CN105512565A - 一种防止电子文件泄漏的方法及服务器 - Google Patents
一种防止电子文件泄漏的方法及服务器 Download PDFInfo
- Publication number
- CN105512565A CN105512565A CN201510848983.9A CN201510848983A CN105512565A CN 105512565 A CN105512565 A CN 105512565A CN 201510848983 A CN201510848983 A CN 201510848983A CN 105512565 A CN105512565 A CN 105512565A
- Authority
- CN
- China
- Prior art keywords
- file
- outgoing
- strategy
- electronic file
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种防止电子文件泄露的方法及服务器,在服务器端引入数据防泄漏组件,所述数据防泄漏组件包括对存储在服务器端的待保护的电子文件设置的外发控制策略和权限控制策略,方法还包括:获取目标用户对目标电子文件的外发操作;根据所述权限控制策略确定所述目标用户是否具有对所述目标电子文件执行所述外发操作的权限,并根据确定结果以及所述外发控制策略,对所述外发操作进行响应。根据本方案,可以防止电子文件的泄漏,提高电子文件的安全性。
Description
技术领域
本发明涉及数据安全技术领域,特别涉及一种防止电子文件泄露的方法及服务器。
背景技术
随着计算机技术的飞速发展,逐渐给电子文件的存储带来了方便,企业可以将业务数据通过电子文件的形式存储到计算机、云端服务器等终端设备上。然而,电子文件作为承载企业安全信息的媒介,其安全性要求及其重要,因此,急需提供一种防止电子文件泄露的方法。
发明内容
有鉴于此,本发明提供一种防止电子文件泄露的方法及服务器,以防止电子文件的数据泄漏,保证电子文件的安全。
第一方面,本发明提供了一种防止电子文件泄露的方法,应用于服务器端,在所述服务器端引入数据防泄漏组件,所述数据防泄漏组件包括对存储在服务器端的待保护的电子文件设置的外发控制策略和权限控制策略,所述方法还包括:
获取目标用户对目标电子文件的外发操作;
根据所述权限控制策略确定所述目标用户是否具有对所述目标电子文件执行所述外发操作的权限,并根据确定结果以及所述外发控制策略,对所述外发操作进行响应。
优选地,
所述数据防泄漏组件进一步包括用于限制用户访问的访问控制策略;
在所述获取目标用户对目标电子文件的目标操作之前,进一步包括:获取所述目标用户发送的登录请求,其中,所述登录请求中携带登录用户名和登录密码,根据所述访问控制策略对所述登录用户名和所述登录密码进行验证,并在验证通过时允许所述目标用户的登录;
和/或,
所述数据防泄漏组件进一步包括对存储在服务器端的待保护的电子文件的加密解密策略和密钥管理策略;
进一步包括:对存储在服务器端的待保护的电子文件按照保密级别进行划分,并根据所述加密解密策略为不同保密级别的电子文件分配不同的加密算法、解密算法,以利用为其分配的加密算法对相应电子文件进行加密以及利用为其分配的解密算法对相应电子文件进行解密;以及根据所述密钥管理策略针对不同保密级别的电子文件所对应的工作密钥、加密算法、解密算法进行管理;
和/或,
进一步包括:在获取到所述目标用户对所述目标电子文件的编辑操作时,根据所述权限控制策略确定所述目标用户对所述目标电子文件的编辑操作是否具有权限,并根据确定的该编辑操作的权限结果执行对所述编辑操作的响应。
优选地,
所述根据确定结果以及所述外发控制策略,对所述外发操作进行响应,包括:在所述外发操作包括打印操作时,且所述确定结果包括具有打印权限时,根据所述外发控制策略,通过LPT1、LPT2或USB接口对连接的打印机的权限进行验证,在验证通过时,执行打印操作,否则,拒绝打印操作;
或,
所述根据确定结果以及所述外发控制策略,对所述外发操作进行响应,包括:在所述外发操作包括将所述目标电子文件拷贝到外部的目标设备的拷贝操作时,且所述确定结果包括具有拷贝权限时,根据所述外发控制策略,通过与所述外部的目标设备相连接的外设接口对所述外部的目标设备的权限进行验证,在验证通过时,执行拷贝操作,否则,拒绝拷贝操作;
或,
所述根据确定结果以及所述外发控制策略,对所述外发操作进行响应,包括:在所述外发操作包括复制操作/截屏操作时,根据所述外发控制策略对所述目标电子文件设置的防复制操作/防截屏操作,拒绝对该外发操作的执行。
优选地,
进一步包括:通过将所述目标电子文件存储至非正常格式的介质中以实现所述外发控制策略中对所述目标电子文件的防复制功能;
和/或,
进一步包括:通过阻断PrintScreen快捷键,实现所述外发控制策略中对所述目标电子文件的防截屏功能。
优选地,
进一步包括:在获取到所述目标用户对所述目标电子文件的审批操作时,在所述目标电子文件上添加印章图像,所述印章图像中包括所述目标用户的信息;
和/或,
进一步包括:在存储的每一个电子文件上添加如下任意一个或多个数字标签:保密级别、处理方式、开放范围和有效日期,以使每一个电子文件在流转过程中实现溯源。
第二方面,本发明提供了一种服务器,包括:
引入单元,用于引入数据防泄漏组件,所述数据防泄漏组件包括对存储在服务器端的待保护的电子文件设置的外发控制策略和权限控制策略;
获取单元,用于获取目标用户对目标电子文件的外发操作;
处理单元,用于根据所述权限控制策略确定所述目标用户是否具有对所述目标电子文件执行所述外发操作的权限,并根据确定结果以及所述外发控制策略,对所述外发操作进行响应。
优选地,
在所述数据防泄漏组件进一步包括用于限制用户访问的访问控制策略时,进一步包括:访问验证单元,用于获取所述目标用户发送的登录请求,其中,所述登录请求中携带登录用户名和登录密码,根据所述访问控制策略对所述登录用户名和所述登录密码进行验证,并在验证通过时允许所述目标用户的登录;
和/或,
在所述数据防泄漏组件进一步包括对存储在服务器端的待保护的电子文件的加密解密策略和密钥管理策略时,进一步包括:加密解密单元,用于对存储在服务器端的待保护的电子文件按照保密级别进行划分,并根据所述加密解密策略为不同保密级别的电子文件分配不同的加密算法、解密算法,以利用为其分配的加密算法对相应电子文件进行加密以及利用为其分配的解密算法对相应电子文件进行解密;
进一步包括:密钥管理单元,用于根据所述密钥管理策略针对不同保密级别的电子文件所对应的工作密钥、加密算法、解密算法进行管理;
和/或,
进一步包括:权限控制单元,用于在获取到所述目标用户对所述目标电子文件的编辑操作时,根据所述权限控制策略确定所述目标用户对所述目标电子文件的编辑操作是否具有权限,并根据确定的该编辑操作的权限结果执行对所述编辑操作的响应。
优选地,
所述处理单元,具体用于在所述外发操作包括打印操作时,且所述确定结果包括具有打印权限时,根据所述外发控制策略,通过LPT1、LPT2或USB接口对连接的打印机的权限进行验证,在验证通过时,执行打印操作,否则,拒绝打印操作;
或,
所述处理单元,具体用于在所述外发操作包括将所述目标电子文件拷贝到外部的目标设备的拷贝操作时,且所述确定结果包括具有拷贝权限时,根据所述外发控制策略,通过与所述外部的目标设备相连接的外设接口对所述外部的目标设备的权限进行验证,在验证通过时,执行拷贝操作,否则,拒绝拷贝操作;
或,
所述处理单元,具体用于在所述外发操作包括复制操作/截屏操作时,根据所述外发控制策略对所述目标电子文件设置的防复制操作/防截屏操作,拒绝对该外发操作的执行。
优选地,
所述处理单元,具体用于通过将所述目标电子文件存储至非正常格式的介质中以实现所述外发控制策略中对所述目标电子文件的防复制功能;
和/或,
所述处理单元,具体用于通过阻断PrintScreen快捷键,实现所述外发控制策略中对所述目标电子文件的防截屏功能。
优选地,
进一步包括:电子印章操作单元,用于在获取到所述目标用户对所述目标电子文件的审批操作时,在所述目标电子文件上添加印章图像,所述印章图像中包括所述目标用户的信息;
和/或,
进一步包括:数据溯源操作单元,用于在存储的每一个电子文件上添加如下任意一个或多个数字标签:保密级别、处理方式、开放范围和有效日期,以使每一个电子文件在流转过程中实现溯源。
本发明实施例提供了一种防止电子文件泄露的方法及服务器,通过在服务器端引入数据防泄漏组件,以根据数据防泄漏组件中设置的外发控制策略和权限控制策略对目标用户的外发操作进行响应,从而可以防止电子文件的数据泄露,提高电子文件的安全性。
附图说明
图1是本发明实施例提供的方法流程图;
图2是本发明另一实施例提供的方法流程图;
图3是本发明实施例提供的数据防泄漏组件示意图;
图4是本发明实施例提供的服务器结构示意图;
图5是本发明另一实施例提供的服务器结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种防止电子文件泄露的方法,应用于服务器端,在所述服务器端引入数据防泄漏组件,所述数据防泄漏组件包括对存储在服务器端的待保护的电子文件设置的外发控制策略和权限控制策略,该方法可以包括以下步骤:
步骤101:获取目标用户对目标电子文件的外发操作。
步骤102:根据所述权限控制策略确定所述目标用户是否具有对所述目标电子文件执行所述外发操作的权限,并根据确定结果以及所述外发控制策略,对所述外发操作进行响应。
根据本方案,通过在服务器端引入数据防泄漏组件,以根据数据防泄漏组件中设置的外发控制策略和权限控制策略对目标用户的外发操作进行响应,从而可以防止电子文件的数据泄露,提高电子文件的安全性。
在本发明一个优选实施例中,为了防止非法用户获取电子文件中的数据内容,进一步保证电子文件的安全性,该数据防泄漏组件可以进一步包括用于限制用户访问的访问控制策略;
在所述获取目标用户对目标电子文件的目标操作之前,进一步包括:获取所述目标用户发送的登录请求,其中,所述登录请求中携带登录用户名和登录密码,根据所述访问控制策略对所述登录用户名和所述登录密码进行验证,并在验证通过时允许所述目标用户的登录;只有在服务器端注册过的用户才会登录到该服务器上,从而可以进一步提高电子文件的安全性。
在本发明一个优选实施例中,为了保证电子文件在存储过程中的安全性,该数据防泄漏组件可以进一步包括对存储在服务器端的待保护的电子文件的加密解密策略和密钥管理策略;
进一步包括:对存储在服务器端的待保护的电子文件按照保密级别进行划分,并根据所述加密解密策略为不同保密级别的电子文件分配不同的加密算法、解密算法,以利用为其分配的加密算法对相应电子文件进行加密以及利用为其分配的解密算法对相应电子文件进行解密;以及根据所述密钥管理策略针对不同保密级别的电子文件所对应的工作密钥、加密算法、解密算法进行管理。
在本发明一个优选实施例中,不仅需要防止用户对电子文件执行外发操作时导致的电子文件的泄漏,同样需要保证用户在对电子文件的编辑操作时的数据安全性,可以进一步包括:在获取到所述目标用户对所述目标电子文件的编辑操作时,根据所述权限控制策略确定所述目标用户对所述目标电子文件的编辑操作是否具有权限,并根据确定的该编辑操作的权限结果执行对所述编辑操作的响应。
在本发明一个优选实施例中,当用户执行对电子文件的外发操作时,为了防止在外发操作过程中导致的电子文件泄露问题,该根据确定结果以及所述外发控制策略,对所述外发操作进行响应,包括:在所述外发操作包括打印操作时,且所述确定结果包括具有打印权限时,根据所述外发控制策略,通过LPT1、LPT2或USB接口对连接的打印机的权限进行验证,在验证通过时,执行打印操作,否则,拒绝打印操作;
或,
所述根据确定结果以及所述外发控制策略,对所述外发操作进行响应,包括:在所述外发操作包括将所述目标电子文件拷贝到外部的目标设备的拷贝操作时,且所述确定结果包括具有拷贝权限时,根据所述外发控制策略,通过与所述外部的目标设备相连接的外设接口对所述外部的目标设备的权限进行验证,在验证通过时,执行拷贝操作,否则,拒绝拷贝操作;
或,
所述根据确定结果以及所述外发控制策略,对所述外发操作进行响应,包括:在所述外发操作包括复制操作/截屏操作时,根据所述外发控制策略对所述目标电子文件设置的防复制操作/防截屏操作,拒绝对该外发操作的执行。
为使本发明的目的、技术方案和优点更加清楚,下面结合附图及具体实施例对本发明作进一步地详细描述。
如图2所示,本发明实施例提供了一种防止电子文件泄露的方法,该方法可以包括以下步骤:
步骤201:在服务器端引入数据防泄漏组件。
由于目前越来越多的企业会选择将企业内部文件生成电子文件存储在服务器端,为了防止电子文件的泄漏,可以在服务器端引入数据防泄漏组件,如图3所示,为该数据防泄漏组件示意图。
其中,该数据防泄漏组件中可以包括访问控制策略、加解密策略、密钥管理策略、电子印章、数据溯源、外发控制策略和权限控制策略中的任意一种或多种。
下面分别对数据防泄漏组件中的每一种策略进行详细说明:
1、访问控制策略。
其中,该访问控制策略用于限制用户访问,以防止非法用户获取电子文件中的数据内容。
该访问控制策略可以使用基于角色的访问控制模型(RBAC)或者其他访问控制模块,用户在客户端向服务器端注册用户信息,其中,该注册的用户信息包括登录用户名和登录密码,服务器端存储每一个登录用户名及对应的登录密码,当用户在每次登录服务器端时,服务器端根据该用户输入的登录用户名和登录密码进行登录验证,只有验证通过的用户才可以登录该服务器端,从而可以防止非法用户对服务器端存储的电子文件的窃取。
2、加解密策略。
在本实施例中,为了保证电子文件存储在服务器端的安全,可以将待保护的电子文件进行加密,并将加密后的电子文件存储在服务器端。其中,该加密算法可以使用MD5加密算法、RSA加密算法、DES加密算法、AES加密算法等。
在本发明一个优选实施例中,由于存储在服务端的电子文件经常被访问,因此,为了提高电子文件的访问效率,可以采用透明加密解密方式对存储在服务器端的电子文件进行加密解密,以使用户在存储或访问电子文件的过程中,实现加密解密,从而使得用户几乎感觉不到加密解密过程的存在。
在本发明一个优选实施例中,还可以对存储在服务器端的待保护的电子文件按照保密级别进行划分,并根据所述加密解密策略为不同保密级别的电子文件分配不同的加密算法、解密算法,以利用为其分配的加密算法对相应电子文件进行加密以及利用为其分配的解密算法对相应电子文件进行解密。
例如,保密级别可以包括高、中、低,对于高保密级别的电子文件使用较复杂、较安全的加密算法、解密算法,而相对于中保密级别、低保密级别的电子文件使用简单的加密算法、解密算法。
3、密钥管理策略。
在本实施例中,为了保证高保密级别的电子文件的安全性,可以根据密钥管理策略针对不同保密级别的电子文件所对应的工作密钥、加密算法、解密算法进行管理,例如,可以对高保密级别的电子所对应的工作密钥、加密算法、解密算法再次进行加密存储等。
4、电子印章。
在本实施例中,电子印章是电子文件在审批流程中,对电子文件进行审批的用户在对电子文件审批通过时,为了标识出该电子文件是审批通过的文件,可以在该电子文件上添加印章图像,其中,该印章图像中包括该用户的信息。
其中,可以将电子印章的操作转化为与纸质文件盖章操作相同的可视效果。用户用电子印章对电子文件进行签章操作时,可以看到电子文件上会显示红色的图章图像,同纸质的盖章效果一样。
5、数据溯源。
在本实施例中,可以在电子文件上添加如下任意一个或多个数字标签:保密级别、处理方式、开放范围和有效日期,以使电子文件在流转过程中,用户可以通过解析该数字标签,实现对电子文件的溯源。
6、权限控制策略。
在本实施例中,对于数据防泄漏组件中的权限控制策略,可以以XML文件的形式,服务器端向客户端下发该权限控制策略,其中,该权限控制策略可以包含的信息有电子文件的可读、可编辑、是否在线分发、阅读时间、阅读次数、打印时间、打印次数、离线控制等。在客户端,每次操作电子文件时利用该权限控制策略对电子文件进行解析和更新。
其中,服务器端可以根据该设置的权限控制策略确定用户对电子文件的编辑操作或外发操作是否具有权限。
7、外发控制策略。
在本实施例中,由于电子文件的泄漏一般都是由于对电子文件的外发操作所导致的,因此,需要设置该外发控制策略,以保证电子文件的安全。
当该外发操作包括打印操作时,在确定用户具有对该打印操作的权限时,可以根据该外发控制策略,通过LPT1、LPT2或USB接口对连接的打印机的权限进行验证,在验证通过时,执行打印操作,否则,拒绝打印操作。其中,对于打印机的权限验证,可以根据服务器端存储的具有权限的打印机标识确定该打印机是否具有权限。
当该外发操作包括将电子文件拷贝到外部的目标设备的拷贝操作时,且用户具有对该目标电子文件的拷贝权限时,根据该外发控制策略,通过与所述外部的目标设备相连接的外设接口对所述外部的目标设备的权限进行验证,在验证通过时,执行拷贝操作,否则,拒绝拷贝操作;其中,该外设接口可以包括:软驱、光驱、网卡、Modem、串El、并口、1394口、红外、SD卡、U盘、移动硬盘和MP3等。
当该外发操作包括复制操作/截屏操作时,根据该外发控制策略对电子文件设置的防复制操作/防截屏操作,拒绝对该外发操作的执行。
其中,该外发控制策略可以通过如下方式设置对电子文件的防复制操作:通过将该电子文件存储至非正常格式的介质中,以实现防复制功能。
其中,该外发控制策略可以通过如下方式设置对电子文件的防截屏操作:通过阻断PrintScreen快捷键,实现该外发控制策略中对电子文件的防截屏功能。
在本实施例中,还可以通过修改系统中的DLL文件,以防止用户对电子文件的其他操作,例如:
1、禁止下载的修改方法:打开Shdoclc.dll修改资源--对话框---4416,将4416键值禁用即可。
2、禁止网页添加到收藏夹,打开Shdoclc.dll修改资源--对话框---21400,将该键值禁用即可。
3、禁止恶意网页加载控件,修改Cryptui.dll文件,要同时修改5个地方才能完全禁止资源--对话框---130资源--对话框---230资源--对话框---4101资源--对话框---4104资源--对话框---4107将以各对话框中的相应键值,修改成为禁用就可以了。
4、禁止系统删除文件修改Shell32.dll,这个文件需要修改5个地方才可以禁止系统删除文件。资源--对话框---1011资源--对话框---1012资源--对话框---1013资源--对话框---1021资源--对话框---1022将以上五个地址的键值禁用。
5、禁止文件被改名,修改shell32.dll,有2个地方需要修改资源--对话框---1018资源--对话框---1019将以上两处的相应键值,修改为禁用。
6、禁止运行菜单,修改shell32.dll,将资源--对话框---1018键值设置为禁用。
7、禁止系统文件被挪动修改shell32.dll,需要修改4个地方资源--对话框---1014资源--对话框---1015资源--对话框---1016资源--对话框---1017。
8、禁止目标另存为,修改Shdoclc.dll文件,需要修改3个地方资源--菜单--258---257资源--菜单--258---252资源--菜单--24641--2268在这个修改中,我们要把各对应的键值删除。打开该键值后,右键菜单中有删除。在资源--菜单--24641—2268中,有多项该键值,请逐一删除。
9、禁止自定义文件夹选项修改Shell32.dll文件,需要修改以下4个地方资源--菜单--215---28719资源--菜单--216---28719资源--菜单--217---28719资源--菜单--216---28719找到以上四处键值,直接需要删除后即可,而不是禁用。
10、禁止IE文件夹选项,修改Browselc.dll文件,需要修改3个键值资源--菜单--263(这里有多个请删除)---41251(删除)资源--菜单--266(也有多个请删除)---41329(删除)资源--菜单--268---41251(删除)在上面的3个键值中,个别键值有多处,请逐一删除。
11、禁止98文件共享控件,修改Msshrui.dll,需要修改2个地方资源---对话框----1---AutoRadioButton资源---对话框----30---AutoRadioButton将以上两处的键值禁用即可。其他的选项,可以根据自己的需要进行修改。找到相应的功能键值,将不需要的功能,禁用就可以了。
12、禁止文件的打开方式,修改Url.dll,需要修改2个地方资源---对话框---7000资源---对话框---7005将以上两处的键值禁用即可。
13、禁止更改系统桌面,修改Shdoc401.dll,有2处地方需要修改资源---对话框---29952---PushButton:浏览资源---对话框---29952---PushButton:图案将以上两处的键值禁用即可。
14、禁止系统文件夹自定义,修改Shd401lc.dll,有2处地方需要修改资源---对话框---29957资源---对话框---29958将以上两处的键值禁用即可。
15、禁止文件保存路径及打开,修改Comdlg32.dll,有2处地方需要修改资源---对话框---1547资源---对话框---1548将以上两处的键值禁用即可。
步骤202:获取目标用户的登录请求,其中,该登录请求中携带登录用户名和登录密码,在对登录请求验证通过时,允许该目标用户的登录请求。
步骤203:获取目标用户对目标电子文件的外发操作。
例如,该外发操作是用于将该目标电子文件拷贝到外部设备U盘中。
步骤204:根据该权限控制策略确定该目标用户是否具有对所述目标电子文件执行所述外发操作的权限,在具有该权限时,执行步骤205,否则,拒绝该外发操作。
步骤205:根据外发控制策略,对该U盘的权限进行验证,若具有权限,允许该目标用户将该目标电子文件的拷贝操作,否则,拒绝该目标用户对该目标电子文件的拷贝操作。
根据本方案,通过在服务器端引入数据防泄漏组件,以根据数据防泄漏组件中设置的外发控制策略和权限控制策略对目标用户的外发操作进行响应,从而可以防止电子文件的数据泄露,提高电子文件的安全性。
如图4所示,本发明实施例还提供了一种服务器,该服务器可以包括:
引入单元401,用于引入数据防泄漏组件,所述数据防泄漏组件包括对存储在服务器端的待保护的电子文件设置的外发控制策略和权限控制策略;
获取单元402,用于获取目标用户对目标电子文件的外发操作;
处理单元403,用于根据所述权限控制策略确定所述目标用户是否具有对所述目标电子文件执行所述外发操作的权限,并根据确定结果以及所述外发控制策略,对所述外发操作进行响应。
在本发明一个优选实施例中,请参考图5,该服务器可以进一步包括:
在所述数据防泄漏组件进一步包括用于限制用户访问的访问控制策略时,进一步包括:访问验证单元501,用于获取所述目标用户发送的登录请求,其中,所述登录请求中携带登录用户名和登录密码,根据所述访问控制策略对所述登录用户名和所述登录密码进行验证,并在验证通过时允许所述目标用户的登录;
和/或,
在所述数据防泄漏组件进一步包括对存储在服务器端的待保护的电子文件的加密解密策略和密钥管理策略时,进一步包括:加密解密单元502,用于对存储在服务器端的待保护的电子文件按照保密级别进行划分,并根据所述加密解密策略为不同保密级别的电子文件分配不同的加密算法、解密算法,以利用为其分配的加密算法对相应电子文件进行加密以及利用为其分配的解密算法对相应电子文件进行解密;
进一步包括:密钥管理单元503,用于根据所述密钥管理策略针对不同保密级别的电子文件所对应的工作密钥、加密算法、解密算法进行管理;
和/或,
进一步包括:权限控制单元504,用于在获取到所述目标用户对所述目标电子文件的编辑操作时,根据所述权限控制策略确定所述目标用户对所述目标电子文件的编辑操作是否具有权限,并根据确定的该编辑操作的权限结果执行对所述编辑操作的响应。
进一步地,
所述处理单元403,具体用于在所述外发操作包括打印操作时,且所述确定结果包括具有打印权限时,根据所述外发控制策略,通过LPT1、LPT2或USB接口对连接的打印机的权限进行验证,在验证通过时,执行打印操作,否则,拒绝打印操作;
或,
所述处理单元403,具体用于在所述外发操作包括将所述目标电子文件拷贝到外部的目标设备的拷贝操作时,且所述确定结果包括具有拷贝权限时,根据所述外发控制策略,通过与所述外部的目标设备相连接的外设接口对所述外部的目标设备的权限进行验证,在验证通过时,执行拷贝操作,否则,拒绝拷贝操作;
或,
所述处理单元403,具体用于在所述外发操作包括复制操作/截屏操作时,根据所述外发控制策略对所述目标电子文件设置的防复制操作/防截屏操作,拒绝对该外发操作的执行。
进一步地,
所述处理单元403,具体用于通过将所述目标电子文件存储至非正常格式的介质中以实现所述外发控制策略中对所述目标电子文件的防复制功能;
和/或,
所述处理单元403,具体用于通过阻断PrintScreen快捷键,实现所述外发控制策略中对所述目标电子文件的防截屏功能。
进一步包括:电子印章操作单元505,用于在获取到所述目标用户对所述目标电子文件的审批操作时,在所述目标电子文件上添加印章图像,所述印章图像中包括所述目标用户的信息;
和/或,
进一步包括:数据溯源操作单元506,用于在存储的每一个电子文件上添加如下任意一个或多个数字标签:保密级别、处理方式、开放范围和有效日期,以使每一个电子文件在流转过程中实现溯源。
综上,本发明实施例至少可以实现如下有益效果:
1、在本发明实施例中,通过在服务器端引入数据防泄漏组件,以根据数据防泄漏组件中设置的外发控制策略和权限控制策略对目标用户的外发操作进行响应,从而可以防止电子文件的数据泄露,提高电子文件的安全性。
2、在本发明实施例中,通过利用数据防泄漏组件中的访问控制策略,用于对用户的访问进行限制,从而可以防止非法用户获取电子文件中的数据内容,进一步保证电子文件的安全性。
3、在本发明实施例中,通过使用数据防泄漏组件中的加解密策略,对存储在服务器端的电子文件进行加密解密,从而可以保证电子文件在存储过程中的安全性。
上述设备内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃〃〃〃〃〃”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种防止电子文件泄露的方法,其特征在于,应用于服务器端,在所述服务器端引入数据防泄漏组件,所述数据防泄漏组件包括对存储在服务器端的待保护的电子文件设置的外发控制策略和权限控制策略,所述方法还包括:
获取目标用户对目标电子文件的外发操作;
根据所述权限控制策略确定所述目标用户是否具有对所述目标电子文件执行所述外发操作的权限,并根据确定结果以及所述外发控制策略,对所述外发操作进行响应。
2.根据权利要求1所述的方法,其特征在于,
所述数据防泄漏组件进一步包括用于限制用户访问的访问控制策略;
在所述获取目标用户对目标电子文件的目标操作之前,进一步包括:获取所述目标用户发送的登录请求,其中,所述登录请求中携带登录用户名和登录密码,根据所述访问控制策略对所述登录用户名和所述登录密码进行验证,并在验证通过时允许所述目标用户的登录;
和/或,
所述数据防泄漏组件进一步包括对存储在服务器端的待保护的电子文件的加密解密策略和密钥管理策略;
进一步包括:对存储在服务器端的待保护的电子文件按照保密级别进行划分,并根据所述加密解密策略为不同保密级别的电子文件分配不同的加密算法、解密算法,以利用为其分配的加密算法对相应电子文件进行加密以及利用为其分配的解密算法对相应电子文件进行解密;以及根据所述密钥管理策略针对不同保密级别的电子文件所对应的工作密钥、加密算法、解密算法进行管理;
和/或,
进一步包括:在获取到所述目标用户对所述目标电子文件的编辑操作时,根据所述权限控制策略确定所述目标用户对所述目标电子文件的编辑操作是否具有权限,并根据确定的该编辑操作的权限结果执行对所述编辑操作的响应。
3.根据权利要求1所述的方法,其特征在于,
所述根据确定结果以及所述外发控制策略,对所述外发操作进行响应,包括:在所述外发操作包括打印操作时,且所述确定结果包括具有打印权限时,根据所述外发控制策略,通过LPT1、LPT2或USB接口对连接的打印机的权限进行验证,在验证通过时,执行打印操作,否则,拒绝打印操作;
或,
所述根据确定结果以及所述外发控制策略,对所述外发操作进行响应,包括:在所述外发操作包括将所述目标电子文件拷贝到外部的目标设备的拷贝操作时,且所述确定结果包括具有拷贝权限时,根据所述外发控制策略,通过与所述外部的目标设备相连接的外设接口对所述外部的目标设备的权限进行验证,在验证通过时,执行拷贝操作,否则,拒绝拷贝操作;
或,
所述根据确定结果以及所述外发控制策略,对所述外发操作进行响应,包括:在所述外发操作包括复制操作/截屏操作时,根据所述外发控制策略对所述目标电子文件设置的防复制操作/防截屏操作,拒绝对该外发操作的执行。
4.根据权利要求3所述的方法,其特征在于,
进一步包括:通过将所述目标电子文件存储至非正常格式的介质中以实现所述外发控制策略中对所述目标电子文件的防复制功能;
和/或,
进一步包括:通过阻断PrintScreen快捷键,实现所述外发控制策略中对所述目标电子文件的防截屏功能。
5.根据权利要求1-4中任一所述的方法,其特征在于,
进一步包括:在获取到所述目标用户对所述目标电子文件的审批操作时,在所述目标电子文件上添加印章图像,所述印章图像中包括所述目标用户的信息;
和/或,
进一步包括:在存储的每一个电子文件上添加如下任意一个或多个数字标签:保密级别、处理方式、开放范围和有效日期,以使每一个电子文件在流转过程中实现溯源。
6.一种服务器,其特征在于,包括:
引入单元,用于引入数据防泄漏组件,所述数据防泄漏组件包括对存储在服务器端的待保护的电子文件设置的外发控制策略和权限控制策略;
获取单元,用于获取目标用户对目标电子文件的外发操作;
处理单元,用于根据所述权限控制策略确定所述目标用户是否具有对所述目标电子文件执行所述外发操作的权限,并根据确定结果以及所述外发控制策略,对所述外发操作进行响应。
7.根据权利要求6所述的服务器,其特征在于,
在所述数据防泄漏组件进一步包括用于限制用户访问的访问控制策略时,进一步包括:访问验证单元,用于获取所述目标用户发送的登录请求,其中,所述登录请求中携带登录用户名和登录密码,根据所述访问控制策略对所述登录用户名和所述登录密码进行验证,并在验证通过时允许所述目标用户的登录;
和/或,
在所述数据防泄漏组件进一步包括对存储在服务器端的待保护的电子文件的加密解密策略和密钥管理策略时,进一步包括:加密解密单元,用于对存储在服务器端的待保护的电子文件按照保密级别进行划分,并根据所述加密解密策略为不同保密级别的电子文件分配不同的加密算法、解密算法,以利用为其分配的加密算法对相应电子文件进行加密以及利用为其分配的解密算法对相应电子文件进行解密;
进一步包括:密钥管理单元,用于根据所述密钥管理策略针对不同保密级别的电子文件所对应的工作密钥、加密算法、解密算法进行管理;
和/或,
进一步包括:权限控制单元,用于在获取到所述目标用户对所述目标电子文件的编辑操作时,根据所述权限控制策略确定所述目标用户对所述目标电子文件的编辑操作是否具有权限,并根据确定的该编辑操作的权限结果执行对所述编辑操作的响应。
8.根据权利要求6所述的服务器,其特征在于,
所述处理单元,具体用于在所述外发操作包括打印操作时,且所述确定结果包括具有打印权限时,根据所述外发控制策略,通过LPT1、LPT2或USB接口对连接的打印机的权限进行验证,在验证通过时,执行打印操作,否则,拒绝打印操作;
或,
所述处理单元,具体用于在所述外发操作包括将所述目标电子文件拷贝到外部的目标设备的拷贝操作时,且所述确定结果包括具有拷贝权限时,根据所述外发控制策略,通过与所述外部的目标设备相连接的外设接口对所述外部的目标设备的权限进行验证,在验证通过时,执行拷贝操作,否则,拒绝拷贝操作;
或,
所述处理单元,具体用于在所述外发操作包括复制操作/截屏操作时,根据所述外发控制策略对所述目标电子文件设置的防复制操作/防截屏操作,拒绝对该外发操作的执行。
9.根据权利要求8所述的服务器,其特征在于,
所述处理单元,具体用于通过将所述目标电子文件存储至非正常格式的介质中以实现所述外发控制策略中对所述目标电子文件的防复制功能;
和/或,
所述处理单元,具体用于通过阻断PrintScreen快捷键,实现所述外发控制策略中对所述目标电子文件的防截屏功能。
10.根据权利要求6-9中任一所述的服务器,其特征在于,
进一步包括:电子印章操作单元,用于在获取到所述目标用户对所述目标电子文件的审批操作时,在所述目标电子文件上添加印章图像,所述印章图像中包括所述目标用户的信息;
和/或,
进一步包括:数据溯源操作单元,用于在存储的每一个电子文件上添加如下任意一个或多个数字标签:保密级别、处理方式、开放范围和有效日期,以使每一个电子文件在流转过程中实现溯源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510848983.9A CN105512565A (zh) | 2015-11-26 | 2015-11-26 | 一种防止电子文件泄漏的方法及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510848983.9A CN105512565A (zh) | 2015-11-26 | 2015-11-26 | 一种防止电子文件泄漏的方法及服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105512565A true CN105512565A (zh) | 2016-04-20 |
Family
ID=55720538
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510848983.9A Pending CN105512565A (zh) | 2015-11-26 | 2015-11-26 | 一种防止电子文件泄漏的方法及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105512565A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106446611A (zh) * | 2016-08-31 | 2017-02-22 | 北京北信源软件股份有限公司 | 密级信息生成方法、读取方法及装置 |
| CN106453966A (zh) * | 2016-12-05 | 2017-02-22 | 北京奇虎科技有限公司 | 移动通信设备间互动提示方法及设备 |
| CN106778166A (zh) * | 2016-11-30 | 2017-05-31 | 广东欧珀移动通信有限公司 | 一种数据的编辑方法、装置及终端 |
| CN108133143A (zh) * | 2017-12-12 | 2018-06-08 | 北京明朝万达科技股份有限公司 | 一种面向云桌面应用环境的数据防泄漏方法及系统 |
| CN108494797A (zh) * | 2018-04-16 | 2018-09-04 | 深信服科技股份有限公司 | 基于虚拟化技术的数据监管方法、系统、设备及存储介质 |
| CN108985112A (zh) * | 2018-06-12 | 2018-12-11 | 山东超越数控电子股份有限公司 | 一种usb端口控制系统及方法 |
| CN109508516A (zh) * | 2017-09-15 | 2019-03-22 | 中国移动通信有限公司研究院 | 文件处理方法、终端、服务器及计算机可读存储介质 |
| CN110502906A (zh) * | 2019-07-04 | 2019-11-26 | 北京泰立鑫科技有限公司 | 一种数据安全外发的方法和系统 |
| CN110610103A (zh) * | 2019-09-24 | 2019-12-24 | 成都卫士通信息安全技术有限公司 | 一种密标文件验标方法及装置 |
| CN110855611A (zh) * | 2019-10-10 | 2020-02-28 | 平安科技(深圳)有限公司 | 一种数据外发方法、装置以及相关设备 |
| CN111062055A (zh) * | 2019-12-13 | 2020-04-24 | 江苏智谋科技有限公司 | 一种基于信息安全的电子文件敏感数据防泄漏系统及方法 |
| CN112765655A (zh) * | 2021-01-07 | 2021-05-07 | 支付宝(杭州)信息技术有限公司 | 一种基于隐私数据外发的管控方法及装置 |
| CN113642033A (zh) * | 2021-10-19 | 2021-11-12 | 太平金融科技服务(上海)有限公司深圳分公司 | 加密方法、解密方法、装置、设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110097A (zh) * | 2007-08-17 | 2008-01-23 | 南京新模式软件集成有限公司 | 一种电子文件安全外发的方法 |
| US20080147558A1 (en) * | 2006-10-24 | 2008-06-19 | Robert Korbin Kraus | Method and system for providing prospective licensees and/or purchasers with access to licensable media content |
| CN102611732A (zh) * | 2011-11-25 | 2012-07-25 | 无锡华御信息技术有限公司 | 一种基于b/s架构的加密文档外发控制系统及方法 |
| CN103530570A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种电子文档安全管理系统及方法 |
| CN103679050A (zh) * | 2013-12-31 | 2014-03-26 | 中国电子科技集团公司第三研究所 | 一种企业级电子文档的安全管理方法 |
| CN104123508A (zh) * | 2014-07-21 | 2014-10-29 | 浪潮电子信息产业股份有限公司 | 一种基于内网数据安全防护引擎的设计方法 |
| CN104281814A (zh) * | 2013-07-03 | 2015-01-14 | 钟丹东 | 文件防泄密系统及其工作方法 |
| CN104601548A (zh) * | 2014-12-24 | 2015-05-06 | 深圳市大成天下信息技术有限公司 | 一种加密文件的生成方法、装置和计算设备 |
-
2015
- 2015-11-26 CN CN201510848983.9A patent/CN105512565A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080147558A1 (en) * | 2006-10-24 | 2008-06-19 | Robert Korbin Kraus | Method and system for providing prospective licensees and/or purchasers with access to licensable media content |
| CN101110097A (zh) * | 2007-08-17 | 2008-01-23 | 南京新模式软件集成有限公司 | 一种电子文件安全外发的方法 |
| CN102611732A (zh) * | 2011-11-25 | 2012-07-25 | 无锡华御信息技术有限公司 | 一种基于b/s架构的加密文档外发控制系统及方法 |
| CN104281814A (zh) * | 2013-07-03 | 2015-01-14 | 钟丹东 | 文件防泄密系统及其工作方法 |
| CN103530570A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种电子文档安全管理系统及方法 |
| CN103679050A (zh) * | 2013-12-31 | 2014-03-26 | 中国电子科技集团公司第三研究所 | 一种企业级电子文档的安全管理方法 |
| CN104123508A (zh) * | 2014-07-21 | 2014-10-29 | 浪潮电子信息产业股份有限公司 | 一种基于内网数据安全防护引擎的设计方法 |
| CN104601548A (zh) * | 2014-12-24 | 2015-05-06 | 深圳市大成天下信息技术有限公司 | 一种加密文件的生成方法、装置和计算设备 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106446611A (zh) * | 2016-08-31 | 2017-02-22 | 北京北信源软件股份有限公司 | 密级信息生成方法、读取方法及装置 |
| CN106778166B (zh) * | 2016-11-30 | 2020-04-10 | Oppo广东移动通信有限公司 | 一种数据的编辑方法、装置及终端 |
| CN106778166A (zh) * | 2016-11-30 | 2017-05-31 | 广东欧珀移动通信有限公司 | 一种数据的编辑方法、装置及终端 |
| CN106453966A (zh) * | 2016-12-05 | 2017-02-22 | 北京奇虎科技有限公司 | 移动通信设备间互动提示方法及设备 |
| CN109508516A (zh) * | 2017-09-15 | 2019-03-22 | 中国移动通信有限公司研究院 | 文件处理方法、终端、服务器及计算机可读存储介质 |
| CN108133143A (zh) * | 2017-12-12 | 2018-06-08 | 北京明朝万达科技股份有限公司 | 一种面向云桌面应用环境的数据防泄漏方法及系统 |
| CN108494797A (zh) * | 2018-04-16 | 2018-09-04 | 深信服科技股份有限公司 | 基于虚拟化技术的数据监管方法、系统、设备及存储介质 |
| CN108494797B (zh) * | 2018-04-16 | 2021-09-17 | 深信服科技股份有限公司 | 基于虚拟化技术的数据监管方法、系统、设备及存储介质 |
| CN108985112A (zh) * | 2018-06-12 | 2018-12-11 | 山东超越数控电子股份有限公司 | 一种usb端口控制系统及方法 |
| CN110502906A (zh) * | 2019-07-04 | 2019-11-26 | 北京泰立鑫科技有限公司 | 一种数据安全外发的方法和系统 |
| CN110610103A (zh) * | 2019-09-24 | 2019-12-24 | 成都卫士通信息安全技术有限公司 | 一种密标文件验标方法及装置 |
| CN110855611A (zh) * | 2019-10-10 | 2020-02-28 | 平安科技(深圳)有限公司 | 一种数据外发方法、装置以及相关设备 |
| CN110855611B (zh) * | 2019-10-10 | 2021-11-09 | 平安科技(深圳)有限公司 | 一种数据外发方法、装置以及相关设备 |
| CN111062055A (zh) * | 2019-12-13 | 2020-04-24 | 江苏智谋科技有限公司 | 一种基于信息安全的电子文件敏感数据防泄漏系统及方法 |
| CN111062055B (zh) * | 2019-12-13 | 2021-12-24 | 江苏智谋科技有限公司 | 一种基于信息安全的电子文件敏感数据防泄漏系统及方法 |
| CN112765655A (zh) * | 2021-01-07 | 2021-05-07 | 支付宝(杭州)信息技术有限公司 | 一种基于隐私数据外发的管控方法及装置 |
| CN113642033A (zh) * | 2021-10-19 | 2021-11-12 | 太平金融科技服务(上海)有限公司深圳分公司 | 加密方法、解密方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105512565A (zh) | 一种防止电子文件泄漏的方法及服务器 | |
| Subramanian et al. | Recent security challenges in cloud computing | |
| US8341756B2 (en) | Securing data in a networked environment | |
| Hashizume et al. | An analysis of security issues for cloud computing | |
| CN103824031A (zh) | 使用电子文件安全标签保证电子文件安全的方法及系统 | |
| CN104778954A (zh) | 一种光盘分区加密方法及系统 | |
| Morovati et al. | A network based document management model to prevent data extrusion | |
| Grothe et al. | How to break microsoft rights management services | |
| Zheng | The application of information security encryption technology in military data system management | |
| TWI540456B (zh) | 帳號管理應用程式的強固方法以及使用該方法的裝置 | |
| Singh et al. | The amalgamation of digital watermarking & cloud watermarking for security enhancement in cloud computing | |
| EP3850505A2 (en) | Secure calling convention system and methods | |
| Petkovic et al. | A host based method for data leak protection by tracking sensitive data flow | |
| Bayuk | Data-centric security | |
| Papagiannis et al. | BrowserFlow: Imprecise data flow tracking to prevent accidental data disclosure | |
| Landwehr | 10 Engineered Controls for Dealing with Big Data | |
| Govindarajan | Challenges for big data security and privacy | |
| CN113127141A (zh) | 一种容器系统管理方法、装置、终端设备及存储介质 | |
| Lance et al. | Designing and deploying a data security strategy with Google Cloud | |
| Kedziora et al. | Improved threat models for the security of encrypted and deniable file systems | |
| Wang et al. | Security strategy and research of power protection equipment based on SELinux | |
| Ali et al. | Blockchain-Based Secure File Storage with Hybrid Cryptography and Machine Learning for Malware Detection | |
| Wu et al. | Iot processing layer security | |
| Han | Confidential Documents Sharing Model Based on Blockchain Environment | |
| Priyadharshini et al. | Data Governance on Local Storage in Offsite |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160420 |