业务数据访问方法、装置和设备及计算机存储介质制造方法及图纸

本申请公开了一种业务数据访问方法、装置和设备及计算机存储介质，涉及安全技术领域，该方法在截获到业务应用的业务访问请求时，一方面通过安全管理客户端进行本地安全校验，在安全校验通过时，则为该业务访问请求分发目标校验凭证，以使得可以根据目标校验凭证实现快速的业务访问，另一方面安全管理客户端还会请求安全管理服务器对业务应用进行深度安全校验，在执行业务访问流程的过程中，一旦接收到安全管理服务器指示业务应用为恶意应用的指示，则阻断业务访问流程，从而避免恶意应用访问到受保护的业务资源，进而，在提升业务访问的响应速度的同时，还能够保证业务访问的安全性。性。性。

【技术实现步骤摘要】
业务数据访问方法、装置和设备及计算机存储介质


[0001]本申请涉及计算机
，尤其涉及安全
，提供一种业务数据访问方法、装置和设备及计算机存储介质。

技术介绍

[0002]大数据环境下，网络安全威胁比以往任何时候都更加复杂，数据的集中造成了目标和风险的集中，数据成为最主要的攻击目标。传统的网络安全架构理念是基于边界的安全架构，默认内网是安全的，但是当采用非法手段突破边界后，往往能够轻易实现内网渗透，造成数据泄露。
[0003]随着数据资源的互联互通和共享开放，消除了物理界限，提出了更为严格和创新的安全防护技术，即零信任技术。零信任技术遵循“永不信任且始终验证”原则，其策略是不信任任何人、事或者物，打破了旧式的网络边界防护思维，对边界内部或外部的网络统统采取不信任的态度，必须经过验证才能完成授权，实现访问。
[0004]但是，对于安全性要求较高时，零信任实施需要实现授权和访问控制的高度统一管理，任何的网络访问都需要后台进行鉴权，对于网络的依赖程度较高，在网络质量不稳定或者弱网络的场景下容易出现验证和授权超时或失败的问题本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种业务数据访问方法，其特征在于，所述方法应用于终端设备中，所述方法包括：在截获到业务应用的业务访问请求时，根据预设的零信任访问策略，对所述业务访问请求进行本地安全校验；向安全管理服务器发送所述业务应用的深度安全校验请求；在本地安全校验通过时，根据所述业务访问请求指示的所述业务应用请求访问的目标可达区域，从本地缓存的凭证集合中确定相匹配的目标校验凭证，并根据所述目标校验凭证针对所述目标可达区域执行业务访问流程；在所述业务访问流程执行过程中，若接收到所述安全管理服务器响应所述深度安全校验请求返回的深度安全校验结果，且根据所述深度安全校验结果确定所述业务应用为恶意应用，则阻断所述业务访问流程。2.如权利要求1所述的方法，其特征在于，所述方法还包括：接收所述安全管理服务器根据所述零信任访问策略或者历史业务访问情况下发的至少一个业务访问组合的校验凭证；其中，一个可信应用与一个可达区域组成一个业务访问组合，一个业务访问组合关联至少一个校验凭证；基于所述安全管理服务器下发的校验凭证更新至所述凭证集合。3.如权利要求1所述的方法，其特征在于，所述终端设备上安装有安全管理组件和访问代理组件，则在截获到业务应用的业务访问请求时，根据预设的零信任访问策略，对所述业务访问请求进行本地安全校验，包括：在所述访问代理组件截获所述业务访问请求时，向所述安全管理组件发送鉴权请求；通过所述安全管理组件根据所述鉴权请求，确定所述业务访问请求是否符合所述零信任访问策略；在所述安全管理组件确定所述业务访问请求符合所述零信任访问策略时，确定所述业务应用的风险程度是否大于或者等于预设风险阈值；其中，在所述业务应用的风险程度不大于所述预设风险阈值时本地安全校验通过，或者，在所述业务应用的风险程度大于所述预设风险阈值时本地安全校验失败。4.如权利要求3所述的方法，其特征在于，所述在本地安全校验通过时，根据所述业务访问请求指示的所述业务应用请求访问的目标可达区域，从本地缓存的凭证集合中确定相匹配的目标校验凭证，并根据所述目标校验凭证执行业务访问流程，包括：在所述安全管理组件确定所述业务应用的风险程度不大于所述预设风险阈值时，从所述凭证集合中确定与所述业务应用与所述目标可达区域相匹配的目标校验凭证；通过所述安全管理组件将所述目标校验凭证发送给所述访问代理组件；通过所述访问代理组件使用所述目标校验凭证执行所述业务访问流程。5.如权利要求4所述的方法，其特征在于，所述通过所述访问代理组件使用所述目标校验凭证执行所述业务访问流程，包括：通过所述访问代理组件向智能网关发送携带所述目标校验凭证的连接建立请求；通过所述访问代理组件接收所述智能网关返回的连接建立成功响应；所述连接建立成功响应为所述智能网关在所述安全管理服务器对所述目标校验凭证的校验通过时发送的；通过所述访问代理组件利用与所述智能网关的连接通道将所述业务访问请求发送给所述智能网关；
通过所述访问代理组件接收所述智能网关返回的业务响应结果；所述业务响应结果为所述智能网关将所述业务访问请求转发至所述目标可达区域对应的目标业务服务器，所述目标业务服务器返回给所述智能网关的。6.如权利要求3所述的方法，其特征在于，在通过所述安全管理组件根据所述鉴权请求，确定所述业务访问请求是否符合所述零信任访问策略之后，所述方法还包括：在所述安全管理组件确定所述业务访问请求不符合所述零信任访问策略时，向所述访问代理组件发送直连指示信息；根据所述直连指示信息，通过所述访问代理组件将所述业务访问请求发送给所述业务访问请求所访问的目标站点的目标业务服务器。7.如权利要求1～6任一所述的方法，其特征在于，若接收到所述安全管理服务器返回的深度安全校验结果，且根据所述深度安全校验结果确定所述业务应用为恶意应用时，所述方法还包括：删除所述凭证集合中所述业务应用相关联的校验凭证；和/或，将所述业务应用添加至应用黑名单。8.如权利要求1～6任一所述的方法，其特征在于，所述方法还包括：监测所述零信任访问策略是否发生变化；若监测到所述零信任访问策略中增加了可信应用或者可达区域时，根据增加的可信应用或者可达区域向所述安全管理服务器发送凭证申请请求，并根据所述安全管理服务器返回的校验凭证更新所述凭证集合；若监测到登录用户的零信任访问策略中移除了可信应用或者可达区域时，从所述凭证集合中...

【专利技术属性】
技术研发人员：吴岳廷，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：