基于文件過(guò)濾的管控局域網(wǎng)文件數(shù)據(jù)的方法、系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及局域網(wǎng)內(nèi)的文件數(shù)據(jù)管控技術(shù)，尤其涉及基于文件過(guò)濾的管控局域網(wǎng)文件數(shù)據(jù)的方法、基于文件過(guò)濾的局域網(wǎng)文件數(shù)據(jù)管控系統(tǒng)。
【背景技術(shù)】
[0002]企業(yè)數(shù)據(jù)的安全性一直是企業(yè)關(guān)注的問(wèn)題。企業(yè)希望確保企業(yè)局域網(wǎng)機(jī)密數(shù)據(jù)不被非法流出，同時(shí)又對(duì)合法外發(fā)數(shù)據(jù)的發(fā)送過(guò)程提供審計(jì)。
[0003]目前較為常用的解決方案是企業(yè)防火墻和郵件系統(tǒng)配合的方式，通過(guò)企業(yè)防火墻關(guān)閉特定的網(wǎng)絡(luò)端口限制郵件系統(tǒng)不能發(fā)送附件。但是通過(guò)企業(yè)防火墻關(guān)閉特定的網(wǎng)絡(luò)端口可能導(dǎo)致合法的局域網(wǎng)數(shù)據(jù)不能正常外傳，比如限制HTTP-P0ST操作，防止通過(guò)網(wǎng)頁(yè)附件的方式將文件發(fā)送到外部服務(wù)器，可能會(huì)使得很多網(wǎng)頁(yè)的正常表單數(shù)據(jù)無(wú)法提交，網(wǎng)頁(yè)正常功能的使用被限制。

【發(fā)明內(nèi)容】

[0004]基于現(xiàn)有技術(shù)中的問(wèn)題，本申請(qǐng)?zhí)峁┮环N基于文件過(guò)濾的管控局域網(wǎng)文件數(shù)據(jù)的方法、基于文件過(guò)濾的局域網(wǎng)文件數(shù)據(jù)管控系統(tǒng)。
[0005]根據(jù)本申請(qǐng)實(shí)施例的第一方面，提供一種基于文件過(guò)濾的管控局域網(wǎng)文件數(shù)據(jù)的方法，該方法包括步驟:
[0006]記錄第一信息，所述第一信息用于描述打開(kāi)文件數(shù)據(jù)的應(yīng)用程序的特征信息；
[0007]將文件數(shù)據(jù)進(jìn)行加密，并通過(guò)文件系統(tǒng)存儲(chǔ)加密的文件數(shù)據(jù)和第一信息；
[0008]當(dāng)局域網(wǎng)中的用戶訪問(wèn)文件數(shù)據(jù)時(shí)，如果訪問(wèn)所述文件數(shù)據(jù)的應(yīng)用程序的特征信息與所述第一信息不一致，則將所述加密的文件數(shù)據(jù)和所述第一信息返回給訪問(wèn)所述文件數(shù)據(jù)的應(yīng)用程序；
[0009]獲取對(duì)用于向外部網(wǎng)絡(luò)發(fā)送的加密的文件數(shù)據(jù)的審計(jì)結(jié)果；將審計(jì)通過(guò)的加密的文件數(shù)據(jù)解密；
[0010]當(dāng)局域網(wǎng)中的用戶向外部網(wǎng)絡(luò)發(fā)送文件數(shù)據(jù)時(shí)，獲取審計(jì)通過(guò)后解密的文件數(shù)據(jù)發(fā)給外部網(wǎng)絡(luò)。
[0011]本申請(qǐng)的另一方面，提供一種基于文件過(guò)濾的局域網(wǎng)文件數(shù)據(jù)管控系統(tǒng)，包括:局域網(wǎng)客戶端和中心服務(wù)器；
[0012]所述局域網(wǎng)客戶端包括:
[0013]文件驅(qū)動(dòng)層，用于記錄第一信息，所述第一信息用于描述打開(kāi)文件數(shù)據(jù)的應(yīng)用程序的特征信息；將文件數(shù)據(jù)進(jìn)行加密，并通過(guò)文件系統(tǒng)存儲(chǔ)加密的文件數(shù)據(jù)以及第一信息；當(dāng)局域網(wǎng)中的用戶訪問(wèn)文件數(shù)據(jù)時(shí)，如果訪問(wèn)所述文件數(shù)據(jù)的應(yīng)用程序的特征信息與所述第一信息不一致，則將所述加密的文件數(shù)據(jù)和所述第一信息返回給訪問(wèn)所述文件數(shù)據(jù)的應(yīng)用程序；
[0014]數(shù)據(jù)加密層，用于將文件數(shù)據(jù)加密或?qū)⒓用艿奈募?shù)據(jù)解密；
[0015]通信模塊，用于向中心服務(wù)器發(fā)出審計(jì)請(qǐng)求；以及當(dāng)局域網(wǎng)中的用戶向外部網(wǎng)絡(luò)發(fā)送文件數(shù)據(jù)時(shí)，獲取審計(jì)通過(guò)后解密的文件數(shù)據(jù)發(fā)給外部網(wǎng)絡(luò)；
[0016]所述中心服務(wù)器，用于獲取對(duì)用于向外部網(wǎng)絡(luò)發(fā)送的加密的文件數(shù)據(jù)的審計(jì)結(jié)果；將審計(jì)通過(guò)的加密的文件數(shù)據(jù)解密。
[0017]本申請(qǐng)將文件數(shù)據(jù)以加密的方式在局域網(wǎng)中保存；限制局域網(wǎng)內(nèi)可以訪問(wèn)加密的文件數(shù)據(jù)的應(yīng)用程序的種類；需要發(fā)往外部網(wǎng)絡(luò)的文件數(shù)據(jù)在審計(jì)通過(guò)后才可以被解密并發(fā)到外部網(wǎng)絡(luò)；可以做到在不影響應(yīng)用程序正常功能的前提下安全管控文件數(shù)據(jù)。
【附圖說(shuō)明】
[0018]圖1為本申請(qǐng)實(shí)施例中基于文件過(guò)濾的管控局域網(wǎng)文件數(shù)據(jù)的方法流程圖；
[0019]圖2為本申請(qǐng)實(shí)施例中一個(gè)應(yīng)用場(chǎng)景下的網(wǎng)絡(luò)示意圖；
[0020]圖3是本申請(qǐng)實(shí)施例中一個(gè)應(yīng)用場(chǎng)景下的網(wǎng)絡(luò)實(shí)體交互的時(shí)序圖；
[0021]圖4是本申請(qǐng)實(shí)施例中基于文件過(guò)濾的管控局域網(wǎng)文件數(shù)據(jù)的系統(tǒng)的硬件架構(gòu)圖；
[0022]圖5是本申請(qǐng)實(shí)施例中基于文件過(guò)濾的管控局域網(wǎng)文件數(shù)據(jù)的系統(tǒng)的軟件邏輯框圖。
【具體實(shí)施方式】
[0023]這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說(shuō)明，其示例表示在附圖中。下面的描述涉及附圖時(shí)，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本申請(qǐng)的一些方面相一致的裝置和方法的例子。
[0024]在本申請(qǐng)使用的術(shù)語(yǔ)是僅僅出于描述特定實(shí)施例的目的，而非旨在限制本申請(qǐng)。在本申請(qǐng)和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語(yǔ)“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。
[0025]應(yīng)當(dāng)理解，盡管在本申請(qǐng)可能采用術(shù)語(yǔ)第一、第二、第三等來(lái)描述各種信息，但這些信息不應(yīng)限于這些術(shù)語(yǔ)。這些術(shù)語(yǔ)僅用來(lái)將同一類型的信息彼此區(qū)分開(kāi)。例如，在不脫離本申請(qǐng)范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語(yǔ)境，如在此所使用的詞語(yǔ)“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。
[0026]本申請(qǐng)的技術(shù)方案可以基于文件過(guò)濾技術(shù)實(shí)現(xiàn)，文件過(guò)濾是操作系統(tǒng)中的文件系統(tǒng)的驅(qū)動(dòng)層機(jī)制，能過(guò)濾對(duì)文件系統(tǒng)的訪問(wèn)操作，采用分層的結(jié)果，以提供多層過(guò)濾，是一些常用的安全應(yīng)用產(chǎn)品如文件數(shù)據(jù)的透明加解密，殺毒軟件等應(yīng)用工具的入口。
[0027]本申請(qǐng)將文件數(shù)據(jù)以加密的方式在局域網(wǎng)中傳播；允許局域網(wǎng)中的客戶端通過(guò)特定的應(yīng)用程序訪問(wèn)加密的文件數(shù)據(jù)；需要發(fā)往外部網(wǎng)絡(luò)的文件數(shù)據(jù)在審計(jì)通過(guò)后才可以被解密并發(fā)到外部網(wǎng)絡(luò)。本申請(qǐng)中所涉及的局域網(wǎng)可以是企業(yè)內(nèi)部各員工所使用的客戶端組成的計(jì)算機(jī)組。
[0028]圖1是本申請(qǐng)的方法流程圖。
[0029]S101，記錄第一信息，第一信息用于描述打開(kāi)文件數(shù)據(jù)的應(yīng)用程序的特征信息。
[0030]為了描述方便，以下將創(chuàng)建文件數(shù)據(jù)時(shí)所使用的應(yīng)用程序稱為宿主程序。
[0031]在一個(gè)實(shí)施例中，當(dāng)應(yīng)用程序創(chuàng)建文件數(shù)據(jù)時(shí)，可以將該宿主程序的特征信息作為第一信息進(jìn)行記錄。另外，考慮到兼容性，可以將與宿主程序兼容的應(yīng)用程序的特征信息也進(jìn)行記錄。例如，如果宿主程序是WORD，第一信息中記錄的可以是WORD的特征信息以及與WORD相兼容的應(yīng)用程序(例如WPS等應(yīng)用程序)的特征信息。可以通過(guò)管理員預(yù)先配置好各個(gè)應(yīng)用程序所兼容的應(yīng)用程序列表，再自動(dòng)同步給各個(gè)局域網(wǎng)客戶端軟件。
[0032]作為一個(gè)例子，第一信息可以是應(yīng)用程序在操作系統(tǒng)注冊(cè)表中所記載的信息，例如應(yīng)用程序的安裝路徑等；也可以是文件的打開(kāi)進(jìn)程的所有信息，包括進(jìn)程名稱，應(yīng)用程序ID等。
[0033]作為一個(gè)實(shí)施例，為了保證安全性，第一信息在被記錄后可以不允許被修改。
[0034]S102，將文件數(shù)據(jù)加密；
[0035]宿主程序所創(chuàng)建的文件數(shù)據(jù)以加密的方式保存。一個(gè)實(shí)施例中，為了能夠?qū)崿F(xiàn)用戶在無(wú)感知的情況下訪問(wèn)文件數(shù)據(jù)，整個(gè)文件可以包括兩部分內(nèi)容，一部分是加密的文件數(shù)據(jù)，另一部分可以是一個(gè)隱藏的擴(kuò)展區(qū)域，將第一信息存儲(chǔ)在加密的文件數(shù)據(jù)的擴(kuò)展區(qū)域中。
[0036]對(duì)文件數(shù)據(jù)加密所采用的加密算法可以依據(jù)設(shè)計(jì)者的需要自行決定，作為一個(gè)簡(jiǎn)化方案，加解密密鑰可以是對(duì)稱密鑰，但不排除其他的密鑰形式。在一個(gè)例子中，加解密的密鑰可以通過(guò)多種方式獲得。例如，可以設(shè)計(jì)獨(dú)立于操作系統(tǒng)登錄過(guò)程的登錄流程，負(fù)責(zé)認(rèn)證局域網(wǎng)內(nèi)的用戶身份的服務(wù)器可以在通過(guò)此用戶登錄時(shí)，將加密密鑰和解密密鑰發(fā)給用戶登錄的局域網(wǎng)客戶端。另外，也可以將登錄過(guò)程和操作系統(tǒng)的桌面登錄過(guò)程集成，關(guān)聯(lián)到操作系統(tǒng)的域賬號(hào)，登錄成功后返回加密密鑰和解密密鑰。
[0037]S103，將加密的文件數(shù)據(jù)以及第一信息發(fā)給文件系統(tǒng)存儲(chǔ)。
[0038]文件系統(tǒng)負(fù)責(zé)將所收到的加密的文件數(shù)據(jù)以及第一信息存儲(chǔ)于物理磁盤，或者在不同的場(chǎng)景下從物理磁盤中讀取加密的文件數(shù)據(jù)或?qū)⒓用艿奈募?shù)據(jù)連同擴(kuò)展區(qū)域的第一信息一并讀取出。
[0039]本申請(qǐng)中，在邏輯上，執(zhí)行步驟SlOl和S102的程序位于操作系統(tǒng)的文件系統(tǒng)和物理磁盤之上，需要先執(zhí)行SlOl和S102后再通過(guò)文件系統(tǒng)的驅(qū)動(dòng)將文件數(shù)據(jù)在物理磁盤中讀寫。作為一個(gè)實(shí)施例，當(dāng)操作系統(tǒng)觸發(fā)事件時(shí)，可以通過(guò)操作系統(tǒng)中的鉤子“Η00Κ”函數(shù)實(shí)現(xiàn)。利用鉤子函數(shù)，可以捕捉