[发明专利]一种基于白名单防护的敏感文件访问控制方法

说明书

本发明公开了一种基于白名单防护的敏感文件访问控制方法。为了克服现有技术保护范围受到限制，无法有效支持文件保护的扩展的问题。本发明采用包括以下步骤：S1：得到敏感文件和敏感程序的唯一特征值；S2：使用关联配置软件将对应的敏感文件和敏感程序的唯一特征值对应配置；S3：应用层发出访问文件命令；S4：驱动管理层捕捉文件和程序的特征值；S5：驱动管理层判断文件与程序是否相互关联配置。同时保护了PE文件和非PE文件，增加了保护范围且保护文件扩展简单，保证了敏感文件范文的安全性和隐私性。

技术领域

本发明涉及一种工控安全技术领域，尤其涉及一种基于白名单防护的敏感文件访问控制方法。

背景技术

白名单防护所针对的是可执行性程序的防护，而对于部分组态文件无法起到保护控制的作用。目前，对软件产品的保护一般采用保护可执行程序以及对一些文本文件进行加密的方法。该方法是指在对软件产品测试过程中一般只选择对想保护的文件进行开发保护，对某一对象实现特殊保护方式，单独的一对一模式。该方法不能对所有文件类型进行有效的保护，大多是只保护数据库或者某个配置文件，现场人员想要查看还需要对应的解密工具。并且无法添加配置后续想要保护的文件，保护限制太窄，无法有效支持多文件保护的扩展。

例如，一种在中国专利文献上公开的“一种敏感文件安全存储办法”，其公告号“CN105975877B”，包括以下步骤：S1、对文件进行数据分割；S2、分割后数据块的随机离散；S3、分割后数据块依据离散地址进行安全存储；S4、用户访问文件申请鉴权。该方法对保护对象实现特殊保护方式，采用固定保护模式，无法添加配置后续想要保护的文件，保护限制太窄，无法有效支持多文件保护的扩展。

发明内容

本发明主要解决现有技术保护范围受到限制，无法有效支持文件保护的扩展的问题；提供一种基于白名单防护的敏感文件访问控制方法，在基于PE防护的基础上通过配置敏感文件及敏感程序来保护非PE文件的安全访问，增加保护范围，文件保护扩展简单，保护敏感文件的安全访问和隐私性。

本发明的上述技术问题主要是通过下述技术方案得以解决的：

本发明包括以下步骤：

S1：得到敏感文件和敏感程序的唯一特征值；

S2：使用关联配置软件将对应的敏感文件和敏感程序的唯一特征值对应配置；

S3：应用层发出访问文件命令；

S4：驱动管理层捕捉文件和程序的特征值；

S5：驱动管理层判断文件与程序是否相互关联配置。

本发明包括配置方法和访问方法，步骤S1和步骤S2为配置方法，步骤S3、步骤S4和步骤S5为访问方法。在基于原有的白名单防护的基础上保护敏感文件，白名单防护只保护可执行文件，敏感文件防护保护非可执行文件，增加了保护范围。在配置方法中，得到文件和程序的特征值，使用关联配置软件将对应的敏感文件和敏感程序的特征值一一对应。关联配置软件为自主研发的主机安全卫士软件。在需要为敏感文件添加对应的敏感程序或者需要为敏感程序添加对应的敏感文件时，只需要在关联配置软件中添加对应关系的配置即可，文件保护扩展简单。通过敏感文件的访问方法，敏感文件只能通过对应配置的敏感程序访问，控制敏感文件的安全访问，增加了敏感文件访问的可控性，也增加了敏感文件访问的隐私性。

作为优选，所述的文件的特征值为文件的路径，程序的特征值为HASH值；通过文件过滤模型捕捉文件路径，通过HASH算法得到程序的HASH值。使用文件的路径作为文件的特征值，方便使用文件过滤模型捕捉。文件过滤模型为Minifilter。使用程序的HASH值作为程序的唯一特征值，HASH算法将任意长度的二进制值映射为固定长度的较小二进制值，方便储存，特征值唯一。使用HASH值能够有效避免其它可执行性程序因修改成同名或者同路径而访问该敏感文件。