[发明专利]一种敏感指令的防护方法、设备及存储介质

说明书

本发明实施例公开了一种敏感指令的防护方法，该方法包括：资源管理平台的操作指令为敏感指令时，确定操作指令的敏感等级；基于预设的映射关系和操作指令的敏感等级，确定操作指令的敏感等级对应的防护策略；其中，映射关系包含至少两个敏感等级和至少两个防护策略的对应关系；基于确定的防护策略，防护敏感指令。本发明实施例还公开了一种敏感指令的防护设备及存储介质。

技术领域

本发明涉及网络安全技术，尤其涉及一种敏感指令的防护方法、设备及存储介质。

背景技术

4A(认证Authentication、授权Authorization、记账Accounting、审计Audit)统一安全管理平台，即融合统一账号管理、统一认证管理、统一授权管理和统一安全审计四要素的解决方案，涵盖单点登录(Single Sign On，SSO)等安全功能，为用户提供功能完善的、高安全级别的4A管理。

其中，统一授权管理可以对用户的资源访问权限进行集中管理，即可以实现对浏览器/服务器模式、客户端/服务器模式应用系统资源的访问权限控制，也可以实现对数据库、主机及网络设备的操作权限控制，因此，资源控制类型既包括浏览器/服务器模式的统一资源定位符(Uniform Resource Locator，URL)、客户端/服务器模式的功能模块，也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。

统一安全审计管理是将用户所有的操作日志集中记录管理和分析，不仅可以对用户行为进行监控，并且可以通过集中的审计数据进行数据挖掘，以便于事后的安全事故责任的认定。

协同操作人审批通过时，执行指令；审批不通过时，拒绝执行指令。现有技术通过统一安全审计管理在确定用户的操作指令为敏感指令时，通过统一授权管理，对用户的资源访问权限进行集中控制。具体来说管理方法包括：1)用户通过4A平台登录后台资源时，所有的操作指令都将被4A平台管控；2)协同操作人通过建立指令集来管理用户的操作指令，并可以对其中的敏感指令进行精准匹配拦截，若用户使用了非授权命令，4A平台将拦截该操作；3)用户可以通过4A平台进行动态的权限申请，协同操作人查看用户的动态授权申请，确认通过或禁止本次申请。如图1所示，用户使用账号通过单点登录管理模块101登录4A平台，单点登录管理模块101在获取到登录请求时，向堡垒机102发起单点登录请求，堡垒机102向网络设备/业务系统104发送连接请求，连接成功返回连接成功指示，在判断为敏感指令时，向金库管理模块103发起金库审批；协同操作人审批通过，金库管理模块103向单点登录管理模块101传递审批通过指示，单点登录管理模块101与网络设备/业务系统104执行指令，否则，审批不通过时，拒绝执行指令。

然而现有的4A平台中，对于敏感指令的防护手段较为单一，现有的防护手段容易被攻破，敏感指令进行的违规操作只能作为事后责任认定的依据，不能有效及时阻止违规操作的执行。

发明内容

为解决上述技术问题，本发明实施例期望提供一种敏感指令的防护的方法、设备及存储介质，能够增强资源管理平台对于敏感指令的防护能力。

本发明的技术方案是这样实现的：

本发明实施例提供了一种敏感指令的防护方法，包括：

资源管理平台的操作指令为敏感指令时，确定所述操作指令的敏感等级；

基于预设的映射关系和所述操作指令的敏感等级，确定所述操作指令的敏感等级对应的防护策略；其中，所述映射关系包含至少两个敏感等级和至少两个防护策略的对应关系；

基于确定的防护策略，防护敏感指令。

上述方案中，所述至少两个防护策略包括第一防护策略；所述第一防护策略包括：向一个管理终端发送第一验证信息；基于所述一个管理终端返回的响应所述第一验证信息的第一授权信息，执行所述操作指令。