一种电子文件权限动态适配控管方法,其特征在于具有如下步骤:配置多种权限控管策略;生成并存储具有多个控管策略的控管策略池;解析所述控管策略池中的控管策略,得到权限特征码;获取系统进程中当前运行文件的文件标识码;解析上述文件标识码,得到文件机密属性特征码;适配解析所述权限特征码与文件机密属性特征码:若权限特征码与文件机密属性特征码相匹配,生成文件适配操作码,根据该操作码对文件进行加解密操作;若所述权限特征码与文件机密属性特征码不匹配,得到文件非适配操作。
【技术实现步骤摘要】
本专利技术涉及国际专利主分类号中的G06计算;推算;计数,尤其涉及G06F21/00防止未授权行为的保护计算机或计算机系统的安全装置。
技术介绍
随着电子信息化程度的不断提高,政府、行业和企业越来越多依赖计算机和信息系统,在加强交流、方便沟通的同时也增加了信息非法扩散的风险。人员大量使用移动存储设备、各类重要文件通过电子邮件或即时通讯工具传递,造成有意或无意的数据泄漏越来越多。受到利益驱使,部分内部员工甚至直接参与了重要信息数据的盗取,有关统计显示, 来自内网的信息安全威胁占整个安全威胁的80 %。传统电子文件几乎不受任何权限限制,所有人都能随意的阅读、修改、复制、打印或分发,而这些正是导致信息泄密的主要原因。如何才能有效授权,防止未经授权造成的信息泄密和非法使用呢?目前主要依靠电子文件权限控管系统来实现此功能。通常“文件归档管理只能用操作系统自带的权限控制功能实现,这种文件访问控制一般只能控制到读、写、删除等操作的权限”,这种技术在使用中存在严重缺陷,主要表现在“授权用户一旦拥有了这些权限,就可以不受限制的传播和复制电子文件的内容,或者说,访问者一旦进入了某个文件夹,里面的所有文件都将处于未加密、未授权状态”。即使文件经过保护,这些(如 Word/Excel/PowerPoint、Adobe PDF、WinZip、WinRAR 等)文件的 “合法用户也可以对保护的内容进行复制和扩散”。同时,由于文件都是分布式存放于使用者的个人磁盘上,“一旦拥有授权,就具有了文件的永久使用权限,随时阅读、打印都可以”。 另外,对于很多机密文件,一旦被有相应权限的人获取,就可以被带离公司,如果不加限制, 这些离线的文件就可以被永久使用,相当于彻底失去了保护。所有这些都是造成离线状态下电子文件泄密的隐患。还有一类电子文件权限控管技术,是通过设置关键词,在客户端的电子文件传送至服务端时,经由其设置的关键词进行内容比对,根据比对结果对电子文件自动进行加密和权限分类。比如“条件式电子文件权限控管系统及方法”,申请号200910158055. 4。此类方法在使用中也存在缺陷,主要表现在,其一是“事后利用关键词对电子文件进行扫描”, 其实时性较差;其二是“有条件的关键词搜索,未必能对所有文件的机密性级别做到准确无误的判断”;另外“对在网内所有计算机存储的文件做到及时的判断保护上”也存在漏洞。
技术实现思路
为解决上述现有电子文件中保密策略存在问题,本专利技术提供电子文件权限动态适配控管方法及系统,一种电子文件权限动态适配控管方法,其特征在于具有如下步骤配置多种权限控管策略;生成并存储具有多个控管策略的控管策略池;解析所述控管策略池中的控管策略,得到权限特征码;3获取系统进程中当前运行文件的文件标识码;解析上述文件标识码,得到文件机密属性特征码;在文件机密属性特征码是由内核根据当前文件标识码、可信进程特征码、身份特征码以及权限特征码的分级过滤适配生成的。适配解析所述权限特征码与文件机密属性特征码若权限特征码与文件机密属性特征码相匹配,生成文件适配操作码,根据该操作码对文件进行加解密操作;若所述权限特征码与文件机密属性特征码不匹配,得到文件非适配操作信息。所述控管策略池中包含全局纵向控管策略、全局横向控管策略和多维局部纵向、 横向控管策略;在生成具有多个控管策略的控管策略池步骤前,为每个文件配置权限控管策略和配置文件机密属性的匹配策略。在所述权限特征码与文件机密属性特征码不匹配,得到文件非适配操作信息之后,发出告警,终止文件进程。在判断出权限特征码与文件机密属性特征码相匹配,生成文件适配操作码,根据该操作码对文件进行加解密操作后,将当前的文件机密属性特征码抽象转换成文件标识码写入该文件。存储由预先设定的组织架构信息、针对不同用户设定的多种权限信息和根据组织架构信息和多种权限信息设定的多种权限控管策略的服务器;以及按所述服务器中组织架构信息设定的,接收服务器发出的权限控管策略的客户端;该客户端具有接收并存储由服务器发出的权限控管策略的策略池;解析所述策略池发出的控管策略,得到权限特征码的策略矩阵解析单元;策略矩阵解析是对权限控管、可信进程、身份特征进行级别、时空分析匹配的一种方法,由于每个用户的权限级别和时空状态的不同,故其控管策略是随级别、时空动态变化的。获取系统进程中需要进行授权文件的文件标识码的I/O管理单元;解析所述I/O管理单元获得文件标识码,得到文件机密属性特征码的文件系统过滤单元;适配解析所述权限特征码与文件机密属性特征码若权限特征码与文件机密属性特征码相匹配,生成文件适配操作码,根据该操作码对文件进行加解密操作;若所述权限特征码与文件机密属性特征码不匹配,得到文件非适配操作信息的动态权限适配单元。报警单元,该报警单元在所述权限特征码与文件机密属性特征码不匹配,得到文件非适配操作信息之后,发出告警,终止文件进程。电子文件权限动态适配控管系统继承在Windows、或UNIX、或LINUX操作系统中。 附图说明为了更清楚的说明本专利技术的实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术的流程2为本专利技术的结构3为本专利技术实施例1涉及到的组织架构图具体实施例方式为使本专利技术的实施例的目的、技术方案和优点更加清楚,下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚完整的描述,显然,所描述的实施例是本专利技术的一部分实施例,而不是全部实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术的保护范围。如图1、图2所示,一种电子文件权限动态适配控管方法及系统,作为一个较佳的实施方式,具有至少一台系统管理员控制的服务器和多个具有不同访问权限的客户端。所述服务器主要包含有组织架构信息,即规定不同客户端按规定的组织管理架构分配不同的的权限,以及根据组织架构信息设定的每个客户端的多种权限控管策略。同时设定一名具有所有权限的系统管理员和多名局部管理员,管理员的职责主要有2个,一、针对需要权限控管的文件设定一个文件机密特征码,并且规定该文件机密属性特征码与权限特征码的匹配规则。文件机密属性特征码是由系统内核根据当前文件标识码、可信进程特征码、身份特征码以及权限特征码的分级过滤适配生成的。二、系统管理员由于具有最高的系统操作权限,该系统管理员也负责设定组织架构内部所有的文件、用户的权限控管策略。 本专利技术中所指的权限控管策略,包括赋予不同成员用户针对各种不同的文件操作权限以及访问其他系统成员文件的规则,或者根据特定的文件制定组织架构内不同权限用户的针对该文件的访问、操作规则。文件操作权限包括只读、编辑、删除和无权等不同权限。所述客户端,作为一个较佳的实施方式,分为用户层和内核层。用户层与用户直接交互,其中设有接收并存储从服务器发出的各种权限控管策略的权限控管策略池;该权限控管策略池,也负责存储组织机构中,临时划定的部门、组的局部权限信息,并与服务器端通信,将局部临时组建的部门、组的权限信息上传至服务本文档来自技高网...
【技术保护点】
1.一种电子文件权限动态适配控管方法,其特征在于具有如下步骤:配置多种权限控管策略;生成并存储具有多个控管策略的控管策略池;解析所述控管策略池中的控管策略,得到权限特征码;获取系统进程中当前运行文件的文件标识码;解析上述文件标识码,得到文件机密属性特征码;适配解析所述权限特征码与文件机密属性特征码:若权限特征码与文件机密属性特征码相匹配,生成文件适配操作码,根据该操作码对文件进行加解密操作;若所述权限特征码与文件机密属性特征码不匹配,得到文件非适配操作信息。
【技术特征摘要】
【专利技术属性】
技术研发人员:张建军,高建福,姜真喜,刘恩,
申请(专利权)人:大连佳姆信息安全软件技术有限公司,
类型:发明
国别省市:91
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。