CN112769806B - 终端设备上的操作行为管控方法、装置及电子设备 - Google Patents
终端设备上的操作行为管控方法、装置及电子设备 Download PDFInfo
- Publication number
- CN112769806B CN112769806B CN202011637720.0A CN202011637720A CN112769806B CN 112769806 B CN112769806 B CN 112769806B CN 202011637720 A CN202011637720 A CN 202011637720A CN 112769806 B CN112769806 B CN 112769806B
- Authority
- CN
- China
- Prior art keywords
- user
- target
- policy
- terminal equipment
- target user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种终端设备上的操作行为管控方法、装置及电子设备,该方法包括:获取目标用户的操作数据,操作数据用于指示目标用户在终端设备上的当前操作行为;根据操作数据在终端设备的目标存储器中查找目标用户策略;目标存储器中预先存储有用于管控目标用户在终端设备上的当前操作行为的目标用户策略;根据查找到的目标用户策略,对目标用户在终端设备上的当前操作行为进行管控。本发明实施例中存储的目标用户策略为终端设备根据策略元数据计算得到的,而非由服务器计算之后下发的,所以无需服务器计算用户策略,减轻了服务器的压力;同时将用户策略的计算分散到每个终端设备上,提升了用户策略的计算能力。
Description
技术领域
本发明涉及数据通信领域,尤其涉及一种终端设备上的操作行为管控方法、装置及电子设备。
背景技术
端点检测与响应(Endpoint Detection&Response,简称EDR)是一种主动的安全方法,能够在终端设备上获取用户的行为数据,通过后台系统的分析处理发现高级威胁,并且通过下发策略的方式对用户行为管控。简单来讲就是对用户在终端设备上的操作行为进行管控,以保证安全,避免对终端设备上的硬件、软件或者对整个系统造成威胁。其中,下发至终端设备的策略即为用于管控用户在终端上的操作行为的用户策略。
为方便用户策略的统一协调管理,并基于服务器强大的计算,通常在服务器上计算得到所有用户各自对应的用户策略,然后将用户策略下发至每个用户使用的终端。
然而,随着用户以及策略的不断增加,服务器的压力也越来越大,服务器将耗费较多的资源计算用户策略,并且整个过程耗时较长;同时将计算好的用户策略下发至终端后,存在用户策略泄露的风险。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的终端设备上的操作行为管控方法、装置及电子设备。
第一方面,本发明实施例提供了一种终端设备上的操作行为管控方法,所述方法包括:
获取目标用户的操作数据,其中,所述操作数据用于指示目标用户在终端设备上的当前操作行为;
根据所述操作数据在所述终端设备的目标存储器中查找目标用户策略;其中,所述目标存储器中预先存储有所述终端设备根据策略元数据计算得到的用于管控所述目标用户在所述终端设备上的当前操作行为的目标用户策略,所述目标存储器包括随机存取存储器或者高速缓冲存储器;
根据查找到的目标用户策略,对目标用户在所述终端设备上的当前操作行为进行管控。
可选地,在所述根据所述操作数据在所述终端设备的目标存储器中查找目标用户策略的步骤之前,所述方法还包括:
获取策略元数据,其中,所述策略元数据为服务器下发的,用于管控所有用户在所述终端设备上的操作行为的用户策略的元数据;
根据所述策略元数据,计算得到用于管控所述目标用户在所述终端设备上的不同操作行为的多条用户策略,其中,所述多条用户策略包括所述目标用户策略;
将所述多条用户策略存储至所述目标存储器。
可选地,所述获取策略元数据,包括:
在所述目标存储器符合预设条件的情况下,获取策略元数据;
其中,所述目标存储器符合预设条件包括以下任意一项:
所述目标存储器中未存储所述用户策略;
所述目标存储器中存储的用户策略并非用于管控所述目标用户在所述终端设备上的操作行为的用户策略;
所述目标存储器中存储的用户策略并非最新版本的用于管控所述目标用户在所述终端设备上的操作行为的用户策略。
可选地,在所述目标存储器中存储的用户策略并非最新版本的用于管控所述目标用户在所述终端设备上的操作行为的用户策略的情况下,获取策略元数据包括:
确定与所述终端设备连接于同一局域网中的目标终端设备中是否存在最新版本的策略元数据;
在所述目标终端设备中存在所述最新版本的策略元数据时,通过所述局域网从所述目标终端设备获取所述策略元数据;
在所述目标终端设备中不存在所述最新版本的策略元数据时,从对应所述终端设备的服务器中获取所述策略元数据。
可选地,所述多条用户策略中每条用户策略具有一指示优先级的标识;
在查找到的所述目标用户策略的数量为至少两条的情况下,所述根据查找到的目标用户策略,对目标用户在所述终端设备上的当前操作行为进行管控,包括:
选择至少两条目标用户策略中优先级最高的目标用户策略对目标用户在所述终端设备上的当前操作行为进行管控。
