CN105205403B - 基于文件过滤的管控局域网文件数据的方法、系统 - Google Patents
基于文件过滤的管控局域网文件数据的方法、系统 Download PDFInfo
- Publication number
- CN105205403B CN105205403B CN201510515306.5A CN201510515306A CN105205403B CN 105205403 B CN105205403 B CN 105205403B CN 201510515306 A CN201510515306 A CN 201510515306A CN 105205403 B CN105205403 B CN 105205403B
- Authority
- CN
- China
- Prior art keywords
- file data
- information
- file
- encryption
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了基于文件过滤的管控局域网文件数据的方法和系统,该方法记录第一信息,将文件数据进行加密,并通过文件系统存储加密的文件数据和第一信息;当局域网中的用户访问文件数据时,如果访问所述文件数据的应用程序的特征信息与所述第一信息不一致,则将所述加密的文件数据和所述第一信息返回给访问所述文件数据的应用程序;获取对用于向外部网络发送的加密的文件数据的审计结果;将审计通过的加密的文件数据解密;当局域网中的用户向外部网络发送文件数据时,获取审计通过后解密的文件数据发给外部网络。本申请可以做到在不影响应用程序正常功能的前提下安全管控文件数据。
Description
技术领域
本申请涉及局域网内的文件数据管控技术,尤其涉及基于文件过滤的管控局域网文件数据的方法、基于文件过滤的局域网文件数据管控系统。
背景技术
企业数据的安全性一直是企业关注的问题。企业希望确保企业局域网机密数据不被非法流出,同时又对合法外发数据的发送过程提供审计。
目前较为常用的解决方案是企业防火墙和邮件系统配合的方式,通过企业防火墙关闭特定的网络端口限制邮件系统不能发送附件。但是通过企业防火墙关闭特定的网络端口可能导致合法的局域网数据不能正常外传,比如限制HTTP-POST操作,防止通过网页附件的方式将文件发送到外部服务器,可能会使得很多网页的正常表单数据无法提交,网页正常功能的使用被限制。
发明内容
基于现有技术中的问题,本申请提供一种基于文件过滤的管控局域网文件数据的方法、基于文件过滤的局域网文件数据管控系统。
根据本申请实施例的第一方面,提供一种基于文件过滤的管控局域网文件数据的方法,该方法包括步骤:
记录第一信息,所述第一信息用于描述打开文件数据的应用程序的特征信息;
将文件数据进行加密,并通过文件系统存储加密的文件数据和第一信息;
当局域网中的用户访问文件数据时,如果访问所述文件数据的应用程序的特征信息与所述第一信息不一致,则将所述加密的文件数据和所述第一信息返回给访问所述文件数据的应用程序;
获取对用于向外部网络发送的加密的文件数据的审计结果;将审计通过的加密的文件数据解密;
当局域网中的用户向外部网络发送文件数据时,获取审计通过后解密的文件数据发给外部网络。
本申请的另一方面,提供一种基于文件过滤的局域网文件数据管控系统,包括:局域网客户端和中心服务器;
所述局域网客户端包括:
文件驱动层,用于记录第一信息,所述第一信息用于描述打开文件数据的应用程序的特征信息;将文件数据进行加密,并通过文件系统存储加密的文件数据以及第一信息;当局域网中的用户访问文件数据时,如果访问所述文件数据的应用程序的特征信息与所述第一信息不一致,则将所述加密的文件数据和所述第一信息返回给访问所述文件数据的应用程序;
数据加密层,用于将文件数据加密或将加密的文件数据解密;
通信模块,用于向中心服务器发出审计请求;以及当局域网中的用户向外部网络发送文件数据时,获取审计通过后解密的文件数据发给外部网络;
所述中心服务器,用于获取对用于向外部网络发送的加密的文件数据的审计结果;将审计通过的加密的文件数据解密。
本申请将文件数据以加密的方式在局域网中保存;限制局域网内可以访问加密的文件数据的应用程序的种类;需要发往外部网络的文件数据在审计通过后才可以被解密并发到外部网络;可以做到在不影响应用程序正常功能的前提下安全管控文件数据。
附图说明
图1为本申请实施例中基于文件过滤的管控局域网文件数据的方法流程图;
图2为本申请实施例中一个应用场景下的网络示意图;
图3是本申请实施例中一个应用场景下的网络实体交互的时序图;
图4是本申请实施例中基于文件过滤的管控局域网文件数据的系统的硬件架构图;
图5是本申请实施例中基于文件过滤的管控局域网文件数据的系统的软件逻辑框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请的技术方案可以基于文件过滤技术实现,文件过滤是操作系统中的文件系统的驱动层机制,能过滤对文件系统的访问操作,采用分层的结果,以提供多层过滤,是一些常用的安全应用产品如文件数据的透明加解密,杀毒软件等应用工具的入口。
本申请将文件数据以加密的方式在局域网中传播;允许局域网中的客户端通过特定的应用程序访问加密的文件数据;需要发往外部网络的文件数据在审计通过后才可以被解密并发到外部网络。本申请中所涉及的局域网可以是企业内部各员工所使用的客户端组成的计算机组。
图1是本申请的方法流程图。
S101,记录第一信息,第一信息用于描述打开文件数据的应用程序的特征信息。
为了描述方便,以下将创建文件数据时所使用的应用程序称为宿主程序。
在一个实施例中,当应用程序创建文件数据时,可以将该宿主程序的特征信息作为第一信息进行记录。另外,考虑到兼容性,可以将与宿主程序兼容的应用程序的特征信息也进行记录。例如,如果宿主程序是WORD,第一信息中记录的可以是WORD的特征信息以及与WORD相兼容的应用程序(例如WPS等应用程序)的特征信息。可以通过管理员预先配置好各个应用程序所兼容的应用程序列表,再自动同步给各个局域网客户端软件。
作为一个例子,第一信息可以是应用程序在操作系统注册表中所记载的信息,例如应用程序的安装路径等;也可以是文件的打开进程的所有信息,包括进程名称,应用程序ID等。
作为一个实施例,为了保证安全性,第一信息在被记录后可以不允许被修改。
S102,将文件数据加密;
宿主程序所创建的文件数据以加密的方式保存。一个实施例中,为了能够实现用户在无感知的情况下访问文件数据,整个文件可以包括两部分内容,一部分是加密的文件数据,另一部分可以是一个隐藏的扩展区域,将第一信息存储在加密的文件数据的扩展区域中。
对文件数据加密所采用的加密算法可以依据设计者的需要自行决定,作为一个简化方案,加解密密钥可以是对称密钥,但不排除其他的密钥形式。在一个例子中,加解密的密钥可以通过多种方式获得。例如,可以设计独立于操作系统登录过程的登录流程,负责认证局域网内的用户身份的服务器可以在通过此用户登录时,将加密密钥和解密密钥发给用户登录的局域网客户端。另外,也可以将登录过程和操作系统的桌面登录过程集成,关联到操作系统的域账号,登录成功后返回加密密钥和解密密钥。
S103,将加密的文件数据以及第一信息发给文件系统存储。
文件系统负责将所收到的加密的文件数据以及第一信息存储于物理磁盘,或者在不同的场景下从物理磁盘中读取加密的文件数据或将加密的文件数据连同扩展区域的第一信息一并读取出。
本申请中,在逻辑上,执行步骤S101和S102的程序位于操作系统的文件系统和物理磁盘之上,需要先执行S101和S102后再通过文件系统的驱动将文件数据在物理磁盘中读写。作为一个实施例,当操作系统触发事件时,可以通过操作系统中的钩子“HOOK”函数实现。利用钩子函数,可以捕捉进程中发生的事件,使上述步骤先于文件系统执行;另外,在另一个例子中,可以通过文件过滤驱动框架,即Minifilter,将执行步骤S101和S102的程序附加在文件系统之上的,这种方式可以捕获到比钩子函数的方式更底层的文件操作命令。
S104,当局域网中的用户访问文件数据时,如果访问文件数据的应用程序的特征信息与第一信息不一致,则通知文件系统将加密的文件数据和第一信息返回给访问文件数据的应用程序。
当一个应用程序试图读取某文件数据时,可以根据S101中记录的第一信息判断是不是允许打开文件数据的应用程序,从而决定是否对文件数据进行解密。
在一个实施例中,为了保证局域网中的用户能够共享文件资源,可以根据用户的不同权限,在局域网中的客户端上安装第一信息中所描述的应用程序。当局域网中的用户访问文件数据时,还可以包括以下过程:如果访问文件数据的应用程序的特征信息与第一信息一致,则将加密的文件数据解密,并将解密后的文件数据返回给访问文件数据的应用程序。
例如,如果局域网中的客户端通过第一信息中未记录的应用程序请求打开文件数据,比如通过一个FTP程序来打开一个WORD文档,而FTP的特征信息在第一信息中不存在,则需要通知文件系统将第一信息和加密的文件数据均读取出来,这样FTP程序即使将所获得的文件发送到外部网络,由于文件数据是经过文件创建者的密钥加密的,因此外部网络的接收者也就无法打开正常使用;而如果FTP程序发送给局域网中的其他客户端时,只要是局域网中的客户端安装了第一信息中描述的应用程序,也就能正常使用WORD打开文件并查看编辑了。
通过文件系统保存到物理磁盘的是加密的文件数据。以下说明文件数据的复制和修改。对于修改权限可以根据用户权限自行设置,可以设置成创建者有修改权限或多个用户有修改权限。
对于能够打开加密的文件数据的应用程序(特征信息与第一信息一致),如果可以对解密的文件数据进行修改,对于修改后的文件数据的处理方式与创建文件数据的处理方式相同,即需要将修改后的文件数据作为一个新的文件数据加密后通过文件系统存储于物理磁盘。
如果某个应用程序加密/解密的文件数据进行了复制,生成另一个文件数据,对于新生成的文件数据,也同样需要以加密的方式保存到物理磁盘。例如,如果WPS应用程序在打开一份WORD文件后,另存为文件名为A.WPS的文件,则同样需要对WPS文件加密,以及记载WPS应用软件相关的第一信息。另一种实施例中,如果进行复制操作的应用程序是第一信息里未记载的应用程序时,此时,由于进行复制操作的应用程序是针对加密的文件数据,因此可以不再对新生成的文件数据加密。例如,如果ZIP应用程序压缩文件名为A.doc的加密的WORD文件后,生成A.ZIP文件,无需对A.ZIP文件再次加密。
为了能够辨别需要发给文件系统存储的文件数据是否为加密的文件数据,可以通过在加密算法里加上一些特殊标记,通过这些特殊标记来判断待写入的文件数据是不是加密的,如果未加密,则先进行加密操作;如果是加密的文件数据,则让其直接写入文件系统。
S105,获取对加密的文件数据的审计结果;将审计通过的加密的文件数据解密。
本申请中,对于发往外部网络的文件数据,需要提前经过审计,审计可以通过人工或自动的方式完成。审核规则可以预设,具体的审计规则不在本申请的限定范围之内。作为一个例子,可以根据用户的权限、文件数据所包含的关键字等信息进行审核。审计结果可能是通过审计,也可能是未通过审计,对于审计通过的加密的文件数据会进行解密操作;作为一种实施例,对于审计未通过的加密的文件数据,可以告知请求审计的局域网客户端此加密的文件审计未通过,以便局域网客户端对该文件进行修改等操作。
作为一个例子,可以在局域网的服务器上创建一块公共存储区域(例如共享网盘等),审计通过后解密的文件数据可以存储在这个公共存储区域,并允许局域网客户端以只读方式访问。
另外,对审计通过的加密的文件数据在解密后,还可以记录这个解密的文件数据的日志信息,以方便后续查询。日志信息可以根据需求确定实际记录的内容,例如,可以记录提交审计的请求者标识、日期、用途、文件名称、大小、类型以及存储路径(可以包括记录文件的MD5Hash值,用以确认文件是否一致),还可以记录审批人的标识、提交请求者所属部门等。在一个实施例中,可以设置阈值警告,例如如果没有给予特定权限的账户,不允许发送超过一定尺寸(例如2Mb)的文件,或者限制文件类型。或者,如果有员工周/月提交的文件总数据量超过一定额度(例如200Mb)就发出警告,同时发送警告通知邮件/短信等给管理员、有关领导、该员工的上级领导等。
需要审计的文件数据可以是由局域网客户端发出审计请求,将需要审计的加密的文件数据发给审计方,局域网客户端提交审计请求可以通过多种方式实现,在一个实施例中,可以在操作系统资源管理器的右键菜单中集成提交审计请求的功能,以方便用户操作。其他的方式在此不一一列举。
S106,当局域网中的用户向外部网络发送文件数据时,获取审计通过后解密的文件数据发给外部网络。
作为一个实施例,可以从公共存储区域获取审计通过后的解密的文件数据。对于公共存储区域,可以预先配置对目录下的文件数据的访问权限,例如,可以设置为具有审计权限的账户才可以保存或删除其中的文件数据,对于局域网中的其他用户可以以只读的方式获取文件数据,以保证需要发往外部网络的文件数据及时备案,以及避免被普通用户删除。
图2是本申请的方法所使用的一个应用场景的网络示意图。局域网中包括中心服务器、多台客户端(客户端10,11…14),用户a位于外部网络。中心服务器负责对局域网中的客户端进行身份认证、下发加密/解密密钥以及收到客户端的审计请求后根据预先设置的审计规则自动完成审计。各客户端所依附的终端设备上包括操作系统中的文件系统、物理磁盘,在经过本申请对文件数据的加密过程后,文件系统将加密的文件数据存储于物理磁盘。局域网内的各客户端之间可以通信(图中未示出)。
图3是图2所示的网络环境下文件数据在局域网中传输和发到外部网络的时序图。
S301,客户端10登录时,中心服务器验证客户端10的身份,验证通过后,将加密密钥和解密密钥发给客户端10;
S302,客户端10通过WORD应用程序创建一个WORD文件时,将WORD应用程序在注册表中记录的安装路径作为特征信息记录在第一信息里;
S303客户端10将所创建的WORD文件的文件数据内容通过加密密钥进行加密;
S304,第一信息作为WORD文件的隐藏扩展区域的信息,和加密的文件数据一起发给文件系统;文件系统将加密后的WORD文件(包括扩展区域的第一信息)存储到物理磁盘中;
S305,客户端10通过邮件系统试图访问本机上WORD文件;由于邮件系统的特征信息与记载在WORD文件隐藏扩展区域中的第一信息不一致,因此文件系统从物理磁盘中取出加密的WORD文件(包括扩展区域的第一信息)返回给邮件系统;
S306,客户端10将获取到的加密的WORD文件(包括扩展区域的第一信息)通过邮件系统发给客户端11。
S307,客户端11登录时,中心服务器验证客户端11的身份,验证通过后,将加密密钥和解密密钥发给客户端11;
S308,客户端11在收到客户端10通过邮件系统发送的WORD文件后,试图通过本机所安装的WORD应用程序打开加密的WORD文件;
S309,客户端11判断WORD应用程序与第一信息一致,于是将加密的WORD文件通过解密密钥解密,并将解密后的数据返回给WORD应用程序显示。
S310,客户端11将解密后的WORD文件存储于本地的物理磁盘时,解密后的WORD文件重新被加密,并连同隐藏扩展区域的第一信息一并发给本地的文件系统;
S311,客户端11本地的文件系统将收到的加密的WORD文件存储于本地的物理磁盘。
S312,客户端10需要将所创建的WORD文件发给外部网络的用户a时,通过右键菜单选择“审计”功能,将加密的WORD文件发给中心服务器;
S313,中心服务器根据预定的规则对收到的WORD文件进行审计;
S314,审计通过后,将解密后的WORD文件存储于共享磁盘,记录日志;
S315,客户端10通过共享磁盘的访问路径获取到解密后的WORD文件,
S316,将获取到的未加密的WORD文件发给用户a。
与前述基于文件过滤的管控局域网文件数据的方法的实施例相对应,本申请还提供了基于文件过滤的管控局域网文件数据的系统的实施例。
本申请基于文件过滤的管控局域网文件数据的系统所包含的局域网客户端和中心服务器的实施例可以应用在PC设备上。局域网客户端和中心服务器实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的系统,局域网客户端和中心服务器是通过其所在PC设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请局域网客户端或中心服务器所在PC设备的一种硬件结构图,除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的PC通常根据该PC的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图5,基于文件过滤的局域网文件数据管控系统500,包括:局域网客户端501和中心服务器502;
局域网客户端501包括:
文件驱动层5011,用于用于记录第一信息,所述第一信息用于描述打开文件数据的应用程序的特征信息;将文件数据进行加密,并通过文件系统存储加密的文件数据以及第一信息;当局域网中的用户访问文件数据时,如果访问所述文件数据的应用程序的特征信息与所述第一信息不一致,则将所述加密的文件数据和所述第一信息返回给访问所述文件数据的应用程序;
数据加密层5012,用于将文件数据加密或将加密的文件数据解密;
通信模块5013,用于向中心服务器502发出审计请求;以及当局域网中的用户向外部网络发送文件数据时,获取审计通过后解密的文件数据发给外部网络;
中心服务器502,用于获取对用于向外部网络发送的加密的文件数据的审计结果;将审计通过的加密的文件数据解密。
在一个实施例中,中心服务器502获取的所述审计结果还可以包括审计过程的日志信息。
在一个实施例中,文件驱动层5011还用于当局域网中的用户访问文件数据时,如果访问文件数据的应用程序的特征信息与第一信息一致,则通知数据加密层5012将加密的文件数据解密,并将解密后的文件数据返回给访问文件数据的应用程序。
在一个实施例中,第一信息被记录于加密的文件数据的隐藏扩展区域。
在一个实施例中,审计通过后解密的文件数据存储于公共存储区域,公共存储区域以只读方式挂载在所述局域网客户端501。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种基于文件过滤的管控局域网文件数据的方法,其特征在于,该方法包括步骤:
记录第一信息,所述第一信息用于描述打开文件数据的应用程序的特征信息以及与所述应用程序兼容的应用程序的特征信息;
将文件数据进行加密,并通过文件系统存储加密的文件数据和第一信息;
当局域网中的用户访问文件数据时,如果访问所述文件数据的应用程序的特征信息与所述第一信息不一致,则将所述加密的文件数据和所述第一信息返回给访问所述文件数据的应用程序;
获取对用于向外部网络发送的加密的文件数据的人工或自动的审计结果;将审计通过的加密的文件数据解密;
当局域网中的用户向外部网络发送文件数据时,获取审计通过后解密的文件数据发给外部网络。
2.根据权利要求1所述的方法,其特征在于,
所述审计结果还包括审计过程的日志信息。
3.根据权利要求1所述的方法,其特征在于,还包括步骤:
当局域网中的用户访问文件数据时,如果访问所述文件数据的应用程序的特征信息与所述第一信息一致,则将所述加密的文件数据解密,并将解密后的文件数据返回给访问所述文件数据的应用程序。
4.根据权利要求1所述的方法,其特征在于,所述第一信息被记录于所述加密的文件数据的隐藏扩展区域。
5.根据权利要求1所述的方法,其特征在于,所述审计通过后解密的文件数据存储于公共存储区域,所述公共存储区域以只读方式挂载在所述局域网客户端。
6.一种基于文件过滤的局域网文件数据管控系统,其特征在于,包括:局域网客户端和中心服务器;
所述局域网客户端包括:
文件驱动层,用于记录第一信息,所述第一信息用于描述打开文件数据的应用程序的特征信息以及与所述应用程序兼容的应用程序的特征信息;将文件数据进行加密,并通过文件系统存储加密的文件数据以及第一信息;当局域网中的用户访问文件数据时,如果访问所述文件数据的应用程序的特征信息与所述第一信息不一致,则将所述加密的文件数据和所述第一信息返回给访问所述文件数据的应用程序;
数据加密层,用于将文件数据加密或将加密的文件数据解密;
通信模块,用于向中心服务器发出审计请求;以及当局域网中的用户向外部网络发送文件数据时,获取审计通过后解密的文件数据发给外部网络;
所述中心服务器,用于获取对用于向外部网络发送的加密的文件数据的人工或自动的审计结果;将审计通过的加密的文件数据解密。
7.根据权利要求6所述的管控系统,其特征在于,
所述中心服务器所获取的所述审计结果还包括审计过程的日志信息。
8.根据权利要求6所述的管控系统,其特征在于,所述文件驱动层还用于当局域网中的用户访问文件数据时,如果访问所述文件数据的应用程序的特征信息与所述第一信息一致,则通知数据加密层将所述加密的文件数据解密,并将解密后的文件数据返回给访问所述文件数据的应用程序。
9.根据权利要求6所述的管控系统,其特征在于,所述第一信息被记录于所述加密的文件数据的隐藏扩展区域。
10.根据权利要求6所述的管控系统,所述审计通过后解密的文件数据存储于公共存储区域,所述公共存储区域以只读方式挂载在所述局域网客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510515306.5A CN105205403B (zh) | 2015-08-20 | 2015-08-20 | 基于文件过滤的管控局域网文件数据的方法、系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510515306.5A CN105205403B (zh) | 2015-08-20 | 2015-08-20 | 基于文件过滤的管控局域网文件数据的方法、系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105205403A CN105205403A (zh) | 2015-12-30 |
CN105205403B true CN105205403B (zh) | 2019-02-15 |
Family
ID=54953077
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510515306.5A Active CN105205403B (zh) | 2015-08-20 | 2015-08-20 | 基于文件过滤的管控局域网文件数据的方法、系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105205403B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850560A (zh) * | 2016-12-26 | 2017-06-13 | 沈阳通用软件有限公司 | 一种互联网邮件安全发送及审计的方法 |
WO2018134945A1 (ja) * | 2017-01-19 | 2018-07-26 | 株式会社クリエイターズ・ヘッド | 情報制御プログラム、情報制御システム、及び情報制御方法 |
CN113381908B (zh) * | 2021-06-07 | 2022-07-08 | 展讯半导体(成都)有限公司 | 一种内网信息跨网流转方法、装置和电子设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101110097A (zh) * | 2007-08-17 | 2008-01-23 | 南京新模式软件集成有限公司 | 一种电子文件安全外发的方法 |
CN103390135A (zh) * | 2013-06-24 | 2013-11-13 | 北京素志科技发展有限公司 | 一种文件保护系统及其实现方法 |
CN103617401A (zh) * | 2013-11-25 | 2014-03-05 | 北京深思数盾科技有限公司 | 一种数据文件保护方法及装置 |
CN103824031A (zh) * | 2014-02-28 | 2014-05-28 | 江苏敏捷科技股份有限公司 | 使用电子文件安全标签保证电子文件安全的方法及系统 |
CN104376270A (zh) * | 2013-08-12 | 2015-02-25 | 深圳中兴网信科技有限公司 | 一种文件保护方法及系统 |
CN104680079A (zh) * | 2015-02-04 | 2015-06-03 | 上海信息安全工程技术研究中心 | 一种电子文档安全管理系统及方法 |
-
2015
- 2015-08-20 CN CN201510515306.5A patent/CN105205403B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101110097A (zh) * | 2007-08-17 | 2008-01-23 | 南京新模式软件集成有限公司 | 一种电子文件安全外发的方法 |
CN103390135A (zh) * | 2013-06-24 | 2013-11-13 | 北京素志科技发展有限公司 | 一种文件保护系统及其实现方法 |
CN104376270A (zh) * | 2013-08-12 | 2015-02-25 | 深圳中兴网信科技有限公司 | 一种文件保护方法及系统 |
CN103617401A (zh) * | 2013-11-25 | 2014-03-05 | 北京深思数盾科技有限公司 | 一种数据文件保护方法及装置 |
CN103824031A (zh) * | 2014-02-28 | 2014-05-28 | 江苏敏捷科技股份有限公司 | 使用电子文件安全标签保证电子文件安全的方法及系统 |
CN104680079A (zh) * | 2015-02-04 | 2015-06-03 | 上海信息安全工程技术研究中心 | 一种电子文档安全管理系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105205403A (zh) | 2015-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10367851B2 (en) | System and method for automatic data protection in a computer network | |
US20050114672A1 (en) | Data rights management of digital information in a portable software permission wrapper | |
CN104662870B (zh) | 数据安全管理系统 | |
CN101729550B (zh) | 基于透明加解密的数字内容安全防护系统及加解密方法 | |
US20190205317A1 (en) | Systems and methods for secure storage and retrieval of data objects | |
CN103716354B (zh) | 一种信息系统的安全防护系统和方法 | |
JP4759513B2 (ja) | 動的、分散的および協働的な環境におけるデータオブジェクトの管理 | |
CN109923548A (zh) | 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品 | |
US20130133084A1 (en) | Digital rights management of content when content is a future live event | |
TW201123807A (en) | Verifiable trust for data through wrapper composition | |
JP2003228519A (ja) | デジタル資産にパーベイシブ・セキュリティを提供する方法及びアーキテクチャ | |
JP2009521763A (ja) | コンピュータセッション管理装置およびシステム | |
TW201132097A (en) | Trustworthy extensible markup language for trustworthy computing and data services | |
JP2003228520A (ja) | 保護電子データにオフラインでアクセスする方法及び装置 | |
CN102799539B (zh) | 一种安全优盘及其数据主动防护方法 | |
CN103763313A (zh) | 一种文档保护方法和系统 | |
US11295029B1 (en) | Computer file security using extended metadata | |
CN107370604A (zh) | 一种大数据环境下的多粒度访问控制方法 | |
KR100440037B1 (ko) | 문서보안 시스템 | |
CN105205403B (zh) | 基于文件过滤的管控局域网文件数据的方法、系统 | |
US10726104B2 (en) | Secure document management | |
US8321915B1 (en) | Control of access to mass storage system | |
JP6729013B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
US8296826B1 (en) | Secure transfer of files | |
CN101132275A (zh) | 一种实现数字内容使用权利的安全保护系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |