基于分级分类的非结构化数据资产防泄露方法
【技术领域】
[0001] 本发明设及一种基于分级分类的非结构化数据资产防泄露方法,属于数据安全技 术领域。
【背景技术】
[0002]企业网络架构一般分为S部分;内部网络(Intranet)、生产外联网巧xtranet)与 互联网(Internet)。企业信息网络中的非结构化数据(如各种文档、图片等),主要通过各 种终端传输软件(如QQ、百度云、邮件系统等)从企业的内部网络发送至互联网或生产外联 网,然而该些非结构化数据中往往存在着大量的敏感信息,如果不对该些敏感信息加W控 审IJ,则含有敏感级的数据从内网流向外网,很容易导致企业信息资产泄露,对企业造成严重 损失。
【发明内容】
[0003] 本发明的目的在于,提供一种基于分级分类的非结构化数据资产防泄露方法,它 可W有效解决现有技术中的问题,防止企业信息资产中的敏感非结构化数据发生泄漏。
[0004] 为解决上述技术问题,本发明采用如下的技术方案;基于分级分类的非结构化数 据资产防泄露方法,包括W下步骤:
[0005]a.受控终端对非结构化的数据资产进行分类分级,并根据敏感等级对相应种类的 非结构化数据进行数字签名;
[0006]b.当受控终端请求向Internet或者Extranet发送非结构化数据时,网络防护服 务器通过镜像的流量和敏感关键词对该数据进行过滤处理;
[0007]C.若所述的非结构化数据中包含敏感关键词,则采用相应敏感级的公钥对该非结 构化数据的签名进行验证;
[000引 d.若通过验证,则阻断该受控终端向Internet或者Extranet发送数据的请求。
[0009] 优选的,步骤a中,采用ElGamal或DSA签名算法对相应种类的非结构化数据进行 数字签名。
[0010] 进一步的,步骤a具体包括W下步骤;受控终端对非结构化的数据资产进行分类 分级,将数据分为高敏感级数据、敏感级数据、内部数据和公开数据;对高敏感级数据、敏感 级数据和内部数据分别预分配公私密钥对,并利用各个私钥对相应的数据进行ElGamal或 DSA签名。
[0011] 前述的基于分级分类的非结构化数据资产防泄露方法中,采用ElGamal签名算法 对非结构化数据进行数字签名W及对该签名进行验证具体包括W下步骤:
[0012] (1)初始化
[0013] 受控终端选择一个大素数P和Zp中的一个生成元g,并公布P和g;
[0014] 再选择一个随机数skGZp_i,并计算出pk=gSk(modP),将pk作为公钥公开,sk 作为密钥;
[0015] (2)对文档m进行签名
[0016] 选择一个随机数幸€Z^_i,计算r=gk(modP);
[0017] 求解方程;m=skr+ks(modp-1),得到s,其中,m即需要加密的文档;加密后产生 的(r,S)即文档m的签名,附在文档m的后面;
[001引 (3)验证;
[0019] 检测等式;gm三pktrS(modP)是否成立,若成立则通过验证。
[0020] 上述方法中的参数由群生成器生成。
[0021] 本发明中步骤b具体包括:当受控终端发出HTTP、HTTPS、FTP或SMTP请求向 Internet或者Extranet发送非结构化数据时,网络防护服务器进行判断一一若源IP为企 业内网IP,目的IP为企业外网IP,则通过镜像的流量和敏感关键词对该非结构化数据的封 面、主题、正文和附件进行过滤处理,判断其是否包含敏感关键词。
[0022] 与现有技术相比,本发明通过采用关键词过滤和数据标签相结合的方法对企业分 级分类数据资产中的非结构化数据进行防护,从而不但可W有效防止数据泄露,而且还可 W大大降低信息防护过程中的误报现象(如将非敏感信息识别为敏感信息),提高非结构 化数据防护的准确率。此外,本发明人经过大量试验研究发现:若采用现有技术中的化sh 算法来产生数字标签,那么只要知道使用的化sh算法,任何人都能产生和验证化sh值,且 对于一个相同的文档,产生的Hash值是相同的,那么就不能保证具有敏感级的文档只能由 与之密级相适应的人员产生,而且任何人都可W修改文档重新产生化sh值,不利于保证系 统的安全性。而如果采用本发明中的ElGamal或DSA签名算法来产生数字标签,那么就可 W保证只有拥有敏感级密钥的人员(即设密人员)才能产生具有敏感级文档的标签,且其 他人不能替换数字标签,同时网络防护服务器只需要使用相应的公钥验证签名即可,而不 需要知道私钥,从而有效保证了系统的安全性。
【附图说明】
[0023] 图1是本发明的实施例1的工作流程示意图;
[0024] 图2是本发明的信息泄漏防护系统中硬件连接结构和工作原理示意图。
[0025] 下面结合附图和【具体实施方式】对本发明作进一步的说明。
【具体实施方式】
[0026] 本发明的实施例;基于分级分类的非结构化数据资产防泄露方法,如图1、图2所 示,包括W下步骤:
[0027] a.受控终端对非结构化的数据资产进行分类分级,并根据敏感等级对相应种类的 非结构化数据进行数字签名,具体包括W下步骤:受控终端对非结构化的数据资产进行分 类分级,将数据分为高敏感级数据、敏感级数据、内部数据和公开数据;对高敏感级数据、敏 感级数据和内部数据分别预分配公私密钥对,并利用各个私钥对相应的数据进行ElGamal 或DSA签名;其中,采用ElGamal签名算法对非结构化的高敏感级数据、敏感级数据和内部 数据进行数字签名W及对该签名进行验证具体包括W下步骤:
[002引 (1)初始化
[0029] 受控终端选择一个大素数P和Zp中的一个生成元g,并公布P和g;
[0030] 再选择一个随机数skGZp_i,并计算出pk=gSk(modp),将pk作为公钥公开,sk 作为密钥;
[0031] (2)对文档m进行签名
[0032]选择一个随机数韦E,计算r=gk(modP);
[0033] 求解方程;m=skr+ks(modp-1),得到s,其中,m即需要加密的文档;加密后产生 的(r,S)即文档m的签名,附在文档m的后面;
[0034] (3)验证;
[003引检测等式;gm三pktrS(modP)是否成立,若成立则通过验证。
[0036] b.当受控终端请求向Internet或者Extranet发送非结构化数据时,网络防护 服务器通过镜像的流量和敏感关键词对该数据进行过滤处理,具体包括;当受控终端发出 HTTP、HTTPS、FTP或SMTP请求向Internet或者Extranet发送非结构化数据时,网络防护 服务器进行判断一一若源IP为企业内网IP,目的IP为企业外网IP,则通过镜像的流量和 敏感关键词对该非结构化数据的封面、主题、正文和附件进行过滤处理,判断其是否包含敏