專利名稱:一種基于指紋信息植入的敏感數(shù)據(jù)文件的全生命周期管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域的數(shù)據(jù)安全防護(hù),特別是涉及一種基于指紋信息植入的敏感數(shù)據(jù)文件的全生命周期管理方法�����。
背景技術(shù):
隨著計算機(jī)技術(shù)的飛速發(fā)展��,信息化系統(tǒng)應(yīng)用深入廣泛�,并應(yīng)用到各個領(lǐng)域。但隨之而來產(chǎn)生了敏感數(shù)據(jù)泄露的安全問題��,對具有敏感數(shù)據(jù)的電子文件產(chǎn)生����、傳輸、流轉(zhuǎn)無法管理和控制���。在涉密單位或者大型企業(yè)中���,廣泛的實施了安全防護(hù)措施,包括機(jī)房安全、網(wǎng)絡(luò)隔離�、防火墻、入侵檢測�����、加密傳輸身份認(rèn)證系統(tǒng)等等�����。但是具有敏感信息數(shù)據(jù)的安全問題卻 一直得不到應(yīng)有的重視�。同時,之前的市場上也缺乏有效的敏感數(shù)據(jù)全生命周期管理方法����。
發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)的不足,本發(fā)明提出的是一種基于指紋信息植入的敏感數(shù)據(jù)全生命周期管理方法�,可以防止敏感信息通過數(shù)據(jù)文件亂傳和流失,通過敏感數(shù)據(jù)管理平臺和植入文件的指紋信息可以全面掌握該敏感文件的全生命周期狀態(tài)�,達(dá)到對敏感信息的可控效果。本發(fā)明實現(xiàn)的技術(shù)方案如下
一種基于指紋信息植入的敏感數(shù)據(jù)全生命周期管理方法�����,在建立敏感數(shù)據(jù)管理服務(wù)端和終端監(jiān)控客戶端下�����,在處理敏感數(shù)據(jù)文件的客戶端上部署文件過濾驅(qū)動,其方法為�����,首先����,預(yù)先定義好的指紋信息��,在文件寫入或修改時�����,文件過濾驅(qū)動對該文件格式進(jìn)行解析��,并對內(nèi)容進(jìn)行全面掃描���,一旦發(fā)現(xiàn)敏感關(guān)鍵字則根據(jù)敏感數(shù)據(jù)管理策略生成指紋規(guī)則��。根據(jù)文件的具體格式確定指紋植入的位置并執(zhí)行植入操作����,指紋信息植入成功后則將相關(guān)信息發(fā)送到后臺數(shù)據(jù)庫,通過敏感文件管理平臺實現(xiàn)敏感文件全生命周期的監(jiān)控��,并進(jìn)行顯
/Jn o指紋信息植入時期為在敏感數(shù)據(jù)文件產(chǎn)生的時候���、對敏感數(shù)據(jù)進(jìn)行操作的時候��、敏感數(shù)據(jù)傳輸與落地的時候或敏感數(shù)據(jù)存儲的時候進(jìn)行植入���。通過敏感數(shù)據(jù)管理平臺和植入文件的指紋信息可以全面掌握該敏感文件的全生命周期狀態(tài)。本發(fā)明的進(jìn)一步方案可以是所述的植入在文件中的指紋信息應(yīng)包含敏感數(shù)據(jù)部分的摘要����、終端IP和MAC、身份信息��、行為信息等關(guān)鍵要素���。本發(fā)明的進(jìn)一步方案可以是所述傳輸協(xié)議的指紋信息采用專用密碼算法進(jìn)行加
r I I O本發(fā)明的進(jìn)一步方案可以是所述的指紋植入位置應(yīng)達(dá)到不被惡意刪除����、篡改��、偽造等效果��,可以尋找多個植入位置并使用動態(tài)算法進(jìn)行植入位置的選擇。本發(fā)明的進(jìn)一步方案可以是所述的植入的指紋信息在文件使用之前進(jìn)行完整性校驗���,當(dāng)指紋信息被破壞時則文件無法使用�����。本發(fā)明方法可以實現(xiàn)以下安全效果
本發(fā)明通過敏感關(guān)鍵字和關(guān)鍵字關(guān)聯(lián)信息識別與檢索,可以防止敏感信息通過數(shù)據(jù)文件亂傳和流失�����,達(dá)到對敏感信息的可控效果���;一旦敏感數(shù)據(jù)文件丟失���,可以通過指紋信息管理平臺追溯敏感數(shù)據(jù)丟失發(fā)生源,追溯敏感文件操作的合規(guī)性����,用于追究相關(guān)責(zé)任人的取證;并通過指紋信息的植入����,可以動態(tài)的掌握全網(wǎng)敏感信息的分布狀態(tài)�,達(dá)到了敏感信息的全面監(jiān)視�;而且通過指紋信息之間的關(guān)聯(lián),可以全面了解該敏感數(shù)據(jù)文件產(chǎn)生地點����、傳輸者、接受者��、使用者和最終存儲地點�,達(dá)到了敏感數(shù)據(jù)文件全生命周期安全管控與監(jiān)視的效果。
圖I本發(fā)明的流程示意圖���。
具體實施例方式為使本發(fā)明實現(xiàn)的技術(shù)手段����、創(chuàng)作特征���、達(dá)成目的與功效易于明白了解���,下面結(jié)合具體實施方式
,進(jìn)一步闡述本發(fā)明�����。參見圖1,本發(fā)明的基于指紋信息植入的敏感數(shù)據(jù)文件的全生命周期管理方法���,主要用于監(jiān)控與管理敏感數(shù)據(jù)在產(chǎn)生��、存儲���、操作、傳輸和銷毀等全生命周期過程��。其包括工作模塊��,該工作模塊包括文件過濾驅(qū)動�����、關(guān)鍵字掃描引擎���、指紋信息生成、指紋信息嵌入���、指紋信息數(shù)據(jù)庫和全生命周期的展現(xiàn)����。在建立敏感數(shù)據(jù)管理服務(wù)端和終端監(jiān)控客戶端下,在終端部署客戶端監(jiān)控軟件�����,一方面執(zhí)行服務(wù)端推送的策略�,另一方面對敏感文件進(jìn)行指紋植入并進(jìn)行信息上報。在服務(wù)端部署數(shù)據(jù)庫服務(wù)并建立相應(yīng)的數(shù)據(jù)庫表�,部署Web應(yīng)用服務(wù)器用于查詢與獲取數(shù)據(jù)全生命周期監(jiān)控展示的有關(guān)數(shù)據(jù)信息。處理敏感數(shù)據(jù)文件的客戶端上部署文件過濾驅(qū)動����,通過在敏感數(shù)據(jù)文件中植入指紋信息,跟蹤與監(jiān)控指紋的流轉(zhuǎn)過程���,以此達(dá)到對敏感數(shù)據(jù)文件的全生命周期監(jiān)控與管理的效果�。其步驟如下
首先�,操作文件的解析步驟;在操作文件寫入或修改時����,文件過濾驅(qū)動對該操作文件格式進(jìn)行解析;本實施例中��,文件過濾驅(qū)動程序調(diào)用掃描引擎�����,掃描引擎自動確定文件格式并進(jìn)行解析,其次查詢敏感關(guān)鍵字掃描需求并對內(nèi)容進(jìn)行識別��。然后�,指紋規(guī)則的生成步驟;文件過濾驅(qū)動對該操作文件格式進(jìn)行解析的同時并對內(nèi)容進(jìn)行全面掃描�,若發(fā)現(xiàn)預(yù)先定義好的敏感關(guān)鍵字則執(zhí)行關(guān)聯(lián)信息掃描,根據(jù)敏感數(shù)據(jù)管理策略生成指紋規(guī)則���,否則結(jié)束指紋信息的植入�����。再次,指紋信息植入步驟��;根據(jù)文件的具體格式確定指紋信息植入的位置并執(zhí)行植入操作����;該植入操作是調(diào)用指紋植入接口程序完成指紋信息的植入,指紋植入的位置具有多個����,采用動態(tài)算法計算植入位置��,以達(dá)到不被惡意刪除���、篡改和偽造等效果;其中����,傳輸協(xié)議的指紋信息采用專用密碼算法進(jìn)行加密。植入的指紋信息在操作文件使用之前進(jìn)行完整性校驗��,當(dāng)指紋信息被破壞時則操作文件無法使用���。本實施例中�,指紋信息包括敏感數(shù)據(jù)文件的摘要信息�����、敏感級別��、行為信息�����、終端資產(chǎn)信息(包括IP、MAC����、系統(tǒng)賬號)、用戶資產(chǎn)信息(包括用戶姓名���、主管領(lǐng)導(dǎo)����、用戶所在單位和部門)等�����。指紋信息植入的時期為在敏感數(shù)據(jù)文件產(chǎn)生的時候��、對敏感數(shù)據(jù)進(jìn)行操作的時候�、敏感數(shù)據(jù)傳輸與落地的時候或敏感數(shù)據(jù)存儲的時候進(jìn)行植入。最后�,上傳數(shù)據(jù)庫和監(jiān)控敏感文件全生命周期步驟;指紋信息植入成功后則將相關(guān)信息發(fā)送到敏感數(shù)據(jù)管理平臺的數(shù)據(jù)庫�����,并通過敏感文件管理平臺實現(xiàn)敏感文件全生命周期的監(jiān)控��,并進(jìn)行顯示�。該敏感文件管理平臺是用戶通過上層應(yīng)用管理程序與敏感數(shù)據(jù)管理平臺的數(shù)據(jù)庫進(jìn)行交互,實現(xiàn)敏感數(shù)據(jù)文件的全生命周期監(jiān)控與管理�。上述指紋信息植入具體包括以下步驟
1)終端用戶操作敏感數(shù)據(jù)文件;
2)文件過濾驅(qū)動程序調(diào)用敏感關(guān)鍵字掃描引擎���; 3)敏感關(guān)鍵字掃描引擎自動確定文件格式并進(jìn)行解析���;
4)查詢敏感關(guān)鍵字掃描需求并對內(nèi)容進(jìn)行識別掃描;
5)如發(fā)現(xiàn)具有敏感關(guān)鍵字則對敏感關(guān)鍵字的關(guān)聯(lián)信息掃描�����,否則執(zhí)行第8步����;
6)確定敏感文件級別,查詢指紋信息生成規(guī)則庫生成指紋信息,并通過文件過濾驅(qū)動調(diào)用植入指紋信息的功能接口�����;
7)將指紋信息上傳數(shù)據(jù)庫���;
8)完成指紋信息植入�����?���?蛻舳吮O(jiān)控軟件具體運(yùn)行步驟如下
1)用戶下載業(yè)務(wù)系統(tǒng)數(shù)據(jù)、生成敏感數(shù)據(jù)�、編輯敏感數(shù)據(jù);
2)客戶端監(jiān)控軟件探測到新的數(shù)據(jù)文件���;
3)客戶端監(jiān)控軟件加載敏感關(guān)鍵字識別和檢索引擎��;
4)客戶端監(jiān)控軟件加載關(guān)鍵字策略和檢索策略���;
5)執(zhí)行關(guān)鍵字識別和信息檢索;
6)根據(jù)檢索結(jié)果����,自動獲取終端身份信息和資產(chǎn)信息;
7)根據(jù)指紋生成規(guī)則�,產(chǎn)生指紋;
8)在文件指定位直植入指紋�����;
9)根據(jù)指紋信息生成與指紋相關(guān)聯(lián)的輔助信息��;
10)異步上傳指紋信息和輔助信息到服務(wù)端數(shù)據(jù)庫中�����。為詳細(xì)闡述上述方法����,現(xiàn)舉本實施例的一個典型的交互示例用戶下載業(yè)務(wù)系統(tǒng)數(shù)據(jù)、操作敏感數(shù)據(jù)時����,客戶端監(jiān)控軟件根據(jù)內(nèi)容信息和用戶資產(chǎn)信息生成指紋信息植入到文件中,并上報的管理端的數(shù)據(jù)庫中����。系統(tǒng)管理員登錄到數(shù)據(jù)安全管控平臺點擊查詢系統(tǒng),可以了解到當(dāng)前網(wǎng)絡(luò)中有哪些敏感文件���,敏感文件在哪一臺終端流轉(zhuǎn)過���,最終落到哪一臺終端,以及流轉(zhuǎn)過的終端是否存在敏感文件����。本發(fā)明通過建立敏感數(shù)據(jù)管理服務(wù)端和終端監(jiān)控客戶端�,敏感數(shù)據(jù)管理服務(wù)端完成敏感數(shù)據(jù)的全生命周期的管控��,用于策略的下發(fā)����、規(guī)則的下發(fā)、指紋信息的分析等�,終端監(jiān)控客戶端主要用于執(zhí)行服務(wù)端推送的策略、監(jiān)控文件的操作�����、安裝指紋信息�、指紋信息上傳等,通過敏感數(shù)據(jù)管理平臺和植入文件的指紋信息可以全面掌握該敏感文件的全生命周期狀態(tài)���,有效防止敏感信息通過數(shù)據(jù)文件亂傳和流失���,達(dá)到對敏感信息的可控效果;而且通過指紋信息管理平臺追溯敏感數(shù)據(jù)丟失發(fā)生源�����,追溯敏感文件操作的合規(guī)性,用于追究相關(guān)責(zé)任人的取證�;并通過指紋信息的植入,可以動態(tài)的掌握全網(wǎng)敏感信息的分布狀態(tài)�,達(dá)到了敏感信息的全面監(jiān)視�;而且通過指紋信息之間的關(guān)聯(lián),可以全面了解該敏感數(shù)據(jù)文件產(chǎn)生地點�����、傳輸者���、接受者���、使用者和最終存儲地點,達(dá)到了敏感數(shù)據(jù)文件全生命周期安全管控與監(jiān)視的效果����。以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點。本行業(yè)的技術(shù) 人員應(yīng)該了解�,本發(fā)明不受上述實施例的限制,上述實施例和說明書中描述的只是說明本發(fā)明的原理�,在不脫離本發(fā)明精神和范圍的前提下,本發(fā)明還會有各種變化和改進(jìn)����,這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)�����。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定�����。
權(quán)利要求
1.一種基于指紋信息植入的敏感數(shù)據(jù)文件的全生命周期的管理方法����,在建立敏感數(shù)據(jù)管理服務(wù)端和終端監(jiān)控客戶端下��,在處理敏感數(shù)據(jù)文件的客戶端上部署文件過濾驅(qū)動����,其特征在于,其方法為首先�����,操作文件的解析步驟���;在操作文件寫入或修改時���,文件過濾驅(qū)動對該操作文件格式進(jìn)行解析��; 然后���,指紋規(guī)則的生成步驟;所述文件過濾驅(qū)動對該操作文件格式進(jìn)行解析的同時并對內(nèi)容進(jìn)行全面掃描����,若發(fā)現(xiàn)預(yù)先定義好的敏感關(guān)鍵字則執(zhí)行關(guān)聯(lián)信息掃描��,根據(jù)敏感數(shù)據(jù)管理策略生成指紋規(guī)則�,否則結(jié)束指紋信息的植入; 再次���,指紋信息植入步驟���;根據(jù)文件的具體格式確定指紋信息植入的位置并執(zhí)行植入操作; 最后����,上傳數(shù)據(jù)庫和監(jiān)控敏感文件全生命周期步驟;指紋信息植入成功后則將相關(guān)信息發(fā)送到敏感數(shù)據(jù)管理平臺的數(shù)據(jù)庫�,并通過敏感文件管理平臺實現(xiàn)敏感文件全生命周期的監(jiān)控�,并進(jìn)行顯示���。
2.根據(jù)權(quán)利要求I所述的基于指紋信息植入的敏感數(shù)據(jù)文件的全生命周期的管理方法�,其特征在于��,所述操作文件的解析步驟中���,所述文件過濾驅(qū)動是通過調(diào)用敏感關(guān)鍵字掃描引擎�,敏感關(guān)鍵字掃描引擎自動確定操作文件格式并進(jìn)行解析�。
3.根據(jù)權(quán)利要求2所述的基于指紋信息植入的敏感數(shù)據(jù)文件的全生命周期的管理方法,其特征在于�,所述指紋規(guī)則的生成步驟中,敏感關(guān)鍵字掃描引擎查詢敏感關(guān)鍵字并掃描需求并對操作文件內(nèi)容進(jìn)行識別�����;若發(fā)現(xiàn)敏感關(guān)鍵字則執(zhí)行關(guān)聯(lián)信息掃描��,再次確定敏感文件級別并生成該文件的指紋信息��。
4.根據(jù)權(quán)利要求I或3所述的基于指紋信息植入的敏感數(shù)據(jù)文件的全生命周期的管理方法����,其特征在于�����,所述指紋信息植入步驟中��,根據(jù)執(zhí)行關(guān)聯(lián)信息掃描的掃描結(jié)果和指紋生產(chǎn)規(guī)則生產(chǎn)指紋信息��,調(diào)用指紋植入接口程序完成指紋信息的植入��。
5.根據(jù)權(quán)利要求I所述的基于指紋信息植入的敏感數(shù)據(jù)文件的全生命周期的管理方法��,其特征在于�����,上述上傳數(shù)據(jù)庫和監(jiān)控敏感文件全生命周期步驟中,用戶通過上層應(yīng)用管理程序與敏感數(shù)據(jù)管理平臺的數(shù)據(jù)庫進(jìn)行交互����,實現(xiàn)敏感數(shù)據(jù)文件的全生命周期監(jiān)控與管理。
全文摘要
本發(fā)明公開的是一種基于指紋信息植入的敏感數(shù)據(jù)文件的全生命周期管理方法�,其方法為將預(yù)先定義好的指紋信息通過文件過濾驅(qū)動植入到電子數(shù)據(jù)文件中,并將指紋信息的植入情況上傳到敏感數(shù)據(jù)管理平臺的數(shù)據(jù)庫中��,通過敏感文件管理平臺實現(xiàn)敏感文件全生命周期的監(jiān)控,并進(jìn)行顯示����。本發(fā)明主要用于監(jiān)控與管理敏感數(shù)據(jù)在產(chǎn)生、存儲�����、操作���、傳輸和銷毀等全生命周期過程����,達(dá)到了對敏感數(shù)據(jù)文件的全生命周期監(jiān)控與管理的效果�,可以防止敏感信息通過數(shù)據(jù)文件亂傳和流失,達(dá)到對敏感信息的可控效果�,并可以通過指紋信息管理平臺追溯敏感數(shù)據(jù)丟失發(fā)生源,追溯敏感文件操作的合規(guī)性�,用于追究相關(guān)責(zé)任人的取證,達(dá)到了敏感信息的全面監(jiān)視����。
文檔編號G06F21/62GK102968600SQ20121042407
公開日2013年3月13日 申請日期2012年10月30日 優(yōu)先權(quán)日2012年10月30日
發(fā)明者從正海, 楊維永, 劉金鎖, 黃益彬, 朱世順 申請人:國網(wǎng)電力科學(xué)研究院, 南京南瑞集團(tuán)公司, 國家電網(wǎng)公司