CN113726789A - 一种敏感数据拦截方法和装置 - Google Patents
一种敏感数据拦截方法和装置 Download PDFInfo
- Publication number
- CN113726789A CN113726789A CN202111018637.XA CN202111018637A CN113726789A CN 113726789 A CN113726789 A CN 113726789A CN 202111018637 A CN202111018637 A CN 202111018637A CN 113726789 A CN113726789 A CN 113726789A
- Authority
- CN
- China
- Prior art keywords
- data
- transmission request
- transmitted
- data transmission
- agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Technology Law (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种敏感数据拦截方法和装置,涉及计算机技术领域。该方法的具体实施方式包括:接收数据传输请求;其中,数据传输请求指示了配置信息;确定与数据传输请求对应的符合代理策略的待传输数据;其中,代理策略是根据历史数据传输请求的配置信息得到的;将待传输数据发送给DLP分析引擎,使得DLP分析引擎对待传输数据进行分析;接收DLP分析引擎的分析结果,在分析结果指示了待传输数据包括敏感数据的情况下,拦截敏感数据。该实施方式能够通过终端部署代理服务,降低网关负载,提高网关稳定性以应对外部威胁,精细化识别并确定敏感数据,防止敏感数据的泄露,提高数据传输的安全性,保障数据安全。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种敏感数据拦截方法和装置。
背景技术
敏感数据是指与个人隐私、商业秘密、公共安全等相关的数据,一旦泄露,将其发布至不安全的环境中,会给个人或者社会带来严重危害。敏感数据泄露可能是意外引起,也可能是网关被蓄意攻击的结果。
现有的敏感数据管控中,通常通过网关进行全流量防护,对数据进行阻断或者允许处理。然而,由于互联网技术的发展,网关处理的数据量越来越大,使得网关的防护负载极其容易因为超荷而崩溃,无法正常工作;另一方面,网关无法对敏感数据进行精细化地识别处理,因此,容易导致数据的误伤,将正常数据进行阻断或者将敏感数据进行允许,数据安全无法保障;再一方面,网关作为数据传输中的关键一环,容易被蓄意攻击导致敏感数据泄露,降低数据传输的安全性。
发明内容
有鉴于此,本发明实施例提供一种敏感数据拦截方法和装置,能够通过终端部署代理服务,降低网关负载,提高网关稳定性以应对外部威胁,精细化识别并确定敏感数据,防止敏感数据的泄露,提高数据传输的安全性,保障数据安全。
为实现上述目的,根据本发明实施例的一个方面,提供了一种敏感数据拦截方法,包括:
接收数据传输请求;其中,所述数据传输请求指示了配置信息;
确定与所述数据传输请求对应的符合代理策略的待传输数据;其中,所述代理策略是根据历史数据传输请求的配置信息得到的;
将所述待传输数据发送给DLP分析引擎,使得所述DLP分析引擎对所述待传输数据进行分析;
接收所述DLP分析引擎的分析结果,在所述分析结果指示了所述待传输数据包括敏感数据的情况下,拦截所述敏感数据。
可选地,所述配置信息包括用户属性、通道属性和数据属性;在所述确定与所述数据传输请求对应的符合代理策略的待传输数据之前,包括:
根据历史通道属性、历史数据属性和历史用户属性,确定所述代理策略;
根据所述数据传输请求的所述通道属性、所述数据属性和所述用户属性,确定所述数据传输请求是否符合所述代理策略。
可选地,所述代理策略包括白名单、黑名单以及黑名单对应的代理类型,所述数据传输请求还指示了请求数据;在所述数据传输请求符合所述代理策略的情况下,所述确定与所述数据传输请求对应的符合代理策略的待传输数据,包括:
在所述数据传输请求符合所述代理策略的黑名单、且所述代理类型为正向类型的情况下,将所述请求数据进行预处理,得到所述待传输数据;
在所述数据传输请求符合所述代理策略的白名单的情况下,确定所述请求数据为所述待传输数据。
可选地,所述预处理包括以下任意一项或多项:
分类处理、解密处理、加密处理、重装处理。
可选地,所述数据属性包括目标地址;还包括:
将所述待传输数据中除所述敏感数据以外的数据发送给所述目标地址对应的服务器;
或者,
