CN107644174B - 数据泄漏防止系统及数据泄漏防止方法 - Google Patents
数据泄漏防止系统及数据泄漏防止方法 Download PDFInfo
- Publication number
- CN107644174B CN107644174B CN201710106843.3A CN201710106843A CN107644174B CN 107644174 B CN107644174 B CN 107644174B CN 201710106843 A CN201710106843 A CN 201710106843A CN 107644174 B CN107644174 B CN 107644174B
- Authority
- CN
- China
- Prior art keywords
- file
- network communication
- access
- permitted
- prevention system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明的数据泄漏防止系统即使在进行网络通信的进程的文件访问被许可的情况下,也防止未加密或能够自动解密的文件的不正当的取出。数据泄漏防止系统保持:第1文件,没有被加密或能够由数据泄漏防止系统自动解密;第2文件,不能由数据泄漏防止系统自动解密;以及进程信息,表示被许可对数据泄漏防止系统所保持的文件的访问的许可进程;受理进程的文件访问请求;参照进程信息,判定该进程是否是上述许可进程;在判定为该进程是许可进程、并且该文件访问请求中的访问对象是第1文件的情况下,禁止该进程的网络通信。
Description
技术领域
本发明涉及数据泄漏防止系统及数据泄漏防止方法。
背景技术
作为本技术领域的背景技术,有特开2015-056090号公报(专利文献1)。在该公报中记载有:“对于保护对象的文件类别准备不加密的应用的列表,关于来自不在该列表中的应用的访问,进行加密后许可访问。此外,关于加密而保存的文件,自动解密。”(参照说明书摘要)。
专利文献1:特开2015-056090号公报
专利文献1所记载的技术对于登记在白名单列表中的应用的文件访问请求,不将文件加密而许可访问。但是,在专利文献1所记载的技术中,在白名单列表中登记的正规的应用感染了蠕虫等植入型恶意软件的情况下,感染了植入型恶意软件的正规的应用有可能将未加密的文件经由网络不正当地取出。
另外,在专利文献1所记载的技术中,如果进行网络通信的全部的应用是白名单列表登记外,则能够防止由感染了植入型恶意软件的正规的应用将未加密的文件不正当地取出。
但是,为了使进行网络通信的全部的应用为白名单列表登记外,用户需要知道哪个应用是否进行网络通信。因而,安全性有可能依赖于用户的知识。此外,白名单列表登记中的用户的方便性有可能下降。
发明内容
所以,本发明的一技术方案的目的是即使在进行网络通信的进程的文件访问被许可的情况下,也防止未加密或能够自动解密的文件的不正当的取出。
为了解决上述问题,本发明的一技术方案采用以下的结构。一种数据泄漏防止系统,控制进程对文件的访问及进程的网络通信,包括处理器和存储装置;上述存储装置保持:第1文件,没有被加密或能够由上述处理器自动解密;第2文件,不能由上述处理器自动解密;以及进程信息,表示被许可对上述存储装置所保持的文件的访问的许可进程;上述处理器进行以下处理:受理上述进程的文件访问请求;参照上述进程信息,判定上述进程是否是上述许可进程;执行判定是否禁止上述进程的网络通信的判定处理;在上述判定处理中,在判定为上述进程是上述许可进程、并且上述文件访问请求中的访问对象是上述第1文件的情况下,禁止上述进程的网络通信。
为了解决上述问题,本发明的一技术方案采用以下的结构。一种数据泄漏防止方法,其是数据泄漏防止系统控制进程对文件的访问及进程的网络通信的数据泄漏防止方法,数据泄漏防止系统保持:第1文件,没有被加密或能够由上述数据泄漏防止系统自动解密;第2文件,不能由上述数据泄漏防止系统自动解密;以及进程信息,表示被许可对上述数据泄漏防止系统所保持的文件的访问的许可进程;在上述数据泄漏防止方法中,上述数据泄漏防止系统进行以下处理:受理上述进程的文件访问请求;参照上述进程信息,判定上述进程是否是上述许可进程;执行判定是否禁止上述进程的网络通信的判定处理;在上述判定处理中,在判定为上述进程是上述许可进程、并且上述文件访问请求中的访问对象是上述第1文件的情况下,禁止上述进程的网络通信。
本发明的一技术方案即使在进行网络通信的进程的文件访问被许可的情况下,也能够防止未加密或能够自动解密的文件的不正当的取出。
上述以外的课题、结构及效果根据以下的实施方式的说明会变得清楚。
附图说明
图1A是表示实施例1的数据泄漏防止系统的结构例的框图。
图1B是表示实施例1的客户端的硬件结构例的框图。
图2是表示实施例1的文件访问控制及数据发送控制的一例的说明图。
图3是实施例1的进程列表的一例。
图4是表示实施例1的进程启动处理的一例的流程图。
图5是表示实施例1的OS登录时的处理的一例的流程图。
图6是表示实施例1的进程结束时的处理的一例的流程图。
图7是表示实施例1的文件访问控制处理的一例的流程图。
图8是表示实施例1的数据发送控制处理的一例的流程图。
图9是表示实施例1的白名单列表更新处理的一例的说明图。
图10是表示实施例1的更新应用列表的生成处理的一例的流程图。
标号说明
101客户端;103管理服务器;111数据泄漏防止部;112文件访问控制部;113数据发送控制部;114白名单列表;115文件访问日志;116网络通信日志;117进程列表;118进程列表生成部;119白名单列表更新部;141白名单列表更新部;142文件访问日志;143网络通信日志;144白名单列表。
具体实施方式
以下,参照附图说明本发明的实施方式。应注意的是,本实施方式不过是用来实现本发明的一例,并不限定本发明的技术范围。在各图中对于共通的结构赋予相同的标号。
[实施例1]
图1A是表示数据泄漏防止系统的结构例的框图。数据泄漏防止系统例如包括客户端101、在本地网络中与客户端101连接的文件共享服务器102及管理服务器103。数据泄漏防止系统经由因特网105等外部网络而与外部的服务器等连接。在本实施例中,说明C&C(Command and Control)服务器104经由因特网105来攻击数据泄漏防止系统的例子。
客户端101包括数据泄漏防止部111、应用群120、1个以上的透过型加密文件132及1个以上的非透过型加密文件133。数据泄漏防止部111保护客户端101保持的透过型加密文件132及非透过型加密文件133。此外,数据泄漏防止部111也可以还保护文件共享服务器102保持的透过型加密文件135及非透过型加密文件136。
透过型加密文件是指能够由例如保存在数据泄漏防止部111等中的程序自动解密的加密文件。即,用户能够不用在意透过型加密文件被加密的情况而参照透过型加密文件。另外,在本实施方式中,透过型加密文件也可以是包含没有被施以加密的文件的概念。
此外,非透过型加密文件是指通过由用户等设定的不会自动被解除的口令保护的文件。因而,非透过型加密文件是仅能够由输入了正确的口令的用户参照的加密文件,并且是客户端101不能自动解密的加密文件。非透过型加密文件是IRM(Information RightsManagement)文件的一例。
在图1A的例子中,应用群120包括应用121、独立型恶意软件123及感染了植入型恶意软件124的应用122。独立型恶意软件123是如蠕虫那样、即使不寄生于其他程序也能够单独动作的恶意软件。植入型恶意软件124是寄生于其他程序(在图1A的例子中是应用122)而动作的恶意软件。
数据泄漏防止部111防止恶意软件将透过型加密文件132自动解密而使其向因特网105上的C&C服务器104流出。数据泄漏防止部111包括分别是程序的文件访问控制部112、数据发送控制部113、进程列表生成部118及白名单列表更新部119。此外,数据泄漏防止部111包括白名单列表114、文件访问日志115、网络通信日志116及进程列表117。
白名单列表114例如表示被许可对文件的访问的应用。具体而言,例如,白名单列表114保存被许可对文件的访问的应用的模块的哈希值、该模块的路径及对于该模块的签名的有无等。
进程列表117表示应用的进程是被许可对文件的访问的许可进程、还是对一部分或全部的文件的访问被禁止的禁止进程。此外,进程列表117保存应用的进程的网络通信的许可判定基准。关于进程列表117的具体例后述。
进程列表生成部118使用白名单列表114将应用的进程分类为许可进程和禁止进程。例如,进程列表生成部118将登记在白名单列表114中的应用121和应用122判定为许可进程,将没有登记在白名单列表114中的独立型恶意软件123判定为禁止进程。
文件访问控制部112参照进程列表117,控制各进程对文件的访问。此外,文件访问控制部112设定进程列表117中的网络通信的许可判定基准。文件访问控制部112将应用进程对文件的访问结果记录到文件访问日志115中,将文件访问日志115向管理服务器103发送。
文件访问日志115例如表示应用群120的应用对客户端101所保持的文件的访问请求履历及/或访问履历。文件访问日志115例如包括表示进行了对文件的访问请求的进程、与该进程对应的应用、执行了该应用的用户权限、该文件、该文件的类别(透过型加密文件或非透过型加密文件)、进行了该访问请求的时刻、以及该进程的类别(许可进程或禁止进程)的信息。
数据发送控制部113控制应用的进程的网络通信。此外,数据发送控制部113将应用的进程的网络通信的结果记录到网络通信日志116中,向管理服务器103发送。
网络通信日志116例如表示应用群120的应用的网络通信请求履历及/或网络通信履历。例如,包括表示请求了网络通信的进程、与该进程对应的应用、该进程的类别(后述的网络禁止标志是ON还是OFF)、网络通信中的发送对象的文件、请求网络通信的时刻、网络通信中的通信协议、以及发送了文件的应用的信息。
文件共享服务器102保持1个以上的透过型加密文件135及1个以上的非透过型加密文件136。在客户端101与文件共享服务器102之间进行文件的收发。
管理服务器103保持文件访问日志142、网络通信日志143、白名单列表144。此外,管理服务器103包括作为程序的白名单列表更新部141。文件访问日志142是储存有从各客户端101接收到的文件访问日志115的日志。
白名单列表更新部141使用文件访问日志142及网络通信日志143生成包括更新用白名单列表的白名单列表144,将所生成的更新用白名单列表向各客户端101发送。各客户端101的白名单列表更新部119按照接收到的更新用白名单列表将白名单列表114更新。
图1B是表示客户端101的硬件结构例的框图。客户端101由具有处理器(CPU)151、存储器152、辅助存储装置153及通信接口154的计算机构成。
处理器151执行保存在存储器152中的程序。存储器152包括作为非易失性的存储元件的ROM及作为易失性的存储元件的RAM。ROM保存不变的程序(例如,BIOS)等。RAM是DRAM(Dynamic Random Access Memory)那样的高速且易失性的存储元件,暂时保存由处理器151执行的程序及在程序的执行时使用的数据。例如,存储器152保存应用群120及数据泄漏防止部111。
辅助存储装置153例如是磁存储装置(HDD)、闪存存储器(SSD)等的大容量且非易失性的存储装置,保存由处理器151执行的程序及在程序的执行时使用的数据。即,程序被从辅助存储装置153读出并装载到存储器152中,由处理器151执行。
例如,辅助存储装置153保存透过型加密文件132及非透过型加密文件133。另外,既可以将在上述说明中保存在辅助存储装置153中的信息的一部分或全部保存在存储器152中,也可以将在上述说明中保存在存储器152中的信息的一部分或全部保存在辅助存储装置153中。
客户端101也可以具有输入接口155及输出接口158。输入接口155是连接键盘156、鼠标157等、接受来自操作者的输入的接口。输出接口158是连接显示器装置159、打印机等、将程序的执行结果以操作者可辨识的形式输出的接口。
通信接口154是按照规定的协议来控制与其他装置的通信的网络接口装置。此外,通信接口154例如包括USB等串行接口。
处理器151执行的程序经由可移动介质(CD-ROM、闪存存储器等)或网络被提供至客户端101,并保存到作为非暂时性存储介质的非易失性的辅助存储装置153中。因此,优选的是客户端101具有从可移动介质读入数据的接口。
客户端101是在物理上在一个计算机上、或者逻辑或物理上构成的多个计算机上构成的计算机系统,既可以在同一计算机上以单独的线程动作,也可以在构建于多个物理的计算机资源上的虚拟计算机上动作。另外,多个客户端101也可以在物理上在一个计算机上构成。
例如,处理器151通过按照作为装载在存储器152中的程序的文件访问控制部112动作,作为文件访问控制部发挥功能,并且通过按照作为装载在存储器152中的程序的数据发送控制部113动作,作为数据发送控制部发挥功能。关于其他程序也是同样的。
另外,文件共享服务器102及管理服务器103的硬件结构由于与客户端101的硬件结构是同样的,所以省略说明。例如,透过型加密文件135及非透过型加密文件136被保存到文件共享服务器102的辅助存储装置中。此外,例如白名单列表更新部141被保存到管理服务器103的存储器中,文件访问日志142、网络通信日志143及白名单列表144被保存到管理服务器103的辅助存储装置中。另外,也可以将客户端101、文件共享服务器102及管理服务器103的至少两个在物理上在一个计算机上构成。
另外,在本实施方式中,各装置使用的信息不依赖于数据构造,用怎样的数据构造表现都可以。例如可以是从表、列表、数据库或队列适当选择的数据构造体保存信息。
图2是表示由数据泄漏防止部111进行的文件访问控制及数据发送控制的一例的说明图。文件访问控制部112控制对各透过型加密文件132及各非透过型加密文件133的访问。
数据发送控制部113控制客户端101与作为本地网络上的服务器的文件共享服务器102之间的网络通信、以及客户端101与作为因特网105上的服务器的C&C服务器104之间的网络通信。另外,数据泄漏防止部111也可以对文件共享服务器102上的各透过型加密文件135及各非透过型加密文件136施以文件访问控制及数据发送控制。
文件访问控制部112参照白名单列表114,判定应用群120的各应用的进程是许可进程还是禁止进程。文件访问控制部112许可与许可进程对应的应用211及应用212对透过型加密文件132及非透过型加密文件133的访问。此外,文件访问控制部112将与禁止进程对应的应用213及应用214的对透过型加密文件132的访问禁止,对非透过型加密文件133的访问许可。
另外,文件访问控制部112对于进行了对透过型加密文件132的访问的应用的进程,将网络禁止标志设定为ON,以使得以后由数据发送控制部113控制网络通信。
数据发送控制部113基于进程信息或文件的形式控制网络通信。例如,数据发送控制部113仅许可对于透过型加密文件132的、使用规定的通信协议的数据发送。SMB(ServerMessage Block)是该规定的通信协议的一例。
数据发送控制部113通过在通信协议是SMB的情况下许可数据发送,能够向文件共享服务器102发送透过型加密文件132,并且禁止通过其他通信协议向C&C服务器104发送透过型加密文件132。
此外,例如数据发送控制部113对于非透过型加密文件133,与通信协议无关地都许可数据发送。由于非透过型加密文件133是只有输入了正确的口令的用户(例如,登录到客户端101的OS(Operating System)中的用户)才能够参照的文件,所以即使被发送至C&C服务器104,非透过型加密文件133的信息泄漏的可能性也极低。另外,本实施方式的数据泄漏防止系统的处理不依赖于OS。
图3是进程列表117的一例。进程列表117例如包括句柄栏301、许可进程标志栏302及网络禁止标志栏303。句柄栏301保存表示在客户端101上启动的进程的进程句柄的信息。
许可进程标志栏302保存表示对应的进程能否对透过型加密文件132访问的许可进程标志。许可进程标志是ON的进程被许可对透过型加密文件132的访问,许可进程标志是OFF的进程不被许可对透过型加密文件132的访问。
网络禁止标志栏303保存表示对应的进程能否经由因特网105而与外部服务器进行通信的网络禁止标志。网络禁止标志是ON的进程被禁止经由因特网105而与外部服务器进行通信,网络禁止标志是OFF的进程没有被禁止经由因特网105而与外部服务器进行通信。以下,将保存在进程列表117中的信息也称作进程信息。
图4是表示进程启动处理的一例的流程图。例如,在客户端101上执行应用是该流程图的开始触发。进程列表生成部118等待进程的启动(S401)。在进程启动的情况下,进程列表生成部118关于已启动的进程执行步骤S402以后的处理。
进程列表生成部118判定客户端101是否登录到OS中(S402)。进程列表生成部118在判定为客户端101登录到OS中的情况下(S402:真),取得与该进程对应的执行模块(例如exe文件等执行文件)的信息(S403)。执行模块的哈希值、执行模块的路径及对于执行模块的签名的有无等都是执行模块的信息的一例。此外,进程列表生成部118在步骤S403中,取得表示在该进程中是否由其他进程启动了远程线程的信息。进程列表生成部118在判定为客户端101没有登录到OS中的情况下(S402:伪),向后述的步骤S406转移。
接续于步骤S403,进程列表生成部118判定所取得的执行模块的信息是否登记在白名单列表114中,即执行中的应用是否登记在白名单列表114中(S404)。
进程列表生成部118在判定为该应用没有登记在白名单列表114中的情况下(S404:伪),向后述的步骤S406转移。进程列表生成部118在判定为该应用登记在白名单列表114中的情况下(S404:真),将启动中的进程的许可进程标志的值决定为ON(S405)。接着,进程列表生成部118再开始进程的启动(S406)。
接着,进程列表生成部118取得所启动的进程的句柄,将所取得的句柄向句柄栏301保存(S407)。接着,进程列表生成部118在许可进程标志栏302的与已启动的进程的句柄对应的单元(cell)中保存许可进程标志(S408)。另外,进程列表生成部118在执行了步骤S405的处理的情况下,在该单元中保存值“ON”,在没有执行步骤S405的处理的情况下,在该单元中保存值“OFF”。
通过以上的处理,与登记在白名单列表114中的应用对应的启动后的进程对透过型加密文件132的访问被许可。此外,与恶意软件等没有登记在白名单列表114中的应用对应的启动后的进程对透过型加密文件132的访问被禁止。此外,在步骤S402中判定为没有登录到OS中的情况下,不论有没有向白名单列表114登记,都禁止启动后的进程对透过型加密文件132的访问。
图5是表示OS登录时的处理的一例的流程图。客户端101登录到OS中是该流程图的开始触发。首先,进程列表生成部118从进程列表117中检索启动的进程(S501)。进程列表生成部118关于作为步骤S501中的检索结果的启动的各进程执行步骤S503~S506的处理(S502),关于全部的进程执行该处理后,结束该流程图的处理。
进程列表生成部118与步骤S403~S404同样,取得与进程对应的执行模块的信息(S503),判定所取得的执行模块的信息是否登记在白名单列表114中、即执行中的应用是否登记在白名单列表114中(S504)。此外,进程列表生成部118在步骤S503中,取得表示在该进程中是否由其他进程启动了远程线程的信息。
进程列表生成部118在判定为该应用没有登记在白名单列表114中的情况下(S504:伪),向后述的步骤S506转移。进程列表生成部118在判定为该应用登记在白名单列表114中的情况下(S504:真),将该进程的许可进程标志的值决定为ON(S505)。
接着,进程列表生成部118将许可进程标志栏302的与该进程的句柄对应的单元的值更新(S506)。另外,进程列表生成部118在执行了步骤S505的处理的情况下,在该单元中保存值“ON”,在没有执行步骤S505的处理的情况下,在该单元中保存值“OFF”。
图6是表示进程结束时的处理的一例的流程图。进程列表生成部118从进程列表117中删除与已结束的进程对应的记录。
图7是表示文件访问控制处理的一例的流程图。当登记在进程列表117中的进程进行了文件的打开请求时,文件访问控制部112执行以下的处理。
首先,文件访问控制部112从许可进程标志栏302取得该进程的许可进程标志,判定所取得的许可进程标志是否是ON(S701)。文件访问控制部112在判定为许可进程标志是ON的情况下(S701:真),判定该进程的访问对象的文件是否是透过型加密文件132(S702)。
文件访问控制部112在判定为该进程的访问对象的文件不是透过型加密文件132的情况下(S702:伪),向后述的步骤S704转移。
文件访问控制部112在判定为该进程的访问对象的文件是透过型加密文件132的情况下(S702:真),将与该进程对应的网络禁止标志决定为ON,反映到网络禁止标志栏303中(S703)。接着,文件访问控制部112许可该进程对访问对象文件的打开(S704),将该进程的文件访问内容向文件访问日志115记录(S707),结束该流程图的处理。向文件访问日志115的记录内容如上所述。
文件访问控制部112在判定为许可进程标志不是ON的情况下(S701:伪),判定该进程的访问对象的文件是否是非透过型加密文件133(S705)。文件访问控制部112在判定为该进程的访问对象的文件是非透过型加密文件133的情况下(S705:真),向步骤S704转移。
文件访问控制部112在判定为该进程的访问对象的文件不是非透过型加密文件133的情况下(S705:伪),文件访问控制部112禁止该进程对访问对象文件的打开(S706),向步骤S707转移,然后结束该流程图的处理。
文件访问控制部112通过步骤S703的处理,能够将访问了透过型加密文件132的进程的网络通信禁止。此外,由于恶意软件等的进程的许可进程标志是OFF,所以文件访问控制部112通过步骤S705~S706的处理,能够禁止恶意软件对透过型加密文件132的访问。
此外,文件访问控制部112通过步骤S704~S705的处理,即使是没有登记在许可进程标志ON白名单列表中的进程,也能够访问非透过型加密文件133。因而,通过图7的处理,实现文件访问的便利性和安全性的兼顾。
另外,文件访问控制部112例如在步骤S701中判定为许可进程标志不是ON的情况下,也可以将步骤S705省略,而向步骤S706转移。此外,由此,文件访问控制部112能够进一步提高安全等级。
图8是表示数据发送控制处理的一例的流程图。当登记在进程列表117中的进程请求了网络通信时,数据发送控制部113执行以下的处理。
首先,数据发送控制部113判定该进程请求的网络通信是否是基于规定的协议的网络通信(S801)。数据发送控制部113在判定为该进程请求的网络通信是基于规定的协议的网络通信的情况下(S801:真),许可该进程的网络通信(S806)。如上述那样,例如如果该规定的协议是SMB,则数据发送控制部113能够实现该进程对本地网络上的文件共享服务器102的访问。
数据发送控制部113在执行步骤S806的处理后,将该进程的网络通信内容向网络通信日志116记录(S807),结束该流程图的处理。另外,网络通信日志116的记录内容如上所述。
数据发送控制部113在判定为该进程请求的网络通信不是基于规定的协议的网络通信的情况下(S801:伪),判定在该进程中是否由其他进程启动了远程线程(S802)。另外,线程是CPU利用单位的一例,1个以上的线程构成进程。数据发送控制部113通过步骤S802的判定处理,能够禁止被执行代码植入攻击的进程的网络通信。
数据发送控制部113在判定为在该进程中没有由其他进程启动远程线程的情况下(S802:伪),向步骤S806转移。数据发送控制部113在判断为在该进程中由其他进程启动了远程线程的情况下(S802:真),参照网络禁止标志栏303,判定请求了网络通信的进程的网络禁止标志是否是ON(S803)。
数据发送控制部113在判定为该进程的网络禁止标志不是ON的情况下(S803:伪),向步骤S806转移。数据发送控制部113在判定为该进程的网络禁止标志是ON的情况下(S803:真),判定该进程的网络通信请求的访问对象是否是非透过型加密文件133(S804)。
数据发送控制部113在判定为该进程的网络通信请求的访问对象是非透过型加密文件133的情况下(S804:真),向步骤S806转移。数据发送控制部113在判定为该进程的网络通信请求的访问对象不是非透过型加密文件133的情况下(S804:伪),禁止该进程的网络通信(S805),向步骤S807转移,将该流程图中的处理结束。
数据发送控制部113通过步骤S804的处理,能够许可非透过型加密文件133的数据发送。非透过型加密文件133由于从正规的用户以外不能参照,所以数据发送控制部113通过在访问对象文件是非透过型加密文件133的情况下许可网络通信,能够不使安全等级下降而许可通过邮箱软件或浏览器等正规的应用进行的数据发送。即,能够不使安全等级下降而确保便利性。
另外,数据发送控制部113也可以不实施步骤S801、步骤S802及步骤S804中的判定处理的至少1个。这些判定处理越多,安全等级越提高。此外,这些判定处理越少,使用性越提高。因而,优选的是,客户端101的管理者考虑安全等级与使用性的平衡来决定判定处理的数量。
图9是表示白名单列表更新处理的一例的说明图。图9说明管理服务器103按照从多个客户端101收集到的信息制作更新应用列表并向该多个客户端101分发、该多个客户端101按照更新应用列表将白名单列表114更新的例子。
白名单列表114例如包括初始应用列表901及追加应用列表902这两种白名单列表。初始应用列表901例如在数据泄漏防止部111向客户端101的导入时预先设定。追加应用列表902是包括客户端101的用户追加的应用在内的白名单列表,随时被更新。
管理服务器103保持的白名单列表144例如包括初始应用列表911及更新应用列表912这两种白名单列表。初始应用列表911例如是与初始应用列表901相同的白名单列表。更新应用列表912是管理服务器103的白名单列表更新部141基于从各客户端101收集到的信息生成的列表,保持向白名单列表114的追加对象的应用及从白名单列表114的删除对象的应用的信息。
客户端101的白名单列表更新部119例如定期地或根据来自管理服务器103的请求,将追加应用列表902向管理服务器103发送。管理服务器103的白名单列表更新部141使从各客户端101接收到的追加应用列表中记录的内容反映到追加应用列表913中。
文件访问控制部112例如定期地或根据来自管理服务器103的请求,将文件访问日志115向管理服务器103发送。管理服务器103的白名单列表更新部141使从各客户端101接收到的文件访问日志中记录的内容反映到文件访问日志142中。另外,例如文件访问控制部112也可以在记录在文件访问日志115中的内容中,仅将表示许可还是禁止了各应用的进程的文件访问的信息向管理服务器103发送。
数据发送控制部113例如定期地或根据来自管理服务器103的请求,将网络通信日志116向管理服务器103发送。管理服务器103的白名单列表更新部141使从各客户端101接收到的网络通信日志中记录的内容反映到网络通信日志143中。另外,例如数据发送控制部113也可以在记录在网络通信日志116中的内容中,仅将表示许可还是禁止了各应用的进程的网络通信的信息向管理服务器103发送。
管理服务器103的白名单列表更新部141对追加应用列表913、文件访问日志142及网络通信日志143进行解析,生成更新应用列表912,向各客户端101分发。
各客户端101的白名单列表更新部119将分发来的更新应用列表所表示的追加对象的应用向白名单列表114追加,将删除对象的应用从白名单列表114删除。
另外,白名单列表更新部119将追加对象的应用向初始应用列表901或追加应用列表902追加。此外,白名单列表114也可以包含与初始应用列表901及追加应用列表902不同的应用列表,白名单列表更新部119也可以将追加对象的应用追加到该应用列表中。
图10是表示由管理服务器103进行的更新应用列表912的生成处理的一例的流程图。白名单列表更新部141定期地或按照用户等的指示,开始更新应用列表912的生成处理。另外,也可以不执行后述的步骤S1001~S1002的组合、步骤S1003~S1004的组合、步骤S1005~S1006的组合、步骤S1007~S1008的组合及步骤S1009~S1010的组合中的至少1个组合的处理。
白名单列表更新部141参照追加应用列表913,判定是否有规定数量以上的客户端101追加在追加应用列表902中的应用(S1001)。白名单列表更新部141在判定为有该应用的情况下(S1001:真),将该应用包含在更新应用列表912的追加对象应用中(S1002),向步骤S1003转移。
白名单列表更新部141在判定为没有该应用的情况下(S1001:伪),向步骤S1003转移。白名单列表更新部141通过执行步骤S1001~步骤S1002的处理,能够将多数客户端101的用户判断为安全的应用追加到其他客户端101的白名单列表114中。
接着,白名单列表更新部141参照文件访问日志142,判定是否有以与登录用户不同的用户权限执行、并且访问了透过型加密文件132的应用(S1003)。白名单列表更新部141在判定为有该应用的情况下(S1003:真),将该应用包含在更新应用列表912的删除对象应用中(S1004),向步骤S1005转移。
白名单列表更新部141在判定为没有该应用的情况下(S1003:伪),向步骤S1005转移。白名单列表更新部141通过执行步骤S1003~步骤S1004的处理,能够将以与登录用户不同的用户的权限执行的可疑的应用从白名单列表114中删除。
接着,白名单列表更新部141参照文件访问日志142,判定是否有对规定数以上的路径的透过型加密文件132进行了访问的应用(S1005)。白名单列表更新部141在判定为有该应用的情况下(S1005:真),将该应用包含在更新应用列表912的删除对象应用中(S1006),向步骤S1007转移。白名单列表更新部141在判定为没有该应用的情况下(S1005:伪),向步骤S1007转移。
白名单列表更新部141通过执行步骤S1005~步骤S1006的处理,能够将对各种路径的文件进行了访问请求的可疑的应用从白名单列表114中删除。另外,也可以将步骤S1003及步骤S1005各自的判定条件下的“透过型加密文件”替换为“透过型加密文件及非透过型加密文件”。
接着,白名单列表更新部141参照网络通信日志143,判定是否有在S时间内进行了M次以上的网络通信的应用(S1007)。白名单列表更新部141在判定为有该应用的情况下(S1007:真),将该应用包含在更新应用列表912的删除对象应用中(S1008),向步骤S1009转移。
白名单列表更新部141在判定为没有该应用的情况下(S1007:伪),向步骤S1009转移。白名单列表更新部141通过执行步骤S1007~步骤S1008的处理,能够将想要将文件频繁地向外部发送的可疑的应用从白名单列表114中删除。
接着,白名单列表更新部141参照网络通信日志143,判定是否有在规定的时间段中进行了L次以上的网络通信的应用(S1009)。另外,例如在规定的时间段是从上午0时00分到上午6时00分的情况下,白名单列表更新部141将只要有1天在从上午0时00分到上午6时00分的期间中进行了L次以上的网络通信的应用决定为满足步骤S1009的判定条件的应用。此外,白名单列表更新部141也可以将在规定期间(例如1个月)的各天的上午0时00分到上午6时00分进行了网络通信的次数的平均值为L次以上的应用决定为满足步骤S1009的判定条件的应用。
白名单列表更新部141在判定为有该应用的情况下(S1009:真),将该应用包含在更新应用列表912的删除对象应用中(S1010),结束该流程图的处理。白名单列表更新部141在判定为没有该应用的情况下(S1009:伪),结束该流程图的处理。白名单列表更新部141通过执行步骤S1009~步骤S1010的处理,例如能够将在通常不执行客户端101的操作的可疑的时间段中频繁地进行网络通信的应用从白名单列表114中删除。
以上,本实施方式的数据泄漏防止部111根据应用的进程是否是许可进程、以及进程的访问对象是否是透过型加密文件132,来使文件访问控制及数据发送控制动态地变化。由此,即使是客户端101没有检测到感染了恶意软件的阶段,数据泄漏防止部111也能够防止数据泄漏,还能够确保客户端101的用户的便利性。
另外,本发明并不限定于上述实施例,包含各种变形例。例如,上述实施例是为了将本发明容易理解地说明而详细地说明的,并不一定限定于具备所说明的全部结构。此外,也可以将某个实施例的结构的一部分替换为其他实施例的结构,此外,也能够对某个实施例的结构添加其他实施例的结构。此外,关于各实施例的结构的一部分,能够进行其他结构的追加、删除、置换。
此外,上述各结构、功能、处理部、处理机构等也可以通过将它们的一部分或全部例如用集成电路设计等而用硬件实现。此外,上述各结构、功能等也可以通过由处理器将实现各个功能的程序解释并执行而用软件实现。实现各功能的程序、表、文件等的信息能够放置在存储器、硬盘、SSD(Solid State Drive)等记录装置、或IC卡、SD卡、DVD等记录介质中。
此外,关于控制线及信息线,示出了认为在说明上需要的部分,在产品上并不一定示出了全部的控制线及信息线。实际上也可以认为将几乎全部的结构相互连接。
Claims (9)
1.一种数据泄漏防止系统,控制进程对文件的访问及进程的网络通信,其特征在于,
包括处理器和存储装置;
上述存储装置保持:
第1文件,没有被加密或能够由上述处理器自动解密;
第2文件,不能由上述处理器自动解密;以及
进程信息,表示被许可对上述存储装置所保持的文件的访问的许可进程;
上述处理器进行以下处理:
受理上述进程的文件访问请求;
参照上述进程信息,判定上述进程是否是上述许可进程;
执行判定是否禁止上述进程的网络通信的判定处理;
在上述判定处理中,在判定为上述进程是上述许可进程、并且上述文件访问请求中的访问对象是上述第1文件的情况下,禁止上述进程的网络通信,
上述处理器在判定为上述文件访问请求中的访问对象是上述第2文件的情况下,不论上述判定处理的判定结果如何,都许可上述进程的网络通信。
2.如权利要求1所述的数据泄漏防止系统,其特征在于,
上述处理器在判定为上述文件访问请求中的访问对象是上述第2文件的情况下,不论上述进程是否是上述许可进程,都许可上述进程对上述第2文件的访问。
3.如权利要求1所述的数据泄漏防止系统,其特征在于,
上述处理器受理上述进程的网络通信请求,在上述网络通信请求中的通信协议是规定的通信协议的情况下,不论上述判定处理的判定结果如何,都许可上述进程的网络通信。
4.如权利要求1所述的数据泄漏防止系统,其特征在于,
上述处理器在判定为在上述进程中没有由其他进程启动远程线程的情况下,不论上述判定处理的结果如何,都许可上述进程的网络通信。
5.如权利要求1所述的数据泄漏防止系统,其特征在于,
上述处理器从多个用户受理应用的指定,将由规定数以上的用户指定的应用的进程作为上述许可进程,向上述进程信息追加。
6.如权利要求1所述的数据泄漏防止系统,其特征在于,
上述存储装置还保持表示应用对上述存储装置所保持的文件的访问履历的文件访问日志;
上述文件访问日志表示执行了上述应用的用户权限;
上述处理器从上述文件访问日志取得上述用户权限,并基于所取得的上述用户权限与登录到上述数据泄漏防止系统中的用户的比较结果,变更上述进程信息中的许可进程。
7.如权利要求1所述的数据泄漏防止系统,其特征在于,
上述存储装置还保持表示应用对上述存储装置所保持的文件的访问履历的文件访问日志;
上述文件访问日志表示上述应用访问过的文件的路径数;
上述处理器从上述文件访问日志取得上述路径数,并基于所取得的上述路径数,变更上述进程信息中的许可进程。
8.如权利要求1所述的数据泄漏防止系统,其特征在于,
上述存储装置还保持表示应用所进行的网络通信次数的网络通信日志;
上述处理器从上述网络通信日志取得上述网络通信次数,并基于所取得的上述网络通信次数,变更上述进程信息中的许可进程。
9.一种数据泄漏防止方法,其是数据泄漏防止系统控制进程对文件的访问及进程的网络通信的数据泄漏防止方法,其特征在于,
数据泄漏防止系统保持:
第1文件,没有被加密或能够由上述数据泄漏防止系统自动解密;
第2文件,不能由上述数据泄漏防止系统自动解密;以及
进程信息,表示被许可对上述数据泄漏防止系统所保持的文件的访问的许可进程;
在上述数据泄漏防止方法中,
上述数据泄漏防止系统进行以下处理:
受理上述进程的文件访问请求;
参照上述进程信息,判定上述进程是否是上述许可进程;
执行判定是否禁止上述进程的网络通信的判定处理;
在上述判定处理中,在判定为上述进程是上述许可进程、并且上述文件访问请求中的访问对象是上述第1文件的情况下,禁止上述进程的网络通信,
上述数据泄漏防止系统在判定为上述文件访问请求中的访问对象是上述第2文件的情况下,不论上述判定处理的判定结果如何,都许可上述进程的网络通信。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016-144183 | 2016-07-22 | ||
| JP2016144183A JP6712922B2 (ja) | 2016-07-22 | 2016-07-22 | データ漏洩防止システム及びデータ漏洩防止方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107644174A CN107644174A (zh) | 2018-01-30 |
| CN107644174B true CN107644174B (zh) | 2021-01-08 |
Family
ID=60989619
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710106843.3A Active CN107644174B (zh) | 2016-07-22 | 2017-02-27 | 数据泄漏防止系统及数据泄漏防止方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20180026986A1 (zh) |
| JP (1) | JP6712922B2 (zh) |
| CN (1) | CN107644174B (zh) |
| HK (1) | HK1248870A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2566765B (en) | 2017-03-23 | 2022-09-14 | Pismo Labs Technology Ltd | Method and system for restricting transmission of data traffic for devices with networking capabilities |
| KR101893950B1 (ko) * | 2018-02-06 | 2018-08-31 | 주식회사 이스트시큐리티 | 랜부팅 환경 기반 파일 보안 및 중앙화를 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 |
| US11310246B2 (en) | 2018-08-10 | 2022-04-19 | Cisco Technology, Inc. | Endpoint-assisted inspection of encrypted network traffic |
| CN109117630B (zh) * | 2018-09-27 | 2023-08-01 | 努比亚技术有限公司 | 减少日志丢失的方法、移动终端及可读存储介质 |
| JP7553014B2 (ja) | 2020-08-04 | 2024-09-18 | 株式会社教育ソフトウェア | オンライン試験支援装置およびプログラム |
| US20230164144A1 (en) * | 2021-02-05 | 2023-05-25 | Namusoft Co., Ltd | Data protection system |
| US20220309184A1 (en) * | 2021-03-26 | 2022-09-29 | Rubrik, Inc. | File content analysis and data management |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1822014A (zh) * | 2006-03-23 | 2006-08-23 | 沈明峰 | 协同工作环境下涉密文档的保护方法 |
| CN101273366A (zh) * | 2005-11-02 | 2008-09-24 | 日立软件工程株式会社 | 机密文件保护方法以及机密文件保护系统 |
| CN101848207A (zh) * | 2010-04-02 | 2010-09-29 | 无锡华御信息技术有限公司 | 一种基于集中控管的防信息泄密系统 |
| CN101923678A (zh) * | 2010-07-30 | 2010-12-22 | 武汉天喻信息产业股份有限公司 | 一种企业管理软件的数据安全保护方法 |
| JP2015056090A (ja) * | 2013-09-13 | 2015-03-23 | 株式会社日立ソリューションズ | ファイルアクセス制御装置、ファイルアクセス制御プログラム及びファイルアクセス制御方法 |
-
2016
- 2016-07-22 JP JP2016144183A patent/JP6712922B2/ja active Active
-
2017
- 2017-02-23 US US15/440,546 patent/US20180026986A1/en not_active Abandoned
- 2017-02-27 CN CN201710106843.3A patent/CN107644174B/zh active Active
-
2018
- 2018-07-03 HK HK18108500.6A patent/HK1248870A1/zh unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101273366A (zh) * | 2005-11-02 | 2008-09-24 | 日立软件工程株式会社 | 机密文件保护方法以及机密文件保护系统 |
| CN1822014A (zh) * | 2006-03-23 | 2006-08-23 | 沈明峰 | 协同工作环境下涉密文档的保护方法 |
| CN101848207A (zh) * | 2010-04-02 | 2010-09-29 | 无锡华御信息技术有限公司 | 一种基于集中控管的防信息泄密系统 |
| CN101923678A (zh) * | 2010-07-30 | 2010-12-22 | 武汉天喻信息产业股份有限公司 | 一种企业管理软件的数据安全保护方法 |
| JP2015056090A (ja) * | 2013-09-13 | 2015-03-23 | 株式会社日立ソリューションズ | ファイルアクセス制御装置、ファイルアクセス制御プログラム及びファイルアクセス制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107644174A (zh) | 2018-01-30 |
| JP2018014020A (ja) | 2018-01-25 |
| US20180026986A1 (en) | 2018-01-25 |
| HK1248870A1 (zh) | 2018-10-19 |
| JP6712922B2 (ja) | 2020-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107644174B (zh) | 数据泄漏防止系统及数据泄漏防止方法 | |
| CN109923548B (zh) | 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品 | |
| JP7545419B2 (ja) | 統合された隔離されたアプリケーションにおけるランサムウェアの被害の軽減 | |
| EP3365828B1 (en) | Methods for data loss prevention from malicious applications and targeted persistent threats | |
| US9934407B2 (en) | Apparatus for and method of preventing unsecured data access | |
| TWI431501B (zh) | 在usb訊標上的密碼鍵容器 | |
| US20070011469A1 (en) | Secure local storage of files | |
| US20110016330A1 (en) | Information leak prevention device, and method and program thereof | |
| US20070016771A1 (en) | Maintaining security for file copy operations | |
| US20120102564A1 (en) | Creating distinct user spaces through mountable file systems | |
| US20120131635A1 (en) | Method and system for securing data | |
| WO2010061801A1 (ja) | 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム | |
| RU2559728C2 (ru) | Система и способ копирования файлов с зашифрованного диска | |
| WO2007008806A2 (en) | Secure clipboard function | |
| JP2008052704A (ja) | コンピュータおよび共有パスワードの管理方法 | |
| WO2012057632A2 (en) | Secure computer system | |
| EP3185464B1 (en) | Key generation information trees | |
| US10262131B2 (en) | Systems and methods for obtaining information about security threats on endpoint devices | |
| RU2546585C2 (ru) | Система и способ предоставления прав доступа приложениям к файлам компьютера | |
| RU84594U1 (ru) | Накопитель с защитой от несанкционированного доступа к памяти | |
| CN106796644B (zh) | 访问控制系统及访问控制方法 | |
| RU2571380C2 (ru) | Система и способ для изоляции ресурсов посредством использования ресурсных менеджеров | |
| JP6884652B2 (ja) | ホワイトリスト管理システムおよびホワイトリスト管理方法 | |
| JP4801777B2 (ja) | 認証処理システム、及び認証処理方法、並びにプログラム | |
| JP6284317B2 (ja) | 情報処理装置、情報処理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1248870 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |