[发明专利]强制访问控制的文件安全监控方法、系统及存储介质

说明书

本申请公开了一种强制访问控制的文件安全监控方法、系统及存储介质，其中，文件安全监控方法包括，截获主体对目标设备对象的访问请求；获取所述主体的安全性标签，以得到第一安全性标签；获取所述目标设备对象的安全性标签，以得到第二安全性标签；根据所述第一安全性标签和所述第二安全性标签对所述访问请求进行过滤性安全审计，以得到安全审计结果；根据所述安全审计结果确定所述主体对所述目标设备对象的操作。本申请的文件安全监控方法能够将主体对目标设备对象的所有访问请求都截获，进行阻断，再通过比较主体和目标设备对象的安全性标签以确定主体是否能够访问客体，能够有效地保护系统数据，提高文件的安全性，保护主机资源。

技术领域

本申请涉及信息安全领域，尤其涉及基于强制访问控制的文件安全监控方法、系统及存储介质。

背景技术

计算机安全的根本目标就是要保障计算机中信息的保密性、完整性和可用性。Windows操作系统采取的是自主访问控制系统，灵活度高、粒度小,缺点是信息在移动过程中其访问权限关系会被改变,通过添加用户会使访问权限传递给另外一个用户，从而使不具备访问权限的用户也可以访问该目标资源。

强制访问控制(Mandatory Access Control，MAC)利用强制性的规定防止信息的不安全流动，可以非常有效地防止特洛伊木马的攻击。它在一些对操作系统安全要求很高的部门如多级军用系统中对信息安全的维护作用是非常大的。

相关技术中，BLP（Bell-La Padula）模型的不足主要表现在两个方面:应用领域比较窄，使用不灵活，一般只用于军方等具有明显等级观念的行业或领域，完整性方面控制不够，它重点强调信息向高安全级的方向流动，对高安全级信息的完整性保护强调不够。Biba模型主要针对信息完整性的保护方面。与BLP模型类似，Biba模型用完整性等级取代了BLP模型中的保密等级，而访问控制的限制正好与BLP模型相反，对信息的保密性方面控制不够。

发明内容

本申请旨在至少解决现有技术中存在的技术问题之一。为此，本申请提出一种强制访问控制的文件安全监控方法，能够兼顾保密性和完整性，提高了文件的安全性，能够有效地保护主机资源。

本申请还提出一种强制访问控制的文件安全监控系统。

本申请还提出一种计算机可读存储介质。

根据本申请的第一方面实施例的强制访问控制的文件安全监控方法，包括：

截获主体对目标设备对象的访问请求；

获取所述主体的安全性标签，以得到第一安全性标签；

获取所述目标设备对象的安全性标签，以得到第二安全性标签；

根据所述第一安全性标签和所述第二安全性标签对所述访问请求进行过滤性安全审计，以得到安全审计结果；

根据所述安全审计结果确定所述主体对所述目标设备对象的操作。

根据本申请实施例的强制访问控制的文件安全监控方法，至少具有如下有益效果：将主体对目标设备对象（客体）的所有访问请求都截获，进行阻断，再通过比较主客体的安全性标签以确定主体是否能够访问客体，能够有效地保护系统数据，提高文件的安全性，保护主机资源。

根据本申请的一些实施例，所述截获主体对目标设备对象的访问请求，包括：

创建所述目标设备对象的驱动设备对象，并将所述驱动设备对象挂接至所述目标设备对象上；

获取所述主体对所述目标设备对象的访问请求；

将所述访问请求转接至所述驱动设备对象。

根据本申请的一些实施例，所述安全性标签包括保密性标签和完整性标签，所述第一安全性标签包括第一保密性标签和第一完整性标签，所述第二安全性标签包括第二保密性标签和第二完整性标签；

所述根据所述安全审计结果确定所述主体对所述目标设备对象的操作，包括：