[发明专利]客户端的安全防护方法及装置、终端设备

说明书

本发明公开了一种客户端的安全防护方法及装置、终端设备。其中，该方法包括：在检测目标客户端启动系统基础服务后，获取待保护的目标文件，其中，目标文件为目标客户端中安装的可信防护软件所对应的安装文件，可信防护软件用于为目标客户端提供主动安全防护服务；确定与目标文件对应的第一权限信息；基于第一权限信息，对目标文件和/或可信防护软件对应的进程进行安全防护。本发明解决了相关技术中客户端采用的安全防护软件仅仅能进行被动防御，无法保证内部存储的文件的安全性的技术问题。

技术领域

本发明涉及客户端信息处理技术领域，具体而言，涉及一种客户端的安全防护方法及装置、终端设备。

背景技术

相关技术中，随着信息技术的不断发展，客户端上会存放很多的文件，为了保证这些文件的安全，常常采用外部安装的安全杀毒软件进行被动防御，这种安全杀毒软件往往是在有病毒攻击的情况下，才会进行杀毒识别，如果识别失败，则客户端会瘫痪，无法正常运行；这种采用安全杀毒软件进行被动防御的方式无法有效保证客户端内保存的文件的安全。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种客户端的安全防护方法及装置、终端设备，以至少解决相关技术中客户端采用的安全防护软件仅仅能进行被动防御，无法保证内部存储的文件的安全性的技术问题。

根据本发明实施例的一个方面，提供了一种客户端的安全防护方法，应用于目标客户端，包括：在检测目标客户端启动系统基础服务后，获取待保护的目标文件，其中，所述目标文件为所述目标客户端中安装的可信防护软件所对应的安装文件，所述可信防护软件用于为所述目标客户端提供主动安全防护服务；确定与所述目标文件对应的第一权限信息；基于所述第一权限信息，对所述目标文件和/或所述可信防护软件对应的进程进行安全防护。

可选地，所述安全防护方法还包括：在启动所述可信防护软件后，获取所述目标客户端中的关键资源文件；获取与所述关键资源文件对应的第二权限信息；基于所述第二权限信息，对所述关键资源文件进行安全保护。

可选地，所述安全防护方法还包括：在所述目标客户端检测到注册表访问行为时，拦截所述注册表访问行为；将所述注册表访问行为对应的访问注册表的路径与注册表访问策略进行对比；若所述注册表访问策略中没有规定所述注册表访问行为对应的访问注册表的路径，则允许所述注册表访问行为执行；若所述注册表访问策略中规定了所述注册表访问行为对应的访问注册表的路径，则禁止所述注册表访问行为执行。

可选地，所述安全防护方法还包括：在启动所述可信防护软件后，遍历所述目标客户端上的磁盘，得到所有磁盘文件；从所述所有磁盘文件中识别出所述目标客户端当前运行环境中的可执行文件和支持脚本；将所述可执行文件和与所述支持脚本对应的哈希值存入系统白名单；基于所述系统白名单对所述目标客户端实现主动安全防护。

可选地，所述安全防护方法还包括：在启动所述可信防护软件之后，接收与所述目标客户端远程连接的管理中心传输的软件安装策略；按照所述软件安装策略安装所述管理中心传输的软件包，并采集所述软件包安装过程中产生的白名单；将采集到的所述白名单发送给所述管理中心，所述管理中心用于将所述白名单与所述软件安装策略对应存储。

可选地，所述安全防护方法还包括：所述目标客户端每隔预定时间段向与所述目标客户端远程连接的管理中心发送心跳数据，其中，所述心跳数据中携带有所述目标客户端的相关信息；所述目标客户端接收所述管理中心在接收到所述心跳数据之后返回的通知消息，其中，所述通知消息用于通知所述目标客户端从所述管理中心获取目标策略；所述目标客户端从所述管理中心获取并解析所述目标策略，并配置给内核；所述目标客户端想所述管理中心发送确认消息，其中，所述确认消息用于通知所述管理中心所述目标策略已生效。

可选地，所述安全防护方法还包括：对所述目标客户端与所述管理中心之间的通信数据进行加密处理，其中，在进行加密处理时的加密算法至少包括：国密SM算法。