利用网络环境信任程度技术选择数据防泄露策略的方法技术

本发明专利技术公开了利用网络环境信任程度技术选择数据防泄露策略的方法，涉及数据安全技术领域，包括：通过策略组管理模块在管理平台上增加针对不同安全级别的防泄露策略组；通过网络环境信任度感知模块实时监督网络环境的变化情况，对于新上线的链接，判断该网络链接是物理链接/虚拟链接，判断通过此链接是否可以和内网的网络防泄露设备完成握手，根据判断结果标记链接类型；当准备外发文件时，判断该进程是否在防泄露策略允许的进程白名单中，判断该链接是否途经了可用设备名单中的网络数据防泄露设备以及外发文件是否包含敏感信息，根据判断结果进行敏感信息外发控制，自动选择适应的防泄露策略，有效减少数据泄漏途径，提高数据安全性。数据安全性。数据安全性。

【技术实现步骤摘要】
利用网络环境信任程度技术选择数据防泄露策略的方法


[0001]本专利技术涉及数据安全
，具体是利用网络环境信任程度技术选择数据防泄露策略的方法。

技术介绍

[0002]在以内容识别为核心的数据防泄露产品中，一般是通过防泄露系统的管理平台下发的防泄露策略，由检测PC端的防泄露进程或网络端的防泄露设备使用这些策略，对本地或网络共享中存储的文件，以及网络流量中包含的文件进行扫描，以决定PC端其他进程是否有权对该文件进行访问、拷等操作，或者网络特定的防泄露网络设备决定是否审计、审核、阻止包含此文件的流量，包括相应的流量来源、目的、时间、大小、敏感内容等信息，两种方式互相补充，构成相对完整的保护体系；通过以上方法，包含敏感信息的文件被限制到固定的PC端或局域网；用户通过USB、打印、网盘、FTP、HTTP/S等等方式将包含敏感信息的文件外发时，需要审计、审核等监督手段；
[0003]以上方法，应用广泛且适合多数场景，针对不同部门、不同网络节点往往使用不同的防泄露策略，策略被下发到每个可以进行敏感内容扫描的设备；不同的设备往往预先假设了网络环境比较固定，不会经常变化，所以每种设备的策略也相对固定；但这有个重要的先决条件，它假设了需要检查的流量必然流经对应设备，但实际应用中，这种不做网络环境信任度感知，不自动根据变化调整设备的方式，就存在一些绕开流量防泄露设备，将敏感文件外泄的方式，如：移动办公设备、用户私自搭建或胡乱链接WIFI等；为此，我们提出一种利用网络环境信任程度技术选择数据防泄露策略的方法。
专利技术内容
[0004]本专利技术旨在至少解决现有技术中存在的技术问题之一。为此，本专利技术提出利用网络环境信任程度技术选择数据防泄露策略的方法，本专利技术通过在客户端增加网络环境信任度感知模块，随时监督网络环境的变化情况，自动判断用户是否从内网移动到了外网、私自搭建了wifi或者更换了科室(机密级别往往发生变化)，自动选择适应的防泄露策略，然后根据当前环境更换更适当(宽泛或严格)的防泄露策略，在不影响正常使用的情况下，有效减少数据泄漏途径。
[0005]为实现上述目的，根据本专利技术的第一方面的实施例提出利用网络环境信任程度技术选择数据防泄露策略的方法，包括网络环境信任度感知模块和策略组管理模块，具体步骤如下：
[0006]步骤一：通过策略组管理模块在管理平台上增加针对不同安全级别的防泄露策略组，所述防泄露策略组包括物理内网安全策略组、物理外网安全策略组、半虚拟内网安全策略组以及全虚拟外网安全策略组；
[0007]步骤二：通过网络环境信任度感知模块实时监督网络环境的变化情况，具体表现为：在mini
‑
port层检查PC端网络链接是否可以访问网络数据防泄露设备；检查有两种方
式，包括：
[0008]S1：新上线的链接：PC端监控进程监控网络链接池，发现有新建的网络链接时，则记录；判断该网络链接是物理链接还是虚拟链接；
[0009]判断通过此网络链接是否可以和内网的网络防泄露设备完成握手；
[0010]根据判断结果标记链接类型；
[0011]S2：准备外发文件时：
[0012]判断该进程是否在防泄露策略允许的进程白名单中；
[0013]判断该网络链接是否途经了可用设备名单中的网络数据防泄露设备；
[0014]判断外发文件是否包含敏感信息；
[0015]根据判断结果进行敏感信息外发控制，自动选择适应的防泄露策略，然后根据当前环境更换更适当的防泄露策略。
[0016]进一步地，所述策略组管理模块的具体工作步骤为：
[0017]配置单元用于预先配置各种网络环境，所述网络环境包括外网、内网、半虚拟内网以及全虚拟外网；创建单元用于根据用户需求创建若干个不同安全级别的防泄露策略组；
[0018]编辑单元分别连接配置单元与创建单元，用于分别获取每种网络环境和每个防泄露策略组，并将每种网络环境添加至对应的防泄露策略组中，生成网络环境和防泄露策略组的映射关系表。
[0019]进一步地，判断通过此网络链接是否可以和内网的网络防泄露设备完成握手的具体过程如下：
[0020]告知管理平台自身PC的网络链接变化，即当时用到的各个网络链接信息；从管理平台获得网络防泄露设备的GUID号和IP地址；
[0021]管理平台生成一对临时的非对称加密密钥，一个发给PC端，另一个发给网络防泄露设备；其中非对称加密密钥不定时变更；
[0022]PC端用接收到的一半密钥对网络防泄露设备的GUID号和IP地址进行加密，并将加密得到的加密密文发给对应IP的网络防泄露设备；
[0023]该网络防泄露设备接收到加密密文后用自己的一半密钥解密，判断是否与自身GUID和IP一致，将判断结果用自己的一半密钥加密后发还PC端；PC端用自己的一半密钥解密，得到结果。
[0024]进一步地，根据判断结果标记链接类型，具体包括：
[0025]若该网络链接是物理链接且能完成握手，则标记为物理内网链接；
[0026]若该网络链接是物理链接但不能完成握手，则标记为物理外网链接；
[0027]若该网络链接是虚拟链接且能完成握手，则标记为虚拟内网链接；
[0028]若该网络链接是虚拟链接但不能完成握手，则标记为虚拟外网链接。
[0029]进一步地，管理平台上预先设定了允许访问敏感文件的进程白名单，所述进程白名单包括单位特定的浏览器和应用程序；PC端在获得对应的防泄露策略组时，同时获得此进程白名单。
[0030]进一步地，管理平台上预先链接了允许使用的网络数据防泄露设备，形成一个可用设备名单，PC端在获得对应的防泄露策略组时，同时获得此可用设备名单。
[0031]进一步地，判断外发文件是否包含敏感信息，具体为：
[0032]文件内容识别采用文件拆解技术和字符扫描OCR技术；
[0033]通过文件拆解技术对文件头特征进行分析，将其中的文字、图片内容输出成通用格式，通用格式包含嵌套格式；
[0034]通过字符扫描OCR技术对文件中图形化的文字进行识别，转换成功通用字符格式，以便进行内容的识别分析。
[0035]进一步地，敏感信息的外发控制具体包括：
[0036]若进程白名单内的进程通过物理内网链接发送敏感文件，则使用物理内网链接的安全策略；若进程白名单内的进程通过虚拟内网链接发送敏感文件，且此虚拟内网链接没有桥接其他链接，则使用虚拟内网链接的安全策略；若有桥接其他链接，则禁用此虚拟内网链接；
[0037]若进程白名单外的进程通过物理内网链接发送敏感文件，则使用例外进程的物理内网链接的安全策略；若进程白名单外的进程通过虚拟内网链接发送敏感文件，则使用例外进程的虚拟内网链接的安全策略；若通过外网链接发送敏感文件，则被安全策略禁止。
[0038]与现有技术相比，本专利技术的有益效果是：
[0039]本专利技术首先通过策略组管理模块在管理平台上增加针本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.利用网络环境信任程度技术选择数据防泄露策略的方法，其特征在于，包括网络环境信任度感知模块和策略组管理模块，具体步骤如下：步骤一：通过策略组管理模块在管理平台上增加针对不同安全级别的防泄露策略组，所述防泄露策略组包括物理内网安全策略组、物理外网安全策略组、半虚拟内网安全策略组以及全虚拟外网安全策略组；步骤二：通过网络环境信任度感知模块实时监督网络环境的变化情况，具体表现为：在mini
‑
port层检查PC端网络链接是否可以访问网络数据防泄露设备；检查有两种方式，包括：S1：新上线的链接：PC端监控进程监控网络链接池，发现有新建的网络链接时，则记录；判断该网络链接是物理链接还是虚拟链接；判断通过此网络链接是否可以和内网的网络防泄露设备完成握手；根据判断结果标记链接类型；S2：准备外发文件时：判断该进程是否在防泄露策略允许的进程白名单中；判断该网络链接是否途经了可用设备名单中的网络数据防泄露设备；判断外发文件是否包含敏感信息；根据判断结果进行敏感信息外发控制，自动选择适应的防泄露策略，然后根据当前环境更换更适当的防泄露策略。2.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法，其特征在于，所述策略组管理模块的具体工作步骤为：配置单元用于预先配置各种网络环境，所述网络环境包括外网、内网、半虚拟内网以及全虚拟外网；创建单元用于根据用户需求创建若干个不同安全级别的防泄露策略组；编辑单元分别连接配置单元与创建单元，用于分别获取每种网络环境和每个防泄露策略组，并将每种网络环境添加至对应的防泄露策略组中，生成网络环境和防泄露策略组的映射关系表。3.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法，其特征在于，判断通过此网络链接是否可以和内网的网络防泄露设备完成握手的具体过程如下：告知管理平台自身PC的网络链接变化，即当时用到的各个网络链接信息；从管理平台获得网络防泄露设备的GUID号和IP地址；管理平台生成一对临时的非对称加密密钥，一个发给PC端，另一个发给网络防泄露设备；其中非对称加密密钥不定时变更；PC端用接收到的一半密钥对网络防泄露设备的GUID号和IP地址进行加密，并将加密得到的加密密文发给对应IP的网络防泄露设备；该网络防泄露设备接收到...

【专利技术属性】
技术研发人员：张晶，
申请(专利权)人：合肥赛猊腾龙信息技术有限公司，
类型：发明
国别省市：