专利名称:用于防止信息泄露的程序和装置以及该程序的存储介质的制作方法
技术领域:
本发明涉及用于防止信息泄露的程序和装置以及该程序的存储介质,更具体地,本发明应用于通过对计算机系统资源的访问控制来防止信息泄露的程序和装置以及该程序的存储介质。
背景技术:
操作系统(OS)具有访问控制功能,以通过仅允许被授权的用户访问文件来防止信息泄露。尽管OS能够对文件的读、写、移动和拷贝进行访问控制,但不能执行更高级的控制,使得例如只允许在计算机上使用文件,但不允许通过打印或者通过媒介或网络取出数据。
除了OS功能以外,已经提出了一种访问控制方法。该方法包括以下步骤在操作资源之前从进程或OS中获取对该资源的访问请求;以及根据该请求是否具有访问权限来允许或拒绝该请求(例如,参见日本未审专利公报No.2003-44297)中的第 - 列和图2)。
在访问控制中,预先准备访问权限管理表,该表示出对资源(文件、网络、存储设备、监视器和外部设备)的访问权限。当由应用进行访问请求时,搜索该表以查找由该请求指定的资源的访问权限信息,以确定是否允许该请求。如果允许该请求,则将该访问请求提供给OS。如果不允许该请求,则通知该用户他/她的请求已被拒绝。
此外,还存在一种方法通过记录对资源的操作日志并将其发送给服务器来管理并确认信息被取出。
在防止信息泄露的传统访问控制中,获取所有的访问请求以检查它们的访问权限,这会增加处理负荷。
从应用或OS获取对资源的访问请求并检查它们的访问权限的传统访问控制能够对通过打印、或者通过媒介或网络取出数据进行控制。但是,该控制需要获取对资源的所有访问请求(包括OS通过其自身的功能能够拒绝的那些请求),并且需要参照访问权限管理表对这些请求进行检查以查看它们是否具有访问权限。这就导致了处理负荷的增加并降低了处理性能。
为了创建访问权限管理表,要对每个特定的资源(例如对每个文件、通信数据和显示画面)设置详细的访问权限。例如,为了指定一资源,要对文件使用文件名和文件ID;要对通信数据使用主机名、端口号和IP地址;要对存储器使用对象名称和地址。此外,对每个资源设置详细的访问权限。例如,为拷贝、移动到另一个介质、打印和写入共享存储器设置访问权限。在该访问控制中,必须对所有的访问权限进行检查以查看访问请求是否满足所有的条件,这导致检查过程中的负荷增加。
此外,该访问权限管理表没有安全性,并且没有人能够检测该表是否已被篡改。
此外,为了持续发送操作日志,服务器必须持续连接到网络。因此,该方法不适用于个人计算机。尽管存在将文件临时保存在本地存储器并定期将其发送给服务器的方法,但在发送给服务器之前该文件可能被删除。因此,难以无误地掌握该资源的使用。
发明内容
鉴于上述情况,本发明的一个目的是提供用于通过更简单的处理进行访问控制来可靠地防止信息泄露的程序和装置以及用于该程序的存储介质。
通过提供对资源进行访问控制以防止信息泄露的程序已经实现了本发明的上述目的和其他目的。该程序使计算机执行以下步骤为每个用户存储指示对资源的访问权限的访问权限信息,并且当一指定用户登录时,提取该用户的访问权限信息,并基于所提取的访问权限信息为用户创建使用限制表,该使用限制表指定了每个资源的使用限制;在操作资源之前从操作系统获取对资源的访问请求;以及从该使用限制表获得由该访问请求指定的资源的使用限制信息,并根据所获得的使用限制信息对资源的使用进行限制。
此外,为了实现上述目的,提供了一种用于通过对资源进行访问控制来防止信息泄露的装置。该装置包括访问权限信息存储单元,用于为每个用户存储指示对资源的访问权限的访问权限信息;使用限制表设置单元,用于在指定用户登录时,从访问权限信息存储单元提取该用户的访问权限信息,并基于所提取的访问权限信息为该用户创建指定对每个资源的使用限制的使用限制表;使用限制表存储单元,用于存储使用限制表;请求获取单元,用于在操作资源之前从操作系统获取对该资源的访问请求;以及使用限制单元,用于从使用限制表中获取由访问请求指定的资源的使用限制信息,并根据所获取的使用限制信息对资源的使用进行限制。
结合通过示例的方式说明本发明优选实施例的附图,本发明的上述和其他目的、特征和优点将由以下说明而变得明了。
