本發明公開了一種APP訪問控制方法、系統、終端設備及存儲介質，通過終端設備讀取虛擬網卡收發的目標數據包，獲取所述目標數據包的目標地址及目標APP標識，從預設控制策略集合中查找到與所述目標APP標識關聯的目標控制策略，根據目標控制策略判斷目標地址是否為授權地址，當目標地址為授權地址時，允許虛擬網卡將所述目標數據包發送至目標地址，能夠避免現有技術的兼容性缺陷，使得無論APP以何種方式訪問網絡、無論何種操作系統，都能通過虛擬網卡攔截到數據包，進行網絡訪問控制，防止企業敏感數據泄露到不安全網絡，降低了企業數據外泄的風險，提高了數據安全性，提升了用戶體驗。

技術領域

本發明涉及網絡訪問領域，尤其涉及一種APP訪問控制方法、系統、終端設備及存儲介質。

背景技術

消費級智能終端的普及，讓移動辦公高速發展，同時也帶來了嚴重的安全問題；過去，企業通過部署虛擬專用網絡(Virtual Private Network，VPN)網關設備，讓員工可以通過WIFI/2G/3G/4G連接VPN訪問企業內網，進行隨時隨地的辦公。但同時導致網絡邊界、數據邊界變得模糊，企業數據隨時可能被外發。過去企業為了解決移動終端數據邊界變得模糊的問題，對移動終端的企業應用程序(Application，APP)使用了安全沙箱技術，將企業APP產生的數據加密存儲在手機的單獨區域，實現與個人數據的隔離，防止其它個人/惡意APP竊取企業APP的數據，同時也防止用戶將企業APP的數據分享給個人APP，以達到防止企業數據外泄的目的。但依舊還存在以下泄密風險：

1)在進行移動辦公時，經常需要使用瀏覽器或其它APP來訪問企業內部的站點，企業管理員對瀏覽器加入安全沙箱后發布給用戶作為企業APP使用，用戶在移動終端上建立VPN隧道后，瀏覽器即可以訪問企業內網的站點，也可以訪問互聯網站點，這導致用戶可以先通過瀏覽器下載企業內網的數據和文件保存到手機本地，再通過訪問互聯網云盤，將企業數據和文件上傳到互聯網云盤，由于安全沙箱使用的是透明數據加密技術，數據和文件雖然是加密存儲在本地，但企業APP讀取出來的是已解密后的明文數據，企業數據和文件上傳到互聯網云盤時存儲的是明文數據，這將導致企業數據外泄。

2)企業在開發企業APP時，經常需要使用第三方開發庫，這些第三方開發庫可能存在網絡漏洞，黑客可以利用第三方開發庫的網絡漏洞，通過第三方開發庫的網絡漏洞來連接到企業APP，竊取企業APP的數據。或者第三方庫本身也可能連接其云端服務器收集用戶的數據，打破只企業敏感數據外泄。目前業界通常是通過HOOK技術(中文譯為“掛鉤”或“鉤子”，可用于修改系統應用程序編程接口(Application Programming Interface，API)的代碼執行流程)來解決此問題，即對APP訪問網絡的API接口進行掛鉤，修改訪問網絡的行為，將允許訪問的網絡地址放行，將禁止訪問的網絡地址攔截。但存在如下缺點：

1、HOOK技術存在較多兼容性問題，操作系統提供的網絡收發接口多種多樣，很容易有部分接口未被HOOK，而APP一旦使用該類未被HOOK的接口訪問網絡收發數據，就會不受系統控制，向任意網絡收發數據。

2、越來越多的系統會限制HOOK的使用，比如蘋果的IOS系統，新版本已經無法對網絡訪問接口進行HOOK了。

發明內容

本發明的主要目的在于提供一種APP訪問控制方法、系統、終端設備及存儲介質，旨在解決現有技術中由于移動辦公的普及，企業數據容易外泄的技術問題。

為實現上述目的，本發明提供一種APP訪問控制方法，所述APP訪問控制方法包括以下步驟：

終端設備讀取虛擬網卡收發的目標數據包，獲取所述目標數據包的目標地址及目標APP標識；

從預設控制策略集合中查找到與所述目標APP標識關聯的目標控制策略，根據所述目標控制策略判斷所述目標地址是否為授權地址；

當所述目標地址為所述授權地址時，允許所述虛擬網卡將所述目標數據包發送至所述目標地址。