[发明专利]一种计算机系统的安全防护方法及装置

权利要求书

1.一种计算机系统的安全防护方法，其特征在于，包括：

将与访问相关的每个操作对象抽象为数据空间中的节点，每一个节点具有在所述数据空间中的坐标值；

根据每一个节点在所述数据空间中的坐标值，确定每一个节点对应的访问轨迹；

接收对第一节点的访问请求，根据所述第一节点对应的访问轨迹，判断是否允许本次访问，如果是，则允许本次访问。

2.根据权利要求1所述的方法，其特征在于，进一步包括：预先按照操作对象的种类，设定每一类操作对象在抽象为数据空间中对应节点的坐标值，并根据设定的坐标值执行所述将与访问相关的每个操作对象抽象为数据空间中的节点；其中，同一类操作对象抽象为数据空间中对应的节点位于同一层；

所述种类包括：硬件类、数据类、用户类、软件类、操作类中的一种或多种。

3.根据权利要求1所述的方法，其特征在于，所述与访问相关的操作对象包括：设备、数据、应用程序、用户、接口、参数、操作中的任意一个或多个。

4.根据权利要求1所述的方法，其特征在于，所述根据所述第一节点对应的访问轨迹，判断是否允许本次访问包括：

确定所述访问请求对应的第二访问轨迹；

对比所述第一节点对应的第一访问轨迹和所述确定的第二访问轨迹，如果相同，则允许本次访问；否则拒绝本次访问。

5.根据权利要求4所述的方法，其特征在于，所述访问请求对应的第二访问轨迹包括：发起该访问请求的设备对应的节点、发送该访问请求的接口对应节点、该访问请求经过的路由设备对应的节点、以及各个节点的连接关系。

6.一种计算机系统的安全防护装置，其特征在于，包括：

抽象单元，用于将与访问相关的每个操作对象抽象为数据空间中的节点，每一个节点具有在所述数据空间中的坐标值；

确定单元，用于根据每一个节点在所述数据空间中的坐标值，确定每一个节点对应的访问轨迹；

判断单元，用于接收对第一节点的访问请求，根据所述第一节点对应的访问轨迹，判断是否允许本次访问，如果是，则允许本次访问。

7.根据权利要求6所述的装置，其特征在于，所示抽象单元，用于预先按照操作对象的种类，设定每一类操作对象在抽象为数据空间中对应节点的坐标值，并根据设定的坐标值执行所述将与访问相关的每个操作对象抽象为数据空间中的节点；其中，同一类操作对象抽象为数据空间中对应的节点位于同一层；所述种类包括：硬件类、数据类、用户类、软件类、操作类中的一种或多种。

8.根据权利要求6所述的装置，其特征在于，所述与访问相关的操作对象包括：设备、数据、应用程序、用户、接口、参数、操作中的任意一个或多个。

9.根据权利要求6所述的装置，其特征在于，所述判断单元，用于确定所述访问请求对应的第二访问轨迹；对比所述第一节点对应的第一访问轨迹和所述确定的第二访问轨迹，如果相同，则允许本次访问；否则拒绝本次访问。

10.根据权利要求9所述的装置，其特征在于，所述访问请求对应的第二访问轨迹包括：发起该访问请求的设备对应的节点、发送该访问请求的接口对应节点、该访问请求经过的路由设备对应的节点、以及各个节点的连接关系。