CN112202710A - 一种防止数据泄露的方法、装置、电子设备和存储介质 - Google Patents
一种防止数据泄露的方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN112202710A CN112202710A CN202010865448.5A CN202010865448A CN112202710A CN 112202710 A CN112202710 A CN 112202710A CN 202010865448 A CN202010865448 A CN 202010865448A CN 112202710 A CN112202710 A CN 112202710A
- Authority
- CN
- China
- Prior art keywords
- browser
- proxy gateway
- security
- safety
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 26
- 244000035744 Hura crepitans Species 0.000 claims description 16
- 238000012549 training Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 12
- 238000001914 filtration Methods 0.000 claims description 8
- 238000012360 testing method Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 9
- 230000002265 prevention Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/16—Program or content traceability, e.g. by watermarking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种防止数据泄露的方法、装置、电子设备和存储介质。其中的防止数据泄露的方法包括:通过预设的安全浏览器向安全代理网关发送用户认证信息,与所述安全代理网关进行双向认证;若双向认证通过,则使用所述安全浏览器并通过所述安全代理网关访问预设资源。应用本发明可以有效地防止网络数据的泄露。
Description
技术领域
本申请涉及数据处理技术领域,尤其涉及一种防止数据泄露的方法、装置、电子设备和存储介质。
背景技术
目前,现有技术中的涉密安全系统主要是采用网络物理隔离的方式进行安全保护,而这正是当前的零信任系统打破物理边界进行替换的目标系统。然而,对于有强烈数字防泄漏需求的系统,现有技术中的客户端环境评分、零信任代理网关模型在网络访问浏览器端还需要加强数字防泄密保护。
发明内容
有鉴于此,本发明提供了一种防止数据泄露的方法、装置、电子设备和存储介质,从而可以有效地防止网络数据的泄露。
第一方面,本发明实施例提供了一种防止数据泄露的方法,该方法包括:
通过预设的安全浏览器向安全代理网关发送用户认证信息,与所述安全代理网关进行双向认证;
若双向认证通过,则使用所述安全浏览器并通过所述安全代理网关访问预设资源。
进一步的,该方法还进一步包括:安全浏览器接收并显示所述安全代理网关发送的用户关键信息。
进一步的,该方法还进一步包括:通过安全浏览器上预设的应用程序沙箱运行所需的网络应用。
进一步的,该方法还进一步包括:当使用安全浏览器并通过安全代理网关访问预设资源时,使用安全浏览器获取存储在安全代理网关上的指定业务网络访问白名单,使得所述安全浏览器根据指定业务网络访问白名单进行预设资源的访问。
进一步的,所述用户认证信息为用于表明客户端涉密等级的软证书或USB KEY集成证书。
进一步的,在所述安全浏览器中预先设置一个信息显示应用程序接口;
所述信息显示应用程序接口用于接收并显示所述安全代理网关发送的用户关键信息。
进一步的,所述安全浏览器以水印底纹的方式在其显示界面的预设区域中显示所述用户关键信息。
进一步的,该方法还进一步包括:
预先设置一个虚拟训练终端;
所述虚拟训练终端预先构建一个安全训练环境,并在安全训练环境中自动调用安全浏览器以及相应的网络过滤驱动组件,使用测试账号进行每项涉密资源的全页面访问训练,生成每项涉密资源的浏览器端网络访问白名单,并将各项涉密业务的浏览器端网络访问白名单作为指定业务网络访问白名单发送给安全代理网关存储。
进一步的,在所述安全浏览器中预先设置一个网络访问白名单应用程序接口;
所述网络访问白名单应用程序接口用于获取存储在安全代理网关上的指定业务网络访问白名单。
进一步的,该方法还进一步包括:
设置一个客户端,并在所述客户端中设置所述安全浏览器;
所述客户端,用于当所述安全浏览器通过所述安全代理网关访问预设资源时,设定所述安全浏览器所在的操作系统不可休眠,且不可设置虚拟内存将数据交换到存储设备。
进一步的,该方法还进一步包括:
当所述安全浏览器处于离线状态或者需要动态阻断所述安全浏览器的当前次访问时,在所述安全浏览器中清除与当前网络访问资源相关的数据。
进一步的,该方法还进一步包括:
所述安全浏览器动态或定期检查自身的库文件加载情况、线程数以及句柄数是否符合预设的安全条件。
第二方面,本发明实施例还提供了一种防止数据泄露的装置,该装置包括:安全浏览器和安全代理网关;
所述安全浏览器,用于向安全代理网关发送用户认证信息,与所述安全代理网关进行双向认证;若双向认证通过,则通过所述安全代理网关访问预设资源;
所述安全代理网关,用于根据所接收的用户认证信息与所述安全浏览器进行双向认证。
进一步的,所述安全代理网关,还用于向所述安全浏览器发送用户关键信息;
所述安全浏览器,还用于接收并显示所述用户关键信息。
进一步的,所述安全浏览器中设置有应用程序沙箱;所述应用程序沙箱用于运行所需的网络应用。
进一步的,所述安全浏览器,还用于获取存储在安全代理网关上的指定业务网络访问白名单,并根据指定业务网络访问白名单访问预设资源。
进一步的,该装置还进一步包括:虚拟训练终端和服务器;
所述虚拟训练终端,用于构建并启动安装安全浏览器的干净系统环境,并在安全训练环境中自动调用安全浏览器以及相应的网络过滤驱动组件,使用测试账号进行每项涉密资源的全页面访问训练,生成每项涉密资源的浏览器端网络访问白名单,并将各项涉密业务的浏览器端网络访问白名单作为指定业务网络访问白名单发送给安全代理网关存储;
所述服务器,与所述安全代理网关连接,用于提供或存储预设资源。
进一步的,该装置还进一步包括:客户端;
所述安全浏览器设置在所述客户端中;
所述客户端,还用于当所述安全浏览器通过所述安全代理网关访问预设资源时,设定所述安全浏览器所在的操作系统不可休眠,且不可设置虚拟内存将数据交换到存储设备。
进一步的,所述客户端还用于当安全浏览器处于离线状态或者需要动态阻断所述安全浏览器的当前次访问时,向所述安全浏览器发送清除当前网络访问资源的控制信令,以清除与当前网络访问资源相关的数据。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器、总线及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如第一方面所述防止数据泄露的方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如第一方面所述防止数据泄露的方法的步骤。
由上述技术方案可知,在本发明中的防止数据泄露的方法、装置、电子设备和存储介质中,由于先通过预设的安全浏览器向安全代理网关发送用户认证信息,进行用户认证,当使用所述安全浏览器并通过所述安全代理网关访问预设资源时,安全浏览器接收并显示所述安全代理网关发送的用户关键信息,并通过安全浏览器上预设的应用程序沙箱运行所需的网络(WEB)应用,且当使用安全浏览器并通过安全代理网关访问预设资源时,安全浏览器获取存储在安全代理网关上的指定业务网络访问白名单,并根据指定业务网络访问白名单访问预设资源,从而可以有效地防止网络数据的泄露,达到较好的数据防泄漏效果,提高网络访问的安全性,以达成网络访问系统中对数据防泄漏需求的技术保障能力。
附图说明
图1为本发明一个实施例中的防止数据泄露的方法的流程示意图。
图2为本发明一个实施例中的防止数据泄露的装置的结构示意图。
图3为本发明一个实施例中的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1为本发明一个实施例中的防止数据泄露的方法的流程示意图,该防止数据泄露的方法可应用于零信任系统。
如图1所示,本发明一个实施例中的防止数据泄露的方法包括如下所述步骤:
步骤10,通过预设的安全浏览器向安全代理网关发送用户认证信息,与所述安全代理网关进行双向认证。
