CN111931244B - 防止文档泄密的方法、装置、电子设备和存储介质 - Google Patents
防止文档泄密的方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN111931244B CN111931244B CN202011087339.1A CN202011087339A CN111931244B CN 111931244 B CN111931244 B CN 111931244B CN 202011087339 A CN202011087339 A CN 202011087339A CN 111931244 B CN111931244 B CN 111931244B
- Authority
- CN
- China
- Prior art keywords
- information
- client
- document
- specified type
- legal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000013475 authorization Methods 0.000 claims abstract description 14
- 230000002452 interceptive effect Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 20
- 238000007639 printing Methods 0.000 claims description 13
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 10
- 230000003993 interaction Effects 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 10
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 238000002347 injection Methods 0.000 claims description 2
- 239000007924 injection Substances 0.000 claims description 2
- 230000001010 compromised effect Effects 0.000 description 16
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 230000036961 partial effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- ZRHANBBTXQZFSP-UHFFFAOYSA-M potassium;4-amino-3,5,6-trichloropyridine-2-carboxylate Chemical compound [K+].NC1=C(Cl)C(Cl)=NC(C([O-])=O)=C1Cl ZRHANBBTXQZFSP-UHFFFAOYSA-M 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
- G06F21/608—Secure printing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提出一种防止文档泄密的方法、装置、电子设备和存储介质。防止文档泄密的方法,应用于服务端,包括:将获取的客户端标识信息和至少第一操作信息与预存储的合法信息库进行匹配,根据匹配结果,向客户端授权或向客户端发送禁止操作信息,并且,根据匹配结果,产生不同级别的提示信息。本申请技术方案,服务端可以根据客户端对指定类型文档的操作是否合法,来动态确定是否向客户端授权,避免客户端对指定类型文档的不合法操作,避免一次授权之后无法再限制文档的使用,防止了指定类型文档的泄密。
Description
技术领域
本申请涉及文档安全技术领域,尤其涉及一种防止文档泄密的方法、装置、电子设备和存储介质。
背景技术
Pdf格式文档(也可以称作pdf格式文件)是一种主流的文档形式,具有界面友好、操作便捷等优势。在某些应用场合中,pdf文档的生产者对于pdf文档内容有保护需求,对于传播方式也存在一些限制,例如对于部门保密文件、机密文件等,一种情况是允许某些特定人员打开pdf文档阅读内容,并允许另一些特定人员执行复制、转移等操作。
关于pdf格式文件的安全技术,目前大多数方案是采用口令加密或数字证书加密的方式对文档进行一定程度的保护。但是,当文档被授权打开后,通常无法再限制文档的阅读和传播,容易造成文档的泄密,保护强度已不能满足实际中的应用需求。
发明内容
本申请实施例提供一种防止文档泄密的方法、装置、电子设备及存储介质,以解决相关技术存在的问题,技术方案如下:
第一方面,本申请实施例提供了一种防止文档泄密的方法,应用于服务端,包括:
响应于客户端对指定类型文档的操作,从客户端获取指定类型文档对应的关联人信息、客户端标识信息和客户端对指定类型文档的至少第一操作信息;
将获取的客户端标识信息和至少第一操作信息与预存储的合法信息库进行匹配,其中,合法信息库中包括关联人信息对应的至少一个合法的客户端标识信息和至少一个合法的操作信息;
在获取的客户端标识信息以及至少第一操作信息均与合法信息库中的至少一个合法的客户端标识信息以及至少一个合法的操作信息分别相匹配的情况下,向客户端授权以允许客户端对指定类型文档执行至少第一操作;和/或,
在获取的客户端标识信息与合法信息库中的至少一个合法的客户端标识信息不匹配的情况下,产生可疑提示信息,并向客户端授权以允许客户端对指定类型文档执行至少第一操作;和/或,
在获取的至少第一操作信息与合法信息库中的至少一个合法的操作信息不匹配的情况下,产生报警提示信息,并向客户端发送禁止操作信息以禁止客户端对指定类型文档执行至少第一操作。
第二方面,本申请实施例提供了一种防止文档泄密的方法,应用于客户端,包括:
响应于对指定类型文档的操作,运行交互代码,以向服务端发送指定类型文档对应的关联人信息、客户端标识信息和对指定类型文档的至少第一操作信息,其中,指定类型文档的至少部分内容被遮盖层覆盖;
接收服务端返回的授权信息,以允许客户端对指定类型文档执行至少第一操作;或者,
接收服务端返回的禁止操作信息,以禁止客户端对指定类型文档执行至少第一操作。
第三方面,本申请实施例提供了一种防止文档泄密的装置,应用于服务端,包括:
第一获取模块,用于响应于客户端对指定类型文档的操作,从客户端获取指定类型文档对应的关联人信息、客户端标识信息和客户端对指定类型文档的至少第一操作信息;
匹配模块,用于将获取的客户端标识信息和至少第一操作信息与预存储的合法信息库进行匹配,其中,合法信息库中包括关联人信息对应的至少一个合法的客户端标识信息和至少一个合法的操作信息;
授权处理模块,用于在获取的客户端标识信息以及至少第一操作信息均与合法信息库中的至少一个合法的客户端标识信息以及至少一个合法的操作信息分别相匹配的情况下,向客户端授权以允许客户端对指定类型文档执行至少第一操作;和/或,
