基于分級(jí)分類的非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)防泄露方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及一種基于分級(jí)分類的非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)防泄露方法,屬于數(shù)據(jù)安全技 術(shù)領(lǐng)域��。
【背景技術(shù)】
[0002]企業(yè)網(wǎng)絡(luò)架構(gòu)一般分為S部分��;內(nèi)部網(wǎng)絡(luò)(Intranet)���、生產(chǎn)外聯(lián)網(wǎng)巧xtranet)與 互聯(lián)網(wǎng)(Internet)�。企業(yè)信息網(wǎng)絡(luò)中的非結(jié)構(gòu)化數(shù)據(jù)(如各種文檔、圖片等)�����,主要通過各 種終端傳輸軟件(如QQ����、百度云、郵件系統(tǒng)等)從企業(yè)的內(nèi)部網(wǎng)絡(luò)發(fā)送至互聯(lián)網(wǎng)或生產(chǎn)外聯(lián) 網(wǎng)�����,然而該些非結(jié)構(gòu)化數(shù)據(jù)中往往存在著大量的敏感信息��,如果不對(duì)該些敏感信息加W控 審IJ��,則含有敏感級(jí)的數(shù)據(jù)從內(nèi)網(wǎng)流向外網(wǎng)���,很容易導(dǎo)致企業(yè)信息資產(chǎn)泄露,對(duì)企業(yè)造成嚴(yán)重 損失�。
【發(fā)明內(nèi)容】
[0003] 本發(fā)明的目的在于,提供一種基于分級(jí)分類的非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)防泄露方法��,它 可W有效解決現(xiàn)有技術(shù)中的問題����,防止企業(yè)信息資產(chǎn)中的敏感非結(jié)構(gòu)化數(shù)據(jù)發(fā)生泄漏��。
[0004] 為解決上述技術(shù)問題��,本發(fā)明采用如下的技術(shù)方案����;基于分級(jí)分類的非結(jié)構(gòu)化數(shù) 據(jù)資產(chǎn)防泄露方法�,包括W下步驟:
[0005]a.受控終端對(duì)非結(jié)構(gòu)化的數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí),并根據(jù)敏感等級(jí)對(duì)相應(yīng)種類的 非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行數(shù)字簽名����;
[0006]b.當(dāng)受控終端請(qǐng)求向Internet或者Extranet發(fā)送非結(jié)構(gòu)化數(shù)據(jù)時(shí),網(wǎng)絡(luò)防護(hù)服 務(wù)器通過鏡像的流量和敏感關(guān)鍵詞對(duì)該數(shù)據(jù)進(jìn)行過濾處理����;
[0007]C.若所述的非結(jié)構(gòu)化數(shù)據(jù)中包含敏感關(guān)鍵詞,則采用相應(yīng)敏感級(jí)的公鑰對(duì)該非結(jié) 構(gòu)化數(shù)據(jù)的簽名進(jìn)行驗(yàn)證�����;
[000引 d.若通過驗(yàn)證����,則阻斷該受控終端向Internet或者Extranet發(fā)送數(shù)據(jù)的請(qǐng)求��。
[0009] 優(yōu)選的�,步驟a中����,采用ElGamal或DSA簽名算法對(duì)相應(yīng)種類的非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行 數(shù)字簽名。
[0010] 進(jìn)一步的����,步驟a具體包括W下步驟;受控終端對(duì)非結(jié)構(gòu)化的數(shù)據(jù)資產(chǎn)進(jìn)行分類 分級(jí)�����,將數(shù)據(jù)分為高敏感級(jí)數(shù)據(jù)��、敏感級(jí)數(shù)據(jù)���、內(nèi)部數(shù)據(jù)和公開數(shù)據(jù);對(duì)高敏感級(jí)數(shù)據(jù)���、敏感 級(jí)數(shù)據(jù)和內(nèi)部數(shù)據(jù)分別預(yù)分配公私密鑰對(duì)��,并利用各個(gè)私鑰對(duì)相應(yīng)的數(shù)據(jù)進(jìn)行ElGamal或 DSA簽名�。
[0011] 前述的基于分級(jí)分類的非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)防泄露方法中,采用ElGamal簽名算法 對(duì)非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行數(shù)字簽名W及對(duì)該簽名進(jìn)行驗(yàn)證具體包括W下步驟:
[0012] (1)初始化
[0013] 受控終端選擇一個(gè)大素?cái)?shù)P和Zp中的一個(gè)生成元g��,并公布P和g;
[0014] 再選擇一個(gè)隨機(jī)數(shù)skGZp_i�,并計(jì)算出pk=gSk(modP),將pk作為公鑰公開����,sk 作為密鑰;
[0015] (2)對(duì)文檔m進(jìn)行簽名
[0016] 選擇一個(gè)隨機(jī)數(shù)幸€Z^_i��,計(jì)算r=gk(modP);
[0017] 求解方程�;m=skr+ks(modp-1),得到s����,其中,m即需要加密的文檔�����;加密后產(chǎn)生 的(r����,S)即文檔m的簽名,附在文檔m的后面;
[001引 (3)驗(yàn)證��;
[0019] 檢測(cè)等式���;gm三pktrS(modP)是否成立���,若成立則通過驗(yàn)證。
[0020] 上述方法中的參數(shù)由群生成器生成���。
[0021] 本發(fā)明中步驟b具體包括:當(dāng)受控終端發(fā)出HTTP����、HTTPS����、FTP或SMTP請(qǐng)求向 Internet或者Extranet發(fā)送非結(jié)構(gòu)化數(shù)據(jù)時(shí),網(wǎng)絡(luò)防護(hù)服務(wù)器進(jìn)行判斷一一若源IP為企 業(yè)內(nèi)網(wǎng)IP��,目的IP為企業(yè)外網(wǎng)IP���,則通過鏡像的流量和敏感關(guān)鍵詞對(duì)該非結(jié)構(gòu)化數(shù)據(jù)的封 面、主題���、正文和附件進(jìn)行過濾處理�����,判斷其是否包含敏感關(guān)鍵詞�。
[0022] 與現(xiàn)有技術(shù)相比,本發(fā)明通過采用關(guān)鍵詞過濾和數(shù)據(jù)標(biāo)簽相結(jié)合的方法對(duì)企業(yè)分 級(jí)分類數(shù)據(jù)資產(chǎn)中的非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行防護(hù)�,從而不但可W有效防止數(shù)據(jù)泄露,而且還可 W大大降低信息防護(hù)過程中的誤報(bào)現(xiàn)象(如將非敏感信息識(shí)別為敏感信息)���,提高非結(jié)構(gòu) 化數(shù)據(jù)防護(hù)的準(zhǔn)確率���。此外,本發(fā)明人經(jīng)過大量試驗(yàn)研究發(fā)現(xiàn):若采用現(xiàn)有技術(shù)中的化sh 算法來產(chǎn)生數(shù)字標(biāo)簽����,那么只要知道使用的化sh算法,任何人都能產(chǎn)生和驗(yàn)證化sh值�,且 對(duì)于一個(gè)相同的文檔,產(chǎn)生的Hash值是相同的���,那么就不能保證具有敏感級(jí)的文檔只能由 與之密級(jí)相適應(yīng)的人員產(chǎn)生�����,而且任何人都可W修改文檔重新產(chǎn)生化sh值����,不利于保證系 統(tǒng)的安全性。而如果采用本發(fā)明中的ElGamal或DSA簽名算法來產(chǎn)生數(shù)字標(biāo)簽�,那么就可 W保證只有擁有敏感級(jí)密鑰的人員(即設(shè)密人員)才能產(chǎn)生具有敏感級(jí)文檔的標(biāo)簽,且其 他人不能替換數(shù)字標(biāo)簽�,同時(shí)網(wǎng)絡(luò)防護(hù)服務(wù)器只需要使用相應(yīng)的公鑰驗(yàn)證簽名即可,而不 需要知道私鑰��,從而有效保證了系統(tǒng)的安全性���。
【附圖說明】
[0023] 圖1是本發(fā)明的實(shí)施例1的工作流程示意圖��;
[0024] 圖2是本發(fā)明的信息泄漏防護(hù)系統(tǒng)中硬件連接結(jié)構(gòu)和工作原理示意圖��。
[0025] 下面結(jié)合附圖和【具體實(shí)施方式】對(duì)本發(fā)明作進(jìn)一步的說明����。
【具體實(shí)施方式】
[0026] 本發(fā)明的實(shí)施例�����;基于分級(jí)分類的非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)防泄露方法����,如圖1、圖2所 示���,包括W下步驟:
[0027] a.受控終端對(duì)非結(jié)構(gòu)化的數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)��,并根據(jù)敏感等級(jí)對(duì)相應(yīng)種類的 非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行數(shù)字簽名���,具體包括W下步驟:受控終端對(duì)非結(jié)構(gòu)化的數(shù)據(jù)資產(chǎn)進(jìn)行分 類分級(jí),將數(shù)據(jù)分為高敏感級(jí)數(shù)據(jù)��、敏感級(jí)數(shù)據(jù)�、內(nèi)部數(shù)據(jù)和公開數(shù)據(jù);對(duì)高敏感級(jí)數(shù)據(jù)�、敏 感級(jí)數(shù)據(jù)和內(nèi)部數(shù)據(jù)分別預(yù)分配公私密鑰對(duì),并利用各個(gè)私鑰對(duì)相應(yīng)的數(shù)據(jù)進(jìn)行ElGamal 或DSA簽名�;其中,采用ElGamal簽名算法對(duì)非結(jié)構(gòu)化的高敏感級(jí)數(shù)據(jù)�����、敏感級(jí)數(shù)據(jù)和內(nèi)部 數(shù)據(jù)進(jìn)行數(shù)字簽名W及對(duì)該簽名進(jìn)行驗(yàn)證具體包括W下步驟:
[002引 (1)初始化
[0029] 受控終端選擇一個(gè)大素?cái)?shù)P和Zp中的一個(gè)生成元g����,并公布P和g;
[0030] 再選擇一個(gè)隨機(jī)數(shù)skGZp_i���,并計(jì)算出pk=gSk(modp),將pk作為公鑰公開����,sk 作為密鑰;
[0031] (2)對(duì)文檔m進(jìn)行簽名
[0032]選擇一個(gè)隨機(jī)數(shù)韋E����,計(jì)算r=gk(modP);
[0033] 求解方程��;m=skr+ks(modp-1)���,得到s��,其中��,m即需要加密的文檔��;加密后產(chǎn)生 的(r��,S)即文檔m的簽名����,附在文檔m的后面;
[0034] (3)驗(yàn)證�����;
[003引檢測(cè)等式����;gm三pktrS(modP)是否成立��,若成立則通過驗(yàn)證����。
[0036] b.當(dāng)受控終端請(qǐng)求向Internet或者Extranet發(fā)送非結(jié)構(gòu)化數(shù)據(jù)時(shí),網(wǎng)絡(luò)防護(hù) 服務(wù)器通過鏡像的流量和敏感關(guān)鍵詞對(duì)該數(shù)據(jù)進(jìn)行過濾處理�����,具體包括���;當(dāng)受控終端發(fā)出 HTTP���、HTTPS、FTP或SMTP請(qǐng)求向Internet或者Extranet發(fā)送非結(jié)構(gòu)化數(shù)據(jù)時(shí)��,網(wǎng)絡(luò)防護(hù) 服務(wù)器進(jìn)行判斷一一若源IP為企業(yè)內(nèi)網(wǎng)IP,目的IP為企業(yè)外網(wǎng)IP�,則通過鏡像的流量和 敏感關(guān)鍵詞對(duì)該非結(jié)構(gòu)化數(shù)據(jù)的封面、主題�、正文和附件進(jìn)行過濾處理,判斷其是否包含敏