本發(fā)明涉及一種數(shù)據(jù)安全領域，尤其涉及一種數(shù)據(jù)動態(tài)防泄漏系統(tǒng)及方法。

背景技術：

在當下信息時代，數(shù)據(jù)安全、信息安全的問題愈加重要，靜態(tài)的被動的進行數(shù)據(jù)防泄漏已經(jīng)無法應對層出不窮泄漏手段。對此，北京明朝萬達科技股份有限公司提出并實現(xiàn)基于關鍵字、正則表達式和機器學習技術進行數(shù)據(jù)動態(tài)防泄漏的改進方案。

目前業(yè)界普遍采用管控外發(fā)終端或者用戶的傳統(tǒng)靜態(tài)方式進行數(shù)據(jù)防泄漏處理。而新興起來利用正則表達式、關鍵字和機器學習等技術掃描文件，進行加密防護的方式，仍屬于靜態(tài)的保護范疇。

當前終端數(shù)據(jù)防泄漏技術為在相應終端上安裝防泄漏軟件，通過控制終端上外接設備讀寫和網(wǎng)絡上傳下載等行為為主要防護思路，所有數(shù)據(jù)外發(fā)結果要么全部加密，要么全部阻斷，要么全部明文，不能根據(jù)數(shù)據(jù)不同進行不同處理。

如附圖1-2所示，其展示了現(xiàn)有技術中，在通過U盤進行數(shù)據(jù)拷出的場景中，在插入移動設備時，管控組件通過預先設置好的U盤控制策略(方式)，通知底層驅(qū)動進行相應數(shù)據(jù)讀寫控制，如正常讀寫(不做控制)，加密讀寫(拷入加密為密文，拷出解密為明文)，只讀(只能讀取，不能寫入)和禁用(禁止使用U盤)。所有數(shù)據(jù)都只能通過其中一種方式進行外發(fā)。

現(xiàn)有的防泄漏方案仍局限于面向終端，面向用戶，無差別處理數(shù)據(jù)的靜態(tài)被動管控手段。管控方式一旦下發(fā)，終端上所有數(shù)據(jù)不論是否涉密，敏感程度，都將被統(tǒng)一處理，不能區(qū)別對待，在一定程度上影響了工作效率，制約生產(chǎn)力的提高。

現(xiàn)有技術屬于對數(shù)據(jù)的靜態(tài)被動的安全控制方式。因此，迫切需要提供一種變被動為主動，變靜態(tài)為動態(tài)的方案，將數(shù)據(jù)防泄漏管控對象變更為數(shù)據(jù)，根據(jù)數(shù)據(jù)的不同，進行不同的控制。通過關鍵字、正則表達式和機器學習技術主動的學習和分析數(shù)據(jù)，結合數(shù)據(jù)字典對數(shù)據(jù)進行分類，對不同級別的數(shù)據(jù)制定不同的控制手段，不再無差別對待，在不影響客戶使用習慣的情況下做到動態(tài)的數(shù)據(jù)管控。。

技術實現(xiàn)要素：

為解決上述技術問題，本發(fā)明提供了一種數(shù)據(jù)動態(tài)防泄漏方法，其特征在于，該方法包括以下步驟：

制定數(shù)據(jù)過濾規(guī)則文件，該數(shù)據(jù)過濾規(guī)則文件包括多個不同類型的數(shù)據(jù)過濾規(guī)則；

生成數(shù)據(jù)管控策略，所述數(shù)據(jù)管控策略包括不同類型的數(shù)據(jù)過濾規(guī)則與不同級別的數(shù)據(jù)管控方案的對應關系；

加載所述數(shù)據(jù)過濾規(guī)則文件及數(shù)據(jù)管控策略；

當有數(shù)據(jù)需要外發(fā)時，根據(jù)所述數(shù)據(jù)過濾規(guī)則文件對外發(fā)數(shù)據(jù)進行掃描，判斷所述外發(fā)數(shù)據(jù)是否與所述數(shù)據(jù)過濾規(guī)則文件中的所述數(shù)據(jù)過濾規(guī)則匹配，如果匹配，則根據(jù)所述數(shù)據(jù)管控策略中所述數(shù)據(jù)過濾規(guī)則對應的數(shù)據(jù)管控方案對所述外發(fā)數(shù)據(jù)進行相應的外發(fā)控制。

根據(jù)本發(fā)明的方法，優(yōu)選地，所述數(shù)據(jù)過濾規(guī)則至少通過以下方式之一制定：通過預先學習分析典型模版數(shù)據(jù)，獲取所數(shù)據(jù)過濾規(guī)則；或者依據(jù)關鍵字和正則表達式，根據(jù)需要監(jiān)控的敏感字段、數(shù)字正則式制定所述數(shù)據(jù)過濾規(guī)則。

根據(jù)本發(fā)明的方法，優(yōu)選地，所述多個不同類型的數(shù)據(jù)過濾規(guī)則包括對以下數(shù)據(jù)進行過濾：非敏感數(shù)據(jù)、低敏感數(shù)據(jù)、中敏感數(shù)據(jù)、高敏感數(shù)據(jù)、絕密數(shù)據(jù)。

根據(jù)本發(fā)明的方法，優(yōu)選地，所述數(shù)據(jù)管控方案包括：明文發(fā)送、審計發(fā)送、加密發(fā)送、外發(fā)審批、禁止發(fā)送。

根據(jù)本發(fā)明的方法，優(yōu)選地，外發(fā)審批包括：明文發(fā)送、加密發(fā)送、禁止發(fā)送。

根據(jù)本發(fā)明的方法，優(yōu)選地，如果所述外發(fā)數(shù)據(jù)與所述數(shù)據(jù)過濾規(guī)則文件中的所述數(shù)據(jù)過濾規(guī)則不匹配，則不對所述外發(fā)數(shù)據(jù)進行外發(fā)控制。

為解決上述技術問題，本發(fā)明提供了一種數(shù)據(jù)動態(tài)防泄漏系統(tǒng)，其特征在于，該系統(tǒng)包括：

數(shù)據(jù)過濾規(guī)則文件存儲模塊，用于存儲數(shù)據(jù)過濾文件，該數(shù)據(jù)過濾規(guī)則文件包括多個不同類型的數(shù)據(jù)過濾規(guī)則；

數(shù)據(jù)管控策略存儲模塊，用于存儲數(shù)據(jù)管控策略，所述數(shù)據(jù)管控策略包括不同類型的數(shù)據(jù)過濾規(guī)則與不同級別的數(shù)據(jù)管控方案的對應關系；

文件掃描引擎，加載所述數(shù)據(jù)過濾規(guī)則文件及數(shù)據(jù)管控策略，當有數(shù)據(jù)需要外發(fā)時，根據(jù)所述數(shù)據(jù)過濾規(guī)則文件對外發(fā)數(shù)據(jù)進行掃描，判斷所述外發(fā)數(shù)據(jù)是否與所述數(shù)據(jù)過濾規(guī)則文件中的所述數(shù)據(jù)過濾規(guī)則匹配，如果匹配，則根據(jù)所述數(shù)據(jù)管控策略中所述數(shù)據(jù)過濾規(guī)則對應的數(shù)據(jù)管控方案對所述外發(fā)數(shù)據(jù)進行相應的外發(fā)控制。

根據(jù)本發(fā)明的系統(tǒng)，優(yōu)選地，所述數(shù)據(jù)過濾規(guī)則至少通過以下方式之一制定：所述文件掃描引擎通過預先學習分析典型模版數(shù)據(jù)，獲取所數(shù)據(jù)過濾規(guī)則；或者依據(jù)關鍵字和正則表達式，根據(jù)需要監(jiān)控的敏感字段、數(shù)字正則式制定所述數(shù)據(jù)過濾規(guī)則。

根據(jù)本發(fā)明的系統(tǒng)，優(yōu)選地，還包括日志記錄模塊，用于對所述外發(fā)數(shù)據(jù)的所述外發(fā)控制進行日志記錄。

為解決上述技術問題，本發(fā)明提供了一種企業(yè)數(shù)據(jù)安全控制系統(tǒng)，其特征在于，該系統(tǒng)包括：

多個數(shù)據(jù)服務器，用于對企業(yè)內(nèi)部數(shù)據(jù)進行管理；

多個郵件服務器，用于對企業(yè)郵件數(shù)據(jù)進行管理；

交換機，用于將控制所述企業(yè)內(nèi)部數(shù)據(jù)和企業(yè)郵件數(shù)據(jù)的外發(fā)；

以及上述數(shù)據(jù)動態(tài)防泄漏系統(tǒng)，與所述交換機連接，用于對所述交換機外發(fā)的數(shù)據(jù)進行安全控制。

采用本發(fā)明的技術方案，能夠動態(tài)的進行數(shù)據(jù)防泄漏，將防泄漏管控對象定義在數(shù)據(jù)本身上，不再以終端或者用戶為主體，根據(jù)數(shù)據(jù)的不同，進行不同的管控，對于非涉密數(shù)據(jù)不控制，對于涉密數(shù)據(jù)根據(jù)敏感程度分級控制，避免無差別的管控，造成資源浪費，影響工作效率。

附圖說明

圖1為現(xiàn)有技術中的數(shù)據(jù)外發(fā)控制邏輯圖。

圖2為現(xiàn)有技術中U盤數(shù)據(jù)外發(fā)控制邏輯圖。

圖3為現(xiàn)有技術中U盤數(shù)據(jù)外發(fā)控制流程圖。

圖4為本發(fā)明的數(shù)據(jù)外發(fā)控制邏輯圖。

圖5是本發(fā)明的數(shù)據(jù)外發(fā)控制流程圖。

圖6是應用本發(fā)明技術方案的第一實施例。

圖7是應用本發(fā)明技術方案的第二實施例。

具體實施方式

下面結合附圖以及具體實施例對本發(fā)明作進一步的說明，但本發(fā)明的保護范圍并不限于此。

<控制方法>

圖4本發(fā)明數(shù)據(jù)外發(fā)控制邏輯圖。

圖5是為本發(fā)明數(shù)據(jù)外發(fā)控制方法實現(xiàn)流程圖。如圖5所示，本發(fā)明包括以下方法步驟：

規(guī)則制定：規(guī)則分為兩種，一種為通過預先學習分析客戶模版數(shù)據(jù)，獲取客戶典型數(shù)據(jù)得出的規(guī)則。客戶提供典型模版數(shù)據(jù)導入文件掃描引擎，掃描引擎通過機器學習技術對數(shù)據(jù)進行分析，生成符合典型數(shù)據(jù)描述的規(guī)則文件。另一種為依據(jù)關鍵字和正則表達式，由客戶根據(jù)需要監(jiān)控的敏感字段、數(shù)字正則式等制定的規(guī)則。

分級分類：規(guī)則制定完畢后，通過數(shù)據(jù)分類分級模型，對不同類型的規(guī)則匹配不同級別的管控手段，生成控制策略；

加載策略：掃描引擎解析策略，加載規(guī)則文件及對應控制方式，等待數(shù)據(jù)外發(fā)時觸發(fā)調(diào)用；

外發(fā)控制：數(shù)據(jù)外發(fā)時，管控模塊將待發(fā)數(shù)據(jù)發(fā)送給文件掃描引擎，掃描引擎根據(jù)規(guī)則文件對文件內(nèi)容進行掃描，分析文件內(nèi)容是否與規(guī)則匹配，如果匹配則根據(jù)規(guī)則對應的管控手段進行管控，如加密，阻斷外發(fā)，審計或者提請外發(fā)審批。對于未命中文件則按照原有正常流程進行外發(fā)。

所述多個不同類型的數(shù)據(jù)過濾規(guī)則包括對以下數(shù)據(jù)進行過濾：非敏感數(shù)據(jù)、低敏感數(shù)據(jù)、中敏感數(shù)據(jù)、高敏感數(shù)據(jù)、絕密數(shù)據(jù)。

所述數(shù)據(jù)管控方案包括：明文發(fā)送、審計發(fā)送、加密發(fā)送、外發(fā)審批、禁止發(fā)送。

外發(fā)審批包括：明文發(fā)送、加密發(fā)送、禁止發(fā)送。

<控制系統(tǒng)>

本發(fā)明還提供了一種數(shù)據(jù)動態(tài)防泄漏系統(tǒng)，該系統(tǒng)包括：

數(shù)據(jù)過濾規(guī)則文件存儲模塊，用于存儲數(shù)據(jù)過濾文件，該數(shù)據(jù)過濾規(guī)則文件包括多個不同類型的數(shù)據(jù)過濾規(guī)則；

數(shù)據(jù)管控策略存儲模塊，用于存儲數(shù)據(jù)管控策略，所述數(shù)據(jù)管控策略包括不同類型的數(shù)據(jù)過濾規(guī)則與不同級別的數(shù)據(jù)管控方案的對應關系；

文件掃描引擎，加載所述數(shù)據(jù)過濾規(guī)則文件及數(shù)據(jù)管控策略，當有數(shù)據(jù)需要外發(fā)時，根據(jù)所述數(shù)據(jù)過濾規(guī)則文件對外發(fā)數(shù)據(jù)進行掃描，判斷所述外發(fā)數(shù)據(jù)是否與所述數(shù)據(jù)過濾規(guī)則文件中的所述數(shù)據(jù)過濾規(guī)則匹配，如果匹配，則根據(jù)所述數(shù)據(jù)管控策略中所述數(shù)據(jù)過濾規(guī)則對應的數(shù)據(jù)管控方案對所述外發(fā)數(shù)據(jù)進行相應的外發(fā)控制。

數(shù)據(jù)過濾規(guī)則文件存儲模塊和數(shù)據(jù)管控策略存儲模塊可以利用現(xiàn)有技術中的各種存儲器來實現(xiàn)，比如硬盤，磁盤，閃存，數(shù)據(jù)庫，云存儲，分布式存儲等方式。

文件掃描引擎可以采用中央處理器CPU等數(shù)據(jù)處理模塊來實現(xiàn)。

所述數(shù)據(jù)過濾規(guī)則至少通過以下方式之一制定：所述文件掃描引擎通過預先學習分析典型模版數(shù)據(jù)，獲取所數(shù)據(jù)過濾規(guī)則；或者依據(jù)關鍵字和正則表達式，根據(jù)需要監(jiān)控的敏感字段、數(shù)字正則式制定所述數(shù)據(jù)過濾規(guī)則。

本發(fā)明的系統(tǒng)包括日志記錄模塊，用于對所述外發(fā)數(shù)據(jù)的所述外發(fā)控制進行日志記錄。

<第一實施例>

如圖6所示，某大型銀行將DLP系統(tǒng)旁掛在出口交換機上，對企業(yè)內(nèi)部對外發(fā)送的網(wǎng)絡數(shù)據(jù)進行監(jiān)測。啟用了財務、機密數(shù)據(jù)等內(nèi)置策略集，對帳戶信息進行模式匹配，根據(jù)具體情況制訂了以下關鍵字列表：

關鍵字/絕密/機密/保密/秘密

安全解決方案/安全方案/網(wǎng)絡拓撲

會議紀要/會議/評分標準/賬號

財務數(shù)據(jù)/年報/季報/行長

招標規(guī)范/建總發(fā)/建總函/奧運安全保障/技術規(guī)范

董事會

一周內(nèi)監(jiān)控的數(shù)據(jù)量：

共處理2,273,881條消息

過濾了11.76GB的數(shù)據(jù)流量

共匹配記錄6502條

發(fā)現(xiàn)違規(guī)事件1,440

該實例中是將DLP部署在后臺服務器端，根據(jù)規(guī)則對外發(fā)的網(wǎng)絡數(shù)據(jù)進行分析匹配，符合規(guī)則的進行審計記錄，不符合的過濾不處理。該實例中僅做審計并未對數(shù)據(jù)外發(fā)進行管控。

即提供了一種企業(yè)數(shù)據(jù)安全控制系統(tǒng)，應用于一個或多個企業(yè)內(nèi)部網(wǎng)中，該系統(tǒng)包括：

多個數(shù)據(jù)服務器，用于對企業(yè)內(nèi)部數(shù)據(jù)進行管理；

多個郵件服務器，用于對企業(yè)郵件數(shù)據(jù)進行管理；

交換機，用于將控制所述企業(yè)內(nèi)部數(shù)據(jù)和企業(yè)郵件數(shù)據(jù)的外發(fā)；

以及上述數(shù)據(jù)動態(tài)防泄漏系統(tǒng)(DLP)，與所述交換機連接，用于對所述交換機外發(fā)的數(shù)據(jù)進行安全控制。

<第二實施例>

如附圖7所示，某大型銀行客戶對現(xiàn)有終端明文外發(fā)功能進行升級改造，改造之前明文外發(fā)僅需登記后即可外發(fā)出去，存在泄漏風險。改造后用戶使用明文外發(fā)掃描功能時，該模塊會對文件內(nèi)容進行掃描，并根據(jù)文件含有敏感內(nèi)容的重要程度，自動判斷需要執(zhí)行的后續(xù)外發(fā)動作，如下所示：

文件明文直接外發(fā)

文件登記后明文外發(fā)

文件審批后明文外發(fā)

拒絕文件明文外發(fā)

本發(fā)明提供的方案旨在動態(tài)的進行數(shù)據(jù)防泄漏，將防泄漏管控對象定義在數(shù)據(jù)本身上，不再以終端或者用戶為主體，根據(jù)數(shù)據(jù)的不同，進行不同的管控，對于非涉密數(shù)據(jù)不控制，對于涉密數(shù)據(jù)根據(jù)敏感程度分級控制，避免無差別的管控，造成資源浪費，影響工作效率。

以上實施例僅作為本發(fā)明保護方案的示例，不對本發(fā)明的具體實施方式進行限定。