TWI608379B - 端點存取過程中的資訊管控方法、主機設備及系統 - Google Patents
端點存取過程中的資訊管控方法、主機設備及系統 Download PDFInfo
- Publication number
- TWI608379B TWI608379B TW104144750A TW104144750A TWI608379B TW I608379 B TWI608379 B TW I608379B TW 104144750 A TW104144750 A TW 104144750A TW 104144750 A TW104144750 A TW 104144750A TW I608379 B TWI608379 B TW I608379B
- Authority
- TW
- Taiwan
- Prior art keywords
- data
- electronic data
- storage device
- host device
- written
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
Description
本發明是有關於一種防止資料外洩的資訊管控方法、主機設備及系統,特別是指一種防止機密資料經由存取過程外洩的資訊管控方法、主機設備及系統。
防止資料外洩的技術方案是應用在避免重要資訊在包括端點操作、網路通信傳輸或儲存過程被洩漏。重要資訊包括公司的智慧財產權、財務或個人資料等。然而,已知現有在端點操作的儲存裝置可在短時間快速存取及寫入資料,若無一套針對儲存裝置的管控技術,將會無法防堵經由儲存裝置產生的資訊外洩問題。
本發明之目的,即在提供一種解決先前技術缺失的端點存取過程中的資訊管控方法、主機設備及系統。
本發明端點存取過程中的資訊管控方法在一些實施態樣中,係配合一主機設備、一儲存裝置及一管理終端運作,該主機
設備及該管理終端連接一通訊網路並經由該通訊網路彼此通訊,該方法係由該主機設備執行包括下述步驟:(a)偵測一電子資料欲寫入該儲存裝置時,依據一預定規則檢核該電子資料的內容;(b)若以該預定規則核對該電子資料,判斷為不允許寫入,則禁止該電子資料寫入該儲存裝置,並產生一操作介面供輸入一申請資料;(c)發送該申請資料至該管理終端;及(d)回應該管理終端對於該申請資料發出一審核訊息,而依據該審核訊息的一否准資料禁止或允許該電子資料寫入該儲存裝置。
在一些實施態樣中,所述的防止電子資料外洩的資訊方法還包括:步驟(e)發送該否准資料至該主機設備並產生對應該否准資料之提示。
在一些實施態樣中,所述的防止電子資料外洩的資訊方法還包括:步驟(f)儲存相關於步驟(d)之禁止該電子資料寫入該儲存裝置的操作狀態以形成一記錄資料。
在一些實施態樣中,所述的防止電子資料外洩的資訊方法還包括:步驟(g)當審核訊息發出後計時一指定時間判斷該電子資料是否已寫入至該儲存裝置,若超過該指定時間,則禁止該電子資料寫入該儲存裝置。
在一些實施態樣中,步驟(a)的該預定規則係包括個人資料保護法所規範保護的個人資料項目。
本發明至少具有以下功效:主機設備使用預定規則檢核一將要寫入一儲存裝置的電子資料,產生一供輸入一申請資料的介面,以及依據管理終端回傳訊息以決定該申請資料結果是否允許該電子資料的寫入權限,達到即時簽報,並有效防堵經由儲存裝置產生的資訊外洩的效果。
1‧‧‧主機設備
10‧‧‧處理單元
100‧‧‧資訊管控系統
101‧‧‧檢核模組
102‧‧‧介面產生模組
103‧‧‧通訊控制模組
104‧‧‧寫入控制模組
105‧‧‧提示產生模組
106‧‧‧記錄模組
11‧‧‧記憶單元
2‧‧‧管理終端
3‧‧‧儲存裝置
4‧‧‧通訊網路
S101~S108‧‧‧步驟
S201~S204‧‧‧步驟
本發明之其他的特徵及功效,將於參照圖式的實施方式中清楚地呈現,其中:圖1是本發明防止資料經由存取過程外洩的資訊管控系統的一實施例的一系統示意圖;圖2是該實施例的一主機設備的一系統方塊圖;圖3是本發明端點存取過程中的資訊管控方法的一流程圖;圖4至圖8說明員工於主機設備存取儲存裝置及申請操作過程之操作畫面的示意圖;圖9至圖13說明對應員工申請審核之管理終端操作畫面的示意圖;圖14至圖16說明員工申請成功後之主機設備操作畫面的示意圖。
參閱圖1,本發明端點存取過程中的資訊管控方法之實施例係應用於一資訊管控系統100,資訊管控系統100包括一主機設備1、一儲存裝置3及一管理終端2。該主機設備1及該管理終端2連接一通訊網路4並經由該通訊網路4彼此通訊,通訊網路4可以是可建立通訊管道的有線網路、無線網路及/或各種通訊網路的組合。儲存裝置3是一外接式儲存裝置,例如:隨身碟、外接式硬碟或其他具有儲存功能的電子裝置,主機設備1具有可連接儲存裝置3的傳輸介面(圖未示)並可遠端控制是否經由傳輸介面寫入資料至儲存裝置3。
資訊管控系統100之實施例,以銀行端點資料外洩防護為例,可應用於員工檔案下載至外部儲存裝置3之自動偵測、阻擋、保護重要或機密資料、產生報告、分析統計…等發揮管理機制,同時設計簽核流程之方法更有助於員工作業之彈性。當員工執行業務過程,需要下載高風險重要或機密資料檔案時,只要透過資訊管控系統100的簽核流程向主管提出檔案下載至外部儲存裝置需求申請,並經過主管審核(核准/拒絕),藉此達到權責區分、縮短管制放行時間及降低事後管理成本等優點。
為達上述目的,資訊管控系統100主要係透過以下技術加以實現。
一、當員工欲將一電子資料從主機設備1寫入至外部儲存裝置3時,主機設備1將自動進行「重要或機密資料」特徵掃描、偵測。
二、主機設備1以預先建立的預定規則核對該電子資料,判斷為不允許寫入,主機設備1自動顯示審核訊息視窗,提醒員工傳送一申請資料給主管審核,若員工確認須主管審核,則由主機設備1自動發送一含有申請資料之通知訊息(例如:電子郵件)給主管。
三、主管依據該通知訊息審核該電子資料是否同意授權存取,例如:若因業務相關需要,則同意授權存取權限。
四、一旦員工收到核准的審核結果通知後,在一指定期間內(如:核准後24小時內,或當日下班時間之前)允許該電子資料寫入儲存裝置3,若超過該指定時間,則禁止該電子資料寫入該儲存裝置3。因此,員工可於指定時間內再將該電子資料從主機設備1下載至儲存裝置3(限一次),主機設備1並對該電子資料以密碼自動加密。若超過指定時間,需重新申請。
參閱圖2,主機設備1具有一處理單元10及一記憶單元11,處理單元10具有一檢核模組101、一介面產生模組102、一通訊控制模組103、一寫入控制模組104、一提示產生模組105及一記錄模組106,各元件作用說明如下。
當主機設備1偵測相關於一電子資料寫入該儲存裝置3的存取動作時,檢核模組101依據一預定規則(例如:機密技術用字、個人資料保護法所規範保護的個人資料項目或其他自訂規則)檢核該電子資料的內容,若以預定規則核對電子資料,判斷為不允許寫入,則禁止該電子資料寫入該儲存裝置,介面產生模組102產生一操作介面(如:網頁或程式之人機互動介面)供輸入一申請資料。通訊控制模組103控制該申請資料發送至該管理終端2,且接收該管理終端2對於該申請資料發出的一審核訊息。寫入控制模組104依據該審核訊息的一否准資料禁止或允許該電子資料寫入該儲存裝置3。提示產生模組105發送該否准資料至該主機設備1並產生對應該否准資料之提示。記錄模組106儲存相關於禁止該電子資料寫入該儲存裝置的操作狀態以形成一記錄資料。
參閱圖3,並配合圖1,本發明端點存取過程中的資訊管控方法之實施例說明如下。
主機設備1偵測使用者欲將一電子資料寫入儲存裝置3(步驟S101),則以該預定規則核對該電子資料(步驟S102),判斷為不允許寫入,則禁止該電子資料寫入該儲存裝置(步驟S103);若是允許寫入,則寫入電子資料至儲存裝置3(步驟S108)。本實施例中,該電子資料是例如包含個人資料保護法規範所欲保護對象資料的個資檔案,或是各種相關於營業秘密的機密資料。接著,主機設
備1產生一操作介面供使用者輸入一申請資料(步驟S104)。當使用者輸入完申請資料,即發送含有該申請資料之通知訊息至管理終端2(步驟S105)。
為方便了解,以員工操作使用主機設備1之操作畫面說明其存取及申請操作過程。
參閱圖4,員工對於主機設備1下達寫入指令,將「重要或機密資料」從主機設備1的C槽或D槽複製至外部的儲存裝置3。
參閱圖5,主機設備1自動會進行「重要或機密資料」掃描偵測,並出現[下載檔案檢查中,請稍待檢查結果訊息視窗回覆。]的提示訊息。(請員工等待5~15秒,等待「重要或機密資料」掃描完畢後會自動彈出IE瀏覽器檔案審核訊息視窗,再傳送主管審核)
參閱圖6,主機設備1以預定規則核對檔案,若符合高風險之重要或機密資料外洩的政策規則,會自動彈出IE瀏覽器檔案審核訊息視窗。視窗中的提示內容可包括,例如:若因業務需求,請傳送主管審核;若非業務之需求,請按[離開]。
參閱圖7,主機設備1提示可選擇審核主管,按[確認送出]時,出現[申請資料已送出,等候主管放行!]網頁訊息。
參閱圖8,主機設備1之IE瀏覽器視窗提示[您的檔案審核申請單已完成申請],按[關閉視窗]結束IE瀏覽器。
然後,管理終端2接收該申請資料以供主管簽核(步驟S201),然後,判斷主管簽核產生的一審核訊息(步驟S202),該審核訊息具有代表是否核准寫入的一否准資料,若為核准,則寄發核准通知(步驟S203);若為禁止,則寄發拒絕通知(步驟S204)。主機設備1接收管理終端2之審核訊息的否准資料並產生提示,若為核准,則允許寫入(步驟S106),主機設備1並儲存相關於禁止該電子資料寫入該儲存裝置的操作狀態以形成一記錄資料(步驟S106),該記錄資料包括例如:申請人、主管、檔案內容及申請時間等。
為方便了解,以審核主管操作使用管理終端2之操作畫面說明其操作過程。
參閱圖9,審核主管透過管理終端2會收到寄件人:DLP_Admin信件,主旨:個資防護系統傳送檔案下載審核通知。
參閱圖10,審核主管透過管理終端2開啟信件,確認附件內容例如是否為業務需要。若是,審核主管按[核准];若不是,審核主管按[拒絕]。
參閱圖11,審核主管透過管理終端2送出[核准]後,IE瀏覽器視窗提示[該檔案審核已完成處置]。
參閱圖12,審核主管於管理終端2之操作畫面只能點選一次[核准],若重複點選[核准],IE瀏覽器視窗提示[檔案已由主管於某年/月/日、時間完成下載申請核准!!!],之訊息。
參閱圖13,審核主管經由管理終端2送出[核准]後,申請人會收到寄件人:DLP_Admin信件,主旨:個資防護系統-檔案下載審核結果通知。
以下藉由員工操作使用主機設備1之操作畫面說明其申請成功後之操作過程。
參閱圖14,申請人經由主機設備1的檔案下載審核結果通知信件可知悉,審核主管已同意下載,須於簽准同意後的指定時間內(如:簽准同意後的24小時內,或當日下班時間前)進行下載至外部儲存裝置(限一次),若超過指定時間,需重新申請。
參閱圖15,申請人經由主機設備1完成「重要或機密資料」檔案從主機設備(C槽或D槽)寫入至外部儲存裝置3,主機設備1並對「重要或機密資料」檔案且以密碼自動加密。
參閱圖16,完成後,可至外部儲存裝置3,輸入密碼解密後並可開啟「重要或機密資料」檔案。
綜上所述,本發明至少具有以下功效:主機設備1使用預定規則檢核一將要寫入一儲存裝置3的電子資料,產生一供輸入一申請資料的介面,以及依據管理終端2回傳訊息以決定該申請資料結果是否允許該電子資料的寫入權限,線上即時簽核,有效防堵經由儲存裝置3產生的資訊外洩,故確實能達成本發明之目的。
惟以上所述者,僅為本發明之實施例而已,當不能以
此限定本發明實施之範圍,凡是依本發明申請專利範圍及專利說明書內容所作之簡單的等效變化與修飾,皆仍屬本發明專利涵蓋之範圍內。
S101~S108‧‧‧步驟
S201~S204‧‧‧步驟
Claims (10)
- 一種端點存取過程中的資訊管控方法,配合一主機設備、一儲存裝置及一管理終端運作,該主機設備及該管理終端連接一通訊網路並經由該通訊網路彼此通訊,該方法係由該主機設備執行包括下述步驟:(a)偵測一電子資料欲寫入該儲存裝置時,依據一預定規則檢核該電子資料的內容;(b)若以該預定規則核對該電子資料,判斷為不允許寫入,則禁止該電子資料寫入該儲存裝置,並產生一操作介面供輸入一申請資料;(c)發送該申請資料至該管理終端;及(d)回應該管理終端對於該申請資料發出一審核訊息,而依據該審核訊息的一否准資料禁止或允許該電子資料寫入該儲存裝置。
- 如請求項1所述的防止電子資料外洩的資訊方法,還包括下述步驟:(e)發送該否准資料至該主機設備並產生對應該否准資料之提示,若為核准,則允許寫入。
- 如請求項1所述的防止電子資料外洩的資訊方法,還包括下述步驟:(f)儲存步驟(d)之禁止該電子資料寫入該儲存裝置的操作狀態以形成一記錄資料。
- 如請求項1所述的防止電子資料外洩的資訊方法,其中,步驟(a)的該預定規則係包括個人資料保護法所規範保護 的個人資料項目。
- 如請求項1所述的防止電子資料外洩的資訊方法,還包括下述步驟:(g)當一表示允許該電子資料寫入該儲存裝置之審核訊息發出後計時一指定時間,在該指定期間內允許該電子資料寫入該儲存裝置,若超過該指定時間,則禁止該電子資料寫入該儲存裝置。
- 一種資訊管控系統,包括一主機設備、一儲存裝置及一管理終端,該主機設備及該管理終端連接一通訊網路並經由該通訊網路彼此通訊,且執行如請求項1至5中的任一請求項所述的方法。
- 一種主機設備,可供連接一儲存裝置並配合一管理終端運作,該主機設備及該管理終端連接一通訊網路並經由該通訊網路彼此通訊,且該主機設備包括:一檢核模組,當主機設備偵測一電子資料欲寫入該儲存裝置時,依據一預定規則檢核該電子資料的內容,若以該預定規則核對該電子資料,判斷為不允許寫入,則禁止該電子資料寫入該儲存裝置;一介面產生模組,在該檢核模組以該預定規則核對該電子資料並判斷出不允許寫入時,產生一操作介面供輸入一申請資料;一通訊控制模組,控制該申請資料發送至該管理終端,且接收該管理終端對於該申請資料發出的一審核訊息;及 一寫入控制模組,依據該審核訊息的一否准資料禁止或允許該電子資料寫入該儲存裝置。
- 如請求項7所述的主機設備,還包括:一提示產生模組,發送該否准資料至該主機設備並產生對應該否准資料之提示。
- 如請求項8所述的主機設備,還包括:一記錄模組,儲存相關於禁止該電子資料寫入該儲存裝置的操作狀態以形成一記錄資料。
- 如請求項7至9中任一項所述的主機設備,其中,該檢核模組採用的該預定規則係包括個人資料保護法所規範保護的個人資料項目。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104144750A TWI608379B (zh) | 2015-12-31 | 2015-12-31 | 端點存取過程中的資訊管控方法、主機設備及系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104144750A TWI608379B (zh) | 2015-12-31 | 2015-12-31 | 端點存取過程中的資訊管控方法、主機設備及系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201723916A TW201723916A (zh) | 2017-07-01 |
| TWI608379B true TWI608379B (zh) | 2017-12-11 |
Family
ID=60047361
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104144750A TWI608379B (zh) | 2015-12-31 | 2015-12-31 | 端點存取過程中的資訊管控方法、主機設備及系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI608379B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA3157986A1 (en) * | 2019-10-24 | 2021-04-29 | Canopy Software Inc. | Systems and methods for identifying compliance-related information associated with data breach events |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040111389A1 (en) * | 2002-12-09 | 2004-06-10 | Microsoft Corporation | Managed file system filter model and architecture |
| US20060190723A1 (en) * | 2005-02-18 | 2006-08-24 | Jp Morgan Chase Bank | Payload layer security for file transfer |
| CN101110097A (zh) * | 2007-08-17 | 2008-01-23 | 南京新模式软件集成有限公司 | 一种电子文件安全外发的方法 |
| CN102902900A (zh) * | 2012-09-19 | 2013-01-30 | 无锡华御信息技术有限公司 | 对外发文件的操作权限进行变更的方法及系统 |
| TW201426393A (zh) * | 2012-12-27 | 2014-07-01 | Chunghwa Telecom Co Ltd | 防止檔案以加密形式外洩的防護方法 |
-
2015
- 2015-12-31 TW TW104144750A patent/TWI608379B/zh active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040111389A1 (en) * | 2002-12-09 | 2004-06-10 | Microsoft Corporation | Managed file system filter model and architecture |
| US20060190723A1 (en) * | 2005-02-18 | 2006-08-24 | Jp Morgan Chase Bank | Payload layer security for file transfer |
| CN101110097A (zh) * | 2007-08-17 | 2008-01-23 | 南京新模式软件集成有限公司 | 一种电子文件安全外发的方法 |
| CN102902900A (zh) * | 2012-09-19 | 2013-01-30 | 无锡华御信息技术有限公司 | 对外发文件的操作权限进行变更的方法及系统 |
| TW201426393A (zh) * | 2012-12-27 | 2014-07-01 | Chunghwa Telecom Co Ltd | 防止檔案以加密形式外洩的防護方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201723916A (zh) | 2017-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11030338B2 (en) | Selectively wiping a remote device | |
| CN101729550B (zh) | 基于透明加解密的数字内容安全防护系统及加解密方法 | |
| KR101571641B1 (ko) | 모바일 디바이스 상에 보안 가상 환경을 제공하기 위한 방법 및 장치 | |
| CN109412812B (zh) | 数据安全处理系统、方法、装置和存储介质 | |
| Industry | Data security standard | |
| CN101364984A (zh) | 一种保证电子文件安全的方法 | |
| US20120096257A1 (en) | Apparatus and Method for Protecting Storage Data of a Computing Apparatus in an Enterprise Network System | |
| US20150188910A1 (en) | Policy group based file protection system, file protection method thereof, and computer readable medium | |
| TWI499931B (zh) | File management system and method | |
| CN104067286A (zh) | 无效托管密钥的检测 | |
| CN103413100A (zh) | 文档安全防范系统 | |
| CN112329050A (zh) | 一种文件安全管理终端及系统 | |
| CN105516136A (zh) | 权限管理方法、装置和系统 | |
| TWI608379B (zh) | 端點存取過程中的資訊管控方法、主機設備及系統 | |
| KR101349762B1 (ko) | 개인정보를 보호하고 관리하는 방법 | |
| KR20100040074A (ko) | 내부정보 유출 방지 방법 및 서버 | |
| CN104010306A (zh) | 一种移动设备使用者身份认证系统及方法 | |
| JP2008003962A (ja) | 携帯電話を利用した端末装置認証システム、認証方法およびそのプログム | |
| KR20130005950A (ko) | 이동단말의 보안을 강화하는 시스템 및 방법 | |
| CN103761455B (zh) | 文件管理系统及方法 | |
| TW201723915A (zh) | 通訊過程中的資訊管控方法及管理伺服器 | |
| JP7012927B2 (ja) | ファイル管理方法、システム、端末およびプログラム | |
| CN108334787B (zh) | 一种安全文档管理系统 | |
| KR101918501B1 (ko) | 보안정책 관리 시스템 | |
| KR20120076446A (ko) | 안전보안솔루션시스템 및 이를 기반으로 한 영업방법 |