[发明专利]国产操作系统下的可移动介质访问权限的管控方法及系统

权利要求书

1.一种国产操作系统下的可移动介质访问权限的管控方法，其特征在于，包括：读写权限控制、执行权限控制、重命名权限控制、删除权限控制及权限更改控制；

各权限控制方法具体为：

注册LSM框架下securty_operations结构下相应权限控制的回调函数；

获取操作信息，所述操作信息包括当前操作的文件的文件名、所述文件的进程信息或操作所述文件的进程信息及操作所述文件的用户信息；

判断当前操作的文件是否被禁止相应操作，或所述文件的进程信息是否为恶意，如果是，则拦截所述操作；

否则若所述操作为读写操作，则判断操作所述文件的进程信息是否为异常进程，如果是则拦截所述操作，否则判断操作所述文件的用户信息是否非法，如果是则拦截所述操作，否则允许继续操作；

若所述操作为执行操作，则判断所述文件的父进程是否异常，如果是则拦截所述操作，否则判断所述文件的用户信息是否非法，如果是，则拦截所述操作，否则允许继续操作；

若所述操作为重命名、删除或权限更改，则允许继续操作。

2.如权利要求1所述的方法，其特征在于，还包括传输管控；所述传输管控包括：

普通模式，允许可移动介质与主机间进行文件相互传输，并对数据传输信息形成日志记录；

只读模式，只允许可移动介质中文件拷贝至主机，拦截对可移动介质的所有写操作，并统计记录拦截信息形成拦截日志记录；

安全模式，禁止拷贝文件至可移动介质，同时监控主机，控制可移动介质中的文件只可拷贝到主机的特定目录。

3.如权利要求1或2所述的方法，其特征在于，还包括接入管控：设置可移动介质白名单及黑名单，控制是否允许可移动介质接入主机；所述白名单及黑名单中至少包含供应商ID、产品识别码及全局唯一标识字段。

4.如权利要求3所述的方法，其特征在于，所述操作的文件是否被禁止相应操作的设置，通过配置文件进行设置和更改。

5.一种国产操作系统下的可移动介质访问权限管控系统，其特征在于，包括：

注册模块，用于注册LSM框架下securty_operations结构下相应权限控制的回调函数；

信息获取模块，用于获取操作信息，所述操作信息包括当前操作的文件的文件名、所述文件的进程信息或操作所述文件的进程信息及操作所述文件的用户信息；

读写权限控制模块，用于判断当前操作的文件是否被禁止相应操作，如果是，则拦截所述操作；否则，判断操作所述文件的进程信息是否为异常进程，如果是则拦截所述操作；否则判断操作所述文件的用户信息是否非法，如果是则拦截所述操作，否则允许继续操作；

执行权限控制模块，用于判断所述文件的进程信息是否为恶意，如果是，则拦截所述操作；否则判断所述文件的父进程是否异常，如果是则拦截所述操作，否则判断所述文件的用户信息是否非法，如果是，则拦截所述操作，否则允许继续操作；

重命名权限控制模块，用于判断当前操作的文件是否被禁止相应操作，如果是，则拦截所述操作；否则允许继续操作；

删除权限控制模块，用于判断当前操作的文件是否被禁止相应操作，如果是，则拦截所述操作；否则允许继续操作；

权限更改控制模块，用于判断当前操作的文件是否被禁止相应操作，如果是，则拦截所述操作；否则允许继续操作。

6.如权利要求5所述的系统，其特征在于，还包括传输管控模块；所述传输管控包括：

普通模式，允许可移动介质与主机间进行文件相互传输，并对数据传输信息形成日志记录；

只读模式，只允许可移动介质中文件拷贝至主机，拦截对可移动介质的所有写操作，并统计记录拦截信息形成拦截日志记录；

安全模式，禁止拷贝文件至可移动介质，同时监控主机，控制可移动介质中的文件只可拷贝到主机的特定目录。

7.如权利要求5或6所述的系统，其特征在于，还包括接入管控模块：设置可移动介质白名单及黑名单，控制是否允许可移动介质接入主机；所述白名单及黑名单中至少包含供应商ID、产品识别码及全局唯一标识字段。

8.如权利要求7所述的系统，其特征在于，所述当前操作的文件是否被禁止相应操作的设置，通过配置文件进行设置和更改。