终端、服务器和终端安全管理方法与流程

本发明涉及电子安全技术领域，具体而言，涉及一种终端、一种服务器和一种终端安全管理方法。

背景技术：
随着科技的发展，现代企业对信息安全越来越重视，各个企业想尽各种方法来防止信息的泄露，诸如桌面安全、邮件过滤等。但对移动终端的控制却很有限，现有信息安全控制不能有机地和移动终端捆绑，有可能导致信息从移动终端泄露。企业往往通过限制员工及往来客户使用移动终端的方式来达到保障信息安全的目的，但这样往往对员工和往来客户造成很多不便。因此，需要一种新的安全管理技术，可以有效的解决移动终端所带来的信息安全问题，有效地保障待保护区域的信息安全。

技术实现要素：
本发明所要解决的技术问题在于，提供一种新的安全管理技术，可以有效的解决移动终端所带来的信息安全问题，有效地保障待保护区域的信息安全。有鉴于此，本发明提供了一种终端，包括：通信单元，将验证请求信息发送至服务器，并从所述服务器接收对应于所述验证请求信息的权限设置信息；处理单元，根据来自所述通信单元的所述权限设置信息，配置对应的终端权限设置。在该技术方案中，可以通过近场通讯(NFC，NearFieldCommunication)设备之间的信息交互实现对终端操作权限的限制，例如通过读取手机中的验证请求信息，服务器根据使用者的身份下发相应的权限，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，从而有效地保障企业的信息安全。这里的验证请求信息包括手机的IMSI码(InternationalMobileSubscriberldentificationNumber，国际移动用户识别码)、IMEI码(InternationalMobileEquipmentIdentity国际移动设备身份码)、手机号码、手机中预置的账户信息等。在上述技术方案中，优选地，所述处理单元配置所述终端权限设置的过程具体包括：修改终端系统设置、限制终端的应用程序编程接口调用和/或监控终端操作。在该技术方案中，这里对于权限的限制，比如不允许执行拍照、通话等，具体可以通过在终端上安装配套的管理程序，则当该管理程序读取其获取的权限级别后，通过对比如API(ApplicationProgrammingInterface，应用程序编辑接口)调用、点击操作的应用等进行监控，即可了解当前启动的程序是否符合权限要求，并允许其运行或强行关闭。在上述技术方案中，优选地，所述的终端，还包括：位置获取单元，获取所述终端的实时位置；位置判断单元，根据所述位置获取单元获取的所述实时位置，判断所述终端是否进入或离开预设的特定区域，若是，则由所述通信单元将所述验证请求信息发送至所述服务器；以及所述通信单元还用于：在所述位置判断单元的判断结果为所述终端离开所述特定区域的情况下，接收来自所述服务器的权限恢复命令；所述处理单元还用于：根据来自所述通信单元的所述权限恢复命令，取消对所述终端的权限限制。在该技术方案中，根据终端使用者的位置确定是否需要限制其终端的权限，当终端的使用者进入相对较为重要、信息安全级别较高的区域时，则对其终端进行权限管理，限制其使用权限，例如不允许拍照等，当该使用者离开该区域时再恢复其终端的使用权限；通过该技术方案，可以灵活地控制终端使用者的使用权限，在有效地保障企业信息安全的同时，还可以最大程度地方便终端使用者对终端的使用。在上述技术方案中，优选地，所述的终端，还包括：记录单元，在所述终端位于所述特定区域时，生成所述终端的使用记录；以及所述通信单元还用于：在所述终端离开所述特定区域时，将所述使用记录发送至所述服务器。在该技术方案中，对于终端处于特定区域时的使用情况进行记录并发送至服务器，进一步优化了信息安全保障的方案，在发生意外状况时，可以通过检查各终端的使用记录，方便对意外状况的处理，可以更有效地保障企业的信息安全。在上述技术方案中，优选地，所述终端中的应用功能预设有权限级别，则所述处理单元包括：使用权限获取子单元，获取所述终端中的应用功能的权限级别；以及功能禁用子单元，根据所述终端权限设置，禁止启动权限级别低于所述权限设置信息对应的权限级别的应用功能。在该技术方案中，通过预先对终端中所有的应用程序进行权限等级的设置，从而获取当前的权限等级后，可以直接对应于程序的权限等级进行读取，并进行允许或禁止开启的管理。本发明还提供了一种服务器，包括：存储单元，将权限设置信息与验证请求信息进行一一对应地存储；信息传输单元，接收来自终端的验证请求信息，并将来自验证单元的对应于所述验证请求信息的权限设置信息发送至所述终端；以及所述验证单元，根据来自所述信息传输单元的所述验证请求信息，从所述存储单元中获取对应的权限设置信息。在该技术方案中，服务器通过获取终端的验证请求信息，对终端下发相应的操作权限，对不同身份的人在服务器中会对应有各自应有的权限，使权限控制更加准确，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，从而实现了有效地保障企业的信息安全。在上述技术方案中，优选地，所述的服务器，还包括：设置单元，设置特定区域的范围，使得所述终端在进入或离开所述特定区域时，将所述验证请求信息发送至所述服务器；权限恢复单元，在所述信息传输单元接收到所述终端离开所述特定区域时发送的验证请求信息时，生成权限恢复命令，并由所述信息传输单元发送至所述终端；以及所述信息传输单元还用于：接收来自所述终端的使用记录，所述使用记录包括所述终端位于所述特定区域时的使用情况。在该技术方案中，根据终端使用者的位置确定是否需要限制其终端的权限，当终端的使用者进入相对较为重要、信息安全级别较高的区域时，则对其终端进行权限管理，限制其使用权限，例如不允许拍照等，当该使用者离开该区域时再恢复其终端的使用权限；通过该技术方案，可以灵活地控制终端使用者的使用权限，在有效地保障企业信息安全的同时，还可以最大程度地方便终端使用者对终端的使用；另外，服务器还记录终端在特定区域时的使用情况，进一步优化了信息安全保障的方案，在发生意外状况时，可以通过检查各终端的使用记录，方便对意外状况的处理，可以更有效地保障企业的信息安全。本发明还提供了一种终端安全管理方法，包括：步骤202，终端将验证请求信息发送至服务器；步骤204，所述服务器根据接收到的所述验证请求信息，对所述终端进行验证并生成对应的权限设置信息；步骤206，所述服务器将所述权限设置信息发送至所述终端；步骤208，所述终端根据接收到的所述权限设置信息，配置对应的终端权限设置。在该技术方案中，可以通过近场通讯设备之间的信息交互实现对终端操作权限的限制，例如通过读取手机中的验证请求信息，服务器根据使用者的身份下发相应的权限，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，从而有效地保障企业的信息安全。这里的验证请求信息包括手机的IMSI码、IMEI码、手机号码、手机中预置的账户信息等。在上述技术方案中，优选地，在所述步骤208具体为：终端根据所述权限设置信息，通过修改终端系统设置、限制终端的应用程序编程接口调用和/或监控终端操作配置终端功能权限设置。在该技术方案中，这里对于权限的限制，比如不允许执行拍照、通话等，具体可以通过在终端上安装配套的管理程序，则当该管理程序读取其获取的权限级别后，通过对比如API调用、点击操作的应用等进行监控，即可了解当前启动的程序是否符合权限要求，并允许其运行或强行关闭。在上述技术方案中，优选地，所述步骤202之前，还包括：设置特定区域；获取所述终端的实时位置，并判断所述终端是否进入所述特定区域，若是，则执行所述步骤202；以及在所述步骤208之后，还包括：若所述终端离开所述特定区域，则所述终端将所述验证请求信息发送至所述服务器；以及所述服务器在验证成功后，将权限恢复命令发送至所述终端，取消对所述终端的权限限制。在该技术方案中，根据终端使用者的位置确定是否需要限制其终端的权限，当终端的使用者进入相对较为重要、信息安全级别较高的区域时，则对其终端进行权限管理，限制其使用权限，例如不允许拍照等，当该使用者离开该区域时再恢复其终端的使用权限；通过该技术方案，可以灵活地控制终端使用者的使用权限，在有效地保障企业信息安全的同时，还可以最大程度地方便终端使用者对终端的使用。在上述技术方案中，优选地，所述的终端安全管理方法，还包括：生成所述终端位于所述特定区域时的使用记录，并在所述终端离开所述特定区域时，将所述使用记录发送至所述服务器。在该技术方案中，对于终端处于特定区域时的使用情况进行记录并发送至服务器，进一步优化了信息安全保障的方案，在发生意外状况时，可以通过检查各终端的使用记录，方便对意外状况的处理，可以更有效地保障企业的信息安全。在上述技术方案中，优选地，所述终端中的应用功能预设有权限级别，则所述步骤208具体包括：所述终端根据所述终端权限设置，禁止启动权限级别低于所述权限设置信息对应的权限级别的应用功能。在该技术方案中，通过预先对终端中所有的应用程序进行权限等级的设置，从而获取当前的权限等级后，可以直接对应于程序的权限等级进行读取，并进行允许或禁止开启的管理。在上述技术方案中，优选地，在所述步骤202之前，还包括：将权限级别与验证请求信息进行一一对应地存储。在该技术方案中，对不同身份的人在服务器中会对应有各自应有的权限，使权限控制更加准确，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，从而实现了有效地保障企业的信息安全。综上所述，本发明针对终端中的验证请求信息下发相应的权限，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，可以有效地保障企业的信息安全；还可以对于不同终端在不同区域的权限进行不同的限定，在有效地保障企业信息安全的同时，还可以最大程度地方便终端使用者对终端的使用；终端还对其在特定区域内的使用情况进行记录并发送至服务器，实现了对终端状态的全面掌控，进一步保障了企业的信息安全；另外，对于自身应用功能预设有使用权限级别的终端，可以更方便的限制其操作权限，使权限控制更加方便、有效。附图说明图1示出了根据本发明的实施例的终端的框图；图2示出了根据本发明的实施例的服务器的框图；图3示出了根据本发明的实施例的信息安全管理系统的框图；图4示出了根据本发明的实施例的终端安全管理方法的流程图；图5是根据本发明的实施例的终端和服务器保障企业信息安全的具体流程图。具体实施方式为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明并不限于下面公开的具体实施例的限制。图1示出了根据本发明实施例的终端的框图。如图1所示，本发明提供了一种终端100，包括：通信单元102，将验证请求信息发送至服务器，并从该服务器接收对应于验证请求信息的权限设置信息；处理单元104，根据来自通信单元102的权限设置信息，配置对应的终端权限设置。在该技术方案中，可以通过近场通讯设备之间的信息交互实现对终端操作权限的限制，例如通过读取手机中的验证请求信息，服务器根据使用者的身份下发相应的权限，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，从而有效地保障企业的信息安全。这里的验证请求信息包括手机的IMSI码、IMEI码、手机号码、手机中预置的账户信息等。在上述技术方案中，处理单元104配置终端权限设置的过程具体包括：修改终端系统设置、限制终端的应用程序编程接口调用和/或监控终端操作。在该技术方案中，这里对于权限的限制，比如不允许执行拍照、通话等，具体可以通过在终端100上安装配套的管理程序，则当该管理程序读取其获取的权限级别后，通过对比如API调用、点击操作的应用等进行监控，即可了解当前启动的程序是否符合权限要求，并允许其运行或强行关闭。在上述技术方案中，终端100还包括：位置获取单元106，获取终端100的实时位置；位置判断单元108，根据位置获取单元106获取的实时位置，判断终端100是否进入或离开预设的特定区域，若是，则由通信单元102将验证请求信息发送至服务器；以及通信单元102还用于：在位置判断单元106的判断结果为终端100离开特定区域的情况下，接收来自服务器的权限恢复命令；处理单元104还用于：根据来自通信单元102的权限恢复命令，取消对终端100的权限限制。在该技术方案中，根据终端使用者的位置确定是否需要限制其终端100的权限，当终端100的使用者进入相对较为重要、信息安全级别较高的区域时，则对其终端100进行权限管理，限制其使用权限，例如不允许拍照等，当该使用者离开该区域时再恢复其终端的使用权限；通过该技术方案，可以灵活地控制终端使用者的使用权限，在有效地保障企业信息安全的同时，还可以最大程度地方便终端使用者对终端100的使用。在上述技术方案中，终端100还包括：记录单元110，在终端100位于特定区域时，生成终端100的使用记录；以及通信单元102还用于：在终端100离开特定区域时，将使用记录发送至服务器。在该技术方案中，对于终端100处于特定区域时的使用情况进行记录并发送至服务器，进一步优化了信息安全保障的方案，在发生意外状况时，可以通过检查各终端100的使用记录，方便对意外状况的处理，可以更有效地保障企业的信息安全。在上述技术方案中，终端100中的应用功能预设有权限级别，则处理单元104包括：使用权限获取子单元104A，获取终端100中的应用功能的权限级别；以及功能禁用子单元104B，根据终端权限设置，禁止启动权限级别低于权限设置信息对应的权限级别的应用功能。在该技术方案中，通过预先对终端100中所有的应用程序进行权限等级的设置，从而获取当前的权限等级后，可以直接对应于程序的权限等级进行读取，并进行允许或禁止开启的管理。图2示出了根据本发明的实施例的服务器的框图。本发明还提供了一种服务器200，包括：存储单元202，将权限设置信息与验证请求信息进行一一对应地存储；信息传输单元204，接收来自终端的验证请求信息，并将来自验证单元206的对应于验证请求信息的权限设置信息发送至终端；以及验证单元206，根据来自信息传输单元204的验证请求信息，从存储单元202中获取对应的权限设置信息。在该技术方案中，服务器200通过获取终端的验证请求信息，对终端下发相应的操作权限，对不同身份的人在服务器200中会对应有各自应有的权限，使权限控制更加准确，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，从而实现了有效地保障企业的信息安全。在上述技术方案中，服务器200还包括：设置单元208，设置特定区域的范围，使得终端在进入或离开特定区域时，将验证请求信息发送至服务器200；权限恢复单元210，在信息传输单元204接收到终端离开特定区域时发送的验证请求信息时，生成权限恢复命令，并由信息传输单元204发送至终端；以及信息传输单元204还用于：接收来自终端的使用记录，使用记录包括终端位于特定区域时的使用情况。在该技术方案中，根据终端使用者的位置确定是否需要限制其终端的权限，当终端的使用者进入相对较为重要、信息安全级别较高的区域时，则对其终端进行权限管理，限制其使用权限，例如不允许拍照等，当该使用者离开该区域时再恢复其终端的使用权限；通过该技术方案，可以灵活地控制终端使用者的使用权限，在有效地保障企业信息安全的同时，还可以最大程度地方便终端使用者对终端的使用；另外，服务器200还记录终端在特定区域时的使用情况，进一步优化了信息安全保障的方案，在发生意外状况时，可以通过检查各终端的使用记录，方便对意外状况的处理，可以更有效地保障企业的信息安全。图3示出了根据本发明实施例的信息安全管理系统的框图。如图3所示，根据本发明实施例的信息安全管理系统300，包括如图1所示的终端100和如图2所示的服务器200。其中，终端100包括：通信单元102，将验证请求信息发送至服务器200，并从该服务器200接收对应于验证请求信息的权限设置信息；处理单元104，根据来自通信单元102的权限设置信息，配置对应的终端权限设置。在该技术方案中，可以通过近场通讯设备之间的信息交互实现对终端操作权限的限制，例如通过读取手机中的验证请求信息，服务器200根据使用者的身份下发相应的权限，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，从而有效地保障企业的信息安全。这里的验证请求信息包括手机的IMSI码、IMEI码、手机号码、手机中预置的账户信息等。在上述技术方案中，处理单元104配置终端权限设置的过程具体包括：修改终端系统设置、限制终端的应用程序编程接口调用和/或监控终端操作。在该技术方案中，这里对于权限的限制，比如不允许执行拍照、通话等，具体可以通过在终端100上安装配套的管理程序，则当该管理程序读取其获取的权限级别后，通过对比如API调用、点击操作的应用等进行监控，即可了解当前启动的程序是否符合权限要求，并允许其运行或强行关闭。在上述技术方案中，终端100还包括：位置获取单元106，获取终端100的实时位置；位置判断单元108，根据位置获取单元106获取的实时位置，判断终端100是否进入或离开预设的特定区域，若是，则由通信单元102将验证请求信息发送至服务器200；以及通信单元102还用于：在位置判断单元106的判断结果为终端100离开特定区域的情况下，接收来自服务器200的权限恢复命令；处理单元104还用于：根据来自通信单元102的权限恢复命令，取消对终端100的权限限制。在该技术方案中，根据终端使用者的位置确定是否需要限制其终端100的权限，当终端100的使用者进入相对较为重要、信息安全级别较高的区域时，则对其终端100进行权限管理，限制其使用权限，例如不允许拍照等，当该使用者离开该区域时再恢复其终端的使用权限；通过该技术方案，可以灵活地控制终端使用者的使用权限，在有效地保障企业信息安全的同时，还可以最大程度地方便终端使用者对终端100的使用。在上述技术方案中，终端100还包括：记录单元110，在终端100位于特定区域时，生成终端100的使用记录；以及通信单元102还用于：在终端100离开特定区域时，将使用记录发送至服务器200。在该技术方案中，对于终端100处于特定区域时的使用情况进行记录并发送至服务器200，进一步优化了信息安全保障的方案，在发生意外状况时，可以通过检查各终端100的使用记录，方便对意外状况的处理，可以更有效地保障企业的信息安全。在上述技术方案中，终端100中的应用功能预设有权限级别，则处理单元104包括：使用权限获取子单元104A，获取终端100中的应用功能的权限级别；以及功能禁用子单元104B，根据终端权限设置，禁止启动权限级别低于权限设置信息对应的权限级别的应用功能。在该技术方案中，通过预先对终端100中所有的应用程序进行权限等级的设置，从而获取当前的权限等级后，可以直接对应于程序的权限等级进行读取，并进行允许或禁止开启的管理。服务器200包括：存储单元202，将权限设置信息与验证请求信息进行一一对应地存储；信息传输单元204，接收来自终端100的第一近场通讯设备的验证请求信息，并将来自验证单元206的对应于验证请求信息的权限设置信息发送至终端100；以及验证单元206，根据来自信息传输单元204的验证请求信息，从存储单元202中获取对应的权限设置信息。在该技术方案中，服务器200通过获取终端100的验证请求信息，对终端100下发相应的操作权限，对不同身份的人在服务器200中会对应有各自应有的权限，使权限控制更加准确，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，从而实现了有效地保障企业的信息安全。在上述技术方案中，服务器200还包括：设置单元208，设置特定区域的范围，使得终端100在进入或离开特定区域时，将验证请求信息发送至服务器200；权限恢复单元210，在信息传输单元204接收到终端100离开特定区域时发送的验证请求信息时，生成权限恢复命令，并由信息传输单元204发送至终端100；以及信息传输单元204还用于：接收来自终端100的使用记录，使用记录包括终端100位于特定区域时的使用情况。在该技术方案中，根据终端使用者的位置确定是否需要限制其终端100的权限，当终端100的使用者进入相对较为重要、信息安全级别较高的区域时，则对其终端100进行权限管理，限制其使用权限，例如不允许拍照等，当该使用者离开该区域时再恢复其终端100的使用权限；通过该技术方案，可以灵活地控制终端使用者的使用权限，在有效地保障企业信息安全的同时，还可以最大程度地方便终端使用者对终端100的使用；另外，服务器200还记录终端100在特定区域时的使用情况，进一步优化了信息安全保障的方案，在发生意外状况时，可以通过检查各终端100的使用记录，方便对意外状况的处理，可以更有效地保障企业的信息安全。图4示出了根据本发明的实施例的终端安全管理方法的流程图。本发明还提供了一种终端安全管理方法，包括：步骤402，终端将验证请求信息发送至服务器；步骤404，服务器根据接收到的验证请求信息，对终端进行验证并生成对应的权限设置信息；步骤406，服务器将权限设置信息发送至终端；步骤408，终端根据接收到的权限设置信息，配置对应的终端权限设置。在该技术方案中，可以通过近场通讯设备之间的信息交互实现对终端操作权限的限制，例如通过读取手机中的验证请求信息，服务器根据使用者的身份下发相应的权限，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，从而有效地保障企业的信息安全。这里的验证请求信息包括手机的IMSI码、IMEI码、手机号码、手机中预置的账户信息等。在上述技术方案中，在步骤408具体为：终端根据权限设置信息，通过修改终端系统设置、限制终端的应用程序编程接口调用和/或监控终端操作配置终端功能权限设置。在该技术方案中，这里对于权限的限制，比如不允许执行拍照、通话等，具体可以通过在终端上安装配套的管理程序，则当该管理程序读取其获取的权限级别后，通过对比如API调用、点击操作的应用等进行监控，即可了解当前启动的程序是否符合权限要求，并允许其运行或强行关闭。在上述技术方案中，步骤402之前，还包括：设置特定区域；获取终端的实时位置，并判断终端是否进入特定区域，若是，则执行步骤402；以及在步骤408之后，还包括：若终端离开特定区域，则终端将验证请求信息发送至服务器；以及服务器在验证成功后，将权限恢复命令发送至终端，取消对终端的权限限制。在该技术方案中，根据终端使用者的位置确定是否需要限制其终端的权限，当终端的使用者进入相对较为重要、信息安全级别较高的区域时，则对其终端进行权限管理，限制其使用权限，例如不允许拍照等，当该使用者离开该区域时再恢复其终端的使用权限；通过该技术方案，可以灵活地控制终端使用者的使用权限，在有效地保障企业信息安全的同时，还可以最大程度地方便终端使用者对终端的使用。在上述技术方案中，终端安全管理方法还包括：生成终端位于特定区域时的使用记录，并在终端离开特定区域时，将使用记录发送至服务器。在该技术方案中，对于终端处于特定区域时的使用情况进行记录并发送至服务器，进一步优化了信息安全保障的方案，在发生意外状况时，可以通过检查各终端的使用记录，方便对意外状况的处理，可以更有效地保障企业的信息安全。在上述技术方案中，终端中的应用功能预设有权限级别，则步骤408具体包括：终端根据终端权限设置，禁止启动权限级别低于权限设置信息对应的权限级别的应用功能。在该技术方案中，通过预先对终端中所有的应用程序进行权限等级的设置，从而获取当前的权限等级后，可以直接对应于程序的权限等级进行读取，并进行允许或禁止开启的管理。在上述技术方案中，在步骤402之前还包括：将权限级别与验证请求信息进行一一对应地存储。在该技术方案中，对不同身份的人在服务器中会对应有各自应有的权限，使权限控制更加准确，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，从而实现了有效地保障企业的信息安全。下面以来访人员携带手机进入企业办公区为例，详细说明本发明中的技术方案。本实施例中，来访人员所携带的手机具有本发明技术方案中所属的终端的技术特征，而该企业则设置有包括本发明中所述服务器的企业安全系统。当来访人员携带手机进入办公区域时，将其手机与管理机(类似于打卡机)进行感应，管理机根据终端传送的信息(包含手机号码、终端操作系统等信息)检索管理机所连接的企业信息系统以获取该用户的合法身份及终端应用权限并传送给终端，如果身份非法则禁止进入特定区域并发出警告；如果身份合法则能进入区域。终端再根据应用权限判断哪些功能可以使用(如照相机、短信、上网等功能)并记录在区域内的终端活动概要信息。当离开时自动恢复终端所有功能，并将获取的信息上传到管理机备案。图5是根据本发明实施例的终端和服务器保障企业信息安全的具体流程图。具体流程如图5所示：步骤502，来访人员将手机与管理机感应。这里的管理机相当于刷卡机等，其中包含有近场通讯的感应设备，可以与手机中的近场通讯设备进行感应、并接收来自手机上的验证请求信息。同时，管理机与服务器相连接，从而可以将验证请求信息在服务器中进行查询对应的权限级别。当然，也可以将所有的验证请求信息与权限级别等存储于管理机中，从而免去了服务器的建设和管理。步骤504，手机上的安全控制系统获取手机的验证请求信息，如IMSI，IMEI、手机号码等。步骤506，将验证请求信息通过近场通讯设备发送至服务器。步骤508，服务器根据验证请求信息判断是否允许该来访人员进入，如果不允许，则转至步骤509。这里就需要事先将验证请求信息与设定的权限等级进行对应地存储，以便对接收到的验证请求信息进行查询。具体地，可以在服务器中预先登记手机信息对应的员工或客户资料信息及权限信息，权限信息包含是否可用网络服务(通话、短信、上网)，是否可用终端内置设备信息(照相机、蓝牙、wifi、红外、音频设备等)、是否监控，离开时是否上传操作信息等。步骤509，拒绝手机使用者进入并发出警告。这里包括本身的权限不足的人员或是没有预存信息、无法确认其权限的人员，对于比如没有预存信息等特殊情况，可以进行统一的预设置，比如均认为是没有权限。通过将该管理机作为类似“门禁”的管理装置，还可以直接拒绝没有权限的人员进入限制区域。当然，也可以不使用物理上的“门”或“锁”，而是直接对某一区域进行虚拟化的监控，对进入或离开该区域的终端进行位置信息的获取和监控，从而进行进一步的管理。步骤510，在该来访人员允许进入办公区域的情况下，将相应的权限信息发送至客户端。例如，该来访人员的验证请求信息属于“普通访客”分类，则下发与“普通访客”相应的权限，假设该权限中不允许使用手机拍照。步骤512，手机接收到服务器下发的权限以后，对系统进行相应的设置，并存储终端的操作信息。例如通过监控API(Applicationprogramminginterface应用程序接口)调用、监控点击操作的应用等方式来监控终端中的应用的开启情况，从而限制终端的应用权限。步骤514，在来访人员离开时，将手机与管理机感应，注销手机中的权限设置，恢复原有设置，并上传终端的操作记录至服务器进行备份。步骤516，完成这些操作后允许持终端的人离开特定区域。当然，对于上述不使用物理上的“门”或“锁”等装置的情况下，并没有该步骤的限制。综上，本发明针对终端中的验证请求信息下发相应的权限，通过限制终端使用者的权限，防止企业的信息通过终端泄漏，可以有效地保障企业的信息安全；还可以对于不同终端在不同区域的权限进行不同的限定，在有效地保障企业信息安全的同时，还可以最大程度地方便终端使用者对终端的使用；终端还对其在特定区域内的使用情况进行记录并发送至服务器，实现了对终端状态的全面掌控，进一步保障了企业的信息安全；另外，对于自身应用功能预设有使用权限级别的终端，可以更方便的限制其操作权限，使权限控制更加方便、有效。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。