CN113810366A - 一种网站上传文件安全识别系统及方法 - Google Patents

一种网站上传文件安全识别系统及方法 Download PDF

Info

Publication number
CN113810366A
CN113810366A CN202110880668.XA CN202110880668A CN113810366A CN 113810366 A CN113810366 A CN 113810366A CN 202110880668 A CN202110880668 A CN 202110880668A CN 113810366 A CN113810366 A CN 113810366A
Authority
CN
China
Prior art keywords
file
website
uploaded
data acquisition
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110880668.XA
Other languages
English (en)
Inventor
邱志斌
涂高元
郭永兴
陆云燕
吴炜斌
黄伏旺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
XIAMEN TIPRAY TECHNOLOGY CO LTD
Original Assignee
XIAMEN TIPRAY TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by XIAMEN TIPRAY TECHNOLOGY CO LTD filed Critical XIAMEN TIPRAY TECHNOLOGY CO LTD
Priority to CN202110880668.XA priority Critical patent/CN113810366A/zh
Publication of CN113810366A publication Critical patent/CN113810366A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开一种网站上传文件安全识别系统,包括控制台、引擎服务器、数据采集服务器和客户端;引擎服务器用于设置和保存策略配置。本发明还公开一种网站上传文件安全识别方法,策略模块通过引擎服务器下载获取最新策略配置;浏览器运行后,控制模块立即在应用层对浏览器进行接管;网站上传文件时,会触发控制模块的上传文件事件,在响应事件中拦截文件上传,同时检测上传文件内容,如果当前网站URL和上传的文件数据不在允许策略列表内则阻断其上传,否则允许发送。此种技术方案能够支持在应用层拦截上传文件事件,并且获取网站信息和上传文件内容,通过与策略库匹配后决定是否阻止文件上传到指定网站,提高企业网络信息传输管理的安全性。

Description

一种网站上传文件安全识别系统及方法
技术领域
本发明属于信息安全传输技术领域,特别涉及一种网站上传文件安全识别系统及方法。
背景技术
随着信息化办公的发展,很多企业通过浏览器访问网站并上传文件,在这个过程中,由于无法精准把控员工向哪个网站上传文件,导致员工可能会通过这种方式对外发送企业的重要资料,企业内部的资料安全管理存在严重的隐患。一方面,员工通过浏览器上传重要资料,浏览器不会保存任何信息,企业就无法追查是谁泄密;另一方面,即使能够追查到具体的员工,但此时重要资料已经发送,对企业造成的损失已经无法挽回,因此我们需要把安全工作做到前面来。
目前通用的几种安全管理方式及弊端分析如下:
(1)企业网络管理人员设置员工的网络访问权限,只有指定网站才能够访问;这种方式能够从根本上避免重要资料的泄露,但是由于提供文件上传服务的网站众多,这种管理模式会导致无法使用浏览器或者大部分网站无法访问,影响员工的正常工作,进而影响企业的工作安排和业务;
(2)关闭企业整体的网络连接,不允许员工联网,与前文第(1)点类似,由于目前几乎所有的工作内容都离不开网络,因此在无法联网的情况下,会导致很多工作无法完成,影响企业的正常业务安排;
(3)企业网络管理人员通过企业的网络层拦截数据包,这种做法相比前面两种方式更加灵活,不会对员工工作造成很大影响,然而在实际执行中,由于上传协议多种多样,因此在拦截时很容易出现误判,导致安全文件无法上传,严重者使重要资料泄露出去;此外,网络层拦截只能解析非加密协议的数据包,拦截的上传协议类型有局限性,无法解析的数据包要么全部拦截,要么再由人工进行查验,效率低下,无法实现高效的管理效果,有待改进。
基于以上分析,目前的企业网络安全管理存在着针对员工上传文件时,对文件内容和上传的网站不可控的情况,有待改进,本案由此产生。
发明内容
本发明的目的,在于提供一种网站上传文件安全识别系统及方法,能够支持在应用层拦截上传文件事件,并且获取网站信息和上传文件内容,通过与策略库匹配后决定是否阻止文件上传到指定网站,提高企业网络信息传输管理的安全性。
为了达成上述目的,本发明的解决方案是:
一种网站上传文件安全识别系统,包括控制台、引擎服务器、数据采集服务器和客户端;
引擎服务器用于设置和保存策略配置;
控制台提供管理界面,用于连接引擎服务器,对引擎服务器进行策略配置,再由引擎服务器发送给数据采集服务器,数据采集服务器再传送到客户端;
数据采集服务器提供策略中转和保存客户端审计日志;
客户端提供接收策略配置、应用策略配置、提交审计日志的功能。
上述客户端包含策略模块、控制模块和日志上报模块,其中,策略模块用于同步控制台配置的策略到本地终端;控制模块用于拦截文件上传,获取当前网站URL,检测文件内容和网址URL,允许/阻断上传文件;日志上报模块用于浏览器上传文件的备份和上传记录的上报。
上述引擎服务器设置有一个,而控制台、数据采集服务器和客户端设置有多个,引擎服务器与所有数据采集服务器连接,各数据采集服务器与至少一个客户端连接,任意客户端均仅连接至一个数据采集服务器。
基于前述的一种网站上传文件安全识别系统的网站上传文件安全识别方法,包括如下步骤:
步骤1,客户端的策略模块通过引擎服务器下载获取最新策略配置;
步骤2,浏览器运行后,客户端的控制模块立即在应用层对浏览器进行接管;
步骤3,在网站上传文件时,会触发控制模块的上传文件事件,在响应事件中拦截文件上传,同时获取当前网站的信息以及上传文件的路径,进行上传文件内容的检测,如果当前网站URL和上传的文件数据不在允许策略列表内则阻断其上传,在允许的策略列表中则允许发送。
上述步骤1的具体内容是,控制台将策略配置信息下发到引擎服务器,引擎服务器将策略配置信息下发给所有的数据采集服务器,数据采集服务器判断接收的策略配置信息的客户端是否与本数据采集服务器连接,如果连接则把策略配置信息下发到对应的客户端。
上述步骤3中,还通过拦截接口备份上传文件的网站信息和文件并且上报。
采用上述方案后,本发明填补了现有的技术无法实现加密协议下的网址上传文件的管控,同时员工使用浏览器访问网站时,不是一刀切不让其访问网站或者让其访问网站;而是可以在员工上传文件时进行动态拦截,判断上传文件的网站和上传的文件是否属于允许策略列表内,如果属于则可以上传,否则阻止其上传。这样既可以灵活地把控允许员工访问网站,又可以确保员工无法通过非合规网站上传泄露公司机密的文件,同时员工上传的每一个文件都会进行备份上报,确保了有据可查,提高企业网络信息传输管理的安全性。
附图说明
图1是本发明的系统架构图;
图2是本发明的流程图。
具体实施方式
以下将结合附图,对本发明的技术方案及有益效果进行详细说明。
如图1所示,本发明提供一种网站上传文件安全识别系统,包括控制台、引擎服务器、数据采集服务器和客户端,其中,引擎服务器设置有一个,而控制台、数据采集服务器和客户端均可设置有多个,介绍如下:
引擎服务器是系统的核心控制中心,核心的策略配置都保存在引擎服务器上;具体来说,引擎服务器设置有对应企业的组织架构表、网址表、文件路径表和上传文件管控表,分别介绍如下:
企业的组织架构表用于获取企业中每个员工和部门的唯一标识信息;
网址表用于存储需要管控的网站地址;
文件路径表保存的字段包含文件路径和文件名,支持模糊匹配;
上传文件管控表用于保存具体的策略,其中的字段包含有企业的组织架构表的键值,这样就能够知道策略需要分配的对象员工或部门;通过网址表的键值则能够知道需要管控的网站,上传文件管控表的键值能够知道要关注哪些文件的上传,最后一个字段表示需要阻断还是放行;
控制台为管理员提供管理界面,管理员登录控制台时,控制台会连接引擎服务器,对引擎服务器进行策略配置,再由引擎服务器发送给数据采集服务器,数据采集服务器再传送到各个客户端;
数据采集服务器提供策略中转和保存客户端审计日志,管理员审计某个客户端的日志时,先通过控制台登录引擎服务器,然后再由引擎服务器到数据采集服务器提取数据;
客户端提供接收策略配置、应用策略配置、提交审计日志的功能;
其中,客户端包含了策略模块、控制模块和日志上报模块:
策略模块:同步控制台配置的策略到本地终端;
控制模块:拦截文件上传,获取当前网站URL,检测文件内容和网址URL,允许/阻断上传文件;
日志上报模块:浏览器上传文件的备份和上传记录的上报。
具体来说,所有的数据采集服务器均与引擎服务器建立数据连接,每个数据采集服务器对应连接多个客户端,而任意一个客户端在正常模式下仅对应连接至一个数据采集服务器;需要对客户端进行策略配置时,控制台将策略配置信息下发到引擎服务器,引擎服务器将信息下发给所有的数据采集服务器,数据采集服务器会判断接收的策略配置信息的客户端是否在本数据采集服务器,如果在,则把配置策略下发到对应的客户端。
配合图2所示,是本发明的流程图,主要体现在客户端的运行,包括如下步骤:
步骤1,客户端的策略模块通过引擎服务器下载获取最新策略配置,该策略配置可由管理员通过控制台进行关键字策略的配置,具体包括:
(1)URL网址网址,可以支持全匹配和模糊匹配这个内容用于关注指定网址才需要接管管控;
(2)上传的文件路径;配置目录、文件名和文件后缀,可以支持全匹配和模糊匹配。这个内容用于关注指定文件上传才需要接管管控;
步骤2,员工运行浏览器后,客户端的控制模块立即在应用层对浏览器进行接管,此后浏览器进行的任意操作都会触发控制模块对应的响应事件;
步骤3,当员工在网站上传文件时,就会触发控制模块的上传文件事件,在响应事件中拦截文件上传,同时获取当前网站的信息以及上传文件的路径(因为是在应用层拦截上传文件,上传数据还没经过上传协议的处理,即可以实现解析加密上传协议)进行上传文件内容的检测,如果当前网站URL和上传的文件数据不在允许策略列表内则阻断其上传,在允许的策略列表中则允许发送;
在步骤3中,本实施例还可以通过拦截接口备份上传文件的网站信息和文件并且上报,这样即使浏览器无法查看到任何上传记录,但是管理员还是可以查看上报的网站上传文件备份。
在现有的企业信息安全传输管理中,目前采用的技术一个是直接禁止浏览器运行,或者封堵网址端口,禁止浏览器访问网站,再或者通过安装网络过滤驱动进行数据包的拦截和解析。前两种方案固定不灵活,属于一刀切方式防止浏览器上传文件,而第三种通过网络过滤驱动方式防止,虽然可以做到不一刀切,但是这个方式一个很容易被杀软判定为病毒驱动导致驱动被卸载,进而功能失效;还有如果驱动不稳定容易造成系统蓝屏,另外,由于直接解析网络数据包,如果协议变动就会导致解析失败,另外只能解析非加密的上传协议,受限制较多。本发明的好处在于通过应用层干预浏览器访问的网站上传文件,这样杀软不会报毒,不会造成系统蓝屏;同时因为处于应用层干预,此时文件数据尚未经过上传协议处理,因此可以做到动态拦截非加密协议和加密协议下上传文件,根据访问的网址以及上传的内容判断是否要阻断文件上传。
以上实施例仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明保护范围之内。

Claims (6)

1.一种网站上传文件安全识别系统,其特征在于:包括控制台、引擎服务器、数据采集服务器和客户端;
引擎服务器用于设置和保存策略配置;
控制台提供管理界面,用于连接引擎服务器,对引擎服务器进行策略配置,再由引擎服务器发送给数据采集服务器,数据采集服务器再传送到客户端;
数据采集服务器提供策略中转和保存客户端审计日志;
客户端提供接收策略配置、应用策略配置、提交审计日志的功能。
2.如权利要求1所述的一种网站上传文件安全识别系统,其特征在于:所述客户端包含策略模块、控制模块和日志上报模块,其中,策略模块用于同步控制台配置的策略到本地终端;控制模块用于拦截文件上传,获取当前网站URL,检测文件内容和网址URL,允许/阻断上传文件;日志上报模块用于浏览器上传文件的备份和上传记录的上报。
3.如权利要求1所述的一种网站上传文件安全识别系统,其特征在于:所述引擎服务器设置有一个,而控制台、数据采集服务器和客户端设置有多个,引擎服务器与所有数据采集服务器连接,各数据采集服务器与至少一个客户端连接,任意客户端均仅连接至一个数据采集服务器。
4.基于权利要求1所述的一种网站上传文件安全识别系统的网站上传文件安全识别方法,其特征在于包括如下步骤:
步骤1,客户端的策略模块通过引擎服务器下载获取最新策略配置;
步骤2,浏览器运行后,客户端的控制模块立即在应用层对浏览器进行接管;
步骤3,网站上传文件时,会触发控制模块的上传文件事件,在响应事件中拦截文件上传,同时获取当前网站的信息以及上传文件的路径,进行上传文件内容的检测,如果当前网站URL和上传的文件数据不在允许策略列表内则阻断其上传,在允许的策略列表中则允许发送。
5.如权利要求4所述的网站上传文件安全识别方法,其特征在于:所述步骤1的具体内容是,控制台将策略配置信息下发到引擎服务器,引擎服务器将策略配置信息下发给所有的数据采集服务器,数据采集服务器判断接收的策略配置信息的客户端是否与本数据采集服务器连接,如果连接则把策略配置信息下发到对应的客户端。
6.如权利要求4所述的网站上传文件安全识别方法,其特征在于:所述步骤3中,还通过拦截接口备份上传文件的网站信息和文件并且上报。
CN202110880668.XA 2021-08-02 2021-08-02 一种网站上传文件安全识别系统及方法 Pending CN113810366A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110880668.XA CN113810366A (zh) 2021-08-02 2021-08-02 一种网站上传文件安全识别系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110880668.XA CN113810366A (zh) 2021-08-02 2021-08-02 一种网站上传文件安全识别系统及方法

Publications (1)

Publication Number Publication Date
CN113810366A true CN113810366A (zh) 2021-12-17

Family

ID=78893225

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110880668.XA Pending CN113810366A (zh) 2021-08-02 2021-08-02 一种网站上传文件安全识别系统及方法

Country Status (1)

Country Link
CN (1) CN113810366A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116089669A (zh) * 2023-03-09 2023-05-09 数影星球(杭州)科技有限公司 一种基于浏览器的网站上传拦截方式与系统
CN116886441A (zh) * 2023-08-28 2023-10-13 北京火山引擎科技有限公司 一种网站检测方法、装置、电子设备和可读介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102868738A (zh) * 2012-08-30 2013-01-09 福建富士通信息软件有限公司 基于Web代理的HTTP/HTTPS行为管控的审计方法
US20150256558A1 (en) * 2014-03-07 2015-09-10 Shenzhen Microprofit Electronics Co., Ltd Safety device, server and server information safety method
CN105491000A (zh) * 2014-12-31 2016-04-13 哈尔滨安天科技股份有限公司 使用网页校验码来防止任意上传文件的方法及系统
CN106203187A (zh) * 2016-06-26 2016-12-07 厦门天锐科技股份有限公司 一种文件过滤驱动的usb存储设备限制方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102868738A (zh) * 2012-08-30 2013-01-09 福建富士通信息软件有限公司 基于Web代理的HTTP/HTTPS行为管控的审计方法
US20150256558A1 (en) * 2014-03-07 2015-09-10 Shenzhen Microprofit Electronics Co., Ltd Safety device, server and server information safety method
CN105491000A (zh) * 2014-12-31 2016-04-13 哈尔滨安天科技股份有限公司 使用网页校验码来防止任意上传文件的方法及系统
CN106203187A (zh) * 2016-06-26 2016-12-07 厦门天锐科技股份有限公司 一种文件过滤驱动的usb存储设备限制方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
乌蓓华等: "校园网安全防护中网页防篡改系统的应用策略研究", 《电信科学》 *
范义山: "网站安全防护策略浅谈", 《科技视界》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116089669A (zh) * 2023-03-09 2023-05-09 数影星球(杭州)科技有限公司 一种基于浏览器的网站上传拦截方式与系统
CN116089669B (zh) * 2023-03-09 2023-10-03 数影星球(杭州)科技有限公司 一种基于浏览器的网站上传拦截方式与系统
CN116886441A (zh) * 2023-08-28 2023-10-13 北京火山引擎科技有限公司 一种网站检测方法、装置、电子设备和可读介质

Similar Documents

Publication Publication Date Title
EP2036305B1 (en) Communication network application activity monitoring and control
CN103391216B (zh) 一种违规外联报警及阻断方法
US7899849B2 (en) Distributed security provisioning
US8032489B2 (en) Log collection, structuring and processing
CA2629279C (en) Log collection, structuring and processing
CN104378283A (zh) 一种基于客户端/服务器模式的敏感邮件过滤系统及方法
CN103124293A (zh) 一种基于多Agent的云数据安全审计方法
CN113810366A (zh) 一种网站上传文件安全识别系统及方法
CN111314381A (zh) 安全隔离网关
CN110493192B (zh) 一种基于数据网关的数据安全传输系统及方法
CN114254378A (zh) 一种基于Windows的文件上传下载管控系统及方法
CN112258137A (zh) 一种邮件阻断方法及装置
US7290130B2 (en) Information distributing system and method thereof
US11489852B2 (en) Method for protecting a private computer network
KR102024148B1 (ko) 파일 전송 시의 파일 데이터를 모니터링 하는 접근통제 시스템
CN108093078B (zh) 一种文档的安全流转方法
KR102669482B1 (ko) 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체
Claycomb et al. Threat modeling for virtual directory services
CN116886449B (zh) 一种智能识别并拦截域名的方法
KR102657161B1 (ko) 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체
CN116633594B (zh) Flamingo网关安全系统
KR102669472B1 (ko) 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체
KR102660695B1 (ko) 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
CN115988049A (zh) 一种文件传输的处理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination