CN115967578A - 一种数据防泄漏方法及系统 - Google Patents

一种数据防泄漏方法及系统 Download PDF

Info

Publication number
CN115967578A
CN115967578A CN202211731592.5A CN202211731592A CN115967578A CN 115967578 A CN115967578 A CN 115967578A CN 202211731592 A CN202211731592 A CN 202211731592A CN 115967578 A CN115967578 A CN 115967578A
Authority
CN
China
Prior art keywords
data
user
leakage prevention
outgoing
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202211731592.5A
Other languages
English (en)
Inventor
廉明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changshi Shuan Technology Co ltd
Original Assignee
Changshi Shuan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changshi Shuan Technology Co ltd filed Critical Changshi Shuan Technology Co ltd
Priority to CN202211731592.5A priority Critical patent/CN115967578A/zh
Publication of CN115967578A publication Critical patent/CN115967578A/zh
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明涉及数据防泄漏技术领域,公开了一种数据防泄漏方法及系统,用户终端操作主体绑定,将用户认证信息与用户生物特征图像进行绑定;操作主体识别,将正在登录的用户与用户终端登录用户绑定的用户生物特征图像进行对比,识别是否为登录用户;用户终端响应于接收到流入的第一数据,对于第一数据进行检测,并进行敏感等级分类后送入数据防泄漏终端;所述数据防泄漏终端对于第一数据进行拦截过滤或者重定向处理,形成第二数据,并发送至网关;网关接收第二数据,对第二数据进行分析并加密发送至接收端。本发明,能够对于内网用户终端外发的数据,进行涉密等级分类,根据类别进行拦截过滤并且对于最终外发的数据进行再加密处理,有效防止内部涉密数据泄漏。

Description

一种数据防泄漏方法及系统
技术领域
本发明涉及数据防泄漏技术领域,具体为一种数据防泄漏方法及系统。
背景技术
随着集团信息化的发展,集团内部单位都设有信息系统,这些信息系统运行在生产和办公的内部网络上,集团所有的重要数据都存储在内部网系统中。随着互联网络的迅猛发展,集团内部业务正不断向外延伸,数据交互日益频繁。然而内部网系统中的一些重要数据不能随意在互联网上传输,需要特殊保护。为保证其内部系统的信息安全性,必须控制好这些数据信息,对其采取严格的控制措施。
内部与外部网络做隔离处理后,一些信息的传递就会受到影响。外部网上数据要进入内网必须手工导入,内部网上的数据要在单位之间传递需要人工派送。随着业务应用的发展,有些数据需要实时传送,纯手工操作无法适用新的应用需求,因此需要把各个地方单位外部网络连接起来,通过网络传递。按照军工保密的要求,必须在内部和外部网之间采取相应的技术手段和管理措施,防范内部网的涉密文件泄漏到外部网络中。然而如何既能按照国家有关规定将内外网络隔离,又能实现内外网络的信息系统数据能够有选择性的交换,是急需解决的问题。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种数据防泄漏方法及系统,解决了现有技术中内外网之间数据由于涉密等级、类型不同,利用传统的数据防泄漏方法,整个系统运算负责,终端运行速度受限同时不能够很好的依据数据涉密程度的不同进行针对性防泄漏的问题。
(二)技术方案
为实现以上目的,本发明通过以下技术方案予以实现:
一种数据防泄漏方法,包括如下步骤:
用户终端操作主体绑定,将用户认证信息与用户生物特征图像进行绑定;
操作主体识别,将正在登录的用户与用户终端登录用户绑定的用户生物特征图像进行对比,识别是否为登录用户;
用户终端响应于接收到流入的第一数据,对于第一数据进行检测,并进行敏感等级分类后送入数据防泄漏终端;
所述数据防泄漏终端对于第一数据进行拦截过滤或者重定向处理,形成第二数据,并发送至网关;
网关接收第二数据,对第二数据进行分析并加密发送至接收端。
优选的,用户终端将第一数据列入检测队列,使用预设的检测规则对所述检测队列中的数据进行检测,得到所述数据的敏感等级和敏感类型;将所述第一数据的敏感等级和敏感类型记录到数据库中;响应于检测到所述第一数据的外发操作,从所述数据库中获取所述第一数据的敏感等级和敏感类型;根据所述第一数据的敏感等级、敏感类型和预设的外发规则对所述第一数据进行可外发操作数据以及不可外发操作数据分类。
优选的,所述第一数据在用户终端内流转包括以下至少一项:文件移动、复制、粘贴、修改、压缩、文件格式转换。
优选的,当第一数据认定的敏感类型为预设的不可外发操作数据类型时、第一数据认定的敏感等级高于预设的不可外发操作数据敏感等级时,数据防泄漏终端自动拦截并对用户终端进行弹窗警告以及存储用户操作日志;当第一数据认定的敏感类型不为预设的不可外发操作数据类型同时第一数据认定的敏感等级低于不可外发操作数据敏感等级时,第一数据将经过重定向处理形成第二数据;当敏感类型或者敏感等级中有一个属于不能进行外发操作的敏感数据时,第一数据均不能被外发,数据防泄漏终端自动拦截并对用户终端进行弹窗警告以及存储用户操作日志。
优选的,所述第二数据的类型为:可不加密直接外发的数据与需要加密才能外发的数据。
优选的,所述数据防泄漏终端包括拦截模块和重定向模块,所述网关包括加密模块和发送模块;拦截模块,用于拦截发送端发送的第一数据,所述第一数据基于超文本安全协议传输;重定向处理模块,用于对拦截的所述第一数据进行重定向处理,生成第二数据,将所述第二数据发送至网关;加密模块,用于接收所述第二数据,对所述第二数据进行分析并加密;发送模块,用于将加密后的所述第二数据发送至接收端。
优选的,所述用户生物特征包括用户生物特征包括但不限于:人脸、指纹、虹膜。
一种数据防泄漏系统,包括用户终端、数据防泄漏终端以及网关,所述系统能够独立运行前述方案中所述的一种数据防泄漏方法。
(三)有益效果
本发明具备以下有益效果:
该一种数据防泄漏方法及系统,通过对数据进行检测,同时进行敏感等级分类之后再传输至数据防泄漏终端,因此能够简单快速的识别涉密程度不同的数据,并进行敏感等级与敏感程度的划分;之后再通过数据防泄漏终端,对于不同等级与类型的敏感数据进行具体的筛分,从而实施对于外发数据拦截过滤或者重定向处理;通过网关对于初步筛选后的数据进行加密处理后发送至接收端,进而能够完成对于内外网隔离,并且对于外发的数据进行多重加密处理,有效防止内部数据外泄。
附图说明
图1为本发明工作流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种技术方案:一种数据防泄漏方法,包括如下步骤:
用户终端操作主体绑定,将用户认证信息与用户生物特征图像进行绑定;
操作主体识别,将正在登录的用户与用户终端登录用户绑定的用户生物特征图像进行对比,识别是否为登录用户;
用户终端响应于接收到流入的第一数据,对于第一数据进行检测,并进行敏感等级分类后送入数据防泄漏终端;
数据防泄漏终端对于第一数据进行拦截过滤或者重定向处理,形成第二数据,并发送至网关;
网关接收第二数据,对第二数据进行分析并加密发送至接收端。本发明,通过对第一数据进行检测,同时进行敏感等级分类之后再传输至数据防泄漏终端,因此能够简单快速的识别涉密程度不同的数据,并进行敏感等级与敏感程度的划分;之后再通过数据防泄漏终端,对于不同等级与类型的敏感数据进行具体的筛分,从而实施对于外发数据拦截过滤或者重定向处理;通过网关对于初步筛选后的数据进行加密处理后发送至接收端,进而能够完成对于内外网隔离,并且对于外发的数据进行多重加密处理,有效防止内部数据外泄。
本实施例中,用户终端将第一数据列入检测队列,使用预设的检测规则对检测队列中的数据进行检测,得到数据的敏感等级和敏感类型;将第一数据的敏感等级和敏感类型记录到数据库中;响应于检测到第一数据的外发操作,从数据库中获取第一数据的敏感等级和敏感类型;根据第一数据的敏感等级、敏感类型和预设的外发规则对第一数据进行可外发操作数据以及不可外发操作数据分类。检测规则是指满足一定检测条件就得到相应的敏感等级和敏感类型。检测条件包括但不限于关键字、正则匹配、数据标识符、非结构化指纹库、结构化指纹库、图片指纹库、权重词典库、附件名称、附件大小、附件类型、文件加密密级、协议、异常行为、接口及接口参数。可采用现有技术中常见检测规则,因此不再赘述。外发操作指的是将数据发送到本地之外的操作,例如,通过微信外发、通过FTP上传、通过邮件外发等。
本实施例中,第一数据在用户终端内流转包括以下至少一项:文件移动、复制、粘贴、修改、压缩、文件格式转换。检测操作可以和其他对数据的操作并发进行,不会影响用户对数据的其他操作,例如,复制、剪切、压缩等。
本实施例中,当第一数据认定的敏感类型为预设的不可外发操作数据类型时、第一数据认定的敏感等级高于预设的不可外发操作数据敏感等级时,数据防泄漏终端自动拦截并对用户终端进行弹窗警告以及存储用户操作日志;当第一数据认定的敏感类型不为预设的不可外发操作数据类型同时第一数据认定的敏感等级低于不可外发操作数据敏感等级时,第一数据将经过重定向处理形成第二数据;当敏感类型或者敏感等级中有一个属于不能进行外发操作的敏感数据时,第一数据均不能被外发,数据防泄漏终端自动拦截并对用户终端进行弹窗警告以及存储用户操作日志。通过在用户终端外发数据时,能够针对数据的敏感类型与等级进行定向的拦截,并对用户进行弹窗警告,同时记录用户的操作日志,能够保存证据,方便后续当面对质,责任追究等。
本实施例中,第二数据的类型为:可不加密直接外发的数据与需要加密才能外发的数据。
本实施例中,数据防泄漏终端包括拦截模块和重定向模块,网关包括加密模块和发送模块;拦截模块,用于拦截发送端发送的第一数据,第一数据基于超文本安全协议传输;重定向处理模块,用于对拦截的第一数据进行重定向处理,生成第二数据,将第二数据发送至网关;加密模块,用于接收第二数据,对第二数据进行分析并加密;发送模块,用于将加密后的第二数据发送至接收端。数据防泄漏终端对拦截的第一数据进行重定向处理,生成第二数据,将第二数据发送至网关;网关接收第二数据,对第二数据进行分析并加密;网关将加密后的第二数据发送至接收端,可以实现在邮件发送过程中,数据防泄漏终端可以对基于超文本安全协议传输的数据进行把控,增强数据传输的安全性。
本实施例中,用户生物特征包括用户生物特征包括但不限于:人脸、指纹、虹膜。首先通过在操作主体登录的层面上有效隔绝非用户本人登录用户终端,起到初步保护用户终端数据安全的作用。
一种数据防泄漏系统,系统包括用户终端、数据防泄漏终端以及网关,系统能够独立运行前述各个实施例中的一种数据防泄漏方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下。由语句“包括一个……限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素”。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (8)

1.一种数据防泄漏方法,其特征在于,包括如下步骤:
用户终端操作主体绑定,将用户认证信息与用户生物特征图像进行绑定;
操作主体识别,将正在登录的用户与用户终端登录用户绑定的用户生物特征图像进行对比,识别是否为登录用户;
用户终端响应于接收到流入的第一数据,对于第一数据进行检测,并进行敏感等级分类后送入数据防泄漏终端;
所述数据防泄漏终端对于第一数据进行拦截过滤或者重定向处理,形成第二数据,并发送至网关;
网关接收第二数据,对第二数据进行分析并加密发送至接收端。
2.根据权利要求1所述的一种数据防泄漏方法,其特征在于:用户终端将第一数据列入检测队列,使用预设的检测规则对所述检测队列中的数据进行检测,得到所述数据的敏感等级和敏感类型;将所述第一数据的敏感等级和敏感类型记录到数据库中;响应于检测到所述第一数据的外发操作,从所述数据库中获取所述第一数据的敏感等级和敏感类型;根据所述第一数据的敏感等级、敏感类型和预设的外发规则对所述第一数据进行可外发操作数据以及不可外发操作数据分类。
3.根据权利要求2所述的一种数据防泄漏方法,其特征在于:所述第一数据在用户终端内流转包括以下至少一项:文件移动、复制、粘贴、修改、压缩、文件格式转换。
4.根据权利要求3所述的一种数据防泄漏方法,其特征在于:当第一数据认定的敏感类型为预设的不可外发操作数据类型时、第一数据认定的敏感等级高于预设的不可外发操作数据敏感等级时,数据防泄漏终端自动拦截并对用户终端进行弹窗警告以及存储用户操作日志;当第一数据认定的敏感类型不为预设的不可外发操作数据类型同时第一数据认定的敏感等级低于不可外发操作数据敏感等级时,第一数据将经过重定向处理形成第二数据;当敏感类型或者敏感等级中有一个属于不能进行外发操作的敏感数据时,第一数据均不能被外发,数据防泄漏终端自动拦截并对用户终端进行弹窗警告以及存储用户操作日志。
5.根据权利要求1-4中任意一项所述的一种数据防泄漏方法,其特征在于:所述第二数据的类型为:可不加密直接外发的数据与需要加密才能外发的数据。
6.根据权利要求5所述的一种数据防泄漏方法,其特征在于:所述数据防泄漏终端包括拦截模块和重定向模块,所述网关包括加密模块和发送模块;拦截模块,用于拦截发送端发送的第一数据,所述第一数据基于超文本安全协议传输;重定向处理模块,用于对拦截的所述第一数据进行重定向处理,生成第二数据,将所述第二数据发送至网关;加密模块,用于接收所述第二数据,对所述第二数据进行分析并加密;发送模块,用于将加密后的所述第二数据发送至接收端。
7.根据权利要求1-4任意一项所述的一种数据防泄漏方法,其特征在于:所述用户生物特征包括用户生物特征包括但不限于:人脸、指纹、虹膜。
8.一种数据防泄漏系统,包括用户终端、数据防泄漏终端以及网关,其特征在于:所述系统能够独立运行如权利要求1-7中任意一项所述的一种数据防泄漏方法。
CN202211731592.5A 2022-12-30 2022-12-30 一种数据防泄漏方法及系统 Withdrawn CN115967578A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211731592.5A CN115967578A (zh) 2022-12-30 2022-12-30 一种数据防泄漏方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211731592.5A CN115967578A (zh) 2022-12-30 2022-12-30 一种数据防泄漏方法及系统

Publications (1)

Publication Number Publication Date
CN115967578A true CN115967578A (zh) 2023-04-14

Family

ID=87361649

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211731592.5A Withdrawn CN115967578A (zh) 2022-12-30 2022-12-30 一种数据防泄漏方法及系统

Country Status (1)

Country Link
CN (1) CN115967578A (zh)

Similar Documents

Publication Publication Date Title
US11962552B2 (en) Endpoint agent extension of a machine learning cyber defense system for email
US12079757B2 (en) Endpoint with remotely programmable data recorder
US10498744B2 (en) Integrity monitoring in a local network
EP3786823A1 (en) An endpoint agent extension of a machine learning cyber defense system for email
EP2127311B1 (en) System and method for adding context to prevent data leakage over a computer network
WO2022146280A1 (en) A mail protection system
GB2614426A (en) Enterprise network threat detection
CN117195168A (zh) 异常访问识别方法以及装置
CN112565196A (zh) 具有网络监控能力的数据防泄漏方法、装置及存储介质
CN115967578A (zh) 一种数据防泄漏方法及系统
CN111698236A (zh) 一种浏览器防泄密方法和系统
CN111740976A (zh) 一种网络安全甄别研判系统及方法
Nisar Intrusion Detection Systems: Categories, Attack Detection and Response
CN117375872A (zh) 网络安全方案的生成方法、装置及存储介质
AU2012216758A1 (en) System and method for adding context to prevent data leakage over a computer network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20230414

WW01 Invention patent application withdrawn after publication