一种安全规则的配置方法、装置和计算机可读存储介质与流程

本发明涉及计算机安全
技术领域：
，特别是涉及一种安全规则的配置方法、装置和计算机可读存储介质。
背景技术：
现如今，病毒的种类和黑客的攻击手段越来越多。篡改操作系统中的文件是一种较为常见的攻击破坏手段。恶意篡改操作系统中的文件，轻则影响应用业务功能，重则导致关键应用程序瘫痪、系统崩溃等不良后果。为了提升操作系统中文件的安全性，现有技术中采用主动防御技术，对系统中的主要文件配置安全规则，保障操作系统中的文件不被恶意破坏和篡改。基于浏览器/服务器(browser/server，b/s)架构，通过在管理端配置安全规则，下发到代理端，实现对代理端系统中文件的防护。传统方式中配置安全规则，是通过单一防护客体，单一主体用户，单一主体进程的方式进行配置。例如，配置2个用户，2进程的规则，传统方法需要添加4条不同的规则；如果配置10个用户，10进程的规则，那么就需要配置100条规则。依照单一的方式配置规则，非常费时而且繁琐，很容易出现规则遗漏或者规则配置错。可见，如何提升安全规则配置的效率，是本领域技术人员亟待解决的问题。技术实现要素：本发明实施例的目的是提供一种安全规则的配置方法、装置和计算机可读存储介质，可以提升安全规则配置的效率。为解决上述技术问题，本发明实施例提供一种安全规则的配置方法，包括：接收服务端发送的安全规则；根据所述安全规则中包含的用户信息和进程信息，对所述安全规则进行解析，获取多个安全子规则；存储各所述安全子规则，以便于依据所述安全子规则对相应的保护客体进行处理。可选的，所述安全规则包括父规则标识、用户信息、进程信息、客体信息和权限信息；与所述安全规则相应的安全子规则包括所述父规则标识、子规则标识、目标用户信息、目标进程信息、所述客体信息和所述权限信息；其中，所述目标用户信息为所有所述用户信息中的任意一条用户信息；所述目标进程信息为所有所述进程信息中的任意一条进程信息。可选的，还包括：接收所述服务端传输的修改指令；其中，所述修改指令中携带有第一安全规则；所述第一安全规则中包括第一父规则标识；根据所述第一父规则标识，查找与所述第一父规则标识相对应的历史安全子规则；依据所述第一安全规则对所述历史安全子规则进行更新。可选的，还包括：接收所述服务端传输的添加指令；其中，所述添加指令中携带有第二安全规则；依据所述第二安全规则中包含的第二用户信息和第二进程信息，对所述第二安全规则进行解析，获取多个第二安全子规则；并存储各所述第二安全子规则。可选的，还包括：接收所述服务端传输的删除指令；其中，所述删除指令中携带有父规则标识；根据所述父规则标识，删除与所述父规则标识相对应的安全子规则。可选的，在依据所述安全子规则对相应的保护客体进行处理之后还包括：记录依据目标安全子规则对相应的目标保护客体进行处理时生成的日志信息；将所述日志信息及其对应的父规则标识发送给所述服务端。本发明实施例还提供了一种安全规则的配置装置，包括接收单元、解析单元和存储单元；所述接收单元，用于接收服务端发送的安全规则；所述解析单元，用于根据所述安全规则中包含的用户信息和进程信息，对所述安全规则进行解析，获取多个安全子规则；所述存储单元，用于存储各所述安全子规则，以便于依据所述安全子规则对相应的保护客体进行处理。可选的，所述安全规则包括父规则标识、用户信息、进程信息、客体信息和权限信息；与所述安全规则相应的安全子规则包括所述父规则标识、子规则标识、目标用户信息、目标进程信息、所述客体信息和所述权限信息；其中，所述目标用户信息为所有所述用户信息中的任意一条用户信息；所述目标进程信息为所有所述进程信息中的任意一条进程信息。可选的，还包括查找单元和更新单元；所述接收单元还用于接收所述服务端传输的修改指令；其中，所述修改指令中携带有第一安全规则；所述第一安全规则中包括第一父规则标识；所述查找单元，用于根据所述第一父规则标识，查找与所述第一父规则标识相对应的历史安全子规则；所述更新单元，用于依据所述第一安全规则对所述历史安全子规则进行更新。可选的，所述接收单元还用于接收所述服务端传输的添加指令；其中，所述添加指令中携带有第二安全规则；所述解析单元还用于依据所述第二安全规则中包含的第二用户信息和第二进程信息，对所述第二安全规则进行解析，获取多个第二安全子规则；所述存储单元还用于并存储各所述第二安全子规则。可选的，还包括删除单元；所述接收单元还用于接收所述服务端传输的删除指令；其中，所述删除指令中携带有父规则标识；所述删除单元，用于根据所述父规则标识，删除与所述父规则标识相对应的安全子规则。可选的，还包括记录单元和发送单元；所述记录单元，用于在依据所述安全子规则对相应的保护客体进行处理之后，记录依据目标安全子规则对相应的目标保护客体进行处理时生成的日志信息；所述发送单元，用于将所述日志信息及其对应的父规则标识发送给所述服务端。本发明实施例还提供了一种安全规则的配置装置，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序以实现如上述安全规则的配置方法的步骤。本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述安全规则的配置方法的步骤。由上述技术方案可以看出，客户端接收服务端发送的安全规则；根据安全规则中包含的用户信息和进程信息，对所述安全规则进行解析，从而获取到多个安全子规则；存储各所述安全子规则，以便于依据所述安全子规则对相应的保护客体进行处理。不同的用户可以采用不同的进程对同一个保护客体进行处理，在该技术方案中，对于同一个保护客体而言，在服务端只需设置一条安全规则即可，在该条安全规则中包含有对该保护客体具有处理权限的用户信息以及用于对该保护客体进行处理的进程信息。客户端通过对该安全规则进行解析，可以获取到多个安全子规则，从而实现对保护客体的处理。和传统单一配置方式相比，在该技术方案中针对于一个防护客体只需配置一条安全规则即可，极大的提高了规则配置效率，并且有效的提升了安全规则配置的准确性和有效性。附图说明为了更清楚地说明本发明实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本发明实施例提供的一种安全规则的配置方法的流程图；图2为本发明实施例提供的一种安全规则的配置装置的结构示意图；图3为本发明实施例提供的一种安全规则的配置装置的硬件结构示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本发明保护范围。为了使本
技术领域：
的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。接下来，详细介绍本发明实施例所提供的一种安全规则的配置方法。图1为本发明实施例提供的一种安全规则的配置方法的流程图，该方法包括：s101：接收服务端发送的安全规则。在实际应用中，为了提升计算机系统的安全性，往往会对计算机系统中一些重要的文件配置安全规则进行防护。在本发明实施例中可以将需要进行防护的文件称作保护客体。针对于同一个保护客体而言，对其具有操作权限的用户往往有多个，每个用户有其对应的用户信息。对该保护客体的处理方式可以有多种，每种处理方式通过相应的进程实现，一种类型的进程信息表示一种处理方式。为了提升安全规则的部署效率，在本发明实施例中，可以采用多用户多进程的方式设置安全规则，即对于同一个保护客体，可以将其对应的所有用户信息和所有进程信息汇总为一条安全规则。在本发明实施例中，对于每个保护客体可以设置一条安全规则，保护客体的数量可以依据实际需求进行设定，每个保护客户的处理方式类似，在后续介绍中，均以一个保护客体也即以一条安全规则为例展开介绍。在具体实现中，管理人员可以将每个保护客体所以安全规则写入服务端的数据库中存储。为了区分不同的安全规则，可以对每条安全规则设置一个规则标识。客户端对安全规则解析后可以获取到多个安全子规则，为了区分不同的安全子规则，对于每条安全子规则也可以设置相应的规则标识，在本发明实施例中，可以将安全规则对应的规则标识称作父规则标识，安全子规则对应的规则标识称作子规则标识。规则标识的具体形式可以根据实际需求进行设定，例如，可以采用数字和字母组合的方式作为规则标识。在本发明实施例中，一条安全规则具体可以包括父规则标识、用户信息、进程信息、客体信息和权限信息。如表1所示为一条安全规则的具体形式，父规则标识用户信息进程信息客体信息权限信息0a00001test1；test2a.exe；b.exepwd.txt只读表1表1中，用户信息有2个，分别为test1和test2，表明对该保护客体具有操作权限的用户有2个。进程信息有2个，分别为a.exe和b.exe，表明每个用户对该保护客体进行只读操作的方式有2种。需要说明的是，安全规则中所包含的具体信息可以依据实际需求进行设定，例如，可以在表1所示的安全规则的具体形式基础上增加新的信息。在本发明实施例中，对于安全规则的具体形式不做限定。s102：根据安全规则中包含的用户信息和进程信息，对安全规则进行解析，获取多个安全子规则。服务端可以看作是为客户端提供服务支持的后台设备，客户端可以看作是为用户提供服务的前端设备。服务端配置的安全规则包含的是汇总后的信息，因此，在客户端接收到服务端发送的安全规则后，需要对该安全规则进行解析。在具体实现中，客户端可以通过拆分组合的方式，对一条安全规则进行解析，得到多个安全子规则。结合上述介绍中安全规则的具体形式，与安全规则相应的安全子规则具体可以包括父规则标识、子规则标识、目标用户信息、目标进程信息、客体信息和权限信息；其中，目标用户信息为所有用户信息中的任意一条用户信息；目标进程信息为所有进程信息中的任意一条进程信息。结合表1所示的安全规则，客户端对该安全规则进行解析后，可以获取到4条安全子规则，其具体形式如表2所示，表2表2中，包含有4条安全子规则，每条安全子规则中包含有相应的一个用户信息和一个进程信息。以第一条安全子规则为例，表明用户信息为test1的用户可以采用a.exe的方式对该保护客体进行只读操作。s103：存储各安全子规则，以便于依据安全子规则对相应的保护客体进行处理。在本发明实施例中，客户端需要依据这些安全子规则对保护客体进行防护，因此，在获取到多个安全子规则后，可以将这些安全子规则进行存储，以便于后续调用这些安全子规则。在实际应用中，用户可以通过向客户端输入操作请求的方式，访问目标客体，在该操作请求中可以携带有对目标客体进行处理的操作信息，例如，操作信息可以包括用户信息和进程信息等。相应的，客户端接收到操作请求后，可以判断存储的所有安全子规则中是否存在与操作信息相匹配的目标安全子规则。当存在与操作信息相匹配的目标安全子规则时，则说明该目标客体属于受保护的客体，此时则可以按照该目标安全子规则对目标客体进行处理。当不存在与操作信息相匹配的目标安全子规则时，则说明该目标客体不属于受保护的客体，此时则可以按照系统默认程序对该目标客体进行处理。由上述技术方案可以看出，客户端接收服务端发送的安全规则；根据安全规则中包含的用户信息和进程信息，对所述安全规则进行解析，从而获取到多个安全子规则；存储各所述安全子规则，以便于依据所述安全子规则对相应的保护客体进行处理。不同的用户可以采用不同的进程对同一个保护客体进行处理，在该技术方案中，对于同一个保护客体而言，在服务端只需设置一条安全规则即可，在该条安全规则中包含有对该保护客体具有处理权限的用户信息以及用于对该保护客体进行处理的进程信息。客户端通过对该安全规则进行解析，可以获取到多个安全子规则，从而实现对保护客体的处理。和传统单一配置方式相比，在该技术方案中针对于一个防护客体只需配置一条安全规则即可，极大的提高了规则配置效率，并且有效的提升了安全规则配置的准确性和有效性。在本发明实施例中，管理人员可以在服务端配置安全规则。为了提升安全规则应用的灵活性，在具体实现中，管理人员可以对安全规则进行修改、添加和删除等操作。以修改安全规则为例，为了保证客户端中安全子规则的有效性，当服务端的安全规则被修改后，服务端可以向客户端发送修改指令，在该修改指令中可以携带有第一安全规则，在该第一安全规则中包括有第一父规则标识。相应的，客户端接收到服务端传输的修改指令后，可以根据第一父规则标识，查找与第一父规则标识相对应的历史安全子规则；依据第一安全规则对历史安全子规则进行更新。对历史安全子规则的更新过程，在具体实现中可以先根据第一父规则标识，删除与第一父规则标识相对应的历史安全子规则；然后再依据第一安全规则中包含的第一用户信息和第一进程信息，对第一安全规则进行解析，获取多个第一安全子规则；并存储各所述第一安全子规则。以添加安全规则为例，为了保证客户端中安全子规则的同步性，当服务端添加新的安全规则后，服务端可以向客户端发送添加指令，在该添加指令中可以携带有第二安全规则。相应的，客户端接收到服务端传输的添加指令后，可以依据第二安全规则中包含的第二用户信息和第二进程信息，对第二安全规则进行解析，获取多个第二安全子规则；并存储各第二安全子规则。以删除安全规则为例，在实际应用中，随着用户的变更或者是保护客体的变更，会出现一些失效的安全规则。为了避免这些安全规则对系统造成不必要的影响，并且减小失效的安全规则对内存空间的占用，管理人员可以将服务端中失效的安全规则删除。为了保证客户端中安全子规则的有效性，当服务端删除安全规则后，服务端可以向客户端发送删除指令，在该删除指令中可以携带有父规则标识。相应的，客户端接收到服务端传输的删除指令后，可以根据父规则标识，删除与父规则标识相对应的安全子规则。通过设置修改、添加、删除等机制，使得管理人员可以根据实际需求修改安全规则，提升了安全规则的灵活性以及适用性。服务端通过与客户端的信息交互，保证了客户端安全子规则的有效性。在本发明实施例中，为了便于管理人员了解客户端各安全子规则的执行情况，在具体实现中，客户端在依据安全子规则对相应的保护客体进行处理之后，可以记录依据目标安全子规则对相应的目标保护客体进行处理时生成的日志信息；并将日志信息及其对应的父规则标识发送给服务端。相应的，服务端可以按照父规则标识记录安全子规则的日志信息。当某个保护客体出现问题时，管理人员便可以根据该保护客体所对应的父规则标识，查找到相应的日志信息，从而依据该日志信息查找到问题的根源。通过记录安全子规则运行时生成的日志信息，可以便于管理人员快速的了解各安全子规则的执行情况。并且当出现问题时，可以依据日志信息快速的查找到问题的根源，极大的提升了系统的服务性能。图2为本发明实施例提供的一种安全规则的配置装置的结构示意图，包括接收单元21、解析单元22和存储单元23；接收单元21，用于接收服务端发送的安全规则；解析单元22，用于根据安全规则中包含的用户信息和进程信息，对安全规则进行解析，获取多个安全子规则；存储单元23，用于存储各安全子规则，以便于依据安全子规则对相应的保护客体进行处理。可选的，安全规则包括父规则标识、用户信息、进程信息、客体信息和权限信息；与安全规则相应的安全子规则包括父规则标识、子规则标识、目标用户信息、目标进程信息、客体信息和权限信息；其中，目标用户信息为所有用户信息中的任意一条用户信息；目标进程信息为所有进程信息中的任意一条进程信息。可选的，还包括查找单元和更新单元；接收单元还用于接收服务端传输的修改指令；其中，修改指令中携带有第一安全规则；第一安全规则中包括第一父规则标识；查找单元，用于根据第一父规则标识，查找与第一父规则标识相对应的历史安全子规则；更新单元，用于依据第一安全规则对历史安全子规则进行更新。可选的，接收单元还用于接收服务端传输的添加指令；其中，添加指令中携带有第二安全规则；解析单元还用于依据第二安全规则中包含的第二用户信息和第二进程信息，对第二安全规则进行解析，获取多个第二安全子规则；存储单元还用于并存储各第二安全子规则。可选的，还包括删除单元；接收单元还用于接收服务端传输的删除指令；其中，删除指令中携带有父规则标识；删除单元，用于根据父规则标识，删除与父规则标识相对应的安全子规则。可选的，还包括记录单元和发送单元；记录单元，用于在依据安全子规则对相应的保护客体进行处理之后，记录依据目标安全子规则对相应的目标保护客体进行处理时生成的日志信息；发送单元，用于将日志信息及其对应的父规则标识发送给服务端。图2所对应实施例中特征的说明可以参见图1所对应实施例的相关说明，这里不再一一赘述。由上述技术方案可以看出，客户端接收服务端发送的安全规则；根据安全规则中包含的用户信息和进程信息，对所述安全规则进行解析，从而获取到多个安全子规则；存储各所述安全子规则，以便于依据所述安全子规则对相应的保护客体进行处理。不同的用户可以采用不同的进程对同一个保护客体进行处理，在该技术方案中，对于同一个保护客体而言，在服务端只需设置一条安全规则即可，在该条安全规则中包含有对该保护客体具有处理权限的用户信息以及用于对该保护客体进行处理的进程信息。客户端通过对该安全规则进行解析，可以获取到多个安全子规则，从而实现对保护客体的处理。和传统单一配置方式相比，在该技术方案中针对于一个防护客体只需配置一条安全规则即可，极大的提高了规则配置效率，并且有效的提升了安全规则配置的准确性和有效性。图3为本发明实施例提供的一种安全规则的配置装置30的硬件结构示意图，包括：存储器31，用于存储计算机程序；处理器32，用于执行计算机程序以实现如上述安全规则的配置方法的步骤。本发明实施例还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述安全规则的配置方法的步骤。以上对本发明实施例所提供的一种安全规则的配置方法、装置和计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或
技术领域：
内所公知的任意其它形式的存储介质中。当前第1页12