本發(fā)明涉及信息安全領(lǐng)域，具體涉及一種基于tdi接口層的數(shù)據(jù)防泄漏方法及系統(tǒng)。

背景技術(shù)：

隨著信息科學(xué)與互聯(lián)網(wǎng)技術(shù)的飛躍發(fā)展，安全問(wèn)題愈演愈烈，網(wǎng)絡(luò)與信息安全已獲得到前所未有的關(guān)注。其中，數(shù)據(jù)防泄漏系統(tǒng)作為數(shù)據(jù)安全的終端防護(hù)手段，需要對(duì)數(shù)據(jù)進(jìn)行安全管控。對(duì)此，北京明朝萬(wàn)達(dá)科技股份有限公司提出一種針對(duì)數(shù)據(jù)防泄漏系統(tǒng)的網(wǎng)絡(luò)攔截在tdi接口層的應(yīng)用方法。

目前，傳統(tǒng)網(wǎng)絡(luò)攔截是一般通過(guò)spi(serviceproviderinterface)截包技術(shù)或者h(yuǎn)ook網(wǎng)絡(luò)通信函數(shù)來(lái)實(shí)現(xiàn)，內(nèi)部實(shí)現(xiàn)是通過(guò)加載ws2_32.dll調(diào)用winsock網(wǎng)絡(luò)接口。該方式攔截不夠嚴(yán)密，從而有數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

首先，如圖1，在特定應(yīng)用情況下，如在新版的ie11增加了增強(qiáng)型保護(hù)模式。ie11不再使用ws2_32.dll調(diào)用winsock網(wǎng)絡(luò)接口。在這種應(yīng)用程序中傳統(tǒng)網(wǎng)絡(luò)攔截方式不能夠攔截到網(wǎng)絡(luò)數(shù)據(jù)。

其次，在同一臺(tái)計(jì)算機(jī)安裝帶有傳統(tǒng)網(wǎng)絡(luò)攔截技術(shù)的不同軟件，可能會(huì)引起不同程度的訪問(wèn)沖突，造成軟件之間互相干擾。

因此，需要一種新的網(wǎng)絡(luò)攔截方式，不再局限于應(yīng)用程序的網(wǎng)絡(luò)傳輸方式和網(wǎng)絡(luò)攔截應(yīng)用的安裝環(huán)境，能夠更全面，更安全的攔截到網(wǎng)絡(luò)數(shù)據(jù)。

技術(shù)實(shí)現(xiàn)要素：

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種基于tdi接口層的數(shù)據(jù)防泄漏方法，包括以下步驟：

1)生成至少一種數(shù)據(jù)外發(fā)策略和數(shù)據(jù)接收策略；

2)加載上述數(shù)據(jù)外發(fā)策略和數(shù)據(jù)接收策略；

3)當(dāng)應(yīng)用程序需要進(jìn)行發(fā)送或接收網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)候，通過(guò)tdi驅(qū)動(dòng)程序截獲irp數(shù)據(jù)包；

4)截取數(shù)據(jù)包后，所述tdi驅(qū)動(dòng)程序進(jìn)一步對(duì)所述irp數(shù)據(jù)包進(jìn)行過(guò)濾，將過(guò)濾后的所述irp數(shù)據(jù)包發(fā)送到重定向模塊作進(jìn)一步處理；

5)所述重定向模塊對(duì)截取到的所述irp數(shù)據(jù)包進(jìn)行分析，根據(jù)配置的上述數(shù)據(jù)外發(fā)策略和數(shù)據(jù)接收策略處理數(shù)據(jù)。

根據(jù)本發(fā)明的實(shí)施例，優(yōu)選的，所述數(shù)據(jù)外發(fā)策略針對(duì)：郵件接收客戶端、http數(shù)據(jù)接收客戶端；所述數(shù)據(jù)接收策略針對(duì)：郵件外發(fā)客戶端、http數(shù)據(jù)外發(fā)客戶端。

根據(jù)本發(fā)明的實(shí)施例，優(yōu)選的，郵件客戶端外發(fā)郵件策略以及http數(shù)據(jù)外發(fā)策略包括：配置加密類(lèi)型和審計(jì)類(lèi)型，其中加密類(lèi)型包括：不加密、附件加密和全文加密；審計(jì)類(lèi)型包括：審計(jì)和不審計(jì)。

