專利名稱:計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制模塊及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計(jì)算機(jī)與存儲(chǔ)設(shè)備之間的數(shù)據(jù)交換控制模塊及方法,屬于 移動(dòng)存儲(chǔ)設(shè)備安全領(lǐng)域�����,并且本方法也可應(yīng)用于計(jì)算機(jī)與網(wǎng)絡(luò)之間數(shù)據(jù)交換的 控制與管理��。
背景技術(shù):
當(dāng)前���,對(duì)于敏感或涉密數(shù)據(jù)在計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備之間的交換��,缺乏系 統(tǒng)的�、實(shí)用的安全管理方案?�,F(xiàn)有的技術(shù)普遍采用軟件控制移動(dòng)存儲(chǔ)設(shè)備的使
用范圍(如公開(kāi)號(hào)為CN1845136的發(fā)明專利)�����,或者直接限制計(jì)算機(jī)對(duì)移動(dòng)設(shè) 備的訪問(wèn)(如USEC限制性移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng))�,以減少敏感信息泄漏的 可能性。.這些方法雖然可以達(dá)到保密的目的��,但是同時(shí)也限制了普通信息的交 換��,為正常的工作帶來(lái)了不便�。
現(xiàn)有的各種數(shù)據(jù)安全管理技術(shù)一般都著眼于某一個(gè)特定的層次考慮安全 問(wèn)題,例如局域網(wǎng)系統(tǒng)、整臺(tái)計(jì)算機(jī)��、磁盤(pán)��、文件夾或者文件等���,并不能針對(duì) 傳輸內(nèi)容進(jìn)行過(guò)濾檢査,無(wú)法從內(nèi)容上解決防止敏感信息泄漏的問(wèn)題���,反而影 響了移動(dòng)存儲(chǔ)設(shè)備實(shí)用的便利性����。
現(xiàn)有的基于文件的安全管理系統(tǒng)一般都通過(guò)用戶設(shè)定文件安全屬性的方 法來(lái)制定安全級(jí)別和允許的操作����,雖然對(duì)文件交換的控制進(jìn)行了改進(jìn),但依然 存在兩個(gè)問(wèn)題 一是在用戶對(duì)文件內(nèi)容了解不足或者在操作失誤的情況下��,容 易錯(cuò)誤地設(shè)定安全屬性�,導(dǎo)致潛在的安全管理失效,降低了系統(tǒng)的可靠性��;二 是這些系統(tǒng)的操作控制往往局限在只讀��、限制打印次數(shù)、限制部分編輯功能等�����, 缺乏靈活性和實(shí)用性���。
發(fā)明內(nèi)容
本發(fā)明為解決現(xiàn)有的移動(dòng)存儲(chǔ)安全系統(tǒng)存在的安全性較差�����、缺乏靈活性和 實(shí)用性的問(wèn)題��,提供一種計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制模塊及方 法�。本發(fā)明的計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制模塊包括以下單元
操作監(jiān)控模塊���,用于監(jiān)控計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備之間的數(shù)據(jù)傳輸操作�,將 傳輸對(duì)象發(fā)送給內(nèi)容過(guò)濾模塊�,并根據(jù)內(nèi)容過(guò)濾模塊反饋的判斷結(jié)果對(duì)傳輸對(duì) 象進(jìn)行寫(xiě)操作的控制;
內(nèi)容過(guò)濾模塊����,用于分析來(lái)自操作監(jiān)控模塊的傳輸對(duì)象的各個(gè)屬性文件類型、文件格式���、內(nèi)容等�,依據(jù)敏感數(shù)據(jù)信息庫(kù)判斷傳輸對(duì)象的內(nèi)容是否包含
敏感信息,將判斷結(jié)果發(fā)送給操作監(jiān)控模塊��。
本發(fā)明的計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制方法包括以下步驟 步驟一��,操作監(jiān)控模塊攔截并解析來(lái)自用戶的寫(xiě)請(qǐng)求�����,并將解析結(jié)果發(fā)送
給內(nèi)容過(guò)濾模塊�;
步驟二��,內(nèi)容過(guò)濾模塊根據(jù)來(lái)自操作監(jiān)控模塊的解析結(jié)果��,對(duì)傳輸對(duì)象的 文件類型�、文件格式進(jìn)行分析,得到傳輸對(duì)象的文本內(nèi)容或者圖像等多媒體內(nèi)
容�;
步驟三,內(nèi)容過(guò)濾模塊����,根據(jù)敏感信息數(shù)據(jù)庫(kù)對(duì)分析的結(jié)果進(jìn)行過(guò)濾,判 斷傳輸?shù)膬?nèi)容是否為敏感信息����。
步驟四��,內(nèi)容過(guò)濾模塊將判斷結(jié)果反饋給操作監(jiān)控模塊���; 步驟五,操作監(jiān)控模塊根據(jù)判斷結(jié)果控制傳輸對(duì)象的寫(xiě)操作或啟動(dòng)加密過(guò) 濾驅(qū)動(dòng)模塊對(duì)傳輸對(duì)象加密�����;同時(shí)將執(zhí)行這次操作的進(jìn)程�、用戶、文件名����、時(shí) 間等記錄到系統(tǒng)日志文件中。
步驟六��,加密過(guò)濾驅(qū)動(dòng)模塊將加密后的傳輸對(duì)象發(fā)送給下一層設(shè)備對(duì)象���。 有益效果本發(fā)明的監(jiān)控粒度較小��,監(jiān)控粒度為傳輸對(duì)象�,傳輸對(duì)象可能 是"文件"或"文件的一部分"��;本發(fā)明可對(duì)多種文件格式的傳輸對(duì)象進(jìn)行監(jiān) 控;本發(fā)明不僅僅適用于文本文件�����,同時(shí)也能防止圖像���、音頻和視頻等多媒體 敏感文件的泄漏�����,實(shí)用性較強(qiáng)�;本發(fā)明主要在操作系統(tǒng)內(nèi)核態(tài)和用戶態(tài)進(jìn)行文 件監(jiān)控����,對(duì)用戶態(tài)的應(yīng)用程序是透明的����;本發(fā)明不僅可以應(yīng)用到計(jì)算機(jī)與移動(dòng) 存儲(chǔ)設(shè)備之間,也可以應(yīng)用到計(jì)算機(jī)與本地網(wǎng)絡(luò)之間的信息交換等擴(kuò)展環(huán)境 中���。
圖1是本發(fā)明的計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制模塊的結(jié)構(gòu) 示意圖����;圖2是本發(fā)明的計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制系統(tǒng)的組 成結(jié)構(gòu)示意圖;圖3是本發(fā)明的計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制方 法的流程圖���。
具體實(shí)施例方式
具體實(shí)施方式
一參見(jiàn)圖1和圖2����,本實(shí)施方式的控制模塊由以下單元組
成
操作監(jiān)控模塊1�,用于監(jiān)控計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備之間的數(shù)據(jù)傳輸操作,將傳輸對(duì)象(傳輸對(duì)象可能是文件或文件的一部分)發(fā)送給內(nèi)容過(guò)濾模塊2���, 并根據(jù)內(nèi)容過(guò)濾模塊2反饋的判斷結(jié)果對(duì)傳輸對(duì)象進(jìn)行寫(xiě)操作的控制��;
內(nèi)容過(guò)濾模塊2����,用于分析來(lái)自操作監(jiān)控模塊l的傳輸對(duì)象的各個(gè)屬性 文件類型��、文件格式����、內(nèi)容等,依據(jù)敏感數(shù)據(jù)信息庫(kù)判斷傳輸對(duì)象的內(nèi)容是否 包含敏感信息�,將判斷結(jié)果發(fā)送給操作監(jiān)控模塊l。
本實(shí)施方式為一種計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備之間數(shù)據(jù)交換管理系統(tǒng)�,從功能 來(lái)看���,主要包含監(jiān)視和控制兩部分。其目的在于防止包含敏感信息的數(shù)據(jù)從計(jì) 算機(jī)通過(guò)移動(dòng)存儲(chǔ)設(shè)備泄漏到其它不安全的場(chǎng)合�,用于當(dāng)移動(dòng)存儲(chǔ)設(shè)備接入計(jì) 算機(jī)拷貝數(shù)據(jù)時(shí),該系統(tǒng)對(duì)操作進(jìn)行監(jiān)控��,并通過(guò)對(duì)傳輸對(duì)象的分析判斷是否 可以執(zhí)行往移動(dòng)存儲(chǔ)設(shè)備的寫(xiě)操作����。本實(shí)施方式的系統(tǒng)組成如圖2所示本實(shí) 施方式相應(yīng)的軟件安裝在受保護(hù)的計(jì)算機(jī)中,數(shù)據(jù)在受保護(hù)的計(jì)算機(jī)和移動(dòng)存 儲(chǔ)設(shè)備之間交換�,因此本實(shí)施方式假定的前提是受保護(hù)的計(jì)算機(jī)是可以信任 的,移動(dòng)存儲(chǔ)設(shè)備是不可信任的�����。在受保護(hù)的計(jì)算機(jī)內(nèi)部�����,本實(shí)施方式的功能 分別執(zhí)行在用戶態(tài)和內(nèi)核態(tài)��,相互配合并完成不同的功能�。
文件操作監(jiān)控采用內(nèi)核態(tài)文件過(guò)濾驅(qū)動(dòng)���,內(nèi)核態(tài)文件過(guò)濾驅(qū)動(dòng)用于不改變 底層設(shè)備驅(qū)動(dòng)或者用戶程序而增加I/O設(shè)備的新功能����,允許不需要重寫(xiě)底層驅(qū)
動(dòng)代碼而改變這個(gè)已存在i/o設(shè)備驅(qū)動(dòng)的特性,可以達(dá)到對(duì)指定文件�、文件夾
或者整個(gè)邏輯盤(pán)進(jìn)行保護(hù),攔截所有用戶對(duì)它的讀寫(xiě)請(qǐng)求����。
具體實(shí)施方式
二參見(jiàn)圖l,本實(shí)施方式在具體實(shí)施方式
一的基礎(chǔ)上進(jìn)一
步限定了所述內(nèi)容過(guò)濾模塊2包括以下單元
傳輸對(duì)象分析模塊2-l���,用于對(duì)操作監(jiān)控模塊1提供的傳輸對(duì)象進(jìn)行分析�,
得到其文件類型���、文件格式��、及傳輸內(nèi)容�,將提取的內(nèi)容發(fā)送給傳輸內(nèi)容判別
模塊2-2;
傳輸內(nèi)容判別模塊2-2����,用于判斷傳輸內(nèi)容是否為敏感內(nèi)容,并將判斷結(jié)
果發(fā)送給操作監(jiān)控模塊l?�?商幚韮?nèi)容主要有兩大類��,即文本文件內(nèi)容和圖像 等多媒體內(nèi)容���。
傳輸內(nèi)容判別模塊2-2根據(jù)敏感信息數(shù)據(jù)庫(kù)對(duì)傳輸內(nèi)容進(jìn)行判斷����,敏感信
息數(shù)據(jù)庫(kù)中的數(shù)據(jù)可根據(jù)具體的應(yīng)用環(huán)境進(jìn)行設(shè)置���,如通過(guò)對(duì)己知敏感文件的 訓(xùn)練得到�����,同時(shí)本發(fā)明中的文本內(nèi)容關(guān)鍵字以密文形式存儲(chǔ)����,圖像等多媒體內(nèi) 容以感知摘要的形式存儲(chǔ)��,保證了敏感數(shù)據(jù)的安全�����。
在得到傳輸內(nèi)容的情況下�,對(duì)文本內(nèi)容的判別采用基于關(guān)鍵字的匹配方法。對(duì)圖像等多媒體內(nèi)容的判別���,則采用基于感知摘要的識(shí)別方法���。在構(gòu)建敏 感信息數(shù)據(jù)庫(kù)時(shí),計(jì)算并存儲(chǔ)敏感多媒體內(nèi)容的感知摘要����,感知摘要具有感知 魯棒性、安全性����、摘要性等特點(diǎn)。其中魯棒性是指多媒體內(nèi)容即使在經(jīng)過(guò)內(nèi)容 保持操作(如��,壓縮�����、格式轉(zhuǎn)換�、旋轉(zhuǎn)等)后,仍能利用數(shù)據(jù)庫(kù)中的感知摘要 判別出該內(nèi)容���。該特性能夠很好地滿足本發(fā)明的需求����。
在內(nèi)容判別方面,本實(shí)施方式不僅能夠?qū)鹘y(tǒng)的文本文件內(nèi)容進(jìn)行監(jiān)控����, 還可以通過(guò)基于語(yǔ)義的文本內(nèi)容(而不是傳統(tǒng)的基于字符排列的關(guān)鍵詞),基 于多媒體感知特征的內(nèi)容摘要(而不是傳統(tǒng)二進(jìn)制數(shù)據(jù)流)對(duì)文件內(nèi)容的敏感 性進(jìn)行判決���。
具體實(shí)施方式
三參見(jiàn)圖1��,本實(shí)施方式在具體實(shí)施方式
一的基礎(chǔ)上增加 了以下單元
加密過(guò)濾驅(qū)動(dòng)模塊3���,用于根據(jù)內(nèi)容過(guò)濾模塊2的判斷結(jié)果對(duì)傳輸對(duì)象進(jìn) 行基于過(guò)濾驅(qū)動(dòng)的實(shí)時(shí)加密或解密。
加密過(guò)濾驅(qū)動(dòng)是在操作系統(tǒng)內(nèi)核中���,文件系統(tǒng)之上的數(shù)據(jù)加密技術(shù)�����。它是 利用開(kāi)發(fā)過(guò)濾驅(qū)動(dòng)來(lái)實(shí)現(xiàn)文件系統(tǒng)功能擴(kuò)展的技術(shù)���,屬于操作系統(tǒng)內(nèi)核程序���, 和文件系統(tǒng)緊密結(jié)合,為用戶提供加/解密服務(wù)�����。利用過(guò)濾驅(qū)動(dòng)實(shí)現(xiàn)文件加解 密有安全保障�,因?yàn)檫^(guò)濾驅(qū)動(dòng)屬于操作系統(tǒng)內(nèi)核程序���,內(nèi)核機(jī)制提供了強(qiáng)有力 的安全保證�,不易受到攻擊����。對(duì)合法用戶來(lái)說(shuō),該模塊可以提供透明的文件加 解密服務(wù)��。綜合文件系統(tǒng)過(guò)濾驅(qū)動(dòng)加密的優(yōu)點(diǎn)和本專利的安全需求�����,對(duì)移動(dòng)存 儲(chǔ)設(shè)備中的指定文件進(jìn)行安全可靠的加密���,采用此技術(shù)是合理的�����。
加密過(guò)濾驅(qū)動(dòng)模塊3的功能包括①���、接收操作監(jiān)控模塊1的請(qǐng)求并對(duì)目
標(biāo)敏感傳輸對(duì)象進(jìn)行加密存儲(chǔ)到移動(dòng)存儲(chǔ)設(shè)備上���。當(dāng)收到操作監(jiān)控模塊1發(fā)出 的請(qǐng)求時(shí),在該數(shù)據(jù)被保存到移動(dòng)存儲(chǔ)設(shè)備前加密該文件�����。②�����、攔截所有用戶 對(duì)加密文件的讀請(qǐng)求并在返回給合法用戶前解密����。本模塊對(duì)被保護(hù)計(jì)算機(jī)中的 敏感數(shù)據(jù)實(shí)現(xiàn)加密保護(hù),寫(xiě)數(shù)據(jù)時(shí)對(duì)數(shù)據(jù)進(jìn)行加密�,讀數(shù)據(jù)時(shí)對(duì)數(shù)據(jù)進(jìn)行解密, 加/解密對(duì)合法用戶是透明的�。即使非法用戶竊取到移動(dòng)存儲(chǔ)設(shè)備上的加密敏 感數(shù)據(jù),.也不能對(duì)其解密���。
本實(shí)施方式采用基于過(guò)濾驅(qū)動(dòng)的加密����,可對(duì)多種文件系統(tǒng)下的各種文件進(jìn) 行加密保護(hù),并不影響用戶的正常操作�����;本實(shí)施方式所采用的加密過(guò)濾驅(qū)動(dòng)無(wú)
縫嵌入操作系統(tǒng)內(nèi)核��,對(duì)i/o數(shù)據(jù)進(jìn)行高強(qiáng)度加密或解密�����,安全性高���。
具體實(shí)施方式
四參見(jiàn)圖1,本實(shí)施方式在具體實(shí)施方式
一或三的基礎(chǔ)上增加了以下單元
日志審計(jì)模塊4�����,用于記錄操作監(jiān)控模塊1或加密過(guò)濾驅(qū)動(dòng)模塊3對(duì)每個(gè) 傳輸文件的操作�����,并將操作記錄提供給用戶查詢和輸出。
用戶可根據(jù)日志審計(jì)模塊4提供的內(nèi)容對(duì)整個(gè)系統(tǒng)的安全性和系統(tǒng)是否
正常運(yùn)行進(jìn)行檢測(cè)�����,并根據(jù)檢測(cè)結(jié)果對(duì)系統(tǒng)進(jìn)行調(diào)整���。
具體實(shí)施方式
五參見(jiàn)圖3���,本實(shí)施方式的控制方法由以下步驟組成
步驟一,操作監(jiān)控模塊1攔截并解析來(lái)自用戶的寫(xiě)請(qǐng)求一IRP (IRP為I/O Request Package的縮寫(xiě)�����,即I/0請(qǐng)求包����,IRP是I/O管理器在內(nèi)核態(tài)操作的對(duì) 象),并將解析結(jié)果發(fā)送給內(nèi)容過(guò)濾模塊2;
步驟二�����,內(nèi)容過(guò)濾模塊2根據(jù)來(lái)自操作監(jiān)控模塊1的解析結(jié)果���,對(duì)傳輸對(duì) 象的文件類型�、文件格式進(jìn)行分析,得到傳輸對(duì)象的文本內(nèi)容或者圖像等多媒 體內(nèi)容��;
步驟三�,內(nèi)容過(guò)濾模塊2,根據(jù)敏感信息數(shù)據(jù)庫(kù)對(duì)分析的結(jié)果進(jìn)行過(guò)濾����, 判斷傳輸?shù)膬?nèi)容是否為敏感信息。
步驟四��,內(nèi)容過(guò)濾模塊2將判斷結(jié)果反饋給操作監(jiān)控模塊1;
步驟五����,操作監(jiān)控模塊1根據(jù)判斷結(jié)果控制傳輸對(duì)象的寫(xiě)操作或啟動(dòng)加密 過(guò)濾驅(qū)動(dòng)模塊3對(duì)傳輸對(duì)象加密�;同時(shí)將執(zhí)行這次操作的進(jìn)程、用戶����、文件名、 時(shí)間等記錄到系統(tǒng)日志文件中�����。
步驟六�,加密過(guò)濾驅(qū)動(dòng)模塊3將加密后的傳輸對(duì)象發(fā)送給下一層設(shè)備對(duì)象�����。
本實(shí)施方式中步驟五的寫(xiě)操作控制是指如果傳輸數(shù)據(jù)包含敏感信息�,則根 據(jù)用戶的意愿或者應(yīng)用場(chǎng)合的需要禁止這次寫(xiě)操作或者啟動(dòng)加密過(guò)濾驅(qū)動(dòng)模 塊��;如果傳輸數(shù)據(jù)不包含敏感信息�,則允許這次寫(xiě)操作完成。
權(quán)利要求
1�、計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制模塊,其特征在于它包括以下單元操作監(jiān)控模塊(1)���,用于監(jiān)控計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備之間的數(shù)據(jù)傳輸操作����,將傳輸對(duì)象發(fā)送給內(nèi)容過(guò)濾模塊(2)����,并根據(jù)內(nèi)容過(guò)濾模塊(2)反饋的判斷結(jié)果對(duì)傳輸對(duì)象進(jìn)行寫(xiě)操作的控制;內(nèi)容過(guò)濾模塊(2)���,用于分析來(lái)自操作監(jiān)控模塊(1)的傳輸對(duì)象的各個(gè)屬性文件類型�����、文件格式��、內(nèi)容等�����,依據(jù)敏感數(shù)據(jù)信息庫(kù)判斷傳輸對(duì)象的內(nèi)容是否包含敏感信息��,將判斷結(jié)果發(fā)送給操作監(jiān)控模塊(1)���。
2��、 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制模塊����,其特征在于所述內(nèi)容過(guò)濾模塊(2)包括以下單元傳輸對(duì)象分析模塊(2-1)���,用于對(duì)操作監(jiān)控模塊(1)提供的傳輸對(duì)象進(jìn)行分析,得到其文件類型���、文件格式�、及傳輸內(nèi)容,將提取的內(nèi)容發(fā)送給傳輸內(nèi)容判別模塊(2-2);傳輸內(nèi)容判別模塊(2-2)�,用于判斷傳輸內(nèi)容是否為敏感內(nèi)容,并將判斷結(jié)果發(fā)送給操作監(jiān)控模塊(1)�。可處理內(nèi)容主要有兩大類�����,即文本文件內(nèi)容和 圖像等多媒體內(nèi)容����。
3、 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制模塊�����,其特征在于它還包括以下單元'加密過(guò)濾驅(qū)動(dòng)模塊(3)��,用于根據(jù)內(nèi)容過(guò)濾模塊(2)的判斷結(jié)果對(duì)傳輸對(duì)象進(jìn)行基于過(guò)濾加密驅(qū)動(dòng)的實(shí)時(shí)加密或解密�。
4、 根據(jù)權(quán)利要求1或3所述的計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控 制模塊���,其特征在于它還包括以下單元日志審計(jì)模塊(4)�,用于記錄文件操作監(jiān)控模塊(1)或加密過(guò)濾驅(qū)動(dòng)模 塊(3)對(duì)每個(gè)傳輸文件的操作��,并將操作記錄提供給用戶查詢和輸出。
5�、 基于權(quán)利要求1所述的計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制模 塊的控制方法,其特征在于它包括以下步驟步驟一���,操作監(jiān)控模塊(1)攔截并解析來(lái)自用戶的寫(xiě)請(qǐng)求�����,并將解析結(jié)果發(fā)送給內(nèi)容過(guò)濾模塊(2);步驟二�����,內(nèi)容過(guò)濾模塊(2)根據(jù)來(lái)自操作監(jiān)控模塊(1)的解析結(jié)果��,對(duì)傳輸對(duì)象的文件類型��、文件格式進(jìn)行分析���,得到傳輸對(duì)象的文本內(nèi)容或者圖像等多媒體內(nèi)容;步驟三�,內(nèi)容過(guò)濾模塊(2)����,根據(jù)敏感信息數(shù)據(jù)庫(kù)對(duì)分析的結(jié)果進(jìn)行過(guò)濾, 判斷傳輸?shù)膬?nèi)容是否為敏感信息。步驟四�,內(nèi)容過(guò)濾模塊(2)將判斷結(jié)果反饋給操作監(jiān)控模塊(1);步驟五,操作監(jiān)控模塊(1)根據(jù)判斷結(jié)果控制傳輸對(duì)象的寫(xiě)操作或啟動(dòng)加密過(guò)濾驅(qū)動(dòng)模塊(3)對(duì)傳輸對(duì)象加密��;同時(shí)將執(zhí)行這次操作的進(jìn)程�、用戶、 文件名�、時(shí)間等記錄到系統(tǒng)日志文件中。步驟六����,加密過(guò)濾驅(qū)動(dòng)模塊(3)將加密后的傳輸對(duì)象發(fā)送給下一層設(shè)備對(duì)象。
6��、根據(jù)權(quán)利要求5所述的計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制方 法����,其特征在于步驟五中所述的控制傳輸內(nèi)容的寫(xiě)操作是指對(duì)于傳輸數(shù)據(jù)包含 的敏感信息,根據(jù)用戶的意愿或者應(yīng)用場(chǎng)合的需要禁止寫(xiě)操作或者啟動(dòng)加密過(guò) 濾驅(qū)動(dòng)模塊(3)進(jìn)行加密���。
全文摘要
計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的敏感數(shù)據(jù)交換控制模塊及方法�,它涉及一種計(jì)算機(jī)與存儲(chǔ)設(shè)備數(shù)據(jù)交換的控制模塊及方法��,以解決現(xiàn)有的移動(dòng)存儲(chǔ)安全系統(tǒng)存在的安全性較差���、缺乏靈活性和實(shí)用性的問(wèn)題��。本發(fā)明的操作監(jiān)控模塊將傳輸對(duì)象發(fā)送給內(nèi)容過(guò)濾模塊�����,并對(duì)傳輸對(duì)象進(jìn)行寫(xiě)操作的控制�;內(nèi)容過(guò)濾模塊分析來(lái)自傳輸對(duì)象的屬性,依據(jù)敏感數(shù)據(jù)信息庫(kù)判斷傳輸對(duì)象的內(nèi)容是否包含敏感信息��,將判斷結(jié)果發(fā)送給操作監(jiān)控模塊���。本發(fā)明的方法通過(guò)解析傳輸對(duì)象的各個(gè)屬性�����,提取傳輸內(nèi)容����,判斷傳輸內(nèi)容是否包含敏感信息��,并根據(jù)判斷結(jié)果對(duì)傳輸對(duì)象進(jìn)行控制����。本發(fā)明對(duì)敏感信息的判決不僅僅依賴于傳統(tǒng)的關(guān)鍵詞方式,更可以使用基于文本語(yǔ)義或者多媒體感知內(nèi)容摘要的方法�����。
文檔編號(hào)G06F21/00GK101430752SQ20081020975
公開(kāi)日2009年5月13日 申請(qǐng)日期2008年12月22日 優(yōu)先權(quán)日2008年12月22日
發(fā)明者劉兆慶, 欣 喻, 慧 張, 瓊 李, 牛夏牧 申請(qǐng)人:哈爾濱工業(yè)大學(xué)