CN101945084A - 客户端网页浏览控管系统及方法 - Google Patents
客户端网页浏览控管系统及方法 Download PDFInfo
- Publication number
- CN101945084A CN101945084A CN200910157879XA CN200910157879A CN101945084A CN 101945084 A CN101945084 A CN 101945084A CN 200910157879X A CN200910157879X A CN 200910157879XA CN 200910157879 A CN200910157879 A CN 200910157879A CN 101945084 A CN101945084 A CN 101945084A
- Authority
- CN
- China
- Prior art keywords
- data packet
- unit
- adapter
- network
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种客户端网页浏览控管系统,其包含至少一客户端计算机以及一网页控管模块,耦合至上述客户端计算机。上述客户端计算机包含至少一应用程序、一通讯槽(socket)接口及至少一网络适配卡,其中上述应用程序可通过通讯槽接口将数据封包传送至网络适配卡,并借由网络适配卡与外部网络连接。上述网页控管模块包含一挂接(hook)单元、一分层服务提供(layered serviceprovider,LSP)单元及一分析单元,其中上述挂接单元耦合至上述通讯槽接口,上述LSP单元耦合至挂接单元,而上述分析单元耦合至LSP单元。此外,本发明还公开一种客户端网页浏览控管方法。
Description
技术领域
本发明属于一种网页浏览控管系统。具体地说,其为关于一种可于客户端进行网页浏览控管的系统。
背景技术
在现今信息数字化的时代,计算机与网络已成为各行各业必备的工具,对于信息的处理,大多已少不了计算机与网络。许多个人信息与重要的企业信息大多是借由计算机加以处理并储存成电子文件,再借由网络加以流通,亦或是直接通过网络存取数据。然而,计算机与网络的方便亦形成了信息安全上的一大缺口。恶意的使用者可能会通过网络侵入企业内部的信息系统,或窃取数据,或恶意破坏,进而对企业的正常运作造成威胁。因此大多数的企业均安装有网络防火墙,以阻挡外来的入侵。然而企业所面临的威胁并非仅仅来自外部,许多企业均曾因公司内部人员有意或无意的信息泄漏事件而蒙受了重大的经济损失。
为了杜绝内部人员经由网络泄漏公司的机密信息,许多企业均在员工计算机(客户端)与外部网络的连接间设有昂贵的网络网关(network gateway)与机房,如图1所示。客户端105欲连接至外部网络120的前均需通过网络网关110加以过滤,并阻挡任何被禁止或需管制的网页连接或动作(例如文件传输协议(filetransfer protocol,FTP)连接、网络上传(web upload)、网络邮件(web-mail)的发送或网络硬盘(web hard disk)的存取等)方得以通过机房115将数据封包传送至外部网络120。
然而,上述传统的控管方式却存在若干问题。如图2所示,此方式虽可借由网络网关110达到中央控管并过滤数据封包的目的,但当客户端105并未处于公司内部(如将笔记本型计算机带出公司),亦或是处于公司内,但却借由非公司的网络接口125连上外部网络120时(例如通过热点(Hot Spot)或手机(GPRS、EDGE、HSDPA等)上网),则上述方式即无法过滤传送至外部网络120的数据封包,且亦无法留下任何记录。
综上所言,如何针对客户端的网页浏览加以控管,且无视其因特网连接方式,实为目前业界一具实用性的思考方向,是以本发明提出了一种客户端网页浏览控管系统及方法,以杜绝任何客户端的机密信息经由网络外泄。
发明内容
鉴于上述问题,本发明提供了一种客户端网页浏览控管系统及方法。
本发明的客户端网页浏览控管系统包含:至少一客户端计算机,该客户端计算机包含至少一应用程序、一通讯槽(socket)接口及至少一网络适配卡,其中上述应用程序可通过上述通讯槽接口将数据封包传送至上述网络适配卡,并借由网络适配卡与外部网络连接;以及一网页控管模块,耦合至该客户端计算机。上述网页控管模块包含一挂接(hook)单元、一分层服务提供(layered serviceprovider,LSP)单元及一分析单元,其中上述挂接单元耦合至上述通讯槽接口,上述LSP单元耦合至上述挂接单元,而上述分析单元耦合至LSP单元。当通讯槽接口收到数据封包时,挂接单元将通知并加载LSP单元,以拦截数据封包,接着分析单元将分析数据封包的标头(header),以辨识数据封包的目的,若上述数据封包的目的需加以管制,则阻挡此数据封包,反之,则将此数据封包传送至网络适配卡。
本发明的客户端网页浏览控管方法包含下列步骤:首先,于一客户端的通讯槽接口上安装一挂接程序;接着,当上述通讯槽接口收到来自一应用程序欲传送至一网络接口的数据封包时,上述挂接程序将通知并加载一分层服务提供(LSP)程序;之后,利用上述LSP程序拦截上述数据封包;接下来,利用一分析单元分析数据封包的标头,以辨识数据封包的目的;最后,判断上述数据封包的目的是否需要管制,若需加以管制,则阻挡数据封包,反之,则将数据封包传送至上述网络接口。
本发明的一优点为可以有效防止客户端通过因特网流出机密信息。
本发明的另一优点为可以无视于客户端的网络连接方式而控管客户端的网页浏览。
关于本发明的优点与精神,可以借由以下的发明实施例详述及附图得到进一步的了解。
附图说明
图1为常见的网页浏览控管系统的示意图;
图2为如何绕过图1的常见网页浏览控管系统的示意图;
图3为一般客户端计算机如何与外部网络传输数据封包的示意图;
图4为根据本发明一实施例的客户端网页浏览控管系统的示意图;
图5为根据本发明另一实施例的客户端网页浏览控管系统的示意图;
图6为根据本发明一实施例的客户端网页浏览控管方法的流程图。
主要组件符号说明:
105 客户端计算机 260 LSP单元
110 网络网关 265 分析单元
115 机房 270 记录单元
120 外部网络 275 报表单元
125 非公司的网络接口 S302 步骤
200 客户端计算机 S304 步骤
205 应用程序 S306 步骤
210 通讯槽接口 S308 步骤
215 网络适配卡 S310 步骤
230 外部网络 S312 步骤
250 网页控管模块 S314 步骤
255 Hook单元
具体实施方式
下列描述为提供本发明特定的施行细节,以使本领域技术人员彻底了解这些实施例的实行方式。然该领域的技术人员须了解本发明亦可在不具备这些细节的条件下实行。此外,本发明特定实施例细节描述中使用的术语将以最广义的合理方式解释。
一般而言,Windows系统对外的所有通讯(如数据封包的传输)均需通过一通讯槽接口(socket interface)。通讯槽接口为一种应用程序(API)接口,其为介于应用程序与硬件之间,并提供标准的函数(function)以符合不同的网络硬件规格。参照图3,其显示出一般客户端(计算机)如何通过通讯槽接口与外部网络传输数据封包。简略而言,当客户端计算机200的使用者欲与外部网络进行互动(interaction)时,其需利用一应用程序205,例如Internet Explorer(IE)、Mozilla或Firefox等,将数据封包传送至通讯槽接口210,通过通讯槽接口210的函数将其转换成符合网络适配卡215的规格后,数据封包方得以抵达外部网络230。不论客户端计算机200为通过何种网络适配卡(公司内部网络亦或是非公司的网络接口,例如外接以太网络(Ethernet)、无线网络(wireless network)或移动网络(mobile network)的适配卡),数据封包在借由网络适配卡215抵达外部网络230之前均需经过通讯槽接口210。
参照图4,其为根据本发明一实施例的客户端网页浏览控管系统的示意图。于此实施例中,客户端计算机200包含至少一应用程序205、一通讯槽接口210及至少一网络适配卡215。其中,应用程序205可通过通讯槽接口210将数据封包传送至网络适配卡215,并借其与外部网络230连接。另外,一网页控管模块250耦合至客户端计算机200。如图所示,网页控管模块250包含一挂接(hook)单元255、一分层服务提供(layered service provider,LSP)单元260及一分析单元265。挂接单元255耦合至客户端计算机200的通讯槽接口210,LSP单元260耦合至挂接单元255,而分析单元265则耦合至LSP单元260。
当客户端计算机200欲与外部网络230产生互动时,其将通过应用程序205传送数据封包至通讯槽接口210,而当通讯槽接口210收到数据封包时,挂接单元255将通知并加载LSP单元260,用以拦截数据封包。之后,数据封包将被传送至分析单元265,以分析数据封包的标头(header)。由于传送的数据封包均为文字文件,可借由标头辨识出数据封包的目的,例如FTP连接、网络上传、网络邮件的发送或网络硬盘的存取等。即使跟客户端计算机200与外界的通讯为通过安全通讯协议(secure socket layer,SSL),由于SSL是数据封包经过通讯槽接口210后再进行加密,故在通讯槽接口210时依然为明文档,故仍可辨识出数据封包的目的。若其目的需加以管制,则阻挡数据封包,使其无法到达外部网络230,反之,则将数据封包传送至网络适配卡215,借以抵达外部网络230。
于一较佳实施例中,分析单元265的目的管制条件为预先设置的条件,但亦可由被授权人员(authorized personnel),如企业的管理信息系统(ManagementInformation System,MIS)人员,亦或是公司主管视情况加以变更。
参照图5,其为根据本发明另一实施例的客户端网页浏览控管系统的示意图。在此实施例中,还加入了一记录单元270及一报表单元275。记录单元270耦合至分析单元265,而报表单元275则耦合至记录单元270以及客户端计算机200。当分析单元265完成数据封包的辨识时,不论数据封包的目的是否需要加以管制,记录单元270将记录数据封包的网络活动(web activity)。而经记录的网络活动将通过报表单元275汇整成网页浏览报表并传送至客户端计算机200,以利MIS人员或是主管检视客户端计算机200的网页浏览记录。
于一实施例中,客户端计算机200包含设置于公司办公室内的台式机,以及方便携带的笔记本型计算机。于较佳实施例中,客户端计算机200外接的以太网络适配卡包含10Mbps、100Mbps、1Gbps或10Gbps等以太网络适配卡;外接的无线网络适配卡包含802.11a、802.11b、802.11g或802.11n等无线网络适配卡;而外接的移动网络适配卡则包含GPRS(General Packet Radio Service,通用分组无线服务)、EDGE(Enhanced Data Rate for GSM Evolution,增强型数据速率GSM演进)、UMTS(Universal Mobile Telecommunications System,通用移动通信系统)、HSDPA(High Speed Downlink PacketAccess,高速下行链路分组接入)或HSUPA(high speed uplink packet access,高速上行链路分组接入)等移动网络适配卡。
参照图6,其为根据本发明一实施例的客户端网页浏览控管方法的流程图。如图所示,欲于客户端进行网页浏览控管时,需先于客户端的通讯槽接口上安装一挂接程序(S302)。而当此通讯槽接口收到来自一应用程序欲传送至一网络接口以抵达外部网络时,挂接程序将通知并加载一LSP程序(S304)。接着,利用LSP程序拦截数据封包(S306)。之后利用一分析单元分析数据封包的标头,进而辨识其目的(S308)。最后,判断数据封包的目的是否需要加以管制(S310),若需管制则阻挡数据封包,使其无法到达外部网络(S312),反之,则将数据封包传送至网络接口,借以抵达外部网络(S314)。
综上所言,本发明的客户端网页浏览控管系统与方法可无视于客户端的网络连接方式有效控管客户端的网络活动,进而有效防止客户端流出企业的机密信息。
本发明并未局限于此处所描述的特定细节特征。在本发明的精神与范畴下,其与先前描述与附图相关的许多不同的发明变更是可被允许的。因此,本发明将由权利要求书来定义涵括其所可能的修改与变更,而非由上方的描述来界定本发明的范畴。
Claims (10)
1.一种客户端网页浏览控管系统,其特征在于,包含:
至少一客户端计算机,该客户端计算机包含至少一应用程序、一通讯槽接口及至少一网络适配卡,其中该应用程序可通过该通讯槽接口将数据封包传送至该网络适配卡,并借由该网络适配卡与外部网络连接;以及
一网页控管模块,耦合至该客户端计算机,该网页控管模块包含一挂接单元、一分层服务提供LSP单元及一分析单元,其中该挂接单元耦合至该客户端计算机的该通讯槽接口,该LSP单元耦合至该挂接单元,而该分析单元耦合至该LSP单元;
其中当该通讯槽接口收到该数据封包时,该挂接单元将通知并加载该LSP单元,以拦截该数据封包,接着该分析单元将分析该数据封包的标头,以辨识该数据封包的目的,若该目的需加以管制,则阻挡该数据封包,反之,则将该数据封包传送至该网络适配卡。
2.如权利要求1所述的客户端网页浏览控管系统,其特征在于,其中该网页控管模块还包含一记录单元与一报表单元;记录单元耦合至该分析单元,用以记录各个该数据封包的网络活动;而报表单元耦合至该记录单元,用以将该各个该数据封包的该网络活动汇整成一报表并传送至该客户端计算机。
3.如权利要求1所述的客户端网页浏览控管系统,其特征在于,其中该客户端计算机包含台式机或笔记本型计算机。
4.如权利要求1所述的客户端网页浏览控管系统,其特征在于,其中该应用程序为一网页浏览器,包含IE、Firefox或Mozilla。
5.如权利要求1所述的客户端网页浏览控管系统,其特征在于,其中该网络适配卡包含以太网络适配卡、无线网络适配卡或移动网络适配卡;其中该以太网络适配卡包含10Mbps、100Mbps、1Gbps或10Gbps以太网络适配卡;该无线网络适配卡包含802.11a、802.11b、802.11g或802.11n无线网络适配卡;该移动网络适配卡包含GPRS、EDGE、UMTS、HSDPA或HSUPA移动网络适配卡。
6.一种客户端网页浏览控管方法,其特征在于,该方法至少包含下列步骤:
于一客户端的通讯槽接口上安装一挂接程序;
当该通讯槽接口收到来自一应用程序欲传送至一网络接口的数据封包时,该挂接程序将通知并加载一分层服务提供LSP程序;
利用该LSP程序拦截该数据封包;
利用一分析单元分析该数据封包的标头,以辨识该数据封包的目的;以及
判断该目的是否需要管制,若该目的需加以管制,则阻挡该数据封包,反之,则将该数据封包传送至该网络接口。
7.如权利要求6所述的客户端网页浏览控管方法,其特征在于,还包含利用一记录单元记录各个该数据封包的网络活动的步骤;同时亦包含利用一报表单元将该各个该数据封包的该网络活动汇整成一报表并传送至该客户端的步骤。
8.如权利要求6所述的客户端网页浏览控管方法,其特征在于,其中该客户端为台式机或笔记本型计算机。
9.如权利要求6所述的客户端网页浏览控管方法,其特征在于,其中该应用程序为一网页浏览器,包含IE、Firefox或Mozilla。
10.如权利要求6所述的客户端网页浏览控管方法,其特征在于,其中该网络接口包含以太网络接口、无线网络接口或移动网络接口;其中该以太网络接口包含10Mbps、100Mbps、1Gbps或10Gbps以太网络接口;该无线网络接口包含802.11a、802.11b、802.11g或802.11n无线网络接口;该移动网络接口包含GPRS、EDGE、UMTS、HSDPA或HSUPA移动网络接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910157879XA CN101945084A (zh) | 2009-07-09 | 2009-07-09 | 客户端网页浏览控管系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910157879XA CN101945084A (zh) | 2009-07-09 | 2009-07-09 | 客户端网页浏览控管系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101945084A true CN101945084A (zh) | 2011-01-12 |
Family
ID=43436858
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910157879XA Pending CN101945084A (zh) | 2009-07-09 | 2009-07-09 | 客户端网页浏览控管系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101945084A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016086766A1 (zh) * | 2014-12-05 | 2016-06-09 | 北京奇虎科技有限公司 | 浏览器防注入的方法、浏览器客户端和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1147738A (zh) * | 1996-09-02 | 1997-04-16 | 北京天融信技贸有限责任公司 | 防火墙系统 |
| CN101064878A (zh) * | 2006-04-24 | 2007-10-31 | 华为技术有限公司 | 一种实现内容过滤的移动终端、系统、网络实体及方法 |
| CN101247346A (zh) * | 2008-04-01 | 2008-08-20 | 陈世杰 | 一种基于网关模式对局域网数据报文进行控制的方法 |
| EP1962197A1 (en) * | 2005-12-15 | 2008-08-27 | Netstar, Inc. | Web access monitoring method and its program |
| CN101326529A (zh) * | 2005-12-15 | 2008-12-17 | 网星株式会社 | 不当通信程序的限制系统及其程序 |
-
2009
- 2009-07-09 CN CN200910157879XA patent/CN101945084A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1147738A (zh) * | 1996-09-02 | 1997-04-16 | 北京天融信技贸有限责任公司 | 防火墙系统 |
| EP1962197A1 (en) * | 2005-12-15 | 2008-08-27 | Netstar, Inc. | Web access monitoring method and its program |
| CN101326529A (zh) * | 2005-12-15 | 2008-12-17 | 网星株式会社 | 不当通信程序的限制系统及其程序 |
| CN101064878A (zh) * | 2006-04-24 | 2007-10-31 | 华为技术有限公司 | 一种实现内容过滤的移动终端、系统、网络实体及方法 |
| CN101247346A (zh) * | 2008-04-01 | 2008-08-20 | 陈世杰 | 一种基于网关模式对局域网数据报文进行控制的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016086766A1 (zh) * | 2014-12-05 | 2016-06-09 | 北京奇虎科技有限公司 | 浏览器防注入的方法、浏览器客户端和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102724189B (zh) | 一种控制用户url访问的方法及装置 | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| AU2020217317B2 (en) | Tunneled monitoring service and methods | |
| CN111931239A (zh) | 一种数据库安全防护用数据防泄漏系统 | |
| KR100773416B1 (ko) | P2p 및 인스턴트 메신저의 네트워크 트래픽 제어 방법및 시스템 | |
| CN101945084A (zh) | 客户端网页浏览控管系统及方法 | |
| KR101017015B1 (ko) | 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법 | |
| CN201821376U (zh) | 一种全局的网络访问控制装置和网络设备 | |
| CN103368858A (zh) | 多策略组合加载的流量清洗方法及装置 | |
| CN103139056A (zh) | 一种安全网关及一种网络数据的交互方法 | |
| CN203164961U (zh) | 一种安全移动存储设备 | |
| TWI489310B (zh) | 客戶端網頁瀏覽控管系統及方法 | |
| US20070174501A1 (en) | System and method for managing a data transfer channel between communication devices | |
| Yina | Discussion on computer network security technology and firewall technology | |
| CN211207239U (zh) | 一种基于可信网络的新能源远程维护操作站 | |
| CN101330377B (zh) | 机密邮件的传送方法 | |
| CN111680319A (zh) | 一种分布式设备信息采集系统和方法 | |
| CN205071043U (zh) | 基于电子商务平台应用的网络安全系统 | |
| CN202535368U (zh) | 千兆物理隔离装置双机热备 | |
| CN102195780A (zh) | 电子钥匙系统 | |
| CN207339911U (zh) | 一种客户隐私数据流转管控系统 | |
| CN116318868A (zh) | 一种跨浏览器的票据漫游方法 | |
| TWI233014B (en) | A method for examining abnormal situations of client computers in an enterprise | |
| CN103744992A (zh) | 一种用于访问计算机文件内容的控制方法及系统 | |
| CN203027275U (zh) | 一种用户端网页浏览管控路由器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110112 |