CN102509057A - 基于标记的非结构化数据安全过滤方法 - Google Patents

基于标记的非结构化数据安全过滤方法 Download PDF

Info

Publication number
CN102509057A
CN102509057A CN201110316665XA CN201110316665A CN102509057A CN 102509057 A CN102509057 A CN 102509057A CN 201110316665X A CN201110316665X A CN 201110316665XA CN 201110316665 A CN201110316665 A CN 201110316665A CN 102509057 A CN102509057 A CN 102509057A
Authority
CN
China
Prior art keywords
document
mark
information
user
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201110316665XA
Other languages
English (en)
Other versions
CN102509057B (zh
Inventor
汪晨
林为民
张涛
邓松
时坚
李伟伟
周诚
秦昊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Electric Power Research Institute
Original Assignee
State Grid Electric Power Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Electric Power Research Institute filed Critical State Grid Electric Power Research Institute
Priority to CN201110316665.XA priority Critical patent/CN102509057B/zh
Publication of CN102509057A publication Critical patent/CN102509057A/zh
Application granted granted Critical
Publication of CN102509057B publication Critical patent/CN102509057B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

基于标记的非结构化数据的安全过滤方法是一种为了保证非结构化数据在网络传输,特别是在不同安全级别的网络间传输过程时的正确、安全和可靠的一种新方法,它主要有标记客户端、标记服务器、标记过滤器和日志系统组成,此外,还需要服务器管理员的参与。通过用户和管理人员的介入,对文档事先进行划分类,并按策略规则对用户访问分类文档进行权限控制。用户在传输非结构化数据时,通过为文档添加标记信息;当文档通过标记过滤器,即通过不同安全级别的网关时,标记过滤器通过标记信息对文档进行过滤,并严格记录下文档在标记过滤器中被处理的日志信息,以用于事后审计或审核使用,从而保证能够规范用户在为文档做标记时行为的正确与规范性。

Description

基于标记的非结构化数据安全过滤方法
技术领域
本发明是一种数据信息安全过滤方法,主要用于解决不同信息安全级别网络间通信过程中的非结构化数据安全过滤问题,属于信息安全软件领域。
背景技术
随着社会信息化建设的日益完善,企业也逐步实现办公运营的信息化和数字化,为了能够更好将用户信息与企业内部信息结合,企业不仅仅有自己的内部网络,而且内部网络开始逐渐向英特网开放,随之带来的就是安全问题。
在不同安全域的网络信息交互过程中,信息从一个安全域网络到另一个安全域网络,对信息进行过滤是有必要的。当从低安全级别网络传递信息到高安全级别网络时,传递信息的安全性(信息携带病毒,木马等)为考虑的关键点。而对于从高安全级别网络传递信息到低安全级别网络时,信息的防泄漏(文档的密级程度)为考虑的关键点;此外,对于不健康的信息,所有的网络都需要对它们进行过滤。
目前在网络传输过程中,对于结构化的数据,它们具有良好的结构信息,通过程序能够直接访问到结构化数据的内容信息。因此,网络交换设备(网关,网闸等)能够直接访问结构化数据的内容并对其进行过滤。而对于非结构化数据,如Word文档,PDF文档,图像文档等,它们没有很好的结构化信息,网络交换设备如何很好对它们进行过滤,甚至于统一的进行内容过滤分析是当前过滤设备的一大挑战。
为了解决目前网络交换设备不能够对非结构化数据的内容过滤问题,本专利提出基于标记的非结构化数据的安全过滤方法。它通过对各种文档进行分类描述、为文档添加关键字信息和设置用户对分类文档的访问权限来限制用户对文档的传送和访问。这样,用户在传递文档时,为文档打上标记信息(标记信息包括对文档选择分类描述信息,为文档添加关键字,附带上用户信息),文档传递到过滤器时,过滤器依据用户与文档之间的关系,以及用户为文档添加的关键字来对文档进行过滤。为了保证用户不能够随意选择文档的分类信息与添加关键字,过滤器需要有统计日志信息,日志信息中包含有用户信息,以便事后审计。
 基于标记的非结构化数据的安全过滤方法通过用户对文档进行打标记信息,用户对分类文档的访问控制权限来保证文档是否能够通过过滤器。这种方法的好处在于,对于非结构化的文档,不论是Word文档,还是图像文档,都可以统一进行处理(打标记)。引入管理策略,通过规范用户对文档选择分类信息与添加关键词来保证文档内容与标记的关系,从而保证过滤器表面上过滤的是文档标记信息,实际过滤的是文档的核心内容。
发明内容
本发明的目的为提供一种新的非结构化数据安全过滤方法,来解决非结构化数据在不同安全级别网络数据交换过程中的过滤问题,本机制是一种策略性方法,通过使用本方法可以使得非结构化数据能够安全的在不同级别的网络间进行数据交换,从而保证数据不会被泄漏,也不会被随意传送。
本发明的方法是一种策略性的方法,通过在传送的非结构化数据的文档中做标记信息,使得数据源、数据目的地和数据内容都在可控范围之内,从而解决非结构化数据在传输过程中能够安全,可靠的进行交换,从而保证安全数据不会被泄漏和随意传送。
一、体系结构
图1给出了基于标记的非结构化数据安全过滤结构图,它主要包括四个部分:标记客户端、标记服务器、标记过滤器(实际对非结构化文档进行安全过滤)、日志系统。标记客户端为文档做标记操作,标记服务端保存有用户、文档分类和用户对文档访问权限等通过标记来识别的信息;标记过滤器通过提取标记信息与标记服务器上的信息进行判断比较,从而对文档进行安全过滤;日志系统是对过滤器操作过程的过程备份,从而作为事后处理分析依据。
下面给出具体介绍:
标记客户端:标记客户端通过用户登陆标记系统,获得文档分类信息,并选择文档所属分类;然后将用户信息、文档摘要、文档关键字(用户提供)与文档分类信息通过标记(包含标记摘要)添加到文档中。为了保证用户和服务器的身份正确性,在文档传递过程之前客户端需要服务器进行身份认证;为了保证标记的安全性,标记信息需要加密后添加到文档中。
标记服务器:标记服务器是一个信息仓库,它保存有文档分类信息,信息安全关键字,用户信息,以及用户对文档的访问权限信息。此外,它还提供用户注册,文档分类管理,用户对文档访问权限申请与管理功能。
标记过滤器:随着计算机的计算能力的增强以及网络吞吐量的加大,网络信息安全问题也越来越严重。对于大的企业都具有自己的企业内部网络,企业内部网络的安全级别一般都很高,为了更好的服务于公众,企业会在内部网与英特网之间开通连接关系。但这样会带来信息的安全性问题:随意的文档在网络间传送,企业内部的安全文档可能会通过连接漏洞到英特网。标记过滤器存放于网络边界上(网关或路由器等),通过网络获取交换的非结构化文档,并解析文档。在解析文档信息过程中,先从文档中提取标记信息,验证标记信息是否被篡改,以确保后标记信息的正确性;验证用户信息,以确保发送文档的用户真实性(对客户端的身份认证);验证文档的摘要,以确保文档没有被篡改;通过标记服务器验证文档分类信息的正确性和用户对文档的访问权限;解析文档的关键字信息,通过对关键字的分析,对文档进行过滤,并提供智能的关键字库生成功能。通过判断分析信息结果,来确保文档被过滤器拦截而不允许其从高安全级别的网络传送到低安全级别的网络,同时还能够保证低级别的网络不会随意传送文档到内部网络。标记过滤器还需要将处理过程记录到日志系统,为审计服务器提供取证条件。
日志系统:日志系统的目的是为了定时定量分析在文档传递过程中存在的问题,方便事后统计,且能起到规范和监督作用。一旦在出现事故后,还能够追究事故责任到人。
二、方法流程
    1、标记客户端
基于标记的非结构化数据过滤首先需要保证数据源的身份,为每份传送过程的文档附带上为文档打标记的用户信息,不仅能够知道文档的源,而且起到一个规范与监督作用,因为标记过滤器会将用户信息与文档信息记录到日志系统,一旦出现问题,能够将责任追究到用户。
为了方便过滤器对文档进行智能过滤,文档分类和用户对分类文档的访问权限需有事先的设定规则,为了更加精确的对文档进行过滤,有必要添加文档的关键字描述。
标记客户的操作过程如下:
(1)用户登陆,包含有对服务器的身份认证过程(使用                                                
Figure 440013DEST_PATH_IMAGE001
表示用户信息);
(2)选择文档
Figure 530329DEST_PATH_IMAGE002
(3)生成文档摘要
(4)从标记服务器获得文档分类信息
Figure 980213DEST_PATH_IMAGE004
,并选择文档具体分类的ID:
Figure 614457DEST_PATH_IMAGE005
(5)选择文档关键字
Figure 180567DEST_PATH_IMAGE006
(6)产生标记
Figure 544553DEST_PATH_IMAGE007
生成标记有两个过程:首先生成初始标记
Figure 170706DEST_PATH_IMAGE008
Figure 292246DEST_PATH_IMAGE009
不带有标记的摘要信息(有保存标记摘要信息位置但为初始值);
计算
Figure 973632DEST_PATH_IMAGE009
的摘要,再生成标记
Figure 989178DEST_PATH_IMAGE011
生成的标记
Figure 598014DEST_PATH_IMAGE007
包含有用户信息,文档分类信息,文档关键字,文档摘要,标记摘要(标记需要加密);
(7)将添加到
Figure 329658DEST_PATH_IMAGE002
中,最终得到带标记信息的文档
Figure 297614DEST_PATH_IMAGE012
、标记服务器
为了保证标记过滤器能够正确、可靠的对非结构化数据进行过滤,需要有信息库来支持。标记服务器的功能就是一个保存信息的库。
标记服务器中保存有标记相关的信息:用户信息
Figure 393746DEST_PATH_IMAGE001
,文档分类信息
Figure 167667DEST_PATH_IMAGE004
,关键字和用户对分类文档的访问权限信息
Figure 480367DEST_PATH_IMAGE013
 
Figure 63795DEST_PATH_IMAGE001
Figure 579090DEST_PATH_IMAGE014
Figure 361101DEST_PATH_IMAGE015
Figure 670859DEST_PATH_IMAGE016
):用户信息有三个域,
Figure 741584DEST_PATH_IMAGE014
为用户的ID;
Figure 608040DEST_PATH_IMAGE015
为用户名;
Figure 447820DEST_PATH_IMAGE016
为用户密码。
Figure 548817DEST_PATH_IMAGE005
,
Figure 451920DEST_PATH_IMAGE015
,
Figure 146206DEST_PATH_IMAGE017
):文档分类有三个域,
Figure 63347DEST_PATH_IMAGE005
为文档分类ID;
Figure 905401DEST_PATH_IMAGE015
为文档分类名;
Figure 300610DEST_PATH_IMAGE017
为分类描述信息。
Figure 114982DEST_PATH_IMAGE013
Figure 750494DEST_PATH_IMAGE014
,
Figure 17527DEST_PATH_IMAGE005
,
Figure 216427DEST_PATH_IMAGE018
):访问权限有三个域,
Figure 947623DEST_PATH_IMAGE014
为用户ID,它与
Figure 940987DEST_PATH_IMAGE001
中的
Figure 695316DEST_PATH_IMAGE014
对应;
Figure 746842DEST_PATH_IMAGE005
为文档ID,它与中的
Figure 762389DEST_PATH_IMAGE005
对应;
Figure 4014DEST_PATH_IMAGE018
描述ID为
Figure 279138DEST_PATH_IMAGE014
的用户对ID为
Figure 735658DEST_PATH_IMAGE005
的文档的访问权限。
Figure 799746DEST_PATH_IMAGE019
):仅有关键字域
Figure 940877DEST_PATH_IMAGE019
、标记过滤器
标记过滤器是整个过程中最为核心部分。标记过滤器通过对提取的文档的标记信息进行分析,从而达到对文档及文档源的分析,因为文档的标记信息,记录有文档分类信息,关键字信息,文档来源的用户信息,以及文档和标记的摘要信息。
标记过滤器通过获得文档,提取文档标记,分析文档标记,记录日志,最终给出文档是否被过滤。其中,分析文档标记为最关键的步骤,它涉及到访问标记服务器的操作,及对文档的过滤结果。
标记过滤的过程如下:
 (1)从网络获取带标记的文档
Figure 438855DEST_PATH_IMAGE012
(2)分离文档与文档标记:分析文档,分离出L和
Figure 522086DEST_PATH_IMAGE002
(3)判断标记是否被篡改:
提取标记摘要
Figure 472724DEST_PATH_IMAGE010
Figure 417547DEST_PATH_IMAGE020
并将
Figure 770031DEST_PATH_IMAGE007
中的标记摘要位置设初值,得到
Figure 712579DEST_PATH_IMAGE009
;计算
Figure 963563DEST_PATH_IMAGE009
的摘要,比较
Figure 341171DEST_PATH_IMAGE021
,若相等,则到下一步,否则,到最后一步。
(4)用户身份认证:
提取用户信息
Figure 266401DEST_PATH_IMAGE001
,将
Figure 490709DEST_PATH_IMAGE001
中的
Figure 614523DEST_PATH_IMAGE014
Figure 898874DEST_PATH_IMAGE016
与标记服务器中的
Figure 311401DEST_PATH_IMAGE001
进行比较分析,如果标记服务器中存在
Figure 152449DEST_PATH_IMAGE014
且其密码为
Figure 334032DEST_PATH_IMAGE016
,则到下一步,否则,到最后一步。
(5)判断文档是否被篡改:
提取文档摘要
Figure 523704DEST_PATH_IMAGE003
,计算文档
Figure 485844DEST_PATH_IMAGE002
的摘要
Figure 51955DEST_PATH_IMAGE022
,比较
Figure 665208DEST_PATH_IMAGE003
Figure 25782DEST_PATH_IMAGE022
,若相等,下一步,否则,到最后一步。
(6)通过文档分类对文档进行过滤:
 a)提取文档分类ID:
Figure 412901DEST_PATH_IMAGE005
,并与标记服务器中
Figure 845019DEST_PATH_IMAGE004
进行匹配;
b)如果
Figure 735615DEST_PATH_IMAGE023
,到最后一步,否则继续;
c)提取用户ID:
d)访问标记服务器的访问控制列表
Figure 954555DEST_PATH_IMAGE013
,如果满足
Figure 128047DEST_PATH_IMAGE024
,提取
Figure 138728DEST_PATH_IMAGE018
,否则,转到最后一步;
e)通过判断用户对文档分类的访问权限
Figure 169001DEST_PATH_IMAGE018
决定过滤器对文档的过滤结果(访问权限在实现时可以很灵活的由标记服务器的管理员和设计人员来控制)。如
Figure 265133DEST_PATH_IMAGE018
能够描述用户权限不够,则到最后一步;否则继续;
(7)通过文档关键字对文档进行过滤:
提取文档关键字
Figure 976737DEST_PATH_IMAGE006
,并与标记服务器中的关键字
Figure 156439DEST_PATH_IMAGE006
比较,如果不匹配,下一步,否则,到最后一步;
(8)记录文档允许通过过滤器的日志信息;
(9)记录文档不允许通过过滤器的日志信息。
、日志系统
记录日志的目的是为了审计的需求,而审计的目的在于统计文档安全过滤的情况。在正常情况下,审计可以发现安全问题,在出现安全事件后,审计可以将安全问题追踪定位到源。这样不仅能够发现安全问题,而且结合人员管理来规范发送文档人员的操作。首先能够保证文档在源头的安全性。
通过日志信息,分析发现文档被过滤掉的原因:
a)文档标记被篡改;
b)用户非法(可能用户信息被篡改);
c)文档被篡改;
d)用户访问文档的访问权限不够;
e)文档关键字显示文档内容有安全问题。
本发明方法提出了一种基于标记的非结构化数据安全过滤方法,主要解决用户在网络上传递非结构化数据时,能够在不同安全级别的网络间将数据进行过滤。由于当前非结构化的内容过滤技术并不能解决非结构化问题,基于标记的技术是通过对文档从源到过滤器之间各个过程的安全来保证文档没有出现安全问题。从而保证非结构化数据在传输过程中的安全问题。
下面给出具体的说明。
标记服务器通过保存标记相关用户,文档分类,关键字及用户访问文档权限的信息,从而为标记客户端和标记过滤器提供支持。标记服务器中的关键字信息
Figure 295297DEST_PATH_IMAGE006
需要管理员或相关设计人员通过长期针对网络上安全过滤的关键字信息进行搜集整理,并最终确定关键字信息。文档分类信息
Figure 941042DEST_PATH_IMAGE004
需要管理员或相关设计人员针对非结构化数据文档和安全过滤文档的内容、性质、用途等多个方面进行分析,对文档对行详细的分类描述。用户信息
Figure 190757DEST_PATH_IMAGE001
需要用户提出注册申请,管理员需要对用户进行审核,并对用户设定访问分类文档的初始权限
Figure 176031DEST_PATH_IMAGE013
。随着用户级别,信誉度等的提高,会对用户的权限做调整。
标记过滤器首先获得带标记的非结构化数据文档
Figure 298839DEST_PATH_IMAGE012
,通过标记解析器分离出标记信息
Figure 369563DEST_PATH_IMAGE007
与文档信息
Figure 422970DEST_PATH_IMAGE002
。为了确定标记自己的安全性,需要判断标记摘要。为了确保发送文档的用户身份,需要从
Figure 325067DEST_PATH_IMAGE007
中提取出用户信息
Figure 805726DEST_PATH_IMAGE001
,并对用户进行身份认证。用户身份认证通过后,为了保证
Figure 409752DEST_PATH_IMAGE002
在传输过程中没有被第三方修改,需要判断
Figure 266850DEST_PATH_IMAGE002
的摘要信息是否会修改。摘要信息对比正确后,标记过滤器对用户与文档分类信息的访问权限做过滤处理。最后,通过文档的关键字进行文档进行过滤处理。在标记过滤器处理过程中,任何一步都要做日志记录。
附图说明
图1是基于标记的非结构化数据安全过滤系统的组成结构图,主要包括:标记客户端,标记服务器,标记过滤器,日志系统;
图2是参考体系结构示意图。表示本发明方法包括的组件;
图3是本发明方法的流程示意图。
具体实施方式
为了方便描述,我们假设有如下应用实例:
某企业具有内部安全级别高的网络,了为服务客户,需要将内部网络与安全级别低的英特网相连。在连接内部网络与外部网络的网关处,布置标记过滤器和标记服务器,内部和外部用户在传非结构化文档前,使用标记客户端对文档做标记,然后发送。文档在穿过内外网连接处时,会被标记过滤器截获,且标记过滤器会对文档进行过滤处理。假定应用场景为用户将非结构化数据文档从安全级别高的内部网络传递到安全级别低的英特网上,其具体的实施方案为:
标记服务器:
设计好文档分类信息、关键字信息、及管理用户注册信息与用户对分类文档的访问控制信息。假设标记服务已存在以下信息。
文档分类由绝密,机密和秘密三种分类;即
Figure 961136DEST_PATH_IMAGE004
中有数据
 
Figure 675014DEST_PATH_IMAGE004
(<
Figure 720331DEST_PATH_IMAGE025
,绝密,“”>,<
Figure 115540DEST_PATH_IMAGE026
, 机密,“”>,<
Figure 477382DEST_PATH_IMAGE027
, 秘密,“”>)
存在用户,
Figure 832457DEST_PATH_IMAGE029
 ,即
Figure 93674DEST_PATH_IMAGE001
中有数据
Figure 496974DEST_PATH_IMAGE001
(<
Figure 900509DEST_PATH_IMAGE030
,
Figure 654838DEST_PATH_IMAGE028
,
Figure 391850DEST_PATH_IMAGE031
>,<
Figure 977552DEST_PATH_IMAGE032
,
Figure 407397DEST_PATH_IMAGE029
,
Figure 383443DEST_PATH_IMAGE033
)
访问控制信息
Figure 737195DEST_PATH_IMAGE013
中有
(<
Figure 778149DEST_PATH_IMAGE030
,,N>,<
Figure 585885DEST_PATH_IMAGE030
,
Figure 395447DEST_PATH_IMAGE026
,Y>,<,,Y>,<,
Figure 415039DEST_PATH_IMAGE027
,Y>)
即用户对机密和秘密文件有访问权限,对绝密文件没有访问权限,用户
Figure 608571DEST_PATH_IMAGE029
只有对秘密文件有访问权限。关键字域
Figure 29188DEST_PATH_IMAGE006
Figure 501758DEST_PATH_IMAGE006
(<设计方案>,<内部资料>,<规划>,<蓝图>)。
 标记客户端:
(1)用户打开标记客户端并登陆到标记服务器(假设用户为
Figure 411945DEST_PATH_IMAGE030
);
(2)选择文档,计算文档摘要
(3)获得文档分类信息
Figure 203074DEST_PATH_IMAGE004
,并选择文档分类信息
Figure 487424DEST_PATH_IMAGE005
(假设选择
Figure 962268DEST_PATH_IMAGE026
),添加关键字(假设添加关键字为:“重要发现”,“科学规划”);
(4)计算未带标记摘要的标记,计算标记摘要
Figure 174572DEST_PATH_IMAGE010
,由计算带标记摘要的标记
Figure 738911DEST_PATH_IMAGE007
(5)将
Figure 365065DEST_PATH_IMAGE007
添加到
Figure 63768DEST_PATH_IMAGE002
中生成带标记的文档
Figure 167990DEST_PATH_IMAGE012
,并发送。
标记过滤器:
(1)从网关获得带标记文档
Figure 386482DEST_PATH_IMAGE012
(2)分离
Figure 183537DEST_PATH_IMAGE012
,获得标记
Figure 605422DEST_PATH_IMAGE007
和文档
Figure 778914DEST_PATH_IMAGE002
(3)提取
Figure 789596DEST_PATH_IMAGE007
中的标记摘要
Figure 819869DEST_PATH_IMAGE010
,并计算标记的摘要
Figure 916001DEST_PATH_IMAGE021
,比较
Figure 670680DEST_PATH_IMAGE010
,相等,则下一步,否则记录文档与标记信息的日志,结束;
(4)提取用户
Figure 940305DEST_PATH_IMAGE030
与密码信息
Figure 586050DEST_PATH_IMAGE031
,并从标记服务器中对用户进行身份认证,认证成功,下一步,否则记录文档与标记信息日志,结束;
(5)提取文档摘要
Figure 835765DEST_PATH_IMAGE003
,并计算分离的的摘要
Figure 943847DEST_PATH_IMAGE022
,比较
Figure 14571DEST_PATH_IMAGE003
Figure 67978DEST_PATH_IMAGE022
,相等,下一步,不相等,记录文档与标记信息日志,结束;
(6)提取文档分类信息
Figure 970075DEST_PATH_IMAGE026
,通过标记服务器,能够找到
Figure 450734DEST_PATH_IMAGE030
Figure 54760DEST_PATH_IMAGE026
有访问权限,下一步(假设此步中,标记服务器中没有此记录,则记录文档与标记信息日志,结束);
(7)提取关键字“重要发现”和“科学规划”信息,并与标记服务器中的关键字进行比较,发现“规划”关键字匹配,则记录文档与标记信息日志,结束。如果此步没有关键字匹配,则记录标记与文档信息日志,并标识为成功,结束。
审计服务器
(1)分析日志
(2)找到日志标记为非“成功”的日志
(3)分析被过滤的原因:关键字匹配了,文档内容涉密
(4)通知管理员
此外,管理员还需要花时间对允许通过标记服务器的文档内容做审核。

Claims (1)

1.基于标记的非结构化数据的安全过滤方法,其特征在于,包括以下步骤:
步骤1:用户登陆标记服务器,并对标记服务器进行身份认证,登陆成功,执行下一步,否则,重新执行或用户退出;
步骤2:用户从标记服务器处获得文档分类信息,成功执行下一步,否则,重新获取或用户退出;
步骤3:用户选择要传送的非结构化文档,选择文档的分类信息,计算文档的摘要,为文档添加关键字;
步骤4:生成不带标记摘要信息的标记,并计算标记的摘要,重新生成带标记摘要信息的标记;
步骤5:生成带标记的文档;
步骤6:发送文档,标记客户端结束;
步骤7:标记过滤器收到标记客户端发送过来的文档,获取带标记的文档;
步骤8:分离带标记的文档,生成标记和不带标记的文档;
步骤9:提取标记的摘要;
步骤10:计算分离出来的标记的摘要,并与提取的标记摘要比较,如果相等,下上步,否则,转到20步;
步骤11:提取用户信息;
步骤12:判断用户信息(通过标记服务器对用户进行身份认证),认证通过,下一步,否则,转到20步;
步骤13:提取文档摘要;
步骤14:计算分离出来的文档的摘要,并与提取出来的文档摘要进行比较,相等,则进入下一步,否则,转到20步;
步骤15:提取文档分类信息;
步骤16:判断提取出来的用户是否有权访问提取出来的文档分类(通过标记服务器),如果可以访问,则进入下一步,否则,转到20步;
步骤17:提取关键字信息;
步骤18:匹配提取出来的关键字是否有与标记服务器中的关键字匹配,如果匹配,则转到20步,如不匹配,进入下一步;
步骤19:记录允许文档通过的日志信息,转到21步;
步骤20:记录不允许文档通过的日志信息;
步骤21:标记服务器结束。
CN201110316665.XA 2011-10-18 2011-10-18 基于标记的非结构化数据安全过滤方法 Active CN102509057B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110316665.XA CN102509057B (zh) 2011-10-18 2011-10-18 基于标记的非结构化数据安全过滤方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110316665.XA CN102509057B (zh) 2011-10-18 2011-10-18 基于标记的非结构化数据安全过滤方法

Publications (2)

Publication Number Publication Date
CN102509057A true CN102509057A (zh) 2012-06-20
CN102509057B CN102509057B (zh) 2015-05-13

Family

ID=46221138

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110316665.XA Active CN102509057B (zh) 2011-10-18 2011-10-18 基于标记的非结构化数据安全过滤方法

Country Status (1)

Country Link
CN (1) CN102509057B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103116620A (zh) * 2013-01-29 2013-05-22 中国电力科学研究院 基于策略的非结构化数据安全过滤方法
CN105393524A (zh) * 2013-05-03 2016-03-09 思杰系统有限公司 图像分析和管理
CN105940410A (zh) * 2014-01-30 2016-09-14 微软技术许可有限责任公司 用于去除个人可识别信息的清理器
CN106682527A (zh) * 2016-12-25 2017-05-17 北京明朝万达科技股份有限公司 一种基于数据分类分级的数据安全管控方法及系统
CN112860637A (zh) * 2021-02-05 2021-05-28 广州海量数据库技术有限公司 一种基于审计策略来处理日志的方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1411199A (zh) * 2002-11-07 2003-04-16 上海交通大学 基于数字标签的内容安全监控系统及方法
CN1758585A (zh) * 2004-10-10 2006-04-12 北京华旗数码影像技术研究院有限责任公司 数字水印认证签章的方法
CN101895578A (zh) * 2010-07-06 2010-11-24 国都兴业信息审计系统技术(北京)有限公司 基于综合安全审计的文档监控管理系统
CN101980240A (zh) * 2010-11-19 2011-02-23 北京巨网汇通信息技术有限公司 防止数据被盗的方法及设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1411199A (zh) * 2002-11-07 2003-04-16 上海交通大学 基于数字标签的内容安全监控系统及方法
CN1758585A (zh) * 2004-10-10 2006-04-12 北京华旗数码影像技术研究院有限责任公司 数字水印认证签章的方法
CN101895578A (zh) * 2010-07-06 2010-11-24 国都兴业信息审计系统技术(北京)有限公司 基于综合安全审计的文档监控管理系统
CN101980240A (zh) * 2010-11-19 2011-02-23 北京巨网汇通信息技术有限公司 防止数据被盗的方法及设备

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103116620A (zh) * 2013-01-29 2013-05-22 中国电力科学研究院 基于策略的非结构化数据安全过滤方法
CN103116620B (zh) * 2013-01-29 2016-01-20 国家电网公司 基于策略的非结构化数据安全过滤方法
CN105393524A (zh) * 2013-05-03 2016-03-09 思杰系统有限公司 图像分析和管理
CN105393524B (zh) * 2013-05-03 2019-01-08 思杰系统有限公司 图像分析和管理
CN105940410A (zh) * 2014-01-30 2016-09-14 微软技术许可有限责任公司 用于去除个人可识别信息的清理器
US10223548B2 (en) 2014-01-30 2019-03-05 Microsoft Technology Licensing, Llc Scrubber to remove personally identifiable information
CN105940410B (zh) * 2014-01-30 2019-08-20 微软技术许可有限责任公司 用于去除个人可识别信息的清理器
CN106682527A (zh) * 2016-12-25 2017-05-17 北京明朝万达科技股份有限公司 一种基于数据分类分级的数据安全管控方法及系统
CN106682527B (zh) * 2016-12-25 2019-11-15 北京明朝万达科技股份有限公司 一种基于数据分类分级的数据安全管控方法及系统
CN112860637A (zh) * 2021-02-05 2021-05-28 广州海量数据库技术有限公司 一种基于审计策略来处理日志的方法及系统

Also Published As

Publication number Publication date
CN102509057B (zh) 2015-05-13

Similar Documents

Publication Publication Date Title
Casino et al. Research trends, challenges, and emerging topics in digital forensics: A review of reviews
US11115434B2 (en) Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format
CN107577939B (zh) 一种基于关键字技术的数据防泄漏方法
Burger et al. Taxonomy model for cyber threat intelligence information exchange technologies
JP6527590B2 (ja) オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
CN1965306B (zh) 高性能网络内容分析平台
JP6396623B2 (ja) クラウド・コンピューティング・サービス(ccs)上に保存された企業情報をモニター、コントロール、及び、ドキュメント当たりの暗号化を行うシステム及び方法
US8713688B2 (en) Automated security analysis for federated relationship
Nguyen Duc et al. Identifying security risks of digital transformation-an engineering perspective
CN105138709B (zh) 一种基于物理内存分析的远程取证系统
US20140331338A1 (en) Device and method for preventing confidential data leaks
CN100397814C (zh) 一种基于网络的统一认证方法及系统
CN102509057B (zh) 基于标记的非结构化数据安全过滤方法
CN102394885A (zh) 基于数据流的信息分类防护自动化核查方法
Valjarevic et al. A harmonized process model for digital forensic investigation readiness
CN106941476A (zh) 一种sftp数据采集及审计的方法及系统
CN108390857B (zh) 一种高敏感网络向低敏感网络导出文件的方法和装置
Somepalli et al. Information security management
De et al. A refinement approach for the reuse of privacy risk analysis results
Kumar Guardians of Trust: Navigating Data Security in AIOps through Vendor Partnerships
Nweke et al. A LINDDUN-Based Privacy Threat Modelling for National Identification Systems
CN112100589A (zh) Kyc数字身份管理系统
Karlzén An Analysis of Security Information and Event Management Systems-The Use or SIEMs for Log Collection, Management and Analysis
Wei Enhancing Copyright Protection of Online Literature using Intelligent Decision Support Systems and Blockchain Technology
Özyazıcı Building a security operations center with an enhanced cyber intelligence capability

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant