一种计算机系统的安全防护方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,特别涉及一种计算机系统的安全防护方法及装置。
【背景技术】
[0002]随着计算机操作系统的日趋复杂,外设终端的种类、应用程序日益增多,尤其是随着互联网的普及,计算机操作系统所面临的网络威胁压力逐日激增,使得计算机操作系统的安全性越来越难以保障。
[0003]目前,可以采用授权管理模式对访问者和被访问者之间进行权限设置,然而,目前的授权管理模式存在一些常见的漏洞。例如,设置用户Person A具有访问数据库I中表格Table B的权限,设置应用程序APP C具有访问数据库I中表格Table D的权限,但Person A不具有访问Table D的权限,若Person A可以通过运行APP C来访问Table D,只要PersonA具有访问APP C的权限,即可绕过该授权管理模式,获取到Table D中的内容。再如,设置应用程序A不具有访问文件B的权限,但如果用户将应用程序A以管理员模式运行后,则应用程序A可以轻易的绕过传统的授权管理模式,成功读取到文件B中的内容。
[0004]因此,急需提出一种授权管理模式,以保证计算机系统的安全防护。
【发明内容】
[0005]有鉴于此,本发明提供一种计算机系统的安全防护方法及装置,以实现计算机系统的安全防护。
[0006]本发明提供了一种计算机系统的安全防护方法,包括:
[0007]将与访问相关的每个操作对象抽象为数据空间中的节点,每一个节点具有在所述数据空间中的坐标值;
[0008]根据每一个节点在所述数据空间中的坐标值,确定每一个节点对应的访问轨迹;
[0009]接收对第一节点的访问请求,根据所述第一节点对应的访问轨迹,判断是否允许本次访问,如果是,则允许本次访问。
[0010]优选地,进一步包括:预先按照操作对象的种类,设定每一类操作对象在抽象为数据空间中对应节点的坐标值,并根据设定的坐标值执行所述将与访问相关的每个操作对象抽象为数据空间中的节点;其中,同一类操作对象抽象为数据空间中对应的节点位于同一层;
[0011]所述种类包括:硬件类、数据类、用户类、软件类、操作类中的一种或多种。
[0012]优选地,所述与访问相关的操作对象包括:设备、数据、应用程序、用户、接口、参数、操作中的任意一个或多个。
[0013]优选地,所述根据所述第一节点对应的访问轨迹,判断是否允许本次访问包括:
[0014]确定所述访问请求对应的第二访问轨迹;
[0015]对比所述第一节点对应的第一访问轨迹和所述确定的第二访问轨迹,如果相同,则允许本次访问;否则拒绝本次访问。
[0016]优选地,所述访问请求对应的第二访问轨迹包括:发起该访问请求的设备对应的节点、发送该访问请求的接口对应节点、该访问请求经过的路由设备对应的节点、以及各个节点的连接关系。
[0017]本发明还提供了一种计算机系统的安全防护装置,包括:
[0018]抽象单元,用于将与访问相关的每个操作对象抽象为数据空间中的节点,每一个节点具有在所述数据空间中的坐标值;
[0019]确定单元,用于根据每一个节点在所述数据空间中的坐标值,确定每一个节点对应的访问轨迹;
[0020]判断单元,用于接收对第一节点的访问请求,根据所述第一节点对应的访问轨迹,判断是否允许本次访问,如果是,则允许本次访问。
[0021]优选地,所示抽象单元,用于预先按照操作对象的种类,设定每一类操作对象在抽象为数据空间中对应节点的坐标值,并根据设定的坐标值执行所述将与访问相关的每个操作对象抽象为数据空间中的节点;其中,同一类操作对象抽象为数据空间中对应的节点位于同一层;所述种类包括:硬件类、数据类、用户类、软件类、操作类中的一种或多种。
[0022]优选地,所述与访问相关的操作对象包括:设备、数据、应用程序、用户、接口、参数、操作中的任意一个或多个。
[0023]优选地,所述判断单元,用于确定所述访问请求对应的第二访问轨迹;对比所述第一节点对应的第一访问轨迹和所述确定的第二访问轨迹,如果相同,则允许本次访问;否则拒绝本次访问。
[0024]优选地,所述访问请求对应的第二访问轨迹包括:发起该访问请求的设备对应的节点、发送该访问请求的接口对应节点、该访问请求经过的路由设备对应的节点、以及各个节点的连接关系。
[0025]本发明实施例提供了一种计算机系统的安全防护方法及装置,通过将操作对象抽象为数据空间中的节点,使得每个节点在数据空间中具有对应的坐标值,从而可以利用具有坐标值的节点设定每一个节点的访问轨迹,当接收到访问请求时,可以根据该节点对应的访问轨迹确定是否允许访问,从而保证了计算机系统的安全防护。
【附图说明】
[0026]图1是本发明实施例提供的方法流程图;
[0027]图2是本发明另一实施例提供的方法流程图;
[0028]图3是本发明实施例提供的装置所在设备的硬件架构图;
[0029]图4是本发明实施例提供的装置结构示意图。
【具体实施方式】
[0030]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0031]如图1所示,本发明实施例提供了一种计算机系统的安全防护方法,该方法可以包括以下步骤:
[0032]步骤101:将与访问相关的每个操作对象抽象为数据空间中的节点,每一个节点具有在所述数据空间中的坐标值。
[0033]步骤102:根据每一个节点在所述数据空间中的坐标值,确定每一个节点对应的访问轨迹。
[0034]步骤103:接收对第一节点的访问请求,根据所述第一节点对应的访问轨迹,判断是否允许本次访问,如果是,则允许本次访问。
[0035]根据上述方案,通过将操作对象抽象为数据空间中的节点,使得每个节点在数据空间中具有对应的坐标值,从而可以利用具有坐标值的节点设定每一个节点的访问轨迹,当接收到访问请求时,可以根据该节点对应的访问轨迹确定是否允许访问,从而保证了计算机系统的安全防护。
[0036]在本发明实施例中,不仅仅是对设备抽象为数据空间中的节点,而是将设备、数据、应用程序、用户、接口、参数中的任意一个或多个抽象为数据空间中的节点,这样就可以设定其他节点到计算机系统内任意一个节点的访问轨迹,从而保证计算机系统的安全防护。
[0037]为使本发明的目的、技术方案和优点更加清楚,下面结合附图及具体实施例对本发明作进一步地详细描述。
[0038]如图2所示,本发明实施例提供了一种计算机系统的安全防护方法,该方法可以包括以下步骤:
[0039]步骤201:确定与访问相关的每个操作对象,并按照操作对象的种类,设定每一类操作对象在抽象为数据空间中对应节点时的坐标值,并根据设定的坐标值将与访问相关的每个操作对象抽象为数据空间中的节点。
[0040]在本实施例中,为了对计算机系统的操作对象限制访问,可以利用多维度空间数字化的概念,将与访问相关的每个操作对象抽象为数据空间的节点,这样,就可以将这些操作对象作为数据空间中的一个点,从而能够更加便捷的对这些节点进行访问权限的设置。在本实施例中,操作对象可以是任何一种跟访问相关的因素。所有希望能够限制访问的因素,都可以抽象为一个节点。例如,设备、数据、应用程序、用户、接口、参数、操作中的任意一个或多个。
[0041]首先,需要预先设置每个操作对象在抽象为数据空间中的节点时的坐标值。
[0042]在本实施例中,可以根据现实中操作对象之间的距离对节点的坐标值进行设置,也可以自定义设置节点的坐标值,也可以通过操作对象的种类对坐标值进行设置。其中,操作对象的种类可以分为硬件类、数据类、用户类、软件类和操作类,那么可以将每一类操作对象在抽象为数据空间中对应的节点位于同一层。例如,以数据空间坐标的X轴、I轴和z轴为例,从数据空间坐标Z轴从坐标值O到z轴的正方向的顺序,依次设置硬件类位于数据空间坐标的第一层,如z值均为0,数据类位于数据空间坐标的第二层,如z值均为1,用户类位于数据空间坐标的第三层,如z值均为2,软件类位于数据空间坐标的第四层,如z值均为3,操作类位于数据空间坐标的第五层,如z值均为4。在具体设定每个节点的坐标值时,还可以根据设定的访问限制对每一层上的节点设置坐标值,若在同一层上的节点进行访问,可以将该进行访问的节点设置在同一层相邻的位置,若同一层上的节点之间没有访问限制的关系,那么可以将该访问的