-
公开(公告)号:CN112685729A
公开(公告)日:2021-04-20
申请号:CN202011563015.0
申请日:2020-12-25
Applicant: 中国科学院信息工程研究所
IPC: G06F21/45
Abstract: 本发明提供了一种专用强制访问控制方法、系统、电子设备及存储介质,该方法包括:导入专用访问控制的判定依据和根据用户、软件、资源三层联动协同的专用访问控制逻辑对访问请求进行判定;其中,根据专用访问控制逻辑对访问请求进行判定包括:接收访问请求;获取访问请求处理过程中主体和客体的安全上下文信息;从用户执行软件层面、软件访问资源层面以及用户访问资源层面,分别对访问请求进行判定,得到各个层面判定结果;根据各个层面的判定结果,得到专用访问控制的判定结果。本发明通过制定专用访问控制的判定依据和用户、软件、资源三层联动协同的专用访问控制逻辑,为操作系统提供了一个更完善的安全防护层,提高了系统的便捷性与安全性。
-
公开(公告)号:CN116340971A
公开(公告)日:2023-06-27
申请号:CN202310163805.7
申请日:2023-02-24
Applicant: 中国科学院信息工程研究所
IPC: G06F21/60
Abstract: 本发明提供一种操作系统级动态运维授权方法及系统,方法包括:接收用户发起的访问请求;根据访问请求,查询预设映射关系配置表,获取安全上下文的用户字段;确定用户的登录方式,并根据登录方式,获取安全上下文的角色字段和安全上下文的类型字段;根据安全上下文的用户字段、安全上下文的角色字段和安全上下文的类型字段,得到对应安全上下文,并根据安全上下文为用户授予相应权限。本发明通过获取安全上下文的用户字段、角色字段和类型字段,确定用户的操作权限,从而确定能否根据访问请求进行相应访问操作,实现用户对运维软件的执行权限动态配置,同时管控该用户启动的其它软件对运维软件的操作权限。
-
Patent Agency Ranking
公开(公告)号:CN112769814B
公开(公告)日:2022-02-11
申请号:CN202110004106.9
申请日:2021-01-04
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40
Abstract: 本发明提供一种综合联动协调网络安全设备的方法及系统。其中的方法包括:联动协调服务器接收符合统一策略格式的第一安全指令;将第一安全指令分发至各个网络安全设备,以供网络安全设备在接收第一安全指令后执行以下操作:将第一安全指令转换为符合本地安全设备策略格式的第二安全指令;将第二安全指令与本地安全策略进行冲突检测;在未发生冲突的情况下,执行第二安全指令。本发明能够及时对威胁网络安全的行为做出反应,同时,在提高网络安全性能前提下,大大降低了管理成本。
-
公开(公告)号:CN113438069A
公开(公告)日:2021-09-24
申请号:CN202110494237.X
申请日:2021-05-07
Applicant: 中国科学院信息工程研究所
IPC: H04L9/08
Abstract: 本发明提供一种安全存储资源保护方法、密钥发送端主机和可信根装置,包括:密钥发送端主机接收可信根装置发送的第一密钥;所述密钥发送端主机对所述第一密钥使用传输密钥进行解密获取唯一加解密密钥;其中,所述第一密钥为所述可信根装置使用所述传输密钥对所述唯一加解密密钥进行加密得到的,一个可信根装置与一个密钥发送端主机对应且不同的可信根装置与不同的密钥发送端主机对应。本发明提供的方法、密钥发送端主机和可信根装置,降低了密钥对泄漏风险,且密钥对的获取分发流程更简单。
-
公开(公告)号:CN112769814A
公开(公告)日:2021-05-07
申请号:CN202110004106.9
申请日:2021-01-04
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明提供一种综合联动协调网络安全设备的方法及系统。其中的方法包括:联动协调服务器接收符合统一策略格式的第一安全指令;将第一安全指令分发至各个网络安全设备,以供网络安全设备在接收第一安全指令后执行以下操作:将第一安全指令转换为符合本地安全设备策略格式的第二安全指令;将第二安全指令与本地安全策略进行冲突检测;在未发生冲突的情况下,执行第二安全指令。本发明能够及时对威胁网络安全的行为做出反应,同时,在提高网络安全性能前提下,大大降低了管理成本。
-
公开(公告)号:CN118606947A
公开(公告)日:2024-09-06
申请号:CN202410945843.2
申请日:2024-07-15
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种用于注入漏洞抑制的进程分析和控制方法,其特征在于,包括以下步骤:S210,从提前收集的多条审计日志中,根据系统调用提取进程行为,通过正常进程和恶意进程的行为模式之间的区别,识别恶意进程;S220,扩展柏克莱封包过滤器eBPF预先设置Linux安全模块钩子,由Linux安全模块钩子根据S210中的恶意进程识别结果进行检查,比较行为模式,并从中识别异常的行为模式,从而获取应被禁止的权限,以控制进程执行。根据本发明技术方案,实现了在抑制注入漏洞的同时,最大限度地减少对系统可用性的影响。
-
公开(公告)号:CN112685729B
公开(公告)日:2023-04-07
申请号:CN202011563015.0
申请日:2020-12-25
Applicant: 中国科学院信息工程研究所
IPC: G06F21/45
Abstract: 本发明提供了一种专用强制访问控制方法、系统、电子设备及存储介质,该方法包括:导入专用访问控制的判定依据和根据用户、软件、资源三层联动协同的专用访问控制逻辑对访问请求进行判定;其中,根据专用访问控制逻辑对访问请求进行判定包括:接收访问请求;获取访问请求处理过程中主体和客体的安全上下文信息;从用户执行软件层面、软件访问资源层面以及用户访问资源层面,分别对访问请求进行判定,得到各个层面判定结果;根据各个层面的判定结果,得到专用访问控制的判定结果。本发明通过制定专用访问控制的判定依据和用户、软件、资源三层联动协同的专用访问控制逻辑,为操作系统提供了一个更完善的安全防护层,提高了系统的便捷性与安全性。
-
-
-
-
-
-
Search Results
7
records
(took 0.028 seconds)