图1是本发明的一个实施例的概念性视图;图2示出了本发明实施例的安全装置的构造;图3示出了本发明实施例的安全装置的硬件构造;图4示出了本发明实施例的策略(policy)设置画面的示例;图5示出了本发明实施例的策略文件的示例;图6示出了根据本发明实施例的在用户登录时的策略检测过程;图7是根据本发明实施例的从用户登录到创建使用限制表的过程的流程图;图8示出了本发明实施例的使用限制表的示例;图9是根据本发明实施例的资源使用限制控制的过程的流程图;图10示出了本发明实施例的日志文件格式的示例;图11A至11D示出了在该实施例的日志文件中的操作信息的内容。
具体实施例方式
下面将参照附图对本发明的优选实施例进行描述。以下的说明首先对本发明进行概述,然后对如何实现本发明给出更具体的说明。
图1示出了应用于本实施例的本发明的概念。
通过加载根据本发明的防止信息泄露的程序,使计算机用作为安全装置1。
安全装置1位于操作系统(OS)2和资源3之间,以从OS 2获取对资源3的访问请求并基于预先设置的访问权限允许或拒绝该请求。
OS 2控制该装置的整个操作。进程或应用通过OS 2操作资源3。OS2具有访问控制功能,以限制文件的使用(包括读、写、移动和拷贝)。由安全装置1对其进行使用限制的资源3是指能够将信息取出到外部的装置,例如打印机、外部存储介质、网络上共享的存储器、和端口通信设备。
此外,安全装置1能够对访问权限信息存储器4中的访问权限信息文件4a、匹配信息存储器5中的匹配信息文件5a、使用限制表存储器6中的使用限制表6a、以及日志文件存储器7中的日志文件7a进行访问。
访问权限信息文件4a为每个用户存储对各资源3的访问权限信息,以使得可以基于识别用户的信息检索到该用户的访问权限信息。该访问权限信息指示资源3的每个功能的访问权限。例如,对文件的打印和访问指定端口设置访问允许或禁止,对访问外部存储介质和访问网络上共享的存储介质设置访问允许或禁止或者只读。在对资源设置访问允许的情况下,可以设置关于是否记录资源的操作日志的项目。
匹配信息文件5a存储匹配信息,该匹配信息用于检测从访问权限信息文件4a检索到的访问权限信息的有效性。在设置访问权限信息时自动创建并存储匹配信息。基于识别用户的信息,检索用户的匹配信息以确定相应的访问权限信息是否已被篡改或破坏。
使用限制表6a示出了每个登录用户对每个资源的使用限制信息,该使用限制表6a是基于登录用户识别信息(登录用户名)参照访问权限信息文件4a而设置的。
日志文件7a存储对资源3的操作日志。
将对安全装置1的操作进行说明。访问权限信息存储器4存储访问权限信息文件4a,访问权限信息文件4a示出了每个用户的访问权限,匹配信息存储器5存储匹配信息文件5a,匹配信息文件5a示出了用于检测访问权限信息的有效性的匹配信息。当指定用户登录时,OS 2将他/她的登录用户名提供给安全装置1。
当接收到该登录用户名时,安全装置1设置使用限制表(步骤S1)。具体地,装置1基于该登录用户名从访问权限信息文件4a中检索用户的访问权限信息。此时,装置1还基于该登录用户名提取匹配信息以检测所检索的访问权限信息的有效性。然后,装置1通过利用该匹配信息检查该访问权限信息以查看该信息是否已被篡改或破坏。例如,在设置访问权限信息时,基于该访问权限信息创建并存储匹配信息。然后,基于在设置使用限制表时所提取的访问权限信息,以相同的方式创建匹配信息,并将该匹配信息与所保存的匹配信息进行比较。当它们匹配时,将访问权限信息识别为有效,而当它们不匹配时,将访问权限信息识别为被篡改。
当访问权限信息被识别为有效时,基于所检索的访问权限信息在使用限制表6a中设置资源使用限制。相反地,当访问权限信息被识别为无效时,意味着访问权限信息已被篡改,并在使用限制表6a中设置对所有资源的访问禁止。当访问权限信息包括是否记录日志的信息时,也将该信息设置在表6a中。
在上述过程中,在使用限制表6a中设置登录用户对每个资源的使用限制。
然后,安全装置1从OS 2获取对资源3的访问请求(步骤S2)。由于OS 2具有能拒绝对文件的不可接受的访问(例如,读、写、移动和拷贝)的文件访问控制功能,所以装置1仅获取OS 2已允许的请求。
当获取访问请求时,安全装置1限制资源的使用(步骤S3)。具体地,装置1检测由该请求指定的资源,并从使用限制表6a检索对资源的使用限制信息。如果该使用限制信息表示访问禁止,则装置1拒绝该访问并将该情况通知给OS 2。相反地,如果允许该访问,则装置1将该请求提供给资源以执行所请求的操作。如果该使用限制信息表示只读,则装置1仅当该请求为读请求时允许访问。此外,如果该使用限制信息表示需要资源的操作日志,则装置1在日志文件存储器7的日志文件7a中记录操作日志。
根据该过程,安全装置1基于访问权限信息为登录用户创建对资源的使用限制信息,该访问权限信息表示为该用户设置的访问权限。然后当获取对资源的访问请求时,装置1基于该使用限制信息确定是否允许该访问。因此,在用户进行访问请求时,使用已在使用限制表6a中设置的对每个资源的使用限制。因此不必对访问权限信息进行检查,可获得更快速的处理。此外,仅检查通过由OS 2进行的访问控制允许的访问请求,可以消除不必要的检查处理。
此外,当设置使用限制信息时,对要使用的访问权限信息的有效性进行检查。这可以检测访问权限信息的欺骗性篡改或破坏。此外,为每个用户设置资源使用限制,并根据用户切换这些限制。
在下文中,在控制对外部设备/打印机/网络/通信端口的访问的情况下详细说明本发明的一个实施例。在以下的说明中,为每个用户设置的访问权限被称为策略,由多个策略组成的访问权限信息文件被称为策略文件。
图2示出了根据本发明的一个实施例的安全装置的构造。
安全装置10位于OS 2和各种资源之间。OS 2与应用8相连,并根据应用8的处理通过安全装置10进行对资源的访问请求。资源包括打印机31、设备32、通信端口33和网络驱动器34。
应用8使用应用程序进行工作,并通过OS 2进行对资源的访问请求以操作资源。当接收到该访问请求时或者当系统控制请求对资源的操作时,OS 2通过安全装置10进行对资源的访问请求。
打印机31打印出由打印请求指定的数据。可以将所打印的东西取出到外部。打印机31的本地打印和网络打印都由安全装置10控制。
驱动器32响应于读/写请求从外部存储介质读数据或者向外部存储介质写数据。可以将存储数据的外部存储介质设置在外部。驱动器32指的是那些允许通过外部存储媒介将数据取出到外部的驱动器。外部存储介质是可移动式磁盘,例如FD、MO、通用串行总线(USB)存储器和CD。应该注意的是硬盘除外。
通信端口33通过通信网与外部设备进行数据通信,并从由发送请求指定的通信端口发送数据。由此将数据取出到外部。
网络驱动器34通过网络与外部设备共享存储器,并且响应于来自外部设备的读请求取出存储在本地存储器中的数据。
本发明的安全装置10通过使用对上述资源的限制来防止将信息取出到外部。现将对安全装置10的程序模块进行说明,描述了安全装置10为实现指定的功能而执行的处理。将要实现的功能称为程序模块的名称。
安全装置10具有安全设置存储器11、使用限制设置模块12、使用限制表存储器13、请求获取模块14、资源使用限制部15、日志管理模块16和日志文件存储器17。
安全设置存储器11用作为用于存储策略文件4b和签名文件5b的访问权限信息存储装置。策略文件4b由对用户唯一设置的策略组成。签名文件5b由签名信息组成,该签名信息是在设置策略时创建的并用于检测策略是否已被故意修改。
使用限制设置模块12用作为使用限制表设置装置,并且在从OS 2接收登录用户名时,使用限制设置模块12从安全设置存储器11提取与登录用户名对应的相应策略和签名信息,以基于该签名信息检查该策略的有效性。当该策略已被识别为有效时,模块12基于该策略在该用户的使用限制表内设置资源使用限制。在图2的示例中,使用限制表示出了对打印机31、驱动器32、通信端口33和网络驱动器34中的每一个的使用限制。例如,该表显示是否应用使用限制(控制状态ON/OFF)、使用限制的类型(控制类型)、和与使用限制无关的项。相反地,当该策略已被识别为无效时,设置资源使用限制以使该用户不能访问所有的资源。将为每个用户创建的使用限制表存储在使用限制表存储器13中。
使用限制表存储器13为每个用户存储由使用限制设置模块12创建的使用限制表。
请求获取模块14用作为请求获取装置,用于在操作资源之前从OS 2获取对资源的访问请求。当接收到该访问请求时,模块14驱动资源使用限制部15并发出请求。
资源使用限制部15用作为使用限制装置,用于根据使用限制表来限制对资源的使用。资源使用限制部15由打印机控制模块15a、驱动器控制模块15b、端口控制模块15c和网络控制模块15d构成。
打印机控制模块15a响应于对打印机31的打印请求而启动,并参照使用限制表中对打印机的使用限制信息来允许或拒绝打印机31的打印。
驱动器控制模块15b响应于对驱动器32的访问请求(读/写请求)而启动,并参照使用限制表中对驱动器的使用限制信息来限制驱动器的使用。当将访问禁止设置为控制类型时,读和写请求都被拒绝。当设置为允许时,读和写请求都被允许。当设置为只读时,只有读请求被允许而写请求被拒绝。
端口控制模块15c响应于对通信端口33的访问请求(数据传输请求)而启动,并参照使用限制表中对通信端口的使用限制信息来允许或拒绝从通信端口33传输数据。
网络控制模块15d响应于对网络驱动器34的访问请求(从共享存储器读或向共享存储器写的请求),并参照使用限制表中对网络(驱动器)的使用限制信息来限制对网络(驱动器)的使用。当访问禁止被设置为控制类型时,读和写请求都被拒绝。当设置为允许时,读和写请求都被允许。当设置为只读时,仅有读请求被允许而写请求被拒绝。
当资源使用限制部15的每个控制模块检测到对一资源的使用限制信息表示需要该资源的操作日志时,日志管理模块16启动,并在日志文件存储器17中的日志文件中存储对该资源的操作日志。此外,响应于来自外部驱动器的请求或者定期地,模块16向外部设备发送作为操作日志7b的日志文件。
日志文件存储器17存储由日志管理模块16创建的日志文件。
通过上述模块构造,本发明的安全装置10限制资源的使用。
现将对安全装置10的硬件构造进行说明。图3示出了根据本发明该实施例的安全装置的硬件构造。
安全装置10具有控制安全装置10的全部操作的中央处理器(CPU)101、随机存取存储器(RAM)102、硬盘驱动器(HDD)103、图形处理器104、输入设备接口105和通信接口106,上述各部分通过总线107互连。
RAM 102临时存储由CPU 101执行的OS程序和应用程序的至少一部分。RAM 102还存储CPU处理所需的各种数据。HDD 103存储OS和应用程序。HDD 103还存储其他信息数据,包括策略文件4b、签名文件5b、使用限制表和日志文件。
图形处理器104与监视器108相连,以根据来自CPU 101的指令在监视器108上显示图像。输入设备接口105与键盘109a和鼠标109b相连,并将来自键盘109a和鼠标109b的信号通过总线107传送给CPU 101。
通信接口106与网络110相连,并通过网络110与外部设备进行数据通信。通信接口106具有至少一个通信端口,以通过通信端口与外部设备进行数据通信。接口106发送/接收对网络上共享的存储器的读/写请求,并发送/接收存储器中的数据,以便共享存储在本地HDD 103和外部设备的HDD中的文件。
通过上述硬件构造,可以实现本实施例的处理功能。
现将对安全装置10的操作进行说明。
首先将对安全装置10中设置的策略进行说明。当被允许设置资源使用限制的管理员为一指定用户设置资源使用限制时,创建一策略。图4是本实施例的策略设置画面的示例。
在识别管理员以设置资源使用限制之后,出现策略设置画面201。通过在策略设置画面201上进行设置,就创建了用户的策略。
策略设置画面201包括用于选择资源的资源按钮(外部设备202a、打印机202b、网络202c、通信端口202d)、限制内容203a、203b、203c、203d和203e以及用于选择使用限制的相应选择按钮204a、204b、204c、204d和204e。
在图4中,管理员设置外部设备202a的使用限制。显示了用于设置外部设备的使用限制的多个项。限制内容“限制外部设备的使用”203a用于设置关于是否应用使用限制的项。通过选中选择框204a,管理员可以限制对外部设备的使用。选择框204a未被选中表示对设备不应用使用限制并且读和写都被允许。在选择框204a被选中以限制使用的情况下,可从三个选择项中选出一个控制类型“拒绝访问设备”203b;“只读”203c;和“记录操作日志”203d。选择项203b表示读和写操作都被拒绝。选择项203c表示读操作被允许而写操作被拒绝。选择项203d表示读和写操作都被允许并且要保存操作日志。
通过这种方式,设置使用限制的控制ON/OFF和控制类型。
此外,通过点击与“以下多项不受限制”203e项对应的选择框204e,管理员可以指定与使用限制无关的设备。通过在设备输入框205中输入设备名称,使得这些设备与使用限制无关,意味着可自由访问。
在图4中,选中选择框204e并将使用限制控制设置为ON以限制对外部设备的使用。通过选中选择框204b设置控制类型“拒绝访问设备”。此外,使写在设备输入框205中的驱动器A和E与使用限制无关。可以以相同的方式设置其他资源的使用限制。
通过在完成使用限制的设置之后点击OK按钮206,基于所设置的数据创建策略并将其存储在安全设置存储器11中。
图5示出了根据本发明本实施例的策略示例。图5的策略210示出了对资源的使用限制驱动器的[DEVICELIMIT]211;打印机的[PRINTLIMIT]212;网络的[NETWORKLIMIT]213;和通信端口的[PORTLIMIT]214。
例如,[DEVICELIMIT]211表示图4所示的外部设备的使用限制。也就是说,设置ON(STATE=1)作为控制状态,设置访问禁止(MODE=0)作为控制类型。将驱动器A和E设置为自由驱动器215。
类似地,对于其他资源,作为打印机的使用限制[PRINTLIMIT]212、网络驱动器的使用限制[NETWORKLIMIT]213、通信端口的使用限制[PORTLIMIT]214,设置ON(STATE=1)作为控制状态,并设置访问禁止(MODE=0)作为控制类型。
当创建一策略时,创建用于检测该策略的篡改的签名信息以及用于识别的密码并将其存储在安全设置存储器11内。
在上述过程中,在安全设置存储器11中为每个用户存储一策略和用于检测该策略的篡改的签名信息。
接下来对在用户登录时安全装置10如何进行操作进行说明。图6示出了根据本发明该实施例在用户登录时的策略检测过程。
安全设置存储器11存储策略文件4b、表示策略与用户名之间的对应关系的用户模板4c和未示出的签名文件5b。
策略文件4b由多个策略构成,即,与多个用户相对应的策略(1)41a、策略(2)41b、...。此外,还为未指定的用户准备了默认策略41c。
在用户模板4c中,用户名和策略名彼此相关联以寻找与用户对应的策略。在用户模板4c中,策略名43a、43b...与用户名42a、42b...相关联,其他42c与默认策略41c相关联,使得当用户名不存在时选择策略41c。
当一用户登录时,登录识别模块18识别该用户。模块18可以设置在安全装置10的内部或外部。
现将对寻找策略的过程进行说明。当一用户登录OS 2时,将由用户输入的用户名18a和密码18b输入到登录识别模块18。模块18基于密码18b识别该用户。当该用户被证实后,模块18将用户识别信息作为他/她的登录用户名18c发送给使用限制设置模块12。
使用限制设置模块12搜索用户模板4c以寻找与登录用户名18c对应的用户名。当该用户名存在时,模板12获得相应的策略名。例如,当登录用户名18c是用户名(1)42a时,获得策略名43a。当用户模板4c中不存在一用户名时,选择其他42c。
然后,模块12基于从用户名获得的策略名搜索策略文件4b以寻找相应的策略。例如,当获得策略名43a时,检测到与策略名43a对应的策略(1)41a。再例如,当获得其他42时,选择默认策略41c。
在从所检测的策略中取出信息之前,检查该策略以查看其是否已被篡改。根据所检测的策略41a、41b、...41c创建签名信息(策略)44a、44b...44c,并与创建策略时设置并从签名文件5b中取出的签名信息51a、51b...51c进行比较。当该策略被识别为未被改动时,则提取策略41a、41b、...41c以创建使用限制信息。当该策略被识别为被篡改时,则创建表示对所有资源禁止访问的使用限制信息。在使用限制表中为该用户设置所创建的使用限制信息并将其存储到使用限制表存储器13中。
参照图7的流程对用户登录之后到创建使用限制表之前的过程进行说明。
在策略文件4b和签名文件5b中已对每个用户设置了策略和签名信息。在安全装置10从OS 2接收到用户登录的通知时开始该过程。
基于用户名和密码识别该登录用户并获得识别该用户的他/她的登录用户名。
基于该登录用户名搜索用户模板以寻找用户名。
确定相应的用户名是否存在。当该用户名存在时该过程进行到步骤S14;否则进行到步骤S15。
基于与该用户名对应的策略名检测对该用户的策略。该过程进行到步骤S16。
获得默认策略。
搜索签名文件以寻找与所获得的策略或默认策略对应的签名信息。
根据所获得的策略或默认策略创建签名信息,并将其与从签名文件中获得的签名信息进行比较。当信息匹配时该过程进行到步骤S18;否则进行到步骤S19。
基于该策略或默认策略创建使用限制表并结束该过程。
创建规定对所有资源禁止访问的使用限制表并结束该过程。
通过执行上述过程,创建基于为登录用户预设的策略的资源使用限制表。当创建该表时,通过使用签名信息对该策略进行检查以查看其是否有效。因此,可以仅根据有效策略来创建使用限制表,并应用预设的使用限制。当有效性没有被证实时,创建规定对所有资源禁止使用的使用限制表,以禁止使用资源。因此,可以避免对资源的欺骗性使用。
接下来对如上所述创建的使用限制表进行说明。图8示出了根据本发明本实施例的该表的示例。
控制ON/OFF表示是否应用使用限制。ON意味着应用限制而OFF意味着与限制无关。在控制ON的情况下,相应的控制类型有效。在控制OFF的情况下,所有的操作都被允许。
当控制被设置为ON时控制模式有效,并从以下三种模式中选择控制模式禁止;只读;和跟踪。应该注意到,对于一些资源(例如打印机)不能选择只读模式。禁止模式意味着拒绝所有的操作。跟踪模式意味着允许所有的操作并且要记录操作日志。只读模式意味着允许读操作但不允许写操作。
当控制被设置为ON时,自由项有效。所指定的多个项与使用限制无关并且允许所有的操作。
对资源(驱动器、打印机、网络(共享存储器)、通信端口)的各个功能设置使用限制。在该图中,作为对驱动器的使用限制,控制被设置为ON并且控制类型为禁止。驱动器A和E与使用限制无关。也就是说,对除了驱动器A和E之外的驱动器的访问请求都被拒绝。对驱动器A和E的访问请求都被允许。类似地,作为对打印机的使用限制,控制被设置为ON并且控制类型为跟踪。允许打印请求并且要记录操作日志。作为对网络(共享存储器)的使用限制,控制被设置为ON,控制类型为只读,并且自由项为Pixy。也就是说,除目录Pixy以外,共享存储器上的读操作被允许而写操作被拒绝。作为对通信端口的使用限制,控制被设置为ON,控制类型为禁止,并且自由项为“10.73.232.0,255.255.255.255,0-25”。也就是说,除IP地址和掩码地址(10.73.232.0,255.255.255.255)和端口(0-25)的传输请求以外,传输请求都被拒绝。
接下来对在用户登录时创建使用限制表之后OS 2发送资源访问请求的情况进行说明。
请求获取模块14获取从OS 2发送的资源访问请求。模块14驱动资源使用限制部15并提供该请求。资源使用限制部15参照该使用限制表限制该资源的使用。资源使用限制部15具有与资源对应的多个控制模块。这些模块以相同的方式限制相应资源的使用。
图9是显示根据本发明该实施例关于如何限制对资源的使用的流程图。使用图8中所示的使用限制表,并从禁止、只读和跟踪中选择控制类型。禁止类型意味着所有的操作都被拒绝。只读类型意味着只允许进行读操作。跟踪类型是指允许所有的操作并且要记录操作日志。对于禁止和只读类型来说不需要操作日志。
当获取访问请求时开始以下过程。
确定哪个资源是目标资源。
从使用限制表中提取对目标资源的使用限制信息,并确定是否应该应用使用限制(控制ON或OFF)。在控制OFF的情况下该过程进行到步骤S28。
检查自由项以确定目标资源是否与使用限制无关。当目标资源不受限制时,即自由访问时,该过程进行到步骤S28。
限制资源的使用。此外,基于该使用限制信息确定是否应该记录操作日志。当不需要该日志时该过程进行到步骤S26。
指示日志管理模块启动日志记录过程。该过程进行到步骤S28。
确定该控制类型是否为只读。如果不是,则意味着控制类型为禁止,并且该过程进行到步骤S29。
确定该访问请求是否为读请求。如果不是,则该过程进行到步骤S29。
由于控制=OFF、控制类型=跟踪或者控制类型=只读并且访问请求=读请求,所以允许请求和操作该资源。然后结束该使用限制控制。
由于控制类型=禁止、控制类型=只读并且访问请求=写请求,所以拒绝该请求并将该拒绝通知给OS 2。然后结束该使用限制控制。通过OS 2将该拒绝通知提供给发送该访问请求的应用,以使该应用显示错误消息。
通过上述过程,基于在用户登录时设置的使用限制表来控制各种资源的使用。这就使得资源使用限制过程中的负荷最小,并且处理性能不会降低。
接下来对通过日志管理模块16创建日志文件进行说明。当被资源使用限制部15激活时,模块16在日志文件存储器17中记录并存储对资源的操作日志。由日志管理模块16专门操作存储器17,以便在发送到服务器之前用户不会删除任何数据。该日志被定期地发送到服务器。
下面将对日志文件进行说明。图10示出了根据本发明该实施例的日志文件格式的示例。
日志文件由头部710、策略信息721、722...和操作信息731、732...构成,头部存储版本信息等。
每条策略信息721、722...由在使用限制过程中使用的策略的策略名721a和相应的用户名721b构成。
操作信息731、732、733、734...存储在控制类型为跟踪的情况下所记录的操作日志。为每条策略信息创建多个操作信息。在该图中,为策略信息721设置操作信息731和732,为策略信息722设置操作信息733和734。
操作信息的内容根据资源而不同。图11A至11D示出了根据本实施例的日志文件中的操作信息内容。
作为资源驱动器的操作信息,记录有识别操作的操作ID、操作日期和时间、操作中所记录的参数的数量、以及所记录的参数。在图11A中,由操作ID“ACTION=“DEVICE””表示的操作是在“2003年9月19日18:30:30”执行的。参数的数量为“2”。参数1和2分别表示设备名称和所取出的文件。因此,这些参数意味着访问驱动器“A”以取出文件“Ctmptmp.text”。
除了参数1和2分别表示打印机名称和所取出的文件的名称之外,打印机的操作信息具有相同的因素。因此,图11B显示由操作ID“ACTION=“PRINT””表示的操作是在“2003年9月16日18:30:30”执行的。参数的数量为“2”。使用打印机“LP3000C”以打印文件“Ctemptmp.txt”。
除了参数1和2分别表示网络名称和所取出的文件的名称之外,网络的操作信息也具有相同的因素。图11C意味着由操作ID“ACTION=“NETWORK””表示的操作是在“2003年9月16日18:30:30”执行的。参数的数量为“2”。从目录“Pixy”取出文件“Ctmptmp.txt”。
除了参数1和2分别表示IP地址和端口号之外,通信端口的操作信息也具有相同的因素。图11D意味着由操作ID“ACTION=“PORT””表示的操作是在“2003年9月16日18:30:30”执行的。参数的数量为“2”。并且将数据从端口号“25”发送到IP地址“10.73.232.161”。
保存这样的操作日志并定期向服务器发送,以使管理员能够掌握对资源的使用。该操作日志是专用的,以使用户不能访问。因此,可以无误地将该日志发送到服务器。
事实上是在具有一组计算机程序的计算机系统上实现上述处理功能的,所述计算机程序描述了本发明的预定功能的处理内容。在计算机可读存储介质中存储这些程序。适当的计算机可读存储媒介包括磁存储媒介、光盘、磁光存储媒介和固态存储设备。磁存储媒介包括硬盘驱动(HDD)、软盘(FD)和磁带。光盘包括数字化多功能盘(DVD)、DVD随机存取存储器(DVD-RAM)、光盘只读存储器(CD-ROM)、可记录CD(CD-R)、可擦写CD(CD-RW)。磁光存储介质包括磁光盘(MO)。
为了发布程序产品,使用诸如DVD和CD-ROM的便携式存储介质。基于网络的软件程序发布也已很普遍,其中通过网络将服务器计算机中存储的主程序文件下载到用户的计算机。
每个计算机在其本地存储单元中存储必要的程序,这些程序已经预先从便携式存储介质安装或者从服务器计算机下载。计算机通过执行从本地存储单元读出的程序执行预定的功能。作为另选的程序执行方式,计算机可以执行程序,直接从便携式存储介质读出程序文件。另一种另选方法是当计算机被要求时它们从服务器计算机动态地下载程序并在传送时执行这些程序。
通过本发明的上述程序来防止信息泄露,计算机基于为一登录用户设置的访问权限信息来创建该用户的使用限制表。然后计算机在操作资源之前,从OS获取对资源的访问请求,并参照该使用限制表限制对资源的使用。因此,当OS进行访问请求时,参照在用户登录时设置的使用限制表对目标资源的使用进行限制,从而获得更快速的处理。由于为每个用户唯一地设置使用限制表,所以可根据用户切换要参照的表。
此外,根据本发明的用于防止信息泄露的装置基于为登录用户设置的对资源的访问权限信息,在该用户的使用限制表中设置资源使用限制。当从OS获取对资源的访问请求时,该装置参照使用限制表来限制对资源的使用。因此,当对资源进行访问请求时,参照在用户登录时设置的使用限制表可以对资源的使用进行限制。这可以获得更快的处理。
以上被认为仅仅是对本发明的原理的说明。此外,由于对于本领域的技术人员很容易进行多种改进和变化,所以不希望将本发明限定为所示和所述的确切构造和应用,因此,可以认为所有恰当的改进和等同物都落入本发明所附权利要求及其等同物的范围之内。
权利要求
1.一种通过对多个资源的访问控制来防止信息泄露的程序,所述程序使计算机执行以下步骤为每个用户存储表示对所述多个资源中的每一个的访问权限的访问权限信息,并且当一指定用户登录时检索该用户的访问权限信息,并基于所检索的访问权限信息,为该用户创建一规定对所述多个资源中的每一个的使用限制的使用限制表;在操作所述多个资源中的一个之前,从操作系统获取对所述多个资源中的所述一个的访问请求;和在获取该访问请求时,从所述使用限制表获得由所述访问请求指定的所述多个资源中的所述一个的使用限制信息,并根据该使用限制信息来限制所述多个资源中的所述一个的使用。
2.根据权利要求1所述的程序,其中创建所述使用限制表的所述步骤确定所述访问权限信息是否已被篡改,并创建所述使用限制表以当该访问权限信息被识别为被篡改时拒绝所述用户对所述多个资源的所有访问。
3.根据权利要求1所述的程序,其中所述访问权限信息包括至少指定对打印机、外部存储介质、共享存储介质和用于数据通信的指定端口中的至少一个的访问控制的信息;并且创建所述使用限制表的所述步骤规定对遵从所述访问权限的一组所述资源的所述使用限制。
4.根据权利要求3所述的程序,其中所述访问权限信息指定访问允许、访问禁止、只读和跟踪中的一个作为所述访问权限,所述跟踪意味着允许访问并记录操作日志。
5.根据权利要求3所述的程序,其中所述访问权限信息包括关于遵从所述访问权限的所述多个资源中具有自由访问权限的多个资源的信息。
6.根据权利要求1所述的程序,其中当没有所述用户的访问权限信息时,创建所述使用限制表的所述步骤在该使用限制表内设置预设的指定信息。
7.根据权利要求1所述的程序,其中所述访问权限信息包括关于是否需要所述资源的操作日志的信息;并且限制所述多个资源中的所述一个的所述使用的所述步骤在所述使用限制表表示需要日志的情况下,在日志文件中记录并存储所述多个资源中的所述一个的所述操作日志。
8.根据权利要求7所述的程序,其中所述日志被专门保存在所述日志文件中并从所述日志文件读取。
9.根据权利要求7所述的程序,其中限制所述多个资源中的所述一个的所述使用的所述步骤定期地将所述日志文件发送给管理服务器,该管理服务器用于监测从所述计算机的信息泄露。
10.一种计算机只读存储介质,其存储有通过对资源进行访问控制以防止信息泄露的程序,所述程序使计算机执行以下步骤为每个用户存储表示所述多个资源中的每一个的访问权限的访问权限信息,并且当一指定用户登录时,检索该用户的访问权限信息,并基于所检索的访问权限信息为该用户创建一规定所述多个资源中的每一个的使用限制的使用限制表;在操作所述多个资源中的一个之前,从操作系统获取所述多个资源中的所述一个的访问请求;以及当获取所述访问请求时,从所述使用限制表获得由所述访问请求指定的所述多个资源中的所述一个的使用限制信息,并根据该使用限制信息限制所述多个资源中的所述一个的使用。
11.一种用于通过对多个资源的访问控制来防止信息泄露的装置,包括访问权限信息存储装置,用于为每个用户存储表示所述多个资源中的每一个的访问权限的访问权限信息;使用限制表设置装置,用于在一指定用户登录时,从所述访问权限信息存储装置检索该用户的访问权限信息,并基于所检索的访问权限信息为该用户创建一规定所述多个资源中的所述每一个的使用限制的使用限制表;使用限制表存储装置,用于存储所述使用限制表;请求获取装置,用于在操作所述多个资源中的一个之前,从操作系统获取所述多个资源中的所述一个的访问请求;以及使用限制装置,用于从所述使用限制表获得由所述访问请求指定的所述多个资源中的所述一个的使用限制信息,并根据所获得的使用限制信息限制所述多个资源中的所述一个的使用。
全文摘要
一种通过简单过程进行访问控制以防止信息泄露的程序。当用户登录时,安全装置从访问权限信息文件中检索该用户的访问权限信息,并创建该用户的使用限制表。该使用限制表表示对每个资源的使用限制。在操作一资源之前,该装置监测并获取来自操作系统的对该资源的访问请求。当获取一访问请求时,该装置从使用限制表中提取由该访问请求指定的资源的使用限制信息,并根据该使用限制信息限制对该资源的使用。
文档编号G06F9/46GK1607484SQ20041000889
公开日2005年4月20日 申请日期2004年3月25日 优先权日2003年10月16日
发明者宫本裕司, 山中祐介, 田悦, 佐佐木孝兴 申请人:富士通株式会社