一种数据保护方法及安全堡垒机的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,特别涉及一种数据保护方法及堡皇机。
【背景技术】
[0002]随着通信技术的飞速发展,服务器的数据安全尤其重要。传统的数据保护方法可以利用堡皇机保证服务器的数据安全。其中,堡皇机是一种面向数据中心的运维审计类产品,可以提供单点登录、账号管理、授权管理和安全审计等功能。
[0003]现有技术中采用堡皇机保证服务器的数据安全,通过将堡皇机串联连接在客户端和服务器之间,由客户端侧的系统管理员获取服务器中的数据,并将服务器中的数据存储到堡皇机中,在接收到客户端发送的访问指令时,需要根据该访问指令判断客户端所访问目标数据的权限,只有对目标数据具有权限的客户端才能够访问。其中,系统管理员具有最高权限,具有访问、修改等操作功能。
[0004]然而,若堡皇机遭到黑客攻击,黑客获取系统管理员的权限,利用系统管理员在堡皇机中的最高权限访问、修改服务器的数据,从而无法保证服务器数据的安全性。
【发明内容】
[0005]有鉴于此,本发明提供一种数据保护方法及堡皇机,以保证服务器数据的安全性。
[0006]本发明提供了一种数据保护方法,将堡皇机串联在客户端和服务器之间的路径上,还包括:
[0007]获取服务器的多个数据;
[0008]确定每个数据的重要级别,并设置系统管理员对重要级别高于设定阈值的数据无操作权限;
[0009]在接收到系统管理员发送的第一操作指令时,确定所述第一操作指令所操作数据的重要级别;
[0010]在确定所述第一操作指令所操作数据的重要级别高于所述设定阈值时,阻止所述第一操作指令对其所操作数据的访问。
[0011]优选地,
[0012]进一步包括:根据重要级别高于所述设定阈值的各个数据,建立访问控制列表,并设置对所述访问控制列表具有操作权限的应用程序;
[0013]进一步包括:在接收到目标应用程序发送的第二操作指令时,确定所述第二操作指令所操作数据的重要级别,在确定所述第二操作指令所操作数据的重要级别高于所述设定阈值时,判断所述目标应用程序是否对所述访问控制列表具有操作权限,在判断结果为所述目标应用程序对所述访问控制列表具有操作权限时,允许所述目标应用程序对所述访问控制列表进行操作,否则,阻止所述目标应用程序对所述访问控制列表进行操作。
[0014]优选地,
[0015]进一步包括:设置应用程序在请求操作重要级别高于所述设定阈值数据时重定向操作;在所述确定所述第二操作指令所操作数据的重要级别高于所述设定阈值时,对所述第二操作指令进行重定向操作,以执行所述判断所述目标应用程序是否对所述访问控制列表具有操作权限。
[0016]优选地,进一步包括:
[0017]创建独立的内核加固管理员,利用所述内核加固管理员执行所述确定每个数据的重要级别,并设置系统管理员对重要级别高于设定阈值的数据无操作权限操作。
[0018]优选地,进一步包括:
[0019]利用浏览器方式接收所述目标应用程序发送的第二操作指令。
[0020]本发明还提供了一种堡皇机,所述堡皇机串联在客户端和服务器之间的路径上,包括:
[0021]获取单元,用于获取服务器的多个数据;
[0022]处理单元,用于确定每个数据的重要级别,并设置系统管理员对重要级别高于设定阈值的数据无操作权限;
[0023]确定单元,用于在接收到系统管理员发送的第一操作指令时,确定所述第一操作指令所操作数据的重要级别;
[0024]阻止单元,用于在确定所述第一操作指令所操作数据的重要级别高于所述设定阈值时,阻止所述第一操作指令对其所操作数据的访问。
[0025]优选地,进一步包括:
[0026]建立单元,用于根据重要级别高于所述设定阈值的各个数据,建立访问控制列表,并设置对所述访问控制列表具有操作权限的应用程序;
[0027]所述确定单元,用于在接收到目标应用程序发送的第二操作指令时,确定所述第二操作指令所操作数据的重要级别,在确定所述第二操作指令所操作数据的重要级别高于所述设定阈值时,判断所述目标应用程序是否对所述访问控制列表具有操作权限,在判断结果为所述目标应用程序对所述访问控制列表具有操作权限时,允许所述目标应用程序对所述访问控制列表进行操作,否则,阻止所述目标应用程序对所述访问控制列表进行操作。
[0028]优选地,所述处理单元,用于设置应用程序在请求操作重要级别高于所述设定阈值数据时重定向操作;在所述确定所述第二操作指令所操作数据的重要级别高于所述设定阈值时,对所述第二操作指令进行重定向操作,以执行所述判断所述目标应用程序是否对所述访问控制列表具有操作权限。
[0029]优选地,进一步包括:
[0030]创建单元,用于创建独立的内核加固管理员,利用所述内核加固管理员执行所述确定每个数据的重要级别,并设置系统管理员对重要级别高于设定阈值的数据无操作权限操作。
[0031]优选地,进一步包括:
[0032]接收单元,用于利用浏览器方式接收所述目标应用程序发送的第二操作指令。
[0033]本发明实施例提供了一种数据保护方法及堡皇机,通过设置系统管理员对重要级别高于设定阈值的数据无操作权限,以使系统管理员在对重要级别高于设定阈值的数据时,阻止系统管理员对操作数据的操作,从而避免了黑客通过获取系统管理员的权限来攻击服务器数据,提高了服务器数据的安全性能。
【附图说明】
[0034]图1是本发明实施例提供的方法流程图;
[0035]图2是本发明另一实施例提供的方法流程图;
[0036]图3是本发明实施例提供的堡皇机串联在客户端与服务器之间的示意图;
[0037]图4是本发明实施例提供的堡皇机结构示意图;
[0038]图5是本发明另一实施例提供的堡皇机结构示意图。
【具体实施方式】
[0039]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0040]如图1所示,本发明实施例提供了一种数据保护方法,将堡皇机串联在客户端和服务器之间的路径上,该方法可以包括以下步骤:
[0041]步骤101:获取服务器的多个数据。
[0042]步骤102:确定每个数据的重要级别,并设置系统管理员对重要级别高于设定阈值的数据无操作权限。
[0043]步骤103:在接收到系统管理员发送的第一操作指令时,确定第一操作指令所操作数据的重要级别。
[0044]步骤104:在确定第一操作指令所操作数据的重要级别高于设定阈值时,阻止第一操作指令对其所操作数据的访问。
[0045]根据上述方案,通过设置系统管理员对重要级别高于设定阈值的数据无操作权限,以使系统管理员在对重要级别高于设定阈值的数据时,阻止系统管理员对操作数据的操作,从而避免了黑客通过获取系统管理员的权限来攻击服务器数据,提高了服务器数据的安全性能。
[0046]为了进一步提高服务器数据的安全性能,还需要根据重要级别高于设定阈值的各个数据,建立访问控制列表,并设置对访问控制列表具有操作权限的应用程序;在接收到目标应用程序发送的第二操作指令时,确定第二操作指令所操作数据的重要级别,在确定第二操作指令所操作数据的重要级别高于设定阈值时,判断目标应用程序是否对访问控制列表具有操