專(zhuān)利名稱(chēng):一種電子文件權(quán)限動(dòng)態(tài)適配控管方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及國(guó)際專(zhuān)利主分類(lèi)號(hào)中的G06計(jì)算��;推算���;計(jì)數(shù),尤其涉及G06F21/00防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置���。
背景技術(shù):
隨著電子信息化程度的不斷提高�����,政府��、行業(yè)和企業(yè)越來(lái)越多依賴(lài)計(jì)算機(jī)和信息系統(tǒng)����,在加強(qiáng)交流、方便溝通的同時(shí)也增加了信息非法擴(kuò)散的風(fēng)險(xiǎn)�。人員大量使用移動(dòng)存儲(chǔ)設(shè)備、各類(lèi)重要文件通過(guò)電子郵件或即時(shí)通訊工具傳遞���,造成有意或無(wú)意的數(shù)據(jù)泄漏越來(lái)越多���。受到利益驅(qū)使,部分內(nèi)部員工甚至直接參與了重要信息數(shù)據(jù)的盜取���,有關(guān)統(tǒng)計(jì)顯示��, 來(lái)自?xún)?nèi)網(wǎng)的信息安全威脅占整個(gè)安全威脅的80 %�����。傳統(tǒng)電子文件幾乎不受任何權(quán)限限制�����,所有人都能隨意的閱讀��、修改���、復(fù)制�、打印或分發(fā)����,而這些正是導(dǎo)致信息泄密的主要原因。如何才能有效授權(quán)�����,防止未經(jīng)授權(quán)造成的信息泄密和非法使用呢�����?目前主要依靠電子文件權(quán)限控管系統(tǒng)來(lái)實(shí)現(xiàn)此功能����。通?�!拔募w檔管理只能用操作系統(tǒng)自帶的權(quán)限控制功能實(shí)現(xiàn)��,這種文件訪(fǎng)問(wèn)控制一般只能控制到讀�����、寫(xiě)、刪除等操作的權(quán)限”�,這種技術(shù)在使用中存在嚴(yán)重缺陷,主要表現(xiàn)在“授權(quán)用戶(hù)一旦擁有了這些權(quán)限����,就可以不受限制的傳播和復(fù)制電子文件的內(nèi)容,或者說(shuō)�����,訪(fǎng)問(wèn)者一旦進(jìn)入了某個(gè)文件夾�����,里面的所有文件都將處于未加密�、未授權(quán)狀態(tài)”。即使文件經(jīng)過(guò)保護(hù)����,這些(如 Word/Excel/PowerPoint、Adobe PDF��、WinZip���、WinRAR 等)文件的 “合法用戶(hù)也可以對(duì)保護(hù)的內(nèi)容進(jìn)行復(fù)制和擴(kuò)散”�。同時(shí),由于文件都是分布式存放于使用者的個(gè)人磁盤(pán)上�����,“一旦擁有授權(quán)�����,就具有了文件的永久使用權(quán)限��,隨時(shí)閱讀����、打印都可以”。 另外�����,對(duì)于很多機(jī)密文件����,一旦被有相應(yīng)權(quán)限的人獲取�,就可以被帶離公司��,如果不加限制�, 這些離線(xiàn)的文件就可以被永久使用�����,相當(dāng)于徹底失去了保護(hù)�。所有這些都是造成離線(xiàn)狀態(tài)下電子文件泄密的隱患。還有一類(lèi)電子文件權(quán)限控管技術(shù)�,是通過(guò)設(shè)置關(guān)鍵詞,在客戶(hù)端的電子文件傳送至服務(wù)端時(shí)���,經(jīng)由其設(shè)置的關(guān)鍵詞進(jìn)行內(nèi)容比對(duì)��,根據(jù)比對(duì)結(jié)果對(duì)電子文件自動(dòng)進(jìn)行加密和權(quán)限分類(lèi)���。比如“條件式電子文件權(quán)限控管系統(tǒng)及方法”,申請(qǐng)?zhí)?00910158055. 4�����。此類(lèi)方法在使用中也存在缺陷�����,主要表現(xiàn)在�����,其一是“事后利用關(guān)鍵詞對(duì)電子文件進(jìn)行掃描”��, 其實(shí)時(shí)性較差���;其二是“有條件的關(guān)鍵詞搜索,未必能對(duì)所有文件的機(jī)密性級(jí)別做到準(zhǔn)確無(wú)誤的判斷”�;另外“對(duì)在網(wǎng)內(nèi)所有計(jì)算機(jī)存儲(chǔ)的文件做到及時(shí)的判斷保護(hù)上”也存在漏洞。
發(fā)明內(nèi)容
為解決上述現(xiàn)有電子文件中保密策略存在問(wèn)題���,本發(fā)明提供電子文件權(quán)限動(dòng)態(tài)適配控管方法及系統(tǒng)���,一種電子文件權(quán)限動(dòng)態(tài)適配控管方法,其特征在于具有如下步驟配置多種權(quán)限控管策略�����;生成并存儲(chǔ)具有多個(gè)控管策略的控管策略池��;解析所述控管策略池中的控管策略�����,得到權(quán)限特征碼����;
3
獲取系統(tǒng)進(jìn)程中當(dāng)前運(yùn)行文件的文件標(biāo)識(shí)碼;解析上述文件標(biāo)識(shí)碼��,得到文件機(jī)密屬性特征碼��;在文件機(jī)密屬性特征碼是由內(nèi)核根據(jù)當(dāng)前文件標(biāo)識(shí)碼���、可信進(jìn)程特征碼���、身份特征碼以及權(quán)限特征碼的分級(jí)過(guò)濾適配生成的。適配解析所述權(quán)限特征碼與文件機(jī)密屬性特征碼若權(quán)限特征碼與文件機(jī)密屬性特征碼相匹配���,生成文件適配操作碼��,根據(jù)該操作碼對(duì)文件進(jìn)行加解密操作���;若所述權(quán)限特征碼與文件機(jī)密屬性特征碼不匹配,得到文件非適配操作信息���。所述控管策略池中包含全局縱向控管策略�、全局橫向控管策略和多維局部縱向、 橫向控管策略��;在生成具有多個(gè)控管策略的控管策略池步驟前����,為每個(gè)文件配置權(quán)限控管策略和配置文件機(jī)密屬性的匹配策略。在所述權(quán)限特征碼與文件機(jī)密屬性特征碼不匹配��,得到文件非適配操作信息之后����,發(fā)出告警,終止文件進(jìn)程�����。在判斷出權(quán)限特征碼與文件機(jī)密屬性特征碼相匹配��,生成文件適配操作碼��,根據(jù)該操作碼對(duì)文件進(jìn)行加解密操作后�,將當(dāng)前的文件機(jī)密屬性特征碼抽象轉(zhuǎn)換成文件標(biāo)識(shí)碼寫(xiě)入該文件。存儲(chǔ)由預(yù)先設(shè)定的組織架構(gòu)信息��、針對(duì)不同用戶(hù)設(shè)定的多種權(quán)限信息和根據(jù)組織架構(gòu)信息和多種權(quán)限信息設(shè)定的多種權(quán)限控管策略的服務(wù)器;以及按所述服務(wù)器中組織架構(gòu)信息設(shè)定的�����,接收服務(wù)器發(fā)出的權(quán)限控管策略的客戶(hù)端���;該客戶(hù)端具有接收并存儲(chǔ)由服務(wù)器發(fā)出的權(quán)限控管策略的策略池;解析所述策略池發(fā)出的控管策略�����,得到權(quán)限特征碼的策略矩陣解析單元�;策略矩陣解析是對(duì)權(quán)限控管、可信進(jìn)程�����、身份特征進(jìn)行級(jí)別�����、時(shí)空分析匹配的一種方法����,由于每個(gè)用戶(hù)的權(quán)限級(jí)別和時(shí)空狀態(tài)的不同�����,故其控管策略是隨級(jí)別��、時(shí)空動(dòng)態(tài)變化的�����。獲取系統(tǒng)進(jìn)程中需要進(jìn)行授權(quán)文件的文件標(biāo)識(shí)碼的I/O管理單元���;解析所述I/O管理單元獲得文件標(biāo)識(shí)碼,得到文件機(jī)密屬性特征碼的文件系統(tǒng)過(guò)濾單元�;適配解析所述權(quán)限特征碼與文件機(jī)密屬性特征碼若權(quán)限特征碼與文件機(jī)密屬性特征碼相匹配,生成文件適配操作碼����,根據(jù)該操作碼對(duì)文件進(jìn)行加解密操作;若所述權(quán)限特征碼與文件機(jī)密屬性特征碼不匹配��,得到文件非適配操作信息的動(dòng)態(tài)權(quán)限適配單元����。報(bào)警單元,該報(bào)警單元在所述權(quán)限特征碼與文件機(jī)密屬性特征碼不匹配�����,得到文件非適配操作信息之后,發(fā)出告警����,終止文件進(jìn)程。電子文件權(quán)限動(dòng)態(tài)適配控管系統(tǒng)繼承在Windows�、或UNIX、或LINUX操作系統(tǒng)中�����。
為了更清楚的說(shuō)明本發(fā)明的實(shí)施例或現(xiàn)有技術(shù)的技術(shù)方案�,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖做一簡(jiǎn)單地介紹�����,顯而易見(jiàn)地����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明的流程2為本發(fā)明的結(jié)構(gòu)3為本發(fā)明實(shí)施例1涉及到的組織架構(gòu)圖
具體實(shí)施例方式為使本發(fā)明的實(shí)施例的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚���,下面結(jié)合本發(fā)明實(shí)施例中的附圖��,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚完整的描述��,顯然����,所描述的實(shí)施例是本發(fā)明的一部分實(shí)施例����,而不是全部實(shí)施例?��;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它實(shí)施例�����,都屬于本發(fā)明的保護(hù)范圍�。如圖1、圖2所示��,一種電子文件權(quán)限動(dòng)態(tài)適配控管方法及系統(tǒng)��,作為一個(gè)較佳的實(shí)施方式���,具有至少一臺(tái)系統(tǒng)管理員控制的服務(wù)器和多個(gè)具有不同訪(fǎng)問(wèn)權(quán)限的客戶(hù)端����。所述服務(wù)器主要包含有組織架構(gòu)信息�,即規(guī)定不同客戶(hù)端按規(guī)定的組織管理架構(gòu)分配不同的的權(quán)限����,以及根據(jù)組織架構(gòu)信息設(shè)定的每個(gè)客戶(hù)端的多種權(quán)限控管策略。同時(shí)設(shè)定一名具有所有權(quán)限的系統(tǒng)管理員和多名局部管理員���,管理員的職責(zé)主要有2個(gè)�����,一����、針對(duì)需要權(quán)限控管的文件設(shè)定一個(gè)文件機(jī)密特征碼,并且規(guī)定該文件機(jī)密屬性特征碼與權(quán)限特征碼的匹配規(guī)則�����。文件機(jī)密屬性特征碼是由系統(tǒng)內(nèi)核根據(jù)當(dāng)前文件標(biāo)識(shí)碼����、可信進(jìn)程特征碼、身份特征碼以及權(quán)限特征碼的分級(jí)過(guò)濾適配生成的����。二、系統(tǒng)管理員由于具有最高的系統(tǒng)操作權(quán)限�,該系統(tǒng)管理員也負(fù)責(zé)設(shè)定組織架構(gòu)內(nèi)部所有的文件、用戶(hù)的權(quán)限控管策略�����。 本發(fā)明中所指的權(quán)限控管策略�,包括賦予不同成員用戶(hù)針對(duì)各種不同的文件操作權(quán)限以及訪(fǎng)問(wèn)其他系統(tǒng)成員文件的規(guī)則,或者根據(jù)特定的文件制定組織架構(gòu)內(nèi)不同權(quán)限用戶(hù)的針對(duì)該文件的訪(fǎng)問(wèn)、操作規(guī)則�。文件操作權(quán)限包括只讀、編輯��、刪除和無(wú)權(quán)等不同權(quán)限��。所述客戶(hù)端���,作為一個(gè)較佳的實(shí)施方式��,分為用戶(hù)層和內(nèi)核層��。用戶(hù)層與用戶(hù)直接交互��,其中設(shè)有接收并存儲(chǔ)從服務(wù)器發(fā)出的各種權(quán)限控管策略的權(quán)限控管策略池����;該權(quán)限控管策略池����,也負(fù)責(zé)存儲(chǔ)組織機(jī)構(gòu)中��,臨時(shí)劃定的部門(mén)����、組的局部權(quán)限信息����,并與服務(wù)器端通信���,將局部臨時(shí)組建的部門(mén)�����、組的權(quán)限信息上傳至服務(wù)器����,由系統(tǒng)管理員�、局部管理員針對(duì)上傳信息,制定相應(yīng)局部控管策略��,再將局部控管策略發(fā)回該權(quán)限控管策略池���。該存儲(chǔ)單元中存儲(chǔ)的權(quán)限控管策略主要包括以下幾種全局縱向控管策略���,由系統(tǒng)管理員根據(jù)使用單位需求進(jìn)行分級(jí)、分域�����、分組權(quán)限控管策略配置;其中分級(jí)配置���,分級(jí)管理員能對(duì)下級(jí)分域�����、分組���、成員的全部或者部分來(lái)進(jìn)行權(quán)限控管策略配置;分域配置����,可以實(shí)現(xiàn)對(duì)本域內(nèi)所有分組、成員的全部或者部分來(lái)進(jìn)行權(quán)限控管策略配置�;分組配置,可以實(shí)現(xiàn)對(duì)本組內(nèi)所有成員的全部或者部分來(lái)進(jìn)行權(quán)限控管策略配置�����;全局橫向控管策略��,由系統(tǒng)管理員根據(jù)使用單位需求進(jìn)行部門(mén)間��、分域間的權(quán)限策略控管�����;其中分級(jí)配置�����,可以實(shí)現(xiàn)對(duì)其分級(jí)����、分域、分組����、成員的全部或者部分進(jìn)行權(quán)限控管策略配置;同級(jí)別或向其它上級(jí)別的交互文件���,需逐級(jí)提交上報(bào)����,由系統(tǒng)管理員來(lái)配置權(quán)限控管策略���;分域配置���,可以實(shí)現(xiàn)對(duì)其分域�����、分組����、成員的全部或者部分來(lái)進(jìn)行權(quán)限控管策略配置����;同級(jí)別或向其它上級(jí)別的交互文件需提交逐級(jí)上報(bào),由系統(tǒng)管理員來(lái)配置權(quán)限控管策略�,分組配置,可以實(shí)現(xiàn)對(duì)其分組����、成員的全部或者部分來(lái)進(jìn)行權(quán)限控管策略配置;同級(jí)別或向其它上級(jí)別的交互文件需提交逐級(jí)上報(bào)�����,由系統(tǒng)管理員來(lái)配置權(quán)限控管策略����;局部控管策略�,是全局控管策略的一個(gè)補(bǔ)充�,由部門(mén)在全局控管策略之外���,按需求對(duì)本部門(mén)所屬成員進(jìn)行權(quán)限控管策略配置���;同時(shí)對(duì)具有跨級(jí)、跨域�����、跨組間交互文件�����,需逐級(jí)提交上報(bào)需求���,由上級(jí)部門(mén)來(lái)配置權(quán)限控管策略����。本系統(tǒng)的適應(yīng)范圍很廣����,可適應(yīng)多種操作系統(tǒng)�。優(yōu)選的�����,客戶(hù)端可選用普通PC主機(jī)���,操作系統(tǒng)可選擇市面上主流的操作系統(tǒng)���,Windows, Unix和Linux等。在操作系統(tǒng)的應(yīng)用層中��,即客戶(hù)端的應(yīng)用層中運(yùn)行應(yīng)用權(quán)限控管的電子應(yīng)用文件����,如WORD、PowerPoint等�。在用戶(hù)端的內(nèi)核層,具有與所述策略池通信的策略矩陣解析單元����,該策略矩陣解析單元負(fù)責(zé)解析所述策略池存儲(chǔ)并下發(fā)的權(quán)限控管策略,解析后得到權(quán)限特征碼����,并且將權(quán)限特征碼傳送至動(dòng)態(tài)權(quán)限適配單元�����。優(yōu)選的��,在內(nèi)核層中還設(shè)有與應(yīng)用軟件通信的I/O管理器�,通過(guò)分析應(yīng)用程序發(fā)出的IRP包���,得到需要進(jìn)行授權(quán)的文件標(biāo)識(shí)特征碼,并將該文件表示特征碼傳送至文件過(guò)濾單元����。文件過(guò)濾單元接收到文件標(biāo)示特征碼后,經(jīng)過(guò)過(guò)濾處理�,在文件標(biāo)示特征碼中挑出事先由系統(tǒng)管理員規(guī)定的一串用來(lái)表述文件機(jī)密特征的文件機(jī)密特征碼,并且將該文件機(jī)密特征碼傳送至動(dòng)態(tài)權(quán)限適配單元�。在動(dòng)態(tài)權(quán)限適配單元中,將文件機(jī)密特征碼與上述策略矩陣解析單元解析得到的該用戶(hù)的權(quán)限特征碼依照事先設(shè)定的匹配規(guī)則相比較�����,如果二者相匹配����,則生成文件適配操作碼�����,判定該用戶(hù)具有對(duì)當(dāng)前文件的操作權(quán)限�,將文件解密允許用戶(hù)對(duì)文件進(jìn)行操作�����,同時(shí)把文件的文件標(biāo)識(shí)碼寫(xiě)入文件����,將文件存入存儲(chǔ)介質(zhì)。如果權(quán)限特征碼與文件機(jī)密特征碼不相匹配����,則客戶(hù)端系統(tǒng)拒絕為文件進(jìn)行解密操作,同時(shí)向用戶(hù)發(fā)出警示信息���,必要時(shí)還可以記錄此次無(wú)權(quán)操作企圖���,并向服務(wù)器端發(fā)送信息,讓系統(tǒng)管理員掌控系統(tǒng)內(nèi)的越權(quán)行為�����,進(jìn)一步加強(qiáng)整個(gè)系統(tǒng)的安全性。實(shí)施例1�,針對(duì)組織架構(gòu)圖3,詳細(xì)說(shuō)明本發(fā)明的運(yùn)作方法服務(wù)器端的系統(tǒng)管理員根據(jù)組織架構(gòu)需要給員工設(shè)定權(quán)限控管策略��,如財(cái)務(wù)部經(jīng)理�����,設(shè)定該經(jīng)理具有對(duì)財(cái)務(wù)部所有控管文件�,例如9月財(cái)務(wù)報(bào)表等具有讀取�、編輯和刪除的權(quán)限,以及對(duì)生產(chǎn)管理部門(mén)涉及到財(cái)務(wù)的文件具有讀取權(quán)限��。設(shè)定業(yè)務(wù)部經(jīng)理對(duì)上述兩種類(lèi)型的文件沒(méi)有權(quán)限�。同時(shí),針對(duì)財(cái)務(wù)部的控管文件設(shè)定訪(fǎng)問(wèn)規(guī)則���。將所述的文件控管策略和文件訪(fǎng)問(wèn)規(guī)則存儲(chǔ)并下發(fā)至2個(gè)員工的客戶(hù)端����,存儲(chǔ)在客戶(hù)端的權(quán)限控管策略池中�����。當(dāng)財(cái)務(wù)部經(jīng)理在客戶(hù)端操作控管文件的時(shí)候,例如財(cái)務(wù)部的9月財(cái)務(wù)報(bào)表�,按權(quán)限控管策略,財(cái)務(wù)經(jīng)理可以對(duì)這個(gè)9月財(cái)務(wù)報(bào)表進(jìn)行讀取���、編輯和刪除等操作���。而且為了系統(tǒng)的文件安全性,文件只能在該組織架構(gòu)內(nèi)打開(kāi)和進(jìn)行上述讀取��、編輯和刪除等操作����。如果財(cái)務(wù)經(jīng)理將文件帶出該組織架構(gòu),文件即顯示亂碼���。同樣的�����,業(yè)務(wù)經(jīng)理由于沒(méi)有訪(fǎng)問(wèn)9月財(cái)務(wù)報(bào)表的權(quán)限�����,打開(kāi)9月財(cái)務(wù)報(bào)表同樣也顯示亂碼不能訪(fǎng)問(wèn)���,即使擁有訪(fǎng)問(wèn)權(quán)限的財(cái)務(wù)經(jīng)理將文件打開(kāi)后��,另存為一個(gè)文件�,發(fā)給業(yè)務(wù)經(jīng)理���,業(yè)務(wù)經(jīng)理也不能操作該文件����,打開(kāi)文件后顯示為亂碼���。在月末財(cái)務(wù)報(bào)表定稿后�,會(huì)由財(cái)務(wù)部上繳至上級(jí)領(lǐng)導(dǎo)審查�����,領(lǐng)導(dǎo)審查完畢后����,該9
6月份財(cái)務(wù)報(bào)表即存檔�,不再賦予修改權(quán)限���,此時(shí)服務(wù)器端的系統(tǒng)管理員將針對(duì)該文件的控管策略改為針對(duì)所有人只讀,此時(shí)財(cái)務(wù)經(jīng)理的訪(fǎng)問(wèn)權(quán)限也修改為只讀�,并將修改過(guò)的權(quán)限即使下發(fā)至包括財(cái)務(wù)經(jīng)理所使用的客戶(hù)端在內(nèi)的所有客戶(hù)端的策略池中。結(jié)合本文中所公開(kāi)的實(shí)施例描述的各示例的單元及算法步驟��,能夠以電子硬件���、 計(jì)算機(jī)軟件或者二者的結(jié)合來(lái)實(shí)現(xiàn)���,為了清楚地說(shuō)明硬件和軟件的可互換性,在上述說(shuō)明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟�����。這些功能究竟以硬件還是軟件方式來(lái)執(zhí)行�����,取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件����。專(zhuān)業(yè)技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來(lái)使用不同方法來(lái)實(shí)現(xiàn)所描述的功能,但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍��。結(jié)合本文中所公開(kāi)的實(shí)施例描述的方法或算法的步驟可以用硬件、處理器執(zhí)行的軟件模塊���,或者二者的結(jié)合來(lái)實(shí)施��。軟件模塊可以置于隨機(jī)存儲(chǔ)(RAM)�、內(nèi)存�、只讀存儲(chǔ)器 (ROM)、電可編程ROM�����、電可擦除可編程ROM��、寄存器�����、硬盤(pán)��、可移動(dòng)磁盤(pán)��、CD-ROM��、或任意其它形式的存儲(chǔ)介質(zhì)中��。以上所述��,僅為本發(fā)明較佳的具體實(shí)施方式
��,但本發(fā)明的保護(hù)范圍并不局限于此����, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭示的技術(shù)范圍內(nèi),根據(jù)本發(fā)明的技術(shù)方案及其發(fā)明構(gòu)思加以等同替換或改變�����,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1.一種電子文件權(quán)限動(dòng)態(tài)適配控管方法�,其特征在于具有如下步驟 配置多種權(quán)限控管策略����;生成并存儲(chǔ)具有多個(gè)控管策略的控管策略池; 解析所述控管策略池中的控管策略�,得到權(quán)限特征碼; 獲取系統(tǒng)進(jìn)程中當(dāng)前運(yùn)行文件的文件標(biāo)識(shí)碼���; 解析上述文件標(biāo)識(shí)碼��,得到文件機(jī)密屬性特征碼�����;適配解析所述權(quán)限特征碼與文件機(jī)密屬性特征碼若權(quán)限特征碼與文件機(jī)密屬性特征碼相匹配�,生成文件適配操作碼,根據(jù)該操作碼對(duì)文件進(jìn)行加解密操作���;若所述權(quán)限特征碼與文件機(jī)密屬性特征碼不匹配��,得到文件非適配操作信息�。
2.根據(jù)權(quán)利要求1所述的電子文件權(quán)限動(dòng)態(tài)適配控管方法�,其特征還在于在生成具有多個(gè)控管策略的控管策略池步驟前,為每個(gè)文件配置權(quán)限控管策略和配置文件機(jī)密屬性的匹配策略����。
