專利名稱:信息提供方法�、中繼方法、信息保持裝置�、中繼器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及NAS (Network Attached Storage,網(wǎng)絡(luò)附加存儲器)等網(wǎng)絡(luò)存儲器。
背景技術(shù):
NAS等網(wǎng)絡(luò)存儲器的利用正在增加�����。計算機始終與因特網(wǎng)連接的情況也很普遍�。 因此,在大部分的計算機關(guān)閉了 LAN等的期間���,用戶向NAS進(jìn)行文件訪問的情況下����,仍處于 與因特網(wǎng)連接的狀態(tài)�����。
由此�,發(fā)生如下問題,懷有惡意的軟件(以下稱為流氓軟件���,Malware)在非用戶本 意的情況下將存儲于NAS的數(shù)據(jù)公開到因特網(wǎng)上�����。并且�����,還會出現(xiàn)由如下的非本意或不適當(dāng)?shù)牟僮饕鸬膯栴}�,例如�,用戶將因特網(wǎng) 上的實際公開的區(qū)域誤認(rèn)為非公開的作業(yè)區(qū)域,放置重要的數(shù)據(jù)�,或者,將原本不應(yīng)公開的 文件夾設(shè)定為公開狀態(tài)�,在此狀態(tài)下與網(wǎng)絡(luò)連接,等等���。針對上述問題���,比較簡單的解決對策是“直接拔掉LAN線纜”���,但每次都拔掉路由 器等的LAN線纜,比較麻煩���。關(guān)于防止計算機信息泄露的技術(shù)����,存在以下的專利文獻(xiàn)��。專利文獻(xiàn)1 日本特開2003-122615號公報
發(fā)明內(nèi)容
本發(fā)明的目的在于�����,防止因流氓軟件混入到計算機內(nèi)而導(dǎo)致網(wǎng)絡(luò)存儲內(nèi)的信息泄
Mo涉及本實施例的信息提供方法��,其由信息保持裝置執(zhí)行�����,該信息保持裝置存儲信 息��,并經(jīng)由網(wǎng)絡(luò)將該信息提供給信息處理裝置,所述信息提供方法的特征在于�,所述信息提 供方法包括訪問檢測步驟�����,檢測該信息處理裝置對該信息保持裝置內(nèi)的該信息進(jìn)行了訪 問的情況�;以及控制步驟,在該信息處理裝置對信息保持裝置進(jìn)行信息訪問時�����,控制該信息 處理裝置的信息的傳送��。并且�,涉及本實施例的信息提供方法,其特征在于��,在該訪問檢測步驟中�,參照從 該信息處理裝置接收的請求分組,檢測對該信息的訪問��。 并且��,涉及本實施例的信息提供方法����,其特征在于���,在該訪問檢測步驟中,判斷該 信息保持裝置所存儲的該信息的屬性���。并且��,涉及本實施例的信息提供方法����,其特征在于�����,在該文件訪問檢測步驟中�,根 據(jù)該信息所保持的標(biāo)志來判斷該信息的屬性。并且�����,涉及本實施例的信息提供方法�,其特征在于,在該控制步驟中��,根據(jù)在該訪 問檢測步驟中判斷出的該信息的屬性,控制該信息處理裝置的該信息的傳送����。并且,涉及本實施例的信息提供方法�,其特征在于����,在該控制步驟中,對進(jìn)行該網(wǎng) 絡(luò)中繼的中繼器控制該信息的傳送�����。并且�����,涉及本實施例的中繼方法���,其由中繼器執(zhí)行���,該中繼器將包括信息處理裝置和信息保持裝置的網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接,所述中繼方法的特征在于��,所述中繼方法包括訪 問管理步驟,管理該信息處理裝置對該信息保持裝置的訪問狀況�;以及外部訪問控制步驟, 根據(jù)在該訪問管理步驟中管理的該訪問狀況�����,禁止從該信息處理裝置向該外部網(wǎng)絡(luò)傳送該 fn息ο并且�,涉及本實施例的中繼方法,其特征在于�����,在該訪問管理步驟中���,從該信息保 持裝置取得該訪問狀況�����。并且��,涉及本實施例的中繼方法���,其特征在于,在該訪問管理步驟中����,對在該外部 訪問控制步驟中禁止從該信息處理裝置向該外部網(wǎng)絡(luò)傳送該信息的時間進(jìn)行管理���。并且,涉及本實施例的中繼方法����,其特征在于,所述中繼方法還包括檢測該信息處 理裝置與該外部網(wǎng)絡(luò)之間的連接的外部訪問檢測步驟�。本發(fā)明的目的在于�����,通過在對網(wǎng)絡(luò)存儲器進(jìn)行文件訪問時禁止訪問外部網(wǎng)絡(luò)�����,從 而防止因流氓軟件類的混入導(dǎo)致網(wǎng)絡(luò)存儲器中的信息泄露�����。
圖1是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)100的結(jié)構(gòu)圖���。圖2是涉及本實施例的路由器103和NAS104的概要圖�。圖3是涉及本實施例的BadPCList (惡意個人計算機列表)203。圖4是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)400的結(jié)構(gòu)圖�。圖5是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)500的結(jié)構(gòu)圖。圖6是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)600的結(jié)構(gòu)圖���。圖7是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)700的結(jié)構(gòu)圖��。圖8是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)800的結(jié)構(gòu)圖�����。圖9是涉及本實施例的NAS的打開處理的流程圖�����。圖10是涉及本實施例的NAS104的關(guān)閉處理的流程圖�����。圖11是涉及本實施例的路由器103進(jìn)行的計數(shù)處理的流程圖���。圖12是涉及本實施例的路由器103進(jìn)行的分組傳送處理的流程圖。圖13是涉及本實施例的NAS104的硬件框圖����。圖14是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)100的結(jié)構(gòu)圖�����。圖15是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)100的結(jié)構(gòu)圖����。標(biāo)記說明100網(wǎng)絡(luò)存儲系統(tǒng)����;101個人計算機;102個人計算機����;103路由器����;104NAS ;105夕卜 部網(wǎng)絡(luò)����;106文件訪問監(jiān)視部;107系統(tǒng)控制部�;108外部訪問控制部;201文件夾�;202文件 夾���;203BadPCList
具體實施例方式本實施例中的網(wǎng)絡(luò)存儲系統(tǒng)是指,多個個人計算機和NAS通過LAN連接�����,LAN外部 的網(wǎng)絡(luò)與個人計算機經(jīng)由路由器連接的系統(tǒng)�����。并且�����,個人計算機經(jīng)由LAN訪問文件��,經(jīng)由路 由器訪問因特網(wǎng)����。本實施例中的NAS控制存儲于NAS的數(shù)據(jù),使其不會在違背用戶本意的 情況下流出到因特網(wǎng)上���。
作為存儲于NAS的數(shù)據(jù)流出到因特網(wǎng)上的情況����,問題比較大的是由流氓軟件引起 的情況。流氓軟件在違背用戶本意的情況下向因特網(wǎng)上流出數(shù)據(jù)的途徑有如下幾種情況�����?�!ち髅ボ浖?yīng)保密的文件夾設(shè)定為文件共享文件夾的公開文件夾����。·流氓軟件將應(yīng)保密的文件復(fù)制到公開文件夾中���?�!ち髅ボ浖凑辗怯脩舯疽獾亩〞r將應(yīng)保密的文件作為郵件傳送����。針對這些問題的現(xiàn)有對策如下�����?�!€人計算機通過病毒軟件檢測“流氓軟件”�����?��!€人計算機通過軟件防火墻切斷從外部向個人計算機的網(wǎng)絡(luò)連接�?��!€人計算機通過物理性防火墻監(jiān)視重要數(shù)據(jù)的流失�。但是�����,上述1.的對策對新型病毒的應(yīng)對緩慢��。對最先或初期感染“懷有惡意的軟 件”的個人計算機不能發(fā)揮作用��。對于上述2.的對策��,在先開始了工作的“懷有惡意的軟件”從內(nèi)部訪問外部的情 況下�����,很難被檢測到。上述3.的對策是指����,SPAM郵件的對策或由管理員監(jiān)視web訪問的技術(shù)。具體是 指�����,當(dāng)從外部網(wǎng)絡(luò)進(jìn)入的���、或者與外部網(wǎng)絡(luò)之間收發(fā)的數(shù)據(jù)中存在與業(yè)務(wù)無關(guān)的詞或表述 時���,發(fā)送方或中繼地點可疑時,將其視為不當(dāng)數(shù)據(jù)��。如果需防止泄露的重要數(shù)據(jù)固定且模式 也已確定����,則可以延用該技術(shù)。即����,只要能夠?qū)⒄J(rèn)為是業(yè)務(wù)上重要的詞或表述作為固定模式 選出,則當(dāng)包含該詞或表述的數(shù)據(jù)要被傳送到外部時����,禁止該數(shù)據(jù)發(fā)送。但是��,就像防火墻很難僅根據(jù)業(yè)務(wù)上無關(guān)的詞或表述來機械地區(qū)分異?���;蛘D?樣,使用作為禁止數(shù)據(jù)發(fā)送的關(guān)鍵的詞或表述來進(jìn)行檢測也是很難的����。因此,用戶也只能使 用防火墻的日志數(shù)據(jù)�,在事情發(fā)生之后進(jìn)行處理。本實施例中的NAS經(jīng)由網(wǎng)絡(luò)與個人計算機連接���。并且�,該NAS由文件訪問檢測部 和系統(tǒng)控制部構(gòu)成�,該文件訪問檢測部檢測從該個人計算機向該網(wǎng)絡(luò)存儲器的文件訪問, 該系統(tǒng)控制部根據(jù)檢測到的文件訪問��,對該個人計算機與外部網(wǎng)絡(luò)之間的連接的切斷進(jìn)行 控制�����。由此,信息處理裝置正在對NAS進(jìn)行文件訪問時���,通過將信息處理裝置和外部網(wǎng)絡(luò)切 斷����,從而能夠防止存儲于NAS的數(shù)據(jù)流出到外部網(wǎng)絡(luò)��。[網(wǎng)絡(luò)存儲系統(tǒng)100]下面��,使用圖1���,說明涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)100�����。圖1是涉及本實施例的 網(wǎng)絡(luò)存儲系統(tǒng)100的結(jié)構(gòu)圖�����。網(wǎng)絡(luò)存儲系統(tǒng)100由個人計算機101�����、102�、路由器103、網(wǎng)絡(luò)存儲器(以下�����、稱作NAS0 ) 104構(gòu)成��。網(wǎng)絡(luò)存儲系統(tǒng)100經(jīng)由路由器103與外部網(wǎng)絡(luò)105連接����。并且��,NAS104由 文件訪問監(jiān)視部106�、系統(tǒng)控制部107、文件訪問控制部110構(gòu)成�����。搭載在NAS104上的文件 訪問監(jiān)視部106���、系統(tǒng)控制部107����、文件訪問控制部110是新功能�����,是本實施例的NAS104的 特征。而且�,路由器103具有外部訪問控制部108、外部訪問監(jiān)視部109�。外部訪問控制部 108、外部訪問監(jiān)視部109與文件訪問監(jiān)視部106�����、系統(tǒng)控制部107�����、文件訪問控制部110協(xié) 作而工作�����,是本實施例的路由器103的特征��。另外�����,文件訪問監(jiān)視部106����、系統(tǒng)控制部107�、 文件訪問控制部110也可以設(shè)置于NAS104外部���。并且����,本實施例中��,個人計算機101對NAS104進(jìn)行文件訪問��。流氓軟件將NAS104的數(shù)據(jù)(文件�、文件夾等)公開到因特網(wǎng)上的情況下����,經(jīng)由對NAS104進(jìn)行文件訪問的個人 計算機101,向外部網(wǎng)絡(luò)105流出數(shù)據(jù)��。在發(fā)生了對指定文件夾進(jìn)行文件訪問的情況時��,NAS104對路由器103的外部訪問 控制部108進(jìn)行控制����。指定文件夾是指����,用戶預(yù)先指定為應(yīng)保密的文件夾的文件夾����。存儲 于NAS104的文件夾具有表示該文件夾是否為保密對象的標(biāo)志。在涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)100中���,個人計算機101正在對保密文件進(jìn)行編 輯時����,NAS104禁止個人計算機101訪問外部網(wǎng)絡(luò)105���。由此�,網(wǎng)絡(luò)存儲系統(tǒng)100能夠防止因 流氓軟件而導(dǎo)致存儲于NAS104的保密文件流出���。另外���,可以從其他個人計算機102參照因特網(wǎng),個人計算機101與個人計算機102 之間也可以在LAN內(nèi)相互訪問數(shù)據(jù)��。外部網(wǎng)絡(luò)105與個人計算機101、102之間的連接控制 不限于通過路由器103的控制來實現(xiàn)��。[NAS104]本實施例中的NAS104�,除了具有文件服務(wù)器功能之外,還具有控制路由器103的 功能���。并且����,路由器103通過外部訪問控制部108控制從個人計算機101向外部網(wǎng)絡(luò)105 的通信�����。NAS104具有文件夾��、文件�。文件可以在文件夾內(nèi)����,也可以在與文件夾相同的層內(nèi)。 文件訪問監(jiān)視部106檢測個人計算機101��、102的文件訪問����。本實施例中�,文件訪問監(jiān)視部 106檢測與個人計算機101�、102的文件訪問有關(guān)的api (ApplicationProgramlnterface,應(yīng) 用程序接口)��,從而檢測個人計算機101�、102的文件訪問。api是指規(guī)定了軟件在程序上的 手續(xù)的協(xié)議的集合����。文件訪問監(jiān)視部106檢測到個人計算機101、102訪問文件時����,將訪問請求方(個 人計算機101、102)的MAC地址��、IP地址通知給系統(tǒng)控制部107����。系統(tǒng)控制部107根據(jù)從文件訪問監(jiān)視部106接收的信息(MAC地址、IP地址)��,控 制路由器103所具有的外部訪問控制部108�����。外部訪問控制部108根據(jù)來自系統(tǒng)控制部107的指示,切斷個人計算機101����、102 向外部網(wǎng)絡(luò)105的訪問。并且�,外部訪問控制部108也可以采用使個人計算機101、102向 外部網(wǎng)絡(luò)105的訪問延遲的結(jié)構(gòu)�。例如,假設(shè)流氓軟件要將原本應(yīng)被保密的文件(表示保密的標(biāo)志為有效的文件) 以郵件等方式發(fā)送到外部網(wǎng)絡(luò)105�。本實施例中的NAS104在流氓軟件讀出保密文件的時 亥IJ,禁止讀出了保密文件的個人計算機(存在流氓軟件的個人計算機)與外部網(wǎng)絡(luò)105之 間的訪問�。由此,個人計算機進(jìn)行的保密文件的數(shù)據(jù)發(fā)送失敗�����,能夠防止信息泄露����。并且���,訪問控制部105禁止個人計算機與外部網(wǎng)絡(luò)105之間的訪問�����,由此訪問控制 部105還將個人計算機正在進(jìn)行正規(guī)作業(yè)的�����、與外部網(wǎng)絡(luò)105之間的通信一律禁止��。個人 計算機的用戶認(rèn)識到系統(tǒng)工作不穩(wěn)定并進(jìn)行調(diào)查��,從而成為該用戶察覺到存在流氓軟件的 關(guān)鍵�����。根據(jù)本實施例的網(wǎng)絡(luò)存儲系統(tǒng)100�,用戶能夠盡早發(fā)現(xiàn)流氓軟件的混入,能夠防止二 次危害����、危害的擴(kuò)大。因此�����,進(jìn)行在個人計算機正在對網(wǎng)絡(luò)存儲器進(jìn)行文件訪問時切斷與外部網(wǎng)絡(luò)的文件訪問的控制�,從而能夠防止因流氓軟件引起的信息泄露�。[路由器103與NAS104的協(xié)作功能]
