CN108063771B - 加密压缩文件的监控方法及装置 - Google Patents

加密压缩文件的监控方法及装置 Download PDF

Info

Publication number
CN108063771B
CN108063771B CN201711498619.XA CN201711498619A CN108063771B CN 108063771 B CN108063771 B CN 108063771B CN 201711498619 A CN201711498619 A CN 201711498619A CN 108063771 B CN108063771 B CN 108063771B
Authority
CN
China
Prior art keywords
compressed file
authority
file
monitoring
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711498619.XA
Other languages
English (en)
Other versions
CN108063771A (zh
Inventor
马勺布
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Changyu Technology Co ltd
Original Assignee
Beijing Changyu Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Changyu Technology Co ltd filed Critical Beijing Changyu Technology Co ltd
Priority to CN201711498619.XA priority Critical patent/CN108063771B/zh
Publication of CN108063771A publication Critical patent/CN108063771A/zh
Application granted granted Critical
Publication of CN108063771B publication Critical patent/CN108063771B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/1734Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/174Redundancy elimination performed by the file system
    • G06F16/1744Redundancy elimination performed by the file system using compression, e.g. sparse files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种加密压缩文件的监控方法及装置,该监控方法包括:监测到对压缩文件的操作;查询所述压缩文件的权限;根据查询到的压缩文件的权限对所述操作实施阻止或放行;其中,所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。本发明所提供的对加密压缩文件的监控方法,通过对加密压缩文件赋予新权限,保证在防止加密压缩文件外泄的前提下,大大提高了压缩文件的可用性,兼顾了压缩文件的安全性与可用性。