在本发明的技术方案中,可以预先设置一个安全浏览器,当用户需要访问一些预设资源(例如,涉密网络应用、涉密业务或其它涉密资源等)时,需要使用该预设的安全浏览器才能访问上述预设的资源。
在使用上述预设的安全浏览器访问上述的预设资源时,将首先通过该预设的安全浏览器向安全代理网关发送用户认证信息,从而对用户的身份进行认证,以确认该用户是否具有访问上述预设资源的权限,同时安全浏览器还可以对安全浏览器进行认证,从而完成双向认证。
另外,在本发明的一个可选的具体实施方式中,上述用户认证信息可以是用于表明客户端涉密等级的软证书或可插拔电子钥匙(USB KEY)集成证书。此时,只有预设的安全浏览器才能读取上述的软证书或USB KEY集成证书以进行用户身份认证和登录,并可以使用上述软证书或USB KEY集成证书与安全代理网关进行传输层安全性(Transport LayerSecurity,TLS)握手双向证书认证,从而完成双向认证。因此,针对上述的预设资源(例如,涉密网络应用、涉密业务或其它涉密资源等等),安全代理网关将禁止一般业务的用户或客户端与该安全代理网关握手成功,因而使得只有通过上述预设的安全浏览器与该安全代理网关完成双向认证之后,才能访问上述的预设资源,从而可以有效地防止网络数据泄露。
步骤20,若双向认证通过,则使用所述安全浏览器并通过所述安全代理网关访问预设资源。
在本发明的技术方案中,当通过安全浏览器与安全代理网关完成双向认证(即双向认证通过)之后,则可以使用该安全浏览器并通过该安全代理网关访问相应的预设资源。
另外,在本发明的一个可选的具体实施方式中,上述的防止数据泄露的方法还可以进一步包括:
步骤30,安全浏览器接收并显示所述安全代理网关发送的用户关键信息。
当用户或客户端使用上述预设的安全浏览器,并通过上述的安全代理网关访问相应的预设资源(例如,登录对应的业务系统或者访问涉密网络应用等)时,安全代理网关将向安全浏览器发送相应的用户关键信息,安全浏览器将接收该用户关键信息并显示。
另外,在本发明的一个可选的具体实施方式中,所述安全浏览器中可以预先设置一个信息显示应用程序接口(API),从而可以通过该信息显示应用程序接口接收并显示所述安全代理网关发送的用户关键信息。
另外,在本发明的一个可选的具体实施方式中,安全代理网关可以在对用户进行身份认证时获取相应的用户关键信息,并将所获取的用户关键信息发送给所述安全浏览器。
此外,在本发明的技术方案中,可以使用多种方式来显示上述的用户关键信息。例如,在本发明的一个可选的具体实施方式中,所述安全浏览器可以以水印底纹的方式在安全浏览器的显示界面的预设区域中显示上述的用户关键信息,从而可以有效地防止由于使用截屏、拍照等方式而导致的相关数据和/或信息的泄露。
其中,所述以水印底纹的方式在安全浏览器的显示界面的预设区域中显示用户关键信息可以是:将一个或多个用户关键信息按照预设的颜色、尺寸大小、间距和/或排列方向始终显示在预设区域中,以形成相应的水印底纹。该水印底纹与电子文档或图片中经常使用的水印底纹是相同或类似的。
再例如,在本发明的一个可选的具体实施方式中,所述显示界面的预设区域可以是显示界面的全部区域,也可以是显示界面上的一个或多个预设的局部区域。
另外,在本发明的一个可选的具体实施方式中,所述用户关键信息可以是用户名、用户姓名和/或组织单位等信息,也可以是其它的可以表明用户身份的信息。
另外,在本发明的一个可选的具体实施方式中,上述的防止数据泄露的方法还可以进一步包括:
步骤40,通过安全浏览器上预设的应用程序沙箱运行所需的网络(WEB)应用。
在本发明的技术方案中,所述安全浏览器中可以预先设置一个应用程序沙箱(Sand Box)。因此,在安全浏览器启动(例如,启动安全浏览器进程)之后,该安全浏览器(或安全浏览器进程)将运行于应用程序沙箱的保护之中,在安全浏览器上运行的WEB应用的前端页面也将运行于应用程序沙箱的保护之中。
通过上述的方式,可以使得在安全浏览器上运行的WEB应用不会将数据输出至系统剪切板;而且,在通过该安全浏览器进行文件或注册表保存时,将只有该安全浏览器进程的本次访问可见,并且在本次访问关闭后将自动清除痕迹。
另外,在本发明的技术方案中,当安全浏览器启动时,可以自动启动上述预设的应用程序沙箱,因此上述的步骤40可以在上述的步骤10、步骤20之前执行,也可以在上述的步骤10、步骤20之后执行,也可以和上述的步骤10、步骤20同时执行。
此外,在本发明的一个可选的具体实施方式中,上述的防止数据泄露的方法还可以进一步包括:
步骤50,当使用安全浏览器并通过安全代理网关访问预设资源时,安全浏览器获取存储在安全代理网关上的指定业务网络访问白名单,并根据指定业务网络访问白名单访问预设资源。
在本发明的技术方案中,当用户或客户端使用上述预设的安全浏览器,并通过上述的安全代理网关访问相应的预设资源(例如,登录对应的业务系统或者访问涉密网络应用等)时,安全浏览器将先从安全代理网关上获取其所存储的指定业务网络访问白名单。在获取该指定业务网络访问白名单之后,该指定业务网络访问白名单将在该安全浏览器中立即生效;因此,该安全浏览器即可根据该指定业务网络访问白名单访问预设资源。其中,上述的指定业务网络访问白名单中可以包括:预设的允许用户或客户端访问的业务网络。因此,用户或客户端只能访问指定业务网络访问白名单中的业务网络,而无法访问未包括在指定业务网络访问白名单中的业务网络。
通过上述的方式,可以在安全浏览器中自动实现网络白名单访问制约逻辑,使得该安全浏览器只能按照该指定业务网络访问白名单中的内容访问预设资源。
另外,在本发明的一个可选的具体实施方式中,可以在所述安全浏览器中预先设置一个网络访问白名单应用程序接口(API),从而可以通过该网络访问白名单应用程序接口获取存储在安全代理网关上的指定业务网络访问白名单,使得该安全浏览器可以根据该指定业务网络访问白名单访问所需的预设资源。
另外,在本发明的一个可选的具体实施方式中,所述指定业务网络访问白名单可以是预先存储在安全代理网关上的。
另外,在本发明的一个可选的具体实施方式中,还可以预先设置一个虚拟训练终端(例如,虚拟机或者虚拟容器);该虚拟训练终端可以预先构建一个安全训练环境(例如,虚拟训练终端可以设置重启还原方式,以构建并启动安装安全浏览器的干净系统环境,从而可以将该干净系统环境作为一个比较干净的安全训练环境),并在安全训练环境中自动调用安全浏览器以及相应的网络过滤驱动组件,使用测试账号进行每项涉密资源(例如,涉密业务或涉密网络应用)的全页面访问训练(例如,对全部页面所进行的各种可能的访问进行模拟训练),生成每项涉密资源的浏览器端网络访问白名单(例如,浏览器端的目标IP端口白名单),并将各项涉密业务的浏览器端网络访问白名单作为指定业务网络访问白名单发送给安全代理网关存储。
因此,当用户或客户端使用安全浏览器并通过安全代理网关访问预设资源时,将增加一步和安全代理网关的交互流程,安全浏览器将通过其网络访问白名单应用程序接口获取安全代理网关上所存储的指定业务网络访问白名单,并在该安全浏览器中立即生效,使得该安全浏览器可以根据该指定业务网络访问白名单访问所需的预设资源。
此外,在本发明的一个可选的具体实施方式中,还可以进一步在客户端操作系统中安装并设置独立的网络过滤驱动组件,安全浏览器通过该网络过滤驱动组件交互传递网络目标白名单(即指定业务网络访问白名单),从而使得该安全浏览器只能根据该网络目标白名单访问所需的预设资源。
因此可知,通过上述的步骤,可以通过预设的安全浏览器向安全代理网关发送用户认证信息,进行双向认证;若双向认证通过,则使用所述安全浏览器并通过所述安全代理网关访问预设资源。更进一步的,还可以在通过安全代理网关访问预设资源时,在安全浏览器上显示用户关键信息,使用预设的应用程序沙箱运行所需的WEB应用,并根据指定业务网络访问白名单访问预设资源,从而可以有效地防止网络数据的泄露,达到较好的数据防泄漏效果,提高网络访问的安全性,以达成网络访问系统中对数据防泄漏需求的技术保障能力。
另外,上述的防止数据泄露的方法可以应用于零信任系统或其它的合适的应用环境。
另外,在本发明的技术方案中,上述的步骤50可以在上述的步骤20之前执行,也可以在上述步骤20之后执行,也可以和上述步骤20同时执行。
另外,更进一步的,在本发明的技术方案中,还可以对安全浏览器所在的操作系统的环境和控制规则进行监控,以增强防泄漏保障。
例如,在本发明的一个可选的具体实施方式中,可以设置一个客户端(例如,零信任客户端),并在该客户端中设置上述的安全浏览器。因此,该客户端可以对该安全浏览器所在的操作系统的环境和控制规则进行监控,当安全浏览器通过安全代理网关访问预设资源时,设定该安全浏览器所在的操作系统不可休眠,且不可设置虚拟内存将数据交换到存储设备(例如,硬盘或其它可以存储数据的设备),从而可以防止当安全浏览器访问预设资源(例如,涉密网络应用、涉密业务或其它涉密资源等)时,被触发系统休眠或者内存页面(page)交换,因而将内存中的涉密信息交换到存储设备上,并被进一步从该存储设备上复制到其它外部存储设备中从而导致泄密情况的出现。所以,通过上述的方式,可以有效地增强防泄漏保障,防止出现其它无关进程访问安全浏览器进程资源,提高数据的安全性。
