专利名称:一种数据防护方法、装置及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种数据防护方法、装置及系统。
背景技术:
随着信息化的发展,信息安全日益成为企业安全管理和风险控制的核心内容。许多企业为了防止员工在外发数据时造成的信息泄露,在其内部网络中部署了数据防泄漏(Data Loss Prevent, DLP)服务器,以保护其数据安全。现有的DLP实现方案中,可以通过网页代理(web proxy)服务器或者邮件传送代理(Mail Transfer Agent,MTA)服务器将来自于用户终端的外发的数据(网页数据或者邮件)传输到DLP服务器中,DLP服务器采用关键字、元数据、正则表达式、多模匹配、指纹匹配等算法对外发的数据流中的数据的安全性进行判定,发送通过安全性判定的数据至目的地址,拦截未通过安全性判定的数据或者选择性的发送该数据至目的地址。现有技术中,DLP服务器在进行安全性判定时,对于系统监控范围内的所有用户的外发数据都执行同样的判定流程,导致外发数据的安全性判定时延较大,影响数据的外发效率,影响用户体验。
发明内容
本发明的实施例提供一种数据防护方法、装置及系统,可以减少外发数据的安全性判定时延,进而提闻数据的外发效率,提闻用户体验。为达到上述目的,本发明的实施例采用如下技术方案:第一方面,提供一种数据防护方法,包括:接收来自用户终端的外发数据,所述外发数据中携带用户的身份标识;根据所述身份标识从信誉服务器获取所述用户的用户等级和信誉值,所述信誉值为所述用户的外发数据的违规百分比;发送所述外发数据、所述用户等级和所述信誉值至数据防泄漏DLP服务器,以使所述DLP服务器根据所述用户等级和所述信誉值对所述外发数据的安全性进行判定,进而使所述DLP服务器生成包含判定结果的消息,所述判定结果包括通过安全性判定和未通过安全性判定;接收来自所述DLP服务器的所述包含所述判定结果的消息,并根据所述判定结果采用与所述判定结果对应的策略处理所述外发数据。结合第一方面,在第一方面的第一种可能的实现方式中,所述根据所述身份标识从信誉服务器获取所述用户的用户等级和信誉值,包括:发送所述身份标识至所述信誉服务器,以使所述信誉服务器根据所述身份标识查询所述用户的用户等级和所述信誉值;接收来自所述信誉服务器的所述用户等级和所述信誉值。结合第一方面、或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述来自用户终端的外发数据为所述用户终端的通过身份认证的外发数据。结合第一方面、第一方面的第一或第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述用户的用户等级包括:免审查级、审查级和停外发权限级,所述审查级至少包括简单审查级和严格审查级;所述违规百分比为所述信誉服务器根据所述信誉服务器中预存的所述用户的外发数据通过所述安全性判定的次数和未通过所述安全性判定的次数计算得到的。结合第一方面、第一方面的第一、第二或第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述根据所述判定结果采用预设策略处理所述外发数据,包括:若所述判定结果指示所述外发数据通过安全性判定,则发送所述外发数据至所述外发数据的目的地址;若所述判定结果指示所述外发数据未通过所述安全性判定,则拦截所述外发数据。结合第一方面、或第一方面的上述任意一种可能的实现方式,在第一方面的第五种可能的实现方式中,在所述接收来自所述DLP服务器的所述包含所述判定结果的消息,并根据所述判定结果采用与所述判定结果对应的策略处理所述外发数据之后,所述方法还包括:发送所述包含所述判定结果的消息至所述信誉服务器,以使得所述信誉服务器根据所述身份标识和所述判定结果更新所述用户等级和所述信誉值。接收来自所述用户终端的通过身份认证的用户终端的外发数据。结合第一方面、或第一方面的上述任意一种可能的实现方式,在第一方面的第六种可能的实现方式中,若所述外部数据为Web数据,所述发送所述外发数据、所述用户等级和所述信誉值至DLP服务器,具体为:通过互联网内容适配协议ICAP协议向所述DLP服务器发送所述外发数据、所述用户等级和所述信誉值,其中所述用户等级和所述信誉值携带在扩展的ICAP头部字段中。第二方面,还提供一种数据防护方法,包括:接收代理服务器发送的外发数据、用户等级和信誉值,所述外发数据中携带所述用户的身份标识,所述用户等级和信誉值为所述代理服务器根据所述身份标识从信誉服务器获取的,所述信誉值为所述用户的外发数据的违规百分比;根据所述用户等级和所述信誉值对所述外发数据的安全性进行判定,并生成包含判定结果的消息,所述判定结果包括通过安全性判定和未通过安全性判定;发送所述包含判定结果的消息至所述代理服务器,以使所述代理服务器根据所述判定结果采用与所述判定结果对应的策略处理所述外发数据。结合第二方面,在第二方面的第一种可能的实现方式中,所述用户的用户等级包括:免审查级、审查级和停外发权限级,所述审查级至少包括简单审查级和严格审查级;所述违规百分比为所述信誉服务器根据所述信誉服务器中预存的所述用户的外发数据通过所述安全性判定的次数和未通过所述安全性判定的次数计算得到的。结合第二方面、或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,,所述根据所述用户等级和所述信誉值对所述外发数据的安全性进行判定,并生成包含判定结果的消息,包括:若所述用户等级为所述免审查级,则直接生成所述安全性判定通过消息;若所述用户等级为所述停外发权限级,则直接生成所述安全性判定未通过的消息;若所述用户等级为所述审查级,则根据所述审查级和所述信誉值对所述外发数据的安全性进行判定,并生成包含判定结果的消息。结合第二方面、第二方面的第一或第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述根据所述审查级和所述信誉值对所述外发数据的安全性进行判定,并生成包含判定结果的消息,包括:根据所述审查级的具体级别选择相应的审查算法;根据预设的还原策略还原所述外发数据;结合所述信誉值,采用已选择的审查算法对还原后的所述外发数据进行判定;获取对还原后的所述外发数据进行判定的判定结果,并生成所述包含所述判定结果的消息。结合第二方面、第二方面的第一、第二或第三种可能的实现方式,在第二方面的第四种可能的实现方式中,,在所述发送所述包含判定结果的消息至所述代理服务器之后,所述方法还包括:发送所述包含判定结果的消息至所述信誉服务器,以使得所述信誉服务器根据所述身份标识和所述判定结果更新所述用户等级和所述信誉值。第三方面,还提供一种数据防护方法,包括:接收来自代理服务器的用户的身份标识;根据所述身份标识查询所述用户的用户等级和信誉值,所述信誉值为所述用户的外发数据的违规百分比;发送所述用户等级和所述信誉值至所述代理服务器。结合第三方面,在第三方面的第一种可能的实现方式中,所述用户的用户等级包括:免审查级、审查级和停外发权限级,所述审查级至少包括简单审查级和严格审查级;所述违规百分比为信誉服务器根据所述信誉服务器中预存的所述用户的外发数据通过安全性判定的次数和未通过所述安全性判定的次数计算得到的。结合第三方面、或第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,在所述发送所述用户等级和所述信誉值至所述代理服务器之后,所述方法还包括:接收来自DLP服务器的包含判定结果的消息;或者,接收来自所述代理服务器的所述包含判定结果的消息;根据所述判断结果更新所述用户等级和所述信誉值。结合第三方面、第三方面的第一或第二种可能的实现方式,在第三方面的第三种可能的实现方式中,所述根据所述判断结果更新所述用户等级和所述信誉值,包括:根据所述判断结果更新预存的所述用户的外发数据通过安全性判定的次数或者未通过所述安全性判定的次数;
根据更新后的所述外发数据通过所述安全性判定的次数和未通过所述安全性判定的次数计算所述信誉值;判断所述信誉值是否超过预设阈值;若所述信誉值超过所述预设阈值,则降低所述用户级别。第四方面,还提供一种代理服务器,包括:接收单元,用于接收来自用户终端的外发数据,所述外发数据中携带用户的身份标识;获取单元,用于根据所述接收单元接收的所述身份标识从信誉服务器获取所述用户的用户等级和信誉值,所述信誉值为所述用户的外发数据的违规百分比;发送单元,用于发送所述接收单元接收的所述外发数据、所述获取单元获取的所述用户等级和所述信誉值至数据防泄漏DLP服务器,以使所述DLP服务器根据所述用户等级和所述信誉值对所述外发数据的安全性进行判定,进而使所述DLP服务器生成包含判定结果的消息,所述判定结果包括通过安全性判定和未通过安全性判定;所述接收单元,还用于接收来自所述DLP服务器的所述包含所述判定结果的消息;处理单元,用于根据所述接收单元接收的所述判定结果采用与所述判定结果对应的策略处理所述外发数据。结合第四方面,在第四方面的第一种可能的实现方式中,所述获取单元,包括:发送子单元,用于发送所述身份标识至所述信誉服务器,以使所述信誉服务器根据所述身份标识查询所述用户的用户等级和所述信誉值;接收子单元,用于接收来自所述信誉服务器的所述用户等级和所述信誉值。结合第四方面、或第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,,所述来自用户终端的外发数据为所述用户终端的通过身份认证的外发数据。结合第四方面和第四方面的第一或第二种可能的实现方式,在第四方面的第三种可能的实现方式中,所述用户的用户等级包括:免审查级、审查级和停外发权限级,所述审查级至少包括简单审查级和严格审查级;所述违规百分比为所述信誉服务器根据所述信誉服务器中预存的所述用户的外发数据通过所述安全性判定的次数和未通过所述安全性判定的次数计算得到的。结合第四方面、第四方面的第一、第二或第三种可能的实现方式,在第四方面的第四种可能的实现方式中,所述处理单元,包括:第二发送子单元,用于若所述接收单元接收的所述判定结果指示所述外发数据通过安全性判定,则发送所述外发数据至所述外发数据的目的地址;拦截子单元,用于若所述接收单元接收的所述判定结果指示所述外发数据未通过所述安全性判定,则拦截所述外发数据。结合第四方面、第四方面的任意一种可能的实现方式,在第四方面的第五种可能的实现方式中,所述发送单元,还用于在所述处理单元执行根据所述判定结果采用与所述判定结果对应的策略处理所述外发数据之后,发送所述包含所述判定结果的消息至所述信誉服务器,以使得所述信誉服务器根据所述身份标识和所述判定结果更新所述用户等级和所述信誉值。结合第四方面、或第四方面的上述任意一种可能的实现方式,在第四方面的第六种可能的实现方式中,所述发送单元,还用于若所述外部数据为网页Web数据,则通过互联网内容适配协议I CAP协议向所述DLP服务器发送所述外发数据、所述用户等级和所述信誉值,其中所述用户等级和所述信誉值携带在扩展的ICAP头部字段中。第五方面,还提供一种DLP服务器,包括:接收单元,用于接收代理服务器发送的外发数据、用户等级和信誉值,所述外发数据中携带所述用户的身份标识,所述用户等级和信誉值为所述代理服务器根据所述身份标识从信誉服务器获取的,所述信誉值为所述用户的外发数据的违规百分比;判定单元,用于根据所述接收单元接收的所述用户等级和所述信誉值对所述外发数据的安全性进行判定,并生成包含判定结果的消息,所述判定结果包括通过安全性判定和未通过安全性判定;发送单元,用于发送所述判定单元生成的所述包含判定结果的消息至所述代理服务器,以使所述代理服务器根据所述判定结果采用与所述判定结果对应的策略处理所述外发数据。结合第五方面,在第五方面的第一种可能的实现方式中,所述用户的用户等级包括:免审查级、审查级和停外发权限级,所述审查级至少包括简单审查级和严格审查级;所述违规百分比为所述信誉服务器根据所述信誉服务器中预存的所述用户的外发数据通过安全性判定的次数和未通过所述安全性判定的次数计算得到的。结合第五方面、或第五方面的第一种可能的实现方式,在第五方面的第二种可能的实现方式中,所述判定单元,包括:第一判定子单元,用于若所述用户等级为所述免审查级,则直接生成所述安全性判定通过消息;第二判定子单元,用于若所述用户等级为所述停外发权限级,则直接生成所述安全性判定未通过的消息;第三判定子单元,用于若所述用户等级为所述审查级,则根据所述审查级和所述信誉值对所述外发数据的安全性进行判定,并生成包含判定结果的消息。结合第五方面、第五方面的第一或第二种可能的实现方式,在第五方面的第三种可能的实现方式中,所述第三判定子单元,包括:选择模块,用于根据所述审查级的具体级别选择相应的审查算法;还原模块,用于根据预设的还原策略还原所述外发数据;判定模块,用于结合所述信誉值,采用已选择的审查算法对还原后的所述外发数据进行判定;生成模块,用于获取所述判定结果,并生成所述包含所述判定结果的消息。结合第五方面、第五方面的第一、第二或第三种可能的实现方式,在第五方面的第四种可能的实现方式中,所述发送单元,用于在发送所述包含判定结果的消息至所述代理服务器之后,发送所述包含判定结果的消息至所述信誉服务器,以使得所述信誉服务器根据所述身份标识和所述判定结果更新所述用户等级和所述信誉值。第六方面,还提供一种信誉服务器,包括:
第一接收单元,用于接收来自代理服务器的用户的身份标识;查询单元,用于根据所述第一接收单元接收的所述身份标识查询所述用户的用户等级和信誉值,所述信誉值为所述用户的外发数据的违规百分比;发送单元,用于发送所述查询单元查到的所述用户等级和所述信誉值至所述代理服务器。结合第六方面,在第六方面的第一种可能的实现方式中,所述用户的用户等级包括:免审查级、审查级和停外发权限级,所述审查级至少包括简单审查级和严格审查级;所述违规百分比为信誉服务器根据所述信誉服务器中预存的所述用户的外发数据通过安全性判定的次数和未通过所述安全性判定的次数计算得到的。结合第六方面、或第六方面的第一种可能的实现方式,在第六方面的第二种可能的实现方式中,所述信誉服务器,还包括:第二接收单元,用于在所述发送单元发送所述用户等级和所述信誉值至所述代理服务器之后,接收来自DLP服务器的包含判定结果的消息;或者,接收来自所述代理服务器的所述包含判定结果的消息;更新单元,用于根据所述第二接收单元接收的所述判断结果更新所述用户等级和所述信誉值。结合第六方面、第六方面的第一或第二种可能的实现方式,在第六方面的第三种可能的实现方式中,所述更新单元,包括:更新子单元,用于根据所述判断结果更新预存的所述用户的外发数据通过安全性判定的次数或者未通过所述安全性判定的次数;计算子单元,用于根据所述更新子单元更新后的所述外发数据通过所述安全性判定的次数和未通过所述安全性判定的次数计算所述信誉值;判断子单元,用于判断所述信誉值是否超过预设阈值;降级子单元,用于若所述判断子单元判断得到所述信誉值超过所述预设阈值,则降低所述用户级别。本发明实施例的第七方面,还提供一种数据防护系统,包括上述第五方面或第五方面的任意一种可能的实现方式所述的代理服务器、上述第六方面或第六方面的任意一种可能的实现方式所述的DLP服务器、上述第七方面或第七方面的任意一种可能的实现方式所述的信誉服务器。本发明实施例提供的数据防护方法、装置及系统,代理服务器接收来自用户终端的外发数据,外发数据中携带用户的身份标识;根据身份标识从信誉服务器获取用户的用户等级和信誉值,信誉值为用户的外发数据的违规百分比;发送外发数据、用户等级和信誉值至DLP服务器,以使DLP服务器根据用户等级和信誉值对外发数据的安全性进行判定,进而使DLP服务器生成包含判定结果的消息;接收来自DLP服务器的包含判定结果的消息,并根据判定结果采用与判定结果对应的策略处理外发数据。与现有技术中进行安全性判定时,对于系统监控范围内的所有用户的外发数据都执行同样的判定流程相比,可以根据用户的等级和信誉值针对不同的用户选择不同的审查算法对外发数据的安全性进行判定,从而可以减少外发数据的安全性判定时延,进而提高数据的外发效率,提高用户体验。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例11中的一种数据防护系统组成示意图;图2为本发明实施例1中的一种数据防护方法流程图;图3为本发明实施例2中的一种数据防护方法流程图;图4为本发明实施例3中的一种数据防护方法流程图;图5为本发明实施例4中的一种数据防护方法流程图;图6为本发明实施例4中的另一种数据防护方法流程图;图7为本发明实施例4中的另一种数据防护方法流程图;图8为本发明实施例5中的一种代理服务器的组成示意图;图9为本发明实施例5中的另一种代理服务器的组成示意图;图10为本发明实施例6中的一种数据防泄漏DLP服务器的组成示意图;图11为本发明实施例6中的另一种DLP服务器的组成示意图;图12为本发明实施例7中的一种信誉服务器的组成示意图;图13为本发明实施例7中的另一种信誉服务器的组成示意图;图14为本发明实施例8中的一种代理服务器的组成示意图;图15为本发明实施例9中的一种DLP服务器的组成示意图;图16为本发明实施例10中的一种信誉服务器的组成示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,如图1所示,本发明的实施例所提供的数据防护系统可以包括:代理服务器、信誉服务器和数据防泄漏(Data Loss Prevent,DLP)服务器。其中,代理服务器可以接收来自用户终端的外发数据,根据外发数据中携带有用户的身份标识从信誉服务器获取用户等级和信誉值,发送用户等级和信誉值至DLP服务器,接收来自DLP服务器的判定结果,根据判定结果发送或拦截外发数据;信誉服务器可以根据身份标识查询、更新用户等级和信誉值;DLP服务器可以根据用户等级和信誉值对外发数据的安全性进行判定。上述用户终端可以是一个企业内部局域网中的用户终端,代理服务器部署于局域网和外部网络的边界处,信誉服务器用于管理企业内部用户的用户等级和信誉值。实施例1为了清楚地对本发明实施例提供的数据防护系统中的代理服务器的工作流程进行描述,本发明实施例提供的数据防护方法,应用于代理服务器,如图2所示,包括:
101、代理服务器接收来自用户终端的外发数据,所述外发数据中携带用户的身份标识。其中,代理服务器可以包括应用代理(Web Proxy)服务器、邮件传输代理(MailTransfer Agent, MTA)服务器等。外发数据可以包括Web数据(如,超文本传输协议(Hypertext transfer protocol,HTTP)数据流)、Mail数据等。例如,当外发数据为Web数据时,代理服务器则为Web Proxy服务器;当外发数据为Mail数据时,代理服务器则为MTA服务器。102、代理服务器根据身份标识从信誉服务器获取用户的用户等级和信誉值,信誉值为用户的外发数据的违规百分比。其中,用户的身份标识为用于区别不同用户的用户身份信息,用户的身份标识可以包括用户姓名+用户工号、用户姓名+介质访问控制(Medium/Media Access Control,MAC)地址等形式。MAC地址也称作硬件地址或者物理地址。在网络底层的物理传输过程中,可以通过该地址识别主机,MAC地址如同我们的身份证号码,具有全球唯一性。需要说明的是,用户的身份标识包括但不局限于本发明实施例中所列举的形式,本发明实施例对用户的身份标识的具体构成内容不做限制,身份标识的其他构成组成本实施例这里不再赘述。具体的,代理服务器根据身份标识从信誉服务器获取用户的用户等级和信誉值的方法可以包括:代理服务器发送身份标识至信誉服务器,以使信誉服务器根据身份标识查询用户的用户等级和信誉值;代理服务器接收来自信誉服务器的用户等级和信誉值。103、代理服务器发送外发数据、用户等级和信誉值至服务器,以使DLP服务器根据用户等级和信誉值对外发数据的安全性进行判定,进而使DLP服务器生成包含判定结果的消息,判定结果包括通过安全性判定和未通过安全性判定。104、代理服务器接收来自DLP服务器的包含判定结果的消息,并根据判定结果采用与判定结果对应的策略处理外发数据。具体的,代理服务器根据判定结果采用预设策略处理外发数据,包括:若判定结果指示外发数据通过安全性判定,代理服务器则发送外发数据至外发数据的目的地址;若判定结果指示外发数据未通过安全性判定,代理服务器则拦截外发数据。进一步可选的,为了保证信誉服务器中存储的用户等级和用户信誉值的实时性,在代理服务器接收来自DLP服务器的包含所述判定结果的消息之后,本发明实施例的方法还可以包括:代理服务器发送包含判定结果的消息至信誉服务器,以使得信誉服务器根据身份标识和判定结果更新用户等级和信誉值。本发明实施例提供的数据防护方法,代理服务器接收来自用户终端的外发数据,外发数据中携带用户的身份标识;根据身份标识从信誉服务器获取用户的用户等级和信誉值,信誉值为用户的外发数据的违规百分比;发送外发数据、用户等级和信誉值至DLP服务器,以使DLP服务器根据用户等级和信誉值对外发数据的安全性进行判定,进而使DLP服务器生成包含判定结果的消息;接收来自DLP服务器的包含判定结果的消息,并根据判定结果采用与判定结果对应的策略处理外发数据。与现有技术中进行安全性判定时,对于系统监控范围内的所有用户的外发数据都执行同样的判定流程相比,可以根据用户的等级和信誉值针对不同的用户选择不同的审查算法对外发数据的安全性进行判定,从而可以减少外发数据的安全性判定时延,进而提高数据的外发效率,提高用户体验。实施例2为了清楚地对本发明实施例提供的数据防护系统中的DLP服务器的工作流程进行描述,本发明实施例提供的数据防护方法,应用于DLP服务器,如图3所示,包括:201、DLP服务器接收代理服务器发送的外发数据、用户等级和信誉值,外发数据中携带用户的身份标识,用户等级和信誉值为代理服务器根据身份标识从信誉服务器获取的,信誉值为用户的外发数据的违规百分比。其中,DLP是一个计算机安全术语,指系统识别,监测,并保护在各种状态中的数据。其中数据可分为:在使用中的数据(如端点数据),在运动中的数据(如网络数据)和在休息中的数据(如存储数据)。而DLP主要是通过深度的内容检测、上下文的安全事件分析(如起始点的属性,数据对象、中介、时间、接收人/目的地等)等,检测和防止未经授权的机密信息的使用和传输。本发明实施例中的DLP服务器为安装在网络出口点的、可以分析流经网络的数据,以便检测流经网络的数据中是否包含违反信息安全策略的敏感数据的电子设备。202、DLP服务器根据用户等级和信誉值对外发数据的安全性进行判定,并生成包含判定结果的消息。其中,用户的用户等级包括:免审查级、审查级和停外发权限级,审查级至少包括简单审查级和严格审查级;用户的用户信誉值为信誉服务器根据信誉服务器中预存的用户的外发数据通过判定的次数和未通过判定的次数计算得到的用户的违规百分比。具体的,DLP服务器根据所述用户等级和信誉值对所述外发数据进行判定,并生成包含判定结果的消息,包括:若用户等级为免审查级,DLP服务器则直接生成安全性判定通过的消息;若用户等级为停外发权限级,DLP服务器则直接生成安全性判定未通过的消息;若用户等级为审查级,DLP服务器则根据审查级和用户信誉值对外发数据进行判定,并生成包含判定结果的消息。具体的,当用户等级为审查级时,DLP服务器需要根据审查级的具体级别,如简单审查级或者严格审查级对外发数据进行判定,并生成包含相应判定结果的消息。DLP服务器根据审查级和用户信誉值对外发数据进行判定,并生成包含判定结果的消息,具体包括:DLP服务器根据审查级的具体级别选择相应的审查算法;根据预设的还原策略还原外发数据;结合用户信誉值,采用已选择的审查算法对还原后的外发数据进行判定;获取判定结果,并生成包含判定结果的消息。203、DLP服务器发送包含判定结果的消息至代理服务器,以使代理服务器根据判定结果采用与判定结果对应的策略处理外发数据。其中,判定结果可以包括:外发数据通过安全性判定或者外发数据未通过安全性判定。进一步可选的,为了保证信誉服务器中存储的用户等级和用户信誉值的实时性,在DLP服务器发送包含判定结果的消息至代理服务器之后,本实施例的方法还可以包括:DLP服务器发送包含判定结果的消息至信誉服务器,以使得信誉服务器根据身份标识和判定结果更新用户等级和信誉值。本发明实施例提供的数据防护方法,DLP服务器接收代理服务器发送的外发数据、用户等级和信誉值,外发数据中携带用户的身份标识,用户等级和信誉值为代理服务器根据身份标识从信誉服务器获取的,信誉值为用户的外发数据的违规百分比,然后根据用户等级和信誉值对外发数据的安全性进行判定,并生成包含判定结果的消息,最后发送包含判定结果的消息至代理服务器,以使代理服务器根据判定结果采用与判定结果对应的策略处理外发数据。与现有技术中进行安全性判定时,对于系统监控范围内的所有用户的外发数据都执行同样的判定流程相比,可以根据用户的等级和信誉值针对不同的用户选择不同的审查算法对外发数据的安全性进行判定,简化了部分用户的安全性判定方法,对于这部分用户无需执行数据还原和运行审查算法,从而可以减少外发数据的安全性判定时延,进而提高数据的外发效率,提高用户体验。另外,执行数据还原和运行审查算法需要耗费DLP服务器的较多处理资源,本发明实施例由于对于部分用户无需执行数据还原和运行审查算法,因此减轻了 DLP服务器的处理负荷。实施例3为了清楚地对本发明实施例提供的数据防护系统中的信誉服务器的工作流程进行描述,本发明实施例提供的数据防护方法,应用于信誉服务器,如图4所示,包括:301、信誉服务器接收来自代理服务器的用户的身份标识。具体的,信誉服务器是一个以数据库为基础的服务器,信誉服务器可以存储系统监控范围内的所有用户的用户等级和信誉值。其中,信誉服务器可以采用成熟的关系型数据库来存储数据,也可以采用轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)数据库来存储数据。LDAP是可以提供目录服务的信息服务。目录服务是一种特殊的数据库系统,该数据库系统专门针对读取,浏览和搜索操作进行了特定的优化。其中,目录包含描述性的、基于属性的信息,并支持精细复杂的过滤能力。目录可以存储包括个人信息、web链结、jpeg图像等各种信肩、O302、信誉服务器根据身份标识查询用户的用户等级和信誉值,信誉值为用户的外发数据的违规百分比。需要说明的是,信誉服务器和代理服务器共用一套用户身份标识;信誉服务器与DLP服务器共用一套用户等级和信誉值信息。示例性的,用户的用户等级包括:免审查级、审查级和停外发权限级,审查级至少包括简单审查级和严格审查级。其中,信誉服务器还可以将系统中用户的等级进行进一步划分,如,审查级可以包括:简单审查级、轻度审查级、重度审查级和严格审查级等。示例性的,用户的用户信誉值为信誉服务器根据信誉服务器中预存的用户的外发数据通过判定的次数和未通过判定的次数计算得到的用户的违规百分比。例如,若用户A的外发数据通过判定的次数为X,未通过判定的次数为1,则用户的信誉值,即用户的违规百分比可以为:y/(x+y)*100%o需要说明的是,本发明中的用户等级包括但不限于本实施例中所列举的用户等级,本发明中信誉服务器获取用户信誉值的方法包括但不限于本实施例中所列举的方法,其他的用户等级和信誉服务器获取用户信誉值的其他方法本实施例这里不再赘述。303、信誉服务器发送用户等级和信誉值至代理服务器。进一步可选的,为了保证信誉服务器中存储的用户等级和用户信誉值的实时性,本实施例的方法还可以包括:在信誉服务器发送用户等级和信誉值至代理服务器之后,信誉服务器接收来自DLP服务器的包含判定结果的消息;或者,信誉服务器接收来自代理服务器的包含判定结果的消息;信誉服务器根据判定结果更新用户等级和信誉值。本发明实施例提供的数据防护方法,信誉服务器接收来自代理服务器的用户的身份标识,然后根据身份标识查询用户的用户等级和信誉值,并发送用户等级和信誉值至代理服务器。与现有技术中进行安全性判定时,对于系统监控范围内的所有用户的外发数据都执行同样的判定流程相比,可以根据用户的等级和信誉值针对不同的用户选择不同的审查算法对外发数据的安全性进行判定,从而可以减少外发数据的安全性判定时延,进而提高数据的外发效率,提高用户体验。实施例4为了更清楚地对本发明实施例提供的数据防护系统中的代理服务器、信誉服务器和DLP服务器的工作流程进行描述,本发明实施例以时序图的方式提供一种上述各设备之间的交互实例,如图5所示,包括:401、代理服务器接收来自用户终端的外发数据,外发数据中携带用户的身份标识。具体的,代理服务器接收来自用户终端的外发数据可以包括:代理服务器接收来自用户终端的通过身份认证的用户终端的外发数据。其中,在用户终端在发送外发数据至代理服务器之前,可以通过与身份认证服务器之间的交互,完成对该用户的身份认证,若该用户通过身份认证,则用户终端发送外发数据至代理服务器。身份认证服务器可以是具有用户身份验证功能的服务器,例如,远程认证拨号用户服务(Remote Authentication DialIn User Service, RADIUS)服务器。在本实施例的一种应用场景中,代理服务器可以具备身份认证服务器和WebProxy服务器,或身份认证服务器和MTA服务器的功能特征的服务器。在这种应用场景中,代理服务器在接收到来自用户终端的外发数据之后,可以对发送外发数据的用户进行身份认证,若身份认证通过,则代理服务器可以根据身份标识从信誉服务器获取用户的用户等级和信誉值。402、代理服务器发送身份标识至信誉服务器。其中,信誉服务器可以依据用户的行政级别、用户的工作部门和用户的工作性质、用户接触企业内部敏感数据机会的大小以及用户以往的数据安全记录确定用户的等级,例如,用户等级可以分为免审查级、审查级和停外发权限级,其中,审查级包括:简单审查级、轻度审查级、重度审查级别和严格审查级。用户A为K公司研发部的高级研发人员,用户B为K公司研发部的一般研发人员,用户C为K公司市场部的员工,用户D为K公司的前台员工。由于研发人员可以接触到公司内部机密技术或者文件,信誉服务器则可以将用户A的用户等级设置为停外发权限级或者严格审查级,信誉服务器则可以将用户B的用户等级设置为严格审查级或者重度审查级别;由于市场部的员工可以接触到企业的很多客户资料,信誉服务器则可以将用户C的用户等级设置为重度审查级别或者严格审查级;信誉服务器可以将用户D的用户等级设置为简单审查级或者免审查级。403、信誉服务器根据身份标识查询用户的用户等级和信誉值。例如,信誉服务器可以以列表的方式存储系统监控范围内的所有用户的用户等级和信誉值。表I所示为一个用户等级和信誉值表实例,在该用户等级和信誉值表中,用户等级和信誉值表主要可以包含两项内容:用户的身份标识和用户等级和信誉值,其中,身份标识可以包括:用户名和用户工号,用户信誉值可以包括:用户的外发数据通过判定的次数(通过次数)、未通过判定的次数(未通过次数)以及根据通过判定的次数和未通过判定的次数计算得到的用户的外发数据的违规百分比。表I
权利要求
1.一种数据防护方法,其特征在于,包括: 接收来自用户终端的外发数据,所述外发数据中携带用户的身份标识; 根据所述身份标识从信誉服务器获取所述用户的用户等级和信誉值,所述信誉值为所述用户的外发数据的违规百分比; 发送所述外发数据、所述用户等级和所述信誉值至数据防泄漏DLP服务器,以使所述DLP服务器根据所述用户等级和所述信誉值对所述外发数据的安全性进行判定,进而使所述DLP服务器生成包含判定结果的消息,所述判定结果包括通过安全性判定和未通过安全性判定; 接收来自所述DLP服务器的所述包含所述判定结果的消息,并根据所述判定结果采用与所述判定结果对应的策略处理所述外发数据。
2.根据权利要求1所述的数据防护方法,其特征在于,所述根据所述身份标识从信誉服务器获取所述用户的用户等级和信誉值,包括: 发送所述身份标识至所述信誉服务器,以使所述信誉服务器根据所述身份标识查询所述用户的用户等级和所述信誉值; 接收来自所述信誉服务器的所述用户等级和所述信誉值。
3.根据权利要求1所述的数据防护方法,其特征在于,所述来自用户终端的外发数据为所述用户终端的通过身 份认证的外发数据。
4.根据权利要求1所述的数据防护方法,其特征在于,所述用户的用户等级包括:免审查级、审查级和停外发权限级,所述审查级至少包括简单审查级和严格审查级; 所述违规百分比为所述信誉服务器根据所述信誉服务器中预存的所述用户的外发数据通过所述安全性判定的次数和未通过所述安全性判定的次数计算得到的。
5.根据权利要求1或4所述的数据防护方法,其特征在于,在所述接收来自所述DLP服务器的所述包含所述判定结果的消息,并根据所述判定结果采用与所述判定结果对应的策略处理所述外发数据之后,所述方法还包括: 发送所述包含所述判定结果的消息至所述信誉服务器,以使得所述信誉服务器根据所述身份标识和所述判定结果更新所述用户等级和所述信誉值。
6.根据权利要求1-4中任一项所述的数据防护方法,其特征在于,若所述外部数据为Web数据,所述发送所述外发数据、所述用户等级和所述信誉值至DLP服务器,具体为: 通过互联网内容适配协议ICAP协议向所述DLP服务器发送所述外发数据、所述用户等级和所述信誉值,其中所述用户等级和所述信誉值携带在扩展的ICAP头部字段中。
7.一种数据防护方法,其特征在于,包括: 接收代理服务器发送的外发数据、用户等级和信誉值,所述外发数据中携带所述用户的身份标识,所述用户等级和信誉值为所述代理服务器根据所述身份标识从信誉服务器获取的,所述信誉值为所述用户的外发数据的违规百分比; 根据所述用户等级和所述信誉值对所述外发数据的安全性进行判定,并生成包含判定结果的消息,所述判定结果包括通过安全性判定和未通过安全性判定; 发送所述包含判定结果的消息至所述代理服务器,以使所述代理服务器根据所述判定结果采用与所述判定结果对应的策略处理所述外发数据。
8.根据权利要求7所述的数据防护方法,其特征在于,所述用户的用户等级包括:免审查级、审查级和停外发权限级,所述审查级至少包括简单审查级和严格审查级; 所述违规百分比为所述信誉服务器根据所述信誉服务器中预存的所述用户的外发数据通过所述安全性判定的次数和未通过所述安全性判定的次数计算得到的。
9.根据权利要求8所述的数据防护方法,其特征在于,所述根据所述用户等级和所述信誉值对所述外发数据的安全性进行判定,并生成包含判定结果的消息,包括: 若所述用户等级为所述免审查级,则直接生成所述安全性判定通过消息; 若所述用户等级为所述停外发权限级,则直接生成所述安全性判定未通过的消息。
10.根据权利要求8所述的数据防护方法,其特征在于,所述根据所述用户等级和所述信誉值对所述外发数据的安全性进行判定,并生成包含判定结果的消息,还包括: 若所述用户等级为所述审查级,则根据所述审查级的具体级别选择相应的审查算法; 根据预设的还原策略还原所述外发数据; 结合所述信誉值,采用已选择的审查算法对还原后的所述外发数据进行判定; 获取对还原后的所述外发数据进行判定的判定结果,并生成所述包含所述判定结果的消息。
11.根据权利要求7-10中任一项所述的数据防护方法,其特征在于,在所述发送所述包含判定结果的消息至所述代理服务器之后,所述方法还包括: 发送所述包含判定结果的消息至所述信誉服务器,以使得所述信誉服务器根据所述身份标识和所述判定结果更新所述用户等级和所述信誉值。
12.—种代理服务器,其特征在于,包括: 接收单元,用于接收来自用户终端的外发数据,所述外发数据中携带用户的身份标识; 获取单元,用于根据所述接收单元接收的所述身份标识从信誉服务器获取所述用户的用户等级和信誉值,所述信誉值为所述用户的外发数据的违规百分比; 发送单元,用于发送所述接收单元接收的所述外发数据、所述获取单元获取的所述用户等级和所述信誉值至数据防泄漏DLP服务器,以使所述DLP服务器根据所述用户等级和所述信誉值对所述外发数据的安全性进行判定,进而使所述DLP服务器生成包含判定结果的消息,所述判定结果包括通过安全性判定和未通过安全性判定; 所述接收单元,还用于接收来自所述DLP服务器的所述包含所述判定结果的消息; 处理单元,用于根据所述接收单元接收的所述判定结果采用与所述判定结果对应的策略处理所述外发数据。
13.根据权利要求12所述的代理服务器,其特征在于,所述获取单元,包括: 发送子单元,用于发送所述身份标识至所述信誉服务器,以使所述信誉服务器根据所述身份标识查询所述用户的用户等级和所述信誉值; 接收子单元,用于接收来自所述信誉服务器的所述用户等级和所述信誉值。
14.根据权利要求12所述的代理服务器,其特征在于,所述用户的用户等级包括:免审查级、审查级和停外发权限级,所述审查级至少包括简单审查级和严格审查级; 所述违规百分比为所述信誉服务器根据所述信誉服务器中预存的所述用户的外发数据通过所述安全性判定的次数和未通过所述安全性判定的次数计算得到的。
15.根据权利要求12-14中任一项所述的代理服务器,其特征在于,所述发送单元,还用于在所述处理单元执行根据所述判定结果采用与所述判定结果对应的策略处理所述外发数据之后,发送所述包含所述判定结果的消息至所述信誉服务器,以使得所述信誉服务器根据所述身份标识和所述判定结果更新所述用户等级和所述信誉值。
16.—种DLP服务器,其特征在于,包括: 接收单元,用于接收代理服务器发送的外发数据、用户等级和信誉值,所述外发数据中携带所述用户的身份标识,所述用户等级和信誉值为所述代理服务器根据所述身份标识从信誉服务器获取的,所述信誉值为所述用户的外发数据的违规百分比; 判定单元,用于根据所述接收单元接收的所述用户等级和所述信誉值对所述外发数据的安全性进行判定,并生成包含判定结果的消息,所述判定结果包括通过安全性判定和未通过安全性判定; 发送单元,用于发送所述判定单元生成的所述包含判定结果的消息至所述代理服务器,以使所述代理服务器根据所述判定结果采用与所述判定结果对应的策略处理所述外发数据。
17.根据权利要求16所述的DLP服务器,其特征在于,所述判定单元,包括: 第一判定子单元,用于若所述用户等级为所述免审查级,则直接生成所述安全性判定通过消息; 第二判定子单元,用于若所述用户等级为所述停外发权限级,则直接生成所述安全性判定未通过的消息。
18.根据权利要求16所述的DLP服务器,其特征在于,所述判定单元,包括: 第三判定子单元,用于若所述用户等级为所述审查级,则根据所述审查级和所述信誉值对所述外发数据的安全性进行判定,并生成包含判定结果的消息; 所述第三判定子单元,具体包括: 选择模块,用于根据所述审查级的具体级别选择相应的审查算法; 还原模块,用于根据预设的还原策略还原所述外发数据; 判定模块,用于结合所述信誉值,采用所述选择模块已选择的审查算法对所述还原模块还原后的所述外发数据进行判定; 生成模块,用于获取所述判定模块判定得到的所述判定结果,并生成所述包含所述判定结果的消息。
19.根据权利要求16-18任一项所述的DLP服务器,其特征在于,还包括: 所述发送单元,还用于在发送所述包含判定结果的消息至所述代理服务器之后,发送所述包含判定结果的消息至所述信誉服务器,以使得所述信誉服务器根据所述身份标识和所述判定结果更新所述用户等级和所述信誉值。
20.一种数据防护系统,其特征在于,包括: 如权利要求12-15中任一项所述的代理服务器; 如权利要求16-19中任一项所述的DLP服务器; 信誉服务器,用于接收来自所述代理服务器的用户的身份标识;根据所述身份标识查询所述用户的用户等级和信誉值,所述信誉值为所述用户的外发数据的违规百分比;发送所述用户等级和所述信誉值至所述代理服务器。
21.根据权利要求20所述的数据防护系统,其特征在于,所述信誉服务器,还用于接收来自所述DLP服务器或者所述代理服务器的包含判定结果的消息,并根据所述判断结果更新所述用户等级和所述信誉值; 其中,所述判定结果为所述DLP服务器根据所述用户等级和所述信誉值对所述外发数据的安全性进行判定得到的。`
全文摘要
本发明实施例公开了一种数据防护方法、装置及系统,涉及通信技术领域,可以减少外发数据的安全性判定时延,进而提高数据的外发效率,提高用户体验。具体方案为接收来自用户终端的外发数据,外发数据中携带用户的身份标识;根据身份标识从信誉服务器获取用户的用户等级和信誉值,信誉值为用户的外发数据的违规百分比;发送外发数据、用户等级和信誉值至DLP服务器,以使DLP服务器根据用户等级和信誉值对外发数据的安全性进行判定,进而使DLP服务器生成包含判定结果的消息;接收来自DLP服务器的包含判定结果的消息,并根据判定结果采用与判定结果对应的策略处理外发数据。本发明用于外发数据的数据防护过程中。
文档编号H04L29/06GK103209174SQ201310077689
公开日2013年7月17日 申请日期2013年3月12日 优先权日2013年3月12日
发明者靳伟 申请人:华为技术有限公司