圖2是涉及本實施例的路由器103和NAS104的概略圖�。詳細(xì)說明涉及本實施例的路由器103與NAS104的協(xié)作。圖2示出路由器103和 NAS104�����,該路由器103和NAS104與圖1所示的相同�����。并且�����,在圖2中�,雖然未圖示搭載在 NAS104上的文件訪問控制部106、系統(tǒng)控制部107��,但圖2的NAS104也具有該功能�����。路由器103除外部訪問控制部108之外�,還具有BadPCList203���。圖3是BadPCList203 的具體例��。路由器103通過軟件實行如下功能����。路由器103所具有的功能之一是管理 BadPCList203,判斷允許還是拒絕各個個人計算機101��、102與外部網(wǎng)絡(luò)105之間的通信的 功能��。并且�,路由器103所具有的功能之一是更新BadPCList203的功能。此外����,路由器103 所具有的功能之一是指如下的控制邏輯功能,當(dāng)IP分組的發(fā)送方IP地址����、MAC地址存在于 BadPCList203中,判斷為拒絕IP分組的發(fā)送方(個人計算機)向外部網(wǎng)絡(luò)105的通信���,且 IP分組的接收方是外部網(wǎng)絡(luò)105的情況下�,將該分組丟棄��。另外,路由器103還具有如下 功能�����,通過分組的IP地址�����、MAC地址����,判斷分組的發(fā)送方和接收方是內(nèi)部LAN還是外部網(wǎng)絡(luò) 105。[BadPCList203]圖3是涉及本實施例的BadPCList203����。BadPCList203由存在于LAN內(nèi)的個人計算機101、102的IP地址301�、MAC地址 302、in_use303����、BTL304、protect (保護(hù))標(biāo)志 305���、0CN306 構(gòu)成�。in_use303是表示拒絕訪問的因素個數(shù)的計數(shù)器�����。BTL304是表示到允許個人計算機101�����、102訪問外部網(wǎng)絡(luò)105為止的時間的向下計數(shù)器���。protect標(biāo)志305與請求連接外部網(wǎng)絡(luò)105的各個人計算機101����、102對應(yīng)地保持 拒絕訪問外部網(wǎng)絡(luò)的狀態(tài)�����。0CN306是表示到允許個人計算機101��、102訪問嫩5104為止的時間的向下計數(shù)器�����。 0CN306是在每次發(fā)生個人計算機101���、102與外部網(wǎng)絡(luò)105之間的通信時��,設(shè)定預(yù)定值(例 如20)的計數(shù)器�����。路由器103在發(fā)生拒絕個人計算機101��、102與外部網(wǎng)絡(luò)105之間的訪問的因素 時�����,對in_uSe303進(jìn)行向上計數(shù)�。具體地說,拒絕個人計算機101����、102與外部網(wǎng)絡(luò)105之間 的訪問的因素在于個人計算機101、102訪問了 NAS104的指定文件夾���。若路由器103判斷為拒絕個人計算機101����、102與外部網(wǎng)絡(luò)105之間的訪問的因素 消除,則路由器103對in_uSe303進(jìn)行向下計數(shù)��。另外�����,in_use303的初始值為0�����。in_use303的值不為“0”�����,表示存在拒絕個人計算機101����、102與外部網(wǎng)絡(luò)105之間 的訪問的因素��,所以路由器103將protect標(biāo)志305設(shè)為“protect = true”����。并且,路由器 103將BTL304的值設(shè)定為規(guī)定值(例如32)���。若路由器103將in_uSe303設(shè)為“0”(即����,應(yīng)拒絕個人計算機101、102與外部網(wǎng)絡(luò) 105之間的訪問的因素消除)����,路由器103以一定時間間隔(例如1秒),對BTL304的值進(jìn) 行向下計數(shù)���。若路由器103對BTL304進(jìn)行向下計數(shù)�����,將BTL304的值設(shè)為“0”����,則停止向下 計數(shù)�,并將protect標(biāo)志305從“true”設(shè)為“false”。由此���,與“protect = false”對應(yīng)的 個人計算機可向外部網(wǎng)絡(luò)105進(jìn)行通信�。
并且�����,在本實施例中,路由器103對0CN306也以與BTL304相同的時間間隔(例如1秒)進(jìn)行向下計數(shù)����,若為“0”,則停止向下計數(shù)��。當(dāng)然����,0CN306和BTL304中的向下計數(shù)的 時間間隔不限于相同�。路由器103對0CN306設(shè)定的值也可以通過個人計算機101、102和外部網(wǎng)絡(luò)105 之間的通信協(xié)議(端口號)而改變���。該情況下���,路由器103進(jìn)行控制,使得比0CN306所保 持的值小的值不會寫入到0CN306����。并且,本實施例中����,BadPCList203是通過搭載在路由器103上的軟件進(jìn)行管理的 表�,但不限于此��。也可以通過在路由器103中安裝GateArray等硬件來實現(xiàn)BadPCList203�。另外,鑒于以上情況���,BadPCList203表示如下情況�。IP地址為“192. 168. 3. 32”的 個人計算機101被允許訪問外部網(wǎng)絡(luò)(protect = false)����,但其只在LAN內(nèi)進(jìn)行通信(0CN =0)。另一方面�,IP地址為“192. 168. 3. 33”的個人計算機102因2種因素被禁止與外部 網(wǎng)絡(luò)105進(jìn)行通信。此外�,IP地址為“192. 168. 3. 34”的個人計算機在(20-15 = )5秒前 與外部網(wǎng)絡(luò)105進(jìn)行了通信。[NAS104 的功能]接著���,詳細(xì)說明涉及本實施例的NAS104所具有的功能�。NAS104針對LAN內(nèi)的個人計算機101�����、102公開的每個文件夾具有Hide標(biāo)志和 Open標(biāo)志。更具體地說����,本實施例中的NAS104具有文件夾201、202���。并且����,各個文件夾201�����、 202分別具有Hide標(biāo)志和Open標(biāo)志����。文件夾201的Hide標(biāo)志為“ true ”�����,Open標(biāo)志為 “false”��。文件夾 202 的 Hide 標(biāo)志為 “false”�,Open 標(biāo)志為 “true�,��,���。Hide標(biāo)志的“true”表示文件夾201中的文件是應(yīng)對外部網(wǎng)絡(luò)105保密的保密文 件�。Hide標(biāo)志的“false”表示文件夾202中的文件是可向外部網(wǎng)絡(luò)105公開的文件���。艮口����, Hide標(biāo)志是表示具有該Hide標(biāo)志的文件夾中存在的文件是否是保密文件的信息�。并且, NAS104參照文件夾201����、202的Hide標(biāo)志,判斷文件夾201��、202內(nèi)的文件是否是保密文件��。Open標(biāo)志的“true”表示文件夾202內(nèi)的某一文件正在被讀出(讀寫)��。Open標(biāo) 志的“false”表示文件夾201內(nèi)的任何文件均未被讀出(讀寫)�����。文件夾201、202針對訪 問方的每個個人計算機具有Open標(biāo)志(未圖示�����。作為代表�����,僅記載與個人計算機101對應(yīng) 的Open標(biāo)志)οHide標(biāo)志���、Open標(biāo)志也可以沿用文件系統(tǒng)原本持有的標(biāo)志�����。例如,有若是Unix系 的文件系統(tǒng)�,“當(dāng)不允許Other用戶讀出時,看作Hide = true”;若是FAT文件系統(tǒng)�����,“具有 Hidden屬性時����,看作Hide = true”等的方法�����。并且���,對于Open標(biāo)志,由于大部分的文件系 統(tǒng)具有表示被打開的次數(shù)的計數(shù)器或表示正在被安裝的標(biāo)志��,所以將該機構(gòu)與下述b2的 機構(gòu)組合��,對訪問方的每個個人計算機進(jìn)行管理�。并且,NAS104具有根據(jù)IP地址或MAC地址來確定訪問了 NAS104的個人計算機的 功能���。作為安裝方法的一個例子����,由于向NAS104的請求經(jīng)由網(wǎng)絡(luò)送達(dá)���,所以能夠從該請 求分組取得請求方的IP地址或MAC地址����。將該地址直接作為附加信息附加到對文件系統(tǒng) 的請求模塊中即可。另外�����,也可以在將文件系統(tǒng)中的處理結(jié)果發(fā)送給請求方的個人計算機 時��,取得接收方的IP地址/MAC地址(訪問請求方的個人計算機的IP地址/MAC地址)�����。
若NAS104檢測到在Hide標(biāo)志為“true”的文件夾201中Open標(biāo)志的文件夾從“false”變?yōu)椤皌rue”����,則對訪問方的個人計算機101、即所取得的IP地址/MAC地址的 BadPCLi st203�����,向上計數(shù) in_use�。NAS104將protect標(biāo)志305的值設(shè)定為“true”,并且將BTL304的值設(shè)定為規(guī)定 值(例如32)���。NAS104將Open標(biāo)志從“true”改為“false”時,NAS104對對應(yīng)的in_use進(jìn) 行向下計數(shù)���。由此���,路由器103在個人計算機101正在訪問保密文件夾的期間�、以及訪問結(jié)束后 的一定時間(32秒)的期間�,禁止訪問方的個人計算機101對外部網(wǎng)絡(luò)105的數(shù)據(jù)通信。禁止訪問期間(BTL304�����、0CN306)不會使用戶的通常作業(yè)受到影響�����。例如��,在禁止 訪問期間��,用戶仍可以一邊讀寫郵件�,一邊讀寫應(yīng)保密的文件夾的數(shù)據(jù)。另一方面����,流氓軟 件這類軟件的網(wǎng)絡(luò)訪問被禁止,能夠防止信息流出的危害。此外�����,對通信模塊化的日志�����、錯 誤信息在每次流氓軟件工作時發(fā)出警告�����。因此��,用戶能夠盡早發(fā)現(xiàn)流氓軟件�。另外,該路由器103無需具有NAT功能��、DHCP功能����。因此,路由器103能夠通過分 組的接收方��、發(fā)送方的IP/MAC的地址檢測和轉(zhuǎn)換來實現(xiàn)��。因此,路由器103與開關(guān)集線器 (switching HUB)程度相同���,也容易硬件化。[外部訪問監(jiān)視部109]接著�,說明路由器103所搭載的新功能,S卩外部訪問監(jiān)視部109�。外部訪問監(jiān)視部109的功能在于,監(jiān)視個人計算機101�����、102與外部網(wǎng)絡(luò)105之間 的連接狀況�����。個人計算機101����、102訪問外部網(wǎng)絡(luò)105時,NAS104禁止訪問外部網(wǎng)絡(luò)105的個人 計算機101����、102訪問文件。換言之�,路由器103從LAN內(nèi)的個人計算機101�、102收到了訪 問外部網(wǎng)絡(luò)105的請求時�,在之后一定時間,NAS104將請求了訪問外部網(wǎng)絡(luò)105的個人計 算機101���、102對NAS104內(nèi)文件夾的讀取設(shè)為錯誤����。由此�����,當(dāng)個人計算機101�����、102因流氓軟件的工作而嘗試連接外部網(wǎng)絡(luò)105時�����, NAS104禁止個人計算機101����、102訪問保密文件(存儲于NAS104內(nèi)的保密文件),從而防止
數(shù)據(jù)流出�����。具體地說,若外部訪問監(jiān)視部109檢測到個人計算機101��、102訪問了外部網(wǎng)絡(luò) 105�,則設(shè)定 BadPCList203 的 0CN306 的值�。外部訪問監(jiān)視部109考慮個人計算機101、102與外部網(wǎng)絡(luò)105之間的收發(fā)中利 用的網(wǎng)絡(luò)協(xié)議等����,設(shè)定0CN306的值。例如個人計算機101���、102利用SMTP(Simple Mail Transfer protocol�����,簡單郵件傳輸協(xié)議)與外部網(wǎng)絡(luò)105進(jìn)行收發(fā)的情況下�,外部訪問監(jiān) 視部109將0CN306的值設(shè)定為“30”��。個人計算機101����、102利用HTTP (Hyper text Transfer Protocol��,超文本傳輸協(xié)議)與外部網(wǎng)絡(luò)105進(jìn)行收發(fā)的情況下���,外部訪問監(jiān)視部109將 0CN306 的值設(shè)定為 “10”。并且�����,個人計算機 101�、102 利用 FTP (File Transfer Protocol, 文件傳輸協(xié)議)與外部網(wǎng)絡(luò)105進(jìn)行收發(fā)的情況下,外部訪問監(jiān)視部109將0CN306的值設(shè) 定為“40”�����。即����,個人計算機101、102發(fā)送郵件或傳送文件的情況����,相比于個人計算機101、 102訪問網(wǎng)頁的情況��,禁止訪問NAS104的期間設(shè)定得更長����。這是因為��,對于流氓軟件導(dǎo)致保 密文件的流出可能性高的�����、對外部網(wǎng)絡(luò)105的訪問�����,禁止訪問期間要長。另外�����,外部訪問監(jiān)視部109也可以通過如下方式來實現(xiàn)�����,即��,路由器103與防火墻協(xié)作��,監(jiān)視個人計算機101��、102與外部網(wǎng)絡(luò)105之間的通信。[文件訪問控制部110]并且����,NAS104具有文件訪問控制部110。文件訪問控制部110的功能在于��,禁止LAN內(nèi)的個人計算機101�、102向可公開的文件夾進(jìn)行訪問,或使訪問延遲一定時間���。文件訪問控制部110根據(jù)來自路由器103的外部訪問監(jiān)視部109的信息進(jìn)行工 作��。更具體地說����,系統(tǒng)控制部107取得路由器103的外部訪問監(jiān)視部109的訪問檢測結(jié)果��。 并且����,系統(tǒng)控制部107根據(jù)從外部訪問監(jiān)視部109取得的訪問信息,對文件訪問控制部110 發(fā)出工作指示�����。文件訪問控制部110根據(jù)來自系統(tǒng)控制部107的指示,控制個人計算機101����、 102向NAS104的訪問。并且�����,如上所述��,外部訪問監(jiān)視部109設(shè)定0CN306的值����。系統(tǒng)控制部107根據(jù) 0CN306的值����,對文件訪問控制部110發(fā)出工作指示。文件訪問控制部110允許0CN306的 值為“0”的個人計算機訪問NAS104��。并且�,文件訪問控制部110禁止0CN306的值不為“0” 的個人計算機訪問NAS104。系統(tǒng)控制部107判斷Hide標(biāo)志為“true”的文件夾�。文件訪問監(jiān)視部104監(jiān)視 Open標(biāo)志。若文件訪問監(jiān)視部104檢測到Open標(biāo)志由“false”變?yōu)椤皌rue”,則系統(tǒng)控制 部107取得與改變的Open標(biāo)志對應(yīng)的個人計算機的0CN306���。并且��,系統(tǒng)控制部107判斷出 所取得的0CN306的Hide標(biāo)志為“true”的情況下�����,向文件訪問控制部110通知0CN306����。在文件訪問控制部110判斷出0CN306的值不為“0”的情況下�,文件訪問控制部 100對文件訪問請求輸出錯誤。即�,文件訪問控制部110禁止0CN306的值不為“0”的個人 計算機進(jìn)行文件訪問。[網(wǎng)絡(luò)存儲系統(tǒng)400]圖4是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)400的結(jié)構(gòu)圖���。網(wǎng)絡(luò)存儲系統(tǒng)400由個人計算機401�、402��、防火墻403��、NAS404構(gòu)成�。網(wǎng)絡(luò)存儲系 統(tǒng)400經(jīng)由防火墻403與外部網(wǎng)絡(luò)105連接。防火墻403具有分組監(jiān)視部406、特征模式詞 典409����。并且,NAS404具有特征模式生成部407�、登記功能408。NAS404可對每個文件進(jìn)行是否是保密文件的管理�。特征圖像生成部407對每個保 密文件生成特征模式。并且����,登記功能408將特征模式生成部407生成的特征模式登記到 特征模式詞典409中。特征模式表示文件是否是保密文件�����。特征模式生成部407例如根據(jù) 保密文件的文件名·文件內(nèi)容生成特征模式��。分組監(jiān)視部406監(jiān)視LAN內(nèi)的個人計算機401�、402向外部網(wǎng)絡(luò)405的傳送分組���, 判斷該傳送分組內(nèi)是否存在特征模式��。在防火墻403接收了傳送分組的情況下�,分組監(jiān)視 部406訪問特征模式詞典409。分組監(jiān)視部406判斷出傳送分組內(nèi)存在登記到特征模式詞 典409中的特征模式的情況下�,外部訪問控制部410禁止將傳送分組發(fā)送到外部網(wǎng)絡(luò)105。由此���,涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)400能夠使用特征模式�����,對防火墻403指定保 密文件����,能夠防止保密文件流出到外部網(wǎng)絡(luò)405�����。并且��,本實施例中的網(wǎng)絡(luò)存儲系統(tǒng)400��,即 使在流氓軟件將保密文件復(fù)制到公開文件夾中的情況下�,也能夠防止保密文件流出到外部 網(wǎng)絡(luò)405。并且�����,特征模式生成部407工作的關(guān)鍵為例如下述a、b����、c的任意一種,或它們的組
合O
a. NAS404的用戶對特征模式生成部407進(jìn)行起動指示����。b.在預(yù)先指定的時間,定期起動特征模式生成部407��。c.根據(jù)對文件的寫入�����、更新�,起動模式生成部407。并且��,在特征模式生成部407中�����,NAS404對發(fā)生了變更的文件中存在的特征模式進(jìn)行計算�����。因此����,防火墻403能夠?qū)崟r監(jiān)視傳送分組內(nèi)有無特征模式。另外����,特征模式生成部407的起動觸發(fā)器,可以沿用對搭載在NAS404上的文件系 統(tǒng)���、操作系統(tǒng)的文件更新��、制作進(jìn)行通知的功能來實現(xiàn)�����。像這樣��,本實施例中的網(wǎng)絡(luò)存儲400能夠防止NAS404的特定文件夾(protect標(biāo) 志為“true”)中存在的文件�、對該文件進(jìn)行了改變的文件��、或者數(shù)據(jù)流出到外部網(wǎng)絡(luò)405����。 下面將對protect標(biāo)志進(jìn)行追加說明����。本實施例中的網(wǎng)絡(luò)存儲系統(tǒng)400禁止將具有特征模式的傳送分組發(fā)送到外部網(wǎng) 絡(luò)105��。因此����,涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)400,即使在保密文件存在于不是保護(hù)對象的 文件夾的情況下�����,也能夠防止保密文件流出到外部網(wǎng)絡(luò)405��。[網(wǎng)絡(luò)存儲系統(tǒng)500]圖5是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)500的結(jié)構(gòu)圖���。網(wǎng)絡(luò)存儲系統(tǒng)500由個人計算機501����、502���、路由器503���、NAS504構(gòu)成����。網(wǎng)絡(luò)存儲系 統(tǒng)500經(jīng)由路由器503與外部網(wǎng)絡(luò)505連接���。并且,路由器503具有外部訪問控制部503����。 NAS504具有文件訪問監(jiān)視部507、系統(tǒng)控制部508���、特征模式生成部509�、特征模式詞典510�����、 文件檢索部511�。本實施例中的網(wǎng)絡(luò)存儲系統(tǒng)500是隨時檢測保密文件中的特征模式、隨時更新有 無訪問保密文件的系統(tǒng)�����。并且���,本實施例中的網(wǎng)絡(luò)存儲系統(tǒng)500禁止對保密文件進(jìn)行文件 訪問的個人計算機訪問外部網(wǎng)絡(luò)505���。由此��,網(wǎng)絡(luò)存儲系統(tǒng)500也能夠防止因流氓軟件導(dǎo)致 保密文件流出��。下面�����,說明網(wǎng)絡(luò)存儲系統(tǒng)500的工作���。個人計算機501、502對NAS504進(jìn)行文件訪問��。若個人計算機501�、502更新保密文 件,則特征模式生成部509起動����。特征模式生成部509生成被更新的保密文件的特征模式。 特征模式生成部407根據(jù)文件名·文件內(nèi)容生成特征模式�。并且,特征模式生成部509將 生成的特征模式登記到特征模式詞典510中,并且向文件檢索部511通知所生成的特征模 式���。文件檢索部511判斷存在于NAS504的所有文件夾內(nèi)是否存在所通知的特征模式���。文 件檢索部511檢測到包含所生成的特征模式的文件夾、文件的情況下��,追加功能512將檢測 到的文件作為文件訪問監(jiān)視部507的新監(jiān)視對象來追加�����。文件訪問監(jiān)視部507對成為新監(jiān) 視對象的文件夾�����、文件以及已成為監(jiān)視對象的文件夾��、文件�����,監(jiān)視來自個人計算機501�����、502 的文件訪問�。本實施例中的網(wǎng)絡(luò)存儲系統(tǒng)500從NAS504內(nèi)的指定文件夾(protect標(biāo)志為 “ true”)以外的文件夾、個人計算機501����、502或NAS504的公開文件夾檢索特征模式。并且���,NAS504具有與個人計算機上的軟件協(xié)作���,在個人計算機上的所有文件夾內(nèi) 檢索特征模式的功能,NAS504也可以進(jìn)行如下a�����、b的任意一個或雙方的動作�。a.禁止將發(fā)現(xiàn)了特征模式的文件或文件夾發(fā)送到外部網(wǎng)絡(luò)505。b.將新檢測到特征模式的文件或文件夾通知給個人計算機�����。
由此���,涉及本實施例中的網(wǎng)絡(luò)存儲系統(tǒng)500�����,即使在保密文件被復(fù)制到不被保護(hù)的 文件夾的情況下����,也能夠防止保密文件流出到外部網(wǎng)絡(luò)505。并且�����,涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)500將被復(fù)制到不被保護(hù)的文件夾中的保密 文件追加為監(jiān)視對象�。因此��,能夠減少因用戶的無意操作導(dǎo)致保密文件流出到外部網(wǎng)絡(luò) 505��。并且�����,涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)500中�����,若用戶指定應(yīng)保護(hù)的文件夾�����,則對存 在于該文件夾的文件的復(fù)本也設(shè)定為保護(hù)對象。因此���,網(wǎng)絡(luò)存儲系統(tǒng)500能夠防止用戶看 漏的NAS504的文件保護(hù)漏洞��。[網(wǎng)絡(luò)存儲系統(tǒng)600]圖6是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)600的結(jié)構(gòu)圖�����。接著說明涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)600�����。網(wǎng)絡(luò)存儲系統(tǒng)600由個人計算機601���、外部網(wǎng)絡(luò)602構(gòu)成。個人計算機601由LAN 端口 603��、網(wǎng)絡(luò)訪問控制部604���、系統(tǒng)控制部605�����、文件訪問監(jiān)視部606�����、內(nèi)置磁盤607構(gòu)成�。 個人計算機601具有在個人計算機601上工作的防火墻軟件。內(nèi)置磁盤607中存儲有保密文件夾�����、保密文件�。文件訪問監(jiān)視部606檢測對存儲 于內(nèi)置磁盤607的保密文件夾、保密文件的文件訪問�����。文件訪問監(jiān)視部606檢測到對保密 文件夾�����、保密文件的文件訪問的情況下���,文件訪問監(jiān)視部606通知系統(tǒng)控制部605檢測到文 件訪問。若系統(tǒng)控制部605收到檢測到文件訪問的通知�����,則系統(tǒng)控制部605根據(jù)來自文件 訪問監(jiān)視部606的檢測到文件訪問的通知,指示網(wǎng)絡(luò)訪問控制部604切斷向外部網(wǎng)絡(luò)602�����。網(wǎng)絡(luò)訪問控制部604根據(jù)來自系統(tǒng)控制部605的指示��,切斷個人計算機601向外 部網(wǎng)絡(luò)602的訪問��。[網(wǎng)絡(luò)存儲系統(tǒng)700]圖7是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)700的結(jié)構(gòu)圖����。說明涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)700。網(wǎng)絡(luò)存儲系統(tǒng)700由個人計算機701���、外部網(wǎng)絡(luò)702����、外部磁盤703構(gòu)成�。在此,夕卜 部磁盤包括MO盤�����、USB記憶棒等。個人計算機701經(jīng)由USB接口���、SCSI接口等�,與外部磁盤 703連接���。個人計算機701由LAN端口 704����、網(wǎng)絡(luò)訪問控制部705���、系統(tǒng)控制部706��、保護(hù)對象 檢測部707�、文件訪問監(jiān)視部708����、內(nèi)置磁盤709構(gòu)成。個人計算機702訪問了存儲于外部磁盤703的文件夾�、文件的情況下��,保護(hù)對象檢 測部707根據(jù)外部磁盤703的卷標(biāo)(volume label)或文件夾名等��,判斷所訪問的文件夾、 文件是否是保密文件夾�、保密文件。具體地說��,保護(hù)對象檢測部707進(jìn)行的處理邏輯是例如 判斷卷標(biāo)為“HIDDENxxx”的文件夾��、文件為保護(hù)對象���。換言之�����,保護(hù)對象檢測部707將具有 預(yù)先決定的特定卷標(biāo)的文件夾��、文件判斷為保護(hù)對象����?���;蛘撸Wo(hù)對象檢測部707將特定路 徑中存在的文件夾的文件夾���、文件判斷為保護(hù)對象����。若保護(hù)對象檢測部707判斷存儲于外部磁盤703的文件夾、文件為保護(hù)對象��,則保 護(hù)對象檢測部707通知系統(tǒng)控制部706禁止外部網(wǎng)絡(luò)702與個人計算機701之間的訪問���。若系統(tǒng)控制部706從保護(hù)對象檢測部707收到禁止訪問通知����,則系統(tǒng)控制部706根據(jù)來自保護(hù)對象檢測部707的通知�����,指示網(wǎng)絡(luò)訪問控制部705切斷外部網(wǎng)絡(luò)702�����。網(wǎng)絡(luò)訪問控制部705根據(jù)來自系統(tǒng)控制部706的指示�����,切斷個人計算機701向外 部網(wǎng)絡(luò)702的訪問���。并且����,當(dāng)對存儲于內(nèi)置磁盤709的保密文件夾���、保密文件進(jìn)行了文件訪問時�,網(wǎng)絡(luò) 存儲系統(tǒng)700也使用文件訪問監(jiān)視部708檢測對文件的訪問�。若文件訪問監(jiān)視部708判斷 對存儲于內(nèi)置磁盤709的保密文件夾、保密文件進(jìn)行了文件訪問��,則文件訪問監(jiān)視部708通 知系統(tǒng)控制部706檢測到文件訪問�����。若系統(tǒng)控制部706從文件訪問監(jiān)視部708收到文件訪問檢測通知����,則系統(tǒng)控制部 706根據(jù)來自文件訪問監(jiān)視部708的文件訪問檢測通知,指示網(wǎng)絡(luò)訪問控制部705切斷外部 網(wǎng)絡(luò)702����。網(wǎng)絡(luò)訪問控制部705根據(jù)來自系統(tǒng)控制部706的指示,切斷個人計算機701向外 部網(wǎng)絡(luò)702的訪問��。涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)700是在對外部磁盤703的保密文件夾 、保密文件 進(jìn)行了文件訪問的情況下����,禁止個人計算機701與外部網(wǎng)絡(luò)702之間的訪問的系統(tǒng)。由此��,本實施例中的網(wǎng)絡(luò)存儲系統(tǒng)700能夠防止將存儲在外部磁盤703中的保密 數(shù)據(jù)流出到外部網(wǎng)絡(luò)702���。個人計算機701只要在外部磁盤703內(nèi)對存儲于外部磁盤703的保密文件夾��、保 密文件進(jìn)行更新管理���,就能夠防止因流氓軟件導(dǎo)致保密文件夾、保密文件流出到外部網(wǎng)絡(luò) 702�。[網(wǎng)絡(luò)存儲系統(tǒng)800]說明涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)800。圖8是涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)800的結(jié)構(gòu)圖�。網(wǎng)絡(luò)存儲系統(tǒng)800由個人計算機801、外部網(wǎng)絡(luò)802����、外部磁盤803構(gòu)成。個人計算機801由LAN端口 804�、網(wǎng)絡(luò)訪問控制部805、系統(tǒng)控制部806�����、訪問控制 部807、文件訪問監(jiān)視部808��、內(nèi)置磁盤809構(gòu)成����。在網(wǎng)絡(luò)存儲系統(tǒng)800中�����,文件訪問監(jiān)視部808檢測個人計算機801對存儲于內(nèi)置 磁盤809的保密文件夾��、保密文件的文件訪問�����。并且�,若文件訪問監(jiān)視部808判斷對存儲于內(nèi)置磁盤809的保密文件夾、保密文件 進(jìn)行了文件訪問����,則文件訪問監(jiān)視部808通知系統(tǒng)控制部806檢測到文件訪問。若系統(tǒng)控制部806從文件訪問監(jiān)視部808收到文件訪問檢測通知��,則系統(tǒng)控制部 806根據(jù)來自文件訪問監(jiān)視部808的文件訪問檢測通知,指示網(wǎng)絡(luò)訪問控制部805切斷外部 網(wǎng)絡(luò)802�����。網(wǎng)絡(luò)訪問控制部805根據(jù)來自系統(tǒng)控制部806的指示�,切斷個人計算機801向外 部網(wǎng)絡(luò)802的訪問。并且�,存儲于外部磁盤803的數(shù)據(jù)被加密。外部磁盤803是可移動的記錄介質(zhì)�。通 過對外部磁盤803內(nèi)的數(shù)據(jù)進(jìn)行加密,從而即使在用戶不小心丟失外部磁盤803的情況下����, 也能夠防止數(shù)據(jù)泄露。個人計算機801具有訪問控制部807�����。訪問控制部807對存儲于外部磁盤803的 加密數(shù)據(jù)進(jìn)行解密����。具體地說,訪問控制部807進(jìn)行密碼認(rèn)證���、指紋認(rèn)證等���,訪問控制部807將存儲于外部磁盤803內(nèi)的加密數(shù)據(jù)解密�����。若訪問控制部807判斷出允許向外部磁盤803 進(jìn)行讀寫�,則訪問控制部807通知系統(tǒng)控制部806禁止外部網(wǎng)絡(luò)802與個人計算機801之 間的訪問����。若系統(tǒng)控制部806從訪問控制部807收到禁止訪問通知�����,則系統(tǒng)控制部806根據(jù) 來自訪問控制部807的通知��,指示網(wǎng)絡(luò)訪問控制部805切斷外部網(wǎng)絡(luò)802�����。網(wǎng)絡(luò)訪問控制部805根據(jù)來自系統(tǒng)控制部806的指示��,切斷個人計算機801向外 部網(wǎng)絡(luò)802的訪問�。并且,網(wǎng)絡(luò)訪問控制部805也可以允許NTP (Network Time Protcol�,網(wǎng)絡(luò)時間協(xié) 議)或ping響應(yīng)等�、不可能導(dǎo)致保密數(shù)據(jù)(保密文件夾��、保密文件)流出到外部網(wǎng)絡(luò)802 的網(wǎng)絡(luò)訪問���。[打開處理的流程圖]圖9是與涉及本實施例的存儲于NAS104的文件�、文件夾的訪問處理(打開處理) 有關(guān)的流程圖����。 個人計算機101、102訪問NAS104的情況下��,個人計算機101����、102將請求分組發(fā)送 到 NAS 104。搭載在NAS104上的文件訪問監(jiān)視部106從請求分組中取得NAS104進(jìn)行了文件訪 問的請求方的IP地址/MAC地址(步驟S901)�����。文件訪問監(jiān)視部106參照BadPCList203�,判斷與訪問請求方對應(yīng)的0CN306的值 是否大于0(步驟S902)。文件訪問監(jiān)視部106判斷出與訪問請求方對應(yīng)的0CN306的值大 于“0”的情況下(步驟S902 “是”)��,文件訪問監(jiān)視部106禁止請求方的文件訪問(步驟 S905)�����。結(jié)束訪問處理(步驟S906)。并且�����,文件訪問監(jiān)視部106在與訪問請求方對應(yīng)的0CN306的值不大于0 (具體地 說�����,0CN306的值為0�。)的情況下(步驟S902 “否”),系統(tǒng)控制部107允許文件訪問�����,執(zhí)行 打開處理(步驟S903)��。打開處理是指系統(tǒng)控制部107打開有訪問請求的文件的處理�����。而且�,系統(tǒng)控制部107判斷打開處理是否失敗(步驟S904)���。系統(tǒng)控制部107判斷 出打開處理失敗的情況下(步驟S904 “是”)�����,文件訪問監(jiān)視部106禁止請求方的文件訪問 (步驟S905)�����,結(jié)束訪問處理(步驟S906)��。系統(tǒng)控制部107判斷出打開處理成功的情況下 (步驟S904 “否”)��,系統(tǒng)控制部107判斷進(jìn)行打開處理的文件是否是保護(hù)對象的文件(步 驟 S907)�����。系統(tǒng)控制部107判斷出進(jìn)行打開處理的文件是保護(hù)對象的情況下(步驟 S908 “是”)���,系統(tǒng)控制部107對與訪問請求方對應(yīng)的in_uSe303進(jìn)行向上計數(shù)���,加1,將 protect標(biāo)志305設(shè)定為“true”��,將BTL設(shè)定為“32” (步驟S908)。系統(tǒng)控制部107判斷 出進(jìn)行打開處理的文件不是保護(hù)對象的情況下(步驟S909)����,系統(tǒng)控制部107結(jié)束打開處理 (步驟 S909)。[關(guān)閉處理的流程圖]圖10是與涉及本實施例的存儲于NAS104的文件���、文件夾的訪問處理(關(guān)閉處理) 有關(guān)的流程圖����。個人計算機101�、102訪問NAS104的情況下,個人計算機101���、102將請求分組發(fā)送 到 NAS104���。
搭載在NAS104上的文件訪問監(jiān)視部106從請求分組取得對NAS104進(jìn)行了文件訪 問的請求方的IP地址/MAC地址(步驟S1001)。 文件訪問監(jiān)視部106將請求方的IP地址/MAC地址通知給系統(tǒng)控制部107���,系統(tǒng)控 制部107進(jìn)行關(guān)閉處理(步驟S1002)。并且��,系統(tǒng)控制部107判斷進(jìn)行關(guān)閉處理的文件是否是保護(hù)對象的文件(步 驟S1003)�����。系統(tǒng)控制部107判斷出進(jìn)行關(guān)閉處理的文件不是保護(hù)對象的情況下(步驟
51003“否”),系統(tǒng)控制部107結(jié)束關(guān)閉處理(步驟S1006)��。系統(tǒng)控制部107判斷出進(jìn)行 關(guān)閉處理的文件是保護(hù)對象的情況下(步驟S1003 “是”)���,系統(tǒng)控制部107判斷該保護(hù)對 象文件所屬的文件夾內(nèi)的所有文件是否均為關(guān)閉(步驟S1004)���。系統(tǒng)控制部107判斷為文件夾內(nèi)的所有文件均為關(guān)閉的情況下(步驟
51004“是”),系統(tǒng)控制部107對與訪問請求方對應(yīng)的in_USe303進(jìn)行向下計數(shù)��,減1(步驟 S1005)�,結(jié)束關(guān)閉處理(步驟S1006)。并且����,系統(tǒng)控制部107判斷文件夾內(nèi)的所有文件不是 全都關(guān)閉的情況下(步驟S1004 “否”),系統(tǒng)控制部107結(jié)束關(guān)閉處理(步驟S1006)��。[計數(shù)處理的流程圖]圖11是涉及本實施例的路由器103進(jìn)行的計數(shù)處理的流程圖�����。執(zhí)行圖11所示的 流程圖的路由器103的功能是���,管理上述的BadPCList203�����,判斷允許還是拒絕各個人計算 機101�����、102與外部網(wǎng)絡(luò)105之間的通信�。另外,計數(shù)處理是指���,對切斷個人計算機101��、102 與外部網(wǎng)絡(luò)105之間的連接的時間進(jìn)行計數(shù)的處理��。路由器103具有內(nèi)部計時器(未圖示)�����。路由器103通過內(nèi)部計時器每隔1秒起 動����。路由器103參照BadPCList203(步驟S1101)��。路由器103判斷登記在BadPCList203中 的���、與所有個人計算機(個人計算機101���、102)對應(yīng)的BTL304是否大于“0”(步驟S1102)。 路由器103判斷BTL304大于“0”的情況下(步驟S1103 “是”)�,路由器103對判斷為大于 “0”的BTL304的值進(jìn)行向下計數(shù),減1 (步驟S1103)���。并且����,路由器103判斷進(jìn)行向下計數(shù)而減1的結(jié)果�����,BTL304是否成為“0” (步驟 S1104)�����。路由器103判斷為BTL304成為“0”的情況下(步驟S1104 “是”)��,路由器103將 判斷為BTL304成為“0”的protect標(biāo)志305從“true”設(shè)為“false” (步驟S1105)�。路由 器103判斷為BTL304不為“0”的情況下(步驟S1104 “否”)�����,路由器103判斷與所有的個 人計算機(個人計算機101�、102)對應(yīng)的0CN306是否大于“0” (步驟S1106)���。并且�,在步 驟S1102中�����,當(dāng)判斷為登記到BadPCList203的�、與所有個人計算機(個人計算機101、102) 對應(yīng)的BTL304不大于“0”的情況下(步驟S1102 “否”)�,路由器103判斷與所有的個人計 算機(個人計算機101、102)對應(yīng)的0CN306是否大于“0”(步驟S1106)���。路由器103判斷為0CN306大于“0”的情況下(步驟S1106 “是”)�����,路由器103對 0CN306的值進(jìn)行向下計數(shù)���,減1(步驟S1107)���。路由器判斷為與所有的個人計算機(個人 計算機101���、102)對應(yīng)的0CN306不大于“0”的情況下(步驟S1106 “否”)�����,路由器103判斷 是否對登記到BadPCList203的所有項目的BTL304��、0CN306執(zhí)行了計數(shù)處理(步驟S1108)��。路由器103判斷對登記在BadPCList203中的所有項目的BTL304�、0CN306執(zhí)行了 計數(shù)處理的情況下(步驟S1108 “是”)�����,路由器103結(jié)束處理(步驟S1109)�。并且,路由器 103判斷沒有對登記在BadPCList203中的所有項目的BTL304���、0CN306執(zhí)行計數(shù)處理的情 況下(步驟S1108 “否”)��,路由器103再次判斷BTL304的值是否大于“0”(步驟S1102)�。
[分組傳送處理的流程圖]圖12是涉及本實施例的路由器103進(jìn)行的分組傳送處理的流程圖。若路由器103 從個人計算機101���、102接收到分組��,則開始分組傳送處理(步驟S1201)�����。路由器103判斷接收到的分組的接收方是否是外部網(wǎng)絡(luò)105�����、且接收到的分組的 發(fā)送方是否是LAN內(nèi)部的個人計算機101����、102 (步驟S1202)�。路由器103判斷分組的接收 方不是外部網(wǎng)絡(luò)105、或接收到的分組的發(fā)送方不是LAN內(nèi)部的個人計算機101�����、102的情 況下(換言之��,至少分組的接收方不是外部網(wǎng)絡(luò)105���、分組的發(fā)送方不是個人計算機101���、 102的情況下)(步驟S1202 “否”)�,路由器103將接收到的分組傳送給預(yù)定的接收方(步 驟S1203)�����,結(jié)束分組傳送處理(步驟S1204)�����。路由器103判斷分組的接收方是外部網(wǎng)絡(luò)105�����、且接收到的分組的發(fā)送方是LAN內(nèi) 部的個人計算機101���、102的情況下(步驟S1202 “是”),路由器103判斷與分組發(fā)送方的 個人計算機對應(yīng)的protect標(biāo)志305是否為“true” (步驟S1205)�����。路由器103判斷與分組發(fā)送方的個人計算機對應(yīng)的protect標(biāo)志305不是 "true" (protect標(biāo)志305為“false�,�,)的情況下(步驟S1205否)����,路由器103根據(jù)通信 中使用的協(xié)議,確定延遲值(X)(步驟S1208)�����。并且�,路由器103判斷0CN306的值是否小于延遲值⑴(步驟S1209)。路由器103 判斷0CN306的值小于延遲值⑴的情況下(步驟S1209 “是”)�����,路由器103將OCN的值設(shè) 定為延遲值(X)(步驟S1210)�����。而且�,路由器103判斷0CN306的值不小于延遲值⑴的情況下(步驟S1209“否”), 路由器103進(jìn)行分組的傳送處理(步驟S1211)��,結(jié)束分組傳送處理(步驟S1212)���。圖13是涉及本實施例的NAS104的硬件框圖��。說明NAS104 中的硬件結(jié)構(gòu)��。NAS104 由 CPU (Central ProcessingUnit) 1301�����、存儲 部 1302����、內(nèi)存 1303��、LAN 端口 1304���、1305 構(gòu)成�����。NAS104經(jīng)由LAN端口 1304與個人計算機101��、102連接�����。并且�����,NAS104經(jīng)由LAN 端口 1305與路由器103連接��。NAS104所具有的文件訪問監(jiān)視部106�����、系統(tǒng)控制部107����、文件訪問控制部110分別 是作為軟件由CPU1301執(zhí)行的功能。因此����,文件訪問監(jiān)視部106、系統(tǒng)控制部107���、文件訪問 控制部110作為軟件存儲于存儲部1302中��。并且���,CPU1301在執(zhí)行文件訪問監(jiān)視部106�、系 統(tǒng)控制部107�、文件訪問控制部110的情況下,CPU1301將文件訪問監(jiān)視部106�、系統(tǒng)控制部
107、文件訪問控制部110展開到內(nèi)存1303中執(zhí)行����。并且,圖14是記載了涉及本實施例的NAS104的功能的網(wǎng)絡(luò)存儲系統(tǒng)100的結(jié)構(gòu) 圖���。NAS104具有文件訪問監(jiān)視部106��、系統(tǒng)控制部107���、文件訪問控制部110的功能�����。文件 訪問監(jiān)視部106����、系統(tǒng)控制部107、文件訪問控制部110是控制網(wǎng)絡(luò)存儲系統(tǒng)100的功能���。即 使在感染了流氓軟件的個人計算機對NAS104進(jìn)行了文件訪問的情況下�����,NAS104也能夠防 止NAS104中存儲的文件��、文件夾流出到外部網(wǎng)絡(luò)105����。并且,圖15是記載了涉及本實施例的路由器103的功能的網(wǎng)絡(luò)存儲系統(tǒng)100的結(jié) 構(gòu)圖�����。路由器103具有外部訪問控制部108���、外部訪問監(jiān)視部109的功能��。外部訪問控制部
108�、外部訪問監(jiān)視部109是控制網(wǎng)絡(luò)存儲系統(tǒng)100的功能���。外部訪問控制部108的功能在 于��,控制是否將從個人計算機101�����、102接收到的分組傳送到外部網(wǎng)絡(luò)105���。并且���,外部訪問監(jiān)視部109的功能在于,監(jiān)視外部網(wǎng)絡(luò)105與個人計算機101��、102之間的連接狀況�。路由 器103將外部訪問控制部108、外部訪問監(jiān)視部109作為軟件執(zhí)行并進(jìn)行控制����。因此,路由 器103為了執(zhí)行外部訪問控制部108�����、外部訪問監(jiān)視部109���,具有CPU、存儲部����、內(nèi)存���、或類似 的硬件。外部訪問控制部108��、外部訪問監(jiān)視部109也可以以硬件結(jié)構(gòu)物理地存在����。外部訪問控制部108、外部訪問監(jiān)視部109即使在感染了流氓軟件的個人計算機對NAS104進(jìn)行了文件訪問的情況下��,也能夠防止NAS104中存儲的文件��、文件夾流出到外部 網(wǎng)絡(luò)105�����。產(chǎn)業(yè)上的可利用性涉及本實施例的網(wǎng)絡(luò)存儲系統(tǒng)對經(jīng)由網(wǎng)絡(luò)連接的存儲器內(nèi)的數(shù)據(jù)進(jìn)行保護(hù)�。本實施例中的網(wǎng)絡(luò)存儲系統(tǒng),能夠有效防止流氓軟件或無意·不適當(dāng)?shù)木W(wǎng)絡(luò)訪問 導(dǎo)致數(shù)據(jù)流出到外部網(wǎng)絡(luò)�����。
權(quán)利要求
一種信息保持裝置執(zhí)行的信息提供方法�����,該信息保持裝置存儲信息,并經(jīng)由網(wǎng)絡(luò)將該信息提供給信息處理裝置�����,所述信息提供方法的特征在于���,所述信息提供方法包括訪問檢測步驟��,檢測該信息處理裝置對該信息保持裝置內(nèi)的該信息進(jìn)行了訪問的情況�;以及控制步驟�����,在該信息處理裝置對信息保持裝置進(jìn)行信息訪問時��,控制該信息處理裝置的信息的傳送����。
2.根據(jù)權(quán)利要求1所述的信息提供方法,其特征在于��,在該訪問檢測步驟中�����,參照從該 信息處理裝置接收的請求分組��,檢測對該信息的訪問����。
3.根據(jù)權(quán)利要求1所述的信息提供方法��,其特征在于����,在該訪問檢測步驟中�,判斷該信 息保持裝置所存儲的該信息的屬性��。
4.根據(jù)權(quán)利要求3所述的信息提供方法�����,其特征在于��,在該文件訪問檢測步驟中�,根據(jù) 該信息所保持的標(biāo)志來判斷該信息的屬性。
5.根據(jù)權(quán)利要求4所述的信息提供方法��,其特征在于,在該控制步驟中�,根據(jù)在該訪問 檢測步驟中判斷出的該信息的屬性,控制該信息處理裝置的該信息的傳送���。
6.根據(jù)權(quán)利要求5所述的信息提供方法���,其特征在于,在該控制步驟中����,對進(jìn)行該網(wǎng)絡(luò) 的中繼的中繼器控制該信息的傳送。
7.一種由中繼器執(zhí)行的中繼方法�����,該中繼器將包括信息處理裝置和信息保持裝置的網(wǎng) 絡(luò)與外部網(wǎng)絡(luò)連接起來�����,所述中繼方法的特征在于�����,所述中繼方法包括訪問管理步驟,管理該信息處理裝置對該信息保持裝置的訪問狀況�����;以及外部訪問控制步驟����,根據(jù)在該訪問管理步驟中管理的該訪問狀況��,禁止從該信息處理 裝置向該外部網(wǎng)絡(luò)傳送該信息�����。
8.根據(jù)權(quán)利要求7所述的中繼方法��,其特征在于����,在該訪問管理步驟中,從該信息保持 裝置取得該訪問狀況�����。
9.根據(jù)權(quán)利要求8所述的中繼方法��,其特征在于,在該訪問管理步驟中��,對在該外部訪 問控制步驟中禁止從該信息處理裝置向該外部網(wǎng)絡(luò)該信息的傳送的時間進(jìn)行管理���。
10.根據(jù)權(quán)利要求9所述的中繼方法��,其特征在于���,所述中繼方法還包括檢測該信息處 理裝置與該外部網(wǎng)絡(luò)之間的連接的外部訪問檢測步驟。
11.根據(jù)權(quán)利要求10所述的中繼器�,其特征在于,在該訪問管理步驟中�����,對該信息處理 裝置與該外部網(wǎng)絡(luò)之間的連接狀況進(jìn)行管理��。
12.根據(jù)權(quán)利要求11所述的中繼方法�,其特征在于,在該訪問管理步驟中���,根據(jù)該信息 處理裝置與該外部網(wǎng)絡(luò)之間的連接狀況��,對禁止從該信息處理裝置訪問該信息保持裝置的 時間進(jìn)行管理�����。
13.—種由經(jīng)由網(wǎng)絡(luò)與信息處理裝置連接的信息保持裝置執(zhí)行的信息提供方法���,所述信息提供方法的特征在于�,所述信息提供方法包括特征模式生成步驟�����,生成與該信息保持裝置所保持的文件對應(yīng)的特征模式����;以及存儲步驟�,存儲該特征模式。
14.根據(jù)權(quán)利要求13所述的信息提供方法���,其特征在于����,所述信息提供方法還包括檢索與該特征模式對應(yīng)的文件的文件檢索步驟��。
15.根據(jù)權(quán)利要求14所述的信息提供方法�����,其特征在于,所述信息提供方法還包括檢 測從該信息處理裝置對該信息保持裝置的文件訪問的文件訪問檢測步驟�。
16.根據(jù)權(quán)利要求15所述的信息提供方法,其特征在于�,所述信息提供方法還包括追 加步驟,在該追加步驟中��,當(dāng)在該文件檢索步驟中新檢測到與該特征模式對應(yīng)的文件時����,將 檢測到的文件追加為文件訪問檢測步驟中的監(jiān)視對象。
17.一種連接包括信息處理裝置和信息保持裝置的網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息提供方法��,所述信息提供方法的特征在于����,所述信息提供方法包括分組監(jiān)視步驟,判斷在從該信息處理裝置接收的分組內(nèi)是否具有與該信息保持裝置所 保持的文件對應(yīng)的特征模式����;以及外部訪問控制步驟,丟棄具有該特征模式的分組�����。
18.一種信息保持裝置,其存儲信息��,并經(jīng)由網(wǎng)絡(luò)將該信息提供給信息處理裝置����,所述信息保持裝置的特征在于,所述信息保持裝置包括文件訪問檢測部���,其檢測該信息處理裝置對該信息保持裝置內(nèi)的該信息進(jìn)行了訪問的 情況��;以及系統(tǒng)控制部�,其在該信息處理裝置對該信息保持裝置進(jìn)行信息訪問時��,控制該信息處 理裝置的信息的傳送�����。
19.一種中繼器����,其連接包括信息處理裝置和信息保持裝置的網(wǎng)絡(luò)與外部網(wǎng)絡(luò)�,所述中繼器的特征在于,所述中繼器包括訪問管理部�,其管理該信息處理裝置對該信息保持裝置的訪問狀況���;以及外部訪問控制部,其根據(jù)該訪問管理部管理的該訪問狀況��,禁止從該信息處理裝置向 該外部網(wǎng)絡(luò)傳送該信息��。
全文摘要
本發(fā)明提供信息提供方法��、中繼方法�、信息保持裝置、中繼器��,其目的在于�,防止因流氓軟件混入到計算機內(nèi)而導(dǎo)致網(wǎng)絡(luò)存儲內(nèi)的信息泄露。本發(fā)明的信息提供方法�,其由信息保持裝置執(zhí)行,該信息保持裝置存儲信息����,并經(jīng)由網(wǎng)絡(luò)將該信息提供給信息處理裝置,所述信息提供方法的特征在于�,包括訪問檢測步驟,檢測該信息處理裝置對該信息保持裝置內(nèi)的該信息進(jìn)行了訪問的情況����;以及控制步驟��,在該信息處理裝置對信息保持裝置進(jìn)行信息訪問時����,控制該信息處理裝置經(jīng)由網(wǎng)絡(luò)傳送信息���。并且����,上述信息保持裝置具備文件訪問檢測部����,其檢測該信息處理裝置對該信息保持裝置內(nèi)的該信息進(jìn)行了訪問的情況;以及系統(tǒng)控制部�����,其在該訪問時�����,控制該信息處理裝置的信息傳送��。
文檔編號G06F21/80GK101836212SQ20078010127
公開日2010年9月15日 申請日期2007年10月25日 優(yōu)先權(quán)日2007年10月25日
發(fā)明者內(nèi)田好昭 申請人:富士通株式會社