*CN1015578A*
(10)申请公布号 CN 1015578 A(43)申请公布日 2010.11.24
(12)发明专利申请
(21)申请号 201010226282.9(22)申请日 2010.07.06
(71)申请人国都兴业信息审计系统技术(北京)
有限公司
地址100193 北京市海淀区中关村软件园
10号楼305室(72)发明人陈浙一 徐亚非 董文英 常乐(74)专利代理机构北京市商泰律师事务所
11255
代理人麻吉凤(51)Int.Cl.
H04L 29/08(2006.01)H04L 29/06(2006.01)G06F 21/00(2006.01)
权利要求书 2 页 说明书 16 页 附图 8 页
(54)发明名称
基于综合安全审计的文档监控管理系统(57)摘要
本发明公开了一种基于综合安全审计的文档监控管理系统,包括文档安全管理中心模块、网络探针审计模块、终端访问审计模块和联动模块。其中,所述文档安全管理中心模块;所述系统中,核心交换机与多个部门交换机相连接,所述每一部门交换机与多个用户终端相连接,并且,所述终端访问审计模块设置于每一所述用户终端内。基于本发明,可以在克服现有技术的缺陷,有效的保证文档的安全。
CN 1015578 ACN 1015578 ACN 1015579 A
权 利 要 求 书
1/2页
1.一种基于综合安全审计的文档监控管理系统,其特征在于,所述系统基于浏览器/服务器结构实现,至少包括:
文档安全管理中心模块,用于分配文档用户的权限,自动生成面向文档及文档内容的文档保护策略,下发保护策略,文件加密、用户身份识别,分析记录破坏文档安全的行为,向终端代理发送告警通知,以及与包括防火墙的安全产品联动对文档进行监管;并且,用于对窃取、修改或破坏安全数据的行为和企图进行启动或响应,保护文档的安全;
网络探针审计模块,部署在组织内网的边界出口或文档管理域边界,基于捕获的被保护环境的网络通信数据包,还原网络中传输的文档,接收所述文档安全管理中心模块发出的所述文档保护策略,识别违反安全策略的文档传输行为,以及向所述文档安全管理中心模块发送违反策略的文档滥用事件摘要;并且,用于对窃取、修改或破坏安全数据的行为和企图进行启动或响应,保护文档的安全;
终端访问审计模块,以软件形式部署在用户终端,用于在本地执行文档访问控制检查,监控审计外部存储设备对主机的访问,监控并记录本地对被保护文档的拷贝情况及其他访问操作,接收管理中心下发的文档保护策略,执行管理中心下属的文档保护特事特办,以及向所述文档安全管理中心模块回传被保护文档的本地审计记录;并且,并且,用于对窃取、修改或破坏安全数据的行为和企图进行启动或响应,保护文档的安全;
并且,所述系统中,每一核心交换机与多个部门交换机相连接,所述每一部门交换机与多个用户终端相连接,并且,所述终端访问审计模块设置于每一所述用户终端内。
2.根据权利要求1所述的文档监控管理系统,其特征在于,所述文档安全管理中心模块包括:
账号分配单元,用于为每一用户分配一个账号,所述账号唯一且与用户的真实信息一一对应;
权限粒度划分单元,用于将访问权限进行细粒度的划分。3.根据权利要求2所述的文档监控管理系统,其特征在于,所述文档安全管理中心模块还包括:
权限分配单元,用于依据用户的账号信息,为用户分配相应的访问权限。4.根据权利要求1所述的文档监控管理系统,其特征在于,所述文档安全管理中心模块还包括:
文档保护策略生成单元,用于根据文档的安全要求,为文档提供不同类型的安全保护策略;以及,
审计策略自动生成单元,用于根据文档保护策略自动生成审计策略,指导网络审计探针和终端访问审计模块识别并审查可能危害被保护文档或内容安全性的行为;
所述权限分配单元进一步用于依据用户的账号信息和文档的安全保护策略,为用户分配相应的权限。
5.根据权利要求1所述的文档监控管理系统,其特征在于,所述类型包括将文档整体作为保护对象的文档全保护类型、将文档内容作为保护对象的文档内容保护类型,以及将文档中的关键信息作为保护对象的文档数据保护类型。
6.根据权利要求1所述的文档监控管理系统,其特征在于,所述文档安全管理中心模块还包括:
2
CN 1015578 ACN 1015579 A
权 利 要 求 书
2/2页
数据分析存储单元,用于分析网络审计探针和终端访问审计模块传回的记录信息,判断是否应该作为新的安全事件提供审计保护;对于被确认了的新安全事件,自动生成与新安全事件相匹配的安全保护策略及审计策略,并同步更新网络审计探针模块和终端访问审计模块的相关策略,确保系统各模块的安全审计策略配置保持一致。
7.根据权利要求1所述的文档监控管理系统,其特征在于,所述网络探针审计模块包括:
分析模块,用于分析获取的数据包,识别并确认传输文档的行为,同时将传输文档的用户账号、数据包源IP和目的IP、传输时间,以及包括该用户当前使用的应用程序和传送方式的信息回传到管理中心,同时在探针记录中增加摘要信息和文档传输原始信息。
8.根据权利要求1所述的文档监控管理系统,其特征在于,所述网络探针审计模块还包括:
增量更新模块,审计策略增量更新单元,用于在接收到增量更新的指示后,在原审计策略文件基础上,修订需要更新的策略配置,包括在文件末尾追加审查项,修改原来的、不合理的审查项;
完全更新模块,用于在接收完全更新的指示后,以替换原始策略文件的方式更新审计策略配置信息;
保护策略自动修复单元,用于在网络探针配置遭到破坏时,主动通知所述文档安全管理中心模块,以进行安全策略自动修复。
9.根据权利要求1所述的文档监控管理系统,其特征在于,所述终端访问审计模块包括访问审计单元,所述访问审计单元包括:
外部存储设备访问的审计子单元,用于负责监控主机中的进程状态,识别外部存储设备对主机的访问,分析系统日志中在外部存储设备访问主机后有关涉密文档的记录,确认并记录用户利用外部存储设备破坏涉密文档安全的行为。
10.根据权利要求9所述的文档监控管理系统,其特征在于,所述终端访问审计单元还包括:
剪贴板使用情况的审计子单元,用于识别用户拷贝涉密文档部分或全部数据的活动,记录用户包括拷贝及其后对涉密文档实施的全部活动,以及对剪贴板中对应涉密文档内容内存区域的全部访问。
11.根据权利要求10所述的文档监控管理系统,其特征在于,所述终端访问审计单元还包括:
重命名非法访问的审计子单元,用于识别用户对文档进行重命名或创建副本的行为,记录用户行为及含有涉密文档全部或部分信息的变形文档特征属性,形成审计记录。
12.根据权利要求11所述的文档监控管理系统,其特征在于,所述访问审计单元还包括:
文档内容安全审计子单元,用于识别用户利用剪贴板拷贝机密文档全部或部分文档内容,并在文档外进行非法编辑或传播的行为;该功能单元可以通过关联分析,识别用户利用网络通讯应用程序传播机密信息,或者把被保护文档的机密内容拷贝到其他文档后进行传播的活动。
3
CN 1015578 ACN 1015579 A
说 明 书
基于综合安全审计的文档监控管理系统
1/16页
技术领域
[0001]
本发明涉及文档监控的技术领域,尤其涉及一种基于综合安全审计的文档监控管
理系统。背景技术
随着信息技术的迅速发展,越来越多组织选择使用电子文档替代原来的纸质记录。然而,信息技术在带给组织便捷高效的办公体验同时,也带来了许多安全隐患。[0003] 纸质文档由于具有书写费时、版本单一等特点,丢失或遭到篡改等破坏信息完整性的行为容易发现;此外,由于纸质文档使用专柜保存,通常使用加锁等措施提供访问控制,因此违规偷看文档等破坏数据安全的行为可以通过访问控制管理结合技术检测监控等手段进行违规人员确定和行为追踪。[0004] 然而,随着信息技术的广泛应用,以电子文档保存的信息复制容易,而且伴随网络技术的普及,文档从独一无二变成副本千万、安全信息被公开、篡改及破坏所需要的时间不足一秒。在这种情况下,如何监控文档的访问情况,及时识别并响应对重要文档实施的违规操作,保护组织信息安全,已成为管理者无法忽视的问题。
[0005] 保证企业数据不被非授权人员非法窃取或传播最常见的技术是通过建立访问控制策略拒绝非法人员的访问行为,避免信息外泄。因此当前有很多文档管理系统,通过管理员配置文档访问控制策略,向符合文档访问要求的人员授予相应权限,并拒绝授权外人员的访问行为,从而期望达到规避信息被破坏和泄漏的风险。这种控制方法在一定程度上是有效的,前提是有权限访问文档的角色或用户不会进行文档信息的非法传播;此外,如果授权人员通过远程访问文档,还需要保证其访问过程中依赖的传输通道不存在网络侦听等安全威胁。
[0006] 随着网络技术的发展,许多组织都会选择通过网络进行文件的访问或传输,因此利用文档的传输过程盗取机密信息已经成为恶意者的首选方案。针对这一现象,研究人员提出建立安全的网络传输通道(如VPN、IPSec),在可审计的特殊网络环境中访问文档,以及文档加密后传输等解决方案。
[0007] 例如某公司对其文档管理产品(公司和产品名称参考本段结尾的链接)的安全保护功能描述如下:利用数据传输加密和文件存储加密等技术实现文档的加密传输和存储,确保即便文档被授权外的人员截获,在不知道解密密钥的前提下依然无法获知文档内容信息;采用主动式的病毒防御,通过主动防御,降低病毒程序获取文档导致保密信息泄漏的风险发生;产品通过加密或混淆文件名对集中存放在文档服务器中的文档提供进一步保护;用户只能通过该产品提供的界面访问到被授权的文档;系统追踪并记录用户在系统中的任何操作;系统可以控制并设置对于文档的操作权限(如下载,预览,打印,共享,邮件,编辑等)以及权限的过期时间。[0008] 再如,编号200610041967的专利提出一种基于网络协同工作环境对涉密文档进行保护的方法。该方法的功能包括对涉密文档加密,在一定范围内提供对加密文件的授权
[0002]
4
CN 1015578 ACN 1015579 A
说 明 书
2/16页
访问管理,并对访问过程进行审计等功能。该发明适用前提是,基于网络共享环境进行涉密文档的远程访问及操作,提供一次访问文档的全过程记录,支持对于泄密事件的事后追查。[0009] 除上述提供特定网络使用环境下的文档保护方案外,另有部分研究人员关注于对本地主机中保存的文档提供保护。相关的技术方案包括:引进数字版权管理技术,进行Email附件检查,实施U口拒绝外部存储设备访问,利用传感技术实现对涉密电子文档跟踪定位,部署基于文档名称的网络审计等。例如,编号200580019990的专利,DLP技术,以及国内部分安全审计公司的网络审计类产品等。[0010] 上述技术存在的缺点包括如下几类:[0011] 第一、利用访问控制技术拒绝非授权用户对机密文件的访问,但是无法阻止具有权限的合法用户故意或误操作导致破坏组织信息安全的行为。[0012] 第二、必须在厂家提供的特定环境中进行文档访问,安全保护范围有限,增加访问的条件,降低用户体验。[0013] 第三、借助传感技术甚至硬件设备提供安全保护,增加解决方案的投入成本,而且无法追踪非电子形式(如打印的文档)泄漏机密信息的行为。[0014] 第四、关注于文档生命周期的部分环节,形式单一,形成安全保护孤岛,包括:提供文档从服务器到用户本地的传输通道加密,可以保证文档传输过程的安全,但无法保证文档在终端保存过程中安全不受到破坏;提供U口拒绝外部存储设备对主机的访问,单独使用这种安全保护方法一方面无法阻止例如网络传输等其他破坏信息安全属性的行为,同时由于无法使用外部存储设备进行合理的数据交换,很多情况下存在影响业务正常开展的风险(例如,在不允许使用网络通讯的环境中,无法实现参考资料的共享);进行E-mail附件检查,可以避免用户利用E-mail外泄秘密信息。但是检查手段单一,没有针对其他的网络传输方式进行监控。由于网络文件传输方式众多,如果采用枚举法识别现有的文件网络传输方式,并分别提供监控,则对方案投资成本的要求非常高;使用审计技术记录访问活动,但只作为事后分析的依据,不具有威胁防范的实时性;保护粒度偏粗,基于文档整体保护,不能有效识别关键涉密信息,在加大安全保护力度的同时,较大程度上影响到正常的业务运作。此外,由于保护对象定义不够清晰,造成大量的安全威胁识别错误或遗漏。发明内容
[0015] 本发明的目的在于提供一种基于综合安全审计的文档监控管理系统,基于本发明,可以在克服现有技术的缺陷的基础上,有效的保证文档的安全。本发明公开了一种基于综合安全审计的文档监控管理系统,所述系统基于浏览器/服务器结构实现,至少包括:文档安全管理中心模块,用于分配文档用户的权限,自动生成面向文档及文档内容的文档保护策略,下发保护策略,文件加密、用户身份识别,分析记录破坏文档安全的行为,向终端代理发送告警通知,以及与包括防火墙的安全产品联动对文档进行监管;并且,用于对窃取、修改或破坏安全数据的行为和企图进行启动或响应,保护文档的安全;网络探针审计模块,部署在组织内网的边界出口或文档管理域边界,基于捕获的被保护环境的网络通信数据包,还原网络中传输的文档,接收所述文档安全管理中心模块发出的所述文档保护策略,识别违反安全策略的文档传输行为,以及向所述文档安全管理中心模块发送违反策略的文档滥用事件摘要;并且,用于对窃取、修改或破坏安全数据
[0016]
5
CN 1015578 ACN 1015579 A
说 明 书
3/16页
的行为和企图进行启动或响应,保护文档的安全;终端访问审计模块,以软件形式部署在用户终端,用于在本地执行文档访问控制检查,监控审计外部存储设备对主机的访问,监控并记录本地对被保护文档的拷贝情况及其他访问操作,接收管理中心下发的文档保护策略,执行管理中心下属的文档保护特事特办,以及向所述文档安全管理中心模块回传被保护文档的本地审计记录;并且,并且,用于对窃取、修改或破坏安全数据的行为和企图进行启动或响应,保护文档的安全;并且,所述系统中,每一核心交换机与多个部门交换机相连接,所述每一部门交换机与多个用户终端相连接,并且,所述终端访问审计模块设置于每一所述用户终端内。
[0017] 上述文档监控管理系统,优选所述文档安全管理中心模块包括:账号分配单元,用于为每一用户分配一个账号,所述账号唯一且与用户的真实信息一一对应;权限粒度划分单元,用于将访问权限进行细粒度的划分。[0018] 上述文档监控管理系统,优选所述文档安全管理中心模块还包括:权限分配单元,用于依据用户的账号信息,为用户分配相应的访问权限。[0019] 上述文档监控管理系统,优选所述文档安全管理中心模块还包括:文档保护策略生成单元,用于根据文档的安全要求,为文档提供不同类型的安全保护策略;以及,审计策略自动生成单元,用于根据文档保护策略自动生成审计策略,指导网络审计探针和终端访问审计模块识别并审查可能危害被保护文档或内容安全性的行为;所述权限分配单元进一步用于依据用户的账号信息和文档的安全保护策略,为用户分配相应的权限。[0020] 上述文档监控管理系统,优选所述类型包括将文档整体作为保护对象的文档全保护类型、将文档内容作为保护对象的文档内容保护类型,以及将文档中的关键信息作为保护对象的文档数据保护类型。
[0021] 上述文档监控管理系统,优选所述文档安全管理中心模块还包括:数据分析存储单元,用于分析网络审计探针和终端访问审计模块传回的记录信息,判断是否应该作为新的安全事件提供审计保护;对于被确认了的新安全事件,自动生成与新安全事件相匹配的安全保护策略及审计策略,并同步更新网络审计探针模块和终端访问审计模块的相关策略,确保系统各模块的安全审计策略配置保持一致。[0022] 上述文档监控管理系统,优选所述网络探针审计模块包括:分析模块,用于分析获取的数据包,识别并确认传输文档的行为,同时将传输文档的用户账号、数据包源IP和目的IP、传输时间,以及包括该用户当前使用的应用程序和传送方式的信息回传到管理中心,同时在探针记录中增加摘要信息和文档传输原始信息。[0023] 上述文档监控管理系统,优选所述网络探针审计模块还包括:增量更新模块,审计策略增量更新单元,用于在接收到增量更新的指示后,在原审计策略文件基础上,修订需要更新的策略配置,包括在文件末尾追加审查项,修改原来的、不合理的审查项;完全更新模块,用于在接收完全更新的指示后,以替换原始策略文件的方式更新审计策略配置信息;保护策略自动修复单元,用于在网络探针配置遭到破坏时,主动通知所述文档安全管理中心模块,以进行安全策略自动修复。[0024] 上述文档监控管理系统,优选所述终端访问审计模块包括访问审计单元,所述访问审计单元包括:外部存储设备访问的审计子单元,用于负责监控主机中的进程状态,识别外部存储设备对主机的访问,分析系统日志中在外部存储设备访问主机后有关涉密文档的
6
CN 1015578 ACN 1015579 A
说 明 书
4/16页
记录,确认并记录用户利用外部存储设备破坏涉密文档安全的行为。[0025] 上述文档监控管理系统,优选所述终端访问审计单元还包括:剪贴板使用情况的审计子单元,用于识别用户拷贝涉密文档部分或全部数据的活动,记录用户包括拷贝及其后对涉密文档实施的全部活动,以及对剪贴板中对应涉密文档内容内存区域的全部访问。[0026] 上述文档监控管理系统,优选所述终端访问审计单元还包括:重命名非法访问的审计子单元,用于识别用户对文档进行重命名或创建副本的行为,记录用户行为及含有涉密文档全部或部分信息的变形文档特征属性,形成审计记录。[0027] 上述文档监控管理系统,优选所述访问审计单元还包括文档内容安全审计子单元,用于识别用户利用剪贴板拷贝机密文档全部或部分文档内容,并在文档外进行非法编辑或传播的行为。该功能单元可以通过关联分析,识别用户利用网络通讯应用程序传播机密信息,或者把被保护文档的机密内容拷贝到其他文档后进行传播的活动。[0028] 本发明综合利用身份识别与访问控制技术、网络及主机安全审计技术,借鉴数字版权管理技术思想,根据文档操作形式及目的细粒度划分访问权限并结合目标用户的具体职责采取有针对性的权限分配,在电子文档可达的保护范围(包括逻辑上和物理上)内,实施最小权限访问控制,同时对包括存储设备和传输通道的全面审计;在文档生命周期内提供对破坏组织涉密文档及其内容安全属性的行为进行全程监控、综合分析以及实时响应,实现对组织保密信息的全面保护。附图说明
[0029]
图1A为本发明基于综合安全审计的文档监控管理系统实施例的网络结构示意图1B为本发明基于综合安全审计的文档监控管理系统实施例详细网络结构示意
图;
[0030]
图;
图2A为本发明基于综合安全审计的文档监控管理系统实施例中,文档安全管理
中心模块的结构示意图;
[0032] 图2B为本发明基于综合安全审计的文档监控管理系统实施例中,文档安全管理中心模块功能表现图;
[0033] 图3为用户登录系统时,文档安全管理中心模块实现文档保护功能的步骤流程图;
[0034] 图4为用户访问文档时,文档安全管理中心模块实现文档保护功能的步骤流程图;
[0035] 图5为用户下载文档时,文档安全管理中心模块实现文档保护功能的步骤流程图;
[0036] 图6为网络探针审计模块实施例的结构示意图;
[0037] 图7为网络探针审计模块实现文档保护功能的步骤流程图;[0038] 图8A终端访问审计模块实施例的结构示意图;[0039] 图8B为图8A中,非法访问审计单元的结构框图;[0040] 图9为终端访问审计模块在用户下载文档时,实现文档保护功能的步骤流程图;[0041] 图10为终端访问审计模块在用户在本地访问时,实现文档保护功能的步骤流程
[0031]
7
CN 1015578 ACN 1015579 A
说 明 书
5/16页
图;
图11为终端访问审计模块判断用户粘贴操作是否存在风险时的步骤流程图;[0043] 图12为终端访问审计模块判断用户复制操作是否存在风险时的步骤流程图;[0044] 图13为终端访问审计模块判断对重命名文档的操作是否存在风险时的步骤流程图;
[0045] 图14为启动新线程,跟踪剪贴板使用的步骤流程图。
[0042]
具体实施方式
[0046] 为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。[0047] 参照图1,图1为本发明基于综合安全审计的文档监控管理系统实施例的网络结构示意图。
[0048] 图1A图1B中,基于综合安全审计的文档监控管理系统采用B/S(浏览器/服务器)结构实现方案,主要包括一个核心模块、两个关键模块、以及其他辅助性功能模块,综合利用身份鉴别和访问控制、数据加密及安全审计相关技术,识别并分析危害组织信息安全的行为,提供文档安全保护。其中,一个核心模块是指文档安全管理中心,负责用户账号权限的分配管理,安全策略的维护和下发,以及对用户破坏信息安全的行为进行分析预警和责任审查,并且具有联动启动和联动响应的功能;两个关键模块包括:网络探针审计和终端访问审计,网络探针审计模块主要负责对网络数据包进行实时扫描分析,识别并记录传输涉密文档的网络行为,而终端访问审计则负责文档安全策略的本地执行和检查,以及对主机进程及内存实施监控,识别并记录危害涉密文档安全行为。并且,网络探针审计模块和终端访问审计模块都具有联动启动和联动响应的功能。
这里对上述三个模块所具有的联动启动和联动响应功能做进一步的描述。联动功
能表现为整个产品系统与安全事件、与安全管理人员之间的联动。该功能主要可以描述为:审计到安全事件后,首先记录该安全事件的所有相关信息,其次根据安全策略的要求,从告警、事件阻断、用户行为等响应操作中选择合适操作执行,整个过程自动完成。[0050] 其中,终端访问审计模块的联动功能,是通过操作被审计主机上运行的进程,影响安全事件进程的运行状态(例如,调用消息框进程发出警示信息、终止安全事件的主进程等等)来实现;而网络审计探针则通过网络连接与便捷安全设备进行通信,向安全设备发送丢弃某些数据包的命令。[0051] 此外,为了更快更及时地把安全事件通知系统管理员,本发明还提供了邮件、短信通知等其他告警方式;这些告警响应安装在文档管理中心上;主机审计代理和网络审计代理都需要能够与文档安全管理中心进行通讯,由文档安全管理中心在接收到主机审计代理和网络审计探针识别出的安全事件后,经过综合分析,对确认为安全事件的活动向管理员或者关心安全事件的人员发出短信或邮件告警、其他告警。[0052] 下面分别结合附图,对上述系统做进一步的详细说明。
[0049]
文档安全管理中心模块[0054] 参照图2,图2为本发明基于综合安全审计的文档监控管理系统实施例中,文档安全管理中心模块的结构示意图,包括:
[0053]
8
CN 1015578 ACN 1015579 A[0055]
说 明 书
6/16页
账号分配单元201,用于为每一用户分配一个账号,所述账号唯一且与用户的真实信息一一对应。
[0056] 权限粒度划分单元202,用于将访问权限进行细粒度的划分,具体而言,本发明根据文档访问方式,提出在线访问和本地访问两个基本权限类别,在线访问支持文档预览、文档下载、在线编辑等常见权限,而本地访问,则是在用户将文档下载到本地后,针对用户在本地主机的访问活动提供安全保护。此外,本发明对两种基本权限类别中的具体权限类型进行了细化,尤其对于本地访问类别下的权限类型进行细粒度划分,包括但不限于本地编辑、本地拷贝、本地打印、下载后网内共享以及下载后网外传输等权限。[0057] 权限分配单元203,用于依据用户的账号信息,为用户分配相应的访问权限。[0058] 文档保护策略生成单元204,用于根据文档的安全要求,为文档提供不同类型的安全保护策略。关于此处提及的类型包括三种保,请参考如下解释:文档全保护类型、文档内容保护类型和文档数据保护类型。其中,“文档全保护类型”,是针对文档整体进行安全保护,包括但不限于针对文档的名称、类型,文档的全部内容等提供完整保护;“文档内容保护类型”,是针对文档的部分章节或部分段落内容进行安全保护,包括某一章节或段落,某几个连续章节或连续段落,以及某几个非连续章节或非连续段落提供安全保护;“文档数据保护类型”,是针对文档中关键信息进行保护,包括但不限于对文档中的一个或者多个关键词语、句子、表格、图片等信息提供安全保护。
[0059] 所述权限分配单元进一步用于依据用户的账号信息和文档的安全保护策略,为用户分配相应的权限。其中,所述类型包括将文档整体作为保护对象的文档全保护类型、将文档内容作为保护对象的文档内容保护类型,以及将文档中的关键信息作为保护对象的文档数据保护类型。
[0060] 文档安全管理中心模块还包括支持单元205,所述支持单元用于支持多种文本文件的导入,以实现与被保护组织现有身份识别和访问管理系统关联。[0061] 加密单元206,用于负责对允许授权用户下载的文档在离开文档安全管理中心模块中的文档服务器前进行加密,确保文档网络传输过程安全。[0062] 通信接口单元207,用于在所述文档保护策略变更后,定期以增量的形式同步所述网络探针审计模块和所述终端访问审计模块。[0063] 数据分析存储单元208,用于分析网络审计探针和终端访问审计模块传回的记录信息,判断是否应该作为新的安全事件提供审计保护;对于被确认了的新安全事件,本单元自动生成与该事件相匹配的安全保护策略及审计策略,并同步更新网络审计探针模块和终端访问审计模块的相关策略,确保系统各模块的安全审计策略配置保持一致。此外,本单元的分析结果在功能上还用于针对用户的在线访问活动进行识别、分析及联动响应,以确保文档在线访问过程的安全。
联动响应启动单元209,用于进行终端告警并中断威胁本地文档或重要数据安全
性的行为,或者通知组织网络数据包过滤设备丢弃携带涉密信息的数据包阻止内部用户利用网络外传保密信息的意图。[0065] 参照图2B,图2B为本发明基于综合安全审计的文档监控管理系统实施例中,文档安全管理中心模块的原理图。[0066] 换句话说,文档安全管理中心模块主要功能包括:分配文档用户的权限,自动生
[00]
9
CN 1015578 ACN 1015579 A
说 明 书
7/16页
成面向文档的安全保护策略,下发保护策略及被保护的文档清单,文件加密,与关键模块通信,用户身份识别,分析记录破坏文档安全的行为,向终端代理发送告警通知,与防火墙等其他安全产品联动以及其他管理功能。具体而言,管理中心模块提供如下功能:[0067] 第一、细粒度的权限划分,包括文档预览、下载、下载后本地编辑、拷贝、打印、网内共享及网外传输等。文档管理员(或安全管理员)利用文档安全管理中心模块分配/编辑/删除账号,并根据文档的安全要求,对用户分配相应的权限;[0068] 第二、文档安全管理中心模块分配的账号唯一,并与用户真实信息一一对应;文档安全管理中心模块同时支持多种文本文件导入功能,实现与被保护组织现有身份识别和访问管理系统关联。[0069] 第三、文档安全管理中心模块自动生成面向文档的安全保护策略,一个文档对应一组安全策略,策略有效期根据文档保密要求或生命周期确定,文档安全管理中心模块提供依据策略进行访问控制的功能。文档的安全策略根据涉密信息提供不同程度的安全保护,包括:
[0070] 1)文档全保护,将文档整体作为保护对象。禁止非授权用户对文档进行任何编辑、修订等破坏完整性的操作,禁止对文档内容进行任何形式的拷贝粘贴、对文档整体进行重命名及创建副本等破坏保密性的操作。
2)文档内容保护,将文档内容作为保护对象,文档管理员选择文档一段或几段文
字作为保护对象,并根据保护对象的安全程度分配合法访问权限。[0072] 3)文档数据保护,将文档中的关键信息作为保护对象,包括数据、术语定义及解释说明、图片等。文档管理员根据数据保密要求分配合理的访问权限。[0073] 第四、文档安全管理中心模块作为用户访问文档服务器的唯一接口,负责对允许授权用户下载的文档在离开文档服务器前进行加密,确保文档网络传输过程安全。系统使用对称加密技术,密钥在用户第一次访问文档安全管理中心模块时生成,并定期自动提示用户进行管理密钥更新。文档的加密和解密过程由系统自动完成,对用户透明;[0074] 第五、文档安全管理中心模块设置与关键模块的通信接口:策略变更后,定期以增量形式同步关键模块的策略或清单:向终端访问审计模块分发保护策略,向网络探针审计模块传输清单(如果待保护文档清单没有发生变化,则不更新)。文档安全管理中心模块定期下发当前完整策略或清单,实现对关键模块的同步检查。[0075] 第六、文档安全管理中心模块提供数据分析存储功能。文档安全管理中心模块分析由关键模块传回的记录,分析确认违反文档安全保护策略的行为,调用与身份鉴别系统的联动功能,审查确认违规账号对应的真实信息,记录该影响信息安全属性行为的特征信息。
[0076] 第七、文档安全管理中心模块可以启动联动响应功能,进行终端告警并中断威胁本地文档或重要数据安全性的行为,或者通知组织网络数据包过滤设备丢弃携带涉密信息的数据包阻止内部用户利用网络外传保密信息的意图。[0077] 第八、文档安全管理中心模块按照相关国家标准和行业标准的要求形成合规审计报告,并支持多种文件形式导出报告。
[0071]
第九、文档安全管理中心模块定期备份安全策略及审计记录,并提供对备份文件的加密存储及导出功能。文档安全管理中心模块支持手动和自动两种备份方式,提供同步
[0078]
10
CN 1015578 ACN 1015579 A
说 明 书
8/16页
和备份周期的默认配置并支持客户自定义设置。[0079] 另外,图3至图5对文档安全管理中心模块的工作步骤作出了清楚的说明。图3为用户登录系统时,文档安全管理中心模块实现文档保护功能的步骤流程图。图4为用户访问文档时,文档安全管理中心模块实现文档保护功能的步骤流程图。图5为用户下载文档时,文档安全管理中心模块实现文档保护功能的步骤流程图。[0080] 图3展示了用户访问系统时,系统提供身份验证功能,识别、分析用户的访问权限,从而判断是否允许用户对文档管理中心的访问;同时,系统与IAM系统联动,准确定位用户真实信息,为有效审计用户行为、准确追究相关责任提供基础。[0081] 步骤流程描述:
[0082] a)用户访问由本系统提供的登录文档管理中心的统一入口[0083] b)用户输入被分配的用于访问文档管理中心的账号和口令[0084] c)本系统检验用户输入的账号和口令是否匹配,并且有权访问文档管理中心,如果通过验证,则转d);否则,转f)
[0085] d)允许用户进入文档管理中心,并允许其在权限范围内访问文档[0086] e)本系统与IAM系统联动,向IAM输入用户的账号,记录IAM返回的用户真实姓名,以实现审计用户之后的访问操作时使用真实姓名标识用户身份。转h)f)阻止用户登录文档管理中心
[0088] g)本系统向文档管理员及安全管理员发送报警信息;同时向访问系统的用户发出警告信息,说明登录失败,并且用户本次访问已经得到记录。[00] h)记录用户的登录事件。转i)[0090] i)结束[0091] 说明:
[0092] 1.本流程记录的事件信息包括但不限于:用户的身份标识、登录系统的时间、访问源IP、访问源MAC、登录结果(成功/失败)、说明(如果登录失败,说明失败原因,如账号不存在,口令不正确;如果登录成功,说明尝试多少次后成功登录)[0093] 2.本流程描述中,如果不标记步骤的跳转,则默认执行下一步操作。[0094] 图4展示了用户在文档管理中心访问文档时,本系统提供的基于审计的安全保护流程。本系统对用户从打开文档至关闭文档的全过程进行审计,监控并记录该流程中所有可能破坏文档信息安全性的细节,做到不遗漏任何可疑信息文档安全保护。[0095] 步骤流程描述:
[0096] a)系统接收到用户发出的在线访问某文档的请求[0097] b)系统检查文档保护列表,判断该文档是否需要保护。如果需要保护,转c);否则转1)
[0098] c)检查用户是否具有浏览文档的权限。如果有权限,则转入d);否则,转i)[0099] d)打开文档,并根据用户权限明文显示文档内容;同时记录用户打开文档的事件[0100] e)系统监控用户的操作,识别用户使用需要新权限的操作
[0087]
f)判断用户请求的操作是否为结束访问(关闭文档作为标识)。如果是,转k);否则,转g)
[0102] g)系统判断用户是否具有权限执行该操作。如果有,则转h);否则,转i)
[0101]
11
CN 1015578 ACN 1015579 A[0103]
说 明 书
9/16页
h)允许用户执行操作,并记录该事件结果。执行完毕后,转e)[0104] i)阻断用户该操作,并记录该事件结果。[0105] j)对用户发出告警提示,说明用户不具有执行请求的操作的权限。执行完毕后,转e)
[0106] k)记录用户关闭文档的事件。转m)
[0107] l)记录用户对非必须保护文档的访问事件。转m)[0108] m)结束。[0109] 说明:
[0110] 1.本流程中的“需要保护”,只考虑文档的安全需求,即,文档中是否涉及需要保护的数据、图表或文字;不考虑用户是否有权限访问文档。[0111] 2.本流程中记录的事件内容包括但不限于,用户标识、操作时间、事件类型、保护对象标识、事件结果;用户执行一次操作的过程只产生一条事件记录。[0112] 3.由于本系统提供基于文档内容的安全保护,文档、段落、数据、图标甚至关键词句都可能成为保护对象,每个保护对象具有唯一标识。[0113] 4.本流程描述中,如果不标记步骤的跳转,则默认执行下一步操作。图5展示了用户从文档管理中心下载文档过程中,本系统提供的安全保护。为实现对文档的线下保护,本系统要求用户在本地安装终端监控组件。本系统提供自动检测功能,识别需要部署组件的终端设备,在识别后实现自动下载到本地安装,所有过程对用户透明,不会增加用户使用上的负担;为保护文档从管理中心到用户本地的安全传输,本系统利用加密的方法保护文档传输安全。[0115] 步骤流程描述:
[0116] a)系统接收到用户下载文档的请求
[0117] b)系统检查用户是否具有权限下载该文档。如果具有权限,转c);否则,转h)[0118] c)系统自动检测该用户所在IP地址从文档管理中心下载文档的记录,判断是否第一次从管理中心下载文档。如果是,则转d);否则,转e)[0119] d)系统自动向用户终端传输终端访问审计组件[0120] e)系统记录用户从文档管理中心下载文档的事件[0121] f)系统自动为文档加密,密钥采用系统内置算法生成[0122] g)系统允许用户从文档管理中心下载文档到本地。转j)[0123] h)阻断用户下载文档的请求,记录用户越权下载文档事件[0124] i)向文档管理员和安全管理员发送报警信息;向用户发送越权下载警告。转j)[0125] j)结束。[0126] 说明:
[0127] 1.本流程中记录的事件内容包括但不限于,用户标识、操作时间、事件类型、保护对象标识、事件结果。
[0128] 2.本流程描述中,如果不标记步骤的跳转,则默认执行下一步操作。
[0114]
网络探针审计模块[0130] 参照图6,图6为网络探针审计模块实施例的结构示意图,包括:[0131] 分析模块601,用于分析获取的数据包,识别并确认传输文档的行为,同时将传输
[0129]
12
CN 1015578 ACN 1015579 A
说 明 书
10/16页
文档的用户账号、数据包源IP和目的IP、传输时间,以及包括该用户当前使用的应用程序和传送方式的信息回传到管理中心,同时在探针记录中增加摘要信息和文档传输原始信息。增量更新模块602,用于在接收增量更新的指示后,采用在文档末尾追加的方式更新信息。完全更新模块603,用于在接收完全更新的指示后,以替换原始的文档的方式更新信息。保护策略自动修复单元604,用于在网络探针配置遭到破坏时,主动通知所述文档安全管理中心模块,以进行安全策略自动修复。[0132] 参照图7,图7为网络探针审计模块实现文档保护功能的步骤流程图。
[0133] 图7表达了本系统的网络探针审计模块如何通过审计响应恶意或违规用户的破坏文档安全的行为,从而实现保护文档安全的目标。该模块在识别出包含安全内容的网络数据包后,与网络边界设备联动阻断该数据包外传,同时记录外传机密内容的事件信息,作为事后审计、追查责任的证据。[0134] 步骤流程描述:
[0135] a)网络审计模块获得数据包后,分析数据包的内容[0136] b)判断数据包内容中是否包含机密内容。如果包含,则转c);否则,转i)[0137] c)记录通过网络传输机密内容的事件
[0138] e)检测发送数据包的用户是否有权对外传输该机密信息。如果有权发送,则转f);否则,转g)
[0139] f)不通知网络边界设备阻断数据包,同时将网络传输机密内容事件的结果标记为成功。转j)
[0140] g)与网络边界设备联动,通知丢弃该数据包[0141] h)向安全管理中心汇报该事件,同时将事件结果标记为失败。转j)[0142] i)不做任何操作,允许数据包正常传输,也不进行记录。转j)[0143] j)结束。[0144] 说明:
[0145] 1.本流程中记录的事件内容包括但不限于,用户标识、操作时间、事件类型、保护对象标识、事件结果;事件的记录分两步完成:其中,事件结果是在判断用户权限并进行联动响应后进行标记,其他项是在检测数据包内容是否包含机密信息后记录。[0146] 2.本流程描述中,如果不标记步骤的跳转,则默认执行下一步操作。[0147] 也就是说,网络探针审计模块部署在组织内网的边界出口或文档管理域边界,确保可以捕获对外传输的所有数据包。主要功能包括:
第一、接收管理中心发出的文档保护策略,捕获完整的数据包,还原网络中传输的
文档,识别违反安全策略的文档传输行为,向管理中心发送违反策略的文档滥用事件摘要。[0149] 第二、网络审计探针支持文档清单的增量和完全更新两种方式。如果接收增量更新的指示,则采用追加或修改两种手段完善审查清单;如果接收完全更新指示,则替换原始的文档清单,否则,在文档末尾追加更新的信息。[0150] 第三、网络探针保护策略自动修复。网络探针配置一旦遭到破坏,主动通知管理中心,要求重传完整清单,进行原始安全策略自动修复。[0151] 第四、网络审计探针分析获取的数据包,识别并确认传输文档的行为,同时将传输文档的用户账号、数据包源IP和目的IP、传输时间,以及该用户当前使用的应用程序和传
[0148]
13
CN 1015578 ACN 1015579 A
说 明 书
11/16页
送方式(附件、离线传输或在线传输)等信息回传到管理中心,同时在探针记录中增加摘要信息和文档传输原始信息。[0152] 终端访问审计模块[0153] 参照图8A,图8A为终端访问审计模块实施例的结构示意图,包括:[0154] 解密单元801,用于在用户从所述文档安全管理中心模块第一次下载文档时自动安装到终端,并负责对用户下载到本地的文档进行解密;控制审查单元802,用于负责依据所述文档保护策略进行访问控制审查,包括拒绝非授权访问以及记录用户对文档执行的所有操作;访问审计单元803,用于负责监控非法访问操作的审计,形成审计记录;回传单元804,用于定期回传本地审计记录到所述文档安全管理中心模块;联动响应单元805,用于启用终端的通知进程向用户发出告警提示,以及接收管理中心发出的响应指令并调用主机核心态进程中断破坏文档安全的应用程序。[0155] 参照图8B,非法访问审计单元包括803进一步包括:外部存储设备访问的审计子单元8031,用于负责监控主机中的进程状态,识别外部存储设备对主机的访问,分析系统日志中在外部存储设备访问主机后有关涉密文档的记录,确认并记录用户利用外部存储设备破坏涉密文档安全的行为;内存剪贴板使用情况的审计子单元8032,用于识别用户拷贝涉密文档部分或全部数据的活动,记录用户包括拷贝及其后对涉密文档实施的全部活动,以及对剪贴板中对应涉密文档内容内存区域的全部访问。重命名非法访问的审计子单元8033,用于识别用户对文档进行重命名或创建副本的行为,记录用户行为及含有涉密文档全部或部分信息的变形文档特征属性,形成审计记录。以非文件形式破坏信息保密性的审计子单元8034,用于识别用户利用剪贴板拷贝涉密文档内容的行为,关联分析当前状态下用以传输机密信息的网络通讯应用程序,形成审计记录。[0156] 参照图9,图10,图9为终端访问审计模块在用户下载文档时,实现文档保护功能的步骤流程图;图10为终端访问审计模块在用户在本地访问时,实现文档保护功能的步骤流程图。
[0157] 其中,终端访问审计模块判断用户操作是否存在风险时的具体流程图参照图11、图12、图13所示。图11为终端访问审计模块判断用户粘贴操作是否存在风险时的步骤流程图;图12为终端访问审计模块判断用户复制操作是否存在风险时的步骤流程图;图13为终端访问审计模块判断对重命名文档的操作是否存在风险时的步骤流程图。[0158] 图9是提供对下载到本地的加密文档进行解密处理,用于配合文档管理中心的加密行为,确保文档传输安全。终端访问审计模块使用与文档管理中心协商的算法计算解密密钥,从而成功还原加密文本,达到不影响授权用户访问文档的目的。终端访问审计模块自动执行文本解密的活动,全过程对用户透明。步骤流程描述:
[0160] a)文档下载到本地后,检测本地机器是否已安装模块。如果安装,则转d);否则,转b)
[0161] b)本模块自动安装到用户终端,并开始运行
[0162] c)模块创建本地已安装终端访问审计模块事件的记录。转d)[0163] d)模块利用与文档管理中心协商过的算法,计算获得文档的解密密钥[01] e)模块利用计算出的密钥解密文档
[0159]
14
CN 1015578 ACN 1015579 A[0165]
说 明 书
12/16页
f)模块创建用户下载文档到本地的事件记录。转g)[0166] g)结束。[0167] 说明:
[0168] 1.用户第一次从文档管理中心下载文档,终端访问审计程序自动随文件下载到本地。相关内容参见图5的流程描述。本模块安装后,会在用户开机时自动启动。[0169] 2.本流程中记录的事件内容包括但不限于,用户标识、操作时间、事件类型、保护对象标识、事件结果。
[0170] 3.本流程描述中,如果不标记步骤的跳转,则默认执行下一步操作。
[0171] 图10展现终端访问审计如何基于审计的思想确保重要文档(或信息)的安全性在本地访问的过程中得到有效保护。本发明利用基于风险的审计思想,尤其在终端访问审计模块的功能实现上,始终围绕安全风险的评估情况对用户访问活动进行审计和响应。[0172] 步骤流程描述:
[0173] a)模块发现用户发出访问文档的请求,识别用户请求访问的文档标识[0174] b)模块检查审计策略,判断该文档是否需要提供保护。如果需要,转c);否则,转k)
c)等待以识别用户执行新操作的请求,检测该请求是否标识用户希望关闭文档结
束访问,同时记录用户访问机密文档事件。如果不是,则转d);否则,转l)[0176] d)检查用户是否使用该权限具有访问文档的资格。如果有,则转e);否则,转i)[0177] e)检测用户执行该权限操作是否会危害文档及信息安全。如果会,则转f);否则,转h)
[0178] f)记录该风险,同时警告用户该行为具有风险
[0179] g)再次向用户确认是否执行风险操作。如果用户确认执行操作的要求,则转h);否则,转i)
[0180] h)允许用户执行操作,并记录事件结果[0181] i)阻断用户操作,并记录事件结果
[0182] j)向文档管理员和安全管理员发送报警信息;向用户发送越权访问警告。转c)[0183] k)记录用户对非必须保护文档的访问事件。转m)[0184] l)允许用户关闭文档,同时保存文档更新的内容,同时记录用户成功访问文档事件。转m)
[0185] m)结束。[0186] 说明:
[0187] 1.本流程中记录的事件内容包括但不限于,用户标识、操作时间、事件类型、保护对象标识、事件结果;用户执行一次操作的过程只产生一条事件记录。[0188] 2.本流程中,如果事件存在风险,则单独为该事件产生风险记录;风险和事件记录单独存储。
[01] 3.本流程描述中,如果不标记步骤的跳转,则默认执行下一步操作。
[0175] [0190]
图11、图12、图13对应图10中的操作风险的检验识别;通过调研发现,破坏信息安全性,尤其是破坏文档安全性的操作主要体现在对文档机密性和完整性的破坏上,其中完整性的保护可以通过对编辑权限的控制实现,难点在于如何有效保证信息的机密性上。
15
CN 1015578 ACN 1015579 A
说 明 书
13/16页
经过分析研究发现,排除人员利用窥探等不可控的社会工程类中的恶意行为外,保护信息的机密性的最有效措施集中于对信息复制、粘贴等创建信息副本行为的控制。此外,也需要关注恶意用户通过文档重命名等措施逃避基于文件名的基本保护措施。图11、图12、图13则分别描述本发明针对以上三种控制措施提出的有效解决方案。
[0191] 图11描述了本发明如何根据审计的思想针对粘贴操作提供文档内容的安全保护。保护措施的基本思想是,终端访问审计模块识别并记录用户粘贴机密信息的操作事件,同时根据审计策略进行有效地响应,降低由于粘贴操作导致的机密信息安全性受到破坏的风险。
[0192] 步骤流程描述:
[0193] a)识别用户发出执行粘贴操作的请求
[0194] b)检查剪贴板的内容是否包含需要保护的机密文档(或内容)。如果是,转c);否则,转l)
[0195] c)检查粘贴操作的目标文档是否剪贴板内容来源相同[0196] d)判断用户是否具有权限。如果有,转e);否则,转g)
[0197] e)记录用户在被保护文档内执行粘贴机密信息操作事件,同时获得结论“用户此操作存在低风险”
f)允许用户执行粘贴操作。转l)
[0199] g)记录用户在被保护文档内执行粘贴机密信息操作事件[0200] h)向用户确认是否执行操作。如果用户确定执行操作,转i);否则,转j)[0201] i)更新记录中的事件结果,同时立即向管理中心报告事件。转f)[0202] j)阻断用户粘贴操作
[0203] k)更新记录中的事件结果,并获得结论“用户此操作存在高风险”。转p)[0204] l)判断用户是否正在向机密文档粘贴非机密信息。如果是,转m);否则,转n)[0205] m)将事件模拟记录写入事件记录,同时更新事件模拟记录集。转d)[0206] n)允许用户操作,同时获得风险结论“用户此操作存在低风险”。转p)[0207] p)结束。[0208] 说明:
[0209] 1.本流程只产生一类事件记录,即用户使用外部存储设备访问含有机密文档(或内容)的剪贴板,事件记录的内容包括但不限于用户标识、操作时间、事件类型、保护对象标识、事件结果。
[0210] 2.本流程会输出粘贴操作是否存在风险的结论;本流程中提及的风险,并非针对文档或内容安全风险,而是侧重是否存在不可预知的、危害到文档(或内容)安全性的风险。
[0211] 3.本流程提及的事件模拟记录,在向剪贴板中复制内容时创建或更新,具体可以参见图12对应的流程描述。
[0212] 4.本流程中涉及到3组权限判断,分别是:用户在机密文档内粘贴机密信息;用户在机密文档内粘贴非机密信息;用户向机密文档外粘贴机密信息
[0198]
5.本流程描述中,如果不标记步骤的跳转,则默认执行下一步操作。
[0214] 图12描述本发明中针对用户在本地执行复制机密文档(或内容)操作时,终端访
[0213]
16
CN 1015578 ACN 1015579 A
说 明 书
14/16页
问审计模块提供的安全保护。本流程作为图11描述流程的前续流程。[0215] 步骤流程描述:
[0216] a)终端访问审计模块识别用户发送执行复制操作的请求[0217] b)模块检测复制的内容是否包含机密信息。如果是,转c);否则,转l)[0218] c)模块检测用户是否具有复制机密信息的权限。如果有,转d);否则,转f)d)记录用户复制机密信息事件,获得结论“用户此操作不存在风险”[0220] e)允许用户执行复制操作。转m)[0221] f)记录用户复制机密信息事件,同时向用户发出警告[0222] g)向用户确认是否继续执行复制操作。如果用户要求执行操作,转h);否则,转j)[0223] h)更新用户复制机密信息事件的结果,获得结论“用户此操作存在风险”;[0224] i)立即向管理中心报告事件,转e)[0225] j)阻断用户复制操作[0226] k)更新事件结果,获得结论“用户此操作不存在风险”。转)[0227] l)更新事件模拟记录;同时获得结论“用户此操作可能存在风险”。转m)[0228] m)结束[0229] 说明:
[0230] 1.本流程的事件类别包括:用户向机密文档粘贴同源信息;用户向机密文档外粘贴机密信息;其中,每个类别的事件包括两种类型,即,“用户执行XX操作事件”和“用户越权执行XX操作事件”。每条事件记录的内容包括但不限于用户标识、操作时间、事件类型、保护对象标识、事件结果。
[0231] 2.事件模拟记录存储在临时记录文件中,如果确认事件模拟记录存在安全威胁,则拷贝到事件记录中;事件记录和临时记录二者相互;临时记录文件中的事件模拟记录在向剪贴板复制新内容时创建或更新。[0232] 3.本流程描述中,如果不标记步骤的跳转,则默认执行下一步操作。
[0233] 图13针对用户重命名包含机密信息的文档的操作提供安全保护。传统文档安全管理产品多使用基于文件名的方式,监控用户对文件的编辑或传输等行为;但是如果用户修改文件名称,则可以轻易躲避文档安全管理产品的监控。本发明针对这一传统管理产品的漏洞,提出有效的解决方案。主要思路表现在:终端访问审计模块通过监控审计用户对含有机密信息的文档的访问,识别用户重命名机密文档的操作;模块在识别出操作后,通知管理中心完善审计策略,将重命名后的文档补充到审计监控对象列表中,实现对机密文档(或内容)的有效监控和跟踪。
[0219]
步骤流程描述:
[0235] a)终端访问审计模块识别用户重命名机密文档的操作请求[0236] b)模块记录用户重名机密文档的事件[0237] c)模块向用户进行警告提示,并要求用户确认是否执行重命名操作。如果是,转d);某则,转g)
[0238] d)允许用户执行操作[0239] e)更新事件结果;同时向管理中心报告产生的新文档的标识[0240] f)获得结论“此操作存在风险“。转i)
[0234]
17
CN 1015578 ACN 1015579 A[0241] [0242] [0243] [0244] [0245]
说 明 书
15/16页
g)阻断用户请求重命名文档的权限;同时更新事件结果
h)获得结论“此操作存在风险“。转i)i)结束。说明:
1.本流程只产生一类事件记录,即用户使用外部存储设备访问含有机密文档(或
内容)的剪贴板,事件记录的内容包括但不限于用户标识、操作时间、事件类型、保护对象
标识、事件结果。
[0246] 2.本流程描述中,如果不标记步骤的跳转,则默认执行下一步操作。[0247] 另外,需要说明的是,如果被用于可访问网络的应用程序或外部存储设备中可编辑文件,则审查文档对用户的保密性要求,并做出记录以及响应;如果被用于非拷贝源的静态文档,则记录新文档的属性信息,并通知管理中心给予策略修改。[0248] 在图12中,启动新线程,跟踪剪贴板使用,剪贴板内容更新后,线程结束的步骤依据图14的步骤流程图执行。[0249] 因此,换句话说,上述终端访问审计模块803以代理形式部署在用户终端,负责监控授权用户下载文档到本地后的行为,并根据策略执行对文档的本地访问控制。终端访问审计模块的功能主要包括:[0250] 第一、在本地执行访问控制检查,监控审计外部存储设备对主机的访问,监控并记录本地对被保护文档的拷贝情况及其他访问操作,接收管理中心下发的文档保护策略,向管理中心回传被保护文档的本地审计记录以及安全策略完善建议。[0251] 第二、终端访问审计模块在用户从文档服务器(管理中心)第一次下载文档时自动安装到终端,并负责对用户下载到本地的文档进行解密。[0252] 第三、终端访问审计模块负责按照保护策略相关文档提供访问控制审查:拒绝非授权访问以及记录用户对文档执行的所有操作(包括非授权尝试及授权操作)。[0253] 第四、终端访问审计负责监控主机中的进程状态,识别外部存储设备对主机的访问,分析系统日志中在外部存储设备访问主机后有关涉密文档的记录,确认并记录用户利用外部存储设备破坏涉密文档安全的行为(例如,往移动设备中拷贝涉密文档,或使用移动设备中的文档覆盖真正的文档等)。[0254] 第五、终端访问审计模块监控内存剪贴板的使用情况,识别用户拷贝涉密文档部分或全部数据的活动,记录用户包括拷贝及其后对涉密文档实施的全部活动,以及对剪贴板中对应涉密文档内容内存区域的全部访问。
第六、终端访问审计模块可以识别并记录用户通过文档变形实现机密信息窃取或
泄漏的行为。终端访问审计模块识别用户对文档进行重命名或创建副本的行为,记录用户行为及含有涉密文档全部或部分信息的变形文档特征属性。[0256] 第七、终端访问审计模块监控并记录用户利用网络、以非文件形式破坏信息保密性的行为(例如直接拷贝涉密文档内容作为Email正文传输)。终端访问审计模块识别用户利用剪贴板拷贝涉密文档内容的行为,关联分析当前状态下用以传输机密信息的网络通讯应用程序,形成审计记录。[0257] 第八、终端访问审计模块定期回传本地审计记录到管理中心。[0258] 第九、终端访问审计模块支持联动响应功能,可以启用终端的通知进程向用户发
[0255]
18
CN 1015578 ACN 1015579 A
说 明 书
16/16页
出告警提示,以及接收管理中心发出的响应指令并调用主机核心态进程中断破坏文档安全的应用程序。
[0259] 综上所述,本发明基于综合安全审计的文档监控管理系统实现了将文档管理和文档使用监控审计无缝结合,将主机监控、网络监控、日志监控三位一体的监控方法运用在文档监控中;本系统相对于现有技术,增加了“仅限本机使用”文档权限,确保文档不能离开下载的终端;增加了“不得复制文档内容”文档权限,确保文档不会通过复制、粘贴的方式进行引用、传播;增加了“不得打印文档内容”文档权限,确保文档不会被打印;增加了“不得在网上传输”文档权限,确保文档不会通过网络途径传输出去;增加了“不得通过蓝牙传输”文档权限,确保文档不会通过蓝牙设备传播出去;增加了“不得存储或转移到外部存储”文档权限,确保文档不会通过USB存储设备、可写光盘、1394设备转移到外部移动存储。并且,本发明实现了将文档管理服务器一次文档权限管理延伸到通过主机监控发现二次文档监控的方法、将文档管理服务器一次文档权限管理延伸到通过网络监控发现二次文档监控的方法,以及通过网络传输还原监控文档违反文档管理策略的方法。[0260] 因此,本发明充分利用安全审计实施文档保护的先进理念,相对于现有技术,具有如下优势:[0261] 第一、依据文档操作组合的风险进行细粒度权限划分,访问控制策略的设置更符合职责需求及安全要求。[0262] 第二、高精度区分安全保护对象,细粒度划分文档信息的安全需求级别,准确、完整地识别并记录安全事件,无错漏或低错漏地响应安全威胁,即,在降低安全措施对正常业务操作影响的同时,对企业机密信息提供最大程度的安全保护;。[0263] 第三、基于行为逻辑分析识别破坏信息安全属性的行为,提高违规行为判断的准确度,降低错报、漏报等误导性告警的概率;[02] 第四、对提供安全保护的环境改动较小,对于用户正当访问文档的使用体验基本透明;
[0265] 第五、使用主机监控和网络审计相结合的部署架构和综合审查,实现全面的文档安全保护;[0266] 第六、支持与身份识别系统联动,实现与违规行为实体的统一,简化追查定位责任实体流程,提高审查效率;[0267] 第七、采用实时分析并提供联动响应,实时阻断数据外传或窃取行为,降低破坏企业信息安全属性的风险,保护企业利益。以上对本发明所提供的一种基于综合安全审计的文档监控管理系统进行详细介绍,本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的。
[0268]
19
CN 1015578 ACN 1015579 A
说 明 书 附 图
1/8页
图1A
图1B
20
CN 1015578 ACN 1015579 A
说 明 书 附 图
2/8页
图2A
21
CN 1015578 ACN 1015579 A
说 明 书 附 图
3/8页
图2B
图3
图4
22
CN 1015578 ACN 1015579 A
说 明 书 附 图
4/8页
图5
图6
图7
23
CN 1015578 ACN 1015579 A
说 明 书 附 图
5/8页
图8A
图8B
图9
24
CN 1015578 ACN 1015579 A
说 明 书 附 图
6/8页
图10
图11
25
CN 1015578 ACN 1015579 A
说 明 书 附 图
7/8页
图12
图13
26
CN 1015578 ACN 1015579 A
说 明 书 附 图
8/8页
图14
27
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- baoaiwan.cn 版权所有 赣ICP备2024042794号-3
违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务