CN108763948B - 一种面向数据防泄密系统的文件自动审批方法及系统 - Google Patents

Abstract

本发明公开了一种面向数据防泄密系统的文件自动审批方法及系统，该方法包括以下步骤：对文件进行脱密外带申请，触发文件扫描请求；对文件进行扫描，并解析文件敏感度；对低敏感文件进行自动审批标签处理，并进行脱密加标签处理，对文件设置外带使用权限；对高敏感文件进行人工审批。使用本系统，提高了文件审批的效率，并且便于对文件泄密进行追溯。

Description

一种面向数据防泄密系统的文件自动审批方法及系统

技术领域

本发明涉及计算机数据安全领域，具体涉及一种面向数据防泄密系统的文件自动审批方法及系统。

背景技术

随着信息科学与互联网技术的飞跃发展，数据安全问题愈演愈烈，网络与信息安全已获得到前所未有的关注。数据防泄漏系统作为数据安全的终端防护手段，得到了广泛的关注和使用，其中的敏感文件的审批作为该系统的重要组成之一，对整个系统的使用和发展也起着关键性的作用，之前我们已经提出过自动审批相关技术，他是以扫描技术和审批技术相结合，但是扫描引擎设置在了数据管控服务器上，这个一定程度上增加了文件的申请时间，同时对服务器产生了一定的压力，并且即便是扫描再准确的情况下也可能造成不必要的泄密情况，为了减少泄密损失，为追究泄密人员责任提供依据，对此，北京明朝万达科技股份有限公司提出一种针对数据防泄漏系统终端，文件追溯快速自动审批方法

目前，数据防泄密系统建有自动审批流程系统，申请人在提出申请后，首先触发流程服务器，再通过流程服务器中转到文件扫描引擎进行文件扫描，扫描后的文件再根据扫描规则进行文件的自动审批，自动审批后的文件将根据文件的敏感程度进行不同的处理方式。其中就有直接审批通过脱密外带的文件。

现有的审批过程不仅涉及了大部分文件附件时时的服务器上传同时涉及服务器回包等一系列的动作，对服务器性能有一定的影响，同时增大了文件上传失败而审批人无法查阅审批风险，再者低敏感直接审批通过外带的文件即便进行过安全扫描，但是也具有一定的泄密风险，这就需要更深一层的防护措施。

发明内容

为解决上述技术问题，本发明提供了一种面向数据防泄密系统的文件自动审批方法，该方法包括以下步骤：

对文件进行脱密外带申请，触发文件扫描请求；

对文件进行扫描，并解析文件敏感度；

对低敏感文件进行自动审批标签处理，并进行脱密加标签处理，对文件设置外带使用权限；

对高敏感文件进行人工审批。

根据本发明的方法，优选的，在对文件进行审批之前，还包括以下步骤：

依据关键字和正则表达式，根据需要监控的敏感字段、数字正则表达式等制定自动审批文件扫描规则；

根据用户需求，制定自动审批标签处理策略。

根据本发明的方法，优选的，所述对文件进行扫描，并解析文件敏感度具体包括：

解析不同格式的文件内容，获取待扫描文件的相关内容信息；

对不同的文件内容信息进行相应的编码转换，以得到统一编码的待扫描内容；

根据文件内容的大小、可用有效线程数进行分析，以得到一个合理的文件分块数，即扫描并行线程数；

根据扫描并行线程数创建扫描线程，分别对不同的文件块进行敏感信息扫描，记录命中结果，解析文件敏感度。根据本发明的方法，优选的，所述对低敏感文件进行自动审批标签处理，并进行脱密加标签处理包括：

判断自动审批标签处理策略是否存在；

如果自动审批标签处理策略存在，对文件脱密后，对文件增加标签；

文件增加标签后，将标签信息、用户信息、操作信息及文件信息记录到服务器数据库。

根据本发明的方法，优选的，根据加载的涉密文件，从所述服务器数据库查询文件及相关信息。

为解决上述技术问题，本发明提供了一种面向数据防泄密系统的文件自动审批系统，该系统包括：

数据管控服务器和文件自动审批客户端；

所述文件自动审批客户端包括：文件申请模块、文件扫描模块和标签处理模块；

所述文件申请模块处理用户的文件脱密外带申请；

所述文件扫描模块对申请的所述文件进行扫描，并解析文件敏感度，并发送给所述标签处理模块或数据管控服务器；

所述标签处理模块对低敏感文件进行自动审批标签处理，并进行脱密加标签处理，对文件设置外带使用权限；

所述数据管控服务器包括流程服务模块；

通过所述流程服务模块对高敏感文件进行人工审批。

根据本发明的系统，优选的，所述数据管控服务器还包括策略模块；

所述策略模块执行以下功能：

依据关键字和正则表达式，根据需要监控的敏感字段、数字正则表达式等制定自动审批规则；

根据用户需求，制定自动审批标签处理策略。

根据本发明的系统，优选的，所述文件扫描模块对申请的所述文件进行扫描，解析不同格式的文件内容，获取待扫描文件的相关内容信息；

对不同的文件内容信息进行相应的编码转换，以得到统一编码的待扫描内容；

根据文件内容的大小、可用有效线程数进行分析，以得到一个合理的文件分块数，即扫描并行线程数；

根据扫描并行线程数创建扫描线程，分别对不同的文件块进行敏感信息扫描，记录命中结果，解析文件敏感度；

将低敏感度文件发送给所述标签处理模块；

将高敏感度文件发送给数据管控服务器。

根据本发明的系统，优选的，所述标签处理模块判断自动审批标签处理策略是否存在；

如果自动审批标签处理策略存在，对文件脱密后，对文件增加标签；

文件增加标签后，将标签信息、用户信息、操作信息及文件信息记录到服务器数据库。

根据本发明的系统，优选的，所述数据管控服务器包括：标签查询模块，所述标签查询模块根据标签内容，从所述服务器数据库查询文件及相关信息。

通过本发明提供的技术方案，被申请的审批文件尤其低敏感文件完全可以做到自动审批，无需审批人介入。同时审批扫描过程中，我们将进行快速扫描方式，扫描的数据在解析时加载到内存中后，到扫描结束的整个过程都常驻内存，数据处理的过程中，内容信息的传递直接通过内存地址的方式传递，不进行临时文件的缓存和读取，以避免由于数据频繁IO过程所增加的时间负担，有效的提高整个扫描的处理效能，从而减少审批时间实现快速审批，同时自动审批文件加入标签后，一旦发生文件泄密情况，我们第一时间可以根据泄密文件进行标签查询，申请人信息将一目了然，为后续追究责任人提供了有力的证据。

附图说明

此处所说明的附图是用来提供对本发明的进一步理解，构成本申请的一部分，但并不构成对本发明的不当限定，在附图中：

图1为本发明具体的架构图；

图2为本发明审批申请流程图；

图3为本发明快速扫描引擎的文件扫描调用的具体处理流程图；

图4为本发明标签添加流程图；

图5为本发明标签查询流程图。

具体实施方式

数据泄密(泄露)防护(Data leakage prevention,DLP)，又称为"数据丢失防护"(Data Loss prevention,DLP)，有时也称为"信息泄漏防护"(Information leakageprevention,ILP)。数据泄密防护(DLP)是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外，是目前国际上最主流的信息安全和数据防护手段。

本发明提出了一种关于文件追溯快速自动审批解决方案：其中实现快速自动审批则是将原有设在管理控制服务器的扫描引擎改设置在DLP客户端，文件申请后在DLP客户端自动触发扫描引擎进行扫描，根据配置规则进行敏感文件分类，低敏感文件直接审批通过，省去文件时时上传服务器动作，同时省去与服务器之间的网络交互，高敏感文件触发人工审批流程，上传文件至服务器以供审批人下载审阅。而低敏感直接审批通过脱密外带的文件进行加标签处理。以防止文件泄密无法追溯责任人的情况。

该方法包括以下步骤：

制定文件数据过滤规则文件，扫描配置信息加载，加载扫描的相关配置信息，包括关键字信息，匹配规则信息，文件敏感度等信息。

当有文件进行审批申请时，首先触发扫描引擎，根据过滤规则对数据进行扫描，对扫描的命中结果进行分析汇总处理，得到相关的敏感度信息结果，如：低敏感文件直接审批通过，下发文件权限，而待审计的文件附件存储在客户端临时目录里，利用夜间闲暇时间进行上传，大大减小了服务器的高峰使用压力。高敏感文件则转入人工审批流程。

生成自动审批文档加标签策略，该策略主要控制加标签功能的开启，下发该策略自动审批后的文件将进行加标签处理。

图1为整个发明的审批架构图，主要分为客户端功能和服务器功能两部分。

客户端主要涉及了四个模块，包括：文件申请模块、文件扫描引擎(或文件扫描模块)、文件标签处理模块(由一个标签处理插件实现，用于对文件添加标签)和文件附件上传模块。

其中，文件申请模块，主要进行文件申请流程创建；文件扫描模块，文件申请完成后，转入文件扫描模块，该模块收到扫描任务后，进行文件敏感数据扫描，扫描完成后进行文件敏感度结果分析；低敏感文件转入文件标签处理模块，高敏感文件则触发人工审批模块(该模块主要涉及服务器流程处理)。文件标签处理模块，该模块收到命令后，对自动审批通过的文件进行脱密加标签处理，加完标签后的文件可以直接被外带人带出使用。文件审批模块(该模块主要涉及人工审批)。

数据管控服务器端主要包括四个模块：状态服务模块、流程服务模块、Web控制台标签查询模块(用于标签查询功能添加)、文件服务模块。

其中，状态服务模块(心跳模块)，是人工审批流程中客户端与服务器之前消息传递的桥梁；文件服务模块，主要涉及文件的上传下载；Web控制台标签查询模块，主要针对涉密文件标签信息的查询，当接收到文件的标签信息时，根据标签内容(文件唯一标识)，进行数据库搜索查询，查询出该文件的一系列信息并显示在web控制台上。此外，数据管控服务器还包括策略服务模块，所述策略服务模块执行以下功能：

依据关键字和正则表达式，根据需要监控的敏感字段、数字正则表达式等制定自动审批文件扫描规则；

根据用户需求，制定自动审批标签处理策略；

并将所述自动审批文件扫描规则和自动审批标签处理策略下发给文件自动审批客户端。

图2为审批申请流程图，如图2所示，本发明包括以下方法步骤：

规则(即自动审批文件的扫描规则)制定：依据关键字和正则表达式，由客户根据需要监控的敏感字段、数字正则表达式等制定的规则。

策略生成：根据用户需求，制定自动审批标签处理策略，该策略主要作为标签处理模块开启策略。

文件申请：用户根据自己需求对加密文件进行脱密外带申请，备份文件到指定目录，并且新建申请流程，触发文件扫描引擎。

文件扫描引擎：接收到申请任务后，加载规则文件，扫描文件，解析文件敏感度，低敏感转入自动审批标签处理模块，高敏感文件转入人工审批模块进行进一步的审批。

低敏文件标签处理：首先判断策略，存在自动审批标签处理策略，文件脱密加标签处理。无策略，文件直接赋予权限供外带使用。

高敏文件人工审批：扫描完成后，直接转入人工审批流程。

图3为快速扫描引擎的文件扫描调用的具体处理过程。

文件解析模块：解析不同格式的文件内容，获取待扫描文件的相关内容信息；

内容信息转码模块：对不同的文件内容信息进行相应的编码转换，以得到一个统一编码的待扫描内容；

扫描内容分块预处理模块：对文件内容的大小，可用有效线程数和分块交集值(即文件分块数)进行统一的分析处理，通过配置每个文件分块的大小，以得到一个合理的文件分块数，即扫描并行线程数；比如，可用有效线程数大于或等于分块交集值，则创建与分块交集值数量相等的线程数，如果有效线程数小于分块交集值，则创建与有效线程数相等的线程数，对各分块数据进行分时复用解析，或者排队解析，直至完成对所有分块的解析，此处的解析方法仅是举例，而非对本发明的限制。

多线程扫描处理模块：创建扫描线程，分别对不同的文件块进行敏感信息扫描，记录命中结果，解析文件敏感度。

图4为文件加标签处理流程。

策略解析：判断策略是否存在

标签添加：策略存在，标签设计，标签为文档的唯一标识，为随机的10位整数，文件脱密后，进行加标签

记录数据库：文件标签打好后，将标签内容，用户名，时间，操作类型，文件名称等信息一并记录到服务器数据库中以供后续查询使用。

图5为文件标签查询流程，该流程主要针对涉密文件的责任人查询。主要步骤如下：

加载文件：web控制台设有查询入口，选择涉密文件(即泄密文件)进行加载触发查询。

读取文件标签：加载泄密文件，读取泄密文件标签。

匹配数据库数据：根据标签内容(文件唯一标识)，进行数据库搜索查询，查询出该文件的一系列信息并显示在web控制台上。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、系统、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式发送机或其他可编程数据发送终端设备的发送器以产生一个机器，使得通过计算机或其他可编程数据发送终端设备的发送器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据发送终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品，该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据发送终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的发送，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种面向数据防泄密系统的文件自动审批方法及系统，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (9)

1.一种面向数据防泄密系统的文件自动审批方法，其特征在于，该方法包括以下步骤：

对文件进行脱密外带申请，触发文件扫描请求；扫描引擎设置在DLP客户端，在DLP客户端自动触发扫描引擎进行扫描；

对文件进行扫描，并解析文件敏感度；

对低敏感文件进行自动审批标签处理，并进行脱密加标签处理，对文件设置外带使用权限；

对高敏感文件进行人工审批；

所述对文件进行扫描，并解析文件敏感度具体包括：

解析不同格式的文件内容，获取待扫描文件的相关内容信息；

对不同的文件内容信息进行相应的编码转换，以得到统一编码的待扫描内容；

根据文件内容的大小、可用有效线程数进行分析，以得到文件分块数，即扫描并行线程数；

根据扫描并行线程数创建扫描线程，分别对不同的文件块进行敏感信息扫描，记录命中结果，解析文件敏感度。

2.如权利要求1所述的方法，其特征在于，在对文件进行审批之前，还包括以下步骤：

依据关键字和正则表达式，根据需要监控的敏感字段、数字正则表达式制定自动审批规则；

根据用户需求，制定自动审批标签处理策略。

3.如权利要求1所述的方法，其特征在于，所述对低敏感文件进行自动审批标签处理，并进行脱密加标签处理包括：

判断自动审批标签处理策略是否存在；

如果自动审批标签处理策略存在，对文件脱密后，对文件增加标签；

文件增加标签后，将标签信息、用户信息、操作信息及文件信息记录到服务器数据库。

4.如权利要求1-3之一所述的方法，其特征在于，根据标签内容，从服务器数据库查询文件及相关信息。

5.一种面向数据防泄密系统的文件自动审批系统，其特征在于，该系统包括：

数据管控服务器和文件自动审批客户端；

所述文件自动审批客户端包括：文件申请模块、文件扫描模块和标签处理模块；

所述文件申请模块处理用户的文件脱密外带申请；

所述文件扫描模块对申请的所述文件进行扫描，并解析文件敏感度，并发送给所述标签处理模块或数据管控服务器；扫描引擎设置在DLP客户端，在DLP客户端自动触发扫描引擎进行扫描；

所述标签处理模块对低敏感文件进行自动审批标签处理，并进行脱密加标签处理，对文件设置外带使用权限；

所述数据管控服务器包括流程服务模块；

通过所述流程服务模块对高敏感文件进行人工审批；

所述文件扫描模块对申请的所述文件进行扫描，解析不同格式的文件内容，获取待扫描文件的相关内容信息；

对不同的文件内容信息进行相应的编码转换，以得到统一编码的待扫描内容；

根据文件内容的大小、可用有效线程数进行分析，以得到文件分块数，即扫描并行线程数；

根据扫描并行线程数创建扫描线程，分别对不同的文件块进行敏感信息扫描，记录命中结果，解析文件敏感度；

将低敏感度文件发送给所述标签处理模块；

将高敏感度文件发送给数据管控服务器。

6.如权利要求5所述的系统，其特征在于，所述数据管控服务器还包括策略服务模块；

所述策略服务模块执行以下功能：

依据关键字和正则表达式，根据需要监控的敏感字段、数字正则表达式制定自动审批文件扫描规则；

根据用户需求，制定自动审批标签处理策略；

并将所述自动审批文件扫描规则和自动审批标签处理策略下发给文件自动审批客户端。

7.如权利要求5所述的系统，其特征在于，所述标签处理模块判断自动审批标签处理策略是否存在；

如果自动审批标签处理策略存在，对文件脱密后，对文件增加标签；

文件增加标签后，将标签信息、用户信息、操作信息及文件信息记录到服务器数据库。

8.如权利要求5-7之一所述的系统，其特征在于，所述数据管控服务器包括：标签查询模块，所述标签查询模块根据加载的涉密文件，从所述服务器数据库查询文件及相关信息。

9.一种计算机可读存储介质，存储有计算机程序指令，当执行所述计算机程序指令时，实现如权利要求1-4之一所述的方法。

Images