以为单个字词或数字或符号,也可以为多个字词或数字或符号的组合,按照识别规则对网络设备文件进行关键字检测时,首先打开文件,将文件内容读取到网络设备内存,利用正则匹配规则,检索该文件中时是否存在关键字,可以将命中的特征文件或统计的特征文件的数目上报至内网服务器。
[0102]信息对象的属性信息包括所述信息对象的信息名称、信息类型和信息内容中至少一种,还可以是其他任意适用的类型,本发明对此并做限制。
[0103]当属性信息包括信息对象的信息名称时,识别规则指示的关键字可以为信息对象的信息名称,可以根据识别规则指示的信息对象的信息名称,将终端内符合所述信息名称的文件确定为特征文件,并将确定的特征文件上传至服务器。例如,识别规则指示机密文件名称黑名单,包括“文件名1: readme.txt”和“文件名2: md5.exe”两个机密文件名称,并指示包括上述任意一条机密文件名称或同时包括两个机密文件名称的文件,即可确认为特征文件。
[0104]当属性信息包括信息对象的信息内容时,识别规则指示的关键字可以为信息内容的MD5值(Message-Digest Algorithm 5,第五套信息摘要算法),可以将信息内容的MD5值符合所述MD5规则的文件确定为特征文件。命中MD5值的信息对象为特征信息对象,可以是机密文件或危险文件或是具备某种特殊属性的文件。
[0105]优选地,识别规则还可以指示按序识别的信息路径时,可以按照优先识别的信息路径和/或忽略识别的信息路径,依次对各个信息对象进行识别。
[0106]具体地,可以按照指示的优先识别的信息路径,查找该路径下的特征文件;可以忽略指示的忽略识别的信息路径,查找其他路径下的特征文件。例如,识别规则指示优先识别的路径为:“C: \te s tdate”,则依据识别规则,查找该路径“C: \te stdate”下的文件进行识另IJ,在检测到特征文件后,可以将检测的特征文件和特征文件所在路径一并展示在页面上,可以通过点击“确认”按钮,将价值文件上传至内网服务器。
[0107]优选地,识别规则还可以指示识别多个信息对象的识别操作的执行时长、待识别的信息对象大小和数目中至少一种时,可以依据识别规则依次对各个信息对象进行识别,将符合识别规则的特征信息对象或特征信息对象的数目发送至服务器。例如,识别规则指示待识别的信息对象大小小于200M,则在终端内只对小于200M的文件进行识别。
[0108]优选地,识别规则还可以指示包括各关键字的信息对象所属特征分类时,可以根据所述特征信息对象所命中的关键字,确定所述特征信息对象所属特征分类。
[0109]具体地,依据所述关键字识别出特征信息对象后,可以依据识别规则指示的关键字与信息对象所属特征分类的关系,确定所述特征信息对象所属特征分类,可以将命中的特征文件或特征文件所属特征分类或统计的特征文件的数目中至少一种上报至服务器。例如,识别规则指示的关键字为身份证号,并预先设定包括所述身份证号的特征文件属于重要机密文件,当在网络设备内识别出具有所述身份证号内容的文件后,确定识别出的特征文件属于重要机密文件,并将重要机密文件这一特征分类上传至服务器。
[0110]步骤202,部署于内网的网络设备接收内网服务器下发的网络访问策略,所述网络访问策略指示是否允许所述网络设备连接外网。
[0111]在具体实现中,内网服务器内可以预先记录识别结果与网络访问策略的对应关系,例如特征信息对象与网络访问策略的对应关系、特征信息对象的数目与网络访问策略的对应关系或特征信息对象所属特征分类与网络访问策略的对应关系,具体地,对应关系可以为机密文件与不允许网络设备连接外网策略的对应关系、需要保护的安全程序数目与不允许网络设备连接外网策略的对应关系、机密文件的机密级别与不允许网络设备连接外网策略的对应关系等。内网服务器接收到网络设备发送的识别结果后,可以根据记录的对应关系,确定所述识别结果对应的网络访问策略,并将确定的网络访问策略反馈至网络设备。
[0112]具体地,部署于内网的网络设备可以接收内网服务器根据识别的特征信息对象对网络设备配置的网络访问策略,例如可以接收内网服务器根据识别的特征信息对象的类别对网络设备配置网络访问策略;可以接收内网服务器根据识别的特征信息对象的数目对网络设备配置网络访问策略;可以接收内网服务器按照识别的特征信息对象的特征类型,对网络设备配置网络访问策略。
[0113]步骤203,启动网络检测线程定期检测所述网络设备是否可以连接外网。
[0114]步骤204,若检测结果不符合所述网络访问策略,则对所述网络设备进行网络连接控制。
[0115]本发明实施例中,优选地,在所述根据预置的识别规则,从网络设备多个信息对象中识别特征信息对象之前,所述方法还可以包括:
[0116]获取所述网络设备对所述信息对象的历史操作记录,从所述历史操作记录中提取历史操作的各个信息对象。
[0117]在具体实现中,浏览网页或网站、共享数据、打开文件或其他操作时,网络设备可以对所述信息对象的操作进行记录,生成历史浏览记录、数据共享记录、文件访问打开记录等历史操作记录,并存储以供查看。
[0118]进一步,所述获取网络设备对信息对象的历史操作记录可以包括:
[0119]访问操作系统的目标注册表,从所述目标注册表中读取对信息对象的历史访问记录和历史搜索记录;
[0120]和/或,从共享文件管理程序的关联位置,读取对多个操作系统共享信息对象的共享访问记录。
[0121]操作系统的目标注册表可以存储网络设备对信息对象的历史访问记录和历史搜索记录。具体地,预获取对信息对象的历史访问记录或历史搜索记录时,可以从操作系统的目标注册表中读取所需数据。
[0122]共享数据时,共享文件管理程序可以将多个操作系统共享信息对象的共享访问记录存储至关联位置,例如关联数据库、文件夹等。具体地,预读取对多个操作系统共享信息对象的共享访问记录时,可以从共享文件管理程序的关联数据库或文件夹中读取所需数据。
[0123]依据本发明实施例,启动网络检测线程定期检测所述网络设备是否可以连接外网,并将检测结果与部署于内网的网络设备接收内网服务器下发的网络访问策略进行匹配,若不匹配,则依据网络访问策略对所述网络设备进行网络连接控制,避免内网的网络设备受到外网攻击,保证了内网的的正常工作和内网数据的安全。
[0124]并且,根据预置的识别规则,自动检测终端多个信息对象,从网络设备多个信息对象中识别特征信息对象,并将识别结果上传至内网服务器,内网服务器根据上传的识别结果配置网络访问策略,相对于传统的人工手动设置的网络访问策略,依据本发明的方案配置的网络访问策略可以更加全面地、有效地防护网络设备的安全。
[0125]参照图3,示出了根据本发明实施例1的一种网络连接控制装置的结构框图,具体可以包括如下模块:
[0126]网络访问策略下发模块301,用于部署于内网的网络设备接收内网服务器下发的网络访问策略,所述网络访问策略指示是否允许所述网络设备连接外网。
[0127]外网检测模块302,用于启动网络检测线程定期检测所述网络设备是否可以连接外网。
[0128]网络连接控制模块303,用于若检测结果不符合所述网络访问策略,则对所述网络设备进行网络连接控制。
[0129]本发明实施例中,优选地,所述外网检测模块302可以包括:
[0130]http请求发送子模块,用于向目标网站发送http请求;
[0131]外网连接确定子模块,用于若在预设时间段内接收到所述目标网站针对所述http请求反馈的数据,则确定所述网络设备可以连接外网。
[0132]依据本发明实施例,启动网络检测线程定期检测所述网络设备是否可以连接外网,并将检测结果与部署于内网的网络设备接收内网服务器下发的网络访问策略进行匹配,若不匹配,则依据网络访问策略对所述网络设备进行网络连接控制,避免内网的网络设备受到外网攻击,保证了内网的的正常工作和内网数据的安全。
[0133]参照图4,示出了根据本发明实施例2的一种网络连接控制装置的结构框图,具体可以包括如下模块:
[0134]识别结果上传模块401,用于根据预置的识别规则,从所述网络设备多个信息对象中识别特征信息对象,并将识别结果上传至所述内网服务器。
[0135]网络访问策略下发模块402,用于部署于内网的网络设备接收内网服务器下发的网络访问策略,所述网络访问策略指示是否允许所述网络设备连接外网。
[0136]外网检测模块403,用于启动网络检测线程定期检测所述网络设备是否可以连接外网。
[0137]网络连接控制模块404,用于若检测结果不符合所述网络访问策略,则对所述网络设备进行网络连接控制。
[0138]本发明实施例中,优选地,所述网络管理策略可以指示不允许所述网络设备连接外网。
[0139]本发明实施例中,优选地,所述网络连接控制模块404可以包括:
[0140]连接断开子模块,用于断开所述网络设备与所述外网的连接;