[发明专利]数据安全防护处理系统及方法及存储介质

说明书

技术领域

本发明涉及数据处理设备的数据安全防护技术领域，尤其涉及一种数据安全防护处理系统及方法及存储介质。

背景技术

目前，随着数据处理设备（如计算机、智能手机、平板电脑等具有数据处理能力的设备）的安全问题越来越严峻，业界出现了用于保护数据处理设备中硬件/软件/数据的数据安全防护处理系统。这些数据安全防护处理系统往往以软件的方式安装并运行在数据处理设备上，以避免数据处理设备的硬件/软件/数据不因偶然的或恶意的原因而遭到破坏、更改、显露。

目前业界常用的数据安全防护处理系统中，往往集成有两种以上业务模块，每种业务模块用于执行相应的业务处理逻辑，实现有针对性的安全防护功能。例如，目前一个安全防护系统中通常集成有实时防护业务模块、木马扫描业务模块、文件监控业务模块、下载保护业务模块等。目前，所述各个业务模块在进程业务逻辑处理时都用到了进程文件特征值缓存技术。

所谓进程文件特征值缓存技术是指：在某一个程序的进程启动的时候，读取该进程所对应的磁盘文件内容，进行文件特征值计算，并且把计算得到的文件特征值保存到内存的缓存结构中。同时，也会把该进程的文件特征值上传到后台的服务器进行查询，获取该文件的安全防护属性信息，在收到服务器应答的结果后，把安全防护属性信息也保存到缓存结构中，并与对应的文件特征值绑定。所述安全防护属性信息主要包含了该文件是否安全的信息，或进一步包括对应的安全处理策略信息等。所述文件是否安全的信息例如可以是黑白灰属性信息：通常“黑”代表该文件是危险的（通常为病毒等文件），对应的安全处理策略通常是阻止运行、立即清除等处理；“白”表示该文件是安全的，对应的安全处理策略通常是允许运行等处理；“灰”表示该文件是否安全未知，对应的安全处理策略通常是上报告警等处理。当然所述的安全处理策略可以根据业务需要进行调整，并不是固定不变的。在内存中缓存了所述进程的文件特征值和对应的安全防护属性信息之后，当该进程触发了数据安全防护处理系统中某个业务模块的监测点时，该业务模块就读取该进程所对应的磁盘文件内容，进行文件特征值计算，根据计算得到的文件特征值到缓存中去查询这个文件的安全防护属性信息，并根据查询结果做出相应的判断与处理，例如查询出该文件的黑白灰属性信息为“黑”，则会根据安全处理策略阻止运行该进程。

例如，图1为现有的一种数据安全防护处理系统中的实时防护业务模块利用进程文件特征值缓存技术进行防护处理的流程图。参见图1，该流程包括：

步骤101、某一进程触发了所述实时防护业务模块的监测点。

所述监测点是指该业务模块对程序进程的动作监测对象。例如对于实时防护业务模块，所述监测点可以为：监测程序进程向注册表中添加注册项的动作，如果某个进程向注册表中添加了注册项则触发了该实时防护业务模块的监测点，实时防护业务模块就会对该进程进行实时防护业务处理。再例如对于下载保护业务模块，所述监测点可以为：监测是否有文件下载完成，如果是则触发了该下载保护业务模块的监测点，下载保护业务模块对该进程进行下载保护处理。

步骤102、读取该进程所对应的磁盘文件内容，根据该文件内容计算该文件的文件特征值。

在得到文件特征值之后，一般会先判断本地内存缓存中是否保存有该文件特征值对应的安全防护属性信息。图1所述的例子中为了提高缓存查询的效率，划分了三个缓存结构，分别为实时防护整体缓存、本地文件黑白缓存、和云策略缓存，分别对应下述步骤103~步骤105。所述实时防护整体缓存中用于缓存文件特征值及其对应的用户提示结果；所述本地文件黑白缓存用于缓存文件特征值及其对应的黑白属性信息，当然也可以包括黑白灰属性信息；所述云策略缓存用于缓存文件特征值及其对应的云端的安全处理策略信息。当然，所述三个缓存结构中的内容也可以用一个缓存结构来缓存，即用一个缓存结构来缓存文件描述值及其对应的用户提示结果、黑白属性信息、和云端安全处理策略信息等安全防护属性信息，只是在处理时效率差些。图1中所述三个缓存判断具体包括：

步骤103、利用所述文件特征值查询所述实时防护整体缓存，如果在该缓存中查询到有该文件特征值的记录，则读取出其对应的用户提示结果信息，跳到步骤108通知底层驱动模块根据缓存查询结果进行对应的实时防护业务处理，否则执行下一步。

步骤104、利用所述文件特征值查询所述黑白缓存，如果在该缓存中查询到有该文件特征值的记录，则读取出其对应的黑白属性信息，跳到步骤108通知底层驱动模块根据缓存查询结果进行对应的实时防护业务处理，否则执行下一步。