[发明专利]一种强制访问规则的配置方法、系统、终端及存储介质

说明书

本发明提供一种强制访问规则的配置方法、系统、终端及存储介质，包括：将产品级的安全需求分解为访问规则，并将所有访问规则保存至访问规则列表；从所述访问规则列表依次提取访问规则，并判断提取的访问规则与策略库已有规则是否匹配：若是，则在所述访问规则列表的相应表项做肯定标记；若否，则在所述访问规则列表的相应表项做否定标记，并根据带有否定标记的访问规则更新策略库。本发明可解决强制访问规则策略库中已有规则但存在与当前的安全需求不完全相符的场景下的解决办法问题，起到推进强制访问功能的作用。

技术领域

本发明涉及强制访问控制技术领域，具体涉及一种强制访问规则的配置方法、系统、终端及存储介质。

背景技术

Centos 7系统默认安装了selinux系统，并默认启用；然而在构建基于centon7的应用系统时许多项目会选择将selinux关闭。事后，出于安全合规则等方面的考虑不少产品会考虑重新打开selinux，此时通常出现的一个问题是，默认安装的安全策略或许并不能满足安全需求。曾有专利提出过通过selinux的安全日志和audit2allow为全新的应用生成策略的方法，这对策略库中并无涉及此新应用的策略时有效。然而对有些基于libvirt的虚拟化产品，在内核中已有了相应的策略，比如svirt相关的策略规则。Svirt规则能够满足绝大多数的产品级的安全需求，然而偶尔也会出现已有规则与所需的安全需求相悖的情形。

发明内容

针对现有技术的上述不足，本发明提供一种强制访问规则的配置方法、系统、终端及存储介质，以解决上述技术问题。

第一方面，本发明提供一种强制访问规则的配置方法，包括：

将产品级的安全需求分解为访问规则，并将所有访问规则保存至访问规则列表；

从所述访问规则列表依次提取访问规则，并判断提取的访问规则与策略库已有规则是否匹配：

若是，则在所述访问规则列表的相应表项做肯定标记；

若否，则在所述访问规则列表的相应表项做否定标记，并根据带有否定标记的访问规则更新策略库。

进一步的，所述将产品级的安全需求分解为访问规则并将所有访问规则保存至访问规则列表，包括：

将产品级的安全需求分解为允许访问规则和拒绝访问规则；

将所有允许访问规则保存至允许型列表；

将所有拒绝访问规则保存至拒绝型列表。

进一步的，所述判断提取的访问规则与策略库已有规则是否匹配，包括：

若已有规则中存在与所述允许访问规则一致的匹配已有规则，则在所述允许型列表的相应表项中标记符合需求；

若已有规则中不存在所述拒绝访问规则的匹配已有规则，则在所述拒绝型列表的相应表项中标记符合需求；

若已有规则中存在所述拒绝访问规则的匹配已有规则，则在所述拒绝型列表的相应表项中标记不符合需求，并记录所述拒绝访问规则的布尔值或源码信息。

进一步的，所述将访问规则列表中所有带有否定标记的访问规则更新至策略库，包括：

利用所述布尔值修改所述已有匹配规则的启用状态；

根据所述源码信息将所述拒绝访问规则的文件路径和行数转换为策略源码中的接口名字；

根据所述接口名字修改策略源码，删除带有否定标记的拒绝访问规则并添加带有否定标记的允许访问规则。

第二方面，本发明提供一种强制访问规则的配置系统，包括：

需求分解单元，配置用于将产品级的安全需求分解为访问规则，并将所有访问规则保存至访问规则列表；