安全监视装置、通信系统、安全监视方法和安全监视程序制造方法及图纸

在与连接有文件服务器装置(1201)的第1网络交换机(1301)连接的终端装置(1101)从文件服务器装置(1201)取得了电子文件的副本的情况下，电子文件副本通知接收部(1002)取得终端装置(1101)的识别信息作为第1识别信息。在与第1网络交换机(1301)不同的第2网络交换机(3001)上新连接了装置的情况下，判定指示部(1003)取得该装置的识别信息作为第2识别信息。并且，判定指示部(1003)对第1识别信息和第2识别信息进行核对，在第1识别信息与第2识别信息一致的情况下，指示第2网络交换机(3001)限制终端装置(1101)经由第2网络交换机(3001)进行的通信。

【技术实现步骤摘要】
【国外来华专利技术】安全监视装置、通信系统、安全监视方法和安全监视程序
本专利技术涉及安全监视装置等。
技术介绍
在专利文献1中公开有如下技术：在终端装置有针对由文件服务器装置保管的电子文件的访问请求的情况下，安全策略管理服务器装置决定可否访问电子文件。更具体而言，在专利文献1中公开有如下技术：安全策略管理服务器装置根据按照电子文件的重要度定义可否访问的动作定义数据和有访问请求的电子文件的重要度，决定可否访问有访问请求的电子文件。现有技术文献专利文献专利文献1：日本特许5740260号
技术实现思路
专利技术要解决的课题在专利文献1的技术中，在终端装置从文件服务器装置取得了电子文件的副本后，终端装置与安全策略管理装置管辖外的网络连接的情况下，安全策略管理装置无法进行针对该电子文件的访问控制。因此，在专利文献1的技术中，存在在取得了电子文件的副本的终端装置与安全策略管理装置管辖外的网络连接的情况下，无法防止向外部泄露电子文件这样的课题。本专利技术的主要目的在于解决这种课题。即，本专利技术的主要目的在于避免从终端装置向外部泄露电子文件的情况。用于解决课题的手段本专利技术的安全监视装置具有：第1识别信息取得部，其在与连接有文件服务器装置的第1网络交换机连接的终端装置从所述文件服务器装置取得了电子文件的副本的情况下，取得所述终端装置的识别信息作为第1识别信息；第2识别信息取得部，其在与所述第1网络交换机不同的第2网络交换机上新连接了装置的情况下，取得所述装置的识别信息作为第2识别信息；以及限制指示部，其对所述第1识别信息和所述第2识别信息进行核对，在所述第1识别信息与所述第2识别信息一致的情况下，指示所述第2网络交换机限制所述终端装置经由所述第2网络交换机进行的通信。专利技术效果在本专利技术中，在从文件服务器装置取得了电子文件的副本的终端装置与第2网络交换机连接的情况下，能够限制终端装置经由第2网络交换机进行的通信。因此，根据本专利技术，能够避免从终端装置向外部泄露电子文件的情况。附图说明图1是示出实施方式1的系统结构例的图。图2是示出实施方式1的文件服务器装置中的电子文件的管理例的图。图3是示出实施方式1的终端装置的移动例的图。图4是示出实施方式1的机密保持终端记录表的例子的图。图5是示出实施方式1的文件服务器装置的动作例的流程图。图6是示出实施方式1的安全监视装置的动作例的流程图。图7是示出实施方式1的第2网络交换机的动作例的流程图。图8是示出实施方式1的安全监视装置的动作例的流程图。图9是示出实施方式1的安全监视装置的动作例的流程图。图10是示出实施方式2的系统结构例的图。图11是示出实施方式3的系统结构例的图。图12是示出实施方式1～3的安全监视装置的硬件结构例的图。具体实施方式下面，使用附图对本专利技术的实施方式进行说明。在以下的实施方式的说明和附图中，标注有相同标号的部分表示相同的部分或相当的部分。实施方式1***结构的说明***图1示出本实施方式的系统结构例。如图1所示，安全监视装置1001、终端装置1101、文件服务器装置1201与第1网络交换机1301连接。换言之，安全监视装置1001、终端装置1101、文件服务器装置1201属于由第1网络交换机1301构成的第1网络。文件服务器装置1201保持有电子文件1205。文件服务器装置1201针对来自终端装置1101的请求，向终端装置1101发送电子文件1205的副本。电子文件1205有包含机密信息的电子文件(称作机密电子文件)和不包含机密信息的电子文件。终端装置1101向文件服务器装置1201请求电子文件1205的副本，从文件服务器装置1201接收电子文件1205的副本。然后，终端装置1101保持接收到的电子文件1205作为电子文件1105。在图1中，终端装置1101与第1网络交换机1301连接，但是，如图3所示，有时终端装置1101解除与第1网络交换机1301之间的连接而连接到与终端装置1101不同的第2网络交换机3001。在终端装置1101与第2网络交换机3001连接的情况下，终端装置1101属于第2网络。安全监视装置1001在从文件服务器装置1201向终端装置1101发送机密电子文件的副本时，取得终端装置1101的识别信息，存储已取得的终端装置1101的识别信息。并且，安全监视装置1001从第2网络交换机3001接收与第2网络交换机3001新连接的装置的识别信息。然后，安全监视装置1001对从第2网络交换机3001接收到的识别信息和存储着的终端装置1101的识别信息进行核对。在从第2网络交换机3001接收到的识别信息与终端装置1101的识别信息一致的情况下，有可能从终端装置1101泄露包含机密信息的电子文件1105。因此，安全监视装置1001指示第2网络交换机3001对终端装置1101的通信进行控制。另外，由安全监视装置1001进行的动作相当于安全监视方法。并且，安全监视装置1001和终端装置1101的组合相当于通信系统。接着，对终端装置1101、文件服务器装置1201、安全监视装置1001、第1网络交换机1301、第2网络交换机3001的结构要素进行说明。在终端装置1101中，电子文件取得部1102向文件服务器装置1201发送请求发送电子文件1205的副本的副本请求。并且，电子文件取得部1102从文件服务器装置1201接收针对副本请求发送的电子文件1205的副本，将接收到的电子文件1205的副本作为电子文件1105存储在存储部1104中。在如图3所示终端装置1101与第2网络交换机3001连接的情况下，连接请求部1103向第2网络交换机3001发送请求能够与第2网络内的其他装置或第2网络外的装置进行通信的网络连接请求。存储部1104存储电子文件1205的副本即电子文件1105。在文件服务器装置1201中，电子文件发送部1202接收从终端装置1101发送的副本请求。并且，电子文件发送部1202向电子文件副本检测部1203通知通过副本请求请求副本的电子文件1205的识别信息。并且，电子文件发送部1202按照副本请求生成电子文件1205的副本，向终端装置1101发送电子文件1205的副本。电子文件副本检测部1203根据从电子文件发送部1202通知的识别信息，判定副本对象电子文件1205是否是机密电子文件。在副本对象电子文件1205是机密电子文件的情况下，电子文件副本检测部1203向安全监视装置1001发送电子文件副本通知。电子文件副本通知包含终端装置1101的识别信息。存储部1204存储电子文件1205。在图1中，仅示出一个电子文件1205，但是，存储部1204存储有多个电子文件1205。以图2这样的树状结构对由存储部1204存储的电子文件1205进行管理。在图2中，在根文件夹2001下存在“机密”文件夹2002和“非机密”文件夹2006。“机密”文件夹2002由记录有机密信息的电子文件2003、包含记录有机密信息的电子文件2005的子文件夹2004等构成。即，在“机密”文件夹2002中保管包含机密信息的电子文件2003、2005等。包含机密信息的电子文件2003、2005等相当于机密电子文件。“非机密”文件夹2006也由电子文件2003、2009等和子文件夹2008等构成。“非机密”文件本文档来自技高网...

【技术保护点】
1.一种安全监视装置，其中，所述安全监视装置具有：第1识别信息取得部，其在与连接有文件服务器装置的第1网络交换机连接的终端装置从所述文件服务器装置取得了电子文件的副本的情况下，取得所述终端装置的识别信息作为第1识别信息；第2识别信息取得部，其在与所述第1网络交换机不同的第2网络交换机上新连接了装置的情况下，取得所述装置的识别信息作为第2识别信息；以及限制指示部，其对所述第1识别信息和所述第2识别信息进行核对，在所述第1识别信息与所述第2识别信息一致的情况下，指示所述第2网络交换机限制所述终端装置经由所述第2网络交换机进行的通信。

【技术特征摘要】
【国外来华专利技术】1.一种安全监视装置，其中，所述安全监视装置具有：第1识别信息取得部，其在与连接有文件服务器装置的第1网络交换机连接的终端装置从所述文件服务器装置取得了电子文件的副本的情况下，取得所述终端装置的识别信息作为第1识别信息；第2识别信息取得部，其在与所述第1网络交换机不同的第2网络交换机上新连接了装置的情况下，取得所述装置的识别信息作为第2识别信息；以及限制指示部，其对所述第1识别信息和所述第2识别信息进行核对，在所述第1识别信息与所述第2识别信息一致的情况下，指示所述第2网络交换机限制所述终端装置经由所述第2网络交换机进行的通信。2.根据权利要求1所述的安全监视装置，其中，所述限制指示部在被所述终端装置通知了已从所述终端装置删除所述电子文件的副本的情况下，指示所述第2网络交换机解除针对所述终端装置的通信的限制。3.根据权利要求1所述的安全监视装置，其中，在所述终端装置从所述文件服务器装置取得了机密电子文件的情况下，所述第1识别信息取得部取得所述终端装置的识别信息作为所述第1识别信息。4.一种通信系统，其中，所述通信系统具有：终端装置，其具有在与第1网络交换机连接时从与所述第1网络交换机连接的文件服务器装置取得电子文件的副本的电子文件取得部；以及安全监视装置，所述安全监视装置具有：第1识别信息取得部，其在所述终端装置从所述文件服务器装置取得了所述电子文件的副本的情况下，取得所述终端装置的识别信息作为第1识别信息；第2识别信息取得部，其在与所述第1网络交换机不同的第2网络交换机上新连接了装置的情况下，取得所述装置的识别信息作为第2识别信息；以及限制指示部，其对所述第1识别信息和所述第2识别信息进行核对，在所述第1识别信息与所述第2识别信息一致的情况下，指示所述第2网络交换机限制所述终端装置经由所述第2网络交换机进行的通信。5.根据权利要求4所述的通信系统，其中，所述终端装置还具有检查部，该检查部检查是否已从所述终端装置删除所述电子文件，在已从所述终端装置删除所述电子文件的情况下，向所述安全监视装置通知已从所述终端装置删除所述电子文件，所述安全监视装置的所述限制指示部在被所述终端装置通知了已从所述终端装置删除所述电子文件的副本的情况下，指示所述第2网络交换机解除针对所述终端装置的通信的限制。6.根据权利要求5所述的通信系统，...

【专利技术属性】
技术研发人员：北泽繁树，泉幸雄，祢宜知孝，河内清人，
申请(专利权)人：三菱电机株式会社，
类型：发明
国别省市：日本,JP