電子文檔的安全管理方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種電子文檔的安全管理方法和系統(tǒng)。所述方法包括以下步驟:在管理端預(yù)定義電子文檔的安全管理規(guī)則��,并將其發(fā)送至客戶端�;客戶端在預(yù)定情況下執(zhí)行以下步驟:掃描電子文檔的內(nèi)容,根據(jù)電子文檔的特征向量的提取規(guī)則和密級空間的權(quán)重矩陣提取電子文檔在密級空間中的特征向量����;在密級空間中計算特征向量與各個涉密密級的中心向量的距離,根據(jù)電子文檔的密級向量的確定規(guī)則確定密級向量�����;根據(jù)密級向量到存儲區(qū)域之間的映射關(guān)系確定與密級向量對應(yīng)的核準存儲區(qū)域����;判斷電子文檔的擬存儲位置或者已存儲位置是否包含于核準存儲區(qū)域;如果不包含于核準存儲區(qū)域����,則根據(jù)異常情況判決規(guī)則執(zhí)行預(yù)定的第一操作���。
【專利說明】電子文檔的安全管理方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】,特別涉及一種電子文檔的安全管理方法和系統(tǒng)�。【背景技術(shù)】
[0002]隨著計算機技術(shù)的發(fā)展��,越來越多的企業(yè)����、組織以及政府機構(gòu)等依賴于計算機處理各類事務(wù),在這一過程中�,源源不斷地產(chǎn)生大量的電子文檔。這些電子文檔有些屬于一般性文檔��,可以不受限制地自由流轉(zhuǎn)���,但是有些文檔存儲有相關(guān)主體的敏感數(shù)據(jù)(或稱為保密數(shù)據(jù))����,比如金融數(shù)據(jù)�,客戶信息、合同��、關(guān)鍵代碼�、配方、工藝等商業(yè)秘密���,以及軍事及國家機密等��,其所有者希望這些敏感數(shù)據(jù)只在一定范圍內(nèi)流轉(zhuǎn)或歸檔�。
[0003]根據(jù)電子文檔所包括的敏感數(shù)據(jù)的內(nèi)容����,其所有者可能將電子文檔分為多個密級,每個密級的電子文檔只能在與該密級對應(yīng)的存儲區(qū)域區(qū)內(nèi)自由流轉(zhuǎn)�。
[0004]關(guān)于密級的確定目前已有的做法是對電子文檔的密級進行預(yù)定義,即在創(chuàng)建某電子文檔時��,就通過人工確定其密級�,例如為“機密級”,之后對該文檔的操作及歸檔即限制在“機密級”密級對應(yīng)的存儲區(qū)域內(nèi)進行���。然而�����,文檔的密級是由文檔的內(nèi)容決定的��,隨著文檔內(nèi)容的不斷修改和添加�����,原先確定的密級可能已經(jīng)不再適用�����。因此每個文檔固定密級的方法存在缺陷�。在這種情況下,一旦需要修改電子文檔的密級���,均需人工進行��。
[0005]在數(shù)據(jù)量呈爆炸性增長的今天�,某些企業(yè)可能一天內(nèi)就產(chǎn)生幾TB的數(shù)據(jù)�����,對應(yīng)著成千上萬的文檔����,對其進行人工甄別及管理無疑效率極低。進一步�,由人工來動態(tài)地及時地審核和定義文檔的密級也不具有可操作性。
[0006]同時��,也有企業(yè)存在大量并未確定密級的已有電子文檔,對這些文檔也希望進行安全管理(包括歸檔)��。這些事務(wù)如全由人工進行顯然工作量極為繁重����。
[0007]此外���,當某些情況下電子文檔需要流轉(zhuǎn)至對應(yīng)的存儲區(qū)域之外時(這是經(jīng)常發(fā)生的情況)���,一般是通過人工審批的環(huán)節(jié)進行,例如在部門負責人和/取規(guī)則�;(t2)密級空間的權(quán)重矩陣;(t3)密級空間中的各個涉密密級的中心向量和預(yù)定半徑��;(t4)電子文檔的密級向量的確定規(guī)則��;(t5)密級向量到存儲區(qū)域之間的映射關(guān)系���;(t6)異常情況判決規(guī)則����;
[0008]客戶端在預(yù)定情況下執(zhí)行以下步驟:
[0009](a)掃描電子文檔的內(nèi)容�����,根據(jù)所述電子文檔的特征向量的提取規(guī)則和密級空間的權(quán)重矩陣提取該電子文檔在密級空間中的特征向量;
[0010](b)在所述密級空間中計算所述特征向量與所述各個涉密密級的中心向量的距離����,根據(jù)所述電子文檔的密級向量的確定規(guī)則確定所述電子文檔的密級向量;
[0011](C)根據(jù)所述密級向量到存儲區(qū)域之間的映射關(guān)系確定與所述電子文檔的密級向量對應(yīng)的核準存儲區(qū)域��;
[0012](d)判斷所述電子文檔的擬存儲位置或者已存儲位置是否包含于所述核準存儲區(qū)域���;
[0013](e)如果所述擬存儲位置或者已存儲位置不包含于所述核準存儲區(qū)域�,則根據(jù)所述異常情況判決規(guī)則執(zhí)行預(yù)定的第一操作�����。[0014]按照本發(fā)明的第二個方面���,本發(fā)明涉及一種電子文檔的安全管理系統(tǒng)����,其包括存儲單元����、管理端和至少一個客戶端�����,其中�����,
[0015]所述存儲單元用于存儲電子文檔,所述存儲單元包括多個存儲區(qū)域�����;
[0016]所述管理端至少包括:
[0017]管理端通信單元��,用于實現(xiàn)管理端與客戶端之間的通信�;
[0018]規(guī)則管理單元,用于預(yù)定義電子文檔的安全管理規(guī)則�,所述電子文檔的安全管理規(guī)則至少包括以下內(nèi)容:(tl)電子文檔的特征向量的提取規(guī)則;(t2)密級空間的權(quán)重矩陣��;(t3)密級空間中的各個涉密密級的中心向量和預(yù)定半徑�����;(t4)電子文檔的密級向量的確定規(guī)則;(t5)密級向量到存儲區(qū)域之間的映射關(guān)系���;(t6)異常情況判決規(guī)則�����;
[0019]管理端執(zhí)行單元���,用于根據(jù)來自客戶端的信息執(zhí)行預(yù)定的管理端操作;
[0020]報表單元�����,用于根據(jù)來自客戶端的信息生成或修改關(guān)于電子文檔的分布數(shù)據(jù)和/或掃描數(shù)據(jù)的報表��;
[0021]所述至少一個客戶端至少包括:
[0022]客戶端通信單元�����,用于實現(xiàn)客戶端與所述管理端之間的通信��;
[0023]或管理員批準的情況下才能實現(xiàn)��。但事實上��,在辦公自動化系統(tǒng)中,需要審批的事項常常較多且較為繁雜�����,許多人工審批環(huán)節(jié)流于形式�,影響了安全管理的有效性。
[0024]近年來��,各類新社交媒體的出現(xiàn)�,協(xié)同工作和移動辦公的流行,使得敏感數(shù)據(jù)的發(fā)現(xiàn)�����、管理和保護變得更為困難���,也對敏感數(shù)據(jù)的存儲、授權(quán)�����、轉(zhuǎn)移����、控制提出了更高的要求。
[0025]據(jù)波耐蒙研究所(Ponemon Institute)的一項調(diào)查顯示,數(shù)據(jù)安全面臨的第一大威脅是粗心大意的內(nèi)部人員,而不是居心叵測的員工����。接受調(diào)查的IT專業(yè)人士表示,88%的泄密事件與粗心大意的內(nèi)部人員有關(guān)����。
[0026]常見的數(shù)據(jù)泄露方式包括不安全的移動設(shè)備、無意地將電子郵件發(fā)送給錯誤的收件人等�����。
[0027]CN101957894A公開了一種條件式電子文件權(quán)限控管系統(tǒng)和方法�����,該系統(tǒng)包括管理端及客戶端���,在客戶端形成的電子文件傳送至管理端�,經(jīng)由其設(shè)定的關(guān)鍵詞進行內(nèi)容比對���,并根據(jù)內(nèi)容比對結(jié)果對電子文件自動進行加密和權(quán)限分類����。但是,該系統(tǒng)是通過關(guān)鍵詞比對的方式對電子文件進行加密和分類����,由于“關(guān)鍵詞比對”僅僅是對于設(shè)定的關(guān)鍵詞進行“有”或“無”的判斷,因而這種分類方式較為粗糙��,不便于對電子文件進行靈活管理�����。此外���,該系統(tǒng)需要將電子文件上傳至管理端�,由管理端進行處理���,不能對電子文件進行實時處理。
[0028]自然語言識別技術(shù)是語言信息處理的一個重要組成部分���,其采用人工智能的理論和技術(shù)將設(shè)定的自然語言機理用計算機程序表達處理�����,從而構(gòu)造出能夠理解和識別自然語言的人工智能技術(shù)�。在近年來,自然語言識別技術(shù)在搜索引擎技術(shù)中有所應(yīng)用�����,但并未見到將其應(yīng)用于電子文檔安全管理的報道���。
【發(fā)明內(nèi)容】
[0029]本發(fā)明的目的在于至少部分地克服現(xiàn)有技術(shù)存在的缺陷���,提供一種電子文檔的安全管理方法及系統(tǒng)。
[0030]根據(jù)本發(fā)明的第一方面����,本發(fā)明涉及一種電子文檔的安全管理方法,所述方法包括以下步驟:[0031]在管理端預(yù)定義電子文檔的安全管理規(guī)則���,并將其發(fā)送至客戶端���,所述電子文檔的安全管理規(guī)則至少包括以下內(nèi)容:(tl)電子文檔的特征向量的提
[0032]文檔分析單元,用于掃描電子文檔的內(nèi)容����,根據(jù)所述電子文檔的特征向量的提取規(guī)則和密級空間的權(quán)重矩陣提取該電子文檔在密級空間中的特征向量;
[0033]密級確定單元����,用于在所述密級空間中計算所述特征向量與所述各個涉密密級的中心向量的距離�,根據(jù)所述電子文檔的密級向量的確定規(guī)則確定所述電子文檔的密級向量;
[0034]判決單元����,用于根據(jù)所述密級向量到存儲區(qū)域之間的映射關(guān)系確定與所述電子文檔的密級向量對應(yīng)的核準存儲區(qū)域,判斷所述電子文檔的擬存儲位置或者已存儲位置是否包含于所述核準存儲區(qū)域�����,當所述擬存儲位置或者已存儲位置不包含于所述核準存儲區(qū)域時����,所述判決單元根據(jù)所述異常情況判決規(guī)則確定預(yù)定的第一操作和預(yù)定的管理端操作并生成操作指令;
[0035]客戶端執(zhí)行單元���,用于根據(jù)所述判決單元的所述操作指令執(zhí)行所述預(yù)定的第一操作���。
[0036]本發(fā)明的核心在于�,將自然語言識別技術(shù)用于動態(tài)地確定電子文檔的密級,由此帶來的一個顯著優(yōu)勢是����,本發(fā)明不是簡單的基于關(guān)鍵詞的“有”��、“無”確定電子文檔的密級����,而是將確定電子文檔密級的過程抽象成數(shù)學(xué)模型進行處理���,使得對電子文檔進行多重分類(或者說從多個角度分別確定密級)成為可能���,其密級確定方式更為高效、合理���,更適于在復(fù)雜系統(tǒng)中對電子文檔統(tǒng)一進行安全管理�����。
[0037]本發(fā)明的另一個顯著的優(yōu)勢在于��,由于電子文檔的密級是通過自然語言識別的方法自動確定的�,因而在文檔內(nèi)容發(fā)生變化的情況下�,可以動態(tài)地確定電子文檔的密級并進行相應(yīng)的處理,這有利于對敏感數(shù)據(jù)進行實時管理�,更好地保護信息安全。
[0038]通過本發(fā)明的方法��,可以有效避免因工作人員粗心大意而導(dǎo)致的敏感數(shù)據(jù)泄露,并且顯著地減少了用于數(shù)據(jù)安全管理所需耗費的人工勞動�。
[0039]按照本發(fā)明的構(gòu)思,上述方法和系統(tǒng)均可以進行進一步的改進或變形�。其例如而不限于以下情形:
[0040]在一優(yōu)選實施例中,所述方法以及所述系統(tǒng)可以根據(jù)關(guān)鍵詞和/或正則表達式提取所述電子文檔的特征向量��。由此��,本發(fā)明在確定電子文檔的密級時不僅使用依賴于詞庫的關(guān)鍵字��,并且引入了依據(jù)正則表達式(如公司合同編號規(guī)范等)進行特征抽取���,其較為適合實踐中的某些特殊需要��,使得對電子文檔的安全管理更為靈活��、實用�����。
[0041 ] 在一優(yōu)選實施例中���,所述密級空間為一個密級空間����。
[0042]在另一個優(yōu)選實施例中�����,所述密級空間也可以為多個密級空間���。
[0043]優(yōu)選地,當所述密級空間為多個密級空間時��,所述多個密級空間是由不同的權(quán)重矩陣定義的��,某個或某些密級對應(yīng)一個密級空間�����。通過選取多個權(quán)重矩陣確定多個密級空間����,可以體現(xiàn)同一條目所具有的對于不同類型密級的不同的信息增益,從而針對不同類型的密級形成更好的區(qū)分度����。
[0044]進一步優(yōu)選地,在提取所述電子文檔的特征向量時進行歸一化處理。這樣可以對特征向量形成統(tǒng)一的標準��,便于不同長度的文檔進行對比���。
[0045]進一步優(yōu)選地����,所述密級空間中的各個涉密密級的中心向量和預(yù)定半徑是通過在樣本集合中學(xué)習獲得的�����。通過選取適當?shù)臉颖拘纬蓸颖炯?��,可以使得分類的結(jié)果更為合理��、準確�。
[0046]進一步優(yōu)選地�,所述方法或者所述系統(tǒng)可以具有多種工作模式,例如可以為實時模式�、后臺模式或者可在實時模式和后臺模式之間進行切換。根據(jù)應(yīng)用場合靈活地選取適當?shù)墓ぷ髂J娇梢杂行Ю孟到y(tǒng)資源�。如采用實時模式和后臺模式相切換的工作模式有助
于進一步保障信息安全。
[0047]按照本發(fā)明的構(gòu)思進一步優(yōu)選地����,在實時模式下��,所述預(yù)定情況為有可能導(dǎo)致敏感數(shù)據(jù)泄露的操作,例如為用戶對所述電子文檔進行保存或拷貝操作�。由此,在出現(xiàn)預(yù)定情況時即啟動對電子文檔的掃描�����,可以實時監(jiān)測當前操作是否符合安全規(guī)則��,有效地保障了
信息安全����。
[0048]進一步優(yōu)選地,在實時模式下��,所述預(yù)定的第一操作包括:拒絕所述保存或拷貝操作�����,隔離所述電子文檔���,要求輸入文檔保護口令�����,刪除所述電子文檔或者向管理端發(fā)送報警信息�。顯然,在不同的情況下可以執(zhí)行不同的操作���,系統(tǒng)將根據(jù)異常情況判決規(guī)則來確定在何種情況下執(zhí)行何種操作�。一個最簡單的例子就是�,并非所有情況下客戶端都會向管理端發(fā)送報警信息,只是在個別有必要的情況下客戶端才會向管理端發(fā)送報警信息��。
[0049]根據(jù)本發(fā)明的構(gòu)思進一步優(yōu)選地����,在后臺模式下,所述預(yù)定情況是指在后臺進行定時或不定時的掃描���。采用后臺模式可以將較為耗時的掃描���、計算等操作與正常業(yè)務(wù)工作分開進行,從而較為有效地利用系統(tǒng)資源���。
[0050]進一步優(yōu)選地�����,在后臺模式下����,所述預(yù)定的第一操作包括:將所述電子文檔轉(zhuǎn)移到第一指定區(qū)域。通過強制轉(zhuǎn)移安全方面存在瑕疵的文件�����,可以將其單獨存放���、單獨管理,便于以后的處理����。
[0051]進一步優(yōu)選地,所述第一指定區(qū)域為隔離區(qū)或者所述核準存儲區(qū)域��。
[0052]在某些情況下�,如果電子文檔的安全管理規(guī)則中的任意一項或多項的內(nèi)容發(fā)生變化,則管理端預(yù)定義新的安全管理規(guī)則并將其發(fā)送至客戶端����,客戶端針對每個電子文檔執(zhí)行步驟(a)_步驟(C);隨后判斷每一個所述電子文檔的已存儲位置是否包含于所述核準存儲區(qū)域�,當某一個電子文檔的已存儲位置不包含于所述核準存儲區(qū)域時�,根據(jù)所述異常情況判決規(guī)則執(zhí)行預(yù)定的第二操作。這樣在安全管理規(guī)則發(fā)生變化的情況下���,自動重新確定電子文檔密級并進行相應(yīng)的處理�����,使得在不大量耗費人工勞動的情況下也能動態(tài)調(diào)整電子文檔的密級�,從而實現(xiàn)電子文檔的安全管理�����。
[0053]進一步優(yōu)選地�����,所述預(yù)定的第二操作包括:將所述電子文檔轉(zhuǎn)移至第二指定區(qū)域���。
[0054]進一步優(yōu)選地�,所述第二指定區(qū)域為隔離區(qū)或者所述核準存儲區(qū)域�����。
[0055]根據(jù)本發(fā)明的構(gòu)思進一步優(yōu)選地,所述管理端執(zhí)行單元為報警單元�,所述預(yù)定的管理端操作為報警操作。
【專利附圖】
【附圖說明】
[0056]參考隨附的附圖�,本發(fā)明更多的目的、功能和優(yōu)點將通過本發(fā)明實施方式的如下描述得以闡明�,其中:
[0057]圖1示意性地示出了根據(jù)本發(fā)明的構(gòu)思確定電子文檔密級的主要步驟。
[0058]圖2示意性地示出了根據(jù)本發(fā)明的一個優(yōu)選實施方式對電子文檔進行安全管理的部分流程��。
[0059]圖3示意性地示出了根據(jù)本發(fā)明的一個優(yōu)選實施方式的電子文檔的安全管理系統(tǒng)的框圖����。
[0060]圖4示意性地示出了根據(jù)本發(fā)明的另一個優(yōu)選實施方式的電子文檔的安全管理系統(tǒng)的框圖����。
【具體實施方式】
[0061]通過參考示范性實施例,本發(fā)明的目的和功能以及用于實現(xiàn)這些目的和功能的方法將得以闡明�����。然而���,本發(fā)明并不受限于以下所公開的示范性實施例�����;可以通過不同形式來對其加以實現(xiàn)��。說明書的實質(zhì)僅僅是幫助相關(guān)領(lǐng)域技術(shù)人員綜合理解本發(fā)明的具體細節(jié)���。
[0062]本發(fā)明總的涉及一種電子文檔的安全管理方法和系統(tǒng)��,其實質(zhì)上是應(yīng)用自然語言識別的技術(shù)自動提取電子文檔的信息�����,例如文檔內(nèi)容(如工資明細��、客戶信息�����、關(guān)鍵代碼����、合同編號�����、銀行帳戶等)����、文檔所涉及的部門性質(zhì)(如財務(wù)部�、研發(fā)部����、法務(wù)部等)、文檔涉及的時間(如2011財年等)�����,依據(jù)有關(guān)安全管理規(guī)則將電子文檔存儲至不同的存儲區(qū)域�,例如含有敏感數(shù)據(jù)的電子文檔存儲至安全的或高密級的存儲區(qū)域,其它電子文檔存儲至普通的或低密級的存儲區(qū)域���。所述方法和系統(tǒng)可以應(yīng)用于單機����、局域網(wǎng)�����、廣域網(wǎng)等多種場合���,涉及的存儲區(qū)域可以是本地���、局域網(wǎng)、廣域網(wǎng)中的存儲空間���,例如本地硬盤�����、中央服務(wù)器的硬盤陣列�、分布式存儲系統(tǒng)��、云存儲系統(tǒng)等����。特別地,該存儲區(qū)域也包括本地或網(wǎng)絡(luò)中的計算機的可移動存儲設(shè)備(諸如U盤���、可讀寫光盤����、移動硬盤等)以及其它各種外部設(shè)備的存儲空間�����。
[0063]在本發(fā)明中,電子文檔的“密級”實質(zhì)上是表示依據(jù)一定的規(guī)則而將電子文檔劃分成的不同的類別��,不同類別的電子文檔包含不同的敏感數(shù)據(jù)�,例如,對其所有者而言敏感數(shù)據(jù)具有不同的重要性(例如傳統(tǒng)的將電子文檔劃分為“普通-秘密-機密-絕密”的分類方式)�,或者敏感數(shù)據(jù)涉及不同的·部門(例如電子文檔分別屬于研發(fā)、財務(wù)���、行政等分類)�,或者敏感數(shù)據(jù)涉及不同的時間(例如電子文檔分別屬于2010財務(wù)年度��、2011財務(wù)年度等)����。應(yīng)當了解,在本發(fā)明中“密級”和“類別”具有相同的意義�����,“確定密級”和“分類”具有相同的意義���。
[0064]以下,首先結(jié)合優(yōu)選實施方式說明本發(fā)明利用自然語言識別技術(shù)確定電子文檔密級的原理。
[0065]對于電子文檔��,我們采用“條目”表示分析和理解文檔時所涉及的所有的特征�,以字符“term”表示。優(yōu)選地�����,條目term的粒度是關(guān)鍵字或者一個正則表達式所對應(yīng)的對象�。關(guān)鍵字例如為“身份證”、“工資”����、“收購”等;正則表達式例如用于表示身份證號碼�����、貨幣����、日期、編碼等����。顯然��,對于不同主體���,確定電子文檔的密級時所依據(jù)的條目可以相同也可以不同。優(yōu)選地����,根據(jù)經(jīng)驗確定上述條目。
[0066]令m個無序的條目形成m維TERM向量:TERM = Uerm1, term2,…�����,termj,相應(yīng)地���,每篇電子文檔都能表示為對應(yīng)于該TERM向量的特征向量a = (a1���; a2,..., am) ?
[0067]如圖1所示,根據(jù)本發(fā)明的優(yōu)選實施方式�����,確定某一篇電子文檔的密級優(yōu)選包括以下步驟:
[0068]步驟101:條目term頻率統(tǒng)計����。[0069]在此步驟中,對該文檔進行掃描����,統(tǒng)計每個term在該文檔中出現(xiàn)的次數(shù)。優(yōu)選地����,此掃描過程支持關(guān)鍵詞匹配以及正則表達式匹配。頻率統(tǒng)計完成以后��,該文檔表示為詞頻向量TF = (TF1, TF2, -TFm)���,其中TFi表示第i個條目tern^在該文檔中出現(xiàn)的次數(shù)���。
[0070]步驟102:計算特征向量a。
[0071]此步驟中�����,一種簡便的做法是令特征向量a = TF,即令Si = TFi, i = I,...m���。
[0072]但是�,由于文檔有長有短��,因而直接根據(jù)條目termi出現(xiàn)的次數(shù)對文檔分類有可能導(dǎo)致無法獲得期望的分類效果。此外����,在確定密級時每個條目所提供的信息量可能并不相同,一篇電子文檔中某些條目出現(xiàn)頻率高并不意味著該電子文檔一定屬于高密級����,相反,某些條目可能只出現(xiàn)一次就導(dǎo)致該文檔屬于高密級���。因此��,為了體現(xiàn)不同條目所包含的不同的信息增益�,有必要將條目termi出現(xiàn)的次數(shù)TFi轉(zhuǎn)換為特征值%�����。優(yōu)選地��,可以采用以下方法將詞頻向量TF轉(zhuǎn)換為特征向量a:
[0073]1.TF * IDF 方法:令 Bi = TFi.Wi ����;
[0074]2.TFC方法:對上面的結(jié)果進行歸一化處理,令
【權(quán)利要求】
1.一種電子文檔的安全管理方法��,其特征在于,所述方法包括以下步驟: 在管理端預(yù)定義電子文檔的安全管理規(guī)則���,并將其發(fā)送至客戶端�����,所述電子文檔的安全管理規(guī)則至少包括以下內(nèi)容: (tl)電子文檔的特征向量的提取規(guī)則; (t2)密級空間的權(quán)重矩陣���; (t3)密級空間中的各個涉密密級的中心向量和預(yù)定半徑����; (t4)電子文檔的密級向量的確定規(guī)則���; (t5)密級向量到存儲區(qū)域之間的映射關(guān)系����; (t6)異常情況判決規(guī)則��; 客戶端在預(yù)定情況下執(zhí)行以下步驟: (a)掃描電子文檔的內(nèi)容��,根據(jù)所述電子文檔的特征向量的提取規(guī)則和密級空間的權(quán)重矩陣提取該電子文檔在密級空間中的特征向量�����; (b)在所述密級空間中計算所述特征向量與所述各個涉密密級的中心向量的距離,根據(jù)所述電子文檔的密級向量的確定規(guī)則確定所述電子文檔的密級向量��; (c)根據(jù)所述密級向量到存儲區(qū)域之間的映射關(guān)系確定與所述電子文檔的密級向量對應(yīng)的核準存儲區(qū)域�; (d)判斷所述電子文檔的擬存儲位置或者已存儲位置是否包含于所述核準存儲區(qū)域; (e)如果所述擬存儲位置或者已存儲位置不包含于所述核準存儲區(qū)域�����,則根據(jù)所述異常情況判決規(guī)則執(zhí)行預(yù)定的第一操作���。
2.一種電子文檔的安全管理系統(tǒng)�,包括存儲單元��、管理端和至少一個客戶端�����,其特征在于: 所述存儲單元用于存儲電子文檔���,所述存儲單元包括多個存儲區(qū)域�; 所述管理端至少包括: 管理端通信單元,用于實現(xiàn)管理端與客戶端之間的通信��; 規(guī)則管理單元�,用于預(yù)定義電子文檔的安全管理規(guī)則,所述電子文檔的安全管理規(guī)則至少包括以下內(nèi)容: (tl)電子文檔的特征向量的提取規(guī)則�; (t2)密級空間的權(quán)重矩陣; (t3)密級空間中的各個涉密密級的中心向量和預(yù)定半徑�����; (t4)電子文檔的密級向量的確定規(guī)則��; (t5)密級向量到存儲區(qū)域之間的映射關(guān)系�; (t6)異常情況判決規(guī)則�����; 管理端執(zhí)行單元���,用于根據(jù)來自客戶端的信息執(zhí)行預(yù)定的管理端操作�����; 報表單元�,用于根據(jù)來自客戶端的信息生成或修改關(guān)于電子文檔的分布數(shù)據(jù)和/或掃描數(shù)據(jù)的報表��; 所述至少一個客戶端至少包括: 客戶端通信單元,用于實現(xiàn)客戶端與所述管理端之間的通信�; 文檔分析單元,用于掃描電子文檔的內(nèi)容��,根據(jù)所述電子文檔的特征向量的提取規(guī)則和密級空間的權(quán)重矩陣提取該電子文檔在密級空間中的特征向量����;密級確定單元,用于在所述密級空間中計算所述特征向量與所述各個涉密密級的中心向量的距離����,根據(jù)所述電子文檔的密級向量的確定規(guī)則確定所述電子文檔的密級向量; 判決單元����,用于根據(jù)所述密級向量到存儲區(qū)域之間的映射關(guān)系確定與所述電子文檔的密級向量對應(yīng)的核準存儲區(qū)域,判斷所述電子文檔的擬存儲位置或者已存儲位置是否包含于所述核準存儲區(qū)域����,當所述擬存儲位置或者已存儲位置不包含于所述核準存儲區(qū)域時,所述判決單元根據(jù)所述異常情況判決規(guī)則確定預(yù)定的第一操作和預(yù)定的管理端操作并生成操作指令�����; 客戶端執(zhí)行單元,用于根據(jù)所述判決單元的所述操作指令執(zhí)行所述預(yù)定的第一操作�����。
3.如權(quán)利要求1所述的方法或者如權(quán)利要求2所述的系統(tǒng)�,其特征在于,根據(jù)關(guān)鍵詞和/或正則表達式提取所述電子文檔的特征向量��。
4.如權(quán)利要求1所述的方法或者如權(quán)利要求2所述的系統(tǒng)��,其特征在于�����,所述密級空間為一個或多個密級空間��;優(yōu)選地��,當所述密級空間為多個密級空間時����,所述多個密級空間是由不同的權(quán)重矩陣定義的���,某個或某些密級對應(yīng)一個密級空間�。
5.如權(quán)利要求1所述的方法或者如權(quán)利要求2所述的系統(tǒng),其特征在于�����,在提取所述電子文檔的特征向量時進行歸一化處理�����。
6.如權(quán)利要求1所述的方法或者如權(quán)利要求2所述的系統(tǒng)��,其特征在于�,所述密級空間中的各個涉密密級的中心向量和預(yù)定半徑是通過在樣本集合中學(xué)習獲得的。
7.如權(quán)利要求1所述的方法或者如權(quán)利要求2所述的系統(tǒng)��,其特征在于��,所述方法或者所述系統(tǒng)為實時模式�����、后臺模式或者可在實時模式和后臺模式之間進行切換�,其中,在實時模式下�����,所述預(yù)定情況例如為用戶對所述電子文檔進行保存或拷貝操作,在后臺模式下�,所述預(yù)定情況是指在后臺進行定時或不定時的掃描。
8.如權(quán)利要求7所述的方法或系統(tǒng)�����,其特征在于����,在實時模式下,所述預(yù)定的第一操作包括:拒絕所述保存或拷貝操作�����,隔`離所述電子文檔���,要求輸入文檔保護口令���,刪除所述電子文檔或者向管理端發(fā)送報警信息���。
9.如權(quán)利要求7所述的方法或系統(tǒng)�����,其特征在于��,在后臺模式下����,所述預(yù)定的第一操作包括:將所述電子文檔轉(zhuǎn)移到第一指定區(qū)域;優(yōu)選地�����,所述第一指定區(qū)域為隔離區(qū)或者所述核準存儲區(qū)域�����。
10.如權(quán)利要求1所述的方法����,其特征在于,所述方法進一步包括:如果電子文檔的安全管理規(guī)則中的任意一項或多項的內(nèi)容發(fā)生變化��,則管理端預(yù)定義新的安全管理規(guī)則并將其發(fā)送至客戶端����,客戶端針對每個電子文檔執(zhí)行步驟(a)_步驟(C);隨后判斷每一個所述電子文檔的已存儲位置是否包含于所述核準存儲區(qū)域,當某一個電子文檔的已存儲位置不包含于所述核準存儲區(qū)域時�����,根據(jù)所述異常情況判決規(guī)則執(zhí)行預(yù)定的第二操作;優(yōu)選地����,所述預(yù)定的第二操作包括:將所述電子文檔轉(zhuǎn)移至第二指定區(qū)域;優(yōu)選地���,所述第二指定區(qū)域為隔離區(qū)或者所述核準存儲區(qū)域�。
11.如權(quán)利要求2所述的系統(tǒng)���,其特征在于��,所述管理端執(zhí)行單元為報警單元�,所述預(yù)定的管理端操作為報警操作�����。
【文檔編號】G06F21/62GK103577766SQ201210281084
【公開日】2014年2月12日 申請日期:2012年8月9日 優(yōu)先權(quán)日:2012年8月9日
【發(fā)明者】董靖 申請人:董靖