(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210907667.4 (22)申请日 2022.07.29 (71)申请人 深圳开源互联网安全技 术有限公司 地址 518100 广东省深圳市龙华区民治街 道民乐社区星河WORLD二期E栋401- 405 (72)发明人 何成刚　万振华　王颉　李华　 董燕　 (74)专利代理 机构 深圳市恒申知识产权事务所 (普通合伙) 44312 专利代理师 廖厚琪 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种三级跨域安全防护方法、 装置、 设备及 可读存储介质 (57)摘要 本申请提供了一种三级跨域安全防护方法、 装置、 设备及可读存储介质， 基于三元管理模式 在预设安全防护区域内划分中心域、 本地域以及 应用域， 并在应用域中加载安全探针； 当安全探 针检测到安全漏洞信息时， 控制RASP适配器与网 关进行交互， 并将安全漏洞信息通过网关发送至 本地域的RASP服务器； 将RASP服务器汇总的安全 漏洞信息发送至中心域； 根据中心域下发的安全 防护指令 执行相应的安全防护决策。 通过本申请 方案的实施， 应用域的安全探针向本地域传递安 全漏洞信息， 本地域在对安全漏洞进行处理之 后， 将安全漏洞信息汇总发送至中心域， 中心域 下发相应的安全防护决策， 通过三元管理模式进 行有效的多区域实时联动安全防护， 从根本上扫 除安全攻击防护的盲点。 权利要求书2页 说明书8页 附图3页 CN 115442072 A 2022.12.06 CN 115442072 A 1.一种三级跨 域安全防护方法， 其特 征在于， 包括： 基于三元管理模式在预设安全 防护区域内划分中心域、 本地域以及应用域， 并在所述 应用域中加载安全探针； 其中， 所述本地域为所述中心域的子区域， 所述应用域为所述本地 域的子区域； 当所述安全探针检测到安全漏洞信息时， 控制所述RASP适配器与网关进行交互， 并将 所述安全漏洞 信息通过 所述网关发送至所述本地 域的RASP服务器； 将所述RAS P服务器汇总的所述 安全漏洞 信息发送至所述中心域； 根据所述中心域下发的安全防护指令执 行相应的安全防护决策。 2.根据权利要求1所述的三级跨域安全防护方法， 其特征在于， 所述在所述应用域中加 载安全探针的步骤之后， 还 包括： 控制RASP适配器根据应用程序的安全等级选择安全检测规则以及相应 配置指令； 若所述应用程序的安全等级高于预设安全等级阈值， 则控制所述RASP适配器单独向对 应的所述 安全探针发送安全检测规则以及相应 配置指令； 若所述应用程序的安全等级低于或等于预设安全等级阈值， 则控制所述RASP适配器向 多个对应的所述 安全探针发送安全检测规则以及相应 配置指令 。 3.根据权利要求1所述的三级跨域安全防护方法， 其特征在于， 所述控制所述RASP适配 器与网关进行交 互的步骤之前， 还 包括： 将所述安全漏洞信息上传至所述应用域的Portal端； 其中， 所述Portal端为应用安全 员对所述 安全探针进行监控的应用终端； 根据所述Portal端针对所述安全漏洞信息发送的安全指令， 对与所述安全漏洞信息对 应的安全漏洞进行安全防护。 4.根据权利要求1所述的三级跨域安全防护方法， 其特征在于， 所述控制所述RASP适配 器与网关进行交 互的步骤， 包括： 当所述RASP适配器获取到所述安全漏洞信息时， 控制所述RASP适配器访问网关与所述 安全漏洞信息对应的安全配置信息； 其中， 所述安全配置信息包括： 安全漏洞白名单以及安 全漏洞黑名单； 若在所述安全漏洞信 息中存在对应于所述安全漏洞白名单的第 一安全漏洞， 则控制所 述网关对所述RAS P适配器中包含所述第一 安全漏洞的访问请求进行响应； 若在所述安全漏洞信 息中存在对应于所述安全漏洞黑名单的第 二安全漏洞， 则控制所 述网关拦截所述RAS P适配器中包含所述第二 安全漏洞的访问请求。 5.根据权利要求1所述的三级跨域安全防护方法， 其特征在于， 所述根据 所述中心域下 发的安全防护指令执 行相应的安全防护决策的步骤， 包括： 根据所述安全漏洞信息以及本地域的安全 防护数据确定相应的安全 防护决策； 其中， 所述安全防护数据包括： 应用管理数据以及服 务器管理数据； 在接收到所述中心域下发的与所述安全防护决策相应的所述安全防护指令之后， 控制 所述本地 域执行所述安全防护决策。 6.根据权利要求5所述的三级跨域安全防护方法， 其特征在于， 所述根据 所述安全漏洞 信息以及本地 域的安全防护数据确定相应的安全防护决策的步骤， 包括： 对所述应用域以及所述本地 域的安全漏洞 信息进行汇总分析；权　利　要　求　书 1/2 页 2 CN 115442072 A 2根据分析结果确定第三方库的潜在安全漏洞， 并通过CVE和CNNVD安全漏洞数据库确定 对应于所述潜在安全漏洞的安全防护决策； 或， 根据所述安全漏洞信息以及不同层面的信息管理数据， 确定与所述安全漏洞信息 对应的安全攻击， 并生成与所述 安全攻击对应的安全防护决策。 7.根据权利要求5所述的三级跨域安全防护方法， 其特征在于， 所述在接收到所述中心 域对应于所述安全防护决策下发的所述安全防护指 令之后， 控制所述本地域执行所述安全 防护决策的步骤之后， 还 包括： 当所述安全防护指令下发之后， 在预设时长内检测所述本地域是否对所述安全防护指 令做出响应； 若所述本地域未对所述安全防护指令做出响应， 则根据 所述安全防护指令直接控制所 述应用域执 行所述安全防护决策。 8.一种三级跨 域安全防护装置， 其特 征在于， 包括： 划分模块， 用于基于三元管理模式在预设安全 防护区域内划分中心域、 本地域以及应 用域， 并在所述应用域中加载安全探针； 其中， 所述本地域为所述中心域的子区域， 所述应 用域为所述本地 域的子区域； 交互模块， 用于当所述安全探针检测到安全漏洞信息时， 控制所述RASP适配器与网关 进行交互， 并将所述 安全漏洞 信息通过 所述网关发送至所述本地 域的RASP服务器； 发送模块， 用于将所述RAS P服务器汇总的所述 安全漏洞 信息发送至所述中心域； 执行模块， 用于根据所述中心域下发的安全防护指令执 行相应的安全防护决策。 9.一种电子设备， 其特 征在于， 包括存 储器及处 理器， 其中： 所述处理器用于执 行存储在所述存 储器上的计算机程序； 所述处理器执行所述计算机程序时， 实现权利要求1至7中任意一项所述方法中的步 骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时， 实现权利要求1至7中的任意 一项所述方法中的步骤。权　利　要　求　书 2/2 页 3 CN 115442072 A 3