技術領域

本發明涉及自助服務終端的技術領域，尤其是涉及一種自助服務終端的安全防護方法及裝置。

背景技術

自助服務終端廣泛應用于社會各個領域，銀行ATM、辦公大廳內的發票打印機、地鐵線路查詢機等都屬于自助服務終端，自助服務終端本質上是一臺計算機，多數運行Windows操作系統，根據服務需要運行相應軟件，連接顯示器、打印機、語音設備等外設，封裝成一個像盒子一樣的設備，客戶使用時根據顯示器的提示進行自助操作，獲取所需服務。

也正因為自助服務終端本質上是一臺計算機，所以會面臨計算機同樣的安全威脅，普通計算機常見的安全防護措施是安裝防病毒軟件，更新漏洞補丁，但是自助服務終端常見于內網部署，不連接互聯網，無法及時更新病毒庫和漏洞補丁，此外基于業務穩定、可用性的考量，一般不會對自助服務終端系統進行改動。當前，有大量的自助服務終端采用Windows XP系統，微軟公司已經停止對Windows XP的升級維護，不再發布新的補丁程序。因此，Windows XP系統漏洞被發掘公布以后，所有的Windows XP系統對漏洞敞開不設防，除微軟外其它廠商沒有任何技術手段可以對操作系統打補丁加固升級。這些自助服務終端處于不設防狀態，存在嚴重的安全風險，當面臨針對漏洞發起的攻擊時，無法進行有效防護。2017年5月份的勒索病毒就是典型例子，勒索病毒感染了國內眾多自助服務設備，造成服務中斷，用戶無法使用，給政府部門經濟和聲譽造成了重大影響。

綜上，現有技術中，還沒有一種安全防護方法對自助服務終端進行有效的安全防護。

發明內容

有鑒于此，本發明的目的在于提供一種自助服務終端的安全防護方法及裝置，以緩解現有技術中，還沒有一種安全防護方法對自助服務終端進行有效的安全防護的技術問題。

第一方面，本發明實施例提供了一種自助服務終端的安全防護方法，所述方法包括：

攔截訪問主體發送的訪問請求；

在攔截到所述訪問請求之后，獲取第一安全標記信息和第二安全標記信息，其中，所述第一安全標記信息為所述訪問主體的安全標記信息，所述第二安全標記信息為訪問客體的安全標記信息，所述訪問客體為被所述訪問主體所訪問的資源，所述安全標記信息用于表示安全等級；

基于所述第一安全標記信息和所述第二安全標記信息，確定目標安全訪問策略，以控制所述訪問主體按照所述目標安全訪問策略訪問所述訪問客體。

結合第一方面，本發明實施例提供了第一方面的第一種可能的實施方式，其中，基于所述第一安全標記信息和所述第二安全標記信息，確定目標安全訪問策略包括：

將所述第一安全標記信息與所述第二安全標記信息進行對比，得到對比結果，其中，所述對比結果用于表示所述第一安全標記信息與所述第二安全標記信息之間的等級關系；

基于所述對比結果在預設安全訪問策略中確定所述目標安全訪問策略，其中，所述預設安全訪問策略中包括不同等級的訪問主體對訪問客體所具有的訪問權限信息。

結合第一方面，本發明實施例提供了第一方面的第二種可能的實施方式，其中，基于所述對比結果在預設安全訪問策略中確定所述目標安全訪問策略包括：

當所述對比結果為所述第一安全標記信息所表示的安全等級高于所述第二安全標記信息所表示的安全等級時，則調用第一目標安全訪問策略，所述第一目標安全策略為允許所述訪問主體讀取和執行所述訪問客體中的內容。

結合第一方面，本發明實施例提供了第一方面的第三種可能的實施方式，其中，基于所述對比結果在預設安全訪問策略中確定所述目標安全訪問策略還包括：

當所述對比結果為所述第一安全標記信息所表示的安全等級與所述第二安全標記信息所表示的安全等級相同時，則調用第二目標安全訪問策略，所述第二目標安全策略為允許所述訪問主體對所述訪問客體中的內容進行以下任意操作：讀取操作，執行操作，修改操作，刪除操作。

結合第一方面，本發明實施例提供了第一方面的第四種可能的實施方式，其中，基于所述對比結果在預設安全訪問策略中確定所述目標安全訪問策略還包括：

當所述對比結果為所述第一安全標記信息所表示的安全等級低于所述第二安全標記信息所表示的安全等級時，則調用第三目標安全訪問策略，所述第三目標安全策略為禁止所述訪問主體對所述訪問客體進行訪問。

結合第一方面，本發明實施例提供了第一方面的第五種可能的實施方式，其中，在攔截到所述訪問請求之后，所述方法還包括：