CN118074985A - 浏览器文件管控方法、系统、装置及可读存储介质 - Google Patents
浏览器文件管控方法、系统、装置及可读存储介质 Download PDFInfo
- Publication number
- CN118074985A CN118074985A CN202410214470.1A CN202410214470A CN118074985A CN 118074985 A CN118074985 A CN 118074985A CN 202410214470 A CN202410214470 A CN 202410214470A CN 118074985 A CN118074985 A CN 118074985A
- Authority
- CN
- China
- Prior art keywords
- browser
- user
- file
- login
- uploading
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000001514 detection method Methods 0.000 claims abstract description 52
- 230000006399 behavior Effects 0.000 claims description 40
- 230000009471 action Effects 0.000 claims description 33
- 230000006854 communication Effects 0.000 claims description 19
- 238000013475 authorization Methods 0.000 claims description 18
- 238000004891 communication Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 16
- 230000005764 inhibitory process Effects 0.000 claims description 16
- 230000002265 prevention Effects 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 8
- 238000011282 treatment Methods 0.000 claims description 8
- 235000014510 cooky Nutrition 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000007639 printing Methods 0.000 claims description 5
- 238000009877 rendering Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开一种浏览器文件管控方法、系统及装置,方法包括以下步骤:获取用户客户端登录浏览器的登录网关地址请求,对用户客户端进行网关登录认证,认证通过后下发用户凭证;基于用户凭证配置相应的用户策略;通过用户策略执行文件管控,其中,所述文件管控包括上传管控及下载管控,具体为:判断浏览器类型是否为雪诺浏览器,若是,则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行文件上传及文件下载。通过本发明的方法,能够实现文件统一管控,从浏览器端访问入口实现上传、下载控制,识别准确率高的同时可以减少文件外泄的风险;还能在浏览器实现敏感数据的处理,无需额外安装客户端。
Description
技术领域
本发明涉及通信安全技术领域,尤其涉及一种浏览器文件管控方法、系统、装置及可读存储介质。
背景技术
在当前的网络环境中,企业为了能够提供安全的网络环境,会给联网的设备如PC提供检测,如一些终端准入软件、杀毒软件等用来检查和评估操作系统的安全配置和合规性,终端环境符合企业要求后才能上网。
目前的检查操作系统的安全配置和合规性实现方法中,最常用的是提供客户端软件安装在终端上,比如杀毒软件,EDR等软件。上网如果是在外网,需要连接企业内部网络,还需要在终端上安全VPN软件才能连接到内网。基于杀毒软件只能解决终端基线检测的问题,不能解决安全上网的问题,VPN需要在终端单独安装工具或软件,可以实现安全上网的功能,但是不能解决终端基线检测的问题。