在所述分析结果指示了所述待传输数据不包括敏感数据的情况下,将所述待传输数据发送给所述目标地址对应的服务器。
可选地,所述数据传输请求是所述DLP系统的网络驱动通过重定位得到的。
可选地,所述终端的代理服务为TProxy服务;
和/或,
在所述配置信息包括用户属性的情况下,
所述数据传输请求是所述DLP系统的网络驱动根据所述用户属性进行重定位得到的。
根据本发明实施例的再一个方面,提供了一种敏感数据拦截装置,包括:
接收模块,用于接收数据传输请求;其中,所述数据传输请求指示了配置信息;
确定模块,用于确定与所述数据传输请求对应的符合代理策略的待传输数据;其中,所述代理策略是根据历史数据传输请求的配置信息得到的;
发送模块,用于将所述待传输数据发送给DLP分析引擎,使得所述DLP分析引擎对所述待传输数据进行分析;
拦截模块,用于接收所述DLP分析引擎的分析结果,在所述分析结果指示了所述待传输数据包括敏感数据的情况下,拦截所述敏感数据。
根据本发明实施例的另一个方面,提供了一种敏感数据拦截电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明提供的敏感数据拦截方法。
根据本发明实施例的还一个方面,提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明提供的敏感数据拦截方法。
上述发明中的一个实施例具有如下优点或有益效果:因为采用通过终端的代理服务确定符合代理策略的数据传输请求,进而根据代理类型确定待传输数据,使得DLP分析引擎对待传输数据进行分析,进而根据DLP分析引擎的分析结果拦截敏感数据的技术手段,所以克服了现有的敏感数据管控中,网关防护负载超荷、无法对敏感数据进行精细化识别处理、容易导致数据误伤、数据安全无法保障、降低数据传输的安全性的技术问题,进而达到能够通过终端部署代理服务,降低网关负载,提高网关稳定性以应对外部威胁,精细化识别并确定敏感数据,防止敏感数据的泄露,提高数据传输的安全性,保障数据安全的技术效果。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的敏感数据拦截方法的主要流程的示意图;
图2是根据本发明实施例的代理策略的确定方法的主要流程的示意图;
图3是根据本发明实施例的待传输数据的确定方法的主要流程的示意图;
图4是根据本发明实施例的敏感数据拦截装置的主要模块的示意图;
图5示出了适于应用于本发明实施例的敏感数据拦截方法或敏感数据拦截装置的示例性系统架构图;
图6是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
DLP(Data leakage prevention)是指数据泄密(泄露)防护,又称为“数据丢失防护”(Data Loss prevention,DLP),有时也称为“信息泄漏防护”(Information leakageprevention,ILP),是指通过一定的技术手段,防止指定数据或信息资产以违反安全规定的形式流出的一种策略。
DLP分析引擎是DLP系统中,用于根据DLP策略判断数据是否敏感的服务。
透明代理是指终端向真实服务器发起连接时,代理机冒充服务器与终端建立连接,并以终端ip与真实服务器建立连接,从而进行代理转发。因此,对于终端与服务器来说,代理机都是透明的。
TProxy是一种运行在终端上的透明代理软件,需要配合DLP系统的网络驱动共同工作,不能单独启动,用于对常用的应用协议进行分析,如http、https、smtp、smtps、ftp、ftps、custom、http2.0、ftp主动被动模式的解析、ssl/tls的解密等。
驱动属于可执行代码的一种,与系统紧密绑定,拥有与系统相同的权限,windows平台下称为驱动(.sys),mac平台下称为系统扩展(.kext),linux平台下称为内核模块(.ko)。
通道是对应用程序的一种类别划分,对应有类别的配置信息,比如,浏览器属于http/https网络请求类别、邮件属于smtp/smtps网络请求类别等。
图1是根据本发明实施例的敏感数据拦截方法的主要流程的示意图,如图1所示,本发明的敏感数据拦截方法包括:
步骤S101,接收数据传输请求;其中,所述数据传输请求指示了配置信息。
在本发明实施例中,本发明的方法通过终端的代理服务执行,比如,代理服务可以是TProxy服务。配置信息包括用户属性、通道属性和数据属性,用户属性包括账号、IP地址、账号权限、账号等级等;通道属性包括数据来源、协议类型等;数据属性包括数据类型、数据所占存储空间、目标地址等。数据传输请求还指示了期望由数据来源发送给目标地址的请求数据。
在本发明实施例中,DLP系统包括网络驱动,数据传输请求是DLP系统的网络驱动通过重定位得到的。网络驱动将数据传输请求重定位至TProxy服务。
进一步地,网络驱动可以根据配置信息的用户属性和通道属性,对数据传输请求进行判断,将符合重定位策略的数据传输请求重定位至终端的代理服务,从而使得终端的代理服务对请求数据进行处理。其中,重定位策略是根据历史用户属性、历史通道属性得到的,比如,特定IP地址、特定数据来源的数据传输请求符合重定位策略,数据来源可以是各种应用程序或者APP。
比如,开机后,DLP系统自动加载网络驱动,网络驱动在内核模式下工作,具有最高权限,注册tcp/udp协议过滤器;网络驱动加载完成后,启动终端的透明代理服务TProxy;接收数据传输请求,网络驱动根据数据传输请求的用户属性和数据来源,将符合重定位策略的数据传输请求重定位至透明代理服务TProxy;其中,通道属性指示的数据来源为对应的应用程序名称。
步骤S102,确定与所述数据传输请求对应的符合代理策略的待传输数据;其中,所述代理策略是根据历史数据传输请求的配置信息得到的。
在本发明实施例中,代理策略包括白名单、黑名单以及黑名单对应的代理类型,黑名单的代理类型包括正向类型和反向类型。
在本发明实施例中,如图2所示,本发明的代理策略的确定方法包括如下步骤:
步骤S201,根据历史通道属性、历史数据属性和历史用户属性,确定代理服务的白名单和黑名单。
在本发明实施例中,黑名单的代理类型包括正向代理和反向代理。
在本发明实施例中,根据历史协议类型、历史数据类型、历史数据所占存储空间、历史账号、历史IP地址、历史账号权限、历史账号等级,确定代理服务的白名单和黑名单。比如,特定数据类型的数据无法通过代理服务进行转发,相应地,代理类型为黑名单的反向代理;或者,特定账号权限/账号等级的数据通过代理服务透传,相应地,代理类型为白名单。
步骤S202,根据白名单和黑名单,确定代理策略。
在本发明实施例中,在代理类型为白名单、或者代理类型为黑名单的正向代理的情况下,确定符合代理策略;在代理类型为黑名单的反向代理的情况下,确定不符合代理策略。
在本发明实施例中,通过本发明的代理策略的确定方法,能够确定代理服务的代理策略,进而使得代理服务对数据传输请求进行筛选、并对对应的请求数据进行处理,通过终端部署代理服务,将网关从数据防护中独立出来,无需网关对数据传输请求进行处理、对接收到的数据进行过滤,进而降低网关负载,提高网关稳定性以应对外部威胁。
在本发明实施例中,如图3所示,本发明的待传输数据的确定方法包括如下步骤:
步骤S301,根据数据传输请求的通道属性、数据属性和用户属性,确定数据传输请求是否符合代理策略。
在本发明实施例中,根据数据传输请求的协议类型、数据类型、数据所占存储空间、账号、IP地址、账号权限、账号等级,确定数据传输请求是否符合代理策略。
步骤S302,确定数据传输请求的代理类型。
在本发明实施例中,在数据传输请求符合代理策略的情况下,确定数据传输请求的代理类型,包括白名单和黑名单的正向代理;在数据传输请求不符合代理策略的情况下,确定数据传输请求的代理类型为黑名单的反向代理。
步骤S303,根据数据传输请求的代理类型,确定待传输数据。
在本发明实施例中,在数据传输请求的代理类型为白名单的情况下,将请求数据作为待传输数据。比如,TProxy服务无需对配置信息对应类型的协议进行解析,直接将请求数据作为待传输数据,以透传的方式进行代理。
在数据传输请求的代理类型为黑名单的正向代理的情况下,将请求数据进行预处理之后得到待传输数据;其中,预处理包括分类处理,和/或,解密处理,和/或,加密处理,和/或,重装处理。比如,TProxy服务对配置信息对应类型的协议进行解析,对请求数据进行拆分、解密和重装后得到待传输数据,待传输数据可以包括明文协议数据和附加数据。
在数据传输请求的代理类型为黑名单的反向代理的情况下,拒绝对应的数据传输请求。
在本发明实施例中,通过本发明的待传输数据的确定方法,能够通过代理服务对不同的数据传输请求进行分情况处理,在数据传输请求符合代理策略的情况下,代理服务确定对应的待传输数据,进而对待传输数据进行转发;在数据传输请求符合不代理策略的情况下,代理服务直接拒绝数据传输请求,通过终端部署代理服务,将网关从数据防护中独立出来,无需网关对数据传输请求进行处理、对接收到的数据进行过滤,进而降低网关负载,提高网关稳定性以应对外部威胁。
步骤S103,将所述待传输数据发送给DLP分析引擎,使得所述DLP分析引擎对所述待传输数据进行分析。
在本发明实施例中,DLP分析引擎可以根据关键字、关键字对、正则表达式、数据属性、支持向量机(SVM,Support Vector Machine)等分析方式,或者几种分析方式的任意组合等,对待传输数据进行分析,从而确定分析结果,分析结果指示了待传输数据是否包括敏感数据。
步骤S104,接收所述DLP分析引擎的分析结果,在所述分析结果指示了所述待传输数据包括敏感数据的情况下,拦截所述敏感数据。
在本发明实施例中,在分析结果指示了待传输数据包括敏感数据的情况下,拦截敏感数据,将待传输数据中除敏感数据以外的数据发送给目标地址对应的服务器。
在本发明实施例中,在分析结果指示了待传输数据不包括敏感数据的情况下,将待传输数据发送给目标地址对应的服务器。
在本发明实施例中,代理服务可以对敏感数据以外的数据进行放行,对敏感数据进行阻断,或者,代理服务可以对敏感数据进行提示。比如,TProxy服务接收到DLP分析引擎的分析结果,确定销售部门王某正在通过QQ向外传输敏感数据,则立即弹框告警:“销售部门王某通过QQ传输敏感数据!”,使得开发人员可以对其传输的敏感数据进行进一步判断,确定其传输的敏感数据是否可以向外发送,如果可以,则放行其传输的数据;如果不可以,则阻断其传输的数据。
在本发明实施例中,通过接收数据传输请求;其中,所述数据传输请求指示了配置信息;确定与所述数据传输请求对应的符合代理策略的待传输数据;其中,所述代理策略是根据历史数据传输请求的配置信息得到的;将所述待传输数据发送给DLP分析引擎,使得所述DLP分析引擎对所述待传输数据进行分析;接收所述DLP分析引擎的分析结果,在所述分析结果指示了所述待传输数据包括敏感数据的情况下,拦截所述敏感数据等步骤,能够通过终端部署代理服务,降低网关负载,提高网关稳定性以应对外部威胁,精细化识别并确定敏感数据,防止敏感数据的泄露,提高数据传输的安全性,保障数据安全。
图4是根据本发明实施例的敏感数据拦截装置的主要模块的示意图,如图4所示,本发明的敏感数据拦截装置400包括:
接收模块401,用于接收数据传输请求;其中,所述数据传输请求指示了配置信息。
在本发明实施例中,本发明的方法通过终端的代理服务执行,由代理服务的所述接收模块401接收数据传输请求,比如,代理服务可以是TProxy服务。配置信息包括用户属性、通道属性和数据属性,用户属性包括账号、IP地址、账号权限、账号等级等;通道属性包括数据来源、协议类型等;数据属性包括数据类型、数据所占存储空间、目标地址等。数据传输请求还指示了期望由数据来源发送给目标地址的请求数据。
在本发明实施例中,DLP系统包括网络驱动,数据传输请求是DLP系统的网络驱动通过重定位得到的。网络驱动将数据传输请求重定位至TProxy服务。
进一步地,网络驱动可以根据配置信息的用户属性和通道属性,对数据传输请求进行判断,将符合重定位策略的数据传输请求重定位至终端的代理服务,从而使得终端的代理服务对请求数据进行处理。其中,重定位策略是根据历史用户属性、历史通道属性得到的,比如,特定IP地址、特定数据来源的数据传输请求符合重定位策略,数据来源可以是各种应用程序或者APP。
数据处理模块402,用于确定与所述数据传输请求对应的符合代理策略的待传输数据;其中,所述代理策略是根据历史数据传输请求的配置信息得到的。
在本发明实施例中,还可以包括判断模块405,在所述判断模块405确定数据传输请求符合代理策略之后,所述数据处理模块402用于确定与符合代理策略的数据传输请求对应的待传输数据。代理策略包括白名单、黑名单以及黑名单对应的代理类型,黑名单的代理类型包括正向类型和反向类型。
在本发明实施例中,在数据传输请求的代理类型为白名单的情况下,所述数据处理模块402将请求数据作为待传输数据;在数据传输请求的代理类型为黑名单的正向代理的情况下,所述数据处理模块402将请求数据进行预处理之后得到待传输数据;在数据传输请求的代理类型为黑名单的反向代理的情况下,拒绝对应的数据传输请求。
发送模块403,用于将所述待传输数据发送给DLP分析引擎,使得所述DLP分析引擎对所述待传输数据进行分析。
在本发明实施例中,所述发送模块403用于将待传输数据发送给DLP分析引擎,DLP分析引擎可以根据关键字、关键字对、正则表达式、数据属性、支持向量机等分析方式,或者几种分析方式的任意组合等,对待传输数据进行分析,从而确定分析结果,分析结果指示了待传输数据是否包括敏感数据。
拦截模块404,用于接收所述DLP分析引擎的分析结果,在所述分析结果指示了所述待传输数据包括敏感数据的情况下,拦截所述敏感数据。
在本发明实施例中,在分析结果指示了待传输数据包括敏感数据的情况下,所述拦截模块404拦截敏感数据;还可以包括转发模块406,所述转发模块406将待传输数据中除敏感数据以外的数据发送给目标地址对应的服务器。
在本发明实施例中,在分析结果指示了待传输数据不包括敏感数据的情况下,所述转发模块406将待传输数据发送给目标地址对应的服务器。
在本发明实施例中,代理服务可以对敏感数据以外的数据进行放行,对敏感数据进行阻断,或者,代理服务可以对敏感数据进行提示。
在本发明实施例中,通过接收模块、数据处理模块、发送模块和拦截模块等模块,能够通过终端部署代理服务,降低网关负载,提高网关稳定性以应对外部威胁,精细化识别并确定敏感数据,防止敏感数据的泄露,提高数据传输的安全性,保障数据安全。
图5示出了适于应用于本发明实施例的敏感数据拦截方法或敏感数据拦截装置的示例性系统架构图,如图5所示,本发明实施例的敏感数据拦截方法或敏感数据拦截装置的示例性系统架构包括:
如图5所示,系统架构500可以包括终端设备501,网络502和服务器503。网络502用以在终端设备501和服务器503之间提供通信链路的介质。网络502可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备501通过网络502与服务器503交互,以接收或发送消息等。终端设备501上可以安装有各种通讯客户端应用,例如数据传输类应用、购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备501可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器503可以是提供各种服务的服务器,例如对用户利用终端设备501所浏览的数据传输类网站提供支持的后台管理服务器。
终端设备501的代理服务5011可以对接收到的数据传输请求等数据进行分析等处理,并将处理结果(例如拦截敏感数据)反馈给终端设备501。
需要说明的是,本发明实施例所提供的敏感数据拦截方法一般由终端设备501的代理服务5011执行,相应地,敏感数据拦截装置一般设置于终端设备501的代理服务5011中。
应该理解,图5中的终端设备、终端设备的代理服务、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
图6是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图,如图6所示,本发明实施例的终端设备或服务器的计算机系统600包括:
中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM603中,还存储有系统600操作所需的各种程序和数据。CPU601、ROM602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括接收模块、数据处理模块、发送模块和拦截模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,拦截模块还可以被描述为“根据DLP分析引擎的分析结果,拦截敏感数据的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:接收数据传输请求;其中,所述数据传输请求指示了配置信息;确定与所述数据传输请求对应的符合代理策略的待传输数据;其中,所述代理策略是根据历史数据传输请求的配置信息得到的;将所述待传输数据发送给DLP分析引擎,使得所述DLP分析引擎对所述待传输数据进行分析;接收所述DLP分析引擎的分析结果,在所述分析结果指示了所述待传输数据包括敏感数据的情况下,拦截所述敏感数据。
根据本发明实施例的技术方案,能够通过终端部署代理服务,降低网关负载,提高网关稳定性以应对外部威胁,精细化识别并确定敏感数据,防止敏感数据的泄露,提高数据传输的安全性,保障数据安全。
进一步地,根据本发明实施例的技术方案,能够让网关关注于外部威胁,使得内部网络的终端出向的流量流向网关,无需网关过滤;在终端本地部署TProxy,代理终端全部出向网口的数据传输请求到本地回环端口;TProxy根据数据传输请求的发起者(包括数据传输请求的应用程序、用户),对请求数据进行拆分、分析、重组装,根据DLP策略进行放行、阻断,使得DLP产品更具人性化。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种敏感数据拦截方法,其特征在于,所述方法应用于终端的代理服务,包括:
接收数据传输请求;其中,所述数据传输请求指示了配置信息;
确定与所述数据传输请求对应的符合代理策略的待传输数据;其中,所述代理策略是根据历史数据传输请求的配置信息得到的;
将所述待传输数据发送给DLP分析引擎,使得所述DLP分析引擎对所述待传输数据进行分析;
接收所述DLP分析引擎的分析结果,在所述分析结果指示了所述待传输数据包括敏感数据的情况下,拦截所述敏感数据。
2.根据权利要求1所述的方法,其特征在于,所述配置信息包括用户属性、通道属性和数据属性;在所述确定与所述数据传输请求对应的符合代理策略的待传输数据之前,包括:
根据历史通道属性、历史数据属性和历史用户属性,确定所述代理策略;
根据所述数据传输请求的所述通道属性、所述数据属性和所述用户属性,确定所述数据传输请求是否符合所述代理策略。
3.根据权利要求2所述的方法,其特征在于,所述代理策略包括白名单、黑名单以及黑名单对应的代理类型,所述数据传输请求还指示了请求数据;在所述数据传输请求符合所述代理策略的情况下,所述确定与所述数据传输请求对应的符合代理策略的待传输数据,包括:
在所述数据传输请求符合所述代理策略的黑名单、且所述代理类型为正向类型的情况下,将所述请求数据进行预处理,得到所述待传输数据;
在所述数据传输请求符合所述代理策略的白名单的情况下,确定所述请求数据为所述待传输数据。
4.根据权利要求3所述的方法,其特征在于,所述预处理包括以下任意一项或多项:
分类处理、解密处理、加密处理、重装处理。
5.根据权利要求4所述的方法,其特征在于,所述数据属性包括目标地址;还包括:
将所述待传输数据中除所述敏感数据以外的数据发送给所述目标地址对应的服务器;
或者,
在所述分析结果指示了所述待传输数据不包括敏感数据的情况下,将所述待传输数据发送给所述目标地址对应的服务器。
6.根据权利要求1所述的方法,其特征在于,
所述数据传输请求是所述DLP系统的网络驱动通过重定位得到的。
7.根据权利要求1-6中任一所述的方法,其特征在于,
所述终端的代理服务为TProxy服务;
和/或,
在所述配置信息包括用户属性的情况下,
所述数据传输请求是所述DLP系统的网络驱动根据所述用户属性进行重定位得到的。
8.一种敏感数据拦截装置,其特征在于,包括:
接收模块,用于接收数据传输请求;其中,所述数据传输请求指示了配置信息;
确定模块,用于确定与所述数据传输请求对应的符合代理策略的待传输数据;其中,所述代理策略是根据历史数据传输请求的配置信息得到的;
发送模块,用于将所述待传输数据发送给DLP分析引擎,使得所述DLP分析引擎对所述待传输数据进行分析;
拦截模块,用于接收所述DLP分析引擎的分析结果,在所述分析结果指示了所述待传输数据包括敏感数据的情况下,拦截所述敏感数据。
9.一种敏感数据拦截电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111018637.XA CN113726789B (zh) | 2021-09-01 | 2021-09-01 | 一种敏感数据拦截方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111018637.XA CN113726789B (zh) | 2021-09-01 | 2021-09-01 | 一种敏感数据拦截方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113726789A true CN113726789A (zh) | 2021-11-30 |
| CN113726789B CN113726789B (zh) | 2023-07-28 |
Family
ID=78680349
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111018637.XA Active CN113726789B (zh) | 2021-09-01 | 2021-09-01 | 一种敏感数据拦截方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113726789B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114285646A (zh) * | 2021-12-23 | 2022-04-05 | 北京明朝万达科技股份有限公司 | 一种对基于smb协议的数据防泄漏的方法及装置 |
| CN114465823A (zh) * | 2022-04-08 | 2022-05-10 | 杭州海康威视数字技术股份有限公司 | 工业互联网终端加密流量数据安全检测方法、装置及设备 |
| CN115499402A (zh) * | 2022-08-23 | 2022-12-20 | 北京天空卫士网络安全技术有限公司 | 一种即时通信信息的处理方法、终端和系统 |
| WO2023109524A1 (zh) * | 2021-12-17 | 2023-06-22 | 杭州海康威视数字技术股份有限公司 | 信息泄露监测方法及系统、电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102202062A (zh) * | 2011-06-03 | 2011-09-28 | 苏州九州安华信息安全技术有限公司 | 一种实现访问控制的方法和装置 |
| US20140282816A1 (en) * | 2013-03-14 | 2014-09-18 | Fortinet, Inc. | Notifying users within a protected network regarding events and information |
| CN106845272A (zh) * | 2017-01-19 | 2017-06-13 | 浙江中都信息技术有限公司 | 基于终端代理的威胁监控及数据防泄露方法与系统 |
| CN111510478A (zh) * | 2020-04-07 | 2020-08-07 | 支付宝(杭州)信息技术有限公司 | 请求处理方法、装置、系统及电子设备 |
| CN112104744A (zh) * | 2020-03-30 | 2020-12-18 | 厦门网宿有限公司 | 流量代理方法、服务器及存储介质 |
| CN112800397A (zh) * | 2021-02-22 | 2021-05-14 | 四川奥诚科技有限责任公司 | 一种数据资产保护方法、系统、电子设备及存储介质 |
-
2021
- 2021-09-01 CN CN202111018637.XA patent/CN113726789B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102202062A (zh) * | 2011-06-03 | 2011-09-28 | 苏州九州安华信息安全技术有限公司 | 一种实现访问控制的方法和装置 |
| US20140282816A1 (en) * | 2013-03-14 | 2014-09-18 | Fortinet, Inc. | Notifying users within a protected network regarding events and information |
| CN106845272A (zh) * | 2017-01-19 | 2017-06-13 | 浙江中都信息技术有限公司 | 基于终端代理的威胁监控及数据防泄露方法与系统 |
| CN112104744A (zh) * | 2020-03-30 | 2020-12-18 | 厦门网宿有限公司 | 流量代理方法、服务器及存储介质 |
| CN111510478A (zh) * | 2020-04-07 | 2020-08-07 | 支付宝(杭州)信息技术有限公司 | 请求处理方法、装置、系统及电子设备 |
| CN112800397A (zh) * | 2021-02-22 | 2021-05-14 | 四川奥诚科技有限责任公司 | 一种数据资产保护方法、系统、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 高翔;武斌;俞学浩;吴赞红;: "一种基于ICAP的实时数据防泄漏方案" * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023109524A1 (zh) * | 2021-12-17 | 2023-06-22 | 杭州海康威视数字技术股份有限公司 | 信息泄露监测方法及系统、电子设备 |
| CN114285646A (zh) * | 2021-12-23 | 2022-04-05 | 北京明朝万达科技股份有限公司 | 一种对基于smb协议的数据防泄漏的方法及装置 |
| CN114285646B (zh) * | 2021-12-23 | 2023-10-20 | 北京明朝万达科技股份有限公司 | 一种对基于smb协议的数据防泄漏的方法及装置 |
| CN114465823A (zh) * | 2022-04-08 | 2022-05-10 | 杭州海康威视数字技术股份有限公司 | 工业互联网终端加密流量数据安全检测方法、装置及设备 |
| CN115499402A (zh) * | 2022-08-23 | 2022-12-20 | 北京天空卫士网络安全技术有限公司 | 一种即时通信信息的处理方法、终端和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113726789B (zh) | 2023-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9118700B2 (en) | Encrypted network traffic interception and inspection | |
| CN113726789B (zh) | 一种敏感数据拦截方法和装置 | |
| EP3704846B1 (en) | Cloud-based multi-function firewall and zero trust private virtual network | |
| US10009381B2 (en) | System and method for threat-driven security policy controls | |
| US9294442B1 (en) | System and method for threat-driven security policy controls | |
| US9686301B2 (en) | Method and system for virtual asset assisted extrusion and intrusion detection and threat scoring in a cloud computing environment | |
| EP3128459B1 (en) | System and method of utilizing a dedicated computer security service | |
| US11824878B2 (en) | Malware detection at endpoint devices | |
| US20220366050A1 (en) | Cyber secure communications system | |
| US10462185B2 (en) | Policy-managed secure code execution and messaging for computing devices and computing device security | |
| AU2014244137A1 (en) | Internet protocol threat prevention | |
| Kumar et al. | Mobile cloud computing: Standard approach to protecting and securing of mobile cloud ecosystems | |
| US11082445B1 (en) | Preventing phishing attacks via document sharing | |
| CN111163102B (zh) | 数据处理方法及装置、网络设备、可读存储介质 | |
| Fellah et al. | Mobile cloud computing: Architecture, advantages and security issues | |
| US20220210197A1 (en) | Low latency cloud-assisted network security with local cache | |
| CN114726579A (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| US11314841B1 (en) | Web browser communication validation extension | |
| CN113676482B (zh) | 数据传输系统和方法与基于双层ssl的数据传输系统和方法 | |
| CN113726757B (zh) | Https协议客户端的验证方法及装置 | |
| KR102534016B1 (ko) | 지원사업 연계 보안 서비스 제공 방법 및 그 장치 | |
| KR102636138B1 (ko) | 네트워크 트래픽 기반 db 서버 식별을 통한 보안 관제 방법, 장치 및 컴퓨터 프로그램 | |
| US20240169056A1 (en) | Managing and classifying computer processes | |
| CN111988319A (zh) | 访问控制方法及装置 | |
| CN117640167A (zh) | 安全防护方法、装置、存储介质、程序产品及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |