本發(fā)明涉及一種數(shù)據(jù)安全領(lǐng)域，尤其涉及一種數(shù)據(jù)動(dòng)態(tài)防泄漏系統(tǒng)及方法。

背景技術(shù)：

在當(dāng)下信息時(shí)代，數(shù)據(jù)安全、信息安全的問(wèn)題愈加重要，靜態(tài)的被動(dòng)的進(jìn)行數(shù)據(jù)防泄漏已經(jīng)無(wú)法應(yīng)對(duì)層出不窮泄漏手段。對(duì)此，北京明朝萬(wàn)達(dá)科技股份有限公司提出并實(shí)現(xiàn)基于關(guān)鍵字、正則表達(dá)式和機(jī)器學(xué)習(xí)技術(shù)進(jìn)行數(shù)據(jù)動(dòng)態(tài)防泄漏的改進(jìn)方案。

目前業(yè)界普遍采用管控外發(fā)終端或者用戶的傳統(tǒng)靜態(tài)方式進(jìn)行數(shù)據(jù)防泄漏處理。而新興起來(lái)利用正則表達(dá)式、關(guān)鍵字和機(jī)器學(xué)習(xí)等技術(shù)掃描文件，進(jìn)行加密防護(hù)的方式，仍屬于靜態(tài)的保護(hù)范疇。

當(dāng)前終端數(shù)據(jù)防泄漏技術(shù)為在相應(yīng)終端上安裝防泄漏軟件，通過(guò)控制終端上外接設(shè)備讀寫(xiě)和網(wǎng)絡(luò)上傳下載等行為為主要防護(hù)思路，所有數(shù)據(jù)外發(fā)結(jié)果要么全部加密，要么全部阻斷，要么全部明文，不能根據(jù)數(shù)據(jù)不同進(jìn)行不同處理。

如附圖1-2所示，其展示了現(xiàn)有技術(shù)中，在通過(guò)U盤進(jìn)行數(shù)據(jù)拷出的場(chǎng)景中，在插入移動(dòng)設(shè)備時(shí)，管控組件通過(guò)預(yù)先設(shè)置好的U盤控制策略(方式)，通知底層驅(qū)動(dòng)進(jìn)行相應(yīng)數(shù)據(jù)讀寫(xiě)控制，如正常讀寫(xiě)(不做控制)，加密讀寫(xiě)(拷入加密為密文，拷出解密為明文)，只讀(只能讀取，不能寫(xiě)入)和禁用(禁止使用U盤)。所有數(shù)據(jù)都只能通過(guò)其中一種方式進(jìn)行外發(fā)。

現(xiàn)有的防泄漏方案仍局限于面向終端，面向用戶，無(wú)差別處理數(shù)據(jù)的靜態(tài)被動(dòng)管控手段。管控方式一旦下發(fā)，終端上所有數(shù)據(jù)不論是否涉密，敏感程度，都將被統(tǒng)一處理，不能區(qū)別對(duì)待，在一定程度上影響了工作效率，制約生產(chǎn)力的提高。

現(xiàn)有技術(shù)屬于對(duì)數(shù)據(jù)的靜態(tài)被動(dòng)的安全控制方式。因此，迫切需要提供一種變被動(dòng)為主動(dòng)，變靜態(tài)為動(dòng)態(tài)的方案，將數(shù)據(jù)防泄漏管控對(duì)象變更為數(shù)據(jù)，根據(jù)數(shù)據(jù)的不同，進(jìn)行不同的控制。通過(guò)關(guān)鍵字、正則表達(dá)式和機(jī)器學(xué)習(xí)技術(shù)主動(dòng)的學(xué)習(xí)和分析數(shù)據(jù)，結(jié)合數(shù)據(jù)字典對(duì)數(shù)據(jù)進(jìn)行分類，對(duì)不同級(jí)別的數(shù)據(jù)制定不同的控制手段，不再無(wú)差別對(duì)待，在不影響客戶使用習(xí)慣的情況下做到動(dòng)態(tài)的數(shù)據(jù)管控。。

技術(shù)實(shí)現(xiàn)要素：

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種數(shù)據(jù)動(dòng)態(tài)防泄漏方法，其特征在于，該方法包括以下步驟：

制定數(shù)據(jù)過(guò)濾規(guī)則文件，該數(shù)據(jù)過(guò)濾規(guī)則文件包括多個(gè)不同類型的數(shù)據(jù)過(guò)濾規(guī)則；

生成數(shù)據(jù)管控策略，所述數(shù)據(jù)管控策略包括不同類型的數(shù)據(jù)過(guò)濾規(guī)則與不同級(jí)別的數(shù)據(jù)管控方案的對(duì)應(yīng)關(guān)系；

加載所述數(shù)據(jù)過(guò)濾規(guī)則文件及數(shù)據(jù)管控策略；

當(dāng)有數(shù)據(jù)需要外發(fā)時(shí)，根據(jù)所述數(shù)據(jù)過(guò)濾規(guī)則文件對(duì)外發(fā)數(shù)據(jù)進(jìn)行掃描，判斷所述外發(fā)數(shù)據(jù)是否與所述數(shù)據(jù)過(guò)濾規(guī)則文件中的所述數(shù)據(jù)過(guò)濾規(guī)則匹配，如果匹配，則根據(jù)所述數(shù)據(jù)管控策略中所述數(shù)據(jù)過(guò)濾規(guī)則對(duì)應(yīng)的數(shù)據(jù)管控方案對(duì)所述外發(fā)數(shù)據(jù)進(jìn)行相應(yīng)的外發(fā)控制。

根據(jù)本發(fā)明的方法，優(yōu)選地，所述數(shù)據(jù)過(guò)濾規(guī)則至少通過(guò)以下方式之一制定：通過(guò)預(yù)先學(xué)習(xí)分析典型模版數(shù)據(jù)，獲取所數(shù)據(jù)過(guò)濾規(guī)則；或者依據(jù)關(guān)鍵字和正則表達(dá)式，根據(jù)需要監(jiān)控的敏感字段、數(shù)字正則式制定所述數(shù)據(jù)過(guò)濾規(guī)則。

根據(jù)本發(fā)明的方法，優(yōu)選地，所述多個(gè)不同類型的數(shù)據(jù)過(guò)濾規(guī)則包括對(duì)以下數(shù)據(jù)進(jìn)行過(guò)濾：非敏感數(shù)據(jù)、低敏感數(shù)據(jù)、中敏感數(shù)據(jù)、高敏感數(shù)據(jù)、絕密數(shù)據(jù)。

根據(jù)本發(fā)明的方法，優(yōu)選地，所述數(shù)據(jù)管控方案包括：明文發(fā)送、審計(jì)發(fā)送、加密發(fā)送、外發(fā)審批、禁止發(fā)送。

根據(jù)本發(fā)明的方法，優(yōu)選地，外發(fā)審批包括：明文發(fā)送、加密發(fā)送、禁止發(fā)送。

根據(jù)本發(fā)明的方法，優(yōu)選地，如果所述外發(fā)數(shù)據(jù)與所述數(shù)據(jù)過(guò)濾規(guī)則文件中的所述數(shù)據(jù)過(guò)濾規(guī)則不匹配，則不對(duì)所述外發(fā)數(shù)據(jù)進(jìn)行外發(fā)控制。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種數(shù)據(jù)動(dòng)態(tài)防泄漏系統(tǒng)，其特征在于，該系統(tǒng)包括：

數(shù)據(jù)過(guò)濾規(guī)則文件存儲(chǔ)模塊，用于存儲(chǔ)數(shù)據(jù)過(guò)濾文件，該數(shù)據(jù)過(guò)濾規(guī)則文件包括多個(gè)不同類型的數(shù)據(jù)過(guò)濾規(guī)則；

數(shù)據(jù)管控策略存儲(chǔ)模塊，用于存儲(chǔ)數(shù)據(jù)管控策略，所述數(shù)據(jù)管控策略包括不同類型的數(shù)據(jù)過(guò)濾規(guī)則與不同級(jí)別的數(shù)據(jù)管控方案的對(duì)應(yīng)關(guān)系；

文件掃描引擎，加載所述數(shù)據(jù)過(guò)濾規(guī)則文件及數(shù)據(jù)管控策略，當(dāng)有數(shù)據(jù)需要外發(fā)時(shí)，根據(jù)所述數(shù)據(jù)過(guò)濾規(guī)則文件對(duì)外發(fā)數(shù)據(jù)進(jìn)行掃描，判斷所述外發(fā)數(shù)據(jù)是否與所述數(shù)據(jù)過(guò)濾規(guī)則文件中的所述數(shù)據(jù)過(guò)濾規(guī)則匹配，如果匹配，則根據(jù)所述數(shù)據(jù)管控策略中所述數(shù)據(jù)過(guò)濾規(guī)則對(duì)應(yīng)的數(shù)據(jù)管控方案對(duì)所述外發(fā)數(shù)據(jù)進(jìn)行相應(yīng)的外發(fā)控制。

根據(jù)本發(fā)明的系統(tǒng)，優(yōu)選地，所述數(shù)據(jù)過(guò)濾規(guī)則至少通過(guò)以下方式之一制定：所述文件掃描引擎通過(guò)預(yù)先學(xué)習(xí)分析典型模版數(shù)據(jù)，獲取所數(shù)據(jù)過(guò)濾規(guī)則；或者依據(jù)關(guān)鍵字和正則表達(dá)式，根據(jù)需要監(jiān)控的敏感字段、數(shù)字正則式制定所述數(shù)據(jù)過(guò)濾規(guī)則。

根據(jù)本發(fā)明的系統(tǒng)，優(yōu)選地，還包括日志記錄模塊，用于對(duì)所述外發(fā)數(shù)據(jù)的所述外發(fā)控制進(jìn)行日志記錄。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種企業(yè)數(shù)據(jù)安全控制系統(tǒng)，其特征在于，該系統(tǒng)包括：

多個(gè)數(shù)據(jù)服務(wù)器，用于對(duì)企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行管理；

多個(gè)郵件服務(wù)器，用于對(duì)企業(yè)郵件數(shù)據(jù)進(jìn)行管理；

交換機(jī)，用于將控制所述企業(yè)內(nèi)部數(shù)據(jù)和企業(yè)郵件數(shù)據(jù)的外發(fā)；

以及上述數(shù)據(jù)動(dòng)態(tài)防泄漏系統(tǒng)，與所述交換機(jī)連接，用于對(duì)所述交換機(jī)外發(fā)的數(shù)據(jù)進(jìn)行安全控制。

采用本發(fā)明的技術(shù)方案，能夠動(dòng)態(tài)的進(jìn)行數(shù)據(jù)防泄漏，將防泄漏管控對(duì)象定義在數(shù)據(jù)本身上，不再以終端或者用戶為主體，根據(jù)數(shù)據(jù)的不同，進(jìn)行不同的管控，對(duì)于非涉密數(shù)據(jù)不控制，對(duì)于涉密數(shù)據(jù)根據(jù)敏感程度分級(jí)控制，避免無(wú)差別的管控，造成資源浪費(fèi)，影響工作效率。

附圖說(shuō)明

圖1為現(xiàn)有技術(shù)中的數(shù)據(jù)外發(fā)控制邏輯圖。

圖2為現(xiàn)有技術(shù)中U盤數(shù)據(jù)外發(fā)控制邏輯圖。

圖3為現(xiàn)有技術(shù)中U盤數(shù)據(jù)外發(fā)控制流程圖。

圖4為本發(fā)明的數(shù)據(jù)外發(fā)控制邏輯圖。

圖5是本發(fā)明的數(shù)據(jù)外發(fā)控制流程圖。

圖6是應(yīng)用本發(fā)明技術(shù)方案的第一實(shí)施例。

圖7是應(yīng)用本發(fā)明技術(shù)方案的第二實(shí)施例。

具體實(shí)施方式

下面結(jié)合附圖以及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步的說(shuō)明，但本發(fā)明的保護(hù)范圍并不限于此。

<控制方法>

圖4本發(fā)明數(shù)據(jù)外發(fā)控制邏輯圖。

圖5是為本發(fā)明數(shù)據(jù)外發(fā)控制方法實(shí)現(xiàn)流程圖。如圖5所示，本發(fā)明包括以下方法步驟：

規(guī)則制定：規(guī)則分為兩種，一種為通過(guò)預(yù)先學(xué)習(xí)分析客戶模版數(shù)據(jù)，獲取客戶典型數(shù)據(jù)得出的規(guī)則。客戶提供典型模版數(shù)據(jù)導(dǎo)入文件掃描引擎，掃描引擎通過(guò)機(jī)器學(xué)習(xí)技術(shù)對(duì)數(shù)據(jù)進(jìn)行分析，生成符合典型數(shù)據(jù)描述的規(guī)則文件。另一種為依據(jù)關(guān)鍵字和正則表達(dá)式，由客戶根據(jù)需要監(jiān)控的敏感字段、數(shù)字正則式等制定的規(guī)則。

分級(jí)分類：規(guī)則制定完畢后，通過(guò)數(shù)據(jù)分類分級(jí)模型，對(duì)不同類型的規(guī)則匹配不同級(jí)別的管控手段，生成控制策略；

加載策略：掃描引擎解析策略，加載規(guī)則文件及對(duì)應(yīng)控制方式，等待數(shù)據(jù)外發(fā)時(shí)觸發(fā)調(diào)用；

外發(fā)控制：數(shù)據(jù)外發(fā)時(shí)，管控模塊將待發(fā)數(shù)據(jù)發(fā)送給文件掃描引擎，掃描引擎根據(jù)規(guī)則文件對(duì)文件內(nèi)容進(jìn)行掃描，分析文件內(nèi)容是否與規(guī)則匹配，如果匹配則根據(jù)規(guī)則對(duì)應(yīng)的管控手段進(jìn)行管控，如加密，阻斷外發(fā)，審計(jì)或者提請(qǐng)外發(fā)審批。對(duì)于未命中文件則按照原有正常流程進(jìn)行外發(fā)。

所述多個(gè)不同類型的數(shù)據(jù)過(guò)濾規(guī)則包括對(duì)以下數(shù)據(jù)進(jìn)行過(guò)濾：非敏感數(shù)據(jù)、低敏感數(shù)據(jù)、中敏感數(shù)據(jù)、高敏感數(shù)據(jù)、絕密數(shù)據(jù)。

所述數(shù)據(jù)管控方案包括：明文發(fā)送、審計(jì)發(fā)送、加密發(fā)送、外發(fā)審批、禁止發(fā)送。

外發(fā)審批包括：明文發(fā)送、加密發(fā)送、禁止發(fā)送。

<控制系統(tǒng)>

本發(fā)明還提供了一種數(shù)據(jù)動(dòng)態(tài)防泄漏系統(tǒng)，該系統(tǒng)包括：

數(shù)據(jù)過(guò)濾規(guī)則文件存儲(chǔ)模塊，用于存儲(chǔ)數(shù)據(jù)過(guò)濾文件，該數(shù)據(jù)過(guò)濾規(guī)則文件包括多個(gè)不同類型的數(shù)據(jù)過(guò)濾規(guī)則；

數(shù)據(jù)管控策略存儲(chǔ)模塊，用于存儲(chǔ)數(shù)據(jù)管控策略，所述數(shù)據(jù)管控策略包括不同類型的數(shù)據(jù)過(guò)濾規(guī)則與不同級(jí)別的數(shù)據(jù)管控方案的對(duì)應(yīng)關(guān)系；

文件掃描引擎，加載所述數(shù)據(jù)過(guò)濾規(guī)則文件及數(shù)據(jù)管控策略，當(dāng)有數(shù)據(jù)需要外發(fā)時(shí)，根據(jù)所述數(shù)據(jù)過(guò)濾規(guī)則文件對(duì)外發(fā)數(shù)據(jù)進(jìn)行掃描，判斷所述外發(fā)數(shù)據(jù)是否與所述數(shù)據(jù)過(guò)濾規(guī)則文件中的所述數(shù)據(jù)過(guò)濾規(guī)則匹配，如果匹配，則根據(jù)所述數(shù)據(jù)管控策略中所述數(shù)據(jù)過(guò)濾規(guī)則對(duì)應(yīng)的數(shù)據(jù)管控方案對(duì)所述外發(fā)數(shù)據(jù)進(jìn)行相應(yīng)的外發(fā)控制。

數(shù)據(jù)過(guò)濾規(guī)則文件存儲(chǔ)模塊和數(shù)據(jù)管控策略存儲(chǔ)模塊可以利用現(xiàn)有技術(shù)中的各種存儲(chǔ)器來(lái)實(shí)現(xiàn)，比如硬盤，磁盤，閃存，數(shù)據(jù)庫(kù)，云存儲(chǔ)，分布式存儲(chǔ)等方式。

文件掃描引擎可以采用中央處理器CPU等數(shù)據(jù)處理模塊來(lái)實(shí)現(xiàn)。

所述數(shù)據(jù)過(guò)濾規(guī)則至少通過(guò)以下方式之一制定：所述文件掃描引擎通過(guò)預(yù)先學(xué)習(xí)分析典型模版數(shù)據(jù)，獲取所數(shù)據(jù)過(guò)濾規(guī)則；或者依據(jù)關(guān)鍵字和正則表達(dá)式，根據(jù)需要監(jiān)控的敏感字段、數(shù)字正則式制定所述數(shù)據(jù)過(guò)濾規(guī)則。

本發(fā)明的系統(tǒng)包括日志記錄模塊，用于對(duì)所述外發(fā)數(shù)據(jù)的所述外發(fā)控制進(jìn)行日志記錄。

<第一實(shí)施例>

如圖6所示，某大型銀行將DLP系統(tǒng)旁掛在出口交換機(jī)上，對(duì)企業(yè)內(nèi)部對(duì)外發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)測(cè)。啟用了財(cái)務(wù)、機(jī)密數(shù)據(jù)等內(nèi)置策略集，對(duì)帳戶信息進(jìn)行模式匹配，根據(jù)具體情況制訂了以下關(guān)鍵字列表：

關(guān)鍵字/絕密/機(jī)密/保密/秘密

安全解決方案/安全方案/網(wǎng)絡(luò)拓?fù)?/p>

會(huì)議紀(jì)要/會(huì)議/評(píng)分標(biāo)準(zhǔn)/賬號(hào)

財(cái)務(wù)數(shù)據(jù)/年報(bào)/季報(bào)/行長(zhǎng)

招標(biāo)規(guī)范/建總發(fā)/建總函/奧運(yùn)安全保障/技術(shù)規(guī)范

董事會(huì)

一周內(nèi)監(jiān)控的數(shù)據(jù)量：

共處理2,273,881條消息

過(guò)濾了11.76GB的數(shù)據(jù)流量

共匹配記錄6502條

發(fā)現(xiàn)違規(guī)事件1,440

該實(shí)例中是將DLP部署在后臺(tái)服務(wù)器端，根據(jù)規(guī)則對(duì)外發(fā)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析匹配，符合規(guī)則的進(jìn)行審計(jì)記錄，不符合的過(guò)濾不處理。該實(shí)例中僅做審計(jì)并未對(duì)數(shù)據(jù)外發(fā)進(jìn)行管控。

即提供了一種企業(yè)數(shù)據(jù)安全控制系統(tǒng)，應(yīng)用于一個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)中，該系統(tǒng)包括：

多個(gè)數(shù)據(jù)服務(wù)器，用于對(duì)企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行管理；

多個(gè)郵件服務(wù)器，用于對(duì)企業(yè)郵件數(shù)據(jù)進(jìn)行管理；

交換機(jī)，用于將控制所述企業(yè)內(nèi)部數(shù)據(jù)和企業(yè)郵件數(shù)據(jù)的外發(fā)；

以及上述數(shù)據(jù)動(dòng)態(tài)防泄漏系統(tǒng)(DLP)，與所述交換機(jī)連接，用于對(duì)所述交換機(jī)外發(fā)的數(shù)據(jù)進(jìn)行安全控制。

<第二實(shí)施例>

如附圖7所示，某大型銀行客戶對(duì)現(xiàn)有終端明文外發(fā)功能進(jìn)行升級(jí)改造，改造之前明文外發(fā)僅需登記后即可外發(fā)出去，存在泄漏風(fēng)險(xiǎn)。改造后用戶使用明文外發(fā)掃描功能時(shí)，該模塊會(huì)對(duì)文件內(nèi)容進(jìn)行掃描，并根據(jù)文件含有敏感內(nèi)容的重要程度，自動(dòng)判斷需要執(zhí)行的后續(xù)外發(fā)動(dòng)作，如下所示：

文件明文直接外發(fā)

文件登記后明文外發(fā)

文件審批后明文外發(fā)

拒絕文件明文外發(fā)

本發(fā)明提供的方案旨在動(dòng)態(tài)的進(jìn)行數(shù)據(jù)防泄漏，將防泄漏管控對(duì)象定義在數(shù)據(jù)本身上，不再以終端或者用戶為主體，根據(jù)數(shù)據(jù)的不同，進(jìn)行不同的管控，對(duì)于非涉密數(shù)據(jù)不控制，對(duì)于涉密數(shù)據(jù)根據(jù)敏感程度分級(jí)控制，避免無(wú)差別的管控，造成資源浪費(fèi)，影響工作效率。

以上實(shí)施例僅作為本發(fā)明保護(hù)方案的示例，不對(duì)本發(fā)明的具體實(shí)施方式進(jìn)行限定。