第二方面,本发明实施例还提供一种终端设备上的操作行为管控装置,所述装置包括:
第一获取模块,用于获取目标用户的操作数据,其中,所述操作数据用于指示目标用户在终端设备上的当前操作行为;
查询模块,用于根据所述操作数据在所述终端设备的目标存储器中查找目标用户策略;其中,所述目标存储器中预先存储有所述终端设备根据策略元数据计算得到的用于管控所述目标用户在所述终端设备上的当前操作行为的目标用户策略,所述目标存储器包括随机存取存储器或者高速缓冲存储器;
管控模块,用于根据查找到的目标用户策略,对目标用户在所述终端设备上的当前操作行为进行管控。
可选地,所述装置还包括:
第二获取模块,用于获取策略元数据,其中,所述策略元数据为服务器下发的,用于管控所有用户在所述终端设备上的操作行为的用户策略的元数据;
策略计算模块,用于根据所述策略元数据,计算得到用于管控所述目标用户在所述终端设备上的不同操作行为的多条用户策略,其中,所述多条用户策略包括所述目标用户策略;
存储模块,用于将所述多条用户策略存储至所述目标存储器。
可选地,所述第二获取模块,具体用于在所述目标存储器符合预设条件的情况下,获取策略元数据;
其中,所述目标存储器符合预设条件包括以下任意一项:
所述目标存储器中未存储所述用户策略;
所述目标存储器中存储的用户策略并非用于管控所述目标用户在所述终端设备上的操作行为的用户策略;
所述目标存储器中存储的用户策略并非最新版本的用于管控所述目标用户在所述终端设备上的操作行为的用户策略。
可选地,在所述目标存储器中存储的用户策略并非最新版本的用于管控所述目标用户在所述终端设备上的操作行为的用户策略的情况下,所述第二获取模块,具体用于确定与所述终端设备连接于同一局域网中的目标终端设备中是否存在最新版本的策略元数据;在所述目标终端设备中存在所述最新版本的策略元数据时,通过所述局域网从所述目标终端设备获取所述策略元数据;在所述目标终端设备中不存在所述最新版本的策略元数据时,从对应所述终端设备的服务器中获取所述策略元数据。
可选地,所述多条用户策略中每条用户策略具有一指示优先级的标识;
在查找到的所述目标用户策略的数量为至少两条的情况下,所述管控模块,具体用于选择至少两条目标用户策略中优先级最高的目标用户策略对目标用户在所述终端设备上的当前操作行为进行管控。
第三方面,本发明实施例还提供一种电子设备,该电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的终端设备上的操作行为管控方法中的步骤。
再一方面,本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的终端设备上的操作行为管控方法中的步骤。
在本发明实施例中,在目标用户操作终端设备的过程中,根据用户的操作数据,从终端设备的随机存取存储器或者高速缓冲存储器中,查找用于管控目标用户在终端设备上的当前操作行为的目标用户策略,相较于将目标用户策略存储在只读存储器的方式,利用随机存取存储器或者高速缓冲存储器存储目标用户策略,可以减少目标用户策略被泄露的风险,提升了数据安全性。并且存储的目标用户策略为终端设备根据策略元数据计算得到的,而非由服务器计算之后下发的,所以无需服务器计算用户策略,减轻了服务器的压力;同时将用户策略的计算分散到每个终端设备上,提升了用户策略的计算能力。进一步,在查找到目标用户策略的情况下,根据查找到的目标用户策略,实现对目标用户在终端设备上的当前操作行为的管控。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的终端设备上的操作行为管控方法的步骤流程图;
图2为本发明实施例提供的终端设备上的操作行为管控方法的应用流程图;
图3为本发明实施例的策略计算框架示意图;
图4为本发明实施例提供的终端设备上的操作行为管控装置的结构框图;
图5为本发明实施例提供的电子设备的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
参见图1,本发明实施例提供了一种终端设备上的操作行为管控方法,该方法包括:
步骤101:获取目标用户的操作数据。
应当说明的是,操作数据用于指示目标用户在终端设备上的当前操作行为。终端设备可以为电脑,但不限于此。在本发明的一应用场景中,企业通常配置有大量计算机(对应终端设备)以及用于协调管理所有计算机的服务器,企业员工通过自己的账户登录计算机之后,在计算机上的操作行为受到用户策略的管控。目标用户在终端设备上进行操作时,将生成指示当前操作行为的操作数据,这里的操作包括使用终端设备提供的功能的第一类型操作以及对终端设备进行系统配置的第二类型操作。例如目标用户使用浏览器访问某一网站时,生成用户使用浏览器访问该网站的操作数据,其中包括用于确定用户使用的是哪一款浏览器的浏览器标识,用于确定用户访问的网站的网址等,但不限于此。目标用户可以理解为登录终端设备的账户,当然在没有账户登录终端设备的情况下,可以认为当前目标用户为一特殊用户。也就是说,同一账户不管登录哪台终端设备,目标用户均为该账户;不管是谁使用终端设备,在未登录任何账户的情况下,可以理解为这些人对应同一特殊账户。
步骤102:根据操作数据在终端设备的目标存储器中查找目标用户策略。
