本发明专利技术公开了文件操作控制方法及系统,该方法包括:当监控到对目标文件执行目标操作行为的操作请求时,将所述请求进行拦截,并由客户端通过网络向安全控制服务器的管理控制中心获取所述目标文件的安全属性信息;所述安全属性信息包括私有属性以及公有属性,其中,所述私有属性为管理控制中心的安全管理员为所述目标文件设置的安全类别信息,根据所述目标文件的安全属性信息以及从所述管理控制中心获取到的针对当前客户端的安全策略,判断是否允许运行对所述目标文件执行所述目标操作行为;根据判断结果对所拦截到的请求进行处理。通过本发明专利技术,能够使得企业版安全产品体现出针对不同企业的个性化特点,在安全控制方面体现出更强的灵活性。
【技术实现步骤摘要】
本专利技术涉及企业版安全
,具体涉及运行文件的方法及系统。
技术介绍
传统的企业网络环境中,企业终端电脑上堆积着各类不同的安全桌面产品,如反病毒软件等,这些软件产品通常来自不同厂商,无法统一管理,并且占用大量的系统资源,大大影响企业的工作效率。为解决该问题,企业版安全产品也就应运而生了。企业版安全产品通常由管理控制中心及安全产品客户端两部分(管理控制中心部署在网管等IT人员管理的服务器上,客户端安装在各个员工的PC机上)组成,其中,管理控制中心为企业集中管理内网电脑搭建了一个全能平台,在统一的平台上满足了广大企业对于集中杀毒、体检、打补丁等迫切需求。可见,在企业版安全产品中,管理控制中心相当于扮演了代理服务器的角色,为企业内部的各个客户端提供服务,这样,相当于形成了一种企业网内部的“私有云”,只有当代理服务器上不存在客户端请求的数据时,才会从“公共云”下载,因此,可以节省带宽资源。然而,这种“私有云”系统在功能上还有待完善和提高。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的文件操作控制方法及系统,能够使得企业版安全产品体现出针对不同企业的个性化特点,在安全控制方面体现出更强的灵活性。依据本专利技术的一个方面,提供了一种文件操作控制方法,包括:客户端对目标文件的目标操作行为进行监控;当监控到对目标文件执行目标操作行为的操作请求时,将所述请求进行拦截,并由客户端通过网络向安全控制服务器的管理控制中心获取所述目标文件的安全属性信息;所述安全属性信息包括私有属性以及公有属性,其中,所述私有属性为管理控制中心的安全管理员为所述目标文件设置的安全类别信息,所述公有属性为通过查询预置的特征库获取到的所述目标文件的安全类别信息;根据所述目标文件的安全属性信息以及从所述管理控制中心获取到的针对当前客户端的安全策略,判断是否允许运行对所述目标文件执行所述目标操作行为;所述安全策略用于保存允许和/或不允许在当前客户端执行所述目标操作行为的文件的安全属性信息集合;根据判断结果对所拦截到的请求进行处理。可选地,还包括:在管理控制中心根据客户端所处的物理区域对安全性要求的不同,对物理区域进行划分,并分别为各个物理区域配置不同的安全策略;客户端向所述管理控制中心发送获取安全策略的请求;所述管理控制中心确定所述客户端所处的物理区域,将为该物理区域配置的安全策略返回给该客户端。可选地,所述根据判断结果对所拦截到的请求进行处理包括:如果所述判断结果为允许对所述目标文件执行所述目标操作行为,则将所述拦截到的请求放行。可选地,所述根据判断结果对所拦截到的请求进行处理包括:如果所述判断结果为不允许对所述目标文件执行所述目标操作行为,则将所述拦截到的请求丢弃。可选地,还包括:所述对所述请求进行拦截之后,加载显示预置的界面,用以显示正在进行安全性检测。依据本专利技术的另一个方面,提供了一种文件操作控制系统,包括客户端以及管理控制中心,其中,所述客户端包括:监控单元,用于对目标文件的目标操作行为进行监控;信息获取单元,用于当监控到对目标文件执行目标操作行为的操作请求时,将所述请求进行拦截,并由客户端通过网络向安全控制服务器的管理控制中心获取所述目标文件的安全属性信息;所述安全属性信息包括私有属性以及公有属性,其中,所述私有属性为管理控制中心的安全管理员为所述目标文件设置的安全类别信息,所述公有属性为通过查询预置的特征库获取到的所述目标文件的安全类别信息;判断单元,用于根据所述目标文件的安全属性信息以及从所述管理控制中心获取到的针对当前客户端的安全策略,判断是否允许运行对所述目标文件执行所述目标操作行为;所述安全策略用于保存允许和/或不允许在当前客户端执行所述目标操作行为的文件的安全属性信息集合;处理单元,用于根据判断结果对所拦截到的请求进行处理。可选地,所述管理控制中心包括:配置单元,用于根据客户端所处的物理区域对安全性要求的不同,对物理区域进行划分,并分别为各个物理区域配置不同的安全策略;所述客户端还包括:请求单元,用于客户端向所述管理控制中心发送获取安全策略的请求;所述管理控制中心还包括:确定单元,用于确定所述客户端所处的物理区域,将为该物理区域配置的安全策略返回给该客户端。可选地,所述处理单元包括:放行子单元,用于如果所述判断结果为允许对所述目标文件执行所述目标操作行为,则将所述拦截到的请求放行。可选地,所述处理单元包括:丢弃子单元,用于如果所述判断结果为不允许对所述目标文件执行所述目标操作行为,则将所述拦截到的请求丢弃。可选地,所述客户端还包括:显示单元,用于所述对所述请求进行拦截之后,加载显示预置的界面,用以显示正在进行安全性检测。根据本专利技术的文件操作控制方法及系统,可以根据目标文件的安全属性信息以及管理控制中心为该客户端配置的安全策略,判断是否允许在当前客户端上对该文件执行目标操作行为。其中,安全属性信息不仅可以包括根据企业级安全产品的特征库确定出的文件的公有属性,还可以包括企业内部的管理员为文件配置的私有属性,并且,在安全策略中,也是同时体现这两方面的安全属性信息,这样,在判断时,就可以基于这两方面的信息进行综合性的判断,可以使得企业版安全产品体现出针对不同企业的个性化特点,在安全控制方面体现出更强的灵活性。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了根据本专利技术一个实施例的方法的流程图;以及图2示出了根据本专利技术一个实施例的系统的示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。参见图1,本专利技术实施例首先提供了一种文件操作控制方法,该方法可以包括以下步骤:SlOl:客户端对目标文件的目标操作行为进行监控;所谓的目标操作行为可以包括运行目标文件、一个程序查看另一个程序的某文件(例如通讯录等)或存放在硬盘中的照片,等等。为了便于描述,下文中均以运行文件为例进行介绍。在本专利技术实施例中,并不是进行全盘扫描式的病毒查杀等操作,而是在用户想要运行某文件(包括打开某文档、打开某可执行文件等等)时,针对该当前要运行的文件进行安全性检测,以便确定是否允许当前用户运行该文件。为此,可以预先在系统中注册钩子函数,对文件运行类的API (Application Programming Interface,应用程序编程接口)函数进行钩挂(H00K),这样,当通过调用对应的API函数准备运行某文件时,就会将调用的地址转向本专利技术实施例中的企业版安全产品的客户端。S102:当监控到对目标文件执行目标操作行为的操作请求本文档来自技高网...
【技术保护点】
一种文件操作控制方法,包括:客户端对目标文件的目标操作行为进行监控;当监控到对目标文件执行目标操作行为的操作请求时,将所述请求进行拦截,并由客户端通过网络向安全控制服务器的管理控制中心获取所述目标文件的安全属性信息;所述安全属性信息包括私有属性以及公有属性,其中,所述私有属性为管理控制中心的安全管理员为所述目标文件设置的安全类别信息,所述公有属性为通过查询预置的特征库获取到的所述目标文件的安全类别信息;根据所述目标文件的安全属性信息以及从所述管理控制中心获取到的针对当前客户端的安全策略,判断是否允许运行对所述目标文件执行所述目标操作行为;所述安全策略用于保存允许和/或不允许在当前客户端执行所述目标操作行为的文件的安全属性信息集合;根据判断结果对所拦截到的请求进行处理。
【技术特征摘要】
【专利技术属性】
技术研发人员:温铭,李宇,胡劲,张家柱,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。