3.根據(jù)權(quán)利要求2所述的電子文件權(quán)限動(dòng)態(tài)適配控管方法,其特征還在于在所述權(quán)限特征碼與文件機(jī)密屬性特征碼不匹配���,得到文件非適配操作信息之后�����,發(fā)出告警��,終止文件進(jìn)程����。
4.根據(jù)權(quán)利要求3所述的電子文件權(quán)限動(dòng)態(tài)適配控管方法����,其特征還在于在判斷出權(quán)限特征碼與文件機(jī)密屬性特征碼相匹配,生成文件適配操作碼����,根據(jù)該操作碼對(duì)文件進(jìn)行加解密操作后,將當(dāng)前的文件機(jī)密屬性特征碼寫(xiě)入該文件�。
5.一種電子文件權(quán)限動(dòng)態(tài)適配控管系統(tǒng),其特征在于具有存儲(chǔ)由預(yù)先設(shè)定的組織架構(gòu)信息�����、針對(duì)不同用戶(hù)設(shè)定的多種權(quán)限信息和根據(jù)組織架構(gòu)信息和多種權(quán)限信息設(shè)定的多種權(quán)限控管策略的服務(wù)器��;以及按所述服務(wù)器中組織架構(gòu)信息設(shè)定的���,接收服務(wù)器發(fā)出的權(quán)限控管策略的客戶(hù)端��;該客戶(hù)端具有接收并存儲(chǔ)由服務(wù)器發(fā)出的權(quán)限控管策略的策略池�;解析所述策略池發(fā)出的控管策略,得到權(quán)限特征碼的策略矩陣解析單元����;獲取系統(tǒng)進(jìn)程中需要進(jìn)行授權(quán)文件的文件標(biāo)識(shí)碼的I/O管理單元;解析所述I/O管理單元獲得文件標(biāo)識(shí)碼��,得到文件機(jī)密屬性特征碼的文件系統(tǒng)過(guò)濾單元��;適配解析所述權(quán)限特征碼與文件機(jī)密屬性特征碼若權(quán)限特征碼與文件機(jī)密屬性特征碼相匹配��,生成文件適配操作碼�����,根據(jù)該操作碼對(duì)文件進(jìn)行加解密操作�;若所述權(quán)限特征碼與文件機(jī)密屬性特征碼不匹配,得到文件非適配操作信息的動(dòng)態(tài)權(quán)限適配單元����。
6.根據(jù)權(quán)利要求5所述的電子文件權(quán)限動(dòng)態(tài)適配控管系統(tǒng),其特征在于還具有報(bào)警單元����,該報(bào)警單元在所述權(quán)限特征碼與文件機(jī)密屬性特征碼不匹配,得到文件非適配操作信息之后,發(fā)出告警����,終止文件進(jìn)程���。
7.根據(jù)權(quán)利要求6所述的電子文件權(quán)限動(dòng)態(tài)適配控管系統(tǒng)����,其特征在于還具有電子文件權(quán)限動(dòng)態(tài)適配控管系統(tǒng)繼承在Windows���、或UNIX�����,或LINUX操作系統(tǒng)中�。
全文摘要
一種電子文件權(quán)限動(dòng)態(tài)適配控管方法����,其特征在于具有如下步驟配置多種權(quán)限控管策略;生成并存儲(chǔ)具有多個(gè)控管策略的控管策略池����;解析所述控管策略池中的控管策略,得到權(quán)限特征碼;獲取系統(tǒng)進(jìn)程中當(dāng)前運(yùn)行文件的文件標(biāo)識(shí)碼��;解析上述文件標(biāo)識(shí)碼���,得到文件機(jī)密屬性特征碼��;適配解析所述權(quán)限特征碼與文件機(jī)密屬性特征碼若權(quán)限特征碼與文件機(jī)密屬性特征碼相匹配���,生成文件適配操作碼,根據(jù)該操作碼對(duì)文件進(jìn)行加解密操作��;若所述權(quán)限特征碼與文件機(jī)密屬性特征碼不匹配�,得到文件非適配操作。
文檔編號(hào)H04L29/06GK102271141SQ20111026989
公開(kāi)日2011年12月7日 申請(qǐng)日期2011年9月13日 優(yōu)先權(quán)日2011年9月13日
發(fā)明者劉恩, 姜真喜, 張建軍, 高建福 申請(qǐng)人:大連佳姆信息安全軟件技術(shù)有限公司