应当说明的是,目标存储器中预先存储有终端设备根据策略元数据计算得到的用于管控目标用户在终端设备上的当前操作行为的目标用户策略。这里,由于在确定指示目标用户在终端设备上的当前操作行为的操作数据前,就要将用于管控目标用户在终端设备上的当前操作行为的目标用户策略计算出来,并进行存储。因此,在计算目标用户策略时,可以根据策略元数据计算得到用于管控目标用户在终端设备上所有操作行为的多条用户策略,并将计算得到的多条用户策略全部存储在目标存储器中,这样在查找目标用户策略时,根据操作数据在该多条用户策略中进行查找即可。其中,该多条用户策略可以理解为针对目标用户的所有用户策略。应当说明的是,目标用户在终端设备上进行的操作,并不限于使用终端设备提供的功能时的操作;还可以是对终端设备进行系统配置的操作。所以用户策略指的是对用户在终端设备上的所有操作进行管控的策略。
这里,目标存储器包括随机存取存储器或者高速缓冲存储器。在终端设备上仅设置有随机存取存储器时,则目标存储器为随机存取存储器;在终端设备上仅设置有高速缓冲存储器时,则目标存储器为高速缓冲存储器;在终端设备上设置有随机存取存储器和高速缓冲存储器时,则目标存储器为随机存取存储器或者高速缓冲存储器。用户在使用终端时无法自主查看随机存取存储器和高速缓冲存储器中的数据,并且终端设备掉电之后,随机存取存储器和高速缓冲存储器中的数据将消失,从而保证了用户策略的安全性。较佳地,用户通过登录终端设备上的数据安全管理控制台(web控制台),在其页面填写控制策略,将控制策略转换为SQL(结构化查询语言,Structured Query Language)语句存储在服务器中的数据库中,并作为策略元数据。
步骤103:根据查找到的目标用户策略,对目标用户在终端设备上的当前操作行为进行管控。
应当说明的是,目标用户策略中包括管控的具体动作,在根据目标用户策略对目标用户在终端设备上的当前操作行为进行管控时,根据目标用户策略中的具体动作进行管控即可。例如目标用户策略中包括的具体动作为禁止访问某网站,用户当前操作行为包括用户试图打开该网站,则根据目标用户策略进行管控时,用户无法打开该网站。
本发明实施例中,在目标用户操作终端设备的过程中,根据用户的操作数据,从终端设备的随机存取存储器或者高速缓冲存储器中,查找用于管控目标用户在终端设备上的当前操作行为的目标用户策略,相较于将目标用户策略存储在只读存储器的方式,利用随机存取存储器或者高速缓冲存储器存储目标用户策略,可以减少目标用户策略被泄露的风险,提升了数据安全性。并且存储的目标用户策略为终端设备根据策略元数据计算得到的,而非由服务器计算之后下发的,所以无需服务器计算用户策略,减轻了服务器的压力;同时将用户策略的计算分散到每个终端设备上,提升了用户策略的计算能力。进一步,在查找到目标用户策略的情况下,根据查找到的目标用户策略,实现对目标用户在终端设备上的当前操作行为的管控。
在本发明的一可选实施例中,在根据操作数据在终端设备的目标存储器中查找目标用户策略的步骤之前,该方法还包括:
获取策略元数据。
本步骤中,策略元数据为服务器下发的,用于管控所有用户在终端设备上的操作行为的用户策略的元数据。由于策略元数据是针对所有用户的,因此可以将策略元数据无差别的发送至每一个用户。无需服务器计算用户策略,也无需服务器甄别策略元数据,确定每个用户对应的策略元数据,从而减轻了服务器的压力。
根据策略元数据,计算得到用于管控目标用户在终端设备上的不同操作行为的多条用户策略。
本步骤中,多条用户策略包括目标用户策略。策略元数据包括针对目标用户在内的所有用户的用户策略的元数据,可以对所有用户在终端设备上的不同操作行为进行管控。这里,仅需要计算用于管控目标用户在终端设备上的不同操作行为的多条用户策略即可。可以理解的是,用户在终端设备上的操作行为包括使用终端设备提供的功能的第一类型操作行为以及对终端设备进行系统配置的第二类型操作行为。针对于第一类型操作行为需要区分不同用户,针对不同用户设置不同的用户策略;针对于第二类型操作行为并不需要区分不同用户,针对不同用户设置相同的用户策略。针对第二类型的操作行为的用户策略也就是常说的系统配置策略,该系统配置策略实质属于用户策略。
在计算针对目标用户的用户策略时,可以分别计算针对不同类型操作行为的用户策略。其中计算针对第一类型操作行为的用户策略时,获取目标用户的用户数据,从策略元数据中筛选与用户数据相关联的元数据,并采用预设格式进行拼接即可。
这里用户数据包括登录终端设备的账户、账户所属的用户组以及账户所属的角色;这里,针对不同账户可以划分为不同的用户组,例如企业中同一部门的账户属于同一用户组,但不限于此。还可以根据账户的所有者的职位,对账户划分角色,例如企业中的某一账户的所有者的职位为经理,则其角色为经理。可以理解的是,当一用户策略针对某一用户组时,即为针对该用户组下的每一个账户。当一用户策略针对某一角色组时,即为针对具有该角色的每一个账户。在计算针对目标用户的用户策略时,可以得到针对目标用户的账户的用户策略、针对目标用户的账户所属用户组的用户策略、针对目标用户的账户所属角色的用户策略。
当然,还可以设置针对一种特殊用户的用户策略,该特殊用户是指没有即账户的用户。例如在企业中,大家在使用计算机进行操作时,通常会登录自己的账户,从而在自己账户对应的用户策略下进行各种操作。然而,有些时候使用计算机的用户并没有自己的账户,例如来宾,但不限于此。针对这种情况,可以设置对应的用户策略,对这类用户在计算机上的操作行为进行管控。
针对第二类型操作行为的用户策略即系统配置策略时,由于无需区分用户,所以所有用户对应的系统配置策略相同,从策略元数据中筛选与预设数据相关联的元数据,并采用预设格式进行拼接即可。
较佳地,可以在终端设备本地设置轻量级的数据库存储用户策略。如下表1-3所示,为数据库表的字段说明。
表1
表2
字段 | 类型 | 备注 |
strategyConfigId | int | 系统配置唯一id |
Name | varchar | 系统配置名称 |
StrategyGroupId | int | 指的是系统配置的Id |
ParamValue | mediumtext | 系统配置数据 |
表3
将多条用户策略存储至目标存储器。
本发明实施例中,根据服务器下发的,用于管控所有用户在终端设备上的操作行为的用户策略的元数据,计算针对目标用户的用户策略,无需服务器计算用户策略,也无需服务器甄别策略元数据,确定每个用户对应的策略元数据,从而进一步减轻了服务器的压力。
在本发明的一可选实施例中,获取策略元数据,包括:
在目标存储器符合预设条件的情况下,获取策略元数据;
其中,目标存储器符合预设条件包括以下任意一项:
目标存储器中未存储用户策略;
目标存储器中存储的用户策略并非用于管控目标用户在终端设备上的操作行为的用户策略;
目标存储器中存储的用户策略并非最新版本的用于管控目标用户在终端设备上的操作行为的用户策略。
应当说明的是,目标用户在终端设备上进行操作时,目标存储器将存在各种情况,例如终端设备刚启动或者刚装完系统,此时目标存储器中不会存在用户策略,此时若想在目标存储器中查到目标用户策略,需要先获取策略元数据并进行计算,将计算得到的策略元数据存储到目标存储器中,然后再在目标存储器中查找目标用户策略。在终端设备切换用户之后,目标用户发生了改变,此时目标存储器中可能存在用户策略,但并非针对切换后的用户的用户策略,此时需要重新计算针对切换后的用户的用户策略,并将重新计算后的用户策略替换目标存储器中的原用户策略,然后再在目标存储器中查找目标用户策略。当然,用户策略还可以设置版本,即使目标存储器存储有针对目标用户的用户策略,但用户策略的版本并非最新版本,说明用户策略可能发生了变化,此时需要下载最新版本的策略元数据,计算得到针对目标用户的最新版本的用户策略,替换目标存储器中的用户策略,然后再在目标存储器中查找目标用户策略。
本发明实施例中,在目标存储器中未存储用户策略,目标存储器中存储的用户策略并非用于管控目标用户在终端设备上的操作行为的用户策略,目标存储器中存储的用户策略并非最新版本的用于管控目标用户在终端设备上的操作行为的用户策略的情况下,获取策略元数据,从而可以保证目标存储器中存储的用户策略为针对目标用户的最新版本的用户策略。
在本发明的一可选实施例中,在目标存储器中存储的用户策略并非最新版本的用于管控目标用户在终端设备上的操作行为的用户策略的情况下,获取策略元数据包括:
确定与终端设备连接于同一局域网中的目标终端设备中是否存在最新版本的策略元数据。
本步骤中,多台终端设备连接在同一局域网中,可以实现数据的互传。这里,多台终端设备对应同一服务器,均可以接收服务器下发的策略元数据。
在目标终端设备中存在最新版本的策略元数据时,通过局域网从目标终端设备获取策略元数据。
本步骤中,可以利用点对点技术直接从目标终端设备获取策略元数据,但不限于此。
在目标终端设备中不存在最新版本的策略元数据时,从对应终端设备的服务器中获取策略元数据。
本发明实施例中,可以在目标终端设备上存储有最新版本的策略元数据的情况下,从目标终端设备获取该最新版本的策略元数据,从而无需访问服务器,进一步减轻了服务器的压力。
在本发明的一可选实施例中,多条用户策略中每条用户策略具有一指示优先级的标识;
在查找到的目标用户策略的数量为至少两条的情况下,根据查找到的目标用户策略,对目标用户在终端设备上的当前操作行为进行管控,包括:
选择至少两条目标用户策略中优先级最高的目标用户策略对目标用户在终端设备上的当前操作行为进行管控。
应当说明的是,不同用户策略可能是对同一操作行为的不同管控策略,此时可以根据优先级,选择优先级最高的用户策略执行。例如第一条用户策略是在用户试图访问网站A的情况下,禁止访问网站A。第二条用户策略是在用户试图访问网站A的情况下,允许访问网站A。若第一条用户策略的优先级高于第二条用户策略的优先级,则禁止访问网站A。这里,可以在策略元数据中预先定义每条策略的优先级,例如可以划分为10个等级,第一等级的优先级最高,第十等级的优先级最低。其中,在定义优先级时,可以按照针对账户的用户策略的优先级高于针对用户组的用户策略的优先级,针对用户组的用户策略的优先级高于针对角色的用户策略的优先级。在用户组设置有层级时,针对层级低的用户组的用户策略的优先级高于针对层级高的用户组的用户策略的优先级。例如一个公司的大部门包括多个小部门,大部门对应的用户组的层级高于其下小部门对应的用户组。当然在角色设置有层级时,其与用户组的情况类似,这里不再赘述。
本发明实施例中,用户策略具有指示优先级的标识,在多条用户策略发生冲突时,可以直接根据优先级的标识,选择优先级最高的目标用户策略对目标用户在终端设备上的当前操作行为进行管控,无需人为参与,减少了人员工作量。
如图2所示,为本发明实施例提供的终端设备上的操作行为管控方法的应用流程图,包括:
步骤201:在目标用户在终端设备上进行操作的情况下,根据操作数据在缓存(对应目标存储器)中查找目标用户策略。其中,操作数据用于指示目标用户在终端设备上的当前操作行为。可以理解的是,针对终端的配置策略,可以将其写入用户策略中,也可以独立于用户策略。在配置策略独立于用户策略时,其对终端设备行的操作行为进行管控的过程,与根据用户策略对终端设备行的操作行为进行管控的过程类似,这里不再进行赘述,仅以用户策略进行说明,但不限于此。
步骤202:判断缓存中的用户策略是否发生变化。若是则执行步骤203,若否则执行步骤204。用户策略发生变化指的是用户策略的版本并非最新版本、用户策略并非针对目标用户或者缓存中无用户策略。
步骤203:根据策略元数据重新计算针对目标用户的用户策略,并使用计算结果更新缓存中的用户策略。这里计算用户策略的过程已在前述实施例中进行了说明,在此不再赘述。较佳地,可以采用图3所示架构图,实现对用户策略的计算以及其他相关操作,其中,可以设置一对外的公共接口,该公共接口可以与内部的用户策略接口、系统配置策略接口、更新策略接口对应。通过内部接口实现内部功能,如数据库操作、数据库防篡改、策略版本维护、JSON(JavaScript Object Notation,JS对象简谱)格式串生成、策略数据去重、SQL语句解析等。
步骤204:使用缓存中的用户策略,在缓存中存储的用户策略中查询用于管控所述目标用户在所述终端设备上的当前操作行为的目标用户策略。具体的,在用户策略使用上述表1-表3所述字段进行存储时,首先根据操作数据确定对应的标识与用户策略中StrategyGroupId字段的字段值进行匹配,确定StrategyGroupId字段的字段值为该标识的用户策略,进而针对第一次确定的用户策略,使用操作数据与Conditions字段的字段值相匹配,最终确定目标用户策略。此时确定的目标用户策略为多条的情况下,根据Priority字段的字段值,比较多条目标用户策略的优先级,选择优先级最高的目标用户策略。
步骤205:返回策略数据。将优先级最高的目标用户策略中Action字段对应的字段值作为策略数据进行返回,依据策略数据对目标用户的当前操作行为进行管控。
本发明实施例中,在目标用户操作终端设备的过程中,根据用户的操作数据,从终端设备的缓存中,查找用于管控目标用户在终端设备上的当前操作行为的目标用户策略,相较于将目标用户策略存储在只读存储器的方式,利用随机存取存储器或者高速缓冲存储器存储目标用户策略,可以减少目标用户策略被泄露的风险,提升了数据安全性。并且存储的目标用户策略为终端设备根据策略元数据计算得到的,而非由服务器计算之后下发的,所以无需服务器计算用户策略,减轻了服务器的压力;同时将用户策略的计算分散到每个终端设备上,提升了用户策略的计算能力。进一步,在查找到目标用户策略的情况下,根据查找到的目标用户策略,实现对目标用户在终端设备上的当前操作行为的管控。
以上介绍了本发明实施例提供的终端设备上的操作行为管控方法,下面将结合附图介绍本发明实施例提供的终端设备上的操作行为管控装置。
参见图4,本发明实施例还提供了一种终端设备上的操作行为管控装置,所述装置包括:
第一获取模块41,用于获取目标用户的操作数据,其中,所述操作数据用于指示目标用户在终端设备上的当前操作行为;
查询模块42,用于根据所述操作数据在所述终端设备的目标存储器中查找目标用户策略;其中,所述目标存储器中预先存储有所述终端设备根据策略元数据计算得到的用于管控所述目标用户在所述终端设备上的当前操作行为的目标用户策略,所述目标存储器包括随机存取存储器或者高速缓冲存储器;
管控模块43,用于根据查找到的目标用户策略,对目标用户在所述终端设备上的当前操作行为进行管控。
可选地,该装置还包括:
第二获取模块,用于获取策略元数据,其中,所述策略元数据为服务器下发的,用于管控所有用户在所述终端设备上的操作行为的用户策略的元数据;
策略计算模块,用于根据所述策略元数据,计算得到用于管控所述目标用户在所述终端设备上的不同操作行为的多条用户策略,其中,所述多条用户策略包括所述目标用户策略;
存储模块,用于将所述多条用户策略存储至所述目标存储器。
可选地,所述第二获取模块,具体用于在所述目标存储器符合预设条件的情况下,获取策略元数据;
其中,所述目标存储器符合预设条件包括以下任意一项:
所述目标存储器中未存储所述用户策略;
所述目标存储器中存储的用户策略并非用于管控所述目标用户在所述终端设备上的操作行为的用户策略;
所述目标存储器中存储的用户策略并非最新版本的用于管控所述目标用户在所述终端设备上的操作行为的用户策略。
可选地,在所述目标存储器中存储的用户策略并非最新版本的用于管控所述目标用户在所述终端设备上的操作行为的用户策略的情况下,所述第二获取模块,具体用于确定与所述终端设备连接于同一局域网中的目标终端设备中是否存在最新版本的策略元数据;在所述目标终端设备中存在所述最新版本的策略元数据时,通过所述局域网从所述目标终端设备获取所述策略元数据;在所述目标终端设备中不存在所述最新版本的策略元数据时,从对应所述终端设备的服务器中获取所述策略元数据。
可选地,所述多条用户策略中每条用户策略具有一指示优先级的标识;
在查找到的所述目标用户策略的数量为至少两条的情况下,所述管控模块43,具体用于选择至少两条目标用户策略中优先级最高的目标用户策略对目标用户在所述终端设备上的当前操作行为进行管控。
本发明实施例提供的终端设备上的操作行为管控装置能够实现图1的方法实施例中终端设备上的操作行为管控方法实现的各个过程,为避免重复,这里不再赘述。
本发明的实施例中,在目标用户操作终端设备的过程中,根据用户的操作数据,从终端设备的随机存取存储器或者高速缓冲存储器中,查找用于管控目标用户在终端设备上的当前操作行为的目标用户策略,相较于将目标用户策略存储在只读存储器的方式,利用随机存取存储器或者高速缓冲存储器存储目标用户策略,可以减少目标用户策略被泄露的风险,提升了数据安全性。并且存储的目标用户策略为终端设备根据策略元数据计算得到的,而非由服务器计算之后下发的,所以无需服务器计算用户策略,减轻了服务器的压力;同时将用户策略的计算分散到每个终端设备上,提升了用户策略的计算能力。进一步,在查找到目标用户策略的情况下,根据查找到的目标用户策略,实现对目标用户在终端设备上的当前操作行为的管控。
另一方面,本发明实施例还提供了一种电子设备,包括存储器、处理器、总线以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述终端设备上的操作行为管控方法中的步骤。
举个例子如下,图5示出了一种电子设备的实体结构示意图。
如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行如下方法:
获取目标用户的操作数据,其中,操作数据用于指示目标用户在终端设备上的当前操作行为;
根据操作数据在终端设备的目标存储器中查找目标用户策略;其中,目标存储器中预先存储有终端设备根据策略元数据计算得到的用于管控目标用户在终端设备上的当前操作行为的目标用户策略,目标存储器包括随机存取存储器或者高速缓冲存储器;
根据查找到的目标用户策略,对目标用户在终端设备上的当前操作行为进行管控。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
再一方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的终端设备上的操作行为管控方法,例如包括:
获取目标用户的操作数据,其中,操作数据用于指示目标用户在终端设备上的当前操作行为;
根据操作数据在终端设备的目标存储器中查找目标用户策略;其中,目标存储器中预先存储有终端设备根据策略元数据计算得到的用于管控目标用户在终端设备上的当前操作行为的目标用户策略,目标存储器包括随机存取存储器或者高速缓冲存储器;
根据查找到的目标用户策略,对目标用户在终端设备上的当前操作行为进行管控。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种终端设备上的操作行为管控方法,其特征在于,所述方法包括:
获取目标用户的操作数据,其中,所述操作数据用于指示目标用户在终端设备上的当前操作行为;
获取策略元数据,其中,所述策略元数据为服务器下发的,用于管控所有用户在所述终端设备上的操作行为的用户策略的元数据;
根据所述策略元数据,计算得到用于管控所述目标用户在所述终端设备上的不同操作行为的多条用户策略,其中,所述多条用户策略包括目标用户策略;
将所述多条用户策略存储至目标存储器;
根据所述操作数据在所述终端设备的所述目标存储器中查找所述目标用户策略;其中,所述目标存储器中预先存储有所述终端设备根据所述策略元数据计算得到的用于管控所述目标用户在所述终端设备上的当前操作行为的所述目标用户策略,所述目标存储器包括随机存取存储器或者高速缓冲存储器;
根据查找到的所述目标用户策略,对所述目标用户在所述终端设备上的当前操作行为进行管控。
2.根据权利要求1所述的方法,其特征在于,所述获取策略元数据,包括:
在所述目标存储器符合预设条件的情况下,获取策略元数据;
其中,所述目标存储器符合预设条件包括以下任意一项:
所述目标存储器中未存储所述用户策略;
所述目标存储器中存储的用户策略并非用于管控所述目标用户在所述终端设备上的操作行为的用户策略;
所述目标存储器中存储的用户策略并非最新版本的用于管控所述目标用户在所述终端设备上的操作行为的用户策略。
3.根据权利要求2所述的方法,其特征在于,在所述目标存储器中存储的用户策略并非最新版本的用于管控所述目标用户在所述终端设备上的操作行为的用户策略的情况下,获取策略元数据包括:
确定与所述终端设备连接于同一局域网中的目标终端设备中是否存在最新版本的策略元数据;
在所述目标终端设备中存在所述最新版本的策略元数据时,通过所述局域网从所述目标终端设备获取所述策略元数据;
在所述目标终端设备中不存在所述最新版本的策略元数据时,从对应所述终端设备的服务器中获取所述策略元数据。
4.根据权利要求1所述的方法,其特征在于,所述多条用户策略中每条用户策略具有一指示优先级的标识;
在查找到的所述目标用户策略的数量为至少两条的情况下,所述根据查找到的目标用户策略,对目标用户在所述终端设备上的当前操作行为进行管控,包括:
选择至少两条目标用户策略中优先级最高的目标用户策略对目标用户在所述终端设备上的当前操作行为进行管控。
5.一种终端设备上的操作行为管控装置,其特征在于,所述装置包括:
第一获取模块,用于获取目标用户的操作数据,其中,所述操作数据用于指示目标用户在终端设备上的当前操作行为;
第二获取模块,用于获取策略元数据,其中,所述策略元数据为服务器下发的,用于管控所有用户在所述终端设备上的操作行为的用户策略的元数据;
策略计算模块,用于根据所述策略元数据,计算得到用于管控所述目标用户在所述终端设备上的不同操作行为的多条用户策略,其中,所述多条用户策略包括目标用户策略;
存储模块,用于将所述多条用户策略存储至目标存储器;
查询模块,用于根据所述操作数据在所述终端设备的所述目标存储器中查找所述目标用户策略;其中,所述目标存储器中预先存储有所述终端设备根据所述策略元数据计算得到的用于管控所述目标用户在所述终端设备上的当前操作行为的所述目标用户策略,所述目标存储器包括随机存取存储器或者高速缓冲存储器;
管控模块,用于根据查找到的所述目标用户策略,对所述目标用户在所述终端设备上的当前操作行为进行管控。
6.根据权利要求5所述的装置,其特征在于,所述第二获取模块,具体用于在所述目标存储器符合预设条件的情况下,获取策略元数据;
其中,所述目标存储器符合预设条件包括以下任意一项:
所述目标存储器中未存储所述用户策略;
所述目标存储器中存储的用户策略并非用于管控所述目标用户在所述终端设备上的操作行为的用户策略;
所述目标存储器中存储的用户策略并非最新版本的用于管控所述目标用户在所述终端设备上的操作行为的用户策略。
7.根据权利要求6所述的装置,其特征在于,在所述目标存储器中存储的用户策略并非最新版本的用于管控所述目标用户在所述终端设备上的操作行为的用户策略的情况下,所述第二获取模块,具体用于确定与所述终端设备连接于同一局域网中的目标终端设备中是否存在最新版本的策略元数据;在所述目标终端设备中存在所述最新版本的策略元数据时,通过所述局域网从所述目标终端设备获取所述策略元数据;在所述目标终端设备中不存在所述最新版本的策略元数据时,从对应所述终端设备的服务器中获取所述策略元数据。
8.根据权利要求5所述的装置,其特征在于,所述多条用户策略中每条用户策略具有一指示优先级的标识;
在查找到的所述目标用户策略的数量为至少两条的情况下,所述管控模块,具体用于选择至少两条目标用户策略中优先级最高的目标用户策略对目标用户在所述终端设备上的当前操作行为进行管控。
9.一种电子设备,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述计算机程序被所述处理器执行时实现如权利要求1至4中任一项所述的终端设备上的操作行为管控方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4中任一项所述的终端设备上的操作行为管控方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011637720.0A CN112769806B (zh) | 2020-12-31 | 2020-12-31 | 终端设备上的操作行为管控方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011637720.0A CN112769806B (zh) | 2020-12-31 | 2020-12-31 | 终端设备上的操作行为管控方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112769806A CN112769806A (zh) | 2021-05-07 |
CN112769806B true CN112769806B (zh) | 2023-06-23 |
Family
ID=75698080
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011637720.0A Active CN112769806B (zh) | 2020-12-31 | 2020-12-31 | 终端设备上的操作行为管控方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112769806B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114816744A (zh) * | 2022-04-18 | 2022-07-29 | 深圳Tcl新技术有限公司 | 内存管控方法、装置、存储介质及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109829308A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 控制策略的管理方法及装置、存储介质、电子装置 |
CN110765428A (zh) * | 2019-09-24 | 2020-02-07 | 云深互联(北京)科技有限公司 | 一种基于企业浏览器的行为管控方法和装置 |
CN111259462A (zh) * | 2020-01-13 | 2020-06-09 | 奇安信科技集团股份有限公司 | 终端的外设管控处理方法、装置、电子设备及存储介质 |
CN112149159A (zh) * | 2020-08-26 | 2020-12-29 | 网神信息技术(北京)股份有限公司 | 终端的权限设置方法、装置、电子设备及存储介质 |
-
2020
- 2020-12-31 CN CN202011637720.0A patent/CN112769806B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109829308A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 控制策略的管理方法及装置、存储介质、电子装置 |
CN110765428A (zh) * | 2019-09-24 | 2020-02-07 | 云深互联(北京)科技有限公司 | 一种基于企业浏览器的行为管控方法和装置 |
CN111259462A (zh) * | 2020-01-13 | 2020-06-09 | 奇安信科技集团股份有限公司 | 终端的外设管控处理方法、装置、电子设备及存储介质 |
CN112149159A (zh) * | 2020-08-26 | 2020-12-29 | 网神信息技术(北京)股份有限公司 | 终端的权限设置方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112769806A (zh) | 2021-05-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10055561B2 (en) | Identity risk score generation and implementation | |
US10911479B2 (en) | Real-time mitigations for unfamiliar threat scenarios | |
US20150121461A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
EP3547634B1 (en) | Method and apparatus for determining access permission, and terminal | |
US20170034200A1 (en) | Flaw Remediation Management | |
CN110062380A (zh) | 一种移动应用系统的连接访问请求安全检测方法 | |
WO2018057008A1 (en) | Ip address access based on security level and access history | |
CN101729541A (zh) | 多业务平台的资源访问方法及系统 | |
CN112769806B (zh) | 终端设备上的操作行为管控方法、装置及电子设备 | |
CN114389882B (zh) | 网关流量控制方法、装置、计算机设备及存储介质 | |
CN114844715B (zh) | 一种网络安全防御策略优化方法、设备及介质 | |
US11777995B2 (en) | Resource state validation of access management policies | |
JP2019503021A (ja) | システム環境及びユーザ行動分析基盤の自己防御保安装置とその作動方法 | |
US8117181B2 (en) | System for notification of group membership changes in directory service | |
CN110191097A (zh) | 登录页面安全性的检测方法、系统、设备及存储介质 | |
CN117454415A (zh) | 一种基础信息平台安全性控制方法、系统、设备和介质 | |
US7685147B2 (en) | Automatic management method and system with category-based correlations | |
CN108377275B (zh) | 基于神经网络算法的网络安全防护方法 | |
CN113839940B (zh) | 基于url模式树的防御方法、装置、电子设备和可读存储介质 | |
CN112422573B (zh) | 攻击路径还原方法、装置、设备及存储介质 | |
CN113127906A (zh) | 基于c/s架构的统一权限管理平台、方法及存储介质 | |
US20190131000A1 (en) | Clinical trial support network data security | |
Dogbe et al. | A combined approach to prevent SQL Injection Attacks | |
KR102654479B1 (ko) | 대량의 사용자 행위 데이터 분석을 통해 검증 쿼리를 생성하고 실행하여, 요청 파라미터 변조의 위험을 탐지 및 모니터링하는 시스템 | |
CN114465771B (zh) | 基于防火墙流量自动推荐安全策略的方法、装置及防火墙 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |