁盘文件和所述系统认证过程文件,分配只读权限和执行权限;分别为所述启动程序文件、所述存储设备文件、所述文件系统文件和所述系统账号文件,分配只读权限。可以根据具体的业务要求来为每一种文件类别对应分配权限,因此可以灵活分配权限。
3、在本发明实施例中,所述访问请求中可以包括只读请求、执行请求、编辑请求、增加请求和删除请求中的任意一种或多种;判断所述访问请求是否满足任意所述目标权限,包括:判断所述只读请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。可以根据访问请求中包括的具体内容,根据目标文件对应的具体权限对文件进行相应的防护处理。
4、在本发明实施例中,当需要对访问请求对应的目标文件作防护处理时,发送警告信息给外部的安全系统控制端,当接收到所述外部的安全系统控制端发送的拦截指令时,拦截所述访问请求对应的目标文件。可以及时根据访问请求对应的目标文件作防护处理,当目标文件被恶意攻击时,及时拦截目标文件,保护目标文件不被恶意攻击。
5、在本发明实施例中,该安全系统客户端包括权限确定单元,用于确定至少一个文件类别,为每一个文件类别分配至少一个权限;接收单元,用于接收外部发送的目标文件的访问请求;防护处理单元,用于根据所述权限确定单元为每一个文件类别分配的至少一个权限,确定所述接收单元发送的目标文件对应的文件类别,根据所述目标文件对应的文件类别,为所述目标文件确定至少一个目标权限;判断所述访问请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。本方案中通过权限确定单元确定每一个文件类别分配对应的权限,当目标文件的访问请求中的对应的请求不满足目标文件对应分配的权限时,利用防护处理单元对访问请求对应的目标文件进行防护处理,只有当目标文件的访问请求中的对应的请求满足目标文件对应的分配的权限时,才允许访问目标文件,因此本方案可以提高文件防护的安全性。
6、在本发明实施例中,文件防护系统包括安全系统客户端和安全系统控制端,可以根据具体的业务要求将安全系统客户端和安全系统控制端分别部署,通过它们之间的相互交互来实现文件防护。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种文件防护方法,其特征在于,确定至少一个文件类别,为每一个所述文件类别分配至少一个权限;还包括:
接收外部发送的目标文件的访问请求;
确定所述目标文件对应的文件类别,根据所述目标文件对应的文件类别,为所述目标文件确定至少一个目标权限;
判断所述访问请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。
2.根据权利要求1所述的文件防护方法,其特征在于,
所述文件类别,包括:可执行文件、库文件、进程文件、启动程序文件、启动过程文件、运行状态文件、裸磁盘文件、系统认证过程文件、存储设备文件、文件系统文件和系统账号文件中的任意一种或多种;
所述权限,包括:只读权限和执行权限中一种或两种;
所述为每一个所述文件类别分配至少一个权限,包括:
分别为所述可执行文件、所述库文件、所述进程文件、所述启动过程文件、所述运行状态文件、所述裸磁盘文件和所述系统认证过程文件,分配只读权限和执行权限;
分别为所述启动程序文件、所述存储设备文件、所述文件系统文件和所述系统账号文件,分配只读权限。
3.根据权利要求1所述的文件防护方法,其特征在于,
所述访问请求中包括:只读请求、执行请求、编辑请求、增加请求和删除请求中的任意一种或多种。
4.根据权利要求1至3任一所述的文件防护方法,其特征在于,
所述对所述访问请求对应的目标文件作防护处理,包括:
发送警告信息给外部的安全系统控制端,其中所述警告信息包括,目标文件名称和目标文件的文件类别;
当接收到所述外部的安全系统控制端发送的所述目标文件的文件类别对应的拦截指令时,拦截所述目标文件名称对应的目标文件。
5.一种安全系统客户端,其特征在于,包括:
权限确定单元,用于确定至少一个文件类别,为每一个文件类别分配至少一个权限;
接收单元,用于接收外部发送的目标文件的访问请求;
防护处理单元,用于根据所述权限确定单元为每一个文件类别分配的至少一个权限,确定所述接收单元发送的目标文件对应的文件类别,根据所述目标文件对应的文件类别,为所述目标文件确定至少一个目标权限;判断所述访问请求是否满足任意所述目标权限,如果否,则对所述访问请求对应的目标文件进行防护处理。
6.根据权利要求5所述的安全系统客户端,其特征在于,
所述文件类别包括:可执行文件、库文件、进程文件、启动程序文件、启动过程文件、运行状态文件、裸磁盘文件、系统认证过程文件、存储设备文件、文件系统文件和系统账号文件中的任意一种或多种;
所述权限包括:只读权限和执行权限中一种或两种;
所述权限确定单元,用于分别为所述可执行文件、所述库文件、所述进程文件、所述启动过程文件、所述运行状态文件、所述裸磁盘文件和所述系统认证过程文件,分配只读权限和执行权限;分别为所述启动程序文件、所述存储设备文件、所述文件系统文件和所述系统账号文件,分配只读权限。
7.根据权利要求5或6所述的安全系统客户端,其特征在于,
所述防护处理单元,进一步包括:发送子单元和拦截子单元;
所述发送子单元,用于发送警告信息给外部的安全系统控制端,其中所述警告信息包括,目标文件名称和目标文件的文件类别;
所述拦截子单元,用于当接收到所述外部的安全系统控制端发送的所述目标文件的文件类别对应的拦截指令时,拦截所述目标文件名称对应的目标文件。
8.一种文件防护系统,其特征在于,包括:权利要求5至7任一所述的安全系统客户端和安全系统控制端,其中,
所述安全系统控制端,用于发送访问请求给所述安全系统客户端。
9.根据权利要求8所述的文件防护系统,其特征在于,
所述安全系统控制端,进一步用于接收所述安全系统客户端发送的警告信息,并根据所述警告信息生成拦截指令,并将所述拦截指令发送至所述服务端。
10.根据权利要求8或9所述的文件防护系统,其特征在于,
所述安全系统客户端安装于服务端;
和/或,
所述安全系统控制端安装于用户客户端。
CN201610971429.4A 2016-11-01 2016-11-01 一种文件防护方法、安全系统客户端及文件防护系统 Pending CN106534101A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610971429.4A CN106534101A (zh) 2016-11-01 2016-11-01 一种文件防护方法、安全系统客户端及文件防护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610971429.4A CN106534101A (zh) 2016-11-01 2016-11-01 一种文件防护方法、安全系统客户端及文件防护系统

Publications (1)

Publication Number Publication Date
CN106534101A true CN106534101A (zh) 2017-03-22

Family

ID=58326735

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610971429.4A Pending CN106534101A (zh) 2016-11-01 2016-11-01 一种文件防护方法、安全系统客户端及文件防护系统

Country Status (1)

Country Link
CN (1) CN106534101A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107291401A (zh) * 2017-06-30 2017-10-24 北京金山安全软件有限公司 一种文件扫描方法、清理方法、相关装置及电子设备
CN111368285A (zh) * 2020-02-28 2020-07-03 湖南中观天下科技有限公司 基于数字特征的安全威胁分析方法和装置
CN115906184A (zh) * 2023-01-09 2023-04-04 闪捷信息科技有限公司 一种控制进程访问文件的方法、装置、介质及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103268455A (zh) * 2013-05-09 2013-08-28 华为技术有限公司 数据的访问方法及装置
CN103581187A (zh) * 2013-11-05 2014-02-12 曙光云计算技术有限公司 访问权限的控制方法及控制系统
CN103632107A (zh) * 2012-08-23 2014-03-12 苏州慧盾信息安全科技有限公司 一种移动终端信息安全防护系统和方法
CN103716354A (zh) * 2012-10-09 2014-04-09 苏州慧盾信息安全科技有限公司 一种信息系统的安全防护系统和方法
CN104735091A (zh) * 2015-04-17 2015-06-24 三星电子(中国)研发中心 一种基于Linux系统的用户访问控制方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103632107A (zh) * 2012-08-23 2014-03-12 苏州慧盾信息安全科技有限公司 一种移动终端信息安全防护系统和方法
CN103716354A (zh) * 2012-10-09 2014-04-09 苏州慧盾信息安全科技有限公司 一种信息系统的安全防护系统和方法
CN103268455A (zh) * 2013-05-09 2013-08-28 华为技术有限公司 数据的访问方法及装置
CN103581187A (zh) * 2013-11-05 2014-02-12 曙光云计算技术有限公司 访问权限的控制方法及控制系统
CN104735091A (zh) * 2015-04-17 2015-06-24 三星电子(中国)研发中心 一种基于Linux系统的用户访问控制方法和装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107291401A (zh) * 2017-06-30 2017-10-24 北京金山安全软件有限公司 一种文件扫描方法、清理方法、相关装置及电子设备
CN111368285A (zh) * 2020-02-28 2020-07-03 湖南中观天下科技有限公司 基于数字特征的安全威胁分析方法和装置
CN115906184A (zh) * 2023-01-09 2023-04-04 闪捷信息科技有限公司 一种控制进程访问文件的方法、装置、介质及电子设备

Similar Documents

Publication Publication Date Title
US8286255B2 (en) Computer file control through file tagging
CN102667712B (zh) 用于同时定义和实行访问控制和完整性策略的系统、方法和装置
US20070266433A1 (en) System and Method for Securing Information in a Virtual Computing Environment
Horák et al. GDPR compliance in cybersecurity software: A case study of DPIA in information sharing platform
CN103607385A (zh) 基于浏览器进行安全检测的方法和装置
CN101978669A (zh) 用于分析电子信息散布事件的系统及方法
US20200220885A1 (en) Selecting security incidents for advanced automatic analysis
EP3987728B1 (en) Dynamically controlling access to linked content in electronic communications
CN106534101A (zh) 一种文件防护方法、安全系统客户端及文件防护系统
CN108334404B (zh) 应用程序的运行方法和装置
Gheisari et al. Iot-sdnpp: a method for privacy-preserving in smart city with software defined networking
Schoenen et al. Using risk patterns to identify violations of data protection policies in cloud systems
CN104978543A (zh) 一种移动终端信息安全防护系统和方法
CN114978697A (zh) 一种网络信息系统内生安全防御方法、装置、设备及介质
CN106203093A (zh) 进程保护方法、装置以及终端
CN104169939A (zh) 一种实现虚拟化安全的方法和系统
CN106603541A (zh) 一种基于差异化流量处理机制的蜜网系统
CN106254442A (zh) 一种基于虚拟加密磁盘的云盘数据传输方法及装置
Lustosa et al. Safety management applied to smart cities design
US20230208842A1 (en) Identification of permutations of permission groups having lowest scores
CN111740973A (zh) 一种区块链服务与应用的智能防御系统及方法
Loui et al. Digital Flight Plans for Server Access Control: Restricting anomalous activity with path-based declarations of intentions
EP3993363A2 (en) Secure url shortener for character-limited messages
CN115022008A (zh) 一种访问风险评估方法、装置、设备及介质
Papagiannis et al. BrowserFlow: Imprecise data flow tracking to prevent accidental data disclosure

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170322