[发明专利]自助服务终端的安全防护方法及装置

说明书

技术领域

本发明涉及自助服务终端的技术领域，尤其是涉及一种自助服务终端的安全防护方法及装置。

背景技术

自助服务终端广泛应用于社会各个领域，银行ATM、办公大厅内的发票打印机、地铁线路查询机等都属于自助服务终端，自助服务终端本质上是一台计算机，多数运行Windows操作系统，根据服务需要运行相应软件，连接显示器、打印机、语音设备等外设，封装成一个像盒子一样的设备，客户使用时根据显示器的提示进行自助操作，获取所需服务。

也正因为自助服务终端本质上是一台计算机，所以会面临计算机同样的安全威胁，普通计算机常见的安全防护措施是安装防病毒软件，更新漏洞补丁，但是自助服务终端常见于内网部署，不连接互联网，无法及时更新病毒库和漏洞补丁，此外基于业务稳定、可用性的考量，一般不会对自助服务终端系统进行改动。当前，有大量的自助服务终端采用Windows XP系统，微软公司已经停止对Windows XP的升级维护，不再发布新的补丁程序。因此，Windows XP系统漏洞被发掘公布以后，所有的Windows XP系统对漏洞敞开不设防，除微软外其它厂商没有任何技术手段可以对操作系统打补丁加固升级。这些自助服务终端处于不设防状态，存在严重的安全风险，当面临针对漏洞发起的攻击时，无法进行有效防护。2017年5月份的勒索病毒就是典型例子，勒索病毒感染了国内众多自助服务设备，造成服务中断，用户无法使用，给政府部门经济和声誉造成了重大影响。

综上，现有技术中，还没有一种安全防护方法对自助服务终端进行有效的安全防护。

发明内容

有鉴于此，本发明的目的在于提供一种自助服务终端的安全防护方法及装置，以缓解现有技术中，还没有一种安全防护方法对自助服务终端进行有效的安全防护的技术问题。

第一方面，本发明实施例提供了一种自助服务终端的安全防护方法，所述方法包括：

拦截访问主体发送的访问请求；

在拦截到所述访问请求之后，获取第一安全标记信息和第二安全标记信息，其中，所述第一安全标记信息为所述访问主体的安全标记信息，所述第二安全标记信息为访问客体的安全标记信息，所述访问客体为被所述访问主体所访问的资源，所述安全标记信息用于表示安全等级；

基于所述第一安全标记信息和所述第二安全标记信息，确定目标安全访问策略，以控制所述访问主体按照所述目标安全访问策略访问所述访问客体。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，基于所述第一安全标记信息和所述第二安全标记信息，确定目标安全访问策略包括：

将所述第一安全标记信息与所述第二安全标记信息进行对比，得到对比结果，其中，所述对比结果用于表示所述第一安全标记信息与所述第二安全标记信息之间的等级关系；

基于所述对比结果在预设安全访问策略中确定所述目标安全访问策略，其中，所述预设安全访问策略中包括不同等级的访问主体对访问客体所具有的访问权限信息。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，基于所述对比结果在预设安全访问策略中确定所述目标安全访问策略包括：

当所述对比结果为所述第一安全标记信息所表示的安全等级高于所述第二安全标记信息所表示的安全等级时，则调用第一目标安全访问策略，所述第一目标安全策略为允许所述访问主体读取和执行所述访问客体中的内容。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，基于所述对比结果在预设安全访问策略中确定所述目标安全访问策略还包括：

当所述对比结果为所述第一安全标记信息所表示的安全等级与所述第二安全标记信息所表示的安全等级相同时，则调用第二目标安全访问策略，所述第二目标安全策略为允许所述访问主体对所述访问客体中的内容进行以下任意操作：读取操作，执行操作，修改操作，删除操作。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，基于所述对比结果在预设安全访问策略中确定所述目标安全访问策略还包括：

当所述对比结果为所述第一安全标记信息所表示的安全等级低于所述第二安全标记信息所表示的安全等级时，则调用第三目标安全访问策略，所述第三目标安全策略为禁止所述访问主体对所述访问客体进行访问。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，在拦截到所述访问请求之后，所述方法还包括：