Description

加密压缩文件的监控方法及装置
技术领域
本发明涉及信息安全技术领域,具体涉及一种加密压缩文件的监控方法及装置。
背景技术
在互联网时代,信息安全非常重要,特别是在信息企业中,电子资料是企业的重要资产,需要格外注意信息安全保护,但是时常会发生员工有意或无意泄密企业核心数据,黑客利用木马技术窃取企业数据,还有勒索病毒破坏企业数据等现象。
为应对这些安全威胁,各种企业数据保护技术方案也应运而生,例如:基于文件加密技术的防泄密方案。在数据丢失防护技术领域中,比较棘手的一个问题是加密压缩文件的内容判别问题,当一个加密压缩文件试图被发送到企业网络之外,或者发送给企业内没有访问权限的员工,由于内容被加密,技术层面很难对其进行精准识别,因而也无法对该压缩文件实施灵活的安全策略。
现有技术主要采用“禁止或者允许加密压缩文件传输”的简单策略,例如:在边界网关设备处对加密压缩文件直接进行拦截或放行,在文件被拷贝到USB(Universal SerialBus,通用串行总线)设备时直接拦截或放行。这种实施方法比较简单,但无法兼顾安全性与可用性。
发明内容
有鉴于此,本发明的目的在于克服现有技术的不足,提供一种加密压缩文件的监控方法及装置。
为实现以上目的,本发明采用如下技术方案:一种加密压缩文件的监控方法,包括:
监测到对压缩文件的操作;
查询所述压缩文件的权限;
根据查询到的压缩文件的权限对所述操作实施阻止或放行;
其中,所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。
可选的,所述压缩文件的权限是所述压缩文件包含的所有子文件中权限安全级别最高的一个权限。
可选的,当所述方法由客户端执行时,所述方法还包括:
客户端向服务端发送客户端所存储的子文件的文件信息,以使所述服务端根据所述子文件信息确定相应子文件的权限。
可选的,所述压缩文件的权限是所述客户端从所述服务端获取的,所述监测到对压缩文件的操作之后,所述方法还包括:
客户端根据所述操作的事件信息确定审计信息,并将所述审计信息发送给服务端,以使所述服务端根据所述审计信息确定所述压缩文件包含的子文件以及根据所述子文件的权限确定所述压缩文件的权限。
可选的,所述客户端根据所述操作的事件信息确定审计信息,包括:
客户端监测到压缩文件对子文件的操作;
客户端判断所述操作是否为已记录的压缩程序执行的;
如果所述操作是已记录的压缩程序执行的,判断所述子文件是否为需要监控的文件;
如果所述子文件是需要监控的文件,客户端根据所述操作的事件信息确定审计信息。
可选的,所述客户端根据所述操作的事件信息确定审计信息,包括:
客户端监测到所述操作后,直接根据所述操作的事件信息确定审计信息。
可选的,当所述方法由网关设备执行时,所述查询所述压缩文件的权限,包括:
所述网关设备向服务端查询所述压缩文件的权限。
本发明还提供了一种加密压缩文件的监控装置,包括:
第一监测模块,用于监测对压缩文件的操作;
文件权限查询模块,用于查询所述压缩文件和子文件的权限;
执行模块,用于根据查询到的压缩文件的权限对所述操作实施拦截或放行;
第二监测模块,用于监测压缩程序对子文件的操作事件;
文件监控模块,用于判断所述压缩程序是否为已记录的压缩程序执行的;用于判断所述子文件列表中的子文件是否属于被监控的文件类型;
策略分析模块,用于根据所有子文件的权限,为所述压缩文件产生一个新权限;
策略管理模块,用于将所述策略分析模块产生的新权限和所述压缩文件作为一条记录予以保存。
本发明还提供了一种非临时性计算机可读存储介质,当所述存储介质中的指令由服务端的处理器执行时,使得服务端能够执行一种加密压缩文件的监控方法,所述方法包括:
监测到对压缩文件的操作;
查询所述压缩文件的权限;
根据查询到的压缩文件的权限对所述操作实施拦截或放行;
其中,所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。
本发明还提供了一种加密压缩文件的监控装置,包括:
处理器和用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
监测到对压缩文件的操作;
查询所述压缩文件的权限;
根据查询到的压缩文件的权限对所述操作实施拦截或放行;
其中,所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。
本发明采用以上技术方案,所述加密压缩文件的监控方法包括:监测到对压缩文件的操作;查询所述压缩文件的权限;根据查询到的压缩文件的权限对所述操作实施阻止或放行;其中,所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。本发明所提供的对加密压缩文件的监控方法,通过对加密压缩文件赋予新权限,保证在防止加密压缩文件外泄的前提下,大大提高了压缩文件的可用性,兼顾了压缩文件的安全性与可用性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明加密压缩文件的监控方法实施例一的流程图;
图2是本发明加密压缩文件的监控方法实施例二的流程图;
图3是本发明加密压缩文件的监控装置的结构示意图;
图4是本发明加密压缩文件的监控装置实施例一的结构示意图;
图5是本发明加密压缩文件的监控装置实施例二的结构示意图。
图中:1、第一监测模块;2、文件权限查询模块;3、执行模块;4、策略管理模块;5、策略分析模块;6、第二监测模块;7、文件监控模块;8、文件信息上传模块。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行详细的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本发明所保护的范围。
如图1所示,作为本发明实施例一,提供了一种加密压缩文件的监控方法,包括:
S11:监测到对压缩文件的操作;
例如,网关设备对经过网关的压缩文件的操作进行监测;或者是客户端对本地的压缩文件的操作进行监测。这里所述的对压缩文件的操作是指:对压缩文件发送、拷贝、读、写等操作。
S12:查询所述压缩文件的权限;
S13:根据查询到的压缩文件的权限对所述操作实施拦截或放行。
其中,所述压缩文件的权限是根据所述压缩文本包含的子文件的权限确定的。
如图2所示,作为本发明加密压缩文件的监控方法实施例二,当所述方法由客户端执行时,所述方法包括:
S20:客户端向服务端发送客户端所存储的子文件的文件信息,所述服务端获取所有子文件信息。
所述子文件信息包括:文件内容哈希值、文件完整路径(包括文件名称)、文件大小、客户端资产ID和客户端用户ID。
其中,所述文件内容哈希值可通过MD5(Message-Digest Algorithm,信息-摘要算法5)或SHA2(Secure Hash Algorithm 2,安全哈希算法2)计算得到。所述客户端资产ID可通过服务端的管理员人工配置,也可以由服务端自动配置:直接采用客户端硬件唯一标识码,比如:主板编码、网卡地址,或者是由软件产生的一个全球通用唯一标识码;客户端用户ID可以是具有唯一性质的员工编号、邮件地址或者是用户姓名等。
S21:在所述服务端完成对子文件的权限、要监控的压缩程序名称列表以及压缩文件扩展名列表的配置记录。
上述子文件的权限可以包括:文件的公开范围,能够操作的行为,例如读写,拷贝,外发等行为。
S22:监测压缩程序对子文件的操作事件,并形成审计信息;
可以是指客户端监测压缩程序对子文件的操作事件,所述操作事件包括打开文件、读取文件、创建压缩文件或写压缩文件等。
S23:判断所述压缩程序是否与压缩程序名称列表中的某一项匹配;当所述压缩程序与压缩程序名称列表中的某一项匹配时,执行S24,否则执行S28;
S24:获取压缩文件中包含的子文件列表,并判断所述子文件列表中的子文件是否属于被监控的文件类型,当被压缩的子文件属于被监控的文件类型时,执行S25,否则执行S28;
S25:将上述审计信息发送给服务端,以使所述服务端根据所述审计信息确定所述压缩文件包含的子文件以及所述子文件的权限;
S26:由所有子文件的权限产生一个新权限赋予所述压缩文件:选取所有子文件中权限安全级别最高的一个权限值作为所述压缩文件的权限;
S27:将所述新权限和所述压缩文件作为一条记录予以保存。
S28:忽略该操作事件。
S29:当客户端监测到对压缩文件的发送、拷贝、读、写等操作。
S210:查询所述压缩文件的权限。
S211:根据查询到的压缩文件的权限对所述操作实施阻止或放行。
所述审计信息包括对每个子文件的操作事件信息。其中,每条操作事件信息包括但不限于:压缩程序全路径、压缩程序哈希值、事件动作、文件哈希值、文件全路径、操作时间、客户端资产ID和客户端用户ID等。这里所述的压缩程序包括所有具备压缩能力的可执行程序,例如:RAR、ZIP等。
需要补充的是,所述子文件的格式包括:PDF、WORD、WPS、EXCEL、PPT、ZIP、GZ、RAR、TXT、JPEG、BMP图片文件、文字文件或压缩格式文件。
需要进一步补充说明的是,如图3所示,本发明还提供了一种加密压缩文件的监控装置,包括:
第一监测模块1,用于监测压缩文件的发送或拷贝操作;
文件权限查询模块2,用于查询所述压缩文件和子文件的权限;
执行模块3,用于根据查询到的压缩文件的权限实施拦截或放行;
第二监测模块6,用于监测压缩程序对子文件的操作事件;
文件监控模块7,用于判断所述压缩程序是否为已记录的压缩程序执行的;用于判断所述子文件列表中的子文件是否属于被监控的文件类型;
策略分析模块5,用于根据所有子文件的权限,为所述压缩文件产生一个新权限;
策略管理模块4,用于将所述策略分析模块5产生的新权限和所述压缩文件作为一条记录予以保存。
在实际使用中,所述策略分析模块5和策略管理模块4可以设置在服务端,所述第二监测模块6和文件监控模块7设置在客户端,所述第一监测模块1、文件权限查询模块2和执行模块3设置在客户端或网管设备中;所述策略管理模块4通过设置在客户端的文件信息上传模块8将客户端的文件信息发送至所述策略管理模块4,所述策略管理模块4获取所有子文件信息,并完成对子文件的权限、要监控的压缩程序名称列表以及压缩文件扩展名列表的配置。
举例说明,表1为所述配置子文件权限表的具体形式,表1中DOC_FULL_NAME由客户端的文件信息上传模块8发送到服务端,ASSET_ID和EMPLOYEE_ID由管理员导入,表1中的DOC_HASH表示文件内容哈希值,举例值采用了短字符串表示;DOC_FULL_NAME表示文件完整路径(包括名称);ASSET_ID表示资产ID;EMPLOYEE_ID表示用户ID;SEND_RIGHT表示外发权限(权限属性可以是一个或多个字段,例如:网络发送权限、U盘拷贝权限、读写权限等),布尔类型值。
所述压缩程序名称列表为:gzip.exe
/program/rar.exe
tar.exe...
DOC_HASH DOC_FULL_NAME ASSET_ID EMPLOYEE_ID SEND_right
H0001 C:\documents\e.pdf A0001 E0001 TRUE
H0001 D:\e.pdf A0001 E0001 TRUE
H0002 C:\m.doc A0001 E0001 FALSE
H0002 D:\m.doc A0002 E0001 FALSE
H0001 C:\documents\e.pdf A0003 E0002 TRUE
表1
所述压缩文件扩展名列表为:gz
zip
Rar...
可以理解的是,所述客户端的文件信息上传模块8可以采用周期性遍历所述客户端磁盘的方式,或者根据文件变动事件触发方式向所述服务端的策略管理模块4上传文件信息。所述文件变动事件是指对文件的创建、读写、删除或移动等操作。
所述第二监测模块6用于监测压缩程序对子文件的操作事件,每条操作事件信息字段包括但不限于:压缩程序全路径、压缩程序哈希值、事件动作、文件哈希值、文件全路径、操作时间、客户端资产ID和客户端用户ID等。
每条操作事件信息以如下的格式被发送到服务端的策略分析模块5,
进程名称、读取的文件名称、时间
进程名称、创建文件名称、时间
进程名称、读取文件名称、时间
进程名称、写文件名称、时间
......
所述策略分析模块5对收到的信息进行分析得到子文件列表,并根据所有子文件的权限,为所述压缩文件产生一个新权限。
所述策略分析模块5会向所述策略管理模块4发送一条增加或修改权限的请求,以实现将所述新权限和所述压缩文件作为一条记录保存在策略管理模块4中。
如图4所示,作为该监控装置的实施例一,当客户端的第一监测模块1监测到客户端上存在对本地的压缩文件进行发送或拷贝等操作时,会调用所述文件权限查询模块2向服务端的策略管理模块4发送权限查询请求,完成所述压缩文件的权限查询;位于客户端的执行模块3会根据文件权限查询模块2的查询结果对该压缩文件发送或拷贝等操作实行拦截或放行。
类似的,如图5所示,作为该监控装置的实施例二,网关设备也可对经过网关的压缩文件实施监控:当网关设备的第一监测模块1监测到网关设备上存在对压缩文件的发送或拷贝等操作时,所述网关设备会调用所述文件权限查询模块2向服务端的策略管理模块4发送权限查询请求,完成所述压缩文件的权限查询;位于网关设备的执行模块3会根据文件权限查询模块2的查询结果对该压缩文件发送或拷贝等实行拦截或放行。
此外,本申请还提供如下实施例:
一种非临时性计算机可读存储介质,当所述存储介质中的指令由服务端的处理器执行时,使得服务端能够执行一种加密压缩文件的监控方法,所述方法包括:
监测到对压缩文件的操作;
查询所述压缩文件的权限;
根据查询到的压缩文件的权限对所述操作实施拦截或放行;
其中,所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。
此外,本申请还提供如下实施例:
一种加密压缩文件的监控装置,包括:
处理器和用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
监测到对压缩文件的操作;
查询所述压缩文件的权限;
根据查询到的压缩文件的权限对所述操作实施拦截或放行;
其中,所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本申请的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (6)

1.一种加密压缩文件的监控方法,其特征在于,包括:
监测到对压缩文件的操作;
查询所述压缩文件的权限;
根据查询到的压缩文件的权限对所述操作实施阻止或放行;
其中,所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的;
当所述方法由客户端执行时,所述方法还包括:
客户端向服务端发送客户端所存储的子文件的文件信息,以使所述服务端根据所述子文件的文件信息确定相应子文件的权限;
所述压缩文件的权限是所述客户端从所述服务端获取的,所述监测到对压缩文件的操作之后,所述方法还包括:
客户端根据所述操作的事件信息确定审计信息,并将所述审计信息发送给服务端,以使所述服务端根据所述审计信息确定所述压缩文件包含的子文件以及根据所述子文件的权限确定所述压缩文件的权限。
2.根据权利要求1所述的加密压缩文件的监控方法,其特征在于,所述压缩文件的权限是所述压缩文件包含的所有子文件中权限安全级别最高的一个权限。
3.根据权利要求1所述的加密压缩文件的监控方法,其特征在于,所述客户端根据所述操作的事件信息确定审计信息,包括:
客户端监测到压缩程序对子文件的操作;
客户端判断所述操作是否为已记录的压缩程序执行的;
如果所述操作是已记录的压缩程序执行的,判断所述子文件是否为需要监控的文件;
如果所述子文件是需要监控的文件,客户端根据所述操作的事件信息确定审计信息。
4.根据权利要求1所述的加密压缩文件的监控方法,其特征在于,所述客户端根据所述操作的事件信息确定审计信息,包括:
客户端监测到所述操作后,直接根据所述操作的事件信息确定审计信息。
5.根据权利要求1所述的加密压缩文件的监控方法,其特征在于,当所述方法由网关设备执行时,所述查询所述压缩文件的权限,包括:
所述网关设备向服务端查询所述压缩文件的权限。
6.一种加密压缩文件的监控装置,其特征在于,包括:
第一监测模块,用于监测对压缩文件的操作;
文件权限查询模块,用于查询所述压缩文件和子文件的权限;
执行模块,用于根据查询到的压缩文件的权限对所述操作实施拦截或放行;
第二监测模块,用于监测压缩程序对子文件的操作事件;
文件监控模块,用于判断所述压缩程序是否为已记录的压缩程序执行的;用于判断子文件列表中的子文件是否属于被监控的文件类型;
策略分析模块,用于根据所有子文件的权限,为所述压缩文件产生一个新权限;
策略管理模块,用于将所述策略分析模块产生的新权限和所述压缩文件作为一条记录予以保存;
所述监控装置用于执行权利要求1至5任一项所述的加密压缩文件的监控方法。
CN201711498619.XA 2017-12-29 2017-12-29 加密压缩文件的监控方法及装置 Active CN108063771B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711498619.XA CN108063771B (zh) 2017-12-29 2017-12-29 加密压缩文件的监控方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711498619.XA CN108063771B (zh) 2017-12-29 2017-12-29 加密压缩文件的监控方法及装置

Publications (2)

Publication Number Publication Date
CN108063771A CN108063771A (zh) 2018-05-22
CN108063771B true CN108063771B (zh) 2020-12-18

Family

ID=62140591

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711498619.XA Active CN108063771B (zh) 2017-12-29 2017-12-29 加密压缩文件的监控方法及装置

Country Status (1)

Country Link
CN (1) CN108063771B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118779183A (zh) * 2024-09-12 2024-10-15 中孚安全技术有限公司 加密压缩包源文件的溯源方法、系统、电子设备及介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7373643B2 (en) * 2001-03-06 2008-05-13 Cybersoft, Inc. Apparatus, methods and articles of manufacture for data transmission
CN101957895A (zh) * 2009-07-17 2011-01-26 精品科技股份有限公司 一种电子档案外部权限控管的系统及其方法
CN103413088A (zh) * 2012-07-09 2013-11-27 深圳市利谱信息技术有限公司 一种计算机文档操作安全审计系统
CN104318169A (zh) * 2014-09-26 2015-01-28 北京网秦天下科技有限公司 基于安全策略来防止本地文件泄漏的移动终端和方法
CN104715209A (zh) * 2015-04-03 2015-06-17 山东华软金盾软件有限公司 一种外发文档加密保护方法
CN105786521A (zh) * 2016-03-18 2016-07-20 山东华软金盾软件股份有限公司 一种文件外发保护方法和装置
EP2599027B1 (en) * 2010-07-28 2017-07-19 Nextlabs, Inc. Protecting documents using policies and encryption

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4957732B2 (ja) * 2009-01-29 2012-06-20 コニカミノルタビジネステクノロジーズ株式会社 アクセス制限ファイル、制限ファイル生成装置、ファイル生成装置の制御方法、ファイル生成プログラム
CN107506642A (zh) * 2017-08-10 2017-12-22 四川长虹电器股份有限公司 防止文件被恶意操作行为损坏的方法与系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7373643B2 (en) * 2001-03-06 2008-05-13 Cybersoft, Inc. Apparatus, methods and articles of manufacture for data transmission
CN101957895A (zh) * 2009-07-17 2011-01-26 精品科技股份有限公司 一种电子档案外部权限控管的系统及其方法
EP2599027B1 (en) * 2010-07-28 2017-07-19 Nextlabs, Inc. Protecting documents using policies and encryption
CN103413088A (zh) * 2012-07-09 2013-11-27 深圳市利谱信息技术有限公司 一种计算机文档操作安全审计系统
CN104318169A (zh) * 2014-09-26 2015-01-28 北京网秦天下科技有限公司 基于安全策略来防止本地文件泄漏的移动终端和方法
CN104715209A (zh) * 2015-04-03 2015-06-17 山东华软金盾软件有限公司 一种外发文档加密保护方法
CN105786521A (zh) * 2016-03-18 2016-07-20 山东华软金盾软件股份有限公司 一种文件外发保护方法和装置

Also Published As

Publication number Publication date
CN108063771A (zh) 2018-05-22

Similar Documents

Publication Publication Date Title
US11057355B2 (en) Protecting documents using policies and encryption
US7673324B2 (en) Method and system for tracking an operating performed on an information asset with metadata associated therewith
US9262643B2 (en) Encrypting files within a cloud computing environment
US9542563B2 (en) Accessing protected content for archiving
US20170154188A1 (en) Context-sensitive copy and paste block
US20160292445A1 (en) Context-based data classification
JP5851029B2 (ja) デジタル資産の価値を決定して利用するための方法および装置
US20140019498A1 (en) System, method and computer readable medium for file management
US20140019497A1 (en) Modification of files within a cloud computing environment
US9477670B2 (en) Information management policy based on relative importance of a file
US20100138656A1 (en) Shielding a Sensitive File
US10956383B2 (en) Device backup and wipe
US10089166B2 (en) Configuring and utilizing call-home systems
US11336628B2 (en) Methods and systems for securing organizational assets in a shared computing environment
US9245132B1 (en) Systems and methods for data loss prevention
US9235717B1 (en) Secure copy and paste of mobile app data
CN108063771B (zh) 加密压缩文件的监控方法及装置
US10284586B1 (en) Data loss prevention techniques for applications with save to web functionality
KR102538694B1 (ko) 랜섬웨어로부터 데이터를 보호하기 위한 데이터 보호 시스템
KR102439075B1 (ko) 데이터 저장 시스템에서 데이터에 설정된 보존 기간을 기준시간 변조를 통해 회피하는 것을 방지하는 데이터 관리 방법
KR100901014B1 (ko) 가상 환경상에서의 응용 프로그램 실행 장치 및 방법
US10324624B2 (en) Decommissioning of source storages
Jochims et al. Effectiveness of Mobile Wiping Applications
JP6053182B2 (ja) トレースシステム及びトレース方法
CN113254997A (zh) 防御数据库被拖库的方法、装置、电子设备和计算机介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant