一种基于强制访问控制的文件权限管理方法及系统技术方案

本发明专利技术实施例公开了一种基于强制访问控制的文件权限管理方法及系统，包括：获取客户端ID；将防御策略发送给客户端ID；获取用户级别和待读取文件级别；根据防御策略对用户级别和待读取文件级别进行权限甄别；根据权限甄别结果进行相应操作。本发明专利技术实施例中在SSR系统的管理端对文件以及用户的安全等级进行划分，并根据每个文件以及用户的重要程度分配具体的等级，打包为防御策略之后发送给客户端，防御策略发送到客户端之后会自动运行并不会随机器的开关机而停止，可以在没有进行修改或者停止的前提下持续运行，在用户对设置了安全等级的文件进行访问时，会对用户以及文件的安全等级进行匹配，按照安全等级进行相应的操作，提高了客户端的安全性。

A File Authority Management Method and System Based on Mandatory Access Control

The embodiment of the present invention discloses a file permission management method and system based on mandatory access control, including acquiring client ID, sending defense policy to client ID, acquiring user level and file level to be read, discriminating user level and file level to be read according to defense policy, and according to permission. The screening results are operated accordingly. In the embodiment of the present invention, the management end of the SSR system divides the security level of the file and the user, and assigns the specific level according to the importance of each file and the user. The file is packaged as a defense strategy and sent to the client. The defense strategy will run automatically after it is sent to the client and will not randomize the switch. Stop, can continue to run without modifying or stopping. When users access files with security level, they will match the security level of users and files, and operate according to security level, which improves the security of clients.

【技术实现步骤摘要】
一种基于强制访问控制的文件权限管理方法及系统
本专利技术涉及信息安全
，特别是涉及一种基于强制访问控制的文件权限管理方法及系统。
技术介绍
SSR(ServerSecurityReinforcement，操作系统安全增强系统)是基于先进的ROST(ReinforcementOperatingSystemTechnique，强化操作系统技术)技术理论从系统底层对操作系统进行加固的安全解决方案，其主要原理是通过对文件、目录、进程、注册表和服务的强制访问控制，有效的制约和分散了原有系统管理员的权限，综合了对文件和服务的完整性检测、和防缓冲区溢出等功能，能够把普通的操作系统从体系上升级，使其符合国家信息安全等级保护服务器操作系统安全的三级标准，可以实时的把普通的服务器操作系统从体系上升级，具有三级的安全技术功能，从根本上免疫现有的各种针对操作系统的攻击行为，如：病毒，蠕虫，黑客攻击等。现有技术中，SSR由客户端和管理平台两部分组成，客户端安装在需要防护的服务器上，然后从管理端对其进行防护策略的管理。强制访问控制是针对客户端下发防护策略，然后起到对应防护效果。然而，策略下发后，所有的客户端用户对文件都拥有同一权限，不利于权限控制，影响了客户端安全性。
技术实现思路
本专利技术实施例中提供了一种基于强制访问控制的文件权限管理方法，以解决现有技术中客户端安全性低的问题。为了解决上述技术问题，本专利技术实施例公开了如下技术方案：本专利技术第一方面提供了一种基于强制访问控制的文件权限管理方法，包括：获取客户端ID；将防御策略发送给所述客户端ID；获取用户级别和待读取文件级别；根据所述防御策略对所述用户级别和待读取文件级别进行权限甄别；根据权限甄别结果进行相应操作。优选地，确定所述防御策略具体包括：获取文件信息和客户端用户信息；根据所述文件信息设置文件保护规则；根据所述客户端用户信息设置用户保护规则；将所述文件保护规则以及用户保护规则打包为防御策略。优选地，所述文件保护规则具体包括：将文件级别划分为极高、高、中、低、极低五个等级；获取待设置文件重要程度；根据所述文件重要程度为待设置文件设置安全级别。优选地，所述用户保护规则具体包括：将用户级别划分为极高、高、中、低、极低五个等级；获取客户端用户重要程度；根据所述用户重要程度为用户设置安全级别。优选地，所述防御策略发送给客户端后自动运行；所述防御策略的停止通过管理端控制。优选地，根据所述防御策略对所述用户级别和待读取文件级别进行权限甄别具体包括：判断所述用户级别是否等于所述文件级别；如果是则为同级别权限，否则判断所述用户级别是否大于所述文件级别；如果是则为高级别权限，否则为低级别权限。优选地，同级别权限时，用户对文件拥有读写权限；高级别权限时，用户对文件仅拥有读权限；低级别权限时，用户对文件不拥有任何权限。优选地，所述方法还包括：获取用户权限请求；根据所述用户权限请求设置文件更新保护规则；将所述文件更新保护规则打包为防御策略发送给请求用户所在客户端。优选地，所述方法还包括：将发送的防御策略保存在日志文件中。优选地，所述防御策略对于每个客户端的每个用户具有唯一性。本专利技术第二方面提供的一种基于强制访问控制的文件权限管理系统，包括：通信连接的管理端和客户端，所述管理端包括信息获取模块和策略设置发送模块，所述客户端包括信息接收模块、级别获取模块和判断控制模块，其中，所述信息获取模块用于获取客户端ID和用户权限请求；策略设置发送模块用于设置并发送防御策略的策略设置发送模块；信息接收模块用于接受控制端发送的防御策略；所述级别获取模块用于获取用户级别和文件级别；所述判断控制模块用于对用户级别和文件级别进行权限判断并进行操作控制。由以上技术方案可见，本专利技术中在SSR系统的管理端对文件以及用户的安全等级进行划分，并根据每个文件以及用户的重要程度分配具体的等级，打包为防御策略之后发送给客户端，防御策略发送到客户端之后会自动运行并不会随机器的开关机而停止，可以在没有进行修改或者停止的前提下持续运行，在用户对设置了安全等级的文件进行访问时，会对用户以及文件的安全等级进行匹配，按照安全等级进行相应的操作，提高了客户端的安全性。附图说明了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种基于强制访问控制的文件权限管理方法的流程示意图；图2为本专利技术实施例提供的确定防御策略的方法的流程示意图；图3为本专利技术实施例提供的另一种基于强制访问控制的文件权限管理方法的流程示意图；图4为本专利技术实施例提供的又一种基于强制访问控制的文件权限管理方法的流程示意图；图5为本专利技术实施例提供的一种基于强制访问控制的文件权限管理系统的结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术中的技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。参见图1，为本专利技术实施例提供的一种基于强制访问控制的文件权限管理方法的流程示意图，如图1所示，本专利技术实施例提供的基于强制访问控制的文件权限管理方法。包括：S10：获取客户端ID。每个客户端上所登陆的用户以及保存的文件均不相同，为了确保管理端进行准确的控制需要获取准确的客户端ID，通过客户端ID下发响应防御策略。S20：将防御策略发送给所述客户端ID。防御策略通过内核驱动由管理到下发到客户端，其中既包括对于用户的相关设置也包括对于文件的相关设置，其具体确定过程参见图2，为本专利技术实施例提供的确定防御策略的方法的流程示意图，如图2所示，确定防御策略的过程具体包括：S21：获取文件信息和客户端用户信息。因为防护策略中既包括对于用户的相关设置也包括对于文件的相关设置，因此在获取文件信息的的同时对客户端用户也进行获取，因为在客户端会保存有大量的文件，如果对于每个文件多进行权限设置将会耗费大量时间，且对于绝大多数文件不需要进行权限保护，因此在获取文件时只需要获取需要进行保护的文件即可，对于用户信息，因为一个客户端上可以设置多个用户名从而实现多种用户的登陆，例如管理员和游客，不用的用户在登陆之后对于客户端中文件的权限不同，因此，需要对客户端上设置的全部用户信息进行获取S22：根据所述文件信息设置文件保护规则。设置文件保护规则通过为不同重要程度的文件设置安全等级来实现的，在本专利技术实施例中，将将文件级别划分为极高、高、中、低、极低五个等级，根据每个文件重要程度为其设置响应的安全等级。S23：根据所述客户端用户信息设置用户保护规则。同样的，为了使用户等级与文件等级匹配，也将用户级别划分为极高、高、中、低、极低五个等级，根据每个用户在登陆时对重要文件的暴露程度，以及可能实用该用户的操作人员类别确定用户重要程度，根据用户的重要程度为用户设置安全级别，例如某客户端只设置有一个用户即管理员，则可以使用该管理员用户本文档来自技高网...

【技术保护点】
1.一种基于强制访问控制的文件权限管理方法，其特征在于，包括：获取客户端ID；将防御策略发送给所述客户端ID；获取用户级别和待读取文件级别；根据所述防御策略对所述用户级别和待读取文件级别进行权限甄别；根据权限甄别结果进行相应操作。

【技术特征摘要】
1.一种基于强制访问控制的文件权限管理方法，其特征在于，包括：获取客户端ID；将防御策略发送给所述客户端ID；获取用户级别和待读取文件级别；根据所述防御策略对所述用户级别和待读取文件级别进行权限甄别；根据权限甄别结果进行相应操作。2.根据权利要求1所述的一种基于强制访问控制的文件权限管理方法，其特征在于，确定所述防御策略具体包括：获取文件信息和客户端用户信息；根据所述文件信息设置文件保护规则；根据所述客户端用户信息设置用户保护规则；将所述文件保护规则以及用户保护规则打包为防御策略。3.根据权利要求2所述的一种基于强制访问控制的文件权限管理方法，其特征在于，所述文件保护规则具体包括：将文件级别划分为极高、高、中、低、极低五个安全等级；获取待设置文件重要程度；根据所述文件重要程度为待设置文件设置安全级别。4.根据权利要求2所述的一种基于强制访问控制的文件权限管理方法，其特征在于，所述用户保护规则具体包括：将用户级别划分为极高、高、中、低、极低五个安全等级；获取客户端用户重要程度；根据所述用户重要程度为用户设置安全级别。5.根据权利要求1所述的一种基于强制访问控制的文件权限管理方法，其特征在于，所述防御策略发送给客户端后自动运行；所述防御策略的停止通过管理端控制。6.根据权利要求1所述的一种基于强制访问控制的文件权限管理方法，其特征在于，根据所述防御策略对所述用户级别...

【专利技术属性】
技术研发人员：王杰，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41