公开/公告号CN105718811A
专利类型发明专利
公开/公告日2016-06-29
原文格式PDF
申请/专利权人 中国科学院软件研究所;
申请/专利号CN201610044908.1
申请日2016-01-22
分类号G06F21/60;
代理机构北京汇泽知识产权代理有限公司;
代理人张瑾
地址 100190 北京市海淀区中关村南四街4号
入库时间 2023-12-18 15:49:54
法律状态公告日
法律状态信息
法律状态
2019-04-19
授权
授权
2016-07-27
实质审查的生效 IPC(主分类):G06F21/60 申请日:20160122
实质审查的生效
2016-06-29
公开
公开
技术领域
本发明涉及网络信息系统安全技术领域,尤其涉及一种用于网络信息系统 的用户误操作防范系统。
背景技术
目前,数据中心服务系统、数据库系统、操作系统等网络信息系统的运维 依赖人工操作,由于系统运维人员的错误操作和认知偏差,常常引发生产环境 安全事故,例如:典型误删除文件、TAR误操作覆盖文件、误终止后台进程、 误操作更名文件、误关闭生产数据库、误关闭数据库主机等。总而言之,网络 信息系统对系统运维人员的操作缺乏规范化风险控制,从而可能造成网络信息 系统的数据丢失、系统瘫痪。另外,外部威胁人员,如高级持续威胁者利用网 络信息系统的漏洞,入侵系统进而获取系统运维人员的特权,对系统进行非授 权危害操作,如删除数据、停止服务进程等。
针对上述问题,虽然现有技术采用了系统权限分散控制、数据备份、防火 墙等安全措施,但是这些安全措施有一定的局限性,授权系统运行维护人员仍 然可能因为错误认识或输入操作命令对系统进行误操作,数据备份有可能由于 备份人员的操作失误导致数据丢失,防火墙的保护对象是计算机设备而并不能 防范人的失误操作。
发明内容
本发明提供一种用于网络信息系统的用户误操作防范系统,能够对用户误 操作安全威胁进行检测,降低网络信息系统安全风险。
本发明采用如下技术方案:
一种用于网络信息系统的用户误操作防范系统,包括:
命令获取模块,用于获取用户输入到网络信息系统的命令;
敏感性检测模块,用于检测所述用户输入到网络信息系统的命令的敏感性;
误操作检测模块,用于检测所述用户输入到网络信息系统的命令是否为误 操作;
误操作防范控制模块,用于当所述用户输入到网络信息系统的命令属于敏 感命令,或者所述用户输入到网络信息系统的命令为误操作时,控制执行用户 误操作防范动作;
误操作防范控制结果显示模块,用于显示误操作防范控制结果。
可选的,所述命令获取模块,用于通过命令执行前置器获取受保护网络信 息系统的用户操作命令,所述用户操作命令包括操作系统命令、数据库系统命 令、网络设备命令和应用系统命令。
可选的,所述系统还包括:
误操作防范参数配置模块,用于标注网络信息系统的用户操作命令的安全 敏感性,建立敏感命令库。
可选的,所述敏感性检测模块,用于检测所述用户输入到网络信息系统的 命令是否在所述敏感命令库中,若是,则所述用户输入到网络信息系统的命令 属于敏感命令,否则,所述用户输入到网络信息系统的命令不属于敏感命令。
可选的,所述误操作防范控制模块,用于当所述用户输入到网络信息系统 的命令为误操作时,延缓直接执行用户输入的命令,要求用户重新输入命令, 要求两次或多次输入的命令一致性,并要求用户确认执行命令。
可选的,所述误操作防范控制模块,用于建立敏感命令和执行效果对照表, 通过以敏感命令为索引查找所述敏感命令和执行效果对照表,模拟受保护网络 信息系统执行用户的操作命令,显示执行该命令后对受保护网络信息系统的影 响,并将其呈现给用户,提示用户下一个操作。
可选的,所述误操作防范参数配置模块,用于在所述网络信息系统中预先 建立敏感命令保护表。
可选的,所述误操作防范控制模块,用于根据所述网络信息系统中预先建 立的敏感命令保护表检查用户的操作命令的保护要求,若操作命令的保护要求 需要外部审核执行,则直接触发外部人员审核信号,使用哈希函数生成审核确 认号,将用户的操作命令、模拟执行结果信息通过哈希函数产生数字指纹,该 数字指纹作为用户的操作命令确认号,并将该数字指纹发送到审核人员的终端 设备上,若审核人员确认用户输入的操作命令为安全可控;则接收审核人员回 复的确认号,控制用户继续执行操作命令;否则,接收中断执行信号,阻止用 户继续执行的操作命令。
可选的,所述误操作防范参数配置模块,用于提供设置启用一种或多种防 误操作功能,以及防误操作功能串联或并联模式组合方式。
本发明提供的用于网络信息系统的用户误操作防范系统,当检测到用户输 入到网络信息系统的命令属于敏感命令,或者用户输入到网络信息系统的命令 为误操作时,控制执行用户误操作防范动作,并显示误操作防范控制结果。与 现有技术相比,本发明能够对用户误操作安全威胁进行检测,提高了网络信息 系统的运维人员的操作规范性,防止人员失误操作而导致的内部安全威胁,降 低网络信息系统安全风险,增强网络信息系统的可靠性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所 需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明 的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下, 还可以根据这些附图获得其它的附图。
图1为本发明一实施例提供的用于网络信息系统的用户误操作防范系统的 结构示意图;
图2为本发明另一实施例提供的用于网络信息系统的用户误操作防范系统 的结构示意图;
图3为本发明实施例提供的用于网络信息系统的用户误操作防范系统的误 操作防范控制结果显示的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造 性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供一种用于网络信息系统的用户误操作防范系统,如图1 所示,所述系统包括:
命令获取模块11,用于获取用户输入到网络信息系统的命令;
敏感性检测模块12,用于检测所述用户输入到网络信息系统的命令的敏感 性;
误操作检测模块13,用于检测所述用户输入到网络信息系统的命令是否为 误操作;
误操作防范控制模块14,用于当所述用户输入到网络信息系统的命令属于 敏感命令,或者所述用户输入到网络信息系统的命令为误操作时,控制执行用 户误操作防范动作;
误操作防范控制结果显示模块15,用于显示误操作防范控制结果。
本发明实施例提供的用于网络信息系统的用户误操作防范系统,当检测到 用户输入到网络信息系统的命令属于敏感命令,或者用户输入到网络信息系统 的命令为误操作时,控制执行用户误操作防范动作,并显示误操作防范控制结 果。与现有技术相比,本发明能够对用户误操作安全威胁进行检测,提高了网 络信息系统的运维人员的操作规范性,防止人员失误操作而导致的内部安全威 胁,降低网络信息系统安全风险,增强网络信息系统的可靠性。
可选的,所述命令获取模块11,用于通过命令执行前置器获取受保护网络 信息系统的用户操作命令,所述用户操作命令包括操作系统命令、数据库系统 命令、网络设备命令和应用系统命令。
可选的,如图2所示,所述系统还包括:
误操作防范参数配置模块16,用于标注网络信息系统的用户操作命令的安 全敏感性,建立敏感命令库。
例如,可以定义Linux操作系统的rm、shutdown是敏感命令;数据库的维护 SQL语句delete、drop等是敏感命令。这些命令的执行,将导致文件删除、系统 重启或关闭。所述敏感性检测模块12检测所述用户输入到网络信息系统的命令 是否在所述敏感命令库中,若是,则所述用户输入到网络信息系统的命令属于 敏感命令,触发误操作防护信号,否则,所述用户输入到网络信息系统的命令 不属于敏感命令,正常执行用户操作命令。
可选的,所述误操作防范控制模块14,用于当所述用户输入到网络信息系 统的命令为误操作时,延缓直接执行用户输入的命令,要求用户重新输入命令, 要求两次或多次输入的命令一致性,并要求用户确认执行命令。
可选的,所述误操作防范控制模块14,用于建立敏感命令和执行效果对照 表,通过以敏感命令为索引查找所述敏感命令和执行效果对照表,模拟受保护 网络信息系统执行用户的操作命令,显示执行该命令后对受保护网络信息系统 的影响,并将其呈现给用户,提示用户下一个操作。
所述敏感命令和执行效果对照表如下所示:
可选的,所述误操作防范参数配置模块14,用于在所述网络信息系统中预 先建立敏感命令保护表。
可选的,所述误操作防范控制模块14,用于根据所述网络信息系统中预先 建立的敏感命令保护表检查用户的操作命令的保护要求,若操作命令的保护要 求需要外部审核执行,则直接触发外部人员审核信号,使用哈希函数生成审核 确认号,将用户的操作命令、模拟执行结果信息通过哈希函数产生数字指纹, 该数字指纹作为用户的操作命令确认号,并将该数字指纹发送到审核人员的终 端设备上,若审核人员确认用户输入的操作命令为安全可控;则接收审核人员 回复的确认号,控制用户继续执行操作命令;否则,接收中断执行信号,阻止 用户继续执行的操作命令。
所述敏感命令保护表如下所示:
可选的,所述误操作防范参数配置模块16,用于提供设置启用一种或多种 防误操作功能,以及防误操作功能串联或并联模式组合方式。
如图3所示,本发明实施例提供的用于网络信息系统31的用户误操作防范系 统32的误操作防范控制结果通过网络33在系统运维用户操作命令终端34和远程 外部审核终端35上显示。
其中,所述系统运维用户操作命令终端34和远程外部审核终端35可以为桌 面电脑或智能手机,网络33可以是计算机网络或无线通信网,用户误操作防范 系统32可以为软件程序或专用硬件设备。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程, 是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机 可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。 其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory, ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于 此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到 的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围 应该以权利要求的保护范围为准。
机译: 能够防止用户误操作的患者废物自动处理装置的水箱和废物箱误操作防止装置
机译: 当前的网络信息系统续带消费点的用户积分
机译: 用于确定用户界面错误操作可能性的运输工具,装置和方法