[发明专利]一种计算机系统的安全防护方法及装置

说明书

技术领域

本发明涉及计算机技术领域，特别涉及一种计算机系统的安全防护方法及装置。

背景技术

随着计算机操作系统的日趋复杂，外设终端的种类、应用程序日益增多，尤其是随着互联网的普及，计算机操作系统所面临的网络威胁压力逐日激增，使得计算机操作系统的安全性越来越难以保障。

目前，可以采用授权管理模式对访问者和被访问者之间进行权限设置，然而，目前的授权管理模式存在一些常见的漏洞。例如，设置用户Person A具有访问数据库1中表格Table B的权限，设置应用程序APP C具有访问数据库1中表格Table D的权限，但Person A不具有访问Table D的权限，若Person A可以通过运行APP C来访问Table D，只要Person A具有访问APP C的权限，即可绕过该授权管理模式，获取到Table D中的内容。再如，设置应用程序A不具有访问文件B的权限，但如果用户将应用程序A以管理员模式运行后，则应用程序A可以轻易的绕过传统的授权管理模式，成功读取到文件B中的内容。

因此，急需提出一种授权管理模式，以保证计算机系统的安全防护。

发明内容

有鉴于此，本发明提供一种计算机系统的安全防护方法及装置，以实现计算机系统的安全防护。

本发明提供了一种计算机系统的安全防护方法，包括：

将与访问相关的每个操作对象抽象为数据空间中的节点，每一个节点具有在所述数据空间中的坐标值；

根据每一个节点在所述数据空间中的坐标值，确定每一个节点对应的访问轨迹；

接收对第一节点的访问请求，根据所述第一节点对应的访问轨迹，判断是否允许本次访问，如果是，则允许本次访问。

优选地，进一步包括：预先按照操作对象的种类，设定每一类操作对象在抽象为数据空间中对应节点的坐标值，并根据设定的坐标值执行所述将与访问相关的每个操作对象抽象为数据空间中的节点；其中，同一类操作对象抽象为数据空间中对应的节点位于同一层；

所述种类包括：硬件类、数据类、用户类、软件类、操作类中的一种或多种。

优选地，所述与访问相关的操作对象包括：设备、数据、应用程序、用户、接口、参数、操作中的任意一个或多个。

优选地，所述根据所述第一节点对应的访问轨迹，判断是否允许本次访问包括：

确定所述访问请求对应的第二访问轨迹；

对比所述第一节点对应的第一访问轨迹和所述确定的第二访问轨迹，如果相同，则允许本次访问；否则拒绝本次访问。

优选地，所述访问请求对应的第二访问轨迹包括：发起该访问请求的设备对应的节点、发送该访问请求的接口对应节点、该访问请求经过的路由设备对应的节点、以及各个节点的连接关系。

本发明还提供了一种计算机系统的安全防护装置，包括：

抽象单元，用于将与访问相关的每个操作对象抽象为数据空间中的节点，每一个节点具有在所述数据空间中的坐标值；

确定单元，用于根据每一个节点在所述数据空间中的坐标值，确定每一个节点对应的访问轨迹；

判断单元，用于接收对第一节点的访问请求，根据所述第一节点对应的访问轨迹，判断是否允许本次访问，如果是，则允许本次访问。

优选地，所示抽象单元，用于预先按照操作对象的种类，设定每一类操作对象在抽象为数据空间中对应节点的坐标值，并根据设定的坐标值执行所述将与访问相关的每个操作对象抽象为数据空间中的节点；其中，同一类操作对象抽象为数据空间中对应的节点位于同一层；所述种类包括：硬件类、数据类、用户类、软件类、操作类中的一种或多种。

优选地，所述与访问相关的操作对象包括：设备、数据、应用程序、用户、接口、参数、操作中的任意一个或多个。

优选地，所述判断单元，用于确定所述访问请求对应的第二访问轨迹；对比所述第一节点对应的第一访问轨迹和所述确定的第二访问轨迹，如果相同，则允许本次访问；否则拒绝本次访问。

优选地，所述访问请求对应的第二访问轨迹包括：发起该访问请求的设备对应的节点、发送该访问请求的接口对应节点、该访问请求经过的路由设备对应的节点、以及各个节点的连接关系。

本发明实施例提供了一种计算机系统的安全防护方法及装置，通过将操作对象抽象为数据空间中的节点，使得每个节点在数据空间中具有对应的坐标值，从而可以利用具有坐标值的节点设定每一个节点的访问轨迹，当接收到访问请求时，可以根据该节点对应的访问轨迹确定是否允许访问，从而保证了计算机系统的安全防护。