根據(jù)本發(fā)明的實(shí)施例，優(yōu)選的，郵件客戶端接收郵件策略以及http數(shù)據(jù)接收策略包括：配置解密類(lèi)型和審計(jì)類(lèi)型，其中解密類(lèi)型包括：解密和不解密；審計(jì)類(lèi)型包括：審計(jì)和不審計(jì)。

根據(jù)本發(fā)明的實(shí)施例，優(yōu)選的，所述重定向模塊以插件形式加載。

根據(jù)本發(fā)明的實(shí)施例，優(yōu)選的，所述重定向模塊分析所述irp數(shù)據(jù)包，解析出所述irp數(shù)據(jù)包發(fā)送的協(xié)議數(shù)據(jù)，解析出的協(xié)議包括：smtp、pop、http、https；解析出的數(shù)據(jù)拆分為：內(nèi)容數(shù)據(jù)、附件數(shù)據(jù)、附件名數(shù)據(jù)。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種基于tdi接口層的數(shù)據(jù)防泄漏系統(tǒng)，包括：

策略生成模塊，生成至少一種數(shù)據(jù)外發(fā)策略和數(shù)據(jù)接收策略；

策略加載模塊，加載上述數(shù)據(jù)外發(fā)策略和數(shù)據(jù)接收策略；

tdi驅(qū)動(dòng)模塊，當(dāng)應(yīng)用程序需要進(jìn)行發(fā)送或接收網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)候，截獲irp數(shù)據(jù)包，并對(duì)所述irp數(shù)據(jù)包進(jìn)行過(guò)濾，將過(guò)濾后的irp數(shù)據(jù)包發(fā)送到重定向模塊；

重定向模塊，對(duì)截取到的所述irp數(shù)據(jù)包進(jìn)行分析，根據(jù)配置的上述數(shù)據(jù)外發(fā)策略和數(shù)據(jù)接收策略進(jìn)行數(shù)據(jù)處理。

根據(jù)本發(fā)明的實(shí)施例，優(yōu)選的，所述數(shù)據(jù)外發(fā)策略針對(duì)：郵件接收客戶端、http數(shù)據(jù)接收客戶端；所述數(shù)據(jù)接收策略針對(duì)：郵件外發(fā)客戶端、http數(shù)據(jù)外發(fā)客戶端。

根據(jù)本發(fā)明的實(shí)施例，優(yōu)選的，所述重定向模塊分析所述irp數(shù)據(jù)包，解析出所述irp數(shù)據(jù)包發(fā)送的協(xié)議數(shù)據(jù)，解析出的協(xié)議包括：smtp、pop、http、https；解析出的數(shù)據(jù)拆分為：內(nèi)容數(shù)據(jù)、附件數(shù)據(jù)、附件名數(shù)據(jù)。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種計(jì)算機(jī)終端，該計(jì)算機(jī)終端包括計(jì)算機(jī)處理裝置和計(jì)算機(jī)存儲(chǔ)介質(zhì)，該計(jì)算機(jī)存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)指令，當(dāng)所述計(jì)算機(jī)處理裝置執(zhí)行上述計(jì)算機(jī)指令時(shí)，執(zhí)行上述方法之一。

通過(guò)本發(fā)明的技術(shù)方案，取得了以下有益的技術(shù)效果：

可應(yīng)用于各種應(yīng)用程序的網(wǎng)絡(luò)傳輸方式和網(wǎng)絡(luò)攔截應(yīng)用的安裝環(huán)境，能夠全面、安全的攔截到網(wǎng)絡(luò)數(shù)據(jù)，防止敏感數(shù)據(jù)泄露。

附圖說(shuō)明

圖1是現(xiàn)有技術(shù)中的ie11數(shù)據(jù)發(fā)送流程圖

圖2是本發(fā)明的網(wǎng)絡(luò)攔截流程圖

圖3本發(fā)明系統(tǒng)架構(gòu)圖

圖4是本發(fā)明的網(wǎng)絡(luò)協(xié)議架構(gòu)圖

圖5是協(xié)議數(shù)據(jù)拆分圖

圖6是利用本發(fā)明技術(shù)方案的具體實(shí)施例

具體實(shí)施方式

<本發(fā)明的方法流程圖>

如圖2，本發(fā)明提供了一種針對(duì)數(shù)據(jù)防泄漏系統(tǒng)的網(wǎng)絡(luò)攔截在tdi接口層的應(yīng)用方法，其特征在于，該方法包括：

生成郵件客戶端外發(fā)策略，配置加密類(lèi)型和審計(jì)類(lèi)型，加密類(lèi)型包括：不加密，附件加密，全文加密；審計(jì)類(lèi)型包括：審計(jì)和不審計(jì)。

生成郵件客戶端接收策略，配置解密類(lèi)型和審計(jì)類(lèi)型，解密類(lèi)型包括：解密和不解密；審計(jì)類(lèi)型包括：審計(jì)和不審計(jì)。

生成http外發(fā)策略，配置加密類(lèi)型和審計(jì)類(lèi)型，加密類(lèi)型包括：加密和不加密；審計(jì)類(lèi)型包括：審計(jì)和不審計(jì)。

生成http接收策略，配置解密類(lèi)型和審計(jì)類(lèi)型，解密類(lèi)型包括：解密和不解密；審計(jì)類(lèi)型包括：審計(jì)和不審計(jì)。

加載上述網(wǎng)絡(luò)攔截策略。

當(dāng)應(yīng)用程序需要進(jìn)行發(fā)送或接收網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)候，通過(guò)tdi驅(qū)動(dòng)程序截獲irp數(shù)據(jù)包。

截取數(shù)據(jù)包后，tdi驅(qū)動(dòng)進(jìn)一步對(duì)irp數(shù)據(jù)包進(jìn)行過(guò)濾，將數(shù)據(jù)發(fā)送到向到重定向模塊進(jìn)一步處理。

重定向模塊對(duì)截取到的數(shù)據(jù)進(jìn)行分析，根據(jù)配置的策略信息，處理數(shù)據(jù)包。

<本發(fā)明的系統(tǒng)架構(gòu)>

如圖3，本發(fā)明公開(kāi)了一種基于tdi接口層的數(shù)據(jù)防泄漏系統(tǒng)，包括：

策略生成模塊，生成至少一種數(shù)據(jù)外發(fā)策略和數(shù)據(jù)接收策略；

策略加載模塊，加載上述數(shù)據(jù)外發(fā)策略和數(shù)據(jù)接收策略；

tdi驅(qū)動(dòng)模塊，當(dāng)應(yīng)用程序需要進(jìn)行發(fā)送或接收網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)候，截獲irp數(shù)據(jù)包，并對(duì)所述irp數(shù)據(jù)包進(jìn)行過(guò)濾，將過(guò)濾后的irp數(shù)據(jù)包發(fā)送到重定向模塊；

重定向模塊，對(duì)截取到的所述irp數(shù)據(jù)包進(jìn)行分析，根據(jù)配置的上述數(shù)據(jù)外發(fā)策略和數(shù)據(jù)接收策略進(jìn)行數(shù)據(jù)處理。

所述數(shù)據(jù)外發(fā)策略針對(duì)：郵件接收客戶端、http數(shù)據(jù)接收客戶端；所述數(shù)據(jù)接收策略針對(duì)：郵件外發(fā)客戶端、http數(shù)據(jù)外發(fā)客戶端。

郵件客戶端外發(fā)郵件策略以及http數(shù)據(jù)外發(fā)策略包括：配置加密類(lèi)型和審計(jì)類(lèi)型，其中加密類(lèi)型包括：不加密、附件加密和全文加密；審計(jì)類(lèi)型包括：審計(jì)和不審計(jì)。

郵件客戶端接收郵件策略以及http數(shù)據(jù)接收策略包括：配置解密類(lèi)型和審計(jì)類(lèi)型，其中解密類(lèi)型包括：解密和不解密；審計(jì)類(lèi)型包括：審計(jì)和不審計(jì)。

所述重定向模塊分析所述irp數(shù)據(jù)包，解析出所述irp數(shù)據(jù)包發(fā)送的協(xié)議數(shù)據(jù)，解析出的協(xié)議包括：smtp、pop、http、https；解析出的數(shù)據(jù)拆分為：內(nèi)容數(shù)據(jù)、附件數(shù)據(jù)、附件名數(shù)據(jù)。

當(dāng)應(yīng)用程序需要進(jìn)行發(fā)送或接收網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)候，都是通過(guò)協(xié)議驅(qū)動(dòng)(如：tcpip.sys)所提供的接口(如sendto,connect)來(lái)進(jìn)行的。協(xié)議驅(qū)動(dòng)提供了一套系統(tǒng)預(yù)定義的標(biāo)準(zhǔn)接口來(lái)和應(yīng)用程序之間進(jìn)行交互

如圖4，傳輸層過(guò)濾驅(qū)動(dòng)程序tdi驅(qū)動(dòng)通過(guò)創(chuàng)建一個(gè)或多個(gè)設(shè)備對(duì)象(設(shè)備對(duì)象：tdi設(shè)備："\\device\\tcp"，對(duì)應(yīng)tcp協(xié)議；"\\device\\udp"；對(duì)應(yīng)udp協(xié)議；

"\\device\\rawip"，對(duì)應(yīng)原始ip包)直接掛接到現(xiàn)有的驅(qū)動(dòng)程序之上(tcpip.sys)。當(dāng)有應(yīng)用程序或其它驅(qū)動(dòng)程序調(diào)用這個(gè)設(shè)備對(duì)象時(shí)，會(huì)首先映射到過(guò)tdi驅(qū)動(dòng)上，然后由tdi驅(qū)動(dòng)再傳遞給原來(lái)的設(shè)備對(duì)象(tcpip.sys)。

tdi驅(qū)動(dòng)模塊截獲到網(wǎng)絡(luò)數(shù)據(jù)包，解析出需要重定向的數(shù)據(jù)包，通過(guò)tcp協(xié)議發(fā)送到重定向模塊。

重定向模塊以插件形式加載到防泄漏系統(tǒng)中，防泄漏系統(tǒng)開(kāi)機(jī)即運(yùn)行加載插件。

參看圖5，重定向模塊插件分析數(shù)據(jù)包，解析出數(shù)據(jù)包發(fā)送的協(xié)議數(shù)據(jù)，協(xié)議包括smtp，pop，http，https。解析出信息拆分出：內(nèi)容數(shù)據(jù)，附件數(shù)據(jù)，附件名數(shù)據(jù)。

具體實(shí)施例

如圖6，某銀行客戶數(shù)據(jù)安全管理項(xiàng)目,防泄漏系統(tǒng)將網(wǎng)絡(luò)劃分為行內(nèi)網(wǎng)路和行外網(wǎng)絡(luò)。內(nèi)網(wǎng)之間郵件通訊需要加密發(fā)送，內(nèi)外網(wǎng)郵件之間通訊需要審計(jì)后進(jìn)行明文發(fā)送。

郵件外發(fā)加密策略：郵件客戶端外發(fā)附件加密，附件和郵件信息上傳防泄漏服務(wù)器用于審計(jì)。

郵件接收解密策略：郵件客戶端接收附件加密，附件和郵件信息上傳防泄漏服務(wù)器用于審計(jì)。

web外發(fā)加密策略：配置oa郵箱地址到http外發(fā)控制策略，郵件外發(fā)和接收時(shí)附件和郵件信息上傳防泄漏服務(wù)器用于審計(jì)。

郵件服務(wù)器通過(guò)公務(wù)郵箱通過(guò)明文外發(fā)登記后可明文發(fā)送給銀行外的任意終端，均可以接收閱讀。

而郵件服務(wù)器行內(nèi)的通信郵件需要加密傳輸，安全終端接收郵件后自動(dòng)解密，不影響用戶閱讀。如果是非法終端截取到經(jīng)過(guò)加密的郵件，無(wú)法正常讀取。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換以及改進(jìn)等，均應(yīng)保護(hù)在本發(fā)明的保護(hù)范圍之內(nèi)。