TWI780655B - 能分隔應用程式程序之資料處理系統及資料處理方法 - Google Patents

能分隔應用程式程序之資料處理系統及資料處理方法 Download PDF

Info

Publication number
TWI780655B
TWI780655B TW110113160A TW110113160A TWI780655B TW I780655 B TWI780655 B TW I780655B TW 110113160 A TW110113160 A TW 110113160A TW 110113160 A TW110113160 A TW 110113160A TW I780655 B TWI780655 B TW I780655B
Authority
TW
Taiwan
Prior art keywords
data
user
program group
file
execution space
Prior art date
Application number
TW110113160A
Other languages
English (en)
Other versions
TW202240404A (zh
Inventor
吳柏劭
Original Assignee
碩壹資訊股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 碩壹資訊股份有限公司 filed Critical 碩壹資訊股份有限公司
Priority to TW110113160A priority Critical patent/TWI780655B/zh
Priority to US17/717,710 priority patent/US20220327211A1/en
Application granted granted Critical
Publication of TWI780655B publication Critical patent/TWI780655B/zh
Publication of TW202240404A publication Critical patent/TW202240404A/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Hardware Redundancy (AREA)

Abstract

一種能分隔應用程式程序之資料處理系統及資料處理方法。本發明之資料處理系統包含資料儲存裝置以及至少一個處理器。當使用者操作至少一處理器執行應用程式程序並且經由常駐於作業系統的核心層內的檔案控制模組向資料儲存裝置取得指定的檔案時,檔案控制模組將關於使用者之使用者帳號以及關於應用程式程序之M個規則與M個特徵與預存的多個執行空間設定資料做比對獲得權限資料,其中M係自然數。檔案控制模組根據權限資料選擇性地回傳指定的檔案給應用程式程序。

Description

能分隔應用程式程序之資料處理系統及資料處理方法
本發明關於一種能分隔應用程式程序之資料處理系統及資料處理方法,並且特別是關於一種以多重群組設定來分隔應用程式程序的權限之資料處理系統及資料處理方法。
近來資料處理系統遭受勒索軟體(ransomware)的惡意攻擊日益猖獗。一旦資料處理系統遭受勒索軟體攻擊,勒索軟體會搜尋儲存於資料處理系統的資料儲存裝置內的檔案,再對搜尋到的檔案加密。直到資料處理系統的擁有者向勒索軟體的作者繳納贖金,換取加密金鑰,才能解開被加密檔案。
現有作業系統皆有對檔案讀寫權限設定的功能,以避免檔案遭到破壞。例如,微軟公司發行的window作業系統提供存取控制清單(access control list, ACL),可以針對個別使用者帳戶或帳戶群組對檔案設定讀寫的權限。然而,任何惡意軟體侵入資料處理系統,只要防毒軟體尚未偵測,惡意軟體只要取得使用者有權限就能破壞檔案。
再譬如,安全增強式Linux (security-enhanced Linux, SELinux)作業系統提供一個在內核中實踐的強制存取控制(mandatory access control, MAC)安全性機制。SELinux作業系統除了針對個別使用者帳戶或帳戶群組對檔案設定讀寫的權限之外,還可以之對個別應用程式程序對檔案存取設定權限。然而,SELinux作業系統需要設定個別的應用程式程序的權限,設定的操作並不便利。而且,惡意軟體一樣可以看得到檔案存在,只是沒有權限,因此會想辦法取得權限進行破壞。
目前已有許多找出勒索軟體的方法,避免讓資料處理系統感染勒索病毒。但是,目前對於層出不窮的新的勒索軟體的攻擊仍未見有效的防治方法。目前亟需針對應用程式程序之多重設定的技術,以分隔應用程式程序的權限,並且多重設定必須是便利的操作。
此外,有些惡意軟體侵入資料處理系統後會聯結特定網址,以進行資料的竊取或破壞。目前也尚未見到能阻絕惡意軟體侵入資料處理系統後進一步聯結特定網址的技術被提出。
因此,本發明所欲解決之一技術問題在於提供一種以多重群組設定來分隔應用程式程序的權限之資料處理系統及資料處理方法。根據本發明資料處理系統及資料處理方法能便利地管理、規劃多重設定,並且有效地阻絕惡意軟體對檔案的破壞,進一步有效地阻絕惡意軟體聯結網路。
根據本發明之一較佳具體實施例之資料處理系統係能分隔應用程式程序的權限。根據本發明之資料處理系統包含資料儲存裝置以及至少一個處理器。資料儲存裝置其內儲存多個檔案。至少一個處理器係電氣連接至資料儲存裝置,並且用以執行作業系統。作業系統具有核心層以及用戶層。作業系統包含執行空間管理模組、執行空間設定紀錄模組、程序群組管理模組、程序群組設定紀錄模組以及檔案控制模組。執行空間管理模組係常駐於作業系統的核心層內。執行空間設定紀錄模組係常駐於作業系統的核心層內,並且耦合至執行空間管理模組。執行空間設定紀錄模組其內儲存多個執行空間設定資料。每一個執行空間設定資料包含各自的程序群組設定資料、各自的使用者群組設定資料以及各自的檔案群組設定資料。程序群組管理模組係常駐於作業系統的核心層內,並且耦合至執行空間管理模組。程序群組設定紀錄模組係耦合至程序群組管理模組,並且其內儲存多個程序群組設定資料。每一個程序群組設定資料包含M個第一規則以及N個第一特徵,其中M係自然數,N係等於或大於M的整數。每一個第一規則對應N個第一特徵中至少一個第一特徵。檔案控制模組係常駐於作業系統的核心層內,並且分別耦合至執行空間管理模組以及程序群組管理模組。應用程式程序係駐於作業系統的用戶層內,並且其內儲存M個第二規則以及M個第二特徵。每一個第二規則對應一個第一規則以及一個第二特徵。當第一使用者操作至少一處理器執行應 用程式程序,並且經由檔案控制模組向資料儲存裝置取得多個檔案中之指定的檔案時,檔案控制模組擷取關於第一使用者之使用者帳號、應用程式程序之M個第二規則與M個第二特徵以及關於指定的檔案之檔案位置以及指定的檔案名。檔案控制模組經由執行空間管理模組擷取多個程序群組設定資料、多個使用者群組設定資料以及多個檔案群組設定資料。檔案控制模組根據多個程序群組設定資料經由程序群組管理模組擷取每一個程序群組設定資料之M個第一規則以及每一個程序群組設定資料之N個第一特徵。檔案控制模組將使用者帳號、M個第二規則、M個第二特徵、檔案位置以及指定的檔案名與多個使用者群組設定資料、每一個程序群組設定資料之M個第一規則、每一個程序群組設定資料之N個第一特徵以及多個檔案群組設定資料做比對獲得第一權限資料。檔案控制模組根據第一權限資料選擇性地回傳指定的檔案給應用程式程序。
進一步,根據本發明之資料處理系統還包含網路聯結裝置。網路聯結裝置係電氣連接至至少一個處理器。作業系統並且包含網路控制模組。網路控制模組係常駐於作業系統的核心層內,並且分別耦合至執行空間管理模組以及程序群組管理模組。每一個執行空間設定資料並且包含各自的網路群組設定資料。當第一使用者操作該至少一處理器執行應用程式程序,並且經由網路控制模組以及網路聯結裝置聯結至指定的網址時,網路控制模組擷取關於第一使用者之使用者帳號、應用程式程序之M個第二規則與M個第二特徵以及指定的網址。網路控制模組經由執行空間管理模組擷取多個程序群組設定資料、多個使用者群組設定資料以及多個網路群組設定資料。網路控制模組根據多個程序群組設定資料經由程序群組管理模組擷取每一個程序群組設定資料之M個第一規則以及每一個程序群組設定資料之N個第一特徵。網路控制模組將該使用者帳號、M個第二規則、M個第二特徵以及指定的網址與多個使用者群組設定資料、每一個程序群組設定資料之M個第一規則、每一個程序群組設定資料之N個第一特徵以及多個網路群組設定資料做比對獲得第二權限資料。網路控制模組根據第二權限資料選擇性地經由網路聯結至指定的網址。
於一具體實施例中,作業系統並且包含執行空間管理工具。執行空間管理工具係常駐於作業系統的用戶層內,並且耦合至執行空間管理模組。執行空間管理工具提供至少一第一使用者圖形供第二使用者經由執行空間管理模組修改多個執行空間設定資料。
於一具體實施例中,作業系統並且包含程序群組管理工具。程序群組管理工具係常駐於作業系統的用戶層內,並且耦合至程序群組管理模組。該程序群組管理工具提供至少一第二使用者圖形供第二使用者經由程序群組管理工具修改多個程序群組設定資料。
於一具體實施例中,M個第一規則可以包含檔案位置、檔案大小、總和檢查、發行公司、產品名稱、簽章驗證、檔案版本或其他規則。
根據本發明之一佳具體實施例之資料處理方法係能分隔應用程式程序的權限。資料儲存裝置其內儲存多個檔案。至少一處理器係電氣連接至該資料儲存裝置,並且用以執行作業系統。作業系統具有核心層以及用戶層。作業系統包含執行空間管理模、執行空間設定紀錄模組、程序群組管理模組、程序群組設定紀錄模組以及檔案控制模組。執行空間管理模組係常駐於作業系統的核心層內。執行空間設定紀錄模組係常駐於作業系統的核心層內,並且耦合至執行空間管理模組。執行空間設定紀錄模組其內儲存多個執行空間設定資料。每一個執行空間設定資料包含各自的程序群組設定資料、各自的使用者群組設定資料以及各自的檔案群組設定資料。程序群組管理模組係常駐於作業系統的核心層內,並且耦合至執行空間管理模組。程序群組設定紀錄模組係常駐於作業系統的核心層內,並且耦合至程序群組管理模組。程序群組設定紀錄模組其內儲存多個程序群組設定資料。每一個程序群組設定資料包含M個第一規則以及N個第一特徵,其中M係自然數,N係等於或大於M的整數。每一個第一規則對應N個第一特徵中至少一個第一特徵。檔案控制模組係常駐於作業系統的核心層內,並且分別耦合至執行空間管理模組以及程序群組管理模組。應用程式程序係駐於作業系統的用戶層內,並且其內儲存M個第二規則以及M個第二特徵。每一個第二規則對應一個第一規則以及一個第二特徵。根據本發明之資料處理方法,首先,當第一使用者操作該至少一處理器執行應用程式程序,並且經由檔案控制模組向資料儲存裝置取得多個檔案中之指定的檔案時,由檔案控制模組擷取關於第一使用者之使用者帳號、應用程式程序之M個第二規則與M個第二特徵以及關於指定的檔案之檔案位置以及指定的檔案名。接著,根據本發明之資料處理方法係由檔案控制模組經由執行空間管理模組擷取多個程序群組設定資料、多個使用者群組設定資料以及多個檔案群組設定資料。接著,根據本發明之資料處理方法係由檔案控制模組根據多個程序群組設定資料經由程序群組管理模組擷取每一個程序群組設定資料之M個第一規則以及每一個程序群組設定資料之N個第一特徵。接著,根據本發明之資料處理方法係由檔案控制模組將使用者帳號、M個第二規則、M個第二特徵、檔案位置以及指定的檔案名與多個使用者群組設定資料、每一個程序群組設定資料之M個第一規則、每一個程序群組設定資料之N個第一特徵以及多個檔案群組設定資料做比對獲得第一權限資料。最後,根據本發明之資料處理方法係由檔案控制模組根據第一權限資料選擇性地回傳指定的檔案給應用程式程序。
與先前技術不同,根據本發明之資料處理系統及資料處理方法創立包含程序群組設定資料、使用者群組設定資料以及檔案群組設定資料之執行空間設定資料,藉此,根據本發明之資料處理系統及資料處理方法能便利地管理、規劃多重設定,並且有效地阻絕惡意軟體對檔案的破壞,進一步有效地阻絕惡意軟體聯結網路。
關於本發明之優點與精神可以藉由以下的發明詳述及所附圖式得到進一步的瞭解。
請參閱圖1,根據本發明之較佳具體實施例之資料處理系統1其架構係示意地繪示於圖1中。根據本發明之較佳具體實施例之資料處理系統1係能分隔應用程式程序的權限。
於一具體實施例中,根據本發明之資料處理系統1可以是各式個人的資料處理系統,例如,筆記型電腦、桌上型電腦、平板電腦、智慧型手機,等。根據本發明之資料處理系統2也可以是伺服器。
如圖1所示,根據本發明之較佳具體實施例之資料處理系統1包含資料儲存裝置11以及至少一個處理器(未繪示於圖1中)。資料儲存裝置11其內儲存多個檔案(110a~110n)。
至少一個處理器係電氣連接至資料儲存裝置11,並且用以執行作業系統10。作業系統10具有核心層100以及用戶層101。作業系統10包含執行空間管理模組12、執行空間設定紀錄模組120、程序群組管理模組13、程序群組設定紀錄模組130以及檔案控制模組14。
執行空間管理模組12係常駐於作業系統10的核心層100內。執行空間設定紀錄模組120係常駐於作業系統10的核心層100內,並且耦合至執行空間管理模組12。執行空間設定紀錄模組120其內儲存多個執行空間設定資料。特別地,每一個執行空間設定資料包含各自的程序群組設定資料、各自的使用者群組設定資料以及各自的檔案群組設定資料。需聲明的是,”執行空間”為本發明創立的技術名詞,與資料儲存裝置11的”儲存空間完全不同”,並且應該根據”執行空間”的特徵與精神作最寬廣的解釋,不應該拘限於其名稱。
程序群組管理模組13係常駐於作業系統10的核心層100內,並且耦合至執行空間管理模組12。程序群組設定紀錄模組130係耦合至程序群組管理模組13,並且其內儲存多個程序群組設定資料。每一個程序群組設定資料包含M個第一規則以及N個第一特徵,其中M係自然數,N係等於或大於M的整數。每一個第一規則對應N個第一特徵中至少一個第一特徵。
於一具體實施例中,M個第一規則可以包含檔案位置、檔案大小、總和檢查、發行公司、產品名稱、簽章驗證、檔案版本或其他規則。
檔案控制模組14係常駐於作業系統10的核心層100內,並且分別耦合至執行空間管理模組12以及程序群組管理模組13。
應用程式程序15,例如,可信任的word文書編輯器、不可信任的勒索軟體等,皆係駐於作業系統10的用戶層101內,並且其內儲存M個第二規則以及M個第二特徵。每一個第二規則對應一個第一規則以及一個第二特徵。
當第一使用者操作至少一處理器執行應用程式程序15,並且經由檔案控制模組14向資料儲存裝置11取得多個檔案(110a~110n)中之指定的檔案時,檔案控制模組14擷取關於第一使用者之使用者帳號、應用程式程序15之M個第二規則與M個第二特徵以及關於指定的檔案之檔案位置以及指定的檔案名。檔案控制模組14經由執行空間管理模組12擷取多個程序群組設定資料、多個使用者群組設定資料以及多個檔案群組設定資料。檔案控制模組14根據多個程序群組設定資料經由程序群組管理模組13擷取每一個程序群組設定資料之M個第一規則以及每一個程序群組設定資料之N個第一特徵。檔案控制模組14將使用者帳號、M個第二規則、M個第二特徵、檔案位置以及指定的檔案名與多個使用者群組設定資料、每一個程序群組設定資料之M個第一規則、每一個程序群組設定資料之N個第一特徵以及多個檔案群組設定資料做比對獲得第一權限資料。檔案控制模組14根據第一權限資料選擇性地回傳指定的檔案給應用程式程序15。
進一步,同樣如圖1所示,根據本發明之資料處理系統1還包含網路聯結裝置17,例如,網路卡等。網路聯結裝置17係電氣連接至至少一個處理器。作業系統10並且包含網路控制模組16。網路控制模組16係常駐於作業系統10的核心層100內,並且分別耦合至執行空間管理模組12以及程序群組管理模組13。每一個執行空間設定資料並且包含各自的網路群組設定資料。當第一使用者操作該至少一處理器執行應用程式程序15,並且經由網路控制模組16以及網路聯結裝置17聯結至指定的網址時,網路控制模組16擷取關於第一使用者之使用者帳號、應用程式程序15之M個第二規則與M個第二特徵以及指定的網址。網路控制模組16經由執行空間管理模組12擷取多個程序群組設定資料、多個使用者群組設定資料以及多個網路群組設定資料。網路控制模組16根據多個程序群組設定資料經由程序群組管理模組13擷取每一個程序群組設定資料之M個第一規則以及每一個程序群組設定資料之N個第一特徵。網路控制模組16將該使用者帳號、M個第二規則、M個第二特徵以及指定的網址與多個使用者群組設定資料、每一個程序群組設定資料之M個第一規則、每一個程序群組設定資料之N個第一特徵以及多個網路群組設定資料做比對獲得第二權限資料。網路控制模組16根據第二權限資料選擇性地經由網路聯結至指定的網址。
請參閱圖2所示,根據本發明之較佳具體實施例之資料處理系統1設定兩個執行空間範例:”執行空間1”以及”執行空間2”的架構係示意地繪示於圖2中。如圖2所示,根據”執行空間1”的使用者群組設定資料、程序群組設定資料、檔案群組設定資料以及網路群組設定資料,其定義使用者帳戶為Mary或John,在使用Word文書編輯器或Adobe Acrobat Reader的時候,可以看到檔案夾D:\Private內所有的檔案,也可以聯結至網址192.168.1.1~192.168.1.2。根據”執行空間2”的使用者群組設定資料、程序群組設定資料、檔案群組設定資料以及網路群組設定資料,其定義所有使用者帳戶,在使用執行其他應用程式程序的時候,不會看到檔案夾D:\Private內的檔案,可以聯結至網址192.168.1.51~192.168.1.255,無法聯結至網址192.168.1.1~192.168.1.2。
於一具體實施例中,作業系統10並且包含執行空間管理工具18。執行空間管理工具18係常駐於作業系統10的用戶層101內,並且耦合至執行空間管理模組12。執行空間管理工具18提供至少一第一使用者圖形供第二使用者經由執行空間管理模組12修改多個執行空間設定資料。
請參閱圖3所示,根據本發明之較佳具體實施例之資料處理系統1之空間管理工具18所提供第一使用者圖形的範例。如圖3所示,有”會計執行空間”、”公司文件執行空間”、”公司網站執行空間”以及”其他”等執行空間被設立。圖3所示第一使用者圖形係切換至”會計執行空間”設定畫面。”會計執行空間”其使用者群組設定為Administators與Mary。”會計執行空間”其程序群組設定為”Office程序群”與”Acrobat程序群”。”會計執行空間”其網路群組設定為不限。”會計執行空間”其檔案群組設定為”D:\Private”。
於一具體實施例中,作業系統10並且包含程序群組管理工具19。程序群組管理工具19係常駐於作業系統10的用戶層101內,並且耦合至程序群組管理模組13。該程序群組管理工具19提供至少一第二使用者圖形供第二使用者經由程序群組管理工具19修改多個程序群組設定資料。
請參閱圖4所示,根據本發明之較佳具體實施例之資料處理系統1之程序群組管理工具19所提供第二使用者圖形的範例。如圖4所示,有”Office程序群”、”Acrobat程序群”、”AutoCAD程序群”以及”ERP程序群”等應用程式被設立。圖4所示第一使用者圖形係切換至”Office程序群”設定畫面。” Office程序群”其使用者群組設定為Administators與Mary。”會計執行空間”其規則的設定為包含檔案位置、檔案大小、總和檢查、發行公司、產品名稱、簽章驗證。
由圖3所示第一使用者圖形的範例以及圖4所示第二使用者圖形的範例可以證實,根據本發明之資料處理系統1能便利地管理、規劃多重設定,並且有效地阻絕惡意軟體對檔案的破壞,進一步有效地阻絕惡意軟體聯結網路。
請參閱圖5,圖5係繪示根據本發明之較佳具體實施例之資料處理方法2的流程圖。根據本發明之資料處理方法2的實施硬體架構及如圖1所示的資料處理系統1的架構。根據本發明之資料處理方法2係能能分隔應用程式程序的權限。根據本發明之資料處理方法2的實施硬體架構敘述於下文。
資料儲存裝置11其內儲存多個檔案(110a~110n)。至少一處理器(未繪示於圖1中)係電氣連接至該資料儲存裝置11,並且用以執行作業系統10。作業系統10具有核心層100以及用戶層101。作業系統10包含執行空間管理模、執行空間設定紀錄模組120、程序群組管理模組13、程序群組設定紀錄模組130以及檔案控制模組14。執行空間管理模組12係常駐於作業系統10的核心層100內。執行空間設定紀錄模組120係常駐於作業系統10的核心層100內,並且耦合至執行空間管理模組12。執行空間設定紀錄模組120其內儲存多個執行空間設定資料。每一個執行空間設定資料包含各自的程序群組設定資料、各自的使用者群組設定資料以及各自的檔案群組設定資料。程序群組管理模組13係常駐於作業系統10的核心層100內,並且耦合至執行空間管理模組12。程序群組設定紀錄模組130係常駐於作業系統10的核心層100內,並且耦合至程序群組管理模組13。程序群組設定紀錄模組130其內儲存多個程序群組設定資料。每一個程序群組設定資料包含M個第一規則以及N個第一特徵,其中M係自然數,N係等於或大於M的整數。每一個第一規則對應N個第一特徵中至少一個第一特徵。檔案控制模組14係常駐於作業系統10的核心層100內,並且分別耦合至執行空間管理模組12以及程序群組管理模組13。應用程式程序15係駐於作業系統10的用戶層101內,並且其內儲存M個第二規則以及M個第二特徵。每一個第二規則對應一個第一規則以及一個第二特徵。
於一具體實施例中,M個第一規則可以包含檔案位置、檔案大小、總和檢查、發行公司、產品名稱、簽章驗證、檔案版本或其他規則。
如圖5所示,首先,根據本發明之資料處理方法2係執行步驟S20,當第一使用者操作該至少一處理器執行應用程式程序15,並且經由檔案控制模組14向資料儲存裝置11取得多個檔案(110a~110n)中之指定的檔案時,由檔案控制模組14擷取關於第一使用者之使用者帳號、應用程式程序15之M個第二規則與M個第二特徵以及關於指定的檔案之檔案位置以及指定的檔案名。
接著,根據本發明之資料處理方法2係執行步驟S21,由檔案控制模組14經由執行空間管理模組12擷取多個程序群組設定資料、多個使用者群組設定資料以及多個檔案群組設定資料。
接著,根據本發明之資料處理方法2係執行步驟S22,由檔案控制模組14根據多個程序群組設定資料經由程序群組管理模組13擷取每一個程序群組設定資料之M個第一規則以及每一個程序群組設定資料之N個第一特徵。
接著,根據本發明之資料處理方法2係執行步驟S23,由檔案控制模組14將使用者帳號、M個第二規則、M個第二特徵、檔案位置以及指定的檔案名與多個使用者群組設定資料、每一個程序群組設定資料之M個第一規則、每一個程序群組設定資料之N個第一特徵以及多個檔案群組設定資料做比對獲得第一權限資料。
最後,根據本發明之資料處理方法2係執行步驟S24,由檔案控制模組14根據第一權限資料選擇性地回傳指定的檔案給應用程式程序15。
根據本發明之資料處理方法2的實施硬體架構還包含網路聯結裝置17。網路聯結裝置17係電氣連接至至少一個處理器。作業系統10並且包含網路控制模組16。網路控制模組16係常駐於作業系統10的核心層100內,並且分別耦合至執行空間管理模組12以及程序群組管理模組13。每一個執行空間設定資料並且包含各自的網路群組設定資料。請參閱圖6,圖6係繪示根據本發明之較佳具體實施例之資料處理方法2進一步的流程圖。
如圖6所示,根據本發明之較佳具體實施例之資料處理方法2進一步執行步驟25,當第一使用者操作至少一處理器執行應用程式程序15,並且經由網路控制模組16以及網路聯結裝置17聯結至指定的網址時,由網路控制模組16擷取關於第一使用者之使用者帳號、應用程式程序之M個第二規則與M個第二特徵以及指定的網址。
接著,根據本發明之資料處理方法2係執行步驟S26,由網路控制模組16經由執行空間管理模組12擷取多個程序群組設定資料、多個使用者群組設定資料以及多個網路群組設定資料。
接著,根據本發明之資料處理方法2係執行步驟S27,由網路控制模組16根據多個程序群組設定資料經由程序群組管理模組13擷取每一個程序群組設定資料之M個第一規則以及每一個程序群組設定資料之N個第一特徵。
接著,根據本發明之資料處理方法2係執行步驟S28,由網路控制模組16將使用者帳號、M個第二規則、M個第二特徵以及指定的網址與多個使用者群組設定資料、每一個程序群組設定資料之M個第一規則、每一個程序群組設定資料之N個第一特徵以及多個網路群組設定資料做比對獲得第二權限資料。
最後,根據本發明之資料處理方法2係執行步驟S29,由網路控制模組16根據第二權限資料選擇性地經由網路聯結至指定的網址。
於一具體實施例中,作業系統10並且包含執行空間管理工具18。執行空間管理工具18係常駐於作業系統10的用戶層101內,並且耦合至執行空間管理模組12。執行空間管理工具18提供至少一第一使用者圖形(如圖3所示)供第二使用者經由執行空間管理模組12修改多個執行空間設定資料。
於一具體實施例中,作業系統10並且包含程序群組管理工具19。程序群組管理工具19係常駐於作業系統10的用戶層101內,並且耦合至程序群組管理模組13。該程序群組管理工具19提供至少一第二使用者圖形(如圖4所示)供第二使用者經由程序群組管理工具19修改多個程序群組設定資料。
藉由以上對本發明之詳述,可以清楚了解根據本發明之資料處理系統及資料處理方法創立包含程序群組設定資料、使用者群組設定資料以及檔案群組設定資料之執行空間設定資料,藉此,根據本發明之資料處理系統及資料處理方法能便利地管理、規劃多重設定,並且有效地阻絕惡意軟體對檔案的破壞,進一步有效地阻絕惡意軟體聯結網路。
藉由以上較佳具體實施例之詳述,係希望能更加清楚描述本發明之特徵與精神,而並非以上述所揭露的較佳具體實施例來對本發明之面向加以限制。相反地,其目的是希望能涵蓋各種改變及具相等性的安排於本發明所欲申請之專利範圍的面向內。因此,本發明所申請之專利範圍的面向應該根據上述的說明作最寬廣的解釋,以致使其涵蓋所有可能的改變以及具相等性的安排。
1:資料處理系統 10:作業系統 100:核心層 101:用戶層 11:資料儲存裝置 110a~110n:檔案 12:執行空間管理模組 120:執行空間設定紀錄模組 13:程序群組管理模組 130:程序群組設定紀錄模組 14:檔案控制模組 15:應用程式程序 16:網路控制模組 17:網路聯結裝置 18:執行空間管理工具 19:程序群組管理工具 2:資料處理方法 S20~S24:流程步驟 S25~S29:流程步驟
圖1係根據本發明之一較佳具體實施例之資料處理系統的架構的示意圖。 圖2係根據本發明之較佳具體實施例之資料處理系統設定兩個執行空間範例的架構示意圖。 圖3係根據本發明之較佳具體實施例之資料處理系統之空間管理工具所提供第一使用者圖形的範例示意圖。 圖4係根據本發明之較佳具體實施例之資料處理系統之程序群組管理工具所提供第二使用者圖形的範例示意圖。 圖5係根據本發明之一較佳具體實施例之資料處理方法的流程圖。 圖6係根據本發明之較佳具體實施例之資料處理方法的進一步流程圖。
1:資料處理系統
10:作業系統
100:核心層
101:用戶層
11:資料儲存裝置
110a~110n:檔案
12:執行空間管理模組
120:執行空間設定紀錄模組
13:程序群組管理模組
130:程序群組設定紀錄模組
14:檔案控制模組
15:應用程式程序
16:網路控制模組
17:網路聯結裝置
18:執行空間管理工具
19:程序群組管理工具

Claims (10)

  1. 一種資料處理系統,包含:一資料儲存裝置,其內儲存多個檔案;以及至少一個處理器,係電氣連接至該資料儲存裝置並且用以執行一作業系統,該作業系統具有一核心層以及一用戶層並且包含:一執行空間管理模組,係常駐於該核心層內;一執行空間設定紀錄模組,係常駐於該核心層內且耦合至該執行空間管理模組,該執行空間設定紀錄模組其內儲存多個執行空間設定資料,每一個執行空間設定資料包含一各自的程序群組設定資料、一各自的使用者群組設定資料以及一各自的檔案群組設定資料;一程序群組管理模組,係常駐於該核心層內且耦合至該執行空間管理模組;一程序群組設定紀錄模組,係常駐於該核心層內且耦合至該程序群組管理模組且其內儲存該多個程序群組設定資料,每一個程序群組設定資料包含M個第一規則以及N個第一特徵,M係一自然數,N係一等於或大於M的整數,每一個第一規則對應該N個第一特徵中至少一個第一特徵;以及一檔案控制模組,係常駐於該核心層內且分別耦合至該執行空間管理模組以及該程序群組管理模組;其中一應用程式程序係駐於該用戶層內且其內儲存M個第二規則以及M個第二特徵,每一個第二規則對應一個 第一規則以及一個第二特徵,當一第一使用者操作該至少一處理器執行該應用程式程序並且經由該檔案控制模組向該資料儲存裝置取得該多個檔案中之一指定的檔案時,該檔案控制模組擷取關於該第一使用者之一使用者帳號、該應用程式程序之該M個第二規則與該M個第二特徵以及關於該指定的檔案之一檔案位置以及一指定的檔案名,該檔案控制模組經由該執行空間管理模組擷取該多個程序群組設定資料、該多個使用者群組設定資料以及該多個檔案群組設定資料,該檔案控制模組根據該多個程序群組設定資料經由該程序群組管理模組擷取每一個程序群組設定資料之該M個第一規則以及每一個程序群組設定資料之該N個第一特徵,該檔案控制模組將該使用者帳號、該M個第二規則、該M個第二特徵、該檔案位置以及該指定的檔案名與該多個使用者群組設定資料、每一個程序群組設定資料之該M個第一規則、每一個程序群組設定資料之該N個第一特徵以及該多個檔案群組設定資料做比對獲得一第一權限資料,該檔案控制模組根據該第一權限資料選擇性地回傳該指定的檔案給該應用程式程序。
  2. 如請求項1所述之資料處理系統,進一步包含:一網路聯結裝置,係電氣連接至該至少一個處理器,其中該作業系統並且包含一網路控制模組,該網路控制模組係常駐於該核心層內且分別耦合至該執行空間管理模組以及該程序群組管理模組, 其中每一個執行空間設定資料並且包含一各自的網路群組設定資料,當該第一使用者操作該至少一處理器執行該應用程式程序並且經由該網路控制模組以及該網路聯結裝置聯結至一指定的網址時,該網路控制模組擷取關於該第一使用者之該使用者帳號、該應用程式程序之該M個第二規則與該M個第二特徵以及該指定的網址,該網路控制模組經由該執行空間管理模組擷取該多個程序群組設定資料、該多個使用者群組設定資料以及該多個網路群組設定資料,該網路控制模組根據該多個程序群組設定資料經由該程序群組管理模組擷取每一個程序群組設定資料之該M個第一規則以及每一個程序群組設定資料之該N個第一特徵,該網路控制模組將該使用者帳號、該M個第二規則、該M個第二特徵以及該指定的網址與該多個使用者群組設定資料、每一個程序群組設定資料之該M個第一規則、每一個程序群組設定資料之該N個第一特徵以及該多個網路群組設定資料做比對獲得一第二權限資料,該網路控制模組根據該第二權限資料選擇性地經由該網路聯結至該指定的網址。
  3. 如請求項1所述之資料處理系統,其中該作業系統並且包含一執行空間管理工具,該執行空間管理工具係常駐於該用戶層內且耦合至該執行空間管理模組,該執行空間管理工具提供至少一第一使用者圖形供一第二使用者經由該執行空間管理模組修改該多個執行空間設定資料。
  4. 如請求項3所述之資料處理系統,其中該作業系統並且包含一程序群組管理工具,該程序群組管理工具係常駐於該用戶層內且耦合至該程序群組管理模組,該程序群組管理工具提供至少一第二使用者圖形供該第二使用者經由該程序群組管理工具修改該多個程序群組設定資料。
  5. 如請求項1所述之資料處理系統,其中該M個第一規則包含選自由一檔案位置、一檔案大小、一總和檢查、一發行公司、一產品名稱、一簽章驗證以及一檔案版本所組成之群組中之其一。
  6. 一種資料處理方法,其中一資料儲存裝置其內儲存多個檔案,至少一處理器係電氣連接至該資料儲存裝置並且用以執行一作業系統,該作業系統具有一核心層以及一用戶層並且包含一執行空間管理模、一執行空間設定紀錄模組、一程序群組管理模組、一程序群組設定紀錄模組以及一各自的檔案控制模組,該執行空間管理模組係常駐於該核心層內,該執行空間設定紀錄模組係常駐於該核心層內且耦合至該執行空間管理模組,該執行空間設定紀錄模組其內儲存多個執行空間設定資料,每一個執行空間設定資料包含一各自的程序群組設定資料、一各自的使用者群組設定資料以及一檔案群組設定資料,該程序群組管理模組係常駐於該核心層內且耦合至該執行空間管理模組,該程序群組設定紀錄模組係常駐於該核心層內且耦合至該程序群組管理模組且其內儲存該多個程序群組設定資 料,每一個程序群組設定資料包含M個第一規則以及N個第一特徵,M係一自然數,N係一等於或大於M的整數,每一個第一規則對應該N個第一特徵中至少一個第一特徵,該檔案控制模組係常駐於該核心層內且分別耦合至該執行空間管理模組以及該程序群組管理模組,一應用程式程序係駐於該用戶層內且其內儲存M個第二規則以及M個第二特徵,每一個第二規則對應一個第一規則以及一個第二特徵,該資料處理方法包含下列步驟:當一第一使用者操作該至少一處理器執行該應用程式程序並且經由該檔案控制模組向該資料儲存裝置取得該多個檔案中之一指定的檔案時,由該檔案控制模組擷取關於該第一使用者之一使用者帳號、該應用程式程序之該M個第二規則與該M個第二特徵以及關於該指定的檔案之一檔案位置以及一指定的檔案名;由該檔案控制模組經由該執行空間管理模組擷取該多個程序群組設定資料、該多個使用者群組設定資料以及該多個檔案群組設定資料;由該檔案控制模組根據該多個程序群組設定資料經由該程序群組管理模組擷取每一個程序群組設定資料之該M個第一規則以及每一個程序群組設定資料之該N個第一特徵;由該檔案控制模組將該使用者帳號、該M個第二規則、該M個第二特徵、該檔案位置以及該指定的檔案名與該多個使用者群組設定資料、每一個程序群組設定資料之該M個第一規則、每一個程序群組設定資料之該N個第一特 徵以及該多個檔案群組設定資料做比對獲得一第一權限資料;以及由該檔案控制模組根據該第一權限資料選擇性地回傳該指定的檔案給該應用程式程序。
  7. 如請求項6所述之資料處理方法,其中一網路聯結裝置係電氣連接至該至少一個處理器,該作業系統並且包含一網路控制模組,該網路控制模組係常駐於該核心層內且分別耦合至該執行空間管理模組以及該程序群組管理模組,每一個執行空間設定資料並且包含一各自的網路群組設定資料,該資料處理方法進一步包含下列步驟:當該第一使用者操作該至少一處理器執行該應用程式程序並且經由該網路控制模組以及該網路聯結裝置聯結至一指定的網址時,由該網路控制模組擷取關於該第一使用者之該使用者帳號、該應用程式程序之該M個第二規則與該M個第二特徵以及該指定的網址;由該網路控制模組經由該執行空間管理模組擷取該多個程序群組設定資料、該多個使用者群組設定資料以及該多個網路群組設定資料;由該網路控制模組根據該多個程序群組設定資料經由該程序群組管理模組擷取每一個程序群組設定資料之該M個第一規則以及每一個程序群組設定資料之該N個第一特徵;由該網路控制模組將該使用者帳號、該M個第二規則、該M個第二特徵以及該指定的網址與該多個使用者群組設定資料、每一個程序群組設定資料之該M個第一規則、每一個程序群組設定資料之該N個第一特徵以及該多個網路群組設定資料做比對獲得一第二權限資料;以及由該網路控制模組根據該第二權限資料選擇性地經由該網路聯結至該指定的網址。
  8. 如請求項6所述之資料處理方法,其中該作業系統並且包含一執行空間管理工具,該執行空間管理工具係常駐於該用戶層內且耦合至該執行空間管理模組,該執行空間管理工具提供至少一第一使用者圖形供一第二使用者經由該執行空間管理模組修改該多個執行空間設定資料。
  9. 如請求項8所述之資料處理方法,其中該作業系統並且包含一程序群組管理工具,該程序群組管理工具係常駐於該用戶層內且耦合至該程序群組管理模組,該程序群組管理工具提供至少一第二使用者圖形供該第二使用者經由該程序群組管理工具修改該多個程序群組設定資料。
  10. 如請求項6所述之資料處理方法,其中該M個第一規則包含選自由一檔案位置、一檔案大小、一總和檢查、一發行公司、一產品名稱、一簽章驗證以及一檔案版本所組成之群組中之其一。
TW110113160A 2021-04-13 2021-04-13 能分隔應用程式程序之資料處理系統及資料處理方法 TWI780655B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW110113160A TWI780655B (zh) 2021-04-13 2021-04-13 能分隔應用程式程序之資料處理系統及資料處理方法
US17/717,710 US20220327211A1 (en) 2021-04-13 2022-04-11 Data processing system and method capable of separating application processes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW110113160A TWI780655B (zh) 2021-04-13 2021-04-13 能分隔應用程式程序之資料處理系統及資料處理方法

Publications (2)

Publication Number Publication Date
TWI780655B true TWI780655B (zh) 2022-10-11
TW202240404A TW202240404A (zh) 2022-10-16

Family

ID=83509347

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110113160A TWI780655B (zh) 2021-04-13 2021-04-13 能分隔應用程式程序之資料處理系統及資料處理方法

Country Status (2)

Country Link
US (1) US20220327211A1 (zh)
TW (1) TWI780655B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200601088A (en) * 2004-06-25 2006-01-01 Fineart Technology Co Ltd An administering method for information processing devices of an enterprise
TW200949599A (en) * 2008-05-22 2009-12-01 hong-jian Zhou System data protection method utilizing comparison technique
TW201828643A (zh) * 2017-01-19 2018-08-01 阿里巴巴集團服務有限公司 安全配置方法、相關裝置和系統
CN111800375A (zh) * 2015-01-26 2020-10-20 卢森堡商创研腾智权信托有限公司 借由云端安全动态传输包括数据资料封包的方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8966629B2 (en) * 2011-03-31 2015-02-24 Mcafee, Inc. System and method for below-operating system trapping of driver loading and unloading
CA2874489A1 (en) * 2012-05-09 2013-11-14 SunStone Information Defense Inc. Methods and apparatus for identifying and removing malicious applications
US9467465B2 (en) * 2013-02-25 2016-10-11 Beyondtrust Software, Inc. Systems and methods of risk based rules for application control
US9740870B1 (en) * 2013-12-05 2017-08-22 Amazon Technologies, Inc. Access control
US9830469B1 (en) * 2016-10-31 2017-11-28 International Business Machines Corporation Automated mechanism to secure customer data
US9928365B1 (en) * 2016-10-31 2018-03-27 International Business Machines Corporation Automated mechanism to obtain detailed forensic analysis of file access
US11580221B2 (en) * 2016-12-29 2023-02-14 Dropbox, Inc. Malware detection and content item recovery
US11468168B1 (en) * 2017-04-11 2022-10-11 Apple Inc. Systems and methods for optimizing authentication branch instructions
US10540523B2 (en) * 2017-04-26 2020-01-21 International Business Machines Corporation Comprehensive system wide cross-reference mechanism using runtime data collection
US10606813B2 (en) * 2017-05-12 2020-03-31 Roger H. Goeb Systems and methods for securely managing program execution
US11216563B1 (en) * 2017-05-19 2022-01-04 Amazon Technologies, Inc. Security assessment of virtual computing environment using logical volume image
US11562086B2 (en) * 2018-06-27 2023-01-24 International Business Machines Corporation Filesystem view separation for data confidentiality and integrity using lattice-based security domains

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200601088A (en) * 2004-06-25 2006-01-01 Fineart Technology Co Ltd An administering method for information processing devices of an enterprise
TW200949599A (en) * 2008-05-22 2009-12-01 hong-jian Zhou System data protection method utilizing comparison technique
CN111800375A (zh) * 2015-01-26 2020-10-20 卢森堡商创研腾智权信托有限公司 借由云端安全动态传输包括数据资料封包的方法
TW201828643A (zh) * 2017-01-19 2018-08-01 阿里巴巴集團服務有限公司 安全配置方法、相關裝置和系統

Also Published As

Publication number Publication date
TW202240404A (zh) 2022-10-16
US20220327211A1 (en) 2022-10-13

Similar Documents

Publication Publication Date Title
US9888032B2 (en) Method and system for mitigating the effects of ransomware
EP1946238B1 (en) Operating system independent data management
US7660797B2 (en) Scanning data in an access restricted file for malware
US10079835B1 (en) Systems and methods for data loss prevention of unidentifiable and unsupported object types
US20090044282A1 (en) System and Method for Generating and Displaying a Keyboard Comprising a Random Layout of Keys
US20120310983A1 (en) Executable identity based file access
US20070180257A1 (en) Application-based access control system and method using virtual disk
US10225249B2 (en) Preventing unauthorized access to an application server
CN101667232B (zh) 基于可信计算的终端可信保障系统与方法
US20080263630A1 (en) Confidential File Protecting Method and Confidential File Protecting Device for Security Measure Application
JP4585925B2 (ja) セキュリティ設計支援方法及び支援装置
CN118013586A (zh) 保护计算机系统上的选定磁盘
TW201901515A (zh) 阻擋非授權應用程式方法以及使用該方法的裝置
WO2024021577A1 (zh) 防篡改的数据保护方法及系统
US11275850B1 (en) Multi-faceted security framework for unstructured storage objects
US7900260B2 (en) Method for lifetime tracking of intellectual property
GB2535579A (en) Preventing unauthorized access to an application server
JP6729013B2 (ja) 情報処理システム、情報処理装置及びプログラム
TWI780655B (zh) 能分隔應用程式程序之資料處理系統及資料處理方法
RU2134931C1 (ru) Способ обеспечения доступа к объектам в операционной системе мсвс
US20220188445A1 (en) Secure smart containers for controlling access to data
Behera et al. Big data security threats and prevention measures in cloud and Hadoop
Moreaux et al. Blockchain assisted near-duplicated content detection
Burmester et al. The advent of trusted computing: implications for digital forensics
Vaidya et al. A forensic study of Tor usage on the Raspberry Pi platform using open source tools

Legal Events

Date Code Title Description
GD4A Issue of patent certificate for granted invention patent