專利名稱:非法操作檢測(cè)系統(tǒng)和非法操作檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及操作檢測(cè)系統(tǒng),特別涉及對(duì)與信息泄露事故有關(guān)的風(fēng)險(xiǎn)較高的客戶PC 上的操作進(jìn)行檢測(cè)的非法操作檢測(cè)系統(tǒng)和非法操作檢測(cè)方法�����。
背景技術(shù):
以往,存在如下的PC操作記錄管理產(chǎn)品監(jiān)視信息系統(tǒng)的用戶操作�����,檢測(cè)管理者預(yù)先指定的動(dòng)作(例如針對(duì)可移動(dòng)媒體的信息寫入)�,對(duì)管理者發(fā)出警告�。作為對(duì)具有惡意的操作或可疑操作進(jìn)行檢測(cè)的操作檢測(cè)系統(tǒng),存在專利文獻(xiàn)1?��,F(xiàn)有技術(shù)文獻(xiàn)專利文獻(xiàn)專利文獻(xiàn)1 日本特開2009-20812號(hào)公報(bào)
發(fā)明內(nèi)容
發(fā)明要解決的課題在現(xiàn)有的客戶PC操作記錄管理產(chǎn)品中����,需要預(yù)先指定打印或輸出到可移動(dòng)媒體這樣的信息輸出操作����。并且,在專利文獻(xiàn)1所示的技術(shù)中���,管理者預(yù)先生成具有惡意的非法操作樣板(pattern)并登記在記錄分析服務(wù)器的數(shù)據(jù)庫(kù)中�����,然后�����,通過用戶的操作內(nèi)容的匹配度來判斷危險(xiǎn)性����。在任意情況下,均需要管理者在進(jìn)行了非法操作的定義之后進(jìn)行初始設(shè)定����。因此,課題在于��,為了對(duì)與信息泄露有關(guān)的風(fēng)險(xiǎn)較高的用戶操作進(jìn)行檢測(cè)����,不進(jìn)行在進(jìn)行了特定的信息輸出操作的情況下發(fā)出警告的初始設(shè)定以及定義非法操作樣板的初始設(shè)定,就能夠?qū)崿F(xiàn)針對(duì)信息泄露的風(fēng)險(xiǎn)較高的行為發(fā)出警告的功能��。本發(fā)明是鑒于所述現(xiàn)有技術(shù)的課題而完成的���,其目的在于提供如下的非法操作檢測(cè)系統(tǒng)�、非法操作檢測(cè)方法以及非法操作檢測(cè)程序能夠識(shí)別操作內(nèi)容并針對(duì)信息泄露的風(fēng)險(xiǎn)較高的操作生成警告�。用于解決課題的手段為了實(shí)現(xiàn)所述目的,本發(fā)明的特征在于,構(gòu)成將微處理器作為監(jiān)視對(duì)象并監(jiān)視針對(duì)與所述監(jiān)視對(duì)象連接的輸出裝置的畫面上的信息的操作的監(jiān)視裝置���,所述監(jiān)視裝置響應(yīng)用于對(duì)所述監(jiān)視對(duì)象輸入信息的操作���,識(shí)別被輸入到所述監(jiān)視對(duì)象的輸入信息的取得方, 并且對(duì)該輸入信息賦予表示所述輸入信息的取得方的標(biāo)識(shí)符��,所述監(jiān)視裝置響應(yīng)用于從所述監(jiān)視對(duì)象輸出信息的操作��,識(shí)別從所述監(jiān)視對(duì)象輸出的輸出信息的輸出目的地���,并且檢索表示所述輸出信息的取得方的標(biāo)識(shí)符,判定識(shí)別到的所述輸出信息的輸出目的地和檢索到的所述輸出信息的取得方的組合是否適合非法操作的條件��,根據(jù)該判定結(jié)果生成警告���。發(fā)明效果根據(jù)本發(fā)明��,通過識(shí)別操作內(nèi)容����,能夠針對(duì)信息泄露的風(fēng)險(xiǎn)較高的操作生成警告���。
圖1是示出本發(fā)明的操作檢測(cè)系統(tǒng)的一個(gè)實(shí)施方式的系統(tǒng)結(jié)構(gòu)圖�。圖2是示出本發(fā)明的客戶PC的結(jié)構(gòu)的一例的圖。圖3是示出在客戶PC上動(dòng)作的代理程序的結(jié)構(gòu)的一例的圖�。圖4是示出利用Web瀏覽器輸入文件時(shí)用戶的操作以及在對(duì)話操作監(jiān)視模塊與瀏覽器監(jiān)視模塊之間執(zhí)行的時(shí)序的一例的圖。圖5是示出利用Web瀏覽器輸入文件時(shí)用戶的操作以及在對(duì)話操作監(jiān)視模塊�、瀏覽器監(jiān)視模塊、文件操作監(jiān)視模塊之間執(zhí)行的時(shí)序的一例的圖����。圖6是示出利用郵件程序輸入文件時(shí)用戶的操作以及在對(duì)話操作監(jiān)視模塊與TCP 通信監(jiān)視模塊之間執(zhí)行的時(shí)序的一例的圖。圖7是示出利用郵件程序使用拖放(drag.drop)輸入文件時(shí)用戶的操作以及在文件操作監(jiān)視模塊與TCP通信監(jiān)視模塊之間執(zhí)行的時(shí)序的一例的圖��。圖8是示出利用Web瀏覽器輸出文件時(shí)用戶的操作以及在對(duì)話操作監(jiān)視模塊與瀏覽器監(jiān)視模塊之間執(zhí)行的時(shí)序的一例的圖�。圖9是示出利用郵件程序輸出文件時(shí)用戶的操作以及在對(duì)話操作監(jiān)視模塊與TCP 通信監(jiān)視模塊之間執(zhí)行的時(shí)序的一例的圖。圖10是示出利用郵件程序使用拖放輸出文件時(shí)用戶的操作以及在文件操作監(jiān)視模塊與TCP通信監(jiān)視模塊之間執(zhí)行的時(shí)序的一例的圖����。圖11是示出在打印文件時(shí)用戶的操作以及在對(duì)話操作監(jiān)視模塊中執(zhí)行的時(shí)序的一例的圖。圖12是示出在從文件服務(wù)器輸入文件時(shí)和對(duì)可移動(dòng)媒體輸出文件時(shí)用戶的操作以及在文件操作監(jiān)視模塊中執(zhí)行的時(shí)序的一例的圖�。圖13是示出在代理內(nèi)使用的取得方DB以及被賦予給各文件的取得方信息的格式的一例的圖。圖14是示出代理內(nèi)的模塊即瀏覽器監(jiān)視模塊的流程圖的一例的圖�。圖15是示出代理內(nèi)的模塊即對(duì)話操作監(jiān)視模塊的流程圖的全體像的一例的圖。圖16是示出代理內(nèi)的模塊即對(duì)話操作監(jiān)視模塊的基于郵件程序的下載/上傳線程部分的流程圖的一例的圖�。圖17是示出代理內(nèi)的模塊即對(duì)話操作監(jiān)視模塊的基于瀏覽器的下載/上傳線程部分的流程圖的一例的圖。圖18是示出代理內(nèi)的模塊即對(duì)話操作監(jiān)視模塊的打印檢查線程部分的流程圖的一例的圖�����。圖19是示出代理內(nèi)的模塊即文件操作監(jiān)視模塊的流程圖的一例的圖。圖20是示出代理內(nèi)的模塊即TCP通信監(jiān)視模塊的流程圖的一例的圖�����。圖21是示出與本發(fā)明的動(dòng)作有關(guān)的Web瀏覽器的畫面的一例的圖�。
具體實(shí)施例方式本實(shí)施方式具有第一單元,監(jiān)視針對(duì)在客戶PC (Personal Computer)中工作的應(yīng)用程序的操作內(nèi)容����,識(shí)別被輸入到客戶PC的輸入信息的取得方,并且對(duì)輸入信息賦予表示該輸入信息的取得方的標(biāo)識(shí)符����;以及第二單元�,識(shí)別從客戶PC輸出的輸出信息的輸出目的地,并且檢查被賦予給輸出信息的標(biāo)識(shí)符��,根據(jù)輸出信息的取得方和輸出目的地的條件
生成警告��。下面��,根據(jù)
本發(fā)明的一個(gè)實(shí)施方式��。圖1是示出本發(fā)明的非法操作檢測(cè)系統(tǒng)的一個(gè)實(shí)施方式的系統(tǒng)結(jié)構(gòu)圖。本發(fā)明的非法操作檢測(cè)系統(tǒng)利用廣域網(wǎng)103連接信息中心101內(nèi)的(LOCAL Area Network) 117和據(jù)點(diǎn)102內(nèi)的網(wǎng)絡(luò)124���,所述信息中心101還經(jīng)由廣域網(wǎng)104與因特網(wǎng)連接�。非法操作檢測(cè)系統(tǒng)由設(shè)置在信息中心101內(nèi)的管理服務(wù)器111和設(shè)置在據(jù)點(diǎn)102內(nèi)的客戶PC 121構(gòu)成�。管理服務(wù)器111將信息中心101內(nèi)和據(jù)點(diǎn)102內(nèi)作為管理區(qū)域,將配置在該管理區(qū)域內(nèi)的設(shè)備�、例如郵件服務(wù)器114、文件服務(wù)器115���、組織內(nèi)Web服務(wù)器116���、客戶PC 121、 網(wǎng)絡(luò)打印機(jī)123等作為管理對(duì)象���,對(duì)這些管理對(duì)象進(jìn)行管理�����。在該管理服務(wù)器111中����,對(duì)非法操作檢測(cè)系統(tǒng)的全體進(jìn)行統(tǒng)括的管理部112����、用于供所述管理部管理多個(gè)客戶PC所使用的 PC 管理 DB (DataBase) 113 工作�。各客戶PC 121由搭載有各種應(yīng)用程序的微處理器構(gòu)成�����。在各客戶PC 121中�����,作為監(jiān)視裝置的代理122進(jìn)行工作��,該代理122將各客戶PC 121作為監(jiān)視對(duì)象并監(jiān)視針對(duì)與該監(jiān)視對(duì)象連接的輸出裝置的畫面上的信息的操作�。使用客戶PC 121的用戶使用電子郵件、Web服務(wù)器����、文件服務(wù)器等完成業(yè)務(wù)��。因此����,在信息中心101設(shè)置有郵件服務(wù)器114、文件服務(wù)器115�����、組織內(nèi)Web服務(wù)器116,并與 LAN 117連接����。并且,能夠從客戶PC 121訪問的組織外Web服務(wù)器131與因特網(wǎng)連接�。并且,在據(jù)點(diǎn)102內(nèi)的網(wǎng)絡(luò)124連接有在打印中使用的網(wǎng)絡(luò)打印機(jī)123����。另外,組織外Web服務(wù)器131以及與客戶PC 121連接的存儲(chǔ)介質(zhì)中的可移動(dòng)媒體是管理服務(wù)器111 的管理對(duì)象以外的設(shè)備��,作為檢查對(duì)象來處理���。圖2是示出本發(fā)明的客戶PC 121的結(jié)構(gòu)的一例的結(jié)構(gòu)框圖�?���?蛻鬚C 121由 CPU (Central Processing Unit) 201、總線 202�����、存儲(chǔ)器 203、本地文件系統(tǒng) 204���、網(wǎng)絡(luò) I/O 205��、器件I/O 206構(gòu)成��。器件1/0206例如由USB(Universal Serial Bus)接口等構(gòu)成�����。在存儲(chǔ)器203上傳入OS (Operating System) 207��,在該OS 207上��,非法操作檢測(cè)系統(tǒng)的結(jié)構(gòu)要素即代理122的程序���、文件資源管理器、Web瀏覽器����、郵件程序����、文字處理器或表計(jì)算軟件這樣的多個(gè)應(yīng)用程序208進(jìn)行動(dòng)作�。這里����,使用客戶PC 121的用戶使用應(yīng)用程序208中的任意一方,將在到達(dá)郵件服務(wù)器114的以自身為目的地的郵件中添加的文件���、存儲(chǔ)在文件服務(wù)器115內(nèi)的文件�、以及登記在組織內(nèi)Web服務(wù)器116中的文件作為文件209�����,保存在客戶PC 121的本地文件系統(tǒng)204中�。有時(shí)使用應(yīng)用程序208中的任意一方,將保存在本地文件系統(tǒng)204中的文件209 輸出到客戶PC 121的外部���。例如����,使用文件資源管理器復(fù)制到與器件I/O 206連接的可移動(dòng)媒體��,或者使用文字處理器或表計(jì)算軟件的打印功能利用網(wǎng)絡(luò)打印機(jī)123進(jìn)行打印��。并且,在利用郵件程序生成的郵件文本中添加文件并對(duì)組織內(nèi)和組織外的對(duì)方發(fā)送文件���,或者對(duì)位于組織內(nèi)和組織外的Web服務(wù)器上傳文件��。圖21示出此時(shí)使用的Web瀏覽器畫面��。圖21是示出用戶利用客戶PC 121操作應(yīng)用并輸入文件時(shí)的畫面的一例的圖���。
在Web瀏覽器畫面(與客戶PC 121連接的輸出裝置的畫面)2101上,存在所謂被稱為鏈接的當(dāng)使用鼠標(biāo)(與客戶PC 121連接的輸入裝置)點(diǎn)擊時(shí)引起畫面遷移等的區(qū)域����。在鏈接字符串2102上放置鼠標(biāo)光標(biāo)并點(diǎn)擊了左按鈕的情況下,執(zhí)行如下處理遷移到下一個(gè)畫面(也稱為頁(yè)面)��,或者顯示用于下載位于所點(diǎn)擊的鏈接目的地的對(duì)象的下載對(duì)話 2111�。并且,在鏈接字符串2102上放置鼠標(biāo)光標(biāo)并點(diǎn)擊了右按鈕的情況下����,顯示所謂被稱為上下文菜單的彈窗。在這里顯示的上下文菜單2103中存在“將對(duì)象保存到文件(A)…” 這樣的項(xiàng)目����,通過左擊該項(xiàng)目,執(zhí)行顯示用于下載對(duì)象的下載對(duì)話2111的處理。在下載對(duì)話2111中存在表示用于保存所下載的文件的場(chǎng)所的字段2112����、顯示要保存的文件夾的選擇項(xiàng)的字段2113���、以及表示要保存的文件名的2114���。要保存的文件名能夠改寫。用戶操作字段2112和2113來選擇用于保存文件的文件夾�,根據(jù)需要利用字段 2114變更保存文件名�����,通過點(diǎn)擊保存按鈕2115,能夠使用Web瀏覽器下載文件�����,并在任意的文件夾中保存文件����。圖3是示出在客戶PC 121上工作的代理122的模塊結(jié)構(gòu)的一例的圖。代理122具有負(fù)責(zé)與管理部112之間的通信的管理部通信功能模塊301����、以及對(duì)監(jiān)視客戶PC 121上的用戶操作的各種監(jiān)視模塊進(jìn)行統(tǒng)括的監(jiān)視模塊控制模塊302���。作為結(jié)構(gòu)要素,代理122還具有進(jìn)程監(jiān)視模塊310���,將在客戶PC 121上工作的進(jìn)程303的工作狀況作為監(jiān)視對(duì)象�;打印機(jī)監(jiān)視模塊320����,將針對(duì)包含網(wǎng)絡(luò)打印機(jī)123的打印機(jī)304的輸出操作作為監(jiān)視對(duì)象;瀏覽器監(jiān)視模塊330����,將基于Web瀏覽器305的用戶操作作為監(jiān)視對(duì)象;對(duì)話操作監(jiān)視模塊340��,將顯示在客戶PC 121的畫面上的各種對(duì)話 306作為監(jiān)視對(duì)象�,該各種對(duì)話306用于供用戶在下載或上傳時(shí)選擇文件;文件操作監(jiān)視模塊350��,將在該客戶PC 121的畫面上����、用戶使用鼠標(biāo)等指示器件針對(duì)顯示在所述畫面上的各種應(yīng)用程序307進(jìn)行的操作(例如按鈕的點(diǎn)擊�、顯示在應(yīng)用窗內(nèi)的目標(biāo)的拖放等)作為監(jiān)視對(duì)象�;以及TCP通信監(jiān)視模塊360,將例如郵件程序等經(jīng)由網(wǎng)絡(luò)收發(fā)數(shù)據(jù)的應(yīng)用通過用戶操作并使用 TCP/IP (Transmission Control Protocol/Internet Protocol)的套接字 (socket) 308等發(fā)送或接收數(shù)據(jù)流的狀況作為監(jiān)視對(duì)象�。并且,代理122具有用于對(duì)模塊的動(dòng)作進(jìn)行控制的設(shè)定文件即系統(tǒng)策略391���、以及用于進(jìn)行特別是與安全有關(guān)的控制的設(shè)定文件即安全策略392,并且�,代理122具有取得方 DB 393,該取得方DB 393存儲(chǔ)之前說明的監(jiān)視模塊組構(gòu)成與用戶操作有關(guān)的信息所需要的信息�。取得方DB 393的內(nèi)容和作用在后面敘述。進(jìn)程監(jiān)視模塊310實(shí)現(xiàn)如下功能起動(dòng)檢測(cè)功能311�,檢測(cè)是否在客戶PC 121上請(qǐng)求了進(jìn)程303的起動(dòng);抑止功能312��,在要起動(dòng)的進(jìn)程303抵觸安全策略392的情況下抑止起動(dòng)�;以及用戶通知功能313,向用戶通知抑止了起動(dòng)�。打印機(jī)監(jiān)視模塊320實(shí)現(xiàn)如下功能打印檢測(cè)功能321,檢測(cè)是否在客戶PC 121 上請(qǐng)求了使用打印機(jī)304的打?��?����;抑止功能322��,在要打印的數(shù)據(jù)抵觸安全策略392的情況下抑止打?��?�;以及用戶通知功能323�����,向用戶通知抑止了起動(dòng)��。瀏覽器監(jiān)視模塊330實(shí)現(xiàn)如下功能訪問檢測(cè)功能331����,檢測(cè)是否在客戶PC 121 上使用瀏覽器305訪問了 Web服務(wù)器���;以及檢測(cè)內(nèi)容保持功能332����,臨時(shí)保持所訪問的Web 月艮務(wù)器的URL (Uniform Resource Locator)�����、接收至Ij的html (Hypertext Markup Language)數(shù)據(jù)等。對(duì)話操作監(jiān)視模塊340實(shí)現(xiàn)如下功能對(duì)話檢測(cè)功能341�,檢測(cè)是否由于用戶操作客戶PC 121上的應(yīng)用程序208而顯示了文件選擇用對(duì)話或打印用對(duì)話;以及取得方信息賦予/檢查功能342��,針對(duì)使用所述對(duì)話操作的文件�,執(zhí)行與該文件的取得方有關(guān)的信息的賦予、以及與被賦予的取得方有關(guān)的信息的檢查����。這里�����,顯示文件選擇用對(duì)話的操作例如具有使用Web瀏覽器下載或上傳文件的操作���、使用郵件程序從接收郵件中保存添加文件的操作或者對(duì)發(fā)送郵件添加文件的操作����。 并且�,顯示打印用對(duì)話的操作是指利用文字處理器或表計(jì)算軟件選擇打印功能的操作。文件操作監(jiān)視模塊350實(shí)現(xiàn)如下功能操作檢測(cè)功能351�,檢測(cè)用戶是否在客戶PC 121上的應(yīng)用程序208的窗口上進(jìn)行了鼠標(biāo)按鈕的點(diǎn)擊、顯示在窗口內(nèi)的目標(biāo)的拖放等操作����;以及取得方信息賦予/檢查功能352�,針對(duì)使用鼠標(biāo)操作的文件���,執(zhí)行與該文件的取得方有關(guān)的信息的賦予�����、以及與被賦予的取得方有關(guān)的信息的檢查�����。這里��,通過鼠標(biāo)按鈕的點(diǎn)擊而實(shí)現(xiàn)的文件操作例如是指右擊在Web瀏覽器的畫面上顯示的鏈接并在所顯示的菜單中保存鏈接所指示的目標(biāo)作為文件的操作�����、拖放在郵件程序的接收消息畫面中添加的文件并復(fù)制到桌面上的操作�����。TCP通信監(jiān)視模塊360具有如下功能套接字接收檢測(cè)功能361��,檢測(cè)用戶利用客戶PC 121上的網(wǎng)絡(luò)應(yīng)用進(jìn)行操作的結(jié)果是否經(jīng)由網(wǎng)絡(luò)進(jìn)行了文件的收發(fā)��;協(xié)議解析功能 362���,對(duì)經(jīng)由所述套接字收發(fā)的數(shù)據(jù)進(jìn)行解析����;以及登記/通知功能363���,在經(jīng)由套接字在客戶PC 121上下載了文件的情況下�����,在取得方DB 393中登記與該文件的取得方有關(guān)的信息, 并且對(duì)取得方信息賦予/檢查模塊342�����、352通知與該文件的取得方有關(guān)的信息����。上述說明的各監(jiān)視模塊具有如下功能根據(jù)檢測(cè)到的內(nèi)容與其他監(jiān)視模塊或取得方DB 393進(jìn)行通信的功能、經(jīng)由監(jiān)視模塊控制302和管理部通信機(jī)構(gòu)301對(duì)管理者112發(fā)出(發(fā)送)警告的功能��、生成警告或檢測(cè)內(nèi)容記錄的功能�。另外�����,在以后的說明中����,利用與文件有關(guān)的信息等的表現(xiàn)來說明與本發(fā)明有關(guān)的信息�����,但是�����,也可以利用表等的數(shù)據(jù)結(jié)構(gòu)以外的構(gòu)造來表現(xiàn)這些信息��。因此����,為了表示不依賴于數(shù)據(jù)結(jié)構(gòu),有時(shí)將“與文件有關(guān)的信息”等簡(jiǎn)稱為“信息”��。同樣�����,作為DB說明的部分也不是必須具有作為數(shù)據(jù)庫(kù)的數(shù)據(jù)結(jié)構(gòu),所以�,有時(shí)也將作為DB的說明簡(jiǎn)稱為“信息”。并且���,在對(duì)各信息的內(nèi)容進(jìn)行說明時(shí)�,使用“識(shí)別信息”���、“標(biāo)識(shí)符”�、“名”��、“名稱”����、 “ ID”這樣的表現(xiàn),但是��,它們可以相互置換�。進(jìn)而�����,在以后的說明中,有時(shí)將“程序”作為主語進(jìn)行說明���,但是��,程序由處理器執(zhí)行����,使用存儲(chǔ)器和通信端口(通信控制裝置)進(jìn)行確定的處理�����,所以��,也可以將處理器作為主語進(jìn)行說明���。并且���,將程序作為主語而公開的處理也可以是管理服務(wù)器111等的計(jì)算機(jī)、 信息處理裝置進(jìn)行的處理����。并且,程序的一部分或全部也可以通過專用硬件來實(shí)現(xiàn)���。并且�, 本發(fā)明不是必須使用線程機(jī)構(gòu)來實(shí)現(xiàn),只要能夠通過微線程或進(jìn)程機(jī)構(gòu)等的對(duì)OS提供的程序的執(zhí)行進(jìn)行管理的機(jī)構(gòu)來執(zhí)行��,則可以使用任意的機(jī)構(gòu)���。并且����,各種程序也可以通過程序發(fā)布服務(wù)器或存儲(chǔ)媒體而裝入各計(jì)算機(jī)中���。另外����,管理計(jì)算機(jī)111具有輸入輸出裝置����。作為該輸入輸出裝置的例子,可以列舉顯示器�����、鍵盤���、指示器件��,但是��,也可以是除此之外的裝置�。并且����,代替輸入輸出裝置,也可以將串行接口或以太網(wǎng)接口作為輸入輸出裝置��,在該接口上連接具有顯示器或鍵盤或指示器件的顯示用計(jì)算機(jī)���,利用顯示用計(jì)算機(jī)對(duì)顯示用信息進(jìn)行顯示�,受理輸入�����,由此�,代替輸入輸出裝置的輸入和顯示。接著�����,按照?qǐng)D4 圖7說明實(shí)現(xiàn)如下的第一單元的時(shí)序檢測(cè)到用戶針對(duì)客戶PC 進(jìn)行了輸入操作,賦予表示進(jìn)行了輸入操作的標(biāo)識(shí)符����。圖4是示出在用戶利用Web瀏覽器下載文件時(shí)由瀏覽器監(jiān)視模塊330和對(duì)話操作監(jiān)視模塊340執(zhí)行的處理流程的時(shí)序的一例。當(dāng)用戶進(jìn)行在Web瀏覽器中顯示的鏈接的左擊操作(401)后�,在Web瀏覽器中,產(chǎn)生頁(yè)面遷移的用戶操作事件���,瀏覽器監(jiān)視模塊330檢測(cè)頁(yè)面遷移的用戶操作事件(402)��。瀏覽器監(jiān)視模塊330保存遷移后的URL (即所點(diǎn)擊的鏈接目的地的目標(biāo)的URL)��,等待來自對(duì)話操作監(jiān)視模塊340的信息提供請(qǐng)求(403)�。另一方面�,通過左擊操作G01),在鏈接所指定的目標(biāo)是無法利用Web瀏覽器在線顯示的類型的目標(biāo)的情況下�,顯示文件下載對(duì)話。該情況下��,對(duì)話操作監(jiān)視模塊340在顯示了文件下載對(duì)話時(shí)���,檢測(cè)對(duì)話操作事件(404)���,向?yàn)g覽器監(jiān)視模塊330請(qǐng)求遷移后URL信息的提供���,然后�����,從瀏覽器監(jiān)視模塊330取得遷移后URL信息(405)�。當(dāng)在所述文件下載對(duì)話中點(diǎn)擊保存按鈕后,對(duì)話操作監(jiān)視模塊340從在對(duì)話中顯示的信息(基于OS 207的處理的信息)取得保存目的地文件名��,取得全路徑作為所述文件的保存目的地信息006)�����。進(jìn)而�,在步驟405中取得的遷移后URL所包含的服務(wù)器是組織內(nèi)Web服務(wù)器116的情況下,對(duì)話操作監(jiān)視模塊對(duì)所述文件賦予表示取得方的標(biāo)識(shí)符 (407)����。作為客戶PC 121利用的本地文件系統(tǒng)204,如果是Microsoft公司的NTFS (NT File System)�����,則能夠使用“代替流”來實(shí)現(xiàn)該標(biāo)識(shí)符���。圖5是示出在用戶利用Web瀏覽器下載文件時(shí)由瀏覽器監(jiān)視模塊330��、對(duì)話操作監(jiān)視模塊340和文件操作監(jiān)視模塊350執(zhí)行的處理流程的時(shí)序的一例�����。當(dāng)用戶利用Web瀏覽器顯示頁(yè)面時(shí)����,瀏覽器監(jiān)視模塊330檢測(cè)頁(yè)面遷移的用戶操作事件(501)。此時(shí)�,Web瀏覽器保持遷移后的URL和頁(yè)面資源,能夠根據(jù)瀏覽器監(jiān)視模塊 330的請(qǐng)求交接這些遷移后的URL和頁(yè)面資源��。在該狀態(tài)下��,針對(duì)在Web瀏覽器中顯示的鏈接���,當(dāng)用戶進(jìn)行右擊操作(50 后��,產(chǎn)生鼠標(biāo)操作事件�,文件操作監(jiān)視模塊350檢測(cè)所述事件(505)�。檢測(cè)到產(chǎn)生鼠標(biāo)操作事件后的文件操作監(jiān)視模塊350保存與在Web瀏覽器上產(chǎn)生鼠標(biāo)操作事件的位置有關(guān)的信息作為目標(biāo)關(guān)聯(lián)信息,發(fā)送到瀏覽器監(jiān)視模塊330(506)。每當(dāng)利用Web瀏覽器顯示頁(yè)面時(shí)����,瀏覽器監(jiān)視模塊330保存遷移后的頁(yè)面的URL 和頁(yè)面的資源(502)。通過用戶的右擊�����,當(dāng)從所顯示的上下文菜單中選擇與“文件的保存”有關(guān)的項(xiàng)目時(shí) (504)��,顯示文件保存對(duì)話�。對(duì)話操作監(jiān)視模塊340檢測(cè)所述對(duì)話顯示事件后(507)���,從瀏覽器監(jiān)視模塊330取得所顯示的頁(yè)面的URL和頁(yè)面資源(頁(yè)面數(shù)據(jù))(508)��,進(jìn)而��,取得保存所述文件的文件路徑 (510)�����,然后����,在所述文件的URL所包含的服務(wù)器是組織內(nèi)Web服務(wù)器116的情況下���,文件的取得方對(duì)文件賦予表示取得方的標(biāo)識(shí)符(511)���,作為不是監(jiān)視對(duì)象�。圖6是示出在用戶利用郵件程序在系統(tǒng)204中保存被添加到郵件中的文件時(shí)由 TCP通信監(jiān)視模塊360和對(duì)話操作監(jiān)視模塊340執(zhí)行的處理流程的時(shí)序的一例���。
當(dāng)用戶進(jìn)行起動(dòng)郵件程序或執(zhí)行郵件的顯示操作等的消息接收操作時(shí)(601)��,按照 POP (Post Office Protocol) 3 或 IMAP (Internet Message Access Protocol) 4 等的協(xié)議����,從郵件服務(wù)器114下載消息����。于是,在網(wǎng)絡(luò)驅(qū)動(dòng)器或TCP/IP協(xié)議棧中監(jiān)視套接字的TCP 通信監(jiān)視模塊360實(shí)施郵件正文數(shù)據(jù)的解析處理(603)���,取得消息內(nèi)的發(fā)送者名和添加文件名(604)���。進(jìn)而,TCP通信監(jiān)視模塊360對(duì)利用Base64等編碼后的添加文件數(shù)據(jù)進(jìn)行解碼����, 計(jì)算散列值(605)���。將通過步驟604和步驟605得到的添加文件名、散列值以及添加文件的發(fā)送者名登記在取得方DB393中(606)�����。在用戶使用郵件程序閱覽郵件正文的進(jìn)程中��,有時(shí)執(zhí)行將添加文件保存在本地文件系統(tǒng)204中的操作(有時(shí)不是在剛剛下載了郵件數(shù)據(jù)之后立即執(zhí)行該操作�,而是隔開一定時(shí)間執(zhí)行該操作)���。當(dāng)郵件程序進(jìn)行使用文件保存對(duì)話保存添加文件的操作時(shí)(602)����, 對(duì)話操作監(jiān)視模塊340檢測(cè)對(duì)話顯示事件(607)���,從在對(duì)話中顯示的信息中取得文件名 (608)�����,取得文件的保存目的地的全路徑(609)�����。進(jìn)而��,將在所述對(duì)話中顯示的文件名作為關(guān)鍵字來檢索取得方DB 393�����,取得文件的發(fā)送者名等的屬性(610)����。這里,在添加文件名是一般的名稱����、例如“規(guī)格書.doc”這樣的名稱的情況下,認(rèn)為在取得方DB 393中登記了多個(gè)記錄�。在這種情況下,針對(duì)在步驟608中取得的保存目的地文件名的文件計(jì)算散列值�����,將所述散列值作為關(guān)鍵字來檢索取得方DB 393���,由此����,能夠取得文件的發(fā)送者名。在步驟610中�,在文件的發(fā)送者是組織內(nèi)的其他用戶的情況下,對(duì)所述文件賦予表示取得方的標(biāo)識(shí)符(611)��。圖7是示出在用戶利用郵件程序在本地文件系統(tǒng)204中保存被添加到郵件中的文件時(shí)由TCP通信監(jiān)視模塊360和文件操作監(jiān)視模塊350執(zhí)行的處理流程的時(shí)序的一例����。步驟701 步驟706的處理與圖6中的時(shí)序(步驟601 步驟606)相同。作為在用戶使用郵件程序閱覽郵件正文的進(jìn)程中將添加文件保存在本地文件系統(tǒng)204中的操作���, 不光采用使用文件保存對(duì)話進(jìn)行的方法���,還存在將表示在郵件程序畫面內(nèi)顯示的添加文件的圖標(biāo)拖放到桌面或文件資源管理器的方法���。在進(jìn)行這種操作的情況下�,文件操作監(jiān)視模塊350檢測(cè)來自郵件程序畫面的基于鼠標(biāo)的拖放事件(707)���。進(jìn)而�����,文件操作監(jiān)視模塊350監(jiān)視針對(duì)文件系統(tǒng)的文件生成事件����, 響應(yīng)基于鼠標(biāo)的拖放操作,取得在本地文件系統(tǒng)204中生成的文件的名稱(708)��,并取得全路徑(709)����,將文件名和文件的散列值作為關(guān)鍵字來檢索取得方DB 393,取得文件的發(fā)送者名等的屬性(710)��。在步驟710中����,在文件的發(fā)送者是組織內(nèi)的其他用戶的情況下,對(duì)所述文件賦予表示取得方的標(biāo)識(shí)符(711)���。接著�,按照?qǐng)D8 圖11說明實(shí)現(xiàn)如下的第二單元的時(shí)序檢測(cè)到用戶從客戶PC進(jìn)行了輸出操作��,確認(rèn)表示已輸入的標(biāo)識(shí)符并發(fā)出警告��。圖8是示出在用戶利用Web瀏覽器上傳文件時(shí)由瀏覽器監(jiān)視模塊330和對(duì)話操作監(jiān)視模塊340執(zhí)行的處理流程的時(shí)序的一例��。在Web瀏覽器中顯示的用于文件上傳的表單畫面中,當(dāng)用戶點(diǎn)擊了追加上傳對(duì)象的文件的按鈕時(shí)(801)�,Web瀏覽器顯示文件選擇對(duì)話。對(duì)話操作監(jiān)視模塊340檢測(cè)顯示了文件選擇對(duì)話的事件��,取得所選擇的文件的名稱���,并開始監(jiān)視文件打開(805)�����。
當(dāng)用戶使用文件選擇對(duì)話選擇文件并在所述表單畫面中點(diǎn)擊了文件登記按鈕時(shí) (802)�����,提交表單畫面��,在Web瀏覽器中顯示的畫面遷移�����。瀏覽器監(jiān)視模塊330檢測(cè)其結(jié)果產(chǎn)生的頁(yè)面遷移事件(80 ,保存遷移后的 URL(804)����。此時(shí)���,在提交了文件上傳的情況下,對(duì)話操作監(jiān)視模塊340檢測(cè)針對(duì)該文件的文件打開(806)����,從OS 207取得該文件的文件路徑(807)。進(jìn)而��,對(duì)話操作監(jiān)視模塊340從瀏覽器監(jiān)視模塊330取得頁(yè)面遷移后的URL�,判定文件的輸出目的地是否是檢查對(duì)象,在上傳文件的Web服務(wù)器是組織外的服務(wù)器的情況下�,文件的輸出目的地是檢查對(duì)象,確認(rèn)文件的取得方的標(biāo)識(shí)符�,在是從組織內(nèi)的文件服務(wù)器115復(fù)制的文件、從組織內(nèi)Web服務(wù)器116下載的文件��、被添加到郵件程序并取得的文件的情況下���,實(shí)施發(fā)出警告的處理(809)��。發(fā)出警告的處理是指如下處理在從客戶PC 121輸出的輸出信息的輸出目的地�、 例如上傳文件的Web服務(wù)器是組織外Web服務(wù)器131即與管理服務(wù)器111的管理對(duì)象不同的檢查對(duì)象��;從客戶PC 121輸出的輸出信息��、例如在客戶PC 121中進(jìn)行處理后的文件是從組織內(nèi)的文件服務(wù)器115復(fù)制的文件、從組織內(nèi)Web服務(wù)器116下載的文件�、被添加到郵件程序并取得的文件;文件的取得方是管理服務(wù)器111的管理對(duì)象時(shí)����,從客戶PC 121輸出的輸出信息(文件)是通過非法操作而生成的信息,生成表示適合非法操作的條件的警告�����,向管理服務(wù)器111發(fā)送所生成的警告��。該情況下����,管理服務(wù)器111檢測(cè)到與信息泄露事故有關(guān)的風(fēng)險(xiǎn)較高的非法操作, 將伴隨非法操作的信息作為應(yīng)該在警告中進(jìn)行處理的信息進(jìn)行管理���。由此��,管理者能夠根據(jù)管理服務(wù)器111所收集的警告�,執(zhí)行用于抑制信息泄露的對(duì)策等�。圖9是示出在用戶使用郵件程序發(fā)送帶添加文件的郵件時(shí)由TCP通信監(jiān)視模塊 360和對(duì)話操作監(jiān)視模塊340執(zhí)行的處理流程的時(shí)序的一例。當(dāng)用戶在利用郵件程序生成發(fā)送郵件的進(jìn)程中使用文件選擇對(duì)話進(jìn)行了文件添加操作時(shí)(901)���,對(duì)話操作監(jiān)視模塊340檢測(cè)到文件選擇對(duì)話的顯示事件(906)�����,取得所選擇的文件的名稱和文件的全路徑(907)�,在發(fā)送郵件之前待機(jī)�。然后,當(dāng)用戶利用郵件程序?qū)嵤┼]件發(fā)送操作時(shí)(90 ����,TCP通信監(jiān)視模塊360對(duì)利用SMTP(Simple Mail Transfer Protocol)協(xié)議發(fā)送的數(shù)據(jù)進(jìn)行解析(903),取得發(fā)送目的地和添加文件名(904)�����。在對(duì)發(fā)送郵件附加了添加文件且郵件發(fā)送目的地為組織外的情況下�����,TCP通信監(jiān)視模塊360對(duì)待機(jī)中的對(duì)話操作監(jiān)視模塊340通知向組織外的目的地發(fā)送郵件(905)���。對(duì)話操作監(jiān)視模塊340確認(rèn)表示所發(fā)送的文件的取得方的標(biāo)識(shí)符�����,在是從組織內(nèi)的文件服務(wù)器復(fù)制的文件���、從組織內(nèi)Web服務(wù)器下載的文件��、被添加到郵件程序并取得的文件的情況下����,實(shí)施發(fā)出警告的處理(908)�。圖10是示出在用戶使用郵件程序發(fā)送帶添加文件的郵件時(shí)由TCP通信監(jiān)視模塊 360和文件操作監(jiān)視模塊350執(zhí)行的處理流程的時(shí)序的一例。當(dāng)用戶在利用郵件程序生成發(fā)送郵件的進(jìn)程中使用拖放進(jìn)行了文件添加操作時(shí) (1001)�����,文件操作監(jiān)視模塊350檢測(cè)到將文件從文件資源管理器等拖放到郵件程序的窗口中(1006)�,取得所選擇的文件的名稱和文件的全路徑(1007),在發(fā)送郵件之前待機(jī)��。
然后���,當(dāng)用戶利用郵件程序?qū)嵤┼]件發(fā)送操作時(shí)(102)���,TCP通信監(jiān)視模塊360對(duì)利用SMTP協(xié)議發(fā)送的數(shù)據(jù)進(jìn)行解析(1003),取得發(fā)送目的地和添加文件名(1004)。在對(duì)發(fā)送郵件附加了添加文件且郵件發(fā)送目的地為組織外的情況下�����,TCP通信監(jiān)視模塊360對(duì)待機(jī)中的對(duì)話操作監(jiān)視模塊340通知向組織外的目的地發(fā)送郵件(1005)�����。文件操作監(jiān)視模塊350確認(rèn)表示所發(fā)送的文件的取得方的標(biāo)識(shí)符��,在是從組織內(nèi)的文件服務(wù)器復(fù)制的文件���、從組織內(nèi)Web服務(wù)器下載的文件、被添加到郵件程序并取得的文件的情況下���,實(shí)施發(fā)出警告的處理(1008)���。圖11是示出在用戶利用應(yīng)用進(jìn)行打印操作時(shí)由對(duì)話操作監(jiān)視模塊340執(zhí)行的處理流程的時(shí)序的一例。當(dāng)用戶利用應(yīng)用進(jìn)行打印操作時(shí)(1101)���,對(duì)話操作監(jiān)視模塊340檢測(cè)打印對(duì)話的顯示事件(1103)�,取得實(shí)施打印的應(yīng)用的窗口標(biāo)題(1104)��,打開應(yīng)用,取得要執(zhí)行打印的文件的全路徑(1105)���。然后�,當(dāng)用戶在打印對(duì)話中點(diǎn)擊了打印按鈕時(shí)(1102)��,對(duì)話操作監(jiān)視模塊340檢測(cè)到關(guān)閉了對(duì)話(1206)���,確認(rèn)表示所發(fā)送的文件的取得方的標(biāo)識(shí)符�����,在是從組織內(nèi)的文件服務(wù)器復(fù)制的文件���、從組織內(nèi)Web服務(wù)器下載的文件、被添加到郵件程序并取得的文件的情況下�,實(shí)施發(fā)出警告的處理(1107)。圖12是在用戶使用文件資源管理器將文件服務(wù)器115的信息復(fù)制到本地文件系統(tǒng)204時(shí)通過由文件操作監(jiān)視模塊350執(zhí)行的處理來實(shí)現(xiàn)第一單元的時(shí)序����、以及在用戶使用文件資源管理器將文件復(fù)制到可移動(dòng)媒體時(shí)通過由文件操作監(jiān)視模塊350執(zhí)行的處理來實(shí)現(xiàn)第二單元的時(shí)序的一例。當(dāng)用戶進(jìn)行使用文件資源管理器的文件復(fù)制或者移動(dòng)操作時(shí)(1201)�����,文件操作監(jiān)視模塊350進(jìn)行確定文件的復(fù)制方和復(fù)制目的地的處理(120 ,在復(fù)制方是文件服務(wù)器115��、復(fù)制目的地是客戶PC 121的情況下�����,對(duì)操作對(duì)象的文件賦予表示取得方的標(biāo)識(shí)符 (1203)�����。另一方面��,當(dāng)用戶使用文件資源管理器進(jìn)行文件復(fù)制或者移動(dòng)操作時(shí)(1211)�,文件操作監(jiān)視模塊350進(jìn)行確定文件的復(fù)制方和復(fù)制目的地的處理(121 ����,在復(fù)制方是客戶 PC 121的本地文件系統(tǒng)204、復(fù)制目的地是與客戶PC 121連接的可移動(dòng)媒體的情況下���,對(duì)操作對(duì)象的文件確認(rèn)表示取得方的標(biāo)識(shí)符�,在是從組織內(nèi)的文件服務(wù)器復(fù)制的文件����、從組織內(nèi)Web服務(wù)器下載的文件�����、被添加到郵件程序并取得的文件的情況下�,實(shí)施發(fā)出警告的處理(1213)����。圖13是用于存儲(chǔ)與接收到的郵件有關(guān)的信息的取得方DB 393、以及對(duì)存儲(chǔ)在本地文件系統(tǒng)204中的文件209賦予的表示取得方的標(biāo)識(shí)符1311的格式的一例��。取得方DB 393由存儲(chǔ)文件名的字段1301�����、存儲(chǔ)郵件的發(fā)送者名的字段1302���、存儲(chǔ)字段1301所記載的文件的散列值的字段1303構(gòu)成�。表示取得方的標(biāo)識(shí)符1311如圖5所述那樣�,如果是Microsoft公司的NTFS,則能夠使用“代替流”實(shí)現(xiàn)為ini文件形式的數(shù)據(jù)��。如果是從郵件服務(wù)器114取得的文件����,則在 From行中記載發(fā)送者的郵件地址���,如果是從文件服務(wù)器115取得的文件,則在krver行中記載文件服務(wù)器的服務(wù)器名或IP地址����,如果是從組織內(nèi)Web服務(wù)器取得的文件,則記載表示所取得的文件的URL���?�?梢詣h除未使用的行��,也可以使等號(hào)以后為空白。
在本發(fā)明中�,能夠利用第二單元發(fā)出表示取得方的標(biāo)識(shí)符1311所包含的內(nèi)容作為警告。在第一單元中����,在表示取得方的標(biāo)識(shí)符1311中包含信息被輸入到客戶PC 121的時(shí)刻,由此����,在警告本身中,除了能夠包含從哪里取得已輸出的信息以外����,還能夠包含是什么時(shí)候取得的信息�。為了實(shí)現(xiàn)上述情況��,作為取得方DB 393的字段����,也可以追加用于存儲(chǔ)接收到包含添加文件的郵件的時(shí)刻的字段,在步驟606�、706中,TCP通信模塊360還在取得方DB 393中登記郵件標(biāo)題所記載的接收時(shí)刻���,在取得文件屬性的步驟610��、710中�����,還取得所述時(shí)刻信息字段的內(nèi)容����,對(duì)表示取得方的標(biāo)識(shí)符1311賦予時(shí)刻信息�����。圖14是示出由瀏覽器監(jiān)視模塊330執(zhí)行的處理的概要的流程圖的一例。瀏覽器監(jiān)視模塊330在起動(dòng)Web瀏覽器的定時(shí)被起動(dòng)��,設(shè)定在圖4��、圖5�����、圖8中說明的針對(duì)Web瀏覽器的用戶操作事件的監(jiān)視(1401)����,進(jìn)入判別是否產(chǎn)生事件的循環(huán) (1402)。在檢測(cè)到產(chǎn)生事件的情況下����,瀏覽器監(jiān)視模塊330執(zhí)行用于判別是否通過用戶的左擊操作而遷移了頁(yè)面的步驟(1403)。在通過用戶的左擊操作而遷移了頁(yè)面的情況下��,瀏覽器監(jiān)視模塊330執(zhí)行取得遷移后的URL的步驟(1404)���,然后,執(zhí)行向?qū)υ挶O(jiān)視模塊340發(fā)送URL的步驟(1404)��。另一方面��,在頁(yè)面沒有遷移的情況下,瀏覽器監(jiān)視模塊330執(zhí)行通過文件操作監(jiān)視模塊350取得鼠標(biāo)事件的瀏覽器上的坐標(biāo)信息的步驟(1405)��,執(zhí)行取得位于鼠標(biāo)光標(biāo)下的HTML的錨標(biāo)簽的步驟(1406)�����,執(zhí)行提取利用鼠標(biāo)光標(biāo)選擇出的URL的步驟(1407)����,然后,執(zhí)行向?qū)υ挷僮鞅O(jiān)視模塊340發(fā)送URL的步驟(1404)�����。圖15是示出由對(duì)話操作監(jiān)視模塊340執(zhí)行的處理的概要的流程圖的一例��。對(duì)話操作監(jiān)視模塊340在用戶登錄客戶PC 121的定時(shí)被起動(dòng)�����,監(jiān)視在圖4�����、圖5、 圖6��、圖8�����、圖9���、圖11中說明的使用對(duì)話的文件操作���,例如,在進(jìn)行了定時(shí)器監(jiān)視等的創(chuàng)建 (1501)后����,監(jiān)視顯示對(duì)話的事件(1502)。在產(chǎn)生事件的情況下�,對(duì)話操作監(jiān)視模塊340檢查是否顯示了上傳對(duì)話或下載對(duì)話(1503),在顯示了對(duì)話的情況下���,判別顯示所述對(duì)話的應(yīng)用的種類(1504)�����。在應(yīng)用是郵件程序的情況下,實(shí)施生成郵件程序檢查線程的步驟(1505),在應(yīng)用是Web瀏覽器的情況下�����,實(shí)施生成Web瀏覽器檢查線程的步驟(1506)���。并且����,在步驟1503中���,在所顯示的對(duì)話不是上傳或下載對(duì)話的情況下����,對(duì)話操作監(jiān)視模塊340判別是否是打印用對(duì)話(1507)����,實(shí)施生成打印檢查線程的步驟(1508)。在實(shí)施了生成各線程的步驟后�����,對(duì)話操作監(jiān)視模塊340返回監(jiān)視顯示對(duì)話的事件的步驟(1502)�。圖16是示出由對(duì)話操作監(jiān)視模塊340執(zhí)行的處理中的郵件程序檢查線程的概要的流程圖的一例。在本線程中,對(duì)話操作監(jiān)視模塊340檢查是否顯示了上傳對(duì)話或下載對(duì)話 (1601)����,在顯示了對(duì)話的情況下,從在對(duì)話中顯示的字符串中取得文件夾名(1602)���,并取得文件名(1603)����,構(gòu)成上傳或下載對(duì)象的文件的全路徑(1604)�����,然后返回步驟1601�����。然后�,當(dāng)用戶點(diǎn)擊對(duì)話的保存按鈕等而使對(duì)話成為非顯示時(shí),執(zhí)行步驟1605以后的處理�����。首先���,對(duì)話操作監(jiān)視模塊340判別是否已經(jīng)執(zhí)行步驟1604并構(gòu)成全路徑���、且存在全路徑所示的文件(1605),在存在文件的情況下��,執(zhí)行步驟1606以后的處理���,在不存在文件的情況下��,返回步驟1601�����。在存在文件的情況下����,首先�����,對(duì)話操作監(jiān)視模塊340判別是否是下載對(duì)話(1606)���, 在是下載對(duì)話的情況下����,計(jì)算在步驟1604中確定的文件的散列值(1607),如圖6���、圖7所示�,檢索TCP通信監(jiān)視模塊360在取得方DB中登記的信息(1608)�,在與取得方是組織內(nèi)的其他用戶等的條件一致的情況下,針對(duì)在步驟1604中取得的全路徑所示的文件寫入取得方信息(1609)����。在是上傳對(duì)話的情況下,如圖9���、圖10所示����,等待來自TCP通信監(jiān)視模塊360的通知(1610)��,在將對(duì)話所指定的文件添加到郵件進(jìn)行發(fā)送的情況下���,讀入在步驟1604中取得的添加文件的全路徑所示的文件的取得方信息(1611)�����,檢查警告條件����,然后生成警告,根據(jù)需要向管理服務(wù)器111發(fā)送警告(1612)���。圖17是示出由對(duì)話操作監(jiān)視模塊340執(zhí)行的處理中的Web瀏覽器檢查線程的概要的流程圖的一例。在本線程中�����,對(duì)話操作監(jiān)視模塊340檢查是否顯示了上傳對(duì)話或下載對(duì)話 (1701)��,在顯示了對(duì)話的情況下��,從在對(duì)話中顯示的字符串中取得文件夾名(1702)��,并取得文件名(1703)����,構(gòu)成上傳或下載對(duì)象的文件的全路徑(1704),然后返回步驟1701�����。然后,當(dāng)用戶點(diǎn)擊對(duì)話的保存按鈕等而使對(duì)話成為非顯示時(shí)���,執(zhí)行步驟1705以后的處理����。首先���,對(duì)話操作監(jiān)視模塊340判別是否已經(jīng)執(zhí)行步驟1704并構(gòu)成全路徑����、且存在全路徑所示的文件(1705)���,在存在文件的情況下��,執(zhí)行步驟1706以后的處理�,在不存在文件的情況下����,返回步驟1701。在存在文件的情況下��,首先判別是否是下載對(duì)話(1706)�, 在是下載對(duì)話的情況下��,如圖4��、圖5所示���,取得瀏覽器監(jiān)視模塊330所保持的下載方信息 (1707),在與取得方是組織內(nèi)的其他用戶等的條件一致的情況下�����,針對(duì)在步驟1704中取得的全路徑所示的文件寫入取得方信息(1708)�����。在是上傳對(duì)話的情況下���,如圖8所示,對(duì)話操作監(jiān)視模塊340從瀏覽器監(jiān)視模塊330取得瀏覽器監(jiān)視模塊330所保持的上傳目的地信息(1709)�,在發(fā)送了對(duì)話所指定的文件的情況下,讀入在步驟1704中取得的添加文件的全路徑所示的文件的取得方信息 (1710)�,檢查警告條件,然后生成警告����,根據(jù)需要向管理服務(wù)器111發(fā)送警告(1711)�����。圖18是示出由對(duì)話操作監(jiān)視模塊340執(zhí)行的處理中的基于應(yīng)用的打印檢查線程的概要的流程圖的一例��。在本線程中�����,對(duì)話操作監(jiān)視模塊340檢查是否顯示了打印對(duì)話(1801)��,在顯示了對(duì)話的情況下�����,取得打印方的應(yīng)用的進(jìn)程ID�、(1802)���,并從所述進(jìn)程打開的文件一覽中取得文件名(1803)��,構(gòu)成打印對(duì)象的文件的全路徑(1804)�����,然后返回步驟1801��。然后�����,當(dāng)用戶點(diǎn)擊對(duì)話的打印按鈕等而使對(duì)話成為非顯示時(shí)���,讀入打印對(duì)象文件的取得方信息(1805)�,檢查警告條件���,然后生成警告�����,根據(jù)需要向管理服務(wù)器111發(fā)送警告 (1806)。圖19是示出由文件操作監(jiān)視模塊350執(zhí)行的處理的概要的流程圖的一例���。文件操作監(jiān)視模塊350在用戶登錄客戶PC 121的定時(shí)被起動(dòng)�,在開始鼠標(biāo)事件的鉤子后(1901)�����,監(jiān)視在圖5、圖7��、圖10中說明的使用鼠標(biāo)的文件操作�����,在檢測(cè)到事件時(shí)���,判別檢測(cè)到的鼠標(biāo)操作事件是否是右擊(1902)���。
此時(shí),在是右擊的情況下����,文件操作監(jiān)視模塊350取得前臺(tái)窗口中的鼠標(biāo)光標(biāo)坐標(biāo)(1903),執(zhí)行針對(duì)瀏覽器窗口的坐標(biāo)的轉(zhuǎn)換處理(1904)����,執(zhí)行對(duì)瀏覽器監(jiān)視模塊330通知在步驟1904中取得的坐標(biāo)的處理(1905),返回事件監(jiān)視�。另一方面,在步驟1902中判定為鼠標(biāo)操作事件不是右擊的情況下����,文件操作監(jiān)視模塊350執(zhí)行判別是否是拖動(dòng)事件的處理(1906)��,在不是拖動(dòng)事件的情況下����,返回事件監(jiān)視�。在事件是拖動(dòng)事件的情況下,文件操作監(jiān)視模塊350檢測(cè)放下所拖動(dòng)的目標(biāo)的事件�����,判定是否在文件資源管理器上拖動(dòng)并在郵件程序上放下(1907)����。在步驟1907中判定為否的情況下,文件操作監(jiān)視模塊350返回事件監(jiān)視���,在步驟 1907中判定為是的情況下�����,取得拖動(dòng)方文件路徑(1908),讀入在步驟1908中取得的添加文件的全路徑所示的文件的取得方信息(1909)����,檢查警告條件,然后,根據(jù)需要向管理服務(wù)器 111發(fā)送警告(1910)����。在步驟1907中放下目標(biāo)的目的地不是郵件程序上的情況下,文件操作監(jiān)視模塊 350判定拖放事件是否在郵件程序上拖動(dòng)并在文件資源管理器上放下(1911)�。在步驟1921為否的情況下,文件操作監(jiān)視模塊350返回事件監(jiān)視�����,在步驟1921為是的情況下��,取得添加文件的放下目的地的文件路徑(191 �����。接著�,文件操作監(jiān)視模塊350 計(jì)算在步驟1912中取得的文件的散列值(1913),檢索在取得方DB中登記的信息(1914)��, 在與取得方是組織內(nèi)的其他用戶等的條件一致的情況下����,針對(duì)在步驟1912中取得的全路徑所示的文件寫入取得方信息(1915)。另外�����,關(guān)于針對(duì)圖12所示的時(shí)序的文件操作監(jiān)視模塊350的處理,在拖動(dòng)方為文件服務(wù)器115��、放下目的地為本地文件系統(tǒng)204的情況下���,只要進(jìn)行以步驟1912和步驟 1915為基準(zhǔn)的處理即可����,在拖動(dòng)方為本地文件系統(tǒng)204�、放下目的地為可移動(dòng)媒體的情況下,只要進(jìn)行以步驟1908和步驟1910為基準(zhǔn)的處理即可����。并且,在拖動(dòng)方為文件服務(wù)器115�����、放下目的地為可移動(dòng)媒體的情況下���,只要進(jìn)行以步驟1910為基準(zhǔn)的處理即可��。圖20是示出由TCP通信監(jiān)視模塊360執(zhí)行的處理的概要的流程圖的一例�。TCP通信監(jiān)視模塊360在用戶登錄客戶PC 121的定時(shí)被起動(dòng)���,監(jiān)視SMTP���、P0P3、 IMAP4的各協(xié)議中的通信數(shù)據(jù)����。開始套接字通信的監(jiān)視(2001),判別是否是所述協(xié)議中的收發(fā)數(shù)據(jù)000 ��。在步驟2002為否的情況下����,返回套接字通信的監(jiān)視,在步驟2002為是的情況下����,實(shí)施步驟2003以后的處理。在步驟2003中����,TCP通信監(jiān)視模塊360實(shí)施郵件數(shù)據(jù)的解析。此時(shí)���,根據(jù)郵件數(shù)據(jù)的標(biāo)題區(qū)域�,發(fā)送者和接收者能夠通過MIME (Multipurpose Internet Mail Extension) 部分的解析對(duì)添加文件的有無以及文件名稱等信息進(jìn)行解析。接著���,TCP通信監(jiān)視模塊360識(shí)別是否在郵件中存在添加文件(2004)�����,在添加了文件的情況下�����,進(jìn)而���,判別協(xié)議種類是郵件接收用的P0P3或IMAP4還是郵件發(fā)送用的 SMTP (2005) 0在是郵件接收的情況下,取得發(fā)送者名���、添加文件名(2006)��,對(duì)添加文件的數(shù)據(jù)進(jìn)行解碼后計(jì)算散列值(2007)�,登記在取得方DB 393中�����,返回套接字通信的監(jiān)視。另一方面���,在步驟2005中是郵件發(fā)送的情況下,TCP通信監(jiān)視模塊360取得發(fā)送者名�、添加文件名O009),向?qū)υ挶O(jiān)視模塊350和文件監(jiān)視模塊360發(fā)送在步驟2009中取得的信息����。根據(jù)以上的結(jié)構(gòu)和處理,在本系統(tǒng)中����,能夠識(shí)別從與監(jiān)視對(duì)象不同的設(shè)備輸入到客戶PC 121的信息(輸入信息)被輸出到作為檢查對(duì)象的設(shè)備。作為對(duì)客戶PC 121輸入信息的方法��,具有如下方法(1)利用Web瀏覽器的下載(2)被添加到接收郵件中的文件(3)使用文件資源管理器的從文件服務(wù)器到本地文件系統(tǒng)204的復(fù)制和移動(dòng)�,在這些任意的操作中,對(duì)所輸入的信息賦予包含與輸入方有關(guān)的信息的表示取得方的標(biāo)識(shí)符1311�����。在針對(duì)被輸入到客戶PC 121的本地文件系統(tǒng)內(nèi)的信息進(jìn)行復(fù)制�����、名稱變更、移動(dòng)的各處理的情況下�,還對(duì)處理后的信息(包含復(fù)制后的信息)賦予表示取得方的標(biāo)識(shí)符 1311,如果是具有這種功能的文件系統(tǒng)(例如Microsoft公司的NTFS)�,則作為本系統(tǒng)所設(shè)定的信息輸出操作,在進(jìn)行了如下動(dòng)作時(shí)����,能夠發(fā)出警告(1)利用Web瀏覽器的文件上傳(2)帶添加文件的郵件的發(fā)送(3)利用應(yīng)用的打印(4)針對(duì)可移動(dòng)媒體的復(fù)制和移動(dòng)?�?梢愿鶕?jù)表示取得方的標(biāo)識(shí)符1311的內(nèi)容來決定使用本系統(tǒng)發(fā)出警告的條件���。 例如��,如果是通過利用Web瀏覽器的下載而輸入的信息����,則可以將組織內(nèi)的所有Web服務(wù)器作為對(duì)象�,如果是能夠識(shí)別存儲(chǔ)有重要信息的Web服務(wù)器的信息,則也可以設(shè)定在安全策略392中��,以使得僅將在表示取得方的標(biāo)識(shí)符1311中包含特定的Web服務(wù)器的URL的情況作為對(duì)象�。并且,也可以根據(jù)進(jìn)行輸出操作的時(shí)間段、信息的種類��、大小來改變發(fā)出警告的條件�。根據(jù)本實(shí)施方式,能夠?qū)⒃趯⒂山M織內(nèi)的其他計(jì)算機(jī)生成的機(jī)密信息輸入到用戶自己使用的客戶PC 121后輸出到組織外的操作檢測(cè)為非法操作��,能夠?qū)⒂脩暨M(jìn)行的與信息泄露有關(guān)的風(fēng)險(xiǎn)較高的操作檢測(cè)為非法操作����。由此�����,為了對(duì)與信息泄露有關(guān)的風(fēng)險(xiǎn)較高的用戶操作進(jìn)行檢測(cè)����,不進(jìn)行在進(jìn)行了特定的信息輸出操作的情況下發(fā)出警告的初始設(shè)定以及定義非法操作樣板的初始設(shè)定,就能夠?qū)崿F(xiàn)針對(duì)信息泄露的風(fēng)險(xiǎn)較高的非法操作發(fā)出警告的功能����。并且,檢測(cè)與信息泄露事故有關(guān)的風(fēng)險(xiǎn)較高的非法操作���,將伴隨非法操作的信息作為應(yīng)該在警告中進(jìn)行處理的信息進(jìn)行管理����,由此,能夠抑制信息泄露��。標(biāo)號(hào)說明111 管理服務(wù)器�����;114 郵件服務(wù)器�����;115 文件服務(wù)器����;116 組織內(nèi)Web服務(wù)器; 121 客戶PC ��;122 代理程序��;123 網(wǎng)絡(luò)打印機(jī)���;204 本地文件系統(tǒng)��;310 進(jìn)程監(jiān)視模塊���; 320 打印機(jī)監(jiān)視模塊�;330 瀏覽器監(jiān)視模塊����;340 對(duì)話操作監(jiān)視模塊;350 文件操作監(jiān)視模塊����;360 =TCP通信監(jiān)視模塊;393 取得方DB �����;1311 表示取得方的標(biāo)識(shí)符�。
權(quán)利要求
1.一種非法操作檢測(cè)系統(tǒng)�����,該非法操作檢測(cè)系統(tǒng)具有監(jiān)視裝置�����,將搭載有應(yīng)用程序的微處理器作為監(jiān)視對(duì)象����,監(jiān)視針對(duì)與所述監(jiān)視對(duì)象連接的輸出裝置的畫面上的信息的操作���;以及管理終端,將所述監(jiān)視裝置作為管理對(duì)象����,管理所述監(jiān)視裝置的監(jiān)視結(jié)果, 所述非法操作檢測(cè)系統(tǒng)檢測(cè)針對(duì)所述輸出裝置的畫面上的信息的操作中的非法操作����, 其特征在于,所述監(jiān)視裝置響應(yīng)用于對(duì)所述監(jiān)視對(duì)象輸入信息的操作���,識(shí)別被輸入到所述監(jiān)視對(duì)象的輸入信息的取得方��,并且對(duì)所述輸入信息賦予表示該輸入信息的取得方的標(biāo)識(shí)符��,所述監(jiān)視裝置響應(yīng)用于從所述監(jiān)視對(duì)象輸出信息的操作�,識(shí)別從所述監(jiān)視對(duì)象輸出的輸出信息的輸出目的地���,并且檢索表示所述輸出信息的取得方的標(biāo)識(shí)符�����,判定識(shí)別到的所述輸出信息的輸出目的地和檢索到的所述輸出信息的取得方的組合是否適合非法操作的條件���,根據(jù)該判定結(jié)果生成警告�。
2.如權(quán)利要求1所述的非法操作檢測(cè)系統(tǒng)���,其特征在于�����,所述監(jiān)視裝置具有對(duì)話操作監(jiān)視模塊�,該對(duì)話操作監(jiān)視模塊監(jiān)視針對(duì)在與所述監(jiān)視對(duì)象連接的輸出裝置的畫面上顯示的對(duì)話的操作���,所述對(duì)話操作監(jiān)視模塊在利用針對(duì)所述對(duì)話的操作來選擇文件并對(duì)所述監(jiān)視對(duì)象輸入與所述文件有關(guān)的信息作為所述輸入信息時(shí)��,識(shí)別所述文件的取得方,并且對(duì)所述文件賦予表示該文件的取得方的標(biāo)識(shí)符�����,所述對(duì)話操作監(jiān)視模塊在利用針對(duì)所述對(duì)話的操作從所述監(jiān)視對(duì)象輸出與所述文件有關(guān)的信息作為所述輸出信息時(shí)���,識(shí)別所述文件的輸出目的地�,并且識(shí)別被賦予給所述文件的標(biāo)識(shí)符。
3.如權(quán)利要求2所述的非法操作檢測(cè)系統(tǒng)����,其特征在于,所述監(jiān)視裝置具有瀏覽器監(jiān)視模塊�����,該瀏覽器監(jiān)視模塊監(jiān)視針對(duì)在所述輸出裝置的畫面上顯示的Web瀏覽器的操作�,所述瀏覽器監(jiān)視模塊在利用針對(duì)所述Web瀏覽器的操作來選擇文件并對(duì)所述監(jiān)視對(duì)象輸入與所述文件有關(guān)的信息作為所述輸入信息時(shí),識(shí)別所述文件的取得方��,并且對(duì)所述文件賦予表示該文件的取得方的標(biāo)識(shí)符并保存�����,所述對(duì)話操作監(jiān)視模塊在利用針對(duì)所述對(duì)話的操作從所述監(jiān)視對(duì)象輸出與所述文件有關(guān)的信息作為所述輸出信息時(shí)����,識(shí)別所述文件的輸出目的地,并且從所述瀏覽器監(jiān)視模塊取得保存的所述標(biāo)識(shí)符����,識(shí)別被賦予給所述文件的標(biāo)識(shí)符。
4.如權(quán)利要求3所述的非法操作檢測(cè)系統(tǒng)��,其特征在于,所述監(jiān)視裝置具有取得方數(shù)據(jù)庫(kù)�����,該取得方數(shù)據(jù)庫(kù)存儲(chǔ)與取得方有關(guān)的信息�, 所述瀏覽器監(jiān)視模塊在利用針對(duì)所述Web瀏覽器的操作來選擇文件并對(duì)所述監(jiān)視對(duì)象輸入與所述文件有關(guān)的信息作為所述輸入信息時(shí),識(shí)別所述文件的取得方���,并且對(duì)所述文件賦予表示該文件的取得方的標(biāo)識(shí)符����,在所述取得方數(shù)據(jù)庫(kù)中登記表示所述文件的取得方的標(biāo)識(shí)符�,所述對(duì)話操作監(jiān)視模塊在利用針對(duì)所述對(duì)話的操作從所述監(jiān)視對(duì)象輸出與所述文件有關(guān)的信息作為所述輸出信息時(shí),識(shí)別所述文件的輸出目的地�����,并且從所述瀏覽器監(jiān)視模塊取得在所述取得方數(shù)據(jù)庫(kù)中登記的標(biāo)識(shí)符��,識(shí)別被賦予給所述文件的標(biāo)識(shí)符�。
5.如權(quán)利要求4所述的非法操作檢測(cè)系統(tǒng)�����,其特征在于,所述監(jiān)視裝置具有通信監(jiān)視模塊�,該通信監(jiān)視模塊監(jiān)視在所述檢查對(duì)象中的配置在所述監(jiān)視裝置的監(jiān)視區(qū)域以外的區(qū)域的檢查對(duì)象與所述監(jiān)視對(duì)象之間、經(jīng)由所述監(jiān)視區(qū)域以外的區(qū)域的網(wǎng)絡(luò)執(zhí)行的信息的收發(fā)���,所述通信監(jiān)視模塊在利用針對(duì)所述對(duì)話的操作來選擇文件并對(duì)所述監(jiān)視對(duì)象輸入與所述文件有關(guān)的信息作為所述輸入信息時(shí)�,根據(jù)從所述檢查對(duì)象接收到的信息識(shí)別所述文件的取得方���,并且對(duì)所述文件賦予表示該文件的取得方的標(biāo)識(shí)符�����。
6.如權(quán)利要求5所述的非法操作檢測(cè)系統(tǒng)�,其特征在于��,所述監(jiān)視裝置具有文件操作監(jiān)視模塊��,該文件操作監(jiān)視模塊針對(duì)所述輸出裝置的畫面上的信息監(jiān)視來自與所述監(jiān)視對(duì)象連接的輸入裝置的操作���,所述文件操作監(jiān)視模塊在利用來自所述輸入裝置的操作來選擇文件并對(duì)所述監(jiān)視對(duì)象輸入與所述文件有關(guān)的信息作為所述輸入信息時(shí)����,識(shí)別所述文件的取得方,并且對(duì)所述文件賦予表示該文件的取得方的標(biāo)識(shí)符��,所述文件操作監(jiān)視模塊在利用來自所述輸入裝置的操作從所述監(jiān)視對(duì)象輸出與所述文件有關(guān)的信息作為所述輸出信息時(shí)��,識(shí)別所述文件的輸出目的地���,并且識(shí)別被賦予給所述文件的標(biāo)識(shí)符�。
7.如權(quán)利要求6所述的非法操作檢測(cè)系統(tǒng)���,其特征在于�,所述文件操作監(jiān)視模塊在判定為識(shí)別到的所述輸出信息的輸出目的地是與所述管理終端的管理對(duì)象不同的檢查對(duì)象�、檢索到的所述輸出信息的取得方是所述管理終端的管理對(duì)象時(shí),從所述監(jiān)視對(duì)象輸出的輸出信息生成表示適合所述非法操作的條件的警告�,向所述管理終端發(fā)送生成的所述警告。
8.如權(quán)利要求7所述的非法操作檢測(cè)系統(tǒng)���,其特征在于��,所述檢查對(duì)象是與所述監(jiān)視對(duì)象連接的存儲(chǔ)介質(zhì)中的所述管理終端的管理對(duì)象以外的存儲(chǔ)介質(zhì)�����、或者與所述管理終端的管理區(qū)域以外的網(wǎng)絡(luò)連接的設(shè)備����、即所述管理終端的管理對(duì)象以外的外部設(shè)備��。
9.一種非法操作檢測(cè)方法�����,該非法操作檢測(cè)方法將搭載有應(yīng)用程序的微處理器作為監(jiān)視對(duì)象����,檢測(cè)針對(duì)與所述監(jiān)視對(duì)象連接的輸出裝置的畫面的操作中的非法操作,其特征在于�,響應(yīng)用于對(duì)所述監(jiān)視對(duì)象輸入信息的操作,識(shí)別被輸入到所述監(jiān)視對(duì)象的輸入信息的取得方����,并且對(duì)所述輸入信息賦予表示該輸入信息的取得方的標(biāo)識(shí)符,響應(yīng)用于從所述監(jiān)視對(duì)象輸出信息的操作�,識(shí)別從所述監(jiān)視對(duì)象輸出的輸出信息的輸出目的地,檢索表示所述輸出信息的取得方的標(biāo)識(shí)符�����,判定識(shí)別到的所述輸出信息的輸出目的地和檢索到的所述輸出信息的取得方的組合是否適合非法操作的條件�,根據(jù)所述判定結(jié)果生成警告。
10.如權(quán)利要求9所述的非法操作檢測(cè)方法,其特征在于����,在判定為識(shí)別到的所述輸出信息的輸出目的地是與所述管理終端的管理對(duì)象不同的檢查對(duì)象、檢索到的所述輸出信息的取得方是所述管理終端的管理對(duì)象時(shí)�����,從所述監(jiān)視對(duì)象輸出的輸出信息生成表示適合所述非法操作的條件的警告�,向管理終端發(fā)送生成的所述警告。
11. 一種非法操作檢測(cè)程序��,該非法操作檢測(cè)程序?qū)⒋钶d有應(yīng)用程序的微處理器作為監(jiān)視對(duì)象���,檢測(cè)針對(duì)與所述監(jiān)視對(duì)象連接的輸出裝置的畫面的操作中的非法操作��,其特征在于�,作為用于使計(jì)算機(jī)執(zhí)行的步驟����,所述非法操作檢測(cè)程序包括以下步驟 響應(yīng)用于對(duì)所述監(jiān)視對(duì)象輸入信息的操作,識(shí)別被輸入到所述監(jiān)視對(duì)象的輸入信息的取得方的步驟��;對(duì)在所述步驟中識(shí)別到的所述輸入信息賦予表示該輸入信息的取得方的標(biāo)識(shí)符的步驟���;響應(yīng)用于從所述監(jiān)視對(duì)象輸出信息的操作����,識(shí)別從所述監(jiān)視對(duì)象輸出的輸出信息的輸出目的地的步驟���;檢索表示從所述監(jiān)視對(duì)象輸出的輸出信息的取得方的標(biāo)識(shí)符的步驟�; 判定在所述步驟中識(shí)別到的輸出信息的輸出目的地和在所述步驟中檢索到的輸出信息的取得方的組合是否適合非法操作的條件的步驟�����;以及根據(jù)所述步驟中的判定結(jié)果生成警告的步驟�����。
全文摘要
識(shí)別操作內(nèi)容并針對(duì)信息泄露的風(fēng)險(xiǎn)較高的操作生成警告���。代理監(jiān)視針對(duì)在客戶PC的畫面上顯示的對(duì)話的操作等����,在利用針對(duì)所顯示的對(duì)話的操作選擇了文件時(shí)��,對(duì)該文件賦予表示文件的取得方的標(biāo)識(shí)符��,在將文件作為添加文件進(jìn)行發(fā)送時(shí),識(shí)別文件的輸出目的地�,并且識(shí)別添加文件的輸入輸出方,在添加文件的輸出目的地是組織外Web服務(wù)器���、添加文件的輸入輸出方是郵件服務(wù)器時(shí)�����,視為執(zhí)行了非法操作�,生成警告�����,對(duì)管理服務(wù)器發(fā)送所生成的警告�。
文檔編號(hào)G06F21/24GK102428476SQ20108002149
公開日2012年4月25日 申請(qǐng)日期2010年4月2日 優(yōu)先權(quán)日2010年3月10日
發(fā)明者中越洋, 礒川弘實(shí), 萱島信, 角尾晉一, 鈴木則夫 申請(qǐng)人:株式會(huì)社日立制作所