本发明公开的一种基于DSM和DLP融合的数据防泄漏方法,包括:通过网络爬虫爬取文档数据,获取敏感信息,生成并存储第一关键数据汇总信息,对第一关键数据内容进行审查,得到第一关键字和第一文件指纹信息,获取客户端操作文档数据,采用DLP技术截获网络传输数据,对文档内容进行审查生成第二关键数据汇总信息,对第二关键数据内容进行审查,得到第二关键字和第二文件指纹信息,将第一关键字、第二关键字、第一文件指纹信息和第二文件指纹信息进行对比分析,对比分析结果为相同时,则执行告警或拦截指令并生成管理日志。通过采用DSM和DLP技术融合,形成数据和信息保护的闭环,严格的杜绝信息泄密,提高数据的安全性。
1.一种基于DSM和DLP技术融合的数据防泄漏方法,其特征在于,具体包括以下步骤:
获取客户端的用户身份信息,根据用户身份设置屏蔽内容;
通过网络爬虫爬取文档数据,获取敏感信息,生成并存储第一关键数据汇总信息,采用DSM技术对第一关键数据进行加解密,对第一关键数据内容进行审查,得到第一关键字和第一文件指纹信息;
获取客户端操作文档数据,采用DLP技术截获网络传输数据,将网络传输数据还原并扫描传输数据,对文档内容进行审查生成第二关键数据汇总信息,对第二关键数据内容进行审查,得到第二关键字和第二文件指纹信息;
将第一关键字和第二关键字进行对比分析,将第一文件指纹信息和第二文件指纹信息进行对比分析,对比分析结果为相同时,则执行告警或拦截指令并生成管理日志。
2.如权利要求1所述的基于DSM和DLP技术融合的数据防泄漏方法,其特征在于,得到第一关键字的具体方法为:采用关键字过滤方法,所述关键字过滤方法查找关键字的具体方法为:通过预定义的或用户自定义的关键字字典和权重对文档信息进行扫描;读取文档内容,采用字符串匹配算法,查找是否有关键字,直至所有内容遍历完毕或匹配到关键字退出。
3.如权利要求1所述的基于DSM和DLP技术融合的数据防泄漏方法,其特征在于,得到第一文件指纹信息的具体方法采用文档指纹过滤方法,所述文档指纹过滤方法的具体方法为:预先对用户查看的文档目录遍历,对文档内容进行扫描并形成哈希值。
4.一种基于DSM和DLP技术融合的数据防泄漏系统,其特征在于,包括DSM和DLP服务器和客户端,所述DSM和DLP服务器包括内容过滤配置模块、文档加解密配置模块和文档外发配置模块,所述客户端包括加解密模块、扫描发现模块、文档外发模块和内容过滤模块,所述内容过滤配置模块用于设置文档的屏蔽内容和文档内容审查时的过滤条件;所述文档加解密配置模块用于采用DSM技术对文档信息进行加解密和设置加密时包含的附加信息;所述文档外发配置模块用于配置文档外发的条件;所述加解密模块用于根据用户的身份对文档内容采用DSM技术对第一关键数据进行加解密,对第一关键数据内容进行审查,得到第一关键字和第一文件指纹信息;所述扫描发现模块用于对文档进行自动扫描分类;所述文档外发模块用于传输经过审批允许的文档;所述内容过滤模块用于对文档内容进行审查过滤,采用DLP技术截获网络传输数据,将网络传输数据还原并扫描传输数据,对文档内容进行审查生成第二关键数据汇总信息,对第二关键数据内容进行审查,得到第二关键字和第二文件指纹信息,将第一关键字和第二关键字进行对比分析,将第一文件指纹信息和第二文件指纹信息进行对比分析,对比分析结果为相同时,则执行告警或拦截指令并生成管理日志。
5.如权利要求4所述的基于DSM和DLP技术融合的数据防泄漏系统,其特征在于,所述附加信息包括文档浏览时间、文档浏览次数限制、文档内容复制、文档内容打印和/或截屏的操作信息。
6.如权利要求4所述的基于DSM和DLP技术融合的数据防泄漏系统,其特征在于,所述客户端还包括注册验证模块,所述注册验证模块用于对用户注册和用户身份验证。
7.如权利要求4所述的基于DSM和DLP技术融合的数据防泄漏系统,其特征在于,所述客户端还包括配置下载解析模块,所述配置下载解析模块用于从DSM和DLP服务器下载与客户端相匹配的内容过滤配置信息、文档加解密配置信息和文档外发配置信息。
8.如权利要求4所述的基于DSM和DLP技术融合的数据防泄漏系统,其特征在于,所述客户端还包括事件日志输出模块,所述事件日志输出模块用于输出用户操作的客户端的事件日志信息;所述DSM和DLP服务器还包括管理日志输出模块,所述管理日志输出模块用于DSM和DLP服务器输出用户违规的行为日志信息。
9.一种智能终端,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,其特征在于,所述处理器被配置用于调用所述程序指令,执行如权利要求1-3任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-3任一项所述的方法。
数据防泄漏方法、系统、终端及介质
技术领域
[0001] 本发明涉及数据防泄漏技术领域,具体涉及一种基于DSM和DLP融合的数据防泄漏方法、系统、终端及介质。
背景技术
[0002] 信息泄密已成为当前企业面临的重大安全威胁之一,而且90%以上的信息泄密事件都是源于企业内部。传统的DLP(Data leakage prevention或者Data Loss prevention)为数据泄密(泄露)防护或者数据丢失防护,DLP技术对机密文档的阅读、修改、分发控制的不是很严格,使得无关的人员浏览了机密文档。DSM(Document Security Management)为文档安全管理系统,单纯的DSM技术只是限制了机密文档的权限,没有对内容审查,不能保证保密的内容不被泄漏。单一的DSM技术或DLP技术不能确保数据和信息安全。
发明内容
[0003] 针对现有技术中的缺陷,本发明的目的之一在于提供一种基于DSM和DLP技术融合的数据防泄漏方法,结合DSM和DLP技术融合,形成数据和信息保护的闭环,严格杜绝信息泄密。
[0004] 第一方面,本发明实施例提供的一种基于DSM和DLP技术融合的数据防泄漏方法,具体包括以下步骤:
[0005] 获取客户端的用户身份信息,根据用户身份设置屏蔽内容;
[0006] 通过网络爬虫爬取文档数据,获取敏感信息,生成并存储第一关键数据汇总信息,采用DSM技术对第一关键数据进行加解密,对第一关键数据内容进行审查,得到第一关键字和第一文件指纹信息;
[0007] 获取客户端操作文档数据,采用DLP技术截获网络传输数据,将网络传输数据还原并扫描传输数据,对文档内容进行审查生成第二关键数据汇总信息,对第二关键数据内容进行审查,得到第二关键字和第二文件指纹信息;
[0008] 将第一关键字和第二关键字进行对比分析,将第一文件指纹信息和第二文件指纹信息进行对比分析,对比分析结果为相同时,则执行告警或拦截指令并生成管理日志。
[0009] 可选地,得到第一关键字的具体方法为:采用关键字过滤方法,所述关键字过滤方法查找关键字的具体方法为:通过预定义的或用户自定义的关键字字典和权重对文档信息进行扫描;读取文档内容,采用字符串匹配算法,查找是否有关键字,直至所有内容遍历完毕或匹配到关键字退出。
[0010] 可选地,得到第一文件指纹信息的具体方法采用文档指纹过滤方法,所述文档指纹过滤方法的具体方法为:预先对用户查看的文档目录遍历,对文档内容进行扫描并形成哈希值。
[0011] 本发明实施例提供的基于DSM和DLP技术融合的数据防泄漏方法,通过采用DSM和DLP技术融合,形成数据和信息保护的闭环,严格的杜绝信息泄密,提高数据的安全性。
[0012] 第二方面,本发明提供的基于DSM和DLP技术融合的数据防泄漏系统,包括DSM和DLP服务器和客户端,所述DSM和DLP服务器包括内容过滤配置模块、文档加解密配置模块和文档外发配置模块,所述客户端包括加解密模块、扫描发现模块、文档外发模块和内容过滤模块,所述内容过滤配置模块用于设置文档的屏蔽内容和文档内容审查时的过滤条件;所述文档加解密配置模块用于采用DSM技术对文档信息进行加解密和设置加密时包含的附加信息;所述文档外发配置模块用于配置文档外发的条件;所述加解密模块用于根据用户的身份对文档内容采用DSM技术对第一关键数据进行加解密,对第一关键数据内容进行审查,得到第一关键字和第一文件指纹信息;所述扫描发现模块用于对文档进行自动扫描分类;所述文档外发模块用于传输经过审批允许的文档;所述内容过滤模块用于对文档内容进行审查过滤,采用DLP技术截获网络传输数据,将网络传输数据还原并扫描传输数据,对文档内容进行审查生成第二关键数据汇总信息,对第二关键数据内容进行审查,得到第二关键字和第二文件指纹信息,将第一关键字和第二关键字进行对比分析,将第一文件指纹信息和第二文件指纹信息进行对比分析,对比分析结果为相同时,则执行告警或拦截指令并生成管理日志。
[0013] 可选地,所述附加信息包括文档浏览时间、文档浏览次数限制、文档内容复制、文档内容打印和/或截屏的操作信息。
[0014] 可选地,所述客户端还包括注册验证模块,所述注册验证模块用于对用户注册和用户身份验证。
[0015] 可选地,所述客户端还包括配置下载解析模块,所述配置下载解析模块用于从DSM和DLP服务器下载与客户端相匹配的内容过滤配置信息、文档加解密配置信息和文档外发配置信息。
[0016] 可选地,所述客户端还包括事件日志输出模块,所述事件日志输出模块用于输出用户操作的客户端的事件日志信息;所述DSM和DLP服务器还包括管理日志输出模块,所述管理日志输出模块用于DSM和DLP服务器输出用户违规的行为日志信息。
[0017] 第三方面,本发明实施例提供的智能终端,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行上述方法。
[0018] 第四方面,本发明实施例提供的计算机可读存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行上述方法。
[0019] 本发明的有益效果:
[0020] 本发明提供的基于DSM和DLP技术融合的数据防泄漏方法、系统、终端及介质,通过采用DSM和DLP技术融合,形成数据和信息保护的闭环,严格的杜绝信息泄密,提高数据的安全性。
附图说明
[0021] 为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
[0022] 图1示出了本发明所提供的一种基于DSM和DLP技术融合的数据防泄漏方法的第一实施例的流程图;
[0023] 图2示出了本发明第二实施例所提供的一种基于DSM和DLP技术融合的数据防泄漏方法的第一实施例的结构示意图;
[0024] 图3示出了本发明所提供的一种智能终端的第一实施例的结构示意图。
具体实施方式
[0025] 下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只是作为示例,而不能以此来限制本发明的保护范围。
[0026] 需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
[0027] 如图1所示,示出了本发明所提供的一种基于DSM和DLP技术融合的数据防泄漏方法的第一实施例的流程图,该方法具体包括以下步骤:
[0028] S101:获取客户端的用户身份信息,根据用户身份设置屏蔽内容。
[0029] 具体地,根据用户的身份级别,设置用户对文档内容的操作权限不同,用户可查看的内容也不同。操作权限包括:只读、修改、复制、分发、打印、离线使用、有效期、固定时间访问和浏览次数控制。用户对动态文档的权限:无论文档分发、保存到何处,访问权限始终附加在信息上,实现权限的永久性控制机制。文档的所有者可以动态更改和回收权限,并立即生效。
[0030] S102:通过网络爬虫爬取文档数据,获取敏感信息,生成并存储第一关键数据汇总信息,采用DSM技术对第一关键数据进行加解密,对第一关键数据内容进行审查,得到第一关键字和第一文件指纹信息。
[0031] DSM技术采用先进的动态加解密技术,运行速度快,加解密操作稳定可靠,有效保护敏感信息。密钥与内容分离,由服务器集中保存。加解密过程对用户完全透明,不改变原有的操作习惯。对第一关键数据内容进行审查,得到第一关键字的具体方法为:通过预定义的或用户自定义的关键字字典和权重对文件和数据进行扫描;读取文件内容,采用字符串匹配算法,查找是否有关键字,直至所有内容遍历完毕,或者匹配关键字退出。对第一关键数据内容进行审查得到第一文件指纹信息的方法为:预先对用户指定文件的目录遍历,对文件内容进行扫描并形成哈希值。
[0032] S103:获取客户端操作文档数据,采用DLP技术截获网络传输数据,将网络传输数据还原并扫描传输数据,对文档内容进行审查生成第二关键数据汇总信息,对第二关键数据内容进行审查,得到第二关键字和第二文件指纹信息。
[0033] DLP技术其核心能力就是内容识别,通过识别可以扩展到对数据的防控。内容识别应该具备的识别能力具体来说有关键字、正则表达式、文档指纹、确切数据源(数据库指纹)、支持向量机,针对于每一种能力又会衍伸出多种复合能力。对第二关键数据内容进行审查,得到第二关键字的具体方法为:通过预定义的或用户自定义的关键字字典和权重对文件和数据进行扫描;读取文件内容,采用字符串匹配算法,查找是否有关键字,直至所有内容遍历完毕,或者匹配关键字退出。对第二关键数据内容进行审查得到第二文件指纹信息的方法为:预先对用户指定文件的目录遍历,对文件内容进行扫描并形成哈希值。
[0034] S104:将第一关键字和第二关键字进行对比分析,将第一文件指纹信息和第二文件指纹信息进行对比分析,对比分析结果为相同时,则执行告警或拦截指令并生成管理日志。将第一关键字和第二关键字进行对比分析,将第一文件指纹信息和第二文件指纹信息进行对比分析,对比分析结果均为相同时,说明文档信息正在泄漏,则执行告警或拦截指令并生成管理日志。管理日志内容包括违反规定的用户操作信息。
[0035] 本发明提供的基于DSM和DLP技术融合的数据防泄漏方法,通过采用DSM和DLP技术融合,形成数据和信息保护的闭环,严格的杜绝信息泄密,提高数据的安全性。
[0036] 如图2所示,示出了本发明提供的基于DSM和DLP技术融合的数据防泄漏系统第一实施例的结构示意图,该系统包括DSM和DLP服务器21和客户端22,所述DSM和DLP服务器21包括内容过滤配置模块211、文档加解密配置模块212和文档外发配置模块213,所述客户端22包括加解密模块221、扫描发现模块222、文档外发模块223和内容过滤模块224,所述内容过滤配置模块211用于设置文档的屏蔽内容和文档内容审查时的过滤条件;所述文档加解密配置模块212用于采用DSM技术对文档信息进行加解密和设置加密时包含的附加信息,附加信息包括文档浏览时间、文档浏览次数限制、文档内容复制、文档内容打印和/或截屏的操作信息;所述文档外发配置模块213用于配置文档外发的条件;所述加解密模块221用于根据用户的身份对文档内容采用DSM技术加解密;所述扫描发现模块222用于对文档进行自动扫描分类;所述文档外发模块223用于传输经过审批允许的文档;所述内容过滤模块224用于对文档内容进行审查过滤。
[0037] 客户端还包括注册验证模块225,所述注册验证模块225用于对用户注册和用户身份验证。客户端还包括配置下载解析模块226,所述配置下载解析模块226用于从DSM和DLP服务器下载与客户端相匹配的内容过滤配置信息、文档加解密配置信息和文档外发配置信息。客户端还包括事件日志输出模块227,所述事件日志输出模块227用于输出用户操作的客户端的事件日志信息;所述DSM和DLP服务器还包括管理日志输出模块,所述管理日志输出模块214用于DSM和DLP服务器输出用户违规的行为日志信息。
[0038] 本发明提供的基于DSM和DLP技术融合的数据防泄漏系统,通过采用DSM和DLP技术融合,形成数据和信息保护的闭环,严格的杜绝信息泄密,提高数据的安全性。
[0039] 本发明还提供一种智能终端的第一实施例,如图3所示,示出了智能终端的结构示意图,该终端包括处理器301、输入设备302、输出设备303和存储器304,所述处理器301、输入设备302、输出设备303和存储器304相互连接,所述存储器304用于存储计算机程序,所述计算机程序包括程序指令,所述处理器301被配置用于调用所述程序指令,执行上述实施例描述的方法。
[0040] 应当理解,在本发明实施例中,所称处理器301可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0041] 输入设备302可以包括触控板、指纹采传感器(用于采集用户的指纹信息和指纹的方向信息)、麦克风等,输出设备303可以包括显示器(LCD等)、扬声器等。
[0042] 该存储器304可以包括只读存储器和随机存取存储器,并向处理器801提供指令和数据。存储器304的一部分还可以包括非易失性随机存取存储器。例如,存储器304还可以存储设备类型的信息。
[0043] 具体实现中,本发明实施例中所描述的处理器301、输入设备302、输出设备303可执行本发明实施例提供的方法实施例所描述的实现方式,也可执行本发明实施例所描述的系统实施例的实现方式,在此不再赘述。
[0044] 在本发明还提供一种计算机可读存储介质的实施例,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执上述实施例描述的方法。
[0045] 所述计算机可读存储介质可以是前述实施例所述的终端的内部存储单元,例如终端的硬盘或内存。所述计算机可读存储介质也可以是所述终端的外部存储设备,例如所述终端上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述计算机可读存储介质还可以既包括所述终端的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述终端所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
[0046] 本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
[0047] 所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的终端和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0048] 在本申请所提供的几个实施例中,应该理解到,所揭露终端和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
[0049] 最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
