本申請公開了一種強制訪問控制的文件安全監控方法、系統及存儲介質，其中，文件安全監控方法包括，截獲主體對目標設備對象的訪問請求；獲取所述主體的安全性標簽，以得到第一安全性標簽；獲取所述目標設備對象的安全性標簽，以得到第二安全性標簽；根據所述第一安全性標簽和所述第二安全性標簽對所述訪問請求進行過濾性安全審計，以得到安全審計結果；根據所述安全審計結果確定所述主體對所述目標設備對象的操作。本申請的文件安全監控方法能夠將主體對目標設備對象的所有訪問請求都截獲，進行阻斷，再通過比較主體和目標設備對象的安全性標簽以確定主體是否能夠訪問客體，能夠有效地保護系統數據，提高文件的安全性，保護主機資源。

技術領域

本申請涉及信息安全領域，尤其涉及基于強制訪問控制的文件安全監控方法、系統及存儲介質。

背景技術

計算機安全的根本目標就是要保障計算機中信息的保密性、完整性和可用性。Windows操作系統采取的是自主訪問控制系統，靈活度高、粒度小,缺點是信息在移動過程中其訪問權限關系會被改變,通過添加用戶會使訪問權限傳遞給另外一個用戶，從而使不具備訪問權限的用戶也可以訪問該目標資源。

強制訪問控制(Mandatory Access Control，MAC)利用強制性的規定防止信息的不安全流動，可以非常有效地防止特洛伊木馬的攻擊。它在一些對操作系統安全要求很高的部門如多級軍用系統中對信息安全的維護作用是非常大的。

相關技術中，BLP（Bell-La Padula）模型的不足主要表現在兩個方面:應用領域比較窄，使用不靈活，一般只用于軍方等具有明顯等級觀念的行業或領域，完整性方面控制不夠，它重點強調信息向高安全級的方向流動，對高安全級信息的完整性保護強調不夠。Biba模型主要針對信息完整性的保護方面。與BLP模型類似，Biba模型用完整性等級取代了BLP模型中的保密等級，而訪問控制的限制正好與BLP模型相反，對信息的保密性方面控制不夠。

發明內容

本申請旨在至少解決現有技術中存在的技術問題之一。為此，本申請提出一種強制訪問控制的文件安全監控方法，能夠兼顧保密性和完整性，提高了文件的安全性，能夠有效地保護主機資源。

本申請還提出一種強制訪問控制的文件安全監控系統。

本申請還提出一種計算機可讀存儲介質。

根據本申請的第一方面實施例的強制訪問控制的文件安全監控方法，包括：

截獲主體對目標設備對象的訪問請求；

獲取所述主體的安全性標簽，以得到第一安全性標簽；

獲取所述目標設備對象的安全性標簽，以得到第二安全性標簽；

根據所述第一安全性標簽和所述第二安全性標簽對所述訪問請求進行過濾性安全審計，以得到安全審計結果；

根據所述安全審計結果確定所述主體對所述目標設備對象的操作。

根據本申請實施例的強制訪問控制的文件安全監控方法，至少具有如下有益效果：將主體對目標設備對象（客體）的所有訪問請求都截獲，進行阻斷，再通過比較主客體的安全性標簽以確定主體是否能夠訪問客體，能夠有效地保護系統數據，提高文件的安全性，保護主機資源。

根據本申請的一些實施例，所述截獲主體對目標設備對象的訪問請求，包括：

創建所述目標設備對象的驅動設備對象，并將所述驅動設備對象掛接至所述目標設備對象上；

獲取所述主體對所述目標設備對象的訪問請求；

將所述訪問請求轉接至所述驅動設備對象。

根據本申請的一些實施例，所述安全性標簽包括保密性標簽和完整性標簽，所述第一安全性標簽包括第一保密性標簽和第一完整性標簽，所述第二安全性標簽包括第二保密性標簽和第二完整性標簽；

所述根據所述安全審計結果確定所述主體對所述目標設備對象的操作，包括：