目前,浏览器作为用户访问网页应用的入口,安全浏览器常用的技术包括:安全连接:安全浏览器通过使用安全套接层或传输层安全性协议来建立加密的连接,确保用户与网站之间的通信是加密的,防止中间人攻击和数据窃取。隐私保护:安全浏览器通常提供隐私保护功能,如阻止广告跟踪器、第三方Cookie、恶意软件和恶意网站的访问。它们还可能提供隐私浏览模式,以防止浏览历史、表单数据和Cookie被记录。恶意网站拦截:安全浏览器使用安全黑名单或云安全服务来检测和拦截已知的恶意网站,以防止用户访问可能包含恶意软件、钓鱼网站或欺诈行为的网站。下载保护:安全浏览器可以检测和拦截潜在的恶意软件或病毒文件的下载,并提供实时警告或自动隔离/删除这些文件。网站身份验证:安全浏览器使用数字证书和证书颁发机构来验证网站的身份,以确保用户连接的是合法和受信任的网站。
而目前解决的方案是通过DLP方案提供代理网关或者在终端劫持流量,通过流量检测识别用户文件操作如上传、下载等行为或者识别内容是否是敏感数据然后做出相应的处置。那么会存在以下问题:
DLP识别准确性问题:文件类型多,无法覆盖所有类型的文件,存在文件识别准确率的问题;DLP无法解决文件不出隔离网的需求,只能禁止或者允许文件上传和下载等行为;安全浏览器:只能解决网页敏感数据和用户行为,不能解决终端可信环境基线检测和安全加密访问的需求。因此,在文件下载或者上传的过程中,还是会存在数据泄露等各种问题。
发明内容
本发明针对现有技术中的缺点,提供了一种浏览器文件管控方法、系统、装置及可读存储介质。
为了解决上述技术问题,本发明通过下述技术方案得以解决:
一种浏览器文件管控方法,包括以下步骤:
获取用户客户端登录浏览器的登录网关地址请求,对所述用户客户端进行网关登录认证,认证通过后下发用户凭证,其中,用户凭证包括用户唯一标识;
基于用户凭证配置相应的用户策略,用户策略至少包括浏览器类型、登录策略、数据安全、基线检测、访问控制及处置动作;
通过用户策略执行文件管控,其中,所述文件管控包括上传管控及下载管控,具体为:判断浏览器类型是否为雪诺浏览器,若是,则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行文件上传及文件下载。
作为一种可实施方式,所述上传管控包括上传到云空间及本地上传,所述上传到云空间为上传的文件从云空间选择文件进行上传,本地上传为上传文件从本地选择文件;
所述下载管控包括下载到云空间及禁止下载,所述下载到云空间为允许文件下载后存储到云空间;所述禁止下载为不允许下载文件。
作为一种可实施方式,所述上传管控包括以下步骤:
截获用户客户端输入的登录网关地址请求,根据请求内容识别文件是上传行为还是下载行为;
若为上传行为,则判断文件上传到云空间亦或是本地上传,进而执行相应的上传动作;
若为下载行为,则判断是下载到云空间或禁止下载,进而执行相应的下载动作。
作为一种可实施方式,还包括应用安全访问,所述应用安全访问包括用户行为管控、敏感数据不出域、网页敏感数据、用户行为分析及浏览器类型识别;
用户行为管控至少包括禁止复制、禁止查看源代码、禁用另存、禁用打印、防截屏及防下载并进行安全行为管控;
敏感数据不出域至少包括对于文件敏感数据自动识别文件上传及下载动作并上传至云盘,防止文件数据出域泄漏到外部;
网页敏感数据具体为:通过脱密遮盖和水印的方式处理,对原始显示页面进行重新渲染以使得敏感数据脱敏展示;
用户行为分析具体为:对用户客户端的身份信息、设备状态及用户行为数据进行分析与评估,形成用户行为安全基线;
浏览器类型识别具体为:对浏览器的类型进行识别,若为非雪诺浏览器则直接拦截,若为雪诺浏览器则进行相应的处置。
作为一种可实施方式,对所述用户客户端进行网关登录认证,包括以下步骤:
获取用户客户端输入的网关地址请求并进行敲门授权;
敲门授权后则放开用户客户端登录权限,若敲门授权异常,则关闭权限,其中,敲门授权异常包括敲门授权失败或者敲门授权超时;
获取用户客户端在浏览器输入的用户名及密码并验证登录策略是否满足配置要求,其中,登录策略包括异地登录、可信时间及可信位置。
作为一种可实施方式,所述则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行数据安全访问及执行处置动作,包括以下步骤:
截获用户客户端输入的登录网关地址请求并进行基线检测;
检测用户客户端环境是否符合配置要求,检测通过后则提示用户客户端通过检测并展示显示结果,检测未通过则不允许数据安全访问并进行提醒;
将所述雪诺浏览器和网关基于通信协议及加密协议建立安全连接通信,加密协议支持国密连接,进而数据安全访问及执行处置动作,其中,通信协议支持TCP/UDP。
作为一种可实施方式,所述将所述雪诺浏览器和网关基于通信协议及加密协议建立安全连接通信,具体为:基于TCP协议或UDP协议将浏览器和网关建立安全通道并进行数据传输,浏览器使用公钥加密数据,网关使用私钥解密数据。
作为一种可实施方式,还包括以下步骤:对应用访问的隐私数据进行加密并存储,其中,所述隐私数据至少包括浏览历史、表单数据及Cookie数据。
一种浏览器文件管控系统,包括数据获取模块、策略配置模块及文件管控模块;
所述数据获取模块,用于获取用户客户端登录浏览器的登录网关地址请求,对所述用户客户端进行网关登录认证,认证通过后下发用户凭证,其中,用户凭证包括用户唯一标识;
所述策略配置模块,基于用户凭证配置相应的用户策略,用户策略至少包括浏览器类型、登录策略、数据安全、基线检测、访问控制及处置动作;
所述文件管控模块,用于通过用户策略执行文件管控,其中,所述文件管控包括上传管控及下载管控,具体为:判断浏览器类型是否为雪诺浏览器,若是,则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行文件上传及文件下载。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如下所述的方法:
获取用户客户端登录浏览器的登录网关地址请求,对所述用户客户端进行网关登录认证,认证通过后下发用户凭证,其中,用户凭证包括用户唯一标识;
基于用户凭证配置相应的用户策略,用户策略至少包括浏览器类型、登录策略、数据安全、基线检测、访问控制及处置动作;
通过用户策略执行文件管控,其中,所述文件管控包括上传管控及下载管控,具体为:判断浏览器类型是否为雪诺浏览器,若是,则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行文件上传及文件下载。
一种浏览器文件管控的装置,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如下所述的方法:
获取用户客户端登录浏览器的登录网关地址请求,对所述用户客户端进行网关登录认证,认证通过后下发用户凭证,其中,用户凭证包括用户唯一标识;
基于用户凭证配置相应的用户策略,用户策略至少包括浏览器类型、登录策略、数据安全、基线检测、访问控制及处置动作;
通过用户策略执行文件管控,其中,所述文件管控包括上传管控及下载管控,具体为:判断浏览器类型是否为雪诺浏览器,若是,则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行文件上传及文件下载。
本发明由于采用了以上技术方案,具有显著的技术效果:
通过本发明的方法,能够实现文件统一管控,从浏览器端访问入口实现上传、下载控制,识别准确率高的同时可以减少文件外泄的风险;文件统一上传下载存储在云盘,实现文件只能在内部隔离网流转,无法通过外网传递文件到内部,减少外部病毒文件传递到内部带来的安全风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明方法的整体流程示意图;
图2是本发明一个实施例的流程示意图;
图3是本发明另一个实施例的流程示意图;
图4是本发明的系统结构示意图。
具体实施方式
下面结合实施例对本发明做进一步的详细说明,以下实施例是对本发明的解释而本发明并不局限于以下实施例。
本发明所说的网关是雪诺零信任网关,用户凭证为雪诺零信任身份认证的凭证,云空间是雪诺提供的文件存储网盘。本申请是通过雪诺浏览器实现的数据防泄漏方案,解决企业用户数据泄漏到外部的问题。
整体的方案是基于雪诺浏览器和网关交互实现的方案,具体为:(1)雪诺浏览器安全接入,防护企业数据与应用;终端身份认证:只有合法用户经过SPA敲门后才能访问应用;安全基线检测:只有终端环境基线检测通过后才能访问应用;安全连接:和应用建立加密通道传输数据,加密算法与国密算法以保证通信过程中数据的完整性、保密性及通信主体身份的真实性;用户行为管控:禁止复制、禁止查看源代码、禁用另存、禁用打印、防截屏、防下载、水印等进行安全管控;敏感数据不出域:自动识别下载动作,并将文件重定向到企业云盘,防止数据出域泄漏到外部;隐私保护:浏览历史、表单数据和Cookie加密后存储,防止被第三方盗取。
用户登录:用户可以在浏览器登录网关,网关登录认证通过后会给浏览器颁发身份认证通过的凭证和策略,用户凭证中包括用户的user_id,user_id作为用户的唯一标识。
文件上传:用户通过雪诺浏览器访问应用,当雪诺浏览器检测到文件上传、下载动作,会识别文件类型、文件大小、文件名称等基础信息。用户在浏览器网页点击上传发出一个http请求;浏览器截获该请求,根据请求内容识别文件是上传行为;如果用户配置了使用本地文件上传,弹出选择本地的文件对话框,点解选中的文件上传或者从本地读取文件并上传到应用,如果用户配置了使用云空间文件上传,则弹出选择云空间内的文件对话框,点击选中的文件上传或者从云空间读取文件并上传到应用。
如果是下载的话,则用户在浏览器网页点击上传发出一个http请求;浏览器截获该请求,根据请求内容识别文件是下载行为;如果配置了禁用下载,则不允许下载;如果配置了允许下载,则将文件下载到云盘。
详见以下具体实施例。
实施例1:
一种浏览器文件管控方法,如图1所示,包括以下步骤:
S100、获取用户客户端登录浏览器的登录网关地址请求,对所述用户客户端进行网关登录认证,认证通过后下发用户凭证,其中,用户凭证包括用户唯一标识;
S200、基于用户凭证配置相应的用户策略,用户策略至少包括浏览器类型、登录策略、数据安全、基线检测、访问控制及处置动作;
S300、通过用户策略执行文件管控,其中,所述文件管控包括上传管控及下载管控,具体为:判断浏览器类型是否为雪诺浏览器,若是,则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行文件上传及文件下载。
在本实施例中,所述上传管控包括上传到云空间及本地上传,所述上传到云空间为上传的文件从云空间选择文件进行上传,本地上传为上传文件从本地选择文件;所述下载管控包括下载到云空间及禁止下载,所述下载到云空间为允许文件下载后存储到云空间;所述禁止下载为不允许下载文件。
在一个实施例中,上传管控包括以下步骤:
截获用户客户端输入的登录网关地址请求,根据请求内容识别文件是上传行为还是下载行为;
若为上传行为,则判断文件上传到云空间亦或是本地上传,进而执行相应的上传动作;
若为下载行为,则判断是下载到云空间或禁止下载,进而执行相应的下载动作。
在一个实施例中,所述应用安全访问包括用户行为管控、敏感数据不出域、网页敏感数据、用户行为分析及浏览器类型识别;
用户行为管控至少包括禁止复制、禁止查看源代码、禁用另存、禁用打印、防截屏及防下载并进行安全行为管控;
敏感数据不出域至少包括对于文件敏感数据自动识别文件上传及下载动作并上传至云盘,防止文件数据出域泄漏到外部;
网页敏感数据具体为:通过脱密遮盖和水印的方式处理,对原始显示页面进行重新渲染以使得敏感数据脱敏展示;
用户行为分析具体为:对用户客户端的身份信息、设备状态及用户行为数据进行分析与评估,形成用户行为安全基线;
浏览器类型识别具体为:对浏览器的类型进行识别,若为非雪诺浏览器则直接拦截,若为雪诺浏览器则进行相应的处置。
在步骤S100中,对所述用户客户端进行网关登录认证,如图2所示,包括以下步骤:
S110、获取用户客户端输入的网关地址请求并进行敲门授权;
S120、敲门授权后则放开用户客户端登录权限,若敲门授权异常,则关闭权限,其中,敲门授权异常包括敲门授权失败或者敲门授权超时;
S130、获取用户客户端在浏览器输入的用户名及密码并验证登录策略是否满足配置要求,其中,登录策略包括异地登录、可信时间及可信位置。
通俗的讲,用户客户端输入网关地址后点击SPA敲门,网关默认拒绝未授权的访问,用户启动浏览器在登录前先敲门授权,敲门成功后网关放开登录的权限;如果敲门失败或者敲门在超时时间后网关会关闭权限,退回到敲门页面;在浏览器输入用户名、密码登录;网关校验用户名密码是否正确;网关检测登录策略是否满足配置要求,包括异地登录、可信时间、可信位置,如果触发了登录策略,可以按照管理员配置禁用登录或者二次认证的方式确认后才允许登录;登录认证通过后会给浏览器颁发身份认证通过的凭证和策略,用户凭证中包括用户的user_id,user_id作为用户的唯一标识。
在步骤S300中,所述则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行数据安全访问及执行处置动作,如图3所示,包括以下步骤:
S310、截获用户客户端输入的登录网关地址请求并进行基线检测;
S320、检测用户客户端环境是否符合配置要求,检测通过后则提示用户客户端通过检测并展示显示结果,检测未通过则不允许数据安全访问并进行提醒;
S330、将所述雪诺浏览器和网关基于通信协议及加密协议建立安全连接通信,加密协议支持国密连接,进而数据安全访问及执行处置动作,其中,通信协议支持TCP/UDP。
在一个实施例中,所述将所述雪诺浏览器和网关基于通信协议及加密协议建立安全连接通信,具体为:基于TCP协议或UDP协议将浏览器和网关建立安全通道并进行数据传输,浏览器使用公钥加密数据,网关使用私钥解密数据。