另外,更进一步的,在本发明的技术方案中,针对涉密业务安全访问还可以有更强的浏览器端动态控制。
例如,在本发明的一个可选的具体实施方式中,当安全浏览器处于离线状态(例如,零信任客户端离线,或者安全浏览器离线)或者需要动态阻断所述安全浏览器的当前次访问时,在安全浏览器中清除与当前网络(WEB)访问资源相关的数据(例如,可以通过零信任客户端向安全浏览器发送清除当前WEB访问资源的控制信令来实现),从而可以有效地防止安全浏览器的内存中一直存储有涉密信息,以避免泄密情况的出现。
另外,在本发明的一个可选的具体实施方式中,上述安全浏览器还可以动态或定期检查自身的库文件加载情况、线程数以及句柄数等情况是否符合预设的安全条件,以防止被进程注入,防止出现需要协同工作的应用程序沙箱或者网络过滤驱动组件已经被破坏,确保自身进程绑定应用程序沙箱,确保网络过滤驱动组件交互正常。
另外,在本发明的技术方案中,还提供了一种防止数据泄露的装置。
图2为本发明一个实施例中的防止数据泄露的装置的结构示意图,如图2所示,本发明一个实施例中的防止数据泄露的装置包括:安全浏览器201和安全代理网关202;
所述安全浏览器201,用于向安全代理网关202发送用户认证信息,与所述安全代理网关202进行双向认证;若双向认证通过,则通过所述安全代理网关202访问预设资源;
所述安全代理网关202,用于根据所接收的用户认证信息与所述安全浏览器201进行双向认证。
进一步的,在本发明的一个可选的具体实施方式中,所述安全代理网关,还用于向所述安全浏览器发送用户关键信息;所述安全浏览器,还用于接收并显示所述用户关键信息。
进一步的,在本发明的一个可选的具体实施方式中,所述安全浏览器中设置有应用程序沙箱;所述应用程序沙箱用于运行所需的网络应用。
进一步的,在本发明的一个可选的具体实施方式中,所述安全浏览器,还用于获取存储在安全代理网关上的指定业务网络访问白名单,并根据指定业务网络访问白名单访问预设资源。
而所述安全代理网关,则还可以用于将所存储的指定业务网络访问白名单发送给所述安全浏览器。
更进一步的,在本发明的一个可选的具体实施方式中,所述防止数据泄露的装置中还可以进一步包括:虚拟训练终端203和服务器204;
所述虚拟训练终端203,用于构建并启动安装安全浏览器201的干净系统环境,并在安全训练环境中自动调用安全浏览器201以及相应的网络过滤驱动组件,使用测试账号进行每项涉密资源(例如,涉密业务或涉密网络应用)的全页面访问训练,生成每项涉密资源的浏览器端网络访问白名单(例如,浏览器端的目标IP端口白名单),并将各项涉密业务的浏览器端网络访问白名单作为指定业务网络访问白名单发送给安全代理网关202存储;
所述服务器204,与所述安全代理网关202连接,用于提供或存储预设资源。
更进一步的,在本发明的一个可选的具体实施方式中,所述防止数据泄露的装置中还可以进一步包括:客户端;
所述安全浏览器设置在所述客户端中;
所述客户端,还用于对所述安全浏览器所在的操作系统的环境和控制规则进行监控,当所述安全浏览器通过所述安全代理网关访问预设资源时,设定所述安全浏览器所在的操作系统不可休眠,且不可设置虚拟内存将数据交换到存储设备(例如,硬盘或其它可以存储数据的设备)。
另外,在本发明的一个可选的具体实施方式中,所述客户端还可以用于当安全浏览器处于离线状态(例如,客户端离线,或者安全浏览器离线)或者需要动态阻断所述安全浏览器的当前次访问时,向安全浏览器发送清除当前网络(WEB)访问资源的控制信令,以清除与当前网络(WEB)访问资源相关的数据。
另外,本发明实施例提供的防止数据泄露的装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图3示出了本发明一实施例提供的一种电子设备的结构示意图,如图3所示,该电子设备可以包括存储器302、处理器301、总线303以及存储在存储器302上并可在处理器301上运行的计算机程序,其中,处理器301和存储器302通过总线303完成相互间的通信。所述处理器301执行所述计算机程序时实现上述方法的步骤,例如包括:通过预设的安全浏览器向安全代理网关发送用户认证信息,与所述安全代理网关进行双向认证;若双向认证通过,则使用所述安全浏览器并通过所述安全代理网关访问预设资源时,安全浏览器接收并显示所述安全代理网关发送的用户关键信息;通过安全浏览器上预设的应用程序沙箱运行所需的WEB应用。
另外,本发明一实施例中还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤,例如包括:通过预设的安全浏览器向安全代理网关发送用户认证信息,与所述安全代理网关进行双向认证;若双向认证通过,则使用所述安全浏览器并通过所述安全代理网关访问预设资源。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (14)
1.一种防止数据泄露的方法,其特征在于,该方法包括:
通过预设的安全浏览器向安全代理网关发送用户认证信息,与所述安全代理网关进行双向认证;
若双向认证通过,则使用所述安全浏览器并通过所述安全代理网关访问预设资源。
2.根据权利要求1所述的方法,其特征在于,该方法还进一步包括:
安全浏览器接收并显示所述安全代理网关发送的用户关键信息。
3.根据权利要求1所述的方法,其特征在于,该方法还进一步包括:
通过安全浏览器上预设的应用程序沙箱运行所需的网络应用。
4.根据权利要求1所述的方法,其特征在于,该方法还进一步包括:
当使用安全浏览器并通过安全代理网关访问预设资源时,使用安全浏览器获取存储在安全代理网关上的指定业务网络访问白名单,使得所述安全浏览器根据指定业务网络访问白名单进行预设资源的访问。
5.根据权利要求1所述的方法,其特征在于:
所述用户认证信息为用于表明客户端涉密等级的软证书或USB KEY集成证书。
6.根据权利要求2所述的方法,其特征在于:
在所述安全浏览器中预先设置一个信息显示应用程序接口;
所述信息显示应用程序接口用于接收并显示所述安全代理网关发送的用户关键信息。
7.根据权利要求2所述的方法,其特征在于:
所述安全浏览器以水印底纹的方式在其显示界面的预设区域中显示所述用户关键信息。
8.根据权利要求2所述的方法,其特征在于,该方法还进一步包括:
预先设置一个虚拟训练终端;
所述虚拟训练终端预先构建一个安全训练环境,并在安全训练环境中自动调用安全浏览器以及相应的网络过滤驱动组件,使用测试账号进行每项涉密资源的全页面访问训练,生成每项涉密资源的浏览器端网络访问白名单,并将各项涉密业务的浏览器端网络访问白名单作为指定业务网络访问白名单发送给安全代理网关存储。
9.根据权利要求8所述的方法,其特征在于:
在所述安全浏览器中预先设置一个网络访问白名单应用程序接口;
所述网络访问白名单应用程序接口用于获取存储在安全代理网关上的指定业务网络访问白名单。
10.根据权利要求1所述的方法,其特征在于,该方法还进一步包括:
设置一个客户端,并在所述客户端中设置所述安全浏览器;
所述客户端,用于当所述安全浏览器通过所述安全代理网关访问预设资源时,设定所述安全浏览器所在的操作系统不可休眠,且不可设置虚拟内存将数据交换到存储设备。
11.根据权利要求1所述的方法,其特征在于,该方法还进一步包括:
当所述安全浏览器处于离线状态或者需要动态阻断所述安全浏览器的当前次访问时,在所述安全浏览器中清除与当前网络访问资源相关的数据。
12.一种防止数据泄露的装置,其特征在于,该装置包括:安全浏览器和安全代理网关;
所述安全浏览器,用于向安全代理网关发送用户认证信息,与所述安全代理网关进行双向认证;若双向认证通过,则通过所述安全代理网关访问预设资源;
所述安全代理网关,用于根据所接收的用户认证信息与所述安全浏览器进行双向认证。
13.一种电子设备,包括存储器、处理器、总线及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至11任一项所述防止数据泄露的方法的步骤。
14.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至11任一项所述防止数据泄露的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010865448.5A CN112202710B (zh) | 2020-08-25 | 2020-08-25 | 一种防止数据泄露的方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010865448.5A CN112202710B (zh) | 2020-08-25 | 2020-08-25 | 一种防止数据泄露的方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112202710A true CN112202710A (zh) | 2021-01-08 |
| CN112202710B CN112202710B (zh) | 2023-08-04 |
Family
ID=74006176
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010865448.5A Active CN112202710B (zh) | 2020-08-25 | 2020-08-25 | 一种防止数据泄露的方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112202710B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022173373A1 (en) * | 2021-02-10 | 2022-08-18 | V-Key Pte. Ltd. | Secure module and method for app-to-app mutual trust through app-based identity |
| CN116436681A (zh) * | 2023-04-25 | 2023-07-14 | 上海物盾信息科技有限公司 | 一种基于TrustZone的安全隔离系统、方法、终端及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103218573A (zh) * | 2013-05-07 | 2013-07-24 | 安徽海加网络科技有限公司 | 一种基于虚拟磁盘保护的无痕访问控制方法及装置 |
| CN103927489A (zh) * | 2014-04-22 | 2014-07-16 | 陈幼雷 | 一种数据可信存储的系统及其方法 |
| CN104008330A (zh) * | 2014-05-23 | 2014-08-27 | 武汉华工安鼎信息技术有限责任公司 | 基于文件集中存储及隔离技术的数据防泄漏系统及其方法 |
| CN104751030A (zh) * | 2013-12-31 | 2015-07-01 | 中国科学院信息工程研究所 | 一种用户访问权限控制方法及装置 |
| US20170034168A1 (en) * | 2014-09-16 | 2017-02-02 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
| CN108834146A (zh) * | 2018-06-22 | 2018-11-16 | 武汉彤科电力科技有限公司 | 一种终端与认证网关之间的双向身份认证方法 |
-
2020
- 2020-08-25 CN CN202010865448.5A patent/CN112202710B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103218573A (zh) * | 2013-05-07 | 2013-07-24 | 安徽海加网络科技有限公司 | 一种基于虚拟磁盘保护的无痕访问控制方法及装置 |
| CN104751030A (zh) * | 2013-12-31 | 2015-07-01 | 中国科学院信息工程研究所 | 一种用户访问权限控制方法及装置 |
| CN103927489A (zh) * | 2014-04-22 | 2014-07-16 | 陈幼雷 | 一种数据可信存储的系统及其方法 |
| CN104008330A (zh) * | 2014-05-23 | 2014-08-27 | 武汉华工安鼎信息技术有限责任公司 | 基于文件集中存储及隔离技术的数据防泄漏系统及其方法 |
| US20170034168A1 (en) * | 2014-09-16 | 2017-02-02 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
| CN108834146A (zh) * | 2018-06-22 | 2018-11-16 | 武汉彤科电力科技有限公司 | 一种终端与认证网关之间的双向身份认证方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022173373A1 (en) * | 2021-02-10 | 2022-08-18 | V-Key Pte. Ltd. | Secure module and method for app-to-app mutual trust through app-based identity |
| CN116436681A (zh) * | 2023-04-25 | 2023-07-14 | 上海物盾信息科技有限公司 | 一种基于TrustZone的安全隔离系统、方法、终端及存储介质 |
| CN116436681B (zh) * | 2023-04-25 | 2024-01-02 | 上海物盾信息科技有限公司 | 一种基于TrustZone的安全隔离系统、方法、终端及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112202710B (zh) | 2023-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107612895B (zh) | 一种互联网防攻击方法及认证服务器 | |
| EP3574625B1 (de) | Verfahren zum durchführen einer authentifizierung | |
| US9900346B2 (en) | Identification of and countermeasures against forged websites | |
| EP3219068B1 (en) | Method of identifying and counteracting internet attacks | |
| US8332627B1 (en) | Mutual authentication | |
| US8806627B1 (en) | Content randomization for thwarting malicious software attacks | |
| US20080229109A1 (en) | Human-recognizable cryptographic keys | |
| CN102073822A (zh) | 防止用户信息泄漏的方法及系统 | |
| CN109981576B (zh) | 密钥迁移方法和装置 | |
| CN110875899B (zh) | 数据处理方法、系统以及网络系统 | |
| CN112202710A (zh) | 一种防止数据泄露的方法、装置、电子设备和存储介质 | |
| CN103975567A (zh) | 双因素认证方法及虚拟机设备 | |
| JP2009003559A (ja) | シングルサインオンサーバ用コンピュータシステム及びプログラム | |
| CN104468486A (zh) | 信息处理方法、系统及电子设备 | |
| CN105787355B (zh) | 一种安全软件进程权限管理方法和装置 | |
| CN102655496A (zh) | 一种登录方法、系统及装置 | |
| CN112804222B (zh) | 基于云部署的数据传输方法、装置、设备及存储介质 | |
| US20210183000A1 (en) | Tracking Image Senders on Client Devices | |
| CN106850519A (zh) | 应用安全性认证方法及装置 | |
| CN111786795A (zh) | 域名注册方法、域名监管方法、客户端及域名监管终端 | |
| CN103650459A (zh) | 一种信息呈现方法及设备 | |
| KR101619928B1 (ko) | 이동단말기의 원격제어시스템 | |
| CN109960939B (zh) | 远程html5页面加载方法及系统 | |
| Felsch et al. | How private is your private cloud? Security analysis of cloud control interfaces | |
| CN107455003B (zh) | 一种用户身份认证方法及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: Qianxin Technology Group Co.,Ltd. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: Qianxin Technology Group Co.,Ltd. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |