一种安全控制方法及装置与流程

1.本技术涉及安全技术领域，特别是涉及一种安全控制方法及装置。


背景技术：

2.移动办公作为一种办公模式，是当今飞速发展的通信技术与计算机技术交融的产物。移动办公是指企业管理者和企业员工等办公人员摆脱了必须在固定场所固定设备上进行办公的限制，通过在诸如手机、平板电脑、笔记本电脑等电子设备上安装企业办公的应用程序，使得电子设备具备办公功能，从而使得办公人员能够借助电子设备通信的便利性，无论身处何种情况下，都能通过电子设备来开展工作。
3.虽然移动办公能够为办公人员的办公提供便利，但是移动办公会带来如下数据安全问题：电子设备的持有者在使用企业办公所需的应用程序时其自身的“人为”泄密行为不可控，容易导致企业信息数据的泄露。由于上述的安全问题导致多数企业对于移动办公的使用并不理想，导致数据安全问题成为企业推进移动办公的最大障碍。
4.因此目前在移动办公场景下应用程序显示的内容可能会被泄露，从而给移动办公带来数据安全的隐患。


技术实现要素：

5.有鉴于此，本技术提出了一种安全控制方法及装置，以期降低应用程序显示的内容被泄露的可能性。
6.为了达到上述目的，本技术主要提供了如下技术方案：
7.第一方面，本技术提供了一种安全控制方法，该方法包括：
8.当需要安全控制的应用程序在电子设备中运行时，监测是否发生安全事件，其中，安全事件用于获取应用程序显示的内容；
9.当监测到安全事件时，阻止应用程序显示的内容被获取。
10.本技术提供的安全控制方法，当需要安全控制的应用程序在电子设备中运行时，监测是否发生用于获取应用程序显示内容的安全事件。当监测到安全事件时，阻止应用程序显示的内容被获取。可见，本技术提供的方案中能够有效防止恶意人员通过安全事件来获取应用程序显示的内容，因此能够降低应用程序显示的内容被泄露的可能性。
11.在一些实施例中，监测是否发生安全事件，包括：控制电子设备对应的图像采集模块对目标区域进行图像采集；在检测到所采集到的图像中存在目标图像采集设备的影像时，确定监测到安全事件。通过图像识别的方式监测安全事件，能够防止电子设备的持有者或恶意人员通过图像采集设备盗取企业数据。
12.在一些实施例中，阻止应用程序显示的内容被获取，包括：控制应用程序退出当前界面；或，控制应用程序显示目标画面，并锁定应用程序。控制应用程序退出当前界面或控制应用程序显示目标画面并锁定应用程序，均能够隐藏应用程序显示的内容，从而避免应用程序显示的内容被泄露。
13.在一些实施例中，监测是否发生安全事件，包括：检测电子设备是否被执行截屏操作；若检测到电子设备被执行截屏操作，则确定监测到安全事件。通过监控截屏操作的方式监测安全事件，能够防止电子设备的持有者或恶意人员通过截屏的方式对企业敏感信息进行泄露。
14.在一些实施例中，阻止所述应用程序显示的内容被获取，包括：拦截截屏操作对应获取的图像存储在电子设备，和/或，拦截电子设备对截屏操作对应获取的图像进行传输操作。能够有效避免截屏的图像被传播，因此能够有效避免企业数据被泄露。
15.在一些实施例中，在阻止所述应用程序显示的内容被获取之后，安全控制方法还包括：获取安全事件发生时应用程序所显示的内容对应的图像以及图像对应的图像信息；将图像以及图像信息发送至对应于应用程序的服务平台，以使服务平台基于图像和图像信息对通过电子设备登录应用程序的用户进行安全行为分析。将安全事件发生时应用程序所显示的内容对应的图像以及图像对应的图像信息服务平台，便于服务平台基于图像和图像信息对通过电子设备登录应用程序的用户进行安全行为分析，从而使得服务平台能够根据安全行为分析结果及时调整安全控制策略。
16.在一些实施例中，在应用程序在电子设备中运行之后，安全控制方法还包括：控制电子设备对应的图像采集模块对目标区域进行图像采集；在采集到的图像内未包括通过电子设备登录应用程序的用户的人脸影像时，锁定应用程序。此种方案即使电子设备丢失或电子设备的使用者可能由于一些事项长时间离开电子设备，也可通过锁定应用程序的方式，防止企业数据被泄露。
17.在一些实施例中，在应用程序在所述电子设备中运行之后，安全控制方法还包括：当存在应用程序的缓存文件时，加密缓存文件，并将加密后的缓存文件存储至应用程序对应的目标存储区域，其中，目标存储区域供所述应用程序单独使用。应用程序在运行期间的缓存文件中记载有企业数据，为了保护企业数据的安全，则需要加密缓存文件，避免缓存文件被恶意获取后，泄露企业数据。另外，为了保证缓存文件的安全性，将加密后的缓存文件存储至应用程序对应的目标存储区域，目标存储区域供应用程序单独使用，从而使得应用程序与电子设备中的其他数据分区管理，确保应用程序的缓存文件的安全。
18.在一些实施例中，在监测到所述安全事件之后，安全控制方法还包括：判断安全事件被监测到时应用程序是否处于登录界面；若处于，阻止所有通过登录界面进行登录操作的用户登录应用程序。在监测到安全事件时，若应用程序处于登录界面，则说明电子设备的持有者，已经有动机盗取企业数据，因此为了避免企业数据被泄露，则阻止所有通过登录界面进行登录操作的用户登录应用程序，从而避免应用程序显示对应与企业数据的内容。
19.第二方面，本技术提供了一种安全控制装置，该装置包括：
20.监测单元，用于当需要安全控制的应用程序在电子设备中运行时，监测是否发生安全事件，其中，所述安全事件用于获取所述应用程序显示的内容；
21.阻止单元，用于当监测到所述安全事件时，阻止所述应用程序显示的内容被获取。
22.在一些实施例中，监测单元包括：控制模块，用于控制电子设备对应的图像采集模块对目标区域进行图像采集；确定模块，用于在检测到所采集到的图像中存在目标图像采集设备的影像时，确定监测到安全事件。
23.在一些实施例中，阻止单元包括：第一阻止模块，用于控制应用程序退出当前界
面；或，控制应用程序显示目标画面，并锁定应用程序。
24.在一些实施例中，监测单元包括：检测模块，用于检测电子设备是否被执行截屏操作；若检测到电子设备被执行截屏操作，则确定监测到安全事件。
25.在一些实施例中，阻止单元包括：第二阻止模块，用于拦截截屏操作对应获取的图像存储在电子设备，和/或，拦截电子设备对截屏操作对应获取的图像进行传输操作。
26.在一些实施例中，安全控制装置还包括：发送单元，用于在阻止单元阻止应用程序显示的内容被获取之后，获取安全事件发生时应用程序所显示的内容对应的图像以及图像对应的图像信息；将图像以及图像信息发送至对应于应用程序的服务平台，以使服务平台基于图像和图像信息对通过电子设备登录应用程序的用户进行安全行为分析。
27.在一些实施例中，安全控制装置还包括：锁定单元，用于在应用程序在电子设备中运行之后，控制电子设备对应的图像采集模块对目标区域进行图像采集；在采集到的图像内未包括通过电子设备登录应用程序的用户的人脸影像时，锁定应用程序。
28.在一些实施例中，安全控制装置还包括：存储单元，用于在应用程序在电子设备中运行之后，当存在应用程序的缓存文件时，加密缓存文件，并将加密后的缓存文件存储至应用程序对应的目标存储区域，其中，目标存储区域供应用程序单独使用。
29.在一些实施例中，阻止单元，还用于在监测到安全事件之后，判断安全事件被监测到时应用程序是否处于登录界面；若处于，阻止所有通过登录界面进行登录操作的用户登录应用程序。
30.第二方面的有益效果可以参照上述第一方面的描述，在此不予赘述。
31.第三方面，本技术提供了一种控制器，控制器包括：存储器，用于存储计算机程序；处理器，用于执行计算机程序时实现如第一方面所述的安全控制方法。
32.第三方面的有益效果可以参照上述第一方面的描述，在此不予赘述。
33.第四方面，本技术提供了一种电子设备，电子设备包括：第三方面所述的控制器。
34.第四方面的有益效果可以参照上述第三方面的描述，在此不予赘述。
35.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。
附图说明
36.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
37.图1示出了本技术实施例提供的安全控制方法的流程图；
38.图2示出了本技术实施例提供的应用程序在电子设备中的显示情况的示意图之一；
39.图3示出了本技术实施例提供的应用程序在电子设备中的显示情况的示意图之二；
40.图4示出了本技术实施例提供的安全控制装置的结构示意图之一；
41.图5示出了本技术实施例提供的安全控制装置的结构示意图之二。
具体实施方式
42.下面将参照附图更加详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
43.目前，虽然移动办公能够为办公人员的办公提供便利，但是移动办公会带来如下数据安全问题：电子设备的持有者在使用企业办公所需的应用程序时其自身的“人为”泄密行为不可控，容易导致企业信息数据的泄露。由于上述的数据安全问题导致多数企业对于移动办公的使用并不理想，导致数据安全问题成为企业推进移动办公的最大障碍。
44.本技术实施例提供了一种安全控制方法及装置，本技术实施例提供的安全控制方法及装置，能够有助于避免电子设备内安装的应用程序显示的内容被泄露，从而解决移动办公带来的数据安全问题，助力企业推进移动办公。本技术实施例提供的安全控制方法及装置可以基于具体业务需求应用在任意一个安装有企业办公应用程序的电子设备中，以降低应用程序显示的内容被泄露的可能性。
45.本技术提供的安全控制方法及装置可以与电子设备部署的其他安全控制方法结合使用。示例性的，这里所述的其他安全控制方法可以包括但不限于：向应用程序界面添加水印的安全控制方法、限制复制权限的安全控制方法。
46.下面对本技术实施例提供的安全控制方法及装置进行具体说明。
47.如图1所示，本技术实施例提供了一种安全控制方法，该方法可以包括以下步骤：
48.101、当需要安全控制的应用程序在电子设备中运行时，监测是否发生安全事件；当监测到安全事件时，执行步骤102；当未监测到安全事件时，继续执行本步骤。
49.在实际应用中，需要安全控制的应用程序为企业办公所用的应用程序，该应用程序所显示的内容与企业数据相关。本技术实施例对应用程序的具体类型不作限定，示例性的，应用程序可以包括但不限于具有如下至少一种功能的应用程序：移动审批、移动会议、移动邮件、移动报表、移动及时通信。
50.电子设备，其可以为诸如手机、平板电脑、笔记本电脑等能够便携携带，且具有良好的通信性能的电子设备。电子设备用于安装企业办公所需的应用程序，使得办公人员能够借助电子设备通信的便利性，无论身处何种情况下，都能通过电子设备来开展工作。
51.电子设备的持有者作为办公人员通过电子设备办公时，需要安全控制的应用程序在电子设备中运行。当应用程序在电子设备中运行时，为了提升企业数据在传输的过程中的安全性，则电子设备中的vpn(virtual private network，虚拟专用网络)控制模块临时建立一个虚拟专用网络通道，实现电子设备与应用程序对应的服务平台建立通信。在应用程序被打开时，建立vpn通道，当应用程序关闭时，自动关闭vpn网络通道。当应用程序被打开时，办公人员输入的认证信息被加密后，通过vpn网络通道发送至应用程序对应的服务平台(即企业服务器端)进行验证，只有验证通过，应用程序才能进入操作界面，进行企业数据的显示。
52.在需要安全控制的应用程序在电子设备中运行时，说明办公人员在使用其进行办
公操作，为了保证企业数据的安全，则当应用程序在电子设备中运行时，监测是否发生安全事件。在一个实施例中，应用程序在电子设备中运行可以定义为应用程序在前台运行，当应用程序在前台运行时，应用程序显示的内容被拍照和截屏的可能性会更高。
53.安全事件可以是指获取应用程序显示的内容，例如，安全事件为对应用程序显示的内容进行截屏，或安全事件为通过图像采集设备对应用程序显示的内容进行拍摄。应用程序显示的内容被获取，则企业数据被泄露，因此需要监测是否发生安全事件。监测是否发生安全事件的方法与安全事件的具体类型有关，监测是否发生安全事件的方法可以包括如下两种：
54.第一种，监测是否发生安全事件的具体过程包括如下步骤101a至101b：
55.101a、控制电子设备对应的图像采集模块对目标区域进行图像采集。
56.目标区域为图像采集模块的可视区域，进入该区域内的人员可通过图像采集设备拍摄到应用程序显示的内容，因此需要控制电子设备对应的图像采集模块对目标区域进行图像采集，以及时发现泄露企业数据的行为。
57.在移动办公场景下可能会有如下两种情况发生：一是，电子设备的持有者，在使用电子设备办公的过程可通过其他具有图像采集功能的设备对应用程序所显示的内容进行图像采集，则企业数据将被泄露；二是，由于电子设备的持有者，可随时随地进行办公，其所处环境可能人员嘈杂，一旦有人恶意通过具有拍照功能的设备对应用程序所显示的内容进行图像采集，则企业数据将被泄露。因此，为了避免应用程序所显示的内容被具有图像采集功能的设备采集，需要控制电子设备对应的图像采集模块对目标区域进行图像采集，以根据图像采集的结果分析出当前是否存在对应用程序显示的内容的可疑图像采集设备。
58.电子设备对应的图像采集模块可以为电子设备内置的图像采集模块或外置于电子设备的图像采集模块。示例性的，如图2所示，图2中存在电子设备2a，电子设备2a对应的图像采集模块为电子设备2a内置的前置摄像头2b。电子设备2a中展示有应用程序对应的界面2c，界面2c显示的内容涉及到企业数据“招标内容”。为了避免应用程序显示的内容被泄露，前置摄像头2b对其可视区域进行图像采集。
59.在一些实施例中，仅有在应用程序运行时，才会控制电子设备对应的图像采集模块对目标区域进行图像采集，从而有助于避免侵犯个人的隐私。
60.101b、在检测到所采集到的图像中存在目标图像采集设备的影像时，确定监测到安全事件。
61.为了及时保护应用程序显示的内容，则每采集到一帧图像，需要对所采集的图像进行图像识别。图像识别的具体方法为：将所采集的当前帧图像输入至图像识别模型，然后得到图像识别模型输出的识别结果，识别结果中会明确图像中是否存在目标图像采集设备的影像。图像识别模型为预先训练好的，用于识别目标图像采集设备的影像的模型。
62.在检测到所采集到的图像中存在目标图像采集设备的影像时，说明存在图像采集设备对应用程序显示的内容进行拍摄，应用程序显示的内容存在被泄露的可能，因此确定监测到安全事件。目标图像采集设备可以包括但不限于如下包括摄像头的设备：单反相机、卡片相机、摄像机、手机、自拍杆。
63.进一步的，为了提高图像识别模型的识别效果，则在检测到所采集到的图像中存在目标图像采集设备的影像时，基于该图像进行图像识别模型的训练更新。该训练更新方
法可以包括如下两种：一种是，将该图像发送至应用程序对应的服务平台，服务平台会根据其接收到的图像对图像识别模型进行更新，并将更新后的图像识别模型下发至电子设备。另一种是，将图像存储至电子设备本地的指定位置，在达到周期性更新的更新时间点时，通过指定位置的图像对图像识别模型进行训练更新。
64.进一步的，在检测到所采集到的图像中存在拍照动作对应的影像时，确定监测到安全事件。考虑到恶意人员可能采用比较隐蔽的设备对应用程序显示的内容进行拍摄，而隐蔽的拍摄设备的影像不容易采集到，因此为了更为全面的识别拍照行为，还可通过检测图像中的拍照动作的识别来确定是否存在安全事件。
65.第二种，监测是否发生安全事件的具体过程包括如下步骤101c至101d：
66.101c、检测电子设备是否被执行截屏操作。
67.为了阻止通过截屏的方式对企业敏感信息进行泄露，在应用程序的运行期间，需要检测电子设备是否被执行截屏操作。检测电子设备是否被执行截屏操作的具体方法可以为：监控电子设备的截屏api(application programming interface，应用程序编程接口)是否被调用，截屏api被调用时，电子设备当前展示的内容将被截取。在监控到电子设备的截屏api被调用时，则检测到电子设备被执行截屏操作。
68.101d、若检测到电子设备被执行截屏操作，则确定监测到安全事件。
69.在检测到电子设备被执行截屏操作，则说明应用程序显示的内容被截取成图像，应用程序显示的内容存在被泄露的可能，因此确定监测到安全事件。
70.通过上述两种方法均可以监测是否发生安全事件，两种方法可以单独使用，也可以结合使用，本实施例不做具体限定。
71.当监测到安全事件时，说明应用程序显示的内容存在被泄露的可能，因此需要执行步骤102，以阻止应用程序显示的内容被获取。
72.当未监测到安全事件时，说明应用程序显示的内容不存在被泄露的可能，因此需要继续执行本步骤101，以便及时发现安全事件。
73.102、阻止应用程序显示的内容被获取。
74.为了降低应用程序显示的内容被泄露的可能性，当监测到安全事件时，需要阻止应用程序显示的内容被获取。阻止应用程序显示的内容被获取的方法与安全事件的具体类型有关，因此阻止应用程序显示的内容被获取的方法至少包括如下两种：
75.第一种，若在电子设备对应的图像采集模块所采集的图像中，检测到目标图像采集设备的影像，则阻止应用程序显示的内容被获取的方法包括如下两种：
76.一是，控制应用程序退出当前界面。
77.在检测到所采集到的图像中存在目标图像采集设备的影像时，说明存在图像采集设备对应用程序显示的内容进行拍摄，应用程序显示的内容存在被泄露的可能，因此为了避免应用程序显示的内容被获取，则控制应用程序退出当前界面。控制应用程序退出当前界面的目的是为了避免应用程序当前显示的内容被目标图像采集设备拍摄。进一步的，在控制应用程序退出当前界面之后，还可进入如下中的一种操作：一是，控制应用程序进入登录界面，控制应用程序进入登录界面的目的是为了锁定应用程序，避免应用程序在目标图像采集设备存在的环境下继续使用，从而避免在该环境下泄露企业数据。二是，展示警告信息，以告知电子设备的用户当前出现了泄露企业数据的行为。
78.示例性的，如图2所示，电子设备2a中展示有应用程序对应的界面2c，界面2c显示的内容涉及到企业数据“招标内容”。电子设备2a的摄像头2b对目标区域进行图像采集。检测到采集到的图像中存在目标图像采集设备的影像，则为了避免界面2c中与招标内容相关的数据泄露，控制应用程序退出界面2c，并在控制应用程序退出界面2c之后，控制应用程序进入到如图3所示的登录界面2d。
79.进一步的，考虑电子设备的持有者是目标图像采集设备的使用者，在进入登录界面之后，阻止所有通过登录界面进行登录操作的用户登录应用程序，避免使用者继续泄露企业数据。仅有在其进行登录申请，且登录申请被通过后，才可登录。
80.二是，控制应用程序显示目标画面，并锁定应用程序。
81.在检测到所采集到的图像中存在目标图像采集设备的影像时，说明存在图像采集设备对应用程序显示的内容进行拍摄，应用程序显示的内容存在被泄露的可能，因此为了避免应用程序显示的内容被获取，则控制应用程序显示目标画面，并锁定应用程序。控制应用程序显示目标画面的目的是为了遮挡应用程序当前显示的内容，避免所显示的内容被目标图像采集设备拍摄。锁定应用程序的目的是为了避免应用程序在目标图像采集设备存在的环境下，继续使用，避免在该环境下泄露企业数据。
82.进一步的，锁定应用程序之后，电子设备的持有者期望继续使用应用程序时，其需要通过电子设备向应用程序对应的服务平台发送解锁请求，以使服务平台基于解锁请求对其进行解锁验证，且仅有在解锁验证通过后，才会向应用程序下发解锁所需数据。
83.第二种，若检测到电子设备被执行截屏操作，则阻止应用程序显示的内容被获取的方法包括如下两种：
84.一是，拦截截屏操作对应获取的图像存储在电子设备。
85.在检测到电子设备被执行截屏操作，则说明应用程序显示的内容被截取成图像，应用程序显示的内容存在被泄露的可能，因此为了避免截屏操作所得的图像被泄露，则拦截截屏操作对应获取的图像存储在电子设备，避免从电子设备泄露企业数据。在拦截截屏操作对应获取的图像存储在电子设备之后，可删除该图像，并锁定应用程序。
86.二是，拦截电子设备对截屏操作对应获取的图像进行传输操作。
87.在检测到电子设备被执行截屏操作，则说明应用程序显示的内容被截取成图像，应用程序显示的内容存在被泄露的可能，因此为了避免截屏操作所得的图像被泄露，则拦截电子设备对截屏操作对应获取的图像进行传输操作，避免电子设备将图像泄露给其他设备。拦截电子设备对截屏操作对应获取的图像进行传输操作之后，可删除该图像，并锁定应用程序。
88.上述的拦截截屏操作对应获取的图像存储在电子设备以及拦截电子设备对截屏操作对应获取的图像进行传输操作，可以单独使用，也可以结合使用，本实施例不做具体限定。
89.本技术实施例提供的安全控制方法，当需要安全控制的应用程序在电子设备中运行时，监测是否发生用于获取应用程序显示内容的安全事件。当监测到安全事件时，阻止应用程序显示的内容被获取。可见，本技术实施例提供的方案中能够有效防止恶意人员通过安全事件来获取应用程序显示的内容，因此能够降低应用程序显示的内容被泄露的可能性。
90.在本技术一些实施例中，进一步的，在应用程序在电子设备中运行之后，安全控制方法还可以包括如下步骤201至202：
91.201、控制电子设备对应的图像采集模块对目标区域进行图像采集。
92.在应用程序在电子设备中的运行期间可能会遇到如下三种场景：一是，电子设备其虽然具有便携携带的优点，但是该优点使得电子设备具有易丢失性。在电子设备丢失时，如果应用程序在正常运行，则应用程序显示的内容可能会被电子设备的捡拾者观看到，会造成企业数据的泄露。二是，在应用程序运行期间，电子设备的使用者可能由于一些事项，长时间离开电子设备，而且其忘记锁定应用程序，则应用程序显示的内容可能会其他的人观看到，会造成企业数据的泄露。三是，在应用程序运行期间，电子设备的使用者或其他人员在遮挡图像模块之后，通过其他的图像采集设备采集应用程序显示的内容，此种情况会造成企业的泄露。
93.因此为了避免在上述三种场景内造成企业数据的泄露，则控制电子设备对应的图像采集模块对目标区域进行图像采集。目标区域为图像采集模块的可视区域，进入该区域内的人员可通过图像采集设备拍摄到应用程序显示的内容，因此需要控制电子设备对应的图像采集模块对目标区域进行图像采集，以及时发现泄露企业数据的行为
94.202、在采集到的图像内未包括通过电子设备登录应用程序的用户的人脸影像时，锁定应用程序。
95.在采集到的图像内未包括通过电子设备登录所述应用程序的用户的人脸影像时，说明电子设备丢失或电子设备的使用者可能由于一些事项长时间离开电子设备，为了避免企业数据的泄露，锁定应用程序，以使应用程序不能使用，且不再显示与企业数据。在一些实施例中，用户的人脸影像的检测可通过人体面部识别技术来实现，而在人体面部识别过程中，可以结合活体检测机制，以预防人为的对用户的人脸影像检测机制的绕行。
96.为了减少误判的概率，在连续采集到的多帧图像内均未包括通过电子设备登录应用程序的用户的人脸影像时，才锁定应用程序。
97.在本技术一些实施例中，进一步的，在应用程序在电子设备中运行之后，安全控制方法还可以包括如下步骤：当存在应用程序的缓存文件时，加密缓存文件，并将加密后的缓存文件存储至应用程序对应的目标存储区域，其中，目标存储区域供应用程序单独使用。
98.应用程序在运行期间的缓存文件中记载有企业数据，为了保护企业数据的安全，则需要加密缓存文件，以避免缓存文件被恶意获取后，泄露企业数据。将加密后的缓存文件存储至应用程序对应的目标存储区域，目标存储区域供应用程序单独使用。目标存储区域供应用单独使用的目的至少包括如下三个：一是，实现应用程序的数据与电子设备中的其他数据分区管理，确保应用程序的缓存文件的安全；二是，对企业数据和电子设备中持有者的个人数据进行区分处理，避免侵犯个人隐私数据。
99.在本技术一些实施例中，进一步的，在上述步骤101监测到安全事件之后，安全控制方法还可以包括如下步骤301至302：
100.301、判断安全事件被监测到时应用程序是否处于登录界面；若处于，执行步骤302；否则，执行步骤102。
101.应用程序处于登录界面是指电子设备的持有者还未登录应用程序，应用程序还未显示与企业数据相关的内容。在判断出安全事件被监测到时应用程序处于登录界面，则说
明电子设备的持有者，已经有动机盗取企业数据，因此，需要执行步骤302。
102.302、阻止所有通过登录界面进行登录操作的用户登录应用程序。
103.在判断出安全事件被监测到时应用程序处于登录界面，则说明电子设备的持有者，已经有动机盗取企业数据，为了避免企业数据被泄露，则阻止所有通过登录界面进行登录操作的用户登录应用程序，以避免应用程序显示对应与企业数据的内容。
104.在本技术一些实施例中，进一步的，在上述步骤102阻止应用程序显示的内容被获取之后，安全控制方法还可以包括如下步骤401至402：
105.401、获取安全事件发生时应用程序所显示的内容对应的图像以及图像对应的图像信息。
106.为了便于管控企业数据的安全，在监测到安全事件之后，获取安全事件发生时应用程序所显示的内容对应的图像以及图像对应的图像信息。应用程序所显示的内容对应的图像体现盗取企业数据的盗取意图，也就是其期望获取哪些企业数据。图像信息中可携带有安全事件的发生时间、安全事件的类型，比如，拍照还是截屏、登录用户的属性信息等。
107.402、将图像以及图像信息发送至对应于应用程序的服务平台，以使服务平台基于图像和图像信息对通过电子设备登录应用程序的用户进行安全行为分析。
108.将图像以及图像信息发送至对应于应用程序的服务平台。为了保证传输的安全性，则图像以及图像信息需要在加密后发送。另外，一旦出现图像以及图像信息传输失败的情况，则将图像以及图像信息存储在电子设备本地，以在传输故障排除后，重新将图像以及图像信息发送至对应于应用程序的服务平台。
109.图像以及图像信息发送至服务平台之后，服务平台基于图像和图像信息对通过电子设备登录应用程序的用户进行安全行为分析。安全行为分析的主要目的是：基于图像以及图像信息确定哪些企业数据在哪个时间点，在哪个办公人员的电子设备，出现泄漏风险，并根据上述所确定的信息，调整企业数据的防控策略，并对所确定的办公人员进行安全评估。
110.在本技术一些实施例中，进一步的，在应用程序在电子设备中运行之后，安全控制方法还可以包括如下步骤：获取用户的身份信息，并将身份信息发送至应用程序对应的服务平台，以供服务平台进行身份认证使用；在接收到服务平台的验证通过反馈后，控制应用程序登录进入操作界面。
111.在应用程序在电子设备中运行之后，身份验证模块会获取用户的身份信息。然后数据加解密模块对身份信息进行加密，并将加密后的身份信息发送至服务平台进行验证。在服务平台反馈验证通过后，应用程序进入操作界面。为了提高身份认证的安全性，身份验证模块可以调用vpn控制模块，以在进行身份验证过程中，身份信息可通过vpn控制模块建立的vpn网络通道传输至服务平台。
112.在应用程序进入操作界面会后，应用程序可以执行具体的业务处理，业务处理由业务处理模块完成，业务处理模块主要是用于处理应用程序涉及的企业内部业务，例如移动审批等业务。
113.在应用程序进入操作界面会后，应用程序涉及的进程由守护进程模块管理，守护进程模块主要负责接收服务平台的推送消息，并将所接收的推送消息展示在应用程序中。
114.另外，为了提高应用程序的安全性，无论应用程序是否启动均需对应用程序的存
储空间进行防护。应用程序的存储空间是应用程序单独使用的空间，对其单独使用的存储空间中的文件进行的权限控制。该权限控制的主要目的是，非授权的进程无法越权访问其单独使用的存储空间，提高应用程序的安全性。
115.进一步的，依据上述方法实施例，本技术的另一个实施例还提供了一种安全控制装置，如图4所示，所述装置包括：
116.监测单元51，用于当需要安全控制的应用程序在电子设备中运行时，监测是否发生安全事件，其中，安全事件用于获取应用程序显示的内容；
117.阻止单元52，用于当监测到安全事件时，阻止应用程序显示的内容被获取。
118.本技术实施例提供的安全控制装置，当需要安全控制的应用程序在电子设备中运行时，监测是否发生用于获取应用程序显示内容的安全事件。当监测到安全事件时，阻止应用程序显示的内容被获取。可见，本技术实施例提供的方案中能够有效防止恶意人员通过安全事件来获取应用程序显示的内容，因此能够降低应用程序显示的内容被泄露的可能性。
119.可选的，如图5所示，监测单元51包括：
120.控制模块511，用于控制电子设备对应的图像采集模块对目标区域进行图像采集；
121.确定模块512，用于在检测到所采集到的图像中存在目标图像采集设备的影像时，确定监测到安全事件。
122.可选的，如图5所示，阻止单元52包括：
123.第一阻止模块521，用于控制应用程序退出当前界面；或，控制应用程序显示目标画面，并锁定应用程序。
124.可选的，如图5所示，监测单元51包括：
125.检测模块513，用于检测电子设备是否被执行截屏操作；若检测到电子设备被执行截屏操作，则确定监测到安全事件。
126.可选的，如图5所示，阻止单元52包括：
127.第二阻止模块522，用于拦截截屏操作对应获取的图像存储在电子设备，和/或，拦截电子设备对截屏操作对应获取的图像进行传输操作。
128.可选的，如图5所示，该安全控制装置还包括：
129.发送单元53，用于在阻止单元52阻止应用程序显示的内容被获取之后，获取安全事件发生时应用程序所显示的内容对应的图像以及图像对应的图像信息；将图像以及图像信息发送至对应于应用程序的服务平台，以使服务平台基于图像和图像信息对通过电子设备登录应用程序的用户进行安全行为分析。
130.可选的，如图5所示，该安全控制装置还包括：
131.锁定单元54，用于在应用程序在电子设备中运行之后，控制电子设备对应的图像采集模块对目标区域进行图像采集；在采集到的图像内未包括通过电子设备登录应用程序的用户的人脸影像时，锁定应用程序。
132.可选的，如图5所示，该安全控制装置还包括：
133.存储单元55，用于在应用程序在电子设备中运行之后，当存在应用程序的缓存文件时，加密缓存文件，并将加密后的缓存文件存储至应用程序对应的目标存储区域，其中，目标存储区域供应用程序单独使用。
134.可选的，如图5所示，阻止单元52，还用于在监测到安全事件之后，判断安全事件被监测到时应用程序是否处于登录界面；若处于，阻止所有通过登录界面进行登录操作的用户登录应用程序。
135.本技术实施例提供的安全控制装置中，各个功能模块运行过程中所采用的方法详解可以参见上述安全控制方法实施例的对应方法详解，在此不再赘述。
136.进一步的，依据上述实施例，本技术的另一个实施例还提供了一种控制器，该控制器包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如上述的安全控制方法。
137.本技术实施例提供的控制器的有益效果可以参照上述安全控制方法的实施例中的描述，在此不予赘述。
138.进一步的，依据上述实施例，本技术的另一个实施例还提供了一种电子设备，该电子设备包括：上述的控制器。
139.本技术实施例提供的电子设备的有益效果可以参照上述控制器的实施例中的描述，在此不予赘述。
140.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
141.可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。
142.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
143.在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本技术也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本技术的内容，并且上面对特定语言所做的描述是为了披露本技术的最佳实施方式。
144.在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本技术的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
145.此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本技术的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
146.本技术的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本技术实施例的深度神经网络模型的运行方法、装置及框架中的一些或者全部部件的一些或者全部功能。本技术还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本技术的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，
或者以任何其他形式提供。
147.应该注意的是上述实施例对本技术进行说明而不是对本技术进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本技术可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。