为了使得数据传输更加安全以及访问更加安全,还包括以下步骤:对应用访问的隐私数据进行加密并存储,其中,所述隐私数据至少包括浏览历史、表单数据及Cookie数据。
因此,可以知晓,本发明中所说的应用访问,至少会包括用户行为管控:禁止复制、禁止查看源代码、禁用另存、禁用打印、防截屏、防下载等进行安全行为管控;
敏感数据不出域:对于文件敏感数据自动识别文件上传、下载动作,并将文件重定向到企业云盘,防止文件数据出域泄漏到外部;网页敏感数据:通过脱密遮盖和水印的方式处理,重新渲染原始页面,避免敏感数据直接展示;用户行为分析:安全网关基于终端上报的身份信息、设备状态、用户行为等数据进行统一分析与评估,形成用户行为安全基线。同时在访问过程中通过安全检测引擎,集成云端威胁情报,识别安全事件;浏览器类型识别:浏览器的访问的应用通过反向代理的方式经过网关。网关会识别浏览器类型,如果是非雪诺浏览器的直接拦截,如果是雪诺浏览器则进行相应的处置;隐私保护:访问过程中的用户隐私数据,包括浏览历史、表单数据和Cookie加密后存储,防止被第三方窃取。
实施例2:
一种浏览器文件管控系统,如图4所示,包括数据获取模块100、策略配置模块200及文件管控模块300;
所述数据获取模块100,用于获取用户客户端登录浏览器的登录网关地址请求,对所述用户客户端进行网关登录认证,认证通过后下发用户凭证,其中,用户凭证包括用户唯一标识;
所述策略配置模块200,基于用户凭证配置相应的用户策略,用户策略至少包括浏览器类型、登录策略、数据安全、基线检测、访问控制及处置动作;
所述文件管控模块300,用于通过用户策略执行文件管控,其中,所述文件管控包括上传管控及下载管控,具体为:判断浏览器类型是否为雪诺浏览器,若是,则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行文件上传及文件下载。
实施例3:
在一个实施例中,提供了一种浏览器文件管控装置,该浏览器文件管控的装置可以是服务器也可以是移动终端。该浏览器文件管控装置包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该浏览器安全访问装置的处理器用于提供计算和控制能力。该浏览器文件管控装置的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该数据库用于存储浏览器文件管控装置的所有数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现浏览器安全访问的方法。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是:
说明书中提到的“一个实施例”或“实施例”意指结合实施例描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,说明书通篇各个地方出现的短语“一个实施例”或“实施例”并不一定均指同一个实施例。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。此外,需要说明的是,本说明书中所描述的具体实施例,其零、部件的形状、所取名称等可以不同。凡依本发明专利构思所述的构造、特征及原理所做的等效或简单变化,均包括于本发明专利的保护范围内。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离本发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
Claims (11)
1.一种浏览器文件管控方法,其特征在于,包括以下步骤:
获取用户客户端登录浏览器的登录网关地址请求,对所述用户客户端进行网关登录认证,认证通过后下发用户凭证,其中,用户凭证包括用户唯一标识;
基于用户凭证配置相应的用户策略,用户策略至少包括浏览器类型、登录策略、数据安全、基线检测、访问控制及处置动作;
通过用户策略执行文件管控,其中,所述文件管控包括上传管控及下载管控,具体为:判断浏览器类型是否为雪诺浏览器,若是,则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行文件上传及文件下载。
2.根据权利要求1所述的浏览器文件管控方法,其特征在于,所述上传管控包括上传到云空间及本地上传,所述上传到云空间为上传的文件从云空间选择文件进行上传,本地上传为上传文件从本地选择文件;
所述下载管控包括下载到云空间及禁止下载,所述下载到云空间为允许文件下载后存储到云空间;所述禁止下载为不允许下载文件。
3.根据权利要求2所述的浏览器文件管控方法,其特征在于,所述上传管控包括以下步骤:
截获用户客户端输入的登录网关地址请求,根据请求内容识别文件是上传行为还是下载行为;
若为上传行为,则判断文件上传到云空间亦或是本地上传,进而执行相应的上传动作;
若为下载行为,则判断是下载到云空间或禁止下载,进而执行相应的下载动作。
4.根据权利要求1所述的浏览器文件管控方法,其特征在于,还包括应用安全访问,所述应用安全访问包括用户行为管控、敏感数据不出域、网页敏感数据、用户行为分析及浏览器类型识别;
用户行为管控至少包括禁止复制、禁止查看源代码、禁用另存、禁用打印、防截屏及防下载并进行安全行为管控;
敏感数据不出域至少包括对于文件敏感数据自动识别文件上传及下载动作并上传至云盘,防止文件数据出域泄漏到外部;
网页敏感数据具体为:通过脱密遮盖和水印的方式处理,对原始显示页面进行重新渲染以使得敏感数据脱敏展示;
用户行为分析具体为:对用户客户端的身份信息、设备状态及用户行为数据进行分析与评估,形成用户行为安全基线;
浏览器类型识别具体为:对浏览器的类型进行识别,若为非雪诺浏览器则直接拦截,若为雪诺浏览器则进行相应的处置。
5.根据权利要求1所述的浏览器文件管控方法,其特征在于,对所述用户客户端进行网关登录认证,包括以下步骤:
获取用户客户端输入的网关地址请求并进行敲门授权;
敲门授权后则放开用户客户端登录权限,若敲门授权异常,则关闭权限,其中,敲门授权异常包括敲门授权失败或者敲门授权超时;
获取用户客户端在浏览器输入的用户名及密码并验证登录策略是否满足配置要求,其中,登录策略包括异地登录、可信时间及可信位置。
6.根据权利要求1所述的浏览器文件管控方法,其特征在于,所述则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行数据安全访问及执行处置动作,包括以下步骤:
截获用户客户端输入的登录网关地址请求并进行基线检测;
检测用户客户端环境是否符合配置要求,检测通过后则提示用户客户端通过检测并展示显示结果,检测未通过则不允许数据安全访问并进行提醒;
将所述雪诺浏览器和网关基于通信协议及加密协议建立安全连接通信,进而数据安全访问及执行处置动作,其中,通信协议支持TCP/UDP,加密协议支持国密连接。
7.根据权利要求1所述的浏览器文件管控方法,其特征在于,所述将所述雪诺浏览器和网关基于通信协议及加密协议建立安全连接通信,具体为:基于TCP协议或UDP协议将浏览器和网关建立安全通道并进行数据传输,浏览器使用公钥加密数据,网关使用私钥解密数据。
8.根据权利要求7所述的浏览器文件管控方法,其特征在于,还包括以下步骤:对应用访问的隐私数据进行加密并存储,其中,所述隐私数据至少包括浏览历史、表单数据及Cookie数据。
9.一种浏览器文件管控系统,其特征在于,包括数据获取模块、策略配置模块及文件管控模块;
所述数据获取模块,用于获取用户客户端登录浏览器的登录网关地址请求,对所述用户客户端进行网关登录认证,认证通过后下发用户凭证,其中,用户凭证包括用户唯一标识;
所述策略配置模块,基于用户凭证配置相应的用户策略,用户策略至少包括浏览器类型、登录策略、数据安全、基线检测、访问控制及处置动作;
所述文件管控模块,用于通过用户策略执行文件管控,其中,所述文件管控包括上传管控及下载管控,具体为:判断浏览器类型是否为雪诺浏览器,若是,则基于登录请求进行基线检测,若基线检测符合配置要求,则允许用户客户端通过雪诺浏览器进行文件上传及文件下载。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任意一项所述的方法。
11.一种浏览器文件管控的装置,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至8任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410214470.1A CN118074985A (zh) | 2024-02-27 | 2024-02-27 | 浏览器文件管控方法、系统、装置及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410214470.1A CN118074985A (zh) | 2024-02-27 | 2024-02-27 | 浏览器文件管控方法、系统、装置及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118074985A true CN118074985A (zh) | 2024-05-24 |
Family
ID=91107070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410214470.1A Pending CN118074985A (zh) | 2024-02-27 | 2024-02-27 | 浏览器文件管控方法、系统、装置及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118074985A (zh) |
-
2024
- 2024-02-27 CN CN202410214470.1A patent/CN118074985A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Panchal et al. | Security issues in IIoT: A comprehensive survey of attacks on IIoT and its countermeasures | |
EP2328319B1 (en) | Method, system and server for realizing the secure access control | |
US9781114B2 (en) | Computer security system | |
US7793094B2 (en) | HTTP cookie protection by a network security device | |
US11539695B2 (en) | Secure controlled access to protected resources | |
US20090193503A1 (en) | Network access control | |
KR101373542B1 (ko) | 가상화 기반 논리적 망 분리 기법을 이용한 개인정보 보호 시스템 | |
Atashzar et al. | A survey on web application vulnerabilities and countermeasures | |
US20140344914A1 (en) | Authentication of remote host via closed ports | |
CN112016073B (zh) | 一种服务器零信任连接架构的构建方法 | |
CN114584343A (zh) | 一种云计算中心的数据保护方法、系统和可读存储介质 | |
CN114553540A (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
CN113904826B (zh) | 数据传输方法、装置、设备和存储介质 | |
CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
CN106576050B (zh) | 三层安全和计算架构 | |
Khandelwal et al. | Frontline techniques to prevent web application vulnerability | |
CN114978544A (zh) | 一种访问认证方法、装置、系统、电子设备及介质 | |
CN118074985A (zh) | 浏览器文件管控方法、系统、装置及可读存储介质 | |
CN112769731B (zh) | 一种进程控制方法、装置、服务器及存储介质 | |
CN118074987A (zh) | 浏览器安全访问处置方法、系统、装置及可读存储介质 | |
Alanazi et al. | The history of web application security risks | |
KR101009261B1 (ko) | 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템 | |
WO2009005698A1 (en) | Computer security system | |
Liu | Ethical Hacking of a Smart Video Doorbell | |
KR102444356B1 (ko) | 보안 강화 인트라넷 접속 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |