CN110401621A - 一种敏感指令的防护方法、设备及存储介质 - Google Patents
一种敏感指令的防护方法、设备及存储介质 Download PDFInfo
- Publication number
- CN110401621A CN110401621A CN201810377810.7A CN201810377810A CN110401621A CN 110401621 A CN110401621 A CN 110401621A CN 201810377810 A CN201810377810 A CN 201810377810A CN 110401621 A CN110401621 A CN 110401621A
- Authority
- CN
- China
- Prior art keywords
- sensitive
- operational order
- grade
- prevention policies
- instructions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例公开了一种敏感指令的防护方法,该方法包括:资源管理平台的操作指令为敏感指令时,确定操作指令的敏感等级;基于预设的映射关系和操作指令的敏感等级,确定操作指令的敏感等级对应的防护策略;其中,映射关系包含至少两个敏感等级和至少两个防护策略的对应关系;基于确定的防护策略,防护敏感指令。本发明实施例还公开了一种敏感指令的防护设备及存储介质。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种敏感指令的防护方法、设备及存储介质。
背景技术
4A(认证Authentication、授权Authorization、记账Accounting、审计Audit)统一安全管理平台,即融合统一账号管理、统一认证管理、统一授权管理和统一安全审计四要素的解决方案,涵盖单点登录(Single Sign On,SSO)等安全功能,为用户提供功能完善的、高安全级别的4A管理。
其中,统一授权管理可以对用户的资源访问权限进行集中管理,即可以实现对浏览器/服务器模式、客户端/服务器模式应用***资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作权限控制,因此,资源控制类型既包括浏览器/服务器模式的统一资源定位符(Uniform Resource Locator,URL)、客户端/服务器模式的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。
统一安全审计管理是将用户所有的操作日志集中记录管理和分析,不仅可以对用户行为进行监控,并且可以通过集中的审计数据进行数据挖掘,以便于事后的安全事故责任的认定。
协同操作人审批通过时,执行指令;审批不通过时,拒绝执行指令。现有技术通过统一安全审计管理在确定用户的操作指令为敏感指令时,通过统一授权管理,对用户的资源访问权限进行集中控制。具体来说管理方法包括:1)用户通过4A平台登录后台资源时,所有的操作指令都将被4A平台管控;2)协同操作人通过建立指令集来管理用户的操作指令,并可以对其中的敏感指令进行精准匹配拦截,若用户使用了非授权命令,4A平台将拦截该操作;3)用户可以通过4A平台进行动态的权限申请,协同操作人查看用户的动态授权申请,确认通过或禁止本次申请。如图1所示,用户使用账号通过单点登录管理模块101登录4A平台,单点登录管理模块101在获取到登录请求时,向堡垒机102发起单点登录请求,堡垒机102向网络设备/业务***104发送连接请求,连接成功返回连接成功指示,在判断为敏感指令时,向金库管理模块103发起金库审批;协同操作人审批通过,金库管理模块103向单点登录管理模块101传递审批通过指示,单点登录管理模块101与网络设备/业务***104执行指令,否则,审批不通过时,拒绝执行指令。
然而现有的4A平台中,对于敏感指令的防护手段较为单一,现有的防护手段容易被攻破,敏感指令进行的违规操作只能作为事后责任认定的依据,不能有效及时阻止违规操作的执行。
发明内容
为解决上述技术问题,本发明实施例期望提供一种敏感指令的防护的方法、设备及存储介质,能够增强资源管理平台对于敏感指令的防护能力。
本发明的技术方案是这样实现的:
本发明实施例提供了一种敏感指令的防护方法,包括:
资源管理平台的操作指令为敏感指令时,确定所述操作指令的敏感等级;
基于预设的映射关系和所述操作指令的敏感等级,确定所述操作指令的敏感等级对应的防护策略;其中,所述映射关系包含至少两个敏感等级和至少两个防护策略的对应关系;
基于确定的防护策略,防护敏感指令。
上述方案中,所述至少两个防护策略包括第一防护策略;所述第一防护策略包括:向一个管理终端发送第一验证信息;基于所述一个管理终端返回的响应所述第一验证信息的第一授权信息,执行所述操作指令。
上述方案中,所述基于所述一个管理终端返回的响应所述第一验证信息的第一授权信息,执行所述操作指令,包括:接收到所述第一授权信息时,允许执行所述操作指令;未接收到所述第一授权信息时,拒绝执行所述操作指令。
上述方案中,所述至少两个防护策略包括第二防护策略;所述第二防护策略包括:向N个管理终端发送第二验证信息,N取大于1的整数;基于所述N个管理终端返回的响应所述第二验证信息的第二授权信息个数,执行所述操作指令。
上述方案中,所述基于所述N个管理终端返回的响应所述第二验证信息的第二授权信息个数,执行所述操作指令,包括:第二授权信息个数等于N时,允许执行所述操作指令;第二授权信息个数小于N时,拒绝执行所述操作指令。
上述方案中,所述至少两个防护策略包括第三防护策略;所述第三防护策略包括:中断访问所述资源管理平台的连接。
上述方案中,在确定所述资源管理平台的操作指令为敏感指令之前,所述方法还包括:将预设的多个敏感标识进行敏感等级划分,得到至少两个敏感等级;所述确定所述操作指令的敏感等级,包括:基于所述操作指令的敏感标识所处的敏感等级,确定所述操作指令的敏感等级。
本发明实施例中还提供了一种敏感指令的防护设备,所述设备包括:处理器和存储器;其中,
所述处理器用于执行存储器中存储的敏感指令的防护程序,以实现以下步骤:
资源管理平台的操作指令为敏感指令时,确定所述操作指令的敏感等级;
基于预设的映射关系和所述操作指令的敏感等级,确定所述操作指令的敏感等级对应的防护策略;其中,所述映射关系包含至少两个敏感等级和至少两个防护策略的对应关系;
基于确定的防护策略,防护敏感指令。
本发明实施例中还提供了另一种敏感指令的防护设备,所述设备包括:处理器和收发器;
所述收发器用于获取所述资源管理平台的操作指令;
所述处理器用于检测到资源管理平台的操作指令为敏感指令时,确定所述操作指令的敏感等级;基于预设的映射关系和所述操作指令的敏感等级,确定所述操作指令的敏感等级对应的防护策略;其中,所述映射关系包含至少两个敏感等级和至少两个防护策略的对应关系;基于确定的防护策略,防护敏感指令。
本发明实施例中,资源管理平台的操作指令为敏感指令时,确定操作指令的敏感等级;基于预设的映射关系和操作指令的敏感等级,确定操作指令的敏感等级对应的防护策略;其中,映射关系包含至少两个敏感等级和至少两个防护策略的对应关系;基于确定的防护策略,防护敏感指令。
采用上述技术方案,能够准确检测资源管理平台上的敏感指令,并且能够根据敏感指令的敏感等级为其设置不同的防护策略,执行与敏感指令相适应的防护策略,实现对敏感指令防护的多样性,增强资源管理平台对于敏感指令的防护能力。
附图说明
图1为现有技术中敏感指令防护的流程示意图;
图2为本发明实施例中敏感指令的防护方法的第一流程示意图;
图3为本发明实施例中敏感指令的防护方法的第二流程示意图;
图4为本发明实施例中第一应用场景示意图;
图5为本发明实施例中第二应用场景示意图;
图6为本发明实施例中第三应用场景示意图;
图7为本发明实施例中敏感指令的防护设备的第一组成结构示意图;
图8为本发明实施例中敏感指令的防护设备的第二组成结构示意图。
具体实施方式
为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明实施例。
实施例一
参见图2,该方法包括:
步骤201:资源管理平台的操作指令为敏感指令时,确定操作指令的敏感等级;
步骤202:基于预设的映射关系和操作指令的敏感等级,确定操作指令的敏感等级对应的防护策略;其中,映射关系包含至少两个敏感等级和至少两个防护策略的对应关系;
步骤203:基于确定的防护策略,防护敏感指令。
这里,步骤201至203的执行主体可以为资源管理平台的处理器,或者敏感指令的防护设备的处理器。
在一些实施例中,在确定资源管理平台的操作指令为敏感指令之前,所述方法还包括:将预设的多个敏感标识进行敏感等级划分,得到至少两个敏感等级;确定操作指令的敏感等级,包括:基于操作指令的敏感标识所处的敏感等级,确定操作指令的敏感等级。
也就是说,需要预先将敏感标识划分成不同的敏感等级,并设置不同敏感等级与至少两个防护策略之间的映射关系;当操作指令为敏感指令时,确定与操作指令相匹配的敏感标识所在的敏感等级,即为操作指令的敏感等级;基于操作指令的敏感等级,以及敏感等级与防护策略之间的映射关系,确定操作指令所处的敏感等级对应的防护策略,即确定步骤202中的操作指令的敏感等级对应的防护策略。这里,敏感等级和防护策略的可以是一对一或多对一的映射关系,至少两个防护策略可以包括单端验证、多端验证、中断连接或触发告警等。
本发明实施例中,敏感信息的威胁程度随着敏感等级的增加而增大,相应的,不同防护策略的防护强度也不同,敏感等级越高对应的防护策略的防护强度越强。
示例性的,至少两个防护策略包括:第一防护策略、第二防护策略和第三防护策略。映射关系可以包括以下:第一敏感等级对应第一防护策略;第二敏感等级对应第二防护策略;第三敏感等级对应第三防护策略。其中,
第一防护策略包括:向一个管理终端发送第一验证信息;基于一个管理终端返回的响应第一验证信息的第一授权信息,执行操作指令。进一步地,接收到第一授权信息时,允许执行操作指令;未接收到第一授权信息时,拒绝执行操作指令。这里,第一防护策略可以理解为单端验证,管理终端可以为登录资源管理平台的用户所持有的固定终端或移动终端。
第二防护策略包括:向N个管理终端发送第二验证信息,N取大于1的整数;基于N个管理终端返回的响应第二验证信息的第二授权信息个数,执行操作指令。进一步地,第二授权信息个数等于N时,允许执行操作指令;第二授权信息个数小于N时,拒绝执行操作指令。这里,第二防护策略可以理解为多端验证,N个管理终端可以为协同操作人所持有的固定终端或移动终端,协同操作人可以为登录4A平台的用户的上级领导,或者4A平台的管理人员。
第三防护策略包括:中断访问资源管理平台的连接。
实际应用中,当操作指令的敏感等级为第三敏感等级时,预设的违规条件满足时,执行确定的第三防护策略,防护敏感指令;其中,预设的违规条件包括:拒绝执行第一敏感等级的操作指令的次数大于第一次数阈值,或者拒绝执行第二敏感等级的操作指令的次数大于第二次数阈值。
可以理解的是,在中断连接之前,如果用户先尝试执行了第一敏感等级或第二敏感等级的操作指令,且均被拒绝时,可以确定该用户为非授权用户,当非授权用户再次尝试执行第三敏感等级的操作指令时,中断连接,及时阻止非授权用户继续访问资源管理平台。这里,第二次数阈值大于第一次数阈值,如:非授权用户在登陆资源管理平台时,在执行第一敏感等级的操作指令被拒绝超过5次或者执行第二敏感等级的操作指令被拒绝2次的情况下,再输入一次第三敏感等级的操作指令,则资源管理平台自动切断该用户连接并触发告警以及短信实时通知。
示例性的,第一敏感等级的敏感指令包括:在***创建类的命令,比如创建用户(useradd),创建用户组(groupadd),挂载文件***(mount),复制文件或者目录(cp),创建链接(ln),创建或者解压压缩包(rar)等命令。
第二敏感等级的敏感指令包括:在***修改或者删除的命令,比如删除用户(userdel),删除用户组(groupdel),重命名用户组(groupmod),修改口令(passwd),删除文件(rm),删除目录(rmdir),强制卸载文件***(fuser),卸载文件***(umount),改变文件权限(chmod)等命令。
第三敏感等级的敏感指令包括:影响***运行命令,比如关机(shutdown,init,telinit,halt,poweroff),重启(reboot),注销(logout),软件包升级(yum)等命令。这里,第一敏感等级的敏感指令为一般敏感指令,威胁程度较低,所触发的第一告警的告警级别也较低。
进一步地,资源管理平台的操作指令为敏感指令时,方法还包括:出发告警,后台管理设备记录告警信息供后续统计与分析使用。
可见,通过采用上述技术方案,能够准确检测到4A平台上的敏感指令,并且能够根据敏感指令的威胁程度为其设置不同的防护策略,执行与敏感指令相配的防护策略,实现对敏感指令防护的多样性,增强4A平台对于敏感指令的防护能力。
实施例二
为了能更加体现本发明的目的,在本发明第一实施例的基础上,进行进一步的举例说明,这里,资源管理平台以4A统一安全管理平台为例,如图3所示,该方法包括:
步骤301:获取4A统一安全管理平台中的操作指令。
在执行步骤301之前,还包括:用户通过单点登录管理模块登录到4A平台,进行日常运维操作时,4A平台中的***日志监控平台会实时监控服务器接收到的所有指令。
具体的,搭建ELK实时***日志监控平台解析SYSLOG日志,实时监控操作指令。监控对象主要为4A平台中的服务器设备,通过监控服务器设备的SYSLOG日志,实时分析操作指令,将操作指令实时传送到专家经验库进行分析处理。
其中,ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成,分别为分布式搜索引擎、接收、处理、转发日志工具、分析与可视化平台,三种工具整合使用,可以搜索、查看、交互数据,以不同的方式展示高级数据分析。
步骤302:将操作指令与预设的敏感标识进行匹配,得到匹配结果。
具体的,将操作指令与专家经验库中预先存储的敏感标识进行匹配分析,判断指令是否为敏感指令。
步骤303:匹配结果指示操作指令为敏感指令时,确定操作指令的敏感等级。
这里,确定操作指令的敏感等级,包括:基于操作指令的敏感标识所处的敏感等级,确定操作指令的敏感等级。
在实际实施时,将预设的多个敏感标识进行敏感等级划分,得到至少两个敏感等级,敏感标识可以为敏感指令的关键字,如下所示:
第一敏感等级的敏感指令包括:在***创建类的命令,比如创建用户(useradd),创建用户组(groupadd),挂载文件***(mount),复制文件或者目录(cp),创建链接(ln),创建或者解压压缩包(rar)等命令。
第二敏感等级的敏感指令包括:在***修改或者删除的命令,比如删除用户(userdel),删除用户组(groupdel),重命名用户组(groupmod),修改口令(passwd),删除文件(rm),删除目录(rmdir),强制卸载文件***(fuser),卸载文件***(umount),改变文件权限(chmod)等命令。
第三敏感等级的敏感指令包括:影响***运行命令,比如关机(shutdown,init,telinit,halt,poweroff),重启(reboot),注销(logout),软件包升级(yum)等命令。
上述得到的所有敏感等级存储在专家经验库中。
步骤304:基于预设的映射关系和操作指令的敏感等级,确定操作指令的敏感等级对应的防护策略;其中,映射关系包含至少两个敏感等级和至少两个防护策略的对应关系。
在实际实施时,专家经验库中还预先存储了敏感等级与防护策略的映射关系,以及至少两个防护策略信息。其中,
敏感等级与防护策略的映射关系至少包括以下:
第一敏感等级对应第一防护策略;第二敏感等级对应第二防护策略;第三敏感等级对应第三防护策略。
本发明实施例中,提供的至少两个防护策略用于校验不同敏感等级的敏感指令在执行时是否违规,如果违规将会采取与敏感等级相对应的防护策略。防护策略可以为单端验证、多端验证、中断连接或触发告警等,具体可以包括以下:
第一防护策略包括:向一个管理终端发送第一验证信息;基于一个管理终端返回的响应第一验证信息的第一授权信息,执行操作指令。进一步地,接收到第一授权信息时,允许执行操作指令;未接收到第一授权信息时,拒绝执行操作指令。
第二防护策略包括:向N个管理终端发送第二验证信息,N取大于1的整数;基于N个管理终端返回的响应第二验证信息的第二授权信息个数,执行操作指令。进一步地,第二授权信息个数等于N时,允许执行操作指令;第二授权信息个数小于N时,拒绝执行操作指令。
第三防护策略包括:中断访问资源管理平台的连接。
步骤305:基于确定的防护策略,防护敏感指令。
具体的,在确定敏感指令的防护策略后,执行防护策略以实现对敏感指令的及时防护。
下面结合图2和图3给出以下三种应用场景。
场景1
当操作指令的敏感等级为第一敏感等级时,如useradd、groupadd、mount、cp等指令,如图4所示,用户使用账号通过单点登录管理模块101登录4A平台,单点登录管理模块101在获取到登录请求时,向堡垒机102发起单点登录请求,堡垒机102向网络设备/业务***104发送连接请求,连接成功返回连接成功指示;在连接成功后***日志监控平台105实时监控该服务器所有的指令,同时将指令与专家经验库106进行匹配和策略分析,当匹配结果显示为第一敏感等级的敏感指令时,判断该操作为一般敏感操作,此时可以通过单端验证来确认该操作已得到授权或允许。
详细的验证流程为:解析操作指令,确定操作指令为第一敏感等级的敏感指令→判定发出操作指令的用户是当前登录4A统一安全管理平台的授权用户→向用户终端107发送手机验证码(即验证信息)→用户终端107回复审批结果→收到审批结果,审批不通过时,通知单点登录管理模块101,中断该连接;审批通过时,后台管理设备记录该操作指令以及对应的告警级别,供后续统计与分析;或者,审批结果收取超时或无效,则中断该连接。这里,用户终端107即为本发明实施例中的一个管理终端,可以为移动终端或固定终端,审批结果可以为用户手机发送的验证码,接收到验证码即为用户授权此次操作。
场景2
当操作指令的敏感等级为第二敏感等级时,如password、useradd、userdel、kill、su等指令,如图5所示,建立连接过程和敏感指令分析过程与场景1相同,当分析匹配结果显示为第二敏感等级的敏感指令时,判断该操作为重要敏感操作;此时可以通过多端验证来确认该操作已得到授权或允许。
详细的验证流程为:解析操作指令,确定操作指令为第二敏感等级的敏感指令→判定发出操作指令的用户是当前登录4A统一安全管理平台的授权用户→向金库管理模块103发送验证信息→所有协同操作人授权通过后,通过金库管理模块103回复审批通过的审批结果,审批通过,执行操作指令;审批不通过时,通知单点登录管理模块101,中断该连接;或者,审批结果收取超时或无效,则中断该连接;另外,后台管理设备记录该操作指令以及对应的告警级别,供后续统计与分析;这里,金库管理模块103回复的审批通过可以是协同操作人登录4A平台,点击授权按键,指示审批通过。
场景3
当操作指令的敏感等级为第三敏感等级时,如shutdown、reboot、poweroff、halt等指令,如图6所示,建立连接过程和敏感指令分析过程与场景1相同,当分析匹配结果显示为第三敏感等级的敏感指令时,判断该操作为严重敏感操作;此时可以通过中断连接来阻止严重敏感指令的侵入。
详细的验证流程为:解析操作指令,确定操作指令的敏感等级为第三敏感等级→判定发出操作指令的用户是当前登录4A统一安全管理平台的授权用户→审批不通过时,通知单点登录管理模块101,中断该连接。
本发明实施例中,统一安全审计管理模块在发现用户输入敏感指令时,能够确定敏感等级,并选择与敏感等级匹配的方法策略,并触发统一授权管理模块执行对应的防护策略(如短信验证,多端审批,中断连接,触发告警),做到及时发现违规操作、分析违规操作及处置违规操作。本发明实施例中无需在现有的4A平台上增加硬件设备即可大幅提高违规操作的处理效率,降低安全事故发生造成的影响。
实施例三
针对本发明实施例的方法,本发明实施例还提供了一种敏感指令的防护设备,如图7所示,该防护设备70包括:处理器701和存储器702;其中,
处理器701用于执行存储器702中存储的敏感指令的防护程序,以实现以下步骤:
资源管理平台的操作指令为敏感指令时,确定操作指令的敏感等级;
基于预设的映射关系和操作指令的敏感等级,确定操作指令的敏感等级对应的防护策略;其中,映射关系包含至少两个敏感等级和至少两个防护策略的对应关系;
基于确定的防护策略,防护敏感指令。
在一些实施例中,至少两个防护策略包括第一防护策略;第一防护策略包括:向一个管理终端发送第一验证信息;基于一个管理终端返回的响应第一验证信息的第一授权信息,执行操作指令。
在一些实施例中,基于一个管理终端返回的响应第一验证信息的第一授权信息,执行操作指令,包括:接收到第一授权信息时,允许执行操作指令;未接收到第一授权信息时,拒绝执行操作指令。
在一些实施例中,至少两个防护策略包括第二防护策略;第二防护策略包括:向N个管理终端发送第二验证信息,N取大于1的整数;基于N个管理终端返回的响应第二验证信息的第二授权信息个数,执行操作指令。
在一些实施例中,基于N个管理终端返回的响应第二验证信息的第二授权信息个数,执行操作指令,包括:第二授权信息个数等于N时,允许执行操作指令;第二授权信息个数小于N时,拒绝执行操作指令。
在一些实施例中,至少两个防护策略包括第三防护策略;第三防护策略包括:中断访问资源管理平台的连接。
在一些实施例中,在确定资源管理平台的操作指令为敏感指令之前,处理器701还用于执行存储器702中存储的敏感指令的防护程序,以实现以下步骤:将预设的多个敏感标识进行敏感等级划分,得到至少两个敏感等级;确定操作指令的敏感等级,包括:基于操作指令的敏感标识所处的敏感等级,确定操作指令的敏感等级。
采用上述技术方案,能够准确检测资源管理平台上的敏感指令,并且能够根据敏感指令的敏感等级为其设置不同的防护策略,执行与敏感指令相适应的防护策略,实现对敏感指令防护的多样性,增强资源管理平台对于敏感指令的防护能力。
实施例四
针对本发明实施例的方法,本发明实施例还提供了另一种敏感指令的防护设备,如图8所示,该防护设备80包括:处理器801和收发器802;其中,
收发器802用于获取资源管理平台的操作指令;
处理器801用于检测到资源管理平台的操作指令为敏感指令时,确定操作指令的敏感等级;基于预设的映射关系和操作指令的敏感等级,确定操作指令的敏感等级对应的防护策略;其中,映射关系包含至少两个敏感等级和至少两个防护策略的对应关系;基于确定的防护策略,防护敏感指令。
在一些实施例中,至少两个防护策略包括第一防护策略;第一防护策略包括:向一个管理终端发送第一验证信息;基于一个管理终端返回的响应第一验证信息的第一授权信息,执行操作指令。
在一些实施例中,基于一个管理终端返回的响应第一验证信息的第一授权信息,执行操作指令,包括:接收到第一授权信息时,允许执行操作指令;未接收到第一授权信息时,拒绝执行操作指令。
在一些实施例中,至少两个防护策略包括第二防护策略;第二防护策略包括:向N个管理终端发送第二验证信息,N取大于1的整数;基于N个管理终端返回的响应第二验证信息的第二授权信息个数,执行操作指令。
在一些实施例中,基于N个管理终端返回的响应第二验证信息的第二授权信息个数,执行操作指令,包括:第二授权信息个数等于N时,允许执行操作指令;第二授权信息个数小于N时,拒绝执行操作指令。
在一些实施例中,至少两个防护策略包括第三防护策略;第三防护策略包括:中断访问资源管理平台的连接。
在一些实施例中,在确定资源管理平台的操作指令为敏感指令之前,处理器801还用于将预设的多个敏感标识进行敏感等级划分,得到至少两个敏感等级;确定操作指令的敏感等级,包括:基于操作指令的敏感标识所处的敏感等级,确定操作指令的敏感等级。
在实际应用中,上述处理器701和处理器801可以为特定用途集成电路(ASIC,Application Specific Integrated Circuit)、数字信号处理装置(DSPD,Digital SignalProcessing Device)、可编程逻辑装置(PLD,Programmable Logic Device)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述处理器功能的电子器件还可以为其它,本发明实施例不作具体限定。
上述存储器702可以是易失性存储器(volatile memory),例如随机存取存储器(RAM,Random-Access Memory);或者非易失性存储器(non-volatile memory),例如只读存储器(ROM,Read-Only Memory),快闪存储器(flash memory),硬盘(HDD,Hard Disk Drive)或固态硬盘(SSD,Solid-State Drive);或者上述种类的存储器的组合,并向处理器提供指令和数据。
上述收发器802可以是位于防护设备中的射频单元,用于实现信号的接收和发送。
通过采用上述技术方案,能够准确检测资源管理平台上的敏感指令,并且能够根据敏感指令的敏感等级为其设置不同的防护策略,执行与敏感指令相适应的防护策略,实现对敏感指令防护的多样性,增强资源管理平台对于敏感指令的防护能力。
实施例五
基于同一发明构思,本发明实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器,上述计算机程序可由终端的处理器执行,以完成前述一个或者更多个实施例中的方法步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
以上,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种敏感指令的防护方法,其特征在于,所述方法包括:
资源管理平台的操作指令为敏感指令时,确定所述操作指令的敏感等级;
基于预设的映射关系和所述操作指令的敏感等级,确定所述操作指令的敏感等级对应的防护策略;其中,所述映射关系包含至少两个敏感等级和至少两个防护策略的对应关系;
基于确定的防护策略,防护敏感指令。
2.根据权利要求1所述的方法,其特征在于,所述至少两个防护策略包括第一防护策略;
所述第一防护策略包括:向一个管理终端发送第一验证信息;
基于所述一个管理终端返回的响应所述第一验证信息的第一授权信息,执行所述操作指令。
3.根据权利要求2所述的方法,其特征在于,所述基于所述一个管理终端返回的响应所述第一验证信息的第一授权信息,执行所述操作指令,包括:
接收到所述第一授权信息时,允许执行所述操作指令;
未接收到所述第一授权信息时,拒绝执行所述操作指令。
4.根据权利要求1所述的方法,其特征在于,所述至少两个防护策略包括第二防护策略;
所述第二防护策略包括:向N个管理终端发送第二验证信息,N取大于1的整数;
基于所述N个管理终端返回的响应所述第二验证信息的第二授权信息个数,执行所述操作指令。
5.根据权利要求4所述的方法,其特征在于,所述基于所述N个管理终端返回的响应所述第二验证信息的第二授权信息个数,执行所述操作指令,包括:
所述第二授权信息个数等于N时,允许执行所述操作指令;
所述第二授权信息个数小于N时,拒绝执行所述操作指令。
6.根据权利要求1所述的方法,其特征在于,所述至少两个防护策略包括第三防护策略;
所述第三防护策略包括:中断访问所述资源管理平台的连接。
7.根据权利要求1所述的方法,其特征在于,在确定所述资源管理平台的操作指令为敏感指令之前,所述方法还包括:
将预设的多个敏感标识进行敏感等级划分,得到至少两个敏感等级;
所述确定所述操作指令的敏感等级,包括:基于所述操作指令的敏感标识所处的敏感等级,确定所述操作指令的敏感等级。
8.一种敏感指令的防护设备,其特征在于,所述设备包括:处理器和存储器;其中,
所述处理器用于执行存储器中存储的敏感指令的防护程序,以实现以下步骤:
资源管理平台的操作指令为敏感指令时,确定所述操作指令的敏感等级;
基于预设的映射关系和所述操作指令的敏感等级,确定所述操作指令的敏感等级对应的防护策略;其中,所述映射关系包含至少两个敏感等级和至少两个防护策略的对应关系;
基于确定的防护策略,防护敏感指令。
9.一种敏感指令的防护设备,其特征在于,所述设备包括:处理器和收发器;
所述收发器用于获取所述资源管理平台的操作指令;
所述处理器用于检测到资源管理平台的操作指令为敏感指令时,确定所述操作指令的敏感等级;基于预设的映射关系和所述操作指令的敏感等级,确定所述操作指令的敏感等级对应的防护策略;其中,所述映射关系包含至少两个敏感等级和至少两个防护策略的对应关系;基于确定的防护策略,防护敏感指令。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810377810.7A CN110401621A (zh) | 2018-04-25 | 2018-04-25 | 一种敏感指令的防护方法、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810377810.7A CN110401621A (zh) | 2018-04-25 | 2018-04-25 | 一种敏感指令的防护方法、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110401621A true CN110401621A (zh) | 2019-11-01 |
Family
ID=68322046
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810377810.7A Pending CN110401621A (zh) | 2018-04-25 | 2018-04-25 | 一种敏感指令的防护方法、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110401621A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113114709A (zh) * | 2021-06-16 | 2021-07-13 | 紫光恒越技术有限公司 | 自定义url过滤分类的应用方法、装置、服务器及存储设备 |
| CN115114647A (zh) * | 2022-08-26 | 2022-09-27 | 湖南华菱电子商务有限公司 | 一种基于数字中台构建客户画像的客户信息管理方法及*** |
| CN116132258A (zh) * | 2022-12-19 | 2023-05-16 | 中国联合网络通信集团有限公司 | 一种高危指令的检测方法和装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753350A (zh) * | 2008-12-10 | 2010-06-23 | 北大方正集团有限公司 | 一种信息审核方法、装置及*** |
| CN102823190A (zh) * | 2010-03-26 | 2012-12-12 | 诺基亚公司 | 用于提供访问资源的信任等级的方法和装置 |
| CN105323227A (zh) * | 2014-07-30 | 2016-02-10 | 腾讯科技(深圳)有限公司 | 验证码图片生成方法、装置及电子设备 |
| CN105518700A (zh) * | 2014-06-27 | 2016-04-20 | 微软技术许可有限责任公司 | 用于关机模式中的数据保护的*** |
| CN105553947A (zh) * | 2015-12-08 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 找回帐号、保护帐号安全、帐号防盗的方法和装置 |
| US9705926B2 (en) * | 2015-08-11 | 2017-07-11 | Avaya Inc. | Security and retention tagging |
| CN107368748A (zh) * | 2016-05-12 | 2017-11-21 | 中兴通讯股份有限公司 | 一种视图生成方法、装置和终端 |
| CN107665313A (zh) * | 2017-05-19 | 2018-02-06 | 平安科技(深圳)有限公司 | 敏感信息展示方法、装置、存储介质和计算机设备 |
| CN107908972A (zh) * | 2017-11-14 | 2018-04-13 | 成都才智圣有科技有限责任公司 | 一种用于隐私保护的数据挖掘装置 |
-
2018
- 2018-04-25 CN CN201810377810.7A patent/CN110401621A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753350A (zh) * | 2008-12-10 | 2010-06-23 | 北大方正集团有限公司 | 一种信息审核方法、装置及*** |
| CN102823190A (zh) * | 2010-03-26 | 2012-12-12 | 诺基亚公司 | 用于提供访问资源的信任等级的方法和装置 |
| CN105518700A (zh) * | 2014-06-27 | 2016-04-20 | 微软技术许可有限责任公司 | 用于关机模式中的数据保护的*** |
| CN105323227A (zh) * | 2014-07-30 | 2016-02-10 | 腾讯科技(深圳)有限公司 | 验证码图片生成方法、装置及电子设备 |
| US9705926B2 (en) * | 2015-08-11 | 2017-07-11 | Avaya Inc. | Security and retention tagging |
| CN105553947A (zh) * | 2015-12-08 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 找回帐号、保护帐号安全、帐号防盗的方法和装置 |
| CN107368748A (zh) * | 2016-05-12 | 2017-11-21 | 中兴通讯股份有限公司 | 一种视图生成方法、装置和终端 |
| CN107665313A (zh) * | 2017-05-19 | 2018-02-06 | 平安科技(深圳)有限公司 | 敏感信息展示方法、装置、存储介质和计算机设备 |
| CN107908972A (zh) * | 2017-11-14 | 2018-04-13 | 成都才智圣有科技有限责任公司 | 一种用于隐私保护的数据挖掘装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113114709A (zh) * | 2021-06-16 | 2021-07-13 | 紫光恒越技术有限公司 | 自定义url过滤分类的应用方法、装置、服务器及存储设备 |
| CN113114709B (zh) * | 2021-06-16 | 2021-09-17 | 紫光恒越技术有限公司 | 自定义url过滤分类的应用方法、装置、服务器及存储设备 |
| CN115114647A (zh) * | 2022-08-26 | 2022-09-27 | 湖南华菱电子商务有限公司 | 一种基于数字中台构建客户画像的客户信息管理方法及*** |
| CN115114647B (zh) * | 2022-08-26 | 2022-11-11 | 湖南华菱电子商务有限公司 | 一种基于数字中台构建客户画像的客户信息管理方法及*** |
| CN116132258A (zh) * | 2022-12-19 | 2023-05-16 | 中国联合网络通信集团有限公司 | 一种高危指令的检测方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110691064B (zh) | 一种现场作业终端安全接入防护和检测*** | |
| US9344457B2 (en) | Automated feedback for proposed security rules | |
| CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及*** | |
| CN107809433B (zh) | 资产管理方法及装置 | |
| KR101558715B1 (ko) | 서버 결합된 멀웨어 방지를 위한 시스템 및 방법 | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及*** | |
| US20070198420A1 (en) | Method and a system for outbound content security in computer networks | |
| CN108768989A (zh) | 一种采用拟态技术的apt攻击防御方法、*** | |
| CN116938590B (zh) | 一种基于虚拟化技术的云安全管理方法与*** | |
| CN110401621A (zh) | 一种敏感指令的防护方法、设备及存储介质 | |
| CN113114647A (zh) | 网络安全风险的检测方法、装置、电子设备、及存储介质 | |
| CN112800397A (zh) | 一种数据资产保护方法、***、电子设备及存储介质 | |
| US11765171B2 (en) | Monitoring security configurations of cloud-based services | |
| CN111666591A (zh) | 线上核保数据安全处理方法、***、设备及存储介质 | |
| CN115550063B (zh) | 一种网络信息***方法、*** | |
| CN116049859A (zh) | 一种数据安全治理方法、***、终端设备及存储介质 | |
| CN116708033B (zh) | 终端安全检测方法、装置、电子设备及存储介质 | |
| CN107888576B (zh) | 一种利用大数据与设备指纹的防撞库安全风险控制方法 | |
| JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
| KR101464736B1 (ko) | 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법 | |
| CN110086812B (zh) | 一种安全可控的内网安全巡警***及方法 | |
| CN110958236A (zh) | 基于风险因子洞察的运维审计***动态授权方法 | |
| CN115150137A (zh) | 一种基于Redis的高频访问预警方法及设备 | |
| CN109379324B (zh) | 网站访问方法、装置、可读存储介质及计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191101 |