本发明专利技术公开了一种数据动态防泄漏系统及方法,该系统包括:数据过滤规则文件存储模块,用于存储数据过滤文件,该数据过滤规则文件包括多个不同类型的数据过滤规则;数据管控策略存储模块,用于存储数据管控策略,所述数据管控策略包括不同类型的数据过滤规则与不同级别的数据管控方案的对应关系;文件扫描引擎,加载所述数据过滤规则文件及数据管控策略,当有数据需要外发时,根据所述数据过滤规则文件对外发数据进行扫描,对所述外发数据进行相应的外发控制。本发明专利技术能动态的进行数据防泄漏,将防泄漏管控对象定义在数据本身上,不再以终端或者用户为主体,提高了数据安全控制的灵活性和安全性。
【技术实现步骤摘要】
本专利技术涉及一种数据安全领域,尤其涉及一种数据动态防泄漏系统及方法。
技术介绍
在当下信息时代,数据安全、信息安全的问题愈加重要,静态的被动的进行数据防泄漏已经无法应对层出不穷泄漏手段。对此,北京明朝万达科技股份有限公司提出并实现基于关键字、正则表达式和机器学习技术进行数据动态防泄漏的改进方案。目前业界普遍采用管控外发终端或者用户的传统静态方式进行数据防泄漏处理。而新兴起来利用正则表达式、关键字和机器学习等技术扫描文件,进行加密防护的方式,仍属于静态的保护范畴。当前终端数据防泄漏技术为在相应终端上安装防泄漏软件,通过控制终端上外接设备读写和网络上传下载等行为为主要防护思路,所有数据外发结果要么全部加密,要么全部阻断,要么全部明文,不能根据数据不同进行不同处理。如附图1-2所示,其展示了现有技术中,在通过U盘进行数据拷出的场景中,在插入移动设备时,管控组件通过预先设置好的U盘控制策略(方式),通知底层驱动进行相应数据读写控制,如正常读写(不做控制),加密读写(拷入加密为密文,拷出解密为明文),只读(只能读取,不能写入)和禁用(禁止使用U盘)。所有数据都只能通过其中一种方式进行外发。现有的防泄漏方案仍局限于面向终端,面向用户,无差别处理数据的静态被动管控手段。管控方式一旦下发,终端上所有数据不论是否涉密,敏感程度,都将被统一处理,不能区别对待,在一定程度上影响了工作效率,制约生产力的提高。现有技术属于对数据的静态被动的安全控制方式。因此,迫切需要提供一种变被动为主动,变静态为动态的方案,将数据防泄漏管控对象变更为数据,根据数据的不同,进行不同的控制。通过关键字、正则表达式和机器学习技术主动的学习和分析数据,结合数据字典对数据进行分类,对不同级别的数据制定不同的控制手段,不再无差别对待,在不影响客户使用习惯的情况下做到动态的数据管控。。
技术实现思路
为解决上述技术问题,本专利技术提供了一种数据动态防泄漏方法,其特征在于,该方法包括以下步骤:制定数据过滤规则文件,该数据过滤规则文件包括多个不同类型的数据过滤规则;生成数据管控策略,所述数据管控策略包括不同类型的数据过滤规则与不同级别的数据管控方案的对应关系;加载所述数据过滤规则文件及数据管控策略;当有数据需要外发时,根据所述数据过滤规则文件对外发数据进行扫描,判断所述外发数据是否与所述数据过滤规则文件中的所述数据过滤规则匹配,如果匹配,则根据所述数据管控策略中所述数据过滤规则对应的数据管控方案对所述外发数据进行相应的外发控制。根据本专利技术的方法,优选地,所述数据过滤规则至少通过以下方式之一制定:通过预先学习分析典型模版数据,获取所数据过滤规则;或者依据关键字和正则表达式,根据需要监控的敏感字段、数字正则式制定所述数据过滤规则。根据本专利技术的方法,优选地,所述多个不同类型的数据过滤规则包括对以下数据进行过滤:非敏感数据、低敏感数据、中敏感数据、高敏感数据、绝密数据。根据本专利技术的方法,优选地,所述数据管控方案包括:明文发送、审计发送、加密发送、外发审批、禁止发送。根据本专利技术的方法,优选地,外发审批包括:明文发送、加密发送、禁止发送。根据本专利技术的方法,优选地,如果所述外发数据与所述数据过滤规则文件中的所述数据过滤规则不匹配,则不对所述外发数据进行外发控制。为解决上述技术问题,本专利技术提供了一种数据动态防泄漏系统,其特征在于,该系统包括:数据过滤规则文件存储模块,用于存储数据过滤文件,该数据过滤规则文件包括多个不同类型的数据过滤规则;数据管控策略存储模块,用于存储数据管控策略,所述数据管控策略包括不同类型的数据过滤规则与不同级别的数据管控方案的对应关系;文件扫描引擎,加载所述数据过滤规则文件及数据管控策略,当有数据需要外发时,根据所述数据过滤规则文件对外发数据进行扫描,判断所述外发数据是否与所述数据过滤规则文件中的所述数据过滤规则匹配,如果匹配,则根据所述数据管控策略中所述数据过滤规则对应的数据管控方案对所述外发数据进行相应的外发控制。根据本专利技术的系统,优选地,所述数据过滤规则至少通过以下方式之一制定:所述文件扫描引擎通过预先学习分析典型模版数据,获取所数据过滤规则;或者依据关键字和正则表达式,根据需要监控的敏感字段、数字正则式制定所述数据过滤规则。根据本专利技术的系统,优选地,还包括日志记录模块,用于对所述外发数据的所述外发控制进行日志记录。为解决上述技术问题,本专利技术提供了一种企业数据安全控制系统,其特征在于,该系统包括:多个数据服务器,用于对企业内部数据进行管理;多个邮件服务器,用于对企业邮件数据进行管理;交换机,用于将控制所述企业内部数据和企业邮件数据的外发;以及上述数据动态防泄漏系统,与所述交换机连接,用于对所述交换机外发的数据进行安全控制。采用本专利技术的技术方案,能够动态的进行数据防泄漏,将防泄漏管控对象定义在数据本身上,不再以终端或者用户为主体,根据数据的不同,进行不同的管控,对于非涉密数据不控制,对于涉密数据根据敏感程度分级控制,避免无差别的管控,造成资源浪费,影响工作效率。附图说明图1为现有技术中的数据外发控制逻辑图。图2为现有技术中U盘数据外发控制逻辑图。图3为现有技术中U盘数据外发控制流程图。图4为本专利技术的数据外发控制逻辑图。图5是本专利技术的数据外发控制流程图。图6是应用本专利技术技术方案的第一实施例。图7是应用本专利技术技术方案的第二实施例。具体实施方式下面结合附图以及具体实施例对本专利技术作进一步的说明,但本专利技术的保护范围并不限于此。<控制方法>图4本专利技术数据外发控制逻辑图。图5是为本专利技术数据外发控制方法实现流程图。如图5所示,本专利技术包括以下方法步骤:规则制定:规则分为两种,一种为通过预先学习分析客户模版数据,获取客户典型数据得出的规则。客户提供典型模版数据导入文件扫描引擎,扫描引擎通过机器学习技术对数据进行分析,生成符合典型数据描述的规则文件。另一种为依据关键字和正则表达式,由客户根据需要监控的敏感字段、数字正则式等制定的规则。分级分类:规则制定完毕后,通过数据分类分级模型,对不同类型的规则匹配不同级别的管控手段,生成控制策略;加载策略:扫描引擎解析策略,加载规则文件及对应控制方式,等待数据外发时触发调用;外发控制:数据外发时,管控模块将待发数据发送给文件扫描引擎,扫描引擎根据规则文件对文件内容进行扫描,分析文件内容是否与规则匹配,如果匹配则根据规则对应的管控手段进行管控,如加密,阻断外发,审计或者提请外发审批。对于未命中文件则按照原有正常流程进行外发。所述多个不同类型的数据过滤规则包括对以下数据进行过滤:非敏感数据、低敏感数据、中敏感数据、高敏感数据、绝密数据。所述数据管控方案包括:明文发送、审计发送、加密发送、外发审批、禁止发送。外发审批包括:明文发送、加密发送、禁止发送。<控制系统>本专利技术还提供了一种数据动态防泄漏系统,该系统包括:数据过滤规则文件存储模块,用于存储数据过滤文件,该数据过滤规则文件包括多个不同类型的数据过滤规则;数据管控策略存储模块,用于存储数据管控策略,所述数据管控策略包括不同类型的数据过滤规则与不同级别的数据管控方案的对应关系;文件扫描引擎,加载所述数据过滤规则文件及数据管控策略,当有数据需要外发时,根据所述数本文档来自技高网...
【技术保护点】
一种数据动态防泄漏方法,其特征在于,该方法包括以下步骤:制定数据过滤规则文件,该数据过滤规则文件包括多个不同类型的数据过滤规则;生成数据管控策略,所述数据管控策略包括不同类型的数据过滤规则与不同级别的数据管控方案的对应关系;加载所述数据过滤规则文件及数据管控策略;当有数据需要外发时,根据所述数据过滤规则文件对外发数据进行扫描,判断所述外发数据是否与所述数据过滤规则文件中的所述数据过滤规则匹配,如果匹配,则根据所述数据管控策略中所述数据过滤规则对应的数据管控方案对所述外发数据进行相应的外发控制。
【技术特征摘要】
1.一种数据动态防泄漏方法,其特征在于,该方法包括以下步骤:制定数据过滤规则文件,该数据过滤规则文件包括多个不同类型的数据过滤规则;生成数据管控策略,所述数据管控策略包括不同类型的数据过滤规则与不同级别的数据管控方案的对应关系;加载所述数据过滤规则文件及数据管控策略;当有数据需要外发时,根据所述数据过滤规则文件对外发数据进行扫描,判断所述外发数据是否与所述数据过滤规则文件中的所述数据过滤规则匹配,如果匹配,则根据所述数据管控策略中所述数据过滤规则对应的数据管控方案对所述外发数据进行相应的外发控制。2.根据权利要求1所述的方法,其特征在于,所述数据过滤规则至少通过以下方式之一制定:通过预先学习分析典型模版数据,获取所数据过滤规则;或者依据关键字和正则表达式,根据需要监控的敏感字段、数字正则式制定所述数据过滤规则。3.根据权利要求1所述的方法,其特征在于,所述多个不同类型的数据过滤规则包括对以下数据进行过滤:非敏感数据、低敏感数据、中敏感数据、高敏感数据、绝密数据。4.根据权利要求1的方法,其特征在于,所述数据管控方案包括:明文发送、审计发送、加密发送、外发审批、禁止发送。5.根据权利要求4所述的方法,其特征在于,外发审批包括:明文发送、加密发送、禁止发送。6.根据权利要求1所述的方法,如果所述外发数据与所述数据过滤规则文件中的所述数据过滤规则不匹配,则不对所述外发数据进行外发控制。7....
【专利技术属性】
技术研发人员:秦凯,王志海,王志华,喻波,何晋昊,
申请(专利权)人:北京明朝万达科技股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。