WO2014067428A1

WO2014067428A1 - 一种基于指纹信息植入的敏感数据文件的全生命周期管理方法

Info

Publication number: WO2014067428A1
Application number: PCT/CN2013/086011
Authority: WO
Inventors: 从正海; 杨维永; 刘金锁; 黄益彬; 朱世顺
Original assignee: 国网电力科学研究院; 南京南瑞集团公司; 国家电网公司
Priority date: 2012-10-30
Filing date: 2013-10-25
Publication date: 2014-05-08
Also published as: CN102968600A; CN102968600B

Abstract

本发明公开的是一种基于指纹信息植入的敏感数据文件的全生命周期管理方法，其方法为将预先定义好的指纹信息通过文件过滤驱动植入到电子数据文件中，并将指纹信息的植入情况上传到敏感数据管理平台的数据库中，通过敏感文件管理平台实现敏感文件全生命周期的监控，并进行显示。本发明主要用于监控与管理敏感数据在产生、存储、操作、传输和销毁等全生命周期过程，达到了对敏感数据文件的全生命周期监控与管理的效果，可以防止敏感信息通过数据文件乱传和流失，达到对敏感信息的可控效果，并可以通过指纹信息管理平台追溯敏感数据丟失发生源，追溯敏感文件操作的合规性，用于追究相关责任人的取证，达到了敏感信息的全面监视。

Description

一种基于指紋信息植入的敏感数据文件的全生命周期管理方法技术领域

本发明涉及信息安全技术领域的数据安全防护，特别是涉及一种基于指纹信息植入的敏感数据文件的全生命周期管理方法。

背景技术

随着计算机技术的飞速发展，信息化系统应用深入广泛，并应用到各个领域。但随之而来产生了敏感数据泄露的安全问题，对具有敏感数据的电子文件产生、传输、流转无法管理和控制。

在涉密单位或者大型企业中，广泛的实施了安全防护措施，包括机房安全、网络隔离、防火墙、入侵检测、加密传输身份认证系统等等。但是具有敏感信息数据的安全问题却一直得不到应有的重视。同时，之前的市场上也缺乏有效的敏感数据全生命周期管理方法。

发明内容

针对现有技术的不足，本发明提出的是一种基于指纹信息植入的敏感数据全生命周期管理方法，可以防止敏感信息通过数据文件乱传和流失，通过敏感数据管理平台和植入文件的指纹信息可以全面掌握该敏感文件的全生命周期状态，达到对敏感信息的可控效果。

本发明实现的技术方案如下：

一种基于指纹信息植入的敏感数据全生命周期管理方法，在建立敏感数据管理服务端和终端监控客户端下，在处理敏感数据文件的客户端上部署文件过滤驱动，其方法为，首先，预先定义好的指纹信息，在文件写入或修改时，文件过滤驱动对该文件格式进行解析，并对内容进行全面扫描，一旦发现敏感关键字则根据敏感数据管理策略生成指纹规则。根据文件的具体格式确定指纹植入的位置并执行植入操作，指纹信息植入成功后则将相关信息发送到后台数据指纹信息植入时期为在敏感数据文件产生的时候、对敏感数据进行操作的时候、敏感数据传输与落地的时候或敏感数据存储的时候进行植入。通过敏感数据管理平台和植入文件的指纹信息可以全面掌握该敏感文件的全生命周期状态。

本发明的进一步方案可以是：所述的植入在文件中的指纹信息应包含敏感数据部分的摘要、终端 IP和 MAC、身份信息、行为信息等关键要素。

本发明的进一步方案可以是：所述传输协议的指纹信息釆用专用密码算法进行加密。

本发明的进一步方案可以是：所述的指纹植入位置应达到不被恶意删除、篡改、伪造等效果，可以寻找多个植入位置并使用动态算法进行植入位置的选择。

本发明的进一步方案可以是：所述的植入的指纹信息在文件使用之前进行完整性校验，当指纹信息被破坏时则文件无法使用。

本发明方法可以实现以下安全效果：

本发明通过敏感关键字和关键字关联信息识别与检索，可以防止敏感信息通过数据文件乱传和流失，达到对敏感信息的可控效果；一旦敏感数据文件丟失，可以通过指纹信息管理平台追溯敏感数据丟失发生源，追溯敏感文件操作的合规性，用于追究相关责任人的取证；并通过指纹信息的植入，可以动态的掌握全网敏感信息的分布状态，达到了敏感信息的全面监视；而且通过指纹信息之间的关联，可以全面了解该敏感数据文件产生地点、传输者、接受者、使用者和最终存储地点，达到了敏感数据文件全生命周期安全管控与监视的效果。

附图说明

图 1 本发明的流程示意图。

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

参见图 1 , 本发明的基于指纹信息植入的敏感数据文件的全生命周期管理方法，主要用于监控与管理敏感数据在产生、存储、操作、传输和销毁等全生命周期过程。其包括工作模块，该工作模块包括文件过滤驱动、关键字扫描引擎、指纹信息生成、指纹信息嵌入、指纹信息数据库和全生命周期的展现。在建立敏感数据管理服务端和终端监控客户端下，在终端部署客户端监控软件，一方面执行服务端推送的策略，另一方面对敏感文件进行指纹植入并进行信息上报。在服务端部署数据库服务并建立相应的数据库表，部署 Web应用服务器用于查询与获取数据全生命周期监控展示的有关数据信息。处理敏感数据文件的客户端上部署文件过滤驱动，通过在敏感数据文件中植入指纹信息，跟踪与监控指纹的流转过程，以此达到对敏感数据文件的全生命周期监控与管理的效果。其步骤如下：

首先，操作文件的解析步骤；在操作文件写入或修改时，文件过滤驱动对该操作文件格式进行解析；本实施例中，文件过滤驱动程序调用扫描引擎，扫描引擎自动确定文件格式并进行解析，其次查询敏感关键字扫描需求并对内容进行识别。

然后，指纹规则的生成步骤；文件过滤驱动对该操作文件格式进行解析的同时并对内容进行全面扫描，若发现预先定义好的敏感关键字则执行关联信息扫描，根据敏感数据管理策略生成指纹规则，否则结束指纹信息的植入。

再次，指纹信息植入步骤；根据文件的具体格式确定指纹信息植入的位置并执行植入操作；该植入操作是调用指纹植入接口程序完成指纹信息的植入，指纹植入的位置具有多个，釆用动态算法计算植入位置，以达到不被恶意删除、篡改和伪造等效果；其中，传输协议的指纹信息釆用专用密码算法进行加密。植入的指纹信息在操作文件使用之前进行完整性校验，当指纹信息被破坏时则操作文件无法使用。

本实施例中，指纹信息包括敏感数据文件的摘要信息、敏感级别、行为信息、终端资产信息（包括 IP、 MAC , 系统账号）、用户资产信息（包括用户姓名、主管领导、用户所在单位和部门）等。指纹信息植入的时期为在敏感数据文件产生的时候、对敏感数据进行操作的时候、敏感数据传输与落地的时候或敏感数据存储的时候进行植入。最后，上传数据库和监控敏感文件全生命周期步骤；指纹信息植入成功后则将相关信息发送到敏感数据管理平台的数据库，并通过敏感文件管理平台实现敏感文件全生命周期的监控，并进行显示。该敏感文件管理平台是用户通过上层应用管理程序与敏感数据管理平台的数据库进行交互，实现敏感数据文件的全生命周期监控与管理。

上述指纹信息植入具体包括以下步骤：

1 )终端用户操作敏感数据文件；

2 )文件过滤驱动程序调用敏感关键字扫描引擎；

3 )敏感关键字扫描引擎自动确定文件格式并进行解析；

4 )查询敏感关键字扫描需求并对内容进行识别扫描；

5 )如发现具有敏感关键字则对敏感关键字的关联信息扫描，否则执行第 8 步；

6 )确定敏感文件级别，查询指纹信息生成规则库生成指纹信息，并通过文件过滤驱动调用植入指纹信息的功能接口；

7 )将指纹信息上传数据库；

8 ) 完成指纹信息植入。

客户端监控软件具体运行步骤如下：

1 )用户下载业务系统数据、生成敏感数据、编辑敏感数据；

2 )客户端监控软件探测到新的数据文件；

3 )客户端监控软件加载敏感关键字识别和检索引擎；

4 )客户端监控软件加载关键字策略和检索策略；

5 )执行关键字识别和信息检索；

6 )根据检索结果，自动获取终端身份信息和资产信息；

7 )根据指纹生成规则，产生指纹；

8 )在文件指定位置植入指纹；

9 )根据指纹信息生成与指纹相关联的辅助信息；

10 )异步上传指纹信息和辅助信息到服务端数据库中。为详细阐述上述方法，现举本实施例的一个典型的交互示例：用户下载业务系统数据、操作敏感数据时，客户端监控软件根据内容信息和用户资产信息生成指纹信息植入到文件中，并上报的管理端的数据库中。系统管理员登录到数据安全管控平台点击查询系统，可以了解到当前网络中有哪些敏感文件，敏感文件在哪一台终端流转过，最终落到哪一台终端，以及流转过的终端是否存在敏感文件。

本发明通过建立敏感数据管理服务端和终端监控客户端，敏感数据管理服务端完成敏感数据的全生命周期的管控，用于策略的下发、规则的下发、指纹信息的分析等，终端监控客户端主要用于执行服务端推送的策略、监控文件的操作、安装指纹信息、指纹信息上传等，通过敏感数据管理平台和植入文件的指纹信息可以全面掌握该敏感文件的全生命周期状态，有效防止敏感信息通过数据文件乱传和流失，达到对敏感信息的可控效果；而且通过指纹信息管理平台追溯敏感数据丟失发生源，追溯敏感文件操作的合规性，用于追究相关责任人的取证；并通过指纹信息的植入，可以动态的掌握全网敏感信息的分布状态，达到了敏感信息的全面监视；而且通过指纹信息之间的关联，可以全面了解该敏感数据文件产生地点、传输者、接受者、使用者和最终存储地点，达到了敏感数据文件全生命周期安全管控与监视的效果。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims

权利要求书

1. 一种基于指纹信息植入的敏感数据文件的全生命周期的管理方法，在建立敏感数据管理服务端和终端监控客户端下，在处理敏感数据文件的客户端上部署文件过滤驱动，其特征在于，其方法为：首先，操作文件的解析步骤；在操作文件写入或修改时，文件过滤驱动对该操作文件格式进行解析；

然后，指纹规则的生成步骤；所述文件过滤驱动对该操作文件格式进行解析的同时并对内容进行全面扫描，若发现预先定义好的敏感关键字则执行关联信息扫描，根据敏感数据管理策略生成指纹规则，否则结束指纹信息的植入；再次，指纹信息植入步骤；根据文件的具体格式确定指纹信息植入的位置并执行植入操作；

最后，上传数据库和监控敏感文件全生命周期步骤；指纹信息植入成功后则将相关信息发送到敏感数据管理平台的数据库，并通过敏感文件管理平台实现敏感文件全生命周期的监控，并进行显示。

2. 根据权利要求 1所述的基于指纹信息植入的敏感数据文件的全生命周期的管理方法，其特征在于，所述操作文件的解析步骤中，所述文件过滤驱动是通过调用敏感关键字扫描引擎，敏感关键字扫描引擎自动确定操作文件格式并进行解析。

3. 根据权利要求 2所述的基于指纹信息植入的敏感数据文件的全生命周期的管理方法，其特征在于，所述指纹规则的生成步骤中，敏感关键字扫描引擎查询敏感关键字并扫描需求并对操作文件内容进行识别；若发现敏感关键字则执行关联信息扫描，再次确定敏感文件级别并生成该文件的指纹信息。

4. 根据权利要求 1或 3所述的基于指纹信息植入的敏感数据文件的全生命周期的管理方法，其特征在于，所述指纹信息植入步骤中，根据执行关联信息扫描的扫描结果和指纹生产规则生产指纹信息，调用指纹植入接口程序完成指故信息的植入。

5. 根据权利要求 1所述的基于指纹信息植入的敏感数据文件的全生命周期的管理方法，其特征在于，上述上传数据库和监控敏感文件全生命周期步骤中，用户通过上层应用管理程序与敏感数据管理平台的数据库进行交互，实现敏感数据文件的全生命周期监控与管理。

6. 根据权利要求 1或 3所述的基于指纹信息植入的敏感数据文件的全生命周期的管理方法，其特征在于，所述指纹信息植入步骤中，所述指纹植入的位置具有多个指纹信息植入位置，釆用动态算法计算植入位置。

7. 根据权利要求 1或 3所述的基于指纹信息植入的敏感数据文件的全生命周期的管理方法，其特征在于，所述指纹信息包括敏感数据文件的摘要信息、敏感级别、行为信息、终端资产信息、用户资产信息。

8. 根据权利要求 1或 3所述的基于指纹信息植入的敏感数据文件的全生命周期的管理方法，其特征在于，所述指纹信息植入的时期为在敏感数据文件产生的时候、对敏感数据进行操作的时候、敏感数据传输与落地的时候或敏感数据存储的时候进行植入。

9. 根据权利要求 8所述的基于指纹信息植入的敏感数据文件的全生命周期的管理方法，其特征在于，植入的指纹信息时，在操作文件使用之前进行完整性校验，当指纹信息被破坏时则操作文件无法使用。