数据处理方法、设备及可读存储介质技术

本申请实施例提供一种数据处理方法、设备及可读存储介质，电子设备获取应用程序的第一进程发送的网络数据包，根据网络数据包的目标网络地址从第一路径和第二路径中确定出目标路径，并确定目标网络地址对应的目标资源的访问权限。之后，根据目标路径和访问权限处理网络数据包。采用该种方案，电子设备按照网络数据包的目标网络地址对流量进行导流，无需修改网络数据包的IP头，实现网络安全防护的同时，实现安全隧道和沙箱网络保护隔离的解耦。实现安全隧道和沙箱网络保护隔离的解耦。实现安全隧道和沙箱网络保护隔离的解耦。

【技术实现步骤摘要】
数据处理方法、设备及可读存储介质


[0001]本申请实施例涉及网络安全
，特别涉及一种数据处理方法、设备及可读存储介质。

技术介绍

[0002]随着互联网技术的飞速发展，网络给人们带来便利的同时，也会带来企业数据泄露等安全问题。
[0003]为了防止企业数据泄露，通过虚拟隔离技术将计算机划分为安全域和个人域。用户在个人域上网，在安全域办公。网络是安全域的重要的数据通信通道，对安全域进行网络防护是企业数据防泄露的重中之重。目前通常采用应用程序接口(Application Program Interface，API)钩子(hook)来对安全域进行防护。
[0004]然而，API hook的防护方案容易出现部分进程漏防现象，导致用户在安全域访问授权网络资源时，部分进程泄露重要数据，防护效果不佳、安全性差。

技术实现思路

[0005]本申请实施例提供一种数据处理方法、设备及可读存储介质，按照网络数据包的目标网络地址对流量进行导流，无需修改网络数据包的IP头，实现网络安全的同时，实现安全隧道和沙箱网络保护隔离的解耦。
[0006]第一方面，本申请实施例提供一种数据处理方法，包括：
[0007]获取第一进程发送的网络数据包；
[0008]根据所述网络数据包的目标网络地址从第一路径和第二路径中确定出目标路径，所述第一路径为经过物理网卡的路径，所述第二路径指向预设的安全隧道；
[0009]确定所述目标网络地址对应的目标资源的访问权限；
[0010]根据所述目标路径和所述访问权限处理所述网络数据包。
[0011]第二方面，本申请实施例提供一种数据处理装置，包括：
[0012]获取模块，用于获取第一进程发送的网络数据包；
[0013]确定模块，用于根据所述网络数据包的目标网络地址从第一路径和第二路径中确定出目标路径，所述第一路径为经过物理网卡的路径，所述第二路径指向预设的安全隧道；
[0014]权限模块，用于确定所述目标网络地址对应的目标资源的访问权限；
[0015]处理模块，用于根据所述目标路径和所述访问权限处理所述网络数据包。
[0016]第三方面，本申请实施例提供一种电子设备，包括：处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时使得所述电子设备实现如上第一方面或第一方面各种可能的实现方式所述的方法。
[0017]第四方面，本申请实施例提供一种非易失性计算机可读存储介质，所述计算机可读存储介质中存储有计算机指令，所述计算机指令在被处理器执行时用于实现如上第一方面或第一方面各种可能的实现方式所述的方法。
[0018]第五方面，本申请实施例提供一种包含计算程序的计算机程序产品，所述计算机程序被处理器执行时实现如上第一方面或第一方面各种可能的实现方式所述的方法。
[0019]本申请实施例提供的数据处理方法、设备及可读存储介质，电子设备获取应用程序的第一进程发送的网络数据包，根据网络数据包的目标网络地址从第一路径和第二路径中确定出目标路径，并确定目标网络地址对应的目标资源的访问权限。之后，根据目标路径和访问权限处理网络数据包。采用该种方案，电子设备按照网络数据包的目标网络地址对流量进行导流，无需修改网络数据包的IP头，实现网络安全防护的同时，实现安全隧道和沙箱网络保护隔离的解耦。
附图说明
[0020]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0021]图1是本申请实施例提供的数据处理方法中电子设备的桌面示意图；
[0022]图2是本申请实施例提供的数据处理方法中沙箱的结构示意图；
[0023]图3是本申请实施例提供的数据处理方法的流程图；
[0024]图4是本申请实施例提供的数据处理方法中第一路径和第二路径的示意图；
[0025]图5是本申请实施例提供的数据包处理方法的另一个流程图；
[0026]图6是本申请实施例提供的数据处理方法中进程间通信的示意图；
[0027]图7为本申请实施例提供的一种数据处理装置的示意图；
[0028]图8为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
[0029]为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。
[0030]企业数据防泄密是网络安全的一个重要组成部分。传统的企业数据防泄密方案主要包括文件透明加解密方案、事前拦截检测方案、事中防护方案、事后审计方案和虚拟云方案等。其中，文件透明加解密方案会带来一些不稳定风险，比如文件损坏、策略配置复杂、兼容性不好等问题，影响办公效率。事前拦截方案和事中防护方案会使得用户在办公过程中感觉到层层拦截，体验感差、工作效率低；对于一些已经泄密出去的核心数据，虽然事后审计方案能够回溯到泄密源，但是已经很难补救了。虚拟云桌面需要硬件、网络设备的投入，成本高。
[0031]鉴于这些问题，业界以零信任理念作为支撑，运用虚拟隔离控制技术，将计算机划分出安全域和个人域，以实现从事前源头开始防止数据泄密。无论是安全域还是个人域，尤其是安全域，网络作为重要的数据通信通道，是企业数据防泄密的重中之重。现阶段采用API hook来做网络防护。但是API hook方案无法对一些系统进程hook，漏掉部分系统进程，同样存在泄密风险。
[0032]另外，目前很多网络防护方案对域名系统(Domain Name System，DNS)流量防护不
当，导致DNS被利用，即利用DNS请求泄密重要数据，网络防护效果不佳。
[0033]基于此，本申请实施例提供一种数据处理方法、设备及可读存储介质，按照网络数据包的目标网络地址对流量进行导流，无需修改网络数据包的IP头，实现网络安全的同时，实现安全隧道和沙箱网络保护隔离的解耦。
[0034]本申请实施例所述的数据处理方法的执行主体为电子设备，该电子设备的操作系统例如为windows系统的设备。电子设备上安装多个应用程序，以下简称程序。该些程序包括电子设备的系统程序和应用程序程序。系统程序例如为电子设备出厂后自带的程序，如视频播放器等。应用程序程序为用户在电子设备上自行安装的程序，如word办公应用程序、即时聊天工具等。电子设备具体可以是台式电脑、笔记本电脑、平板电脑、企业数据防泄露(Endpoint Data Leakage Prevention，EDLP)、零信任网络(Zero
‑
Trust
‑
Architecture，ZTNA)终端等，本申请实施例并不限制。
[0035]本申请实施例中，通过虚拟隔离控制技术在一台电子设备上划分出安全域和个人域，虚拟隔离技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据处理方法，其特征在于，包括：获取第一进程发送的网络数据包；根据所述网络数据包的目标网络地址从第一路径和第二路径中确定出目标路径，所述第一路径为经过物理网卡的路径，所述第二路径指向预设的安全隧道；确定所述目标网络地址对应的目标资源的访问权限；根据所述目标路径和所述访问权限处理所述网络数据包。2.根据权利要求1所述的方法，其特征在于，所述根据所述目标路径和所述访问权限处理所述网络数据包，包括：确定所述第一进程是否为安全进程；当所述第一进程为安全进程时，根据所述访问权限确定所述目标网络地址对应的目标资源是否允许安全进程访问；当所述目标资源允许安全进程访问的资源时，通过所述目标路径发送所述网络数据包；当所述目标资源不允许所述安全进程访问时，丢弃所述网络数据包。3.根据权利要求1所述的方法，其特征在于，还包括：当所述第一进程为非安全进程时，根据所述访问权限确定所述目标网络地址对应的目标资源是否允许非安全进程访问；当所述目标资源允许非安全进程访问的资源时，通过所述目标路径发送所述网络数据包；当所述目标资源不允许所述安全进程访问时，丢弃所述网络数据包。4.根据权利要求1～3任一项所述的方法，其特征在于，所述获取第一进程发送的网络数据包之前，还包括：获取第一配置文件和第二配置文件，所述第一配置文件用于指示资源的网络地址和目标路径的对应关系，所述第二配置文件用于指示资源的访问权限，所述访问权限包括仅允许安全域进程访问、仅允许非安全进程访问、安全进程和非安全进程均可访问。5.根据权利要求1～3任一项所述的方法，其特征在于，还包括：当所述第一进程为非安全进程、所述第一进程发起本地回环的出站请求时，从本地进程中确定出第二进程，当所述第二进程是非安全进程时，建立所述第一进程和所述第二进程之间的连接，当所述第二进程是安全进程时，禁止在所述第一进程和所述第二进程之间建立连接；当所述第一进程为非安全进程、所述第一进程发起非本地回环的出站请求时，确定所述出站请求对应的出站资源是否允许非安全进程访问，当所述出站资源允许非安全进程访问的资源时，建立所述第一进程与所述出站资源之间的连接，当所述出站资源不允许非安全进程访问的资源时，禁止在所述第一进程与所述出站资源之间建立连接。6.根据权利要求1～3任一项所述的方法，其特征在于，还包括...

【专利技术属性】
技术研发人员：王万锋，吕士表，
申请(专利权)人：厦门网宿有限公司，
类型：发明
国别省市：