提示处理模块,用于在获取的客户端标识信息与合法信息库中的至少一个合法的客户端标识信息不匹配的情况下,产生可疑提示信息,并向客户端授权以允许客户端对指定类型文档执行至少第一操作;和/或,
禁止处理模块,用于在获取的至少第一操作信息与合法信息库中的至少一个合法的操作信息不匹配的情况下,产生报警提示信息,并向客户端发送禁止操作信息以禁止客户端对指定类型文档执行至少第一操作。
第四方面,本申请实施例提供了一种防止文档泄密的装置,应用于客户端,包括:
交互代码运行处理模块,用于响应于对指定类型文档的操作,运行交互代码,以向服务端发送指定类型文档对应的关联人信息、客户端标识信息和对指定类型文档的至少第一操作信息,其中,指定类型文档的至少部分内容被遮盖层覆盖;
接收处理模块,用于接收服务端返回的授权信息,以允许客户端对指定类型文档执行至少第一操作;或者,
用于接收服务端返回的禁止操作信息,以禁止客户端对指定类型文档执行至少第一操作。
第五方面,本申请实施例提供了一种电子设备,包括:存储器和处理器。其中,该该存储器和该处理器通过内部连接通路互相通信,该存储器用于存储指令,该处理器用于执行该存储器存储的指令,并且当该处理器执行该存储器存储的指令时,使得该处理器执行上述各方面任一种实施方式中的方法。
第六方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质存储计算机程序,当计算机程序在计算机上运行时,上述各方面任一种实施方式中的方法被执行。
上述技术方案中的优点或有益效果至少包括:
利用本申请的实施例,通过构建的合法信息库,服务端可以对客户端对指定类型文档的多次操作进行判断,根据客户端对指定类型文档的操作是否合法,来动态确定是否向客户端授权,避免客户端对指定类型文档的不合法操作,避免一次授权之后无法再限制文档的使用,防止了指定类型文档的泄密。
上述概述仅仅是为了说明书的目的,并不意图以任何方式进行限制。除上述描述的示意性的方面、实施方式和特征之外,通过参考附图和以下的详细描述,本申请进一步的方面、实施方式和特征将会是容易明白的。
附图说明
在附图中,除非另外规定,否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解,这些附图仅描绘了根据本申请公开的一些实施方式,而不应将其视为是对本申请范围的限制。
图1为根据本申请一实施例的防止文档泄密的方法的流程图;
图2为本申请另一实施例中防止文档泄密的方法的流程示意图;
图3为本申请一个实施例中服务端和客户端的交互过程示意图;
图4为本申请一实施例中防止文档泄密的装置的结构框图;
图5为本申请一实施例中防止文档泄密的装置的结构框图;
图6示出根据本发明一实施例的电子设备的结构框图。
具体实施方式
在下文中,仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样,在不脱离本申请的精神或范围的情况下,可通过各种不同方式修改所描述的实施例。因此,附图和描述被认为本质上是示例性的而非限制性的。
图1为根据本申请一实施例的防止文档泄密的方法的流程图。如图1所示,该防止文档泄密的方法可以应用于服务端,即可以由服务端来实现。
如图1所示,该防止文档泄密的方法,可以包括:
步骤S100、响应于客户端对指定类型文档的操作,从客户端获取指定类型文档对应的关联人信息、客户端标识信息和客户端对指定类型文档的至少第一操作信息。
其中,当客户端对指定类型文档进行操作时,服务端可以从客户端获取指定类型文档对应的关联人信息、客户端标识信息和客户端对指定类型文档的至少第一操作信息。
示例性地,指定类型文档可以包括pdf格式的文档、word格式的文档、jpg格式的文档中的至少一种。
示例性地,客户端标识信息可以包括客户端的IP地址信息,用于区分各个客户端。
示例性地,关联人信息可以包括指定类型文档的管理人信息或/和指定类型文档的生产者信息。关联人信息可以为关联人的身份ID。
在一种实施方式中,第一操作信息可以包括对指定类型文档执行的打开操作信息、文档复制粘贴信息、鼠标滑动轨迹信息、点击信息、阅读页码信息、打印信息、内容复制粘贴信息、操作频率信息等中的至少一种。
步骤S200:将获取的客户端标识信息和至少第一操作信息与预存储的合法信息库进行匹配,其中,合法信息库中包括关联人信息对应的至少一个合法的客户端标识信息和至少一个合法的操作信息。
其中,合法信息库可以为服务端预存储的,合法信息库中可以包括关联人信息对应的至少一个合法的客户端标识信息和至少一个合法的操作信息。服务端将从客户端获取的客户端标识信息和至少第一操作信息与合法信息库中的对应信息进行匹配。
步骤S300、在获取的客户端标识信息以及至少第一操作信息均与合法信息库中的至少一个合法的客户端标识信息以及至少一个合法的操作信息分别相匹配的情况下,向客户端授权以允许客户端对指定类型文档执行至少第一操作。
其中,若至少一个合法的客户端标识信息中存在与从客户端获取的客户端标识信息相同的信息,则认为服务端从客户端获取的客户端标识信息与合法信息库中的至少一个合法的客户端标识信息相匹配。若至少一个合法的操作信息中存在与从客户端获取的至少第一操作信息相同的信息,则认为服务端从客户端获取的至少第一操作信息与合法信息库中的至少一个合法的操作信息相匹配。
在获取的客户端标识信息以及至少第一操作信息均与合法信息库中的至少一个合法的客户端标识信息以及至少一个合法的操作信息分别相匹配的情况下,认为该客户端对指定类型文档的操作是合法的,服务端向客户端授权后,客户端有权限对指定类型文档执行至少第一操作。
步骤S400、在获取的客户端标识信息与合法信息库中的至少一个合法的客户端标识信息不匹配的情况下,产生可疑提示信息,并向客户端授权以允许客户端对指定类型文档执行至少第一操作。
用户可能会在与合法的客户端标识信息不同的客户端对指定类型文档进行操作,如果只是出现不合法的客户端标识信息,服务端仍然向该客户端授权,允许该客户端对指定类型文档执行至少第一操作。同时,服务端会产生可疑提示信息,提示相关人员出现不合法的客户端,以便相关人员提高警惕。
步骤S500、在获取的至少第一操作信息与合法信息库中的至少一个合法的操作信息不匹配的情况下,产生报警提示信息,并向客户端发送禁止操作信息以禁止客户端对指定类型文档执行至少第一操作。
在一种实施方式中,服务端向客户端发送禁止操作信息以禁止客户端对指定类型文档执行任何操作,也就是说,服务端向客户端发送禁止操作信息,会导致指定类型文档在客户端被关闭,使得客户端不能对指定类型文档进行任何操作。
合法信息库中包括与关联人信息对应的至少一个合法的操作信息。在至少一个合法的操作信息中不存在与从客户端获取的至少第一操作信息相同的信息的情况下,表明客户端对指定类型文档的操作不合法,此时,服务端可以向客户端发送禁止操作信息,来禁止客户端对指定类型文档操作,并产生报警提示信息。报警提示信息用于告知相关人员指定类型文档可能已经被泄密。
示例性地,客户端在阅读指定类型文档的第5页,而合法的阅读页码信息为第2至3页,那么,服务端获取的至少第一操作信息(阅读第5页)与合法的阅读页码信息不匹配,服务端产生报警提示信息,并向客户端发送禁止操作信息,来禁止客户端对指定类型文档的操作,也就是说,在禁止操作信息的控制下,客户端关闭指定类型文档,客户端无法再对指定类型文档进行任何操作。
示例性地,如果服务端获取到客户端标识信息频繁变化,服务端会认为指定类型文档被泄密,服务端产生报警提示信息,并向客户端发送禁止操作信息以禁止客户端对指定类型文档执行操作。
本领域技术人员可以理解,步骤S100、步骤S200、步骤S300、步骤S400、步骤S500中的序号只是为了方便对各步骤具体说明,并不构成对各步骤顺序的限制。
本申请实施例的防止文档泄密的方法,在客户端标识信息和至少第一操作信息均与合法信息库中相关信息匹配,或者,客户端标识信息与合法信息库中相关信息不匹配,但至少第一操作信息与合法信息库中相关信息匹配的情况下,服务端可以向客户端授权以允许客户端对指定类型文档执行至少第一操作,在客户端的至少第一操作信息与合法信息库中的相关信息不匹配的情况下,服务端向客户端发送禁止操作信息以禁止客户端对指定类型文档执行至少第一操作,从而,服务端可以根据客户端对指定类型文档的操作是否合法,来动态确定是否向客户端授权,避免客户端对指定类型文档的不合法操作,防止了指定类型文档的泄密。并且,在客户端的至少第一操作信息与合法信息库中的相关信息不匹配的情况下,也就是指定类型文档被泄密的情况下,服务端可以向客户端发送禁止操作信息来禁止客户端对指定类型文档执行至少第一操作,避免一次授权之后无法再限制文档的使用,进而限制客户端对指定类型文档的编辑、阅读,防止客户端对指定类型文档的传播,避免指定类型文档被进一步泄密,保证了指定类型文档的安全。
本申请实施例的防止文档泄密的方法,在客户端标识信息不合法时,服务端可以产生可疑提示信息,在客户端对指定类型文档的至少第一操作信息不合法时,服务端产生报警提示信息,从而,服务端可以根据从客户端获取的信息自动发出不同级别的告警提示,帮助相关工作人员及时了解指定类型文档的安全状态。可疑提示信息可以提示相关工作人员关注不合法的客户端标识信息,进一步追踪不合法客户端对指定类型文档的后续操作;报警提示信息可以向相关工作人员报警,使得相关工作人员及时获知指定类型文档已经被泄密,以便相关工作人员可以及时采取措施,防止文档进一步泄密。
在一种实施方式中,为了实时获取客户端对指定类型文档的操作,服务端可以实时响应于客户端对指定类型文档的操作,从客户端实时获取客户端对指定类型文档的至少第一操作信息。从而,服务端就可以实时将从客户端获取的对指定类型文档的操作信息与合法信息库中的合法的操作信息进行匹配,在客户端对指定类型文档的操作信息与合法信息库中的合法的操作信息不匹配时,服务端可以产生报警提示信息。实现了服务端对客户端操作的实时监控,更好地防止指定类型文档泄密。
在一种实施方式中,合法的操作信息包括以下各项中至少之一:
打开操作信息、鼠标滑动轨迹信息、点击信息、阅读页码信息、打印信息、内容复制粘贴信息、操作频率信息、操作有效期信息、操作次数阈值信息。
示例性地,指定类型文档在客户端被操作,服务端响应于客户端对指定类型文档的操作,从客户端获取指定类型文档的关联人信息、客户端标识信息和客户端对指定类型文档的至少第一操作信息,至少第一操作信息可以包括打开操作信息、文档复制粘贴信息。服务端将客户端标识信息和至少第一操作信息与合法信息库中的对应信息进行匹配,匹配成功,服务端向客户端授权,客户端基于服务端的授权,可以打开指定类型文档。客户端继续对指定类型文档进行操作,服务端实时获取客户端对指定类型文档的操作信息。服务端从客户端获取到客户端对指定类型文档的阅读页码信息,将从客户端获取到的阅读页码信息与合法的操作信息中的合法的阅读页码信息进行匹配,发现从客户端获取到的阅读页码信息与合法的操作信息中的合法的阅读页码信息不匹配,服务端产生报警提示信息,并向客户端发送禁止操作信息,禁止客户端对指定类型文档执行操作,防止指定类型文档被继续泄密。
示例性地,合法的鼠标滑动轨迹信息允许一定的鼠标滑动偏差,可以设置鼠标滑动偏差的范围,只要服务端从客户端获得的鼠标滑动轨迹信息位于合法的鼠标滑动轨迹信息所限定的范围内,即可认为从客户端获得的鼠标滑动轨迹信息与合法信息库中合法的鼠标滑动轨迹信息匹配。
示例性地,阅读页码信息中,例如,合法的阅读页码信息包括文档的第1页至第5页,如果从客户端获取的阅读页码信息包括第6页,则从客户端获取的阅读页码信息与合法信息库中合法的阅读页码信息不匹配,如果从客户端获取的阅读页码信息位于第1页至第5页范围内,则认为从客户端获取的阅读页码信息与合法信息库中合法的阅读页码信息匹配。
示例性地,内容复制粘贴信息中,例如,合法信息库中,合法的内容复制粘贴信息为对文档中的第一部分区域、第二部分区域进行复制粘贴,如果从客户端获取的内容复制粘贴信息包括对文档中的第三部分区域进行复制粘贴,则从客户端获取的内容复制粘贴信息与合法信息库中合法的内容复制粘贴信息不匹配。
示例性地,打印信息可以包括是否打印和打印页码信息,例如,合法信息库中,打印信息为不打印,如果从客户端获取到客户端对指定类型文档执行打印操作,则服务端会产生报警提示信息,并向客户端发送禁止操作信息以禁止客户端对指定类型文档的操作。示例性地,合法信息库中,打印页码信息为2至4页,如果从客户端获取到客户端试图对2至4页之外的页面进行打印,则服务端会产生报警提示信息,并向客户端发送禁止操作信息以禁止客户端对指定类型文档的操作。
示例性地,操作频率信息可以包括单位时间内(例如1小时内)客户端对指定类型文档的操作次数。例如,合法信息库中,1小时内,操作频率信息为3次,如果从客户端获取到客户端对指定类型文档执行的操作已经超过3次,则服务端会产生报警提示信息,并向客户端发送禁止操作信息以禁止客户端对指定类型文档的操作。
在一种实施方式中,合法的操作信息可以包括操作有效期信息和操作次数阈值信息。
在一种实施方式中,防止文档泄密的方法还可以包括:
响应于客户端对指定类型文档的第二操作,确定第二操作对应的时间信息,并将对指定类型文档的历史第二操作次数增加1;
在第二操作对应的时间信息与操作有效期信息不匹配的情况下,或者,在历史第二操作次数与操作次数阈值信息不匹配的情况下,向客户端发送禁止操作信息以禁止客户端对指定类型文档的第二操作。
示例性地,第二操作可以包括触发操作。例如,当客户端对指定类型文档执行触发操作来试图打开指定类型文档时,服务端响应于客户端对指定类型文档的触发操作,确定第一操作对应的时间信息为下午1点钟,并且,服务端将指定类型文档的历史第二操作次数增加1,此时,指定类型文档的历史第一操作次数为8。
合法信息库中,合法的操作有效期信息包括下午2点至3点、下午3点半至5点,合法的操作次数阈值信息为6次。
服务端将第二操作对应的时间信息与合法的操作有效期信息进行匹配,或者,将历史第二操作次数与操作次数阈值信息进行匹配。第二操作对应的时间信息(即下午1点钟)不在操作有效期信息内,并且,历史第二操作次数(即8)没有小于或等于操作次数阈值信息(即6),所以,第二操作对应的时间信息与合法的操作有效期信息不匹配,历史第二操作次数与操作次数阈值信息不匹配。服务端向客户端发送禁止操作信息以禁止客户端对指定类型文档执行第二操作。示例性地,第二操作可以包括打开操作,当服务端向客户端发送禁止操作信息后,客户端将没有权限打开指定类型文档。示例性地,第二操作可以包括文档复制粘贴操作(即文档整体的复制粘贴操作),当服务端向客户端发送禁止操作信息后,客户端将没有权限对指定类型文档进行文档的复制粘贴操作。
本申请实施例的技术方案,在客户端打开指定类型文档时,记录客户端对指定类型文档的打开时间、打开次数,根据指定类型文档的操作有效期信息和操作次数阈值信息,判断打开操作是否异常,如果异常,可以直接禁止客户端对指定类型文档的打开,有效避免指定类型文档泄露后被其他人传播使用。
在一种实施方式中,合法信息库中的至少一个合法的客户端标识信息,可以由人为设定,例如,可以由文档管理人员在服务端将多个IP地址写入合法信息库,被写入合法信息库中的多个IP地址可以作为合法的客户端标识信息。
在一种实施方式中,合法信息库中的至少一个合法的操作信息,可以由人为设定,例如,可以由文档管理人员在服务端设定合法的操作信息的具体内容。
在一种实施方式中,服务端可以对预定时间段内对指定类型文档的操作信息进行获取并收集,进而形成合法信息库。
在一种实施方式中,在响应于客户端对指定类型文档的操作之前,防止文档泄密的方法,还可以包括:
在客户端从服务器下载指定类型文档的过程中,向指定类型文档中注入交互代码、关联人信息和用于覆盖指定类型文档至少部分内容的遮盖层,其中,交互代码用于在运行时将关联人信息、客户端对指定类型文档的操作信息从客户端发送至服务端;
在预定时间段内允许客户端对指定类型文档执行操作,响应于客户端对指定类型文档的多次操作,获取指定类型文档的关联人信息,并获取多次操作对应的多次操作信息;
将预定时间段内关联人信息对应的多次操作信息作为合法的操作信息,建立与关联人信息对应的合法信息库,合法信息库包括客户端在预定时间段内对指定类型文档的多次操作信息,操作信息包括以下中的至少一项:打开操作信息、鼠标滑动轨迹信息、点击信息、阅读页码信息、打印信息、内容复制粘贴信息、操作频率信息。
本申请实施例,通过收集客户端在预定时间段内对指定类型文档的多次操作信息,来建立合法信息库,这样建立合法信息库的方法,可以获得客户端对指定类型文档的操作习惯,从而有利于服务端根据客户端对指定类型文档的操作习惯来判断客户端对指定类型文档的操作是否合法,不仅可以防止指定类型文档泄密,而且避免人为设定合法信息库导致的不合理限制。
示例性地,服务端在生成指定类型文档后,在客户端从服务器下载指定类型文档过程中,服务端向指定类型文档注入交互代码、关联人信息和遮盖层。在预定时间段内(例如1周内),默认客户端是有权限的,服务端允许客户端对指定类型文档执行操作。客户端对指定类型文档执行操作时,客户端运行交互代码,将关联人信息和客户端对指定类型文档的操作信息发送至服务端。服务端获取关联人信息、并获取多次操作对应的多次操作信息。服务端将该预定时间段内关联人信息对应的多次操作信息作为合法的操作信息,建立与关联人信息对应的合法信息库,合法信息库包括客户端在预定时间段内对指定类型文档的多次操作信息。
在一种实施方式中,交互代码还用于在运行时将客户端标识信息发送至服务端,防止文档的泄密方法,还可以包括:
在预定时间段内允许客户端对指定类型文档执行操作,服务端响应于客户端对指定类型文档的多次操作,获取每次操作对应的客户端标识信息,合法信息库还包括客户端在预定时间段内对指定类型文档的多次操作对应的客户端标识信息。
示例性地,在预定时间段内,只要有客户端对指定类型文档执行操作,服务端就会获取对应的客户端标识信息,可以是一个客户端或多个客户端。合法信息库中的合法的客户端标识信息可以包括一个合法的客户端标识信息,或者多个合法的客户端标识信息。这些合法的客户端标识信息为在预定时间段内,服务端响应于客户端对指定类型文档执行操作,而从对应的客户端获取得到的。
合法信息库中的客户端标识信息为合法的客户端标识信息,采用这样的方式收集的合法的客户端标识信息,更加符合指定类型文档使用者的使用地点习惯,从而,服务端可以根据使用者的使用地点习惯判断客户端标识信息是否合法,避免了人为设定客户端标识信息的不合理性。
在一种实施方式中,交互代码可以包括任何软件类型的代码,只要可以实现客户端与服务端的交互即可。示例性地,交互代码可以包括JavaScript代码。
在一种实施方式中,服务端在生成指定类型文档的同时,将指定类型文档关联指定的数字证书,使指定类型文档与数字证书绑定,并且设置指定类型文档不可编辑、不可打印。
图2为本申请另一实施例中防止文档泄密的方法的流程示意图。如图2所示,本申请实施例提供了一种防止文档泄密的方法,应用于客户端,包括:
S600、响应于对指定类型文档的操作,运行交互代码,以向服务端发送指定类型文档对应的关联人信息、客户端标识信息和对指定类型文档的至少第一操作信息,其中,指定类型文档的至少部分内容被遮盖层覆盖;
S700、接收服务端返回的授权信息,以允许客户端对指定类型文档执行至少第一操作;或者,
S800、接收服务端返回的禁止操作信息,以禁止客户端对指定类型文档执行至少第一操作。
本领域技术人员可以理解, S600、S700、S800中的序号只是为了方便对各步骤具体说明,并不构成对各步骤顺序的限制。
在一种实施方式中,接收服务端返回的授权信息,以允许客户端对指定类型文档执行至少第一操作,可以包括:
接收服务端返回的允许操作信息;
去除遮盖层。
示例性地,当服务端向客户端授权以允许客户端对指定类型文档执行至少第一操作时,客户端会接收到服务端返回的授权信息,服务端允许客户端对指定类型文档执行至少第一操作。也就是说,客户端接收服务端返回的允许操作信息后,客户端运行交互代码,去除遮盖层,从而,客户端可以阅读指定类型文档。
示例性地,客户端接收服务端返回的禁止操作信息后,客户端提示当前指定类型文档不可阅读、不可操作,以提示用户。
在一种实施方式中,响应于对指定类型文档的操作,运行交互代码之前,防止文档泄密的方法还可以包括:客户端安装数字证书。
图3为本申请一个实施例中服务端和客户端的交互过程示意图。下面结合图3,以指定类型文档为pdf文档为例,示例性地说明防止文档泄密的方法的过程:
在客户端从服务端下载pdf文档时,服务端向pdf文档中注入JavaScript代码和关联人信息,并在pdf文档最上层覆盖遮挡层(例如水印)来保护文档真实内容;
将pdf文档关联指定的数字证书,使pdf文档与数字证书绑定,并且设置pdf文档不可编辑、不可打印,保护pdf文档不可再次修改;
在服务端预存储与关联人信息对应的pdf文档的操作有效期信息、操作次数阈值信息;
客户端从服务端下载pdf文档,并安装数字证书;
在客户端安装有与pdf文档对应的阅读软件的情况下,打开对应的阅读软件,将pdf文档添加到阅读软件安全授信文件路径;
客户端通过阅读软件对pdf文档执行第二操作(例如打开操作)时,自动运行JavaScript代码,将关联人信息、客户端标识信息发送给服务端;
服务端接收到关联人信息,记录打开pdf文档的客户端标识信息、打开时间信息、文档路径信息,并将pdf文档的历史第二操作次数增加1,用于追踪pdf文档的使用情况;
服务端根据关联人信息,判断pdf文档的打开时间信息是否与操作有效期信息匹配,并判断历史第二操作次数是否与操作次数阈值信息匹配,向客户端返回是否可以正常阅读,若打开时间信息与有效期信息匹配,并且,历史第二操作次数与操作次数阈值信息匹配,服务端向客户端返回有效信息;若打开时间信息与有效期信息不匹配,或者,历史第二操作次数与操作次数阈值信息不匹配,服务端向客户端返回无效信息;
客户端接收到服务端返回的授权信息(有效信息)后,表明客户端对pdf文档的第二操作是有效的,客户端执行JavaScript代码,消除水印,客户端显示pdf文档内容,用户可以在客户端正常阅读pdf文档;
客户端接收到服务端返回的禁止操作信息(无效信息)后,表明客户端对pdf文档的第二操作是无效的,客户端提示当前的pdf文档不可阅读。
示例性地,客户端接收到服务端返回的有效信息后,客户端打开pdf文档,客户端显示pdf文档内容,客户端对打开后的pdf文档进行操作。客户端运行JavaScript代码,JavaScript代码会根据用户端对打开后的pdf文档的操作包括但不限于鼠标滑动轨迹信息、点击信息、阅读页码信息、打印信息等向服务端发送客户端对pdf文档的至少第一操作信息。
服务端获取客户端对pdf文档的至少第一操作信息后,根据pdf文档的关联人信息、客户端标识信息和合法信息库等,实时判断客户端对pdf文档的操作是否安全未泄密。
在客户端标识信息与合法信息库中的合法的客户端标识信息不匹配的情况下,产生可疑提示信息(也可以叫做可疑提示);在至少第一操作信息与合法信息库中的合法的操作信息不匹配的情况下,产生报警提示信息(也可以叫做警告提示),帮助相关工作人员在第一时间发现pdf泄密。
本申请实施例的技术方案,如果pdf文件和加密证书被泄露,可以直接通过pdf文档在服务端留存记录联系到第一责任人(例如关联人信息对应的关联人)。当发生泄密后,服务端触发报警提示信息,自动修改pdf文档的打开的安全策略,关闭客户端的阅读权限,禁止pdf文档进一步的传播阅读。并且通过追踪服务端记录的pdf文档的客户端标识信息、打开时间信息、打开频率信息、阅读记录等,可以向相关人员提供依据来判断传播嫌疑人,达到对pdf文档的内容保护、阅读安全、传播控制。
图4为本申请一实施例中防止文档泄密的装置的结构框图。如图4所示,防止文档泄密的装置,可以包括:
第一获取模块101,用于响应于客户端对指定类型文档的操作,从客户端获取指定类型文档对应的关联人信息、客户端标识信息和客户端对指定类型文档的至少第一操作信息;
匹配模块102,用于将获取的客户端标识信息和至少第一操作信息与预存储的合法信息库进行匹配,其中,合法信息库中包括关联人信息对应的至少一个合法的客户端标识信息和至少一个合法的操作信息;
授权处理模块103,用于在获取的客户端标识信息以及至少第一操作信息均与合法信息库中的至少一个合法的客户端标识信息以及至少一个合法的操作信息分别相匹配的情况下,向客户端授权以允许客户端对指定类型文档执行至少第一操作;和/或,
提示处理模块104,用于在获取的客户端标识信息与合法信息库中的至少一个合法的客户端标识信息不匹配的情况下,产生可疑提示信息,并向客户端授权以允许客户端对指定类型文档执行至少第一操作;和/或,
禁止处理模块105,用于在获取的至少第一操作信息与合法信息库中的至少一个合法的操作信息不匹配的情况下,产生报警提示信息,并向客户端发送禁止操作信息以禁止客户端对指定类型文档执行至少第一操作。
在一种实施方式中,合法的操作信息包括以下各项中至少之一:
打开操作信息、鼠标滑动轨迹信息、点击信息、阅读页码信息、打印信息、内容复制粘贴信息、操作频率信息、操作有效期信息、操作次数阈值信息。
在一种实施方式中,合法的操作信息包括:操作有效期信息和操作次数阈值信息;
装置还包括:
确定处理模块,用于响应于客户端对指定类型文档的第二操作,确定第二操作对应的时间信息,并将对指定类型文档的历史第二操作次数增加1;
禁止处理模块,还用于在第二操作对应的时间信息与操作有效期信息不匹配的情况下,或者,在历史第二操作次数与操作次数阈值信息不匹配的情况下,向客户端发送禁止操作信息以禁止客户端对指定类型文档的第二操作。
在一种实施方式中,在响应于客户端对指定类型文档的操作之前,装置还包括:
信息注入模块,用于在客户端从服务器下载指定类型文档的过程中,向指定类型文档中注入交互代码、关联人信息和用于覆盖指定类型文档至少部分内容的遮盖层,其中,交互代码用于在运行时将关联人信息、客户端对指定类型文档的操作信息从客户端发送至服务端;
第二获取模块,用于在预定时间段内允许客户端对指定类型文档执行操作,响应于客户端对指定类型文档的多次操作,获取指定类型文档的关联人信息,并获取多次操作对应的多次操作信息;
信息库建立模块,用于将预定时间段内关联人信息对应的多次操作信息作为合法的操作信息,建立与关联人信息对应的合法信息库,合法信息库包括客户端在预定时间段内对指定类型文档的多次操作信息,操作信息包括以下中的至少一项:打开操作信息、鼠标滑动轨迹信息、点击信息、阅读页码信息、打印信息、内容复制粘贴信息、操作频率信息。
在一种实施方式中,交互代码还用于在运行时将客户端标识信息发送至服务端,
第二获取模块,还用于响应于客户端对指定类型文档的操作,获取每次操作对应的客户端标识信息,合法信息库还包括与关联人信息对应的客户端标识信息。
在一种实施方式中,交互代码包括JavaScript代码。
在一种实施方式中,指定类型文档包括pdf格式的文档。
在一种实施方式中,客户端标识信息包括客户端的IP地址信息,关联人信息包括指定类型文档的管理人信息或/和指定类型文档的生产者信息。
图5为本申请一实施例中防止文档泄密的装置的结构框图。如图5所示,一种防止文档泄密的装置,应用于客户端,包括:
交互代码运行处理模块201,用于响应于对指定类型文档的操作,运行交互代码,以向服务端发送指定类型文档对应的关联人信息、客户端标识信息和对指定类型文档的至少第一操作信息,其中,指定类型文档的至少部分内容被遮盖层覆盖;
接收处理模块202,用于接收服务端返回的授权信息,以允许客户端对指定类型文档执行至少第一操作;或者,
用于接收服务端返回的禁止操作信息,以禁止客户端对指定类型文档执行至少第一操作。
在一种实施方式中,接收模块包括:
接收子模块,用于接收服务端返回的允许操作信息;
去除子模块,用于去除遮盖层。
本申请实施例各装置中的各模块的功能可以参见上述方法中的对应描述,在此不再赘述。
图6示出根据本发明一实施例的电子设备的结构框图。如图6所示,该电子设备包括:存储器910和处理器920,存储器910内存储有可在处理器920上运行的计算机程序。处理器920执行该计算机程序时实现上述实施例中的防止文档泄密的方法。存储器910和处理器920的数量可以为一个或多个。
该电子设备还包括:
通信接口930,用于与外界设备进行通信,进行数据交互传输。
如果存储器910、处理器920和通信接口930独立实现,则存储器910、处理器920和通信接口930可以通过总线相互连接并完成相互间的通信。该总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(PeripheralComponentInterconnect,PCI)总线或扩展工业标准体系结构(Extended IndustryStandard Architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选的,在具体实现上,如果存储器910、处理器920及通信接口930集成在一块芯片上,则存储器910、处理器920及通信接口930可以通过内部接口完成相互间的通信。
本发明实施例提供了一种计算机可读存储介质,其存储有计算机程序,该程序被处理器执行时实现本申请实施例中提供的方法。
本申请实施例还提供了一种芯片,该芯片包括,包括处理器,用于从存储器中调用并运行存储器中存储的指令,使得安装有芯片的通信设备执行本申请实施例提供的方法。
本申请实施例还提供了一种芯片,包括:输入接口、输出接口、处理器和存储器,输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连,处理器用于执行存储器中的代码,当代码被执行时,处理器用于执行申请实施例提供的方法。
应理解的是,上述处理器可以是中央处理器(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signal processing,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(fieldprogrammablegate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是,处理器可以是支持进阶精简指令集机器(advanced RISC machines,ARM)架构的处理器。
进一步地,可选的,上述存储器可以包括只读存储器和随机存取存储器,还可以包括非易失性随机存取存储器。该存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以包括只读存储器(read-onlymemory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以包括随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用。例如,静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic random access memory,DRAM) 、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data dateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhancedSDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,DR RAM)。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包括于本申请的至少一个实施例或示例中。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分。并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。
应理解的是,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。上述实施例方法的全部或部分步骤是可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。上述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读存储介质中。该存储介质可以是只读存储器,磁盘或光盘等。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到其各种变化或替换,这些都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (18)
1.一种防止文档泄密的方法,应用于服务端,其特征在于,包括:
在客户端打开指定类型文档时,记录所述客户端对所述指定类型文档的打开时间和/或打开次数,根据所述指定类型文档的操作有效期信息和/或操作次数阈值信息,判断打开操作是否异常,如果异常,禁止客户端对指定类型文档的打开,所述操作有效期信息包括预定时间段;
实时响应于客户端对所述指定类型文档的操作,从所述客户端获取所述指定类型文档对应的关联人信息、客户端标识信息和所述客户端对所述指定类型文档的至少第一操作信息,所述第一操作信息包括对所述指定类型文档执行的文档复制粘贴信息、鼠标滑动轨迹信息、点击信息、阅读页码信息、打印信息、内容复制粘贴信息、操作频率信息中的至少一种,所述关联人信息包括所述指定类型文档的管理人信息或/和所述指定类型文档的生产者信息;
将获取的所述客户端标识信息和所述至少第一操作信息与预存储的合法信息库进行匹配,其中,所述合法信息库中包括所述关联人信息对应的至少一个合法的客户端标识信息和至少一个合法的操作信息,所述合法信息库为通过收集客户端在预定时间段内对所述指定类型文档的多次操作信息来建立的;
在获取的所述客户端标识信息以及所述至少第一操作信息均与所述合法信息库中的至少一个合法的客户端标识信息以及至少一个合法的操作信息分别相匹配的情况下,向所述客户端授权以允许所述客户端对所述指定类型文档执行所述至少第一操作;和/或,在获取的所述客户端标识信息与所述合法信息库中的至少一个合法的客户端标识信息不匹配的情况下,产生可疑提示信息,并向所述客户端授权以允许所述客户端对所述指定类型文档执行所述至少第一操作;和/或,在获取的所述至少第一操作信息与所述合法信息库中的至少一个合法的操作信息不匹配的情况下,产生报警提示信息,并向所述客户端发送禁止操作信息以禁止所述客户端对所述指定类型文档执行所述至少第一操作;
其中,所述合法信息库为通过收集客户端在预定时间段内对所述指定类型文档的多次操作信息来建立的,包括:在预定时间段内允许所述客户端对所述指定类型文档执行操作,响应于所述客户端对所述指定类型文档的多次操作,获取所述指定类型文档的关联人信息,并获取多次操作对应的多次操作信息;将所述预定时间段内所述关联人信息对应的多次操作信息作为合法的操作信息,建立与所述关联人信息对应的合法信息库。
2.根据权利要求1所述的方法,其特征在于,所述合法的操作信息包括以下各项中至少之一:
打开操作信息、鼠标滑动轨迹信息、点击信息、阅读页码信息、打印信息、内容复制粘贴信息、操作频率信息、操作有效期信息、操作次数阈值信息。
3.根据权利要求1所述的方法,其特征在于,
所述合法的操作信息包括:操作有效期信息和操作次数阈值信息;
所述方法还包括:
响应于所述客户端对所述指定类型文档的第二操作,确定所述第二操作对应的时间信息,并将对所述指定类型文档的历史第二操作次数增加1;
在所述第二操作对应的时间信息与所述操作有效期信息不匹配的情况下,或者,在所述历史第二操作次数与所述操作次数阈值信息不匹配的情况下,向所述客户端发送禁止操作信息以禁止所述客户端对所述指定类型文档的第二操作。
4.根据权利要求1至3中任一项所述的方法,其特征在于,在实时响应于客户端对指定类型文档的操作之前,所述方法还包括:
在客户端从服务器下载所述指定类型文档的过程中,向所述指定类型文档中注入交互代码、关联人信息和用于覆盖所述指定类型文档至少部分内容的遮盖层,其中,所述交互代码用于在运行时将所述关联人信息、所述客户端对所述指定类型文档的操作信息从所述客户端发送至所述服务端。
5.根据权利要求4所述的方法,其特征在于,
所述交互代码还用于在运行时将客户端标识信息发送至所述服务端,
所述方法还包括:
响应于客户端对所述指定类型文档的操作,获取每次操作对应的客户端标识信息,所述合法信息库还包括与所述关联人信息对应的所述客户端标识信息。
6.根据权利要求4所述的方法,其特征在于,所述交互代码包括JavaScript代码。
7.根据权利要求1所述的方法,其特征在于,所述指定类型文档包括pdf格式的文档。
8.根据权利要求1所述的方法,其特征在于,所述客户端标识信息包括所述客户端的IP地址信息。
9.一种防止文档泄密的装置,应用于服务端,其特征在于,包括:
打开处理模块,用于在客户端打开指定类型文档时,记录所述客户端对所述指定类型文档的打开时间和/或打开次数,根据所述指定类型文档的操作有效期信息和操作次数阈值信息,判断打开操作是否异常,如果异常,禁止客户端对指定类型文档的打开,所述操作有效期信息包括预定时间段;
第一获取模块,用于实时响应于客户端对所述指定类型文档的操作,从所述客户端获取所述指定类型文档对应的关联人信息、客户端标识信息和所述客户端对所述指定类型文档的至少第一操作信息,所述第一操作信息包括对所述指定类型文档执行的文档复制粘贴信息、鼠标滑动轨迹信息、点击信息、阅读页码信息、打印信息、内容复制粘贴信息、操作频率信息中的至少一种,所述关联人信息包括所述指定类型文档的管理人信息或/和所述指定类型文档的生产者信息;
匹配模块,用于将获取的所述客户端标识信息和所述至少第一操作信息与预存储的合法信息库进行匹配,其中,所述合法信息库中包括所述关联人信息对应的至少一个合法的客户端标识信息和至少一个合法的操作信息,所述合法信息库为通过收集客户端在预定时间段内对所述指定类型文档的多次操作信息来建立的;
授权处理模块,用于在获取的所述客户端标识信息以及所述至少第一操作信息均与所述合法信息库中的至少一个合法的客户端标识信息以及至少一个合法的操作信息分别相匹配的情况下,向所述客户端授权以允许所述客户端对所述指定类型文档执行所述至少第一操作;和/或,
提示处理模块,用于在获取的所述客户端标识信息与所述合法信息库中的至少一个合法的客户端标识信息不匹配的情况下,产生可疑提示信息,并向所述客户端授权以允许所述客户端对所述指定类型文档执行所述至少第一操作;和/或,
禁止处理模块,用于在获取的所述至少第一操作信息与所述合法信息库中的至少一个合法的操作信息不匹配的情况下,产生报警提示信息,并向所述客户端发送禁止操作信息以禁止所述客户端对所述指定类型文档执行所述至少第一操作;
其中,所述合法信息库为通过收集客户端在预定时间段内对所述指定类型文档的多次操作信息来建立的,包括:在预定时间段内允许所述客户端对所述指定类型文档执行操作,响应于所述客户端对所述指定类型文档的多次操作,获取所述指定类型文档的关联人信息,并获取多次操作对应的多次操作信息;将所述预定时间段内所述关联人信息对应的多次操作信息作为合法的操作信息,建立与所述关联人信息对应的合法信息库。
10.根据权利要求9所述的装置,其特征在于,所述合法的操作信息包括以下各项中至少之一:
打开操作信息、鼠标滑动轨迹信息、点击信息、阅读页码信息、打印信息、内容复制粘贴信息、操作频率信息、操作有效期信息、操作次数阈值信息。
11.根据权利要求9所述的装置,其特征在于,
所述合法的操作信息包括:操作有效期信息和操作次数阈值信息;
所述装置还包括:确定处理模块,用于响应于所述客户端对所述指定类型文档的第二操作,确定所述第二操作对应的时间信息,并将对所述指定类型文档的历史第二操作次数增加1;
所述禁止处理模块还用于在所述第二操作对应的时间信息与所述操作有效期信息不匹配的情况下,或者,在所述历史第二操作次数与所述操作次数阈值信息不匹配的情况下,向所述客户端发送禁止操作信息以禁止所述客户端对所述指定类型文档的第二操作。
12.根据权利要求9至11中任一项所述的装置,其特征在于,所述装置还包括:
信息注入模块,用于在客户端从服务器下载所述指定类型文档的过程中,向所述指定类型文档中注入交互代码、关联人信息和用于覆盖所述指定类型文档至少部分内容的遮盖层,其中,所述交互代码用于在运行时将所述关联人信息、所述客户端对所述指定类型文档的操作信息从所述客户端发送至所述服务端;
所述操作信息包括以下中的至少一项:打开操作信息、鼠标滑动轨迹信息、点击信息、阅读页码信息、打印信息、内容复制粘贴信息、操作频率信息。
13.根据权利要求12所述的装置,其特征在于,
所述交互代码还用于在运行时将客户端标识信息发送至所述服务端,
所述第一获取模块还用于响应于客户端对所述指定类型文档的操作,获取每次操作对应的客户端标识信息,所述合法信息库还包括与所述关联人信息对应的所述客户端标识信息。
14.根据权利要求12所述的装置,其特征在于,所述交互代码包括JavaScript代码。
15.根据权利要求9所述的装置,其特征在于,所述指定类型文档包括pdf格式的文档。
16.根据权利要求9所述的装置,其特征在于,所述客户端标识信息包括所述客户端的IP地址信息。
17.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器中存储指令,所述指令由处理器加载并执行,以实现如权利要求1至8中任一项所述的方法。
18.一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011087339.1A CN111931244B (zh) | 2020-10-13 | 2020-10-13 | 防止文档泄密的方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011087339.1A CN111931244B (zh) | 2020-10-13 | 2020-10-13 | 防止文档泄密的方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111931244A CN111931244A (zh) | 2020-11-13 |
| CN111931244B true CN111931244B (zh) | 2021-07-13 |
Family
ID=73334386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011087339.1A Active CN111931244B (zh) | 2020-10-13 | 2020-10-13 | 防止文档泄密的方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111931244B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113343227A (zh) * | 2021-06-28 | 2021-09-03 | 深信服科技股份有限公司 | 一种泄密行为识别方法、装置、设备、介质 |
| CN116738485B (zh) * | 2023-06-21 | 2023-12-05 | 江苏克胜集团股份有限公司 | 一种基于数字化信息传输的安全管理系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104376270A (zh) * | 2013-08-12 | 2015-02-25 | 深圳中兴网信科技有限公司 | 一种文件保护方法及系统 |
| CN105069369A (zh) * | 2015-07-20 | 2015-11-18 | 陈包容 | 一种文档阅后即焚的方法及装置 |
| CN108280353A (zh) * | 2017-01-05 | 2018-07-13 | 珠海金山办公软件有限公司 | 一种安全文档操作的判断方法及装置 |
| CN108664797A (zh) * | 2017-03-30 | 2018-10-16 | 北京北信源软件股份有限公司 | 一种针对pdf文档进行标密和校验的方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8108672B1 (en) * | 2003-10-31 | 2012-01-31 | Adobe Systems Incorporated | Transparent authentication process integration |
| US8056120B2 (en) * | 2007-06-11 | 2011-11-08 | Ricoh Company, Limited | Authentication apparatus, authentication method, and computer program product |
| CN107180195A (zh) * | 2017-05-18 | 2017-09-19 | 北京计算机技术及应用研究所 | 基于安全标签的电子文档全生命周期安全防护方法 |
| CN111625854B (zh) * | 2020-05-25 | 2022-10-14 | 聚好看科技股份有限公司 | 文档加密方法、访问方法、服务器及系统 |
-
2020
- 2020-10-13 CN CN202011087339.1A patent/CN111931244B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104376270A (zh) * | 2013-08-12 | 2015-02-25 | 深圳中兴网信科技有限公司 | 一种文件保护方法及系统 |
| CN105069369A (zh) * | 2015-07-20 | 2015-11-18 | 陈包容 | 一种文档阅后即焚的方法及装置 |
| CN108280353A (zh) * | 2017-01-05 | 2018-07-13 | 珠海金山办公软件有限公司 | 一种安全文档操作的判断方法及装置 |
| CN108664797A (zh) * | 2017-03-30 | 2018-10-16 | 北京北信源软件股份有限公司 | 一种针对pdf文档进行标密和校验的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111931244A (zh) | 2020-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9842203B2 (en) | Secure system for allowing the execution of authorized computer program code | |
| US8522346B1 (en) | Protection against unintentional file changing | |
| US7290279B2 (en) | Access control method using token having security attributes in computer system | |
| JP4089171B2 (ja) | 計算機システム | |
| WO2015124018A1 (zh) | 基于智能终端设备的应用程序访问方法与装置 | |
| CN111931244B (zh) | 防止文档泄密的方法、装置、电子设备和存储介质 | |
| CN113315637B (zh) | 安全认证方法、装置及存储介质 | |
| US20030221115A1 (en) | Data protection system | |
| KR100621318B1 (ko) | 조건들의 검증에 의해 접근과 자원사용을 관리하기 위한 방법 | |
| CN115470533A (zh) | 车辆敏感数据的存储方法、装置、电子设备及存储介质 | |
| EP1430680B1 (en) | Server with file verification | |
| US8171530B2 (en) | Computer access security | |
| JP2007188445A (ja) | 情報漏えい防止システム及び情報漏えい防止方法 | |
| CN116595573B (zh) | 交管信息系统的数据安全加固方法及装置 | |
| US20070055478A1 (en) | System and method for active data protection in a computer system in response to a request to access to a resource of the computer system | |
| GB2555569B (en) | Enhanced computer objects security | |
| CN113672925B (zh) | 阻止勒索软件攻击的方法、装置、存储介质及电子设备 | |
| JP4444604B2 (ja) | アクセス制御装置ならびにそのプログラム | |
| JP6464544B1 (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム | |
| JPH10187434A (ja) | セキュリティ確保方式 | |
| Dempsey et al. | Automation support for security control assessments: Software asset management | |
| US11841970B1 (en) | Systems and methods for preventing information leakage | |
| Rubio-Medrano et al. | Proactive risk assessment for preventing attribute-forgery attacks to abac policies | |
| US7451313B1 (en) | Encryption method of application software | |
| JP6562370B1 (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |