防泄密装置、方法及用户终端的制作方法
【专利摘要】本发明实施例提出一种防泄密装置、方法及用户终端,应用于电子邮件,所述防泄密方法包括:获取向指定端口发送的邮件;将所述邮件与预先设定的安全策略进行匹配;对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器。如此,可以防止企业机密数据通过邮件泄露出去,提高了邮件数据的安全性。
【专利说明】
防泄密装置、方法及用户终端
技术领域
[0001]本发明涉及信息安全技术领域,具体而言,涉及一种基于电子邮件的防泄密装置、方法及用户终端。
【背景技术】
[0002]随着网络技术的发展,有更多的企业会加入到网络体系中,不管是广域网还是各个企业的分支互联,邮件成为信息交互的重要手段之一,这就面临一个问题,企业的机密信息有可能会通过邮件泄露出去,通过技术手段限制不让收发邮件也不符合社会信息化发展的要求,因此,急需一种基于邮件的防泄密方法,以使企业既能够正常收发邮件,又能防止企业的机密数据通过邮件泄露出去。
【发明内容】
[0003]本发明的目的在于提供一种防泄密装置、方法及用户终端,以解决企业的机密数据容易通过邮件泄露出去的技术问题。
[0004]为了实现上述目的,本发明实施例采用的技术方案如下:
[0005]第一方面,本发明实施例提供了一种防泄密装置,应用于电子邮件,所述防泄密装置包括:截取模块,用于获取向指定端口发送的邮件;匹配模块,用于将所述邮件与预先设定的安全策略进行匹配;执行模块,用于对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器。
[0006]第二方面,本发明实施例还提供了一种防泄密方法,应用于电子邮件,所述防泄密方法包括:获取向指定端口发送的邮件;将所述邮件与预先设定的安全策略进行匹配;对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器。
[0007]第三方面,本发明实施例还提供了一种用户终端,所述用户终端包括:存储器;处理器;以及防泄密装置,所述防泄密装置安装于所述存储器中并包括一个或多个由所述处理器执行的软件功能模块,所述防泄密装置包括:截取模块,用于获取向指定端口发送的邮件;匹配模块,用于将所述邮件与预先设定的安全策略进行匹配;执行模块,用于对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器。
[0008]本发明实施例提供一种防泄密装置、方法及用户终端,通过获取向指定端口发送的邮件;将所述邮件与预先设定的安全策略进行匹配;对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器,如此,可以防止企业机密数据通过邮件泄露出去,提高了邮件数据的安全性。
[0009]为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
【附图说明】
[0010]为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0011]图1示出了本发明实施例提供的一种防泄密装置、方法及用户终端的应用环境示意图;
[0012]图2示出了本发明实施例提供的用户终端的结构框图;
[0013]图3示出了本发明实施例提供的一种防泄密装置的功能模块图;
[0014]图4示出了本发明实施例提供的一种防泄密方法的流程图。
【具体实施方式】
[0015]本发明较佳实施例所提供的防泄密装置、方法及用户终端可应用于如图1所示的应用环境中。如图1所示,用户终端100、目标服务器200位于第一网络300中,第一网络300可以为无线网络或有线网络,通过该第一网络300,用户终端100与目标服务器200进行数据交互,其中,目标服务器200可以收取用户终端100发出的电子邮件。另外,用户终端100、控制服务器500位于第二网络400中,第二网络400可以为无线网络或有线网络,通过该第二网络400,用户终端100与控制服务器500进行数据交互,其中,控制服务器500可以对用户终端100的相关数据进行配置、管理,并可以向用户终端100下发相关数据。
[0016]于本发明实施例中,用户终端100优选为移动终端设备,例如可以包括智能手机、平板电脑、电子书阅读器、膝上型便携计算机、车载电脑、穿戴式移动终端等等。
[0017]本发明实施例提出的防泄密装置、方法及用户终端,提供了一种新的基于电子邮件的防泄密方法。该防泄密装置、方法可适用于具Android操作系统、1S操作系统、WindowsPhone操作系统或其他平台的用户终端100。于本发明实施例中,该用户终端100中安装有电子邮箱客户端,该防泄密装置、方法可运行于用户终端100的电子邮箱客户端,或者,该防泄密装置、方法也可运行于用户终端100的网页版的电子邮箱。
[0018]图2示出了一种可应用本发明实施例的防泄密装置、方法的用户终端100的结构框图。如图2所示,用户终端100包括存储器102、存储控制器104,一个或多个(图中仅示出一个)处理器106、外设接口 108、射频单元110、音频单元112、触控屏幕114以及摄像头116等。这些组件通过一条或多条通讯总线/信号线118相互通讯。
[0019]存储器102可用于存储软件程序以及模组,如本发明实施例中的防泄密装置、方法对应的程序指令/模组,处理器106通过运行存储在存储器102内的软件程序以及模组,从而执行各种功能应用以及数据处理,如本发明实施例提供的防泄密方法。
[0020]存储器102可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。处理器106以及其他可能的组件对存储器102的访问可在存储控制器104的控制下进行。
[0021]外设接口 108将各种输入/输出装置耦合至处理器106以及存储器102。在一些实施例中,外设接口 108,处理器106以及存储控制器104可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
[0022]射频单元110用于接收以及发送电磁波,实现电磁波与电信号的相互转换,从而与通讯网络或者其他设备进行通讯。
[0023]音频单元112向用户提供音频接口,其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。
[0024]触控屏幕114在用户终端100与用户之间同时提供一个输出及输入界面。在本实施例中,所述触控屏幕114支持单点和多点触控操作,例如,该触控屏幕114可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是触控屏幕114能感应到来自该触控屏11上一个或多个位置处同时产生的触控操作,并将该感应到的多点触控操作交由处理器106进行处理。
[0025]所述摄像头116用于拍摄图像。
[0026]可以理解,图2所示的结构仅为示意,用户终端100还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。
[0027]下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0028]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0029]第一实施例
[0030]请参阅图3,是本发明实施例提供的一种防泄密装置600的功能框图。本发明实施例提供的一种防泄密装置600包括:获取模块610、截取模块620、解析模块630、匹配模块640、执行模块650、报警模块660以及图表输出模块670。
[0031]获取模块610,用于获取预先设定的安全策略。
[0032]在本发明实施例中,控制服务器500启动后,可以配置制定安全策略,并将安全策略保存到控制服务器500的数据库中。安全策略可以为关于企业的机密信息所构成的数据包,关于企业的机密信息可以包括第一关键字,例如:机密、秘密、密码等等。企业机密信息的第一关键字被打包成数据包,并存储于控制服务器500的数据库中。当用户终端100中的电子邮箱客户端开启之后,获取模块610可以与控制服务器500通讯,从控制服务器500获取预先设定的安全策略,并保存在用户终端100的存储器102中。
[0033]截取模块620,用于获取向指定端口发送的邮件。
[0034]在本发明实施例中,当用户终端100与目标服务器200建立连接时,用户终端100向目标服务器200发送自己身份(这里指的是账户和密码)并由目标服务器200成功确认,此时,用户终端100可以向目标服务器200的指定端口发送邮件,例如,当目标服务器200为简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)服务器时,用户终端100可以向SMTP服务器的指定端口 25发送邮件。
[0035]进一步地,截取模块620可以为网络过滤驱动,通过对向指定端口发送的邮件做端口重定向,以获取向指定端口发送的邮件。例如,当目标服务器200为简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)服务器时,截取模块620可以对向指定端口 25发送的邮件做端口重定向,以使向指定端口 25发送的邮件发送到截取模块620,由截取模块620获取。
[0036]解析模块630,用于解析所述安全策略和所述邮件。
[0037]在本发明实施例中,安全策略中可以包括第一关键字,解析模块630可以将安全策略的数据包进行解压缩,然后从中解析出第一关键字并存储于用户终端100的存储器102中。
[0038]向指定端口发送的邮件的内容可以包括正文和附件,邮件中可以包括第二关键字,第二关键字既可以为正文中的内容,也可以为附件中的内容,解析模块可以用于解析所述安全策略中的第一关键字和所述邮件中的第二关键字。
[0039]匹配模块640,用于将所述邮件与所述安全策略进行匹配。
[0040]在本发明实施例中,匹配模块640将所述邮件与所述安全策略进行匹配的过程可以为:匹配模块640将所述邮件中的第二关键字和所述安全策略中的第一关键字进行匹配,确认第二关键字与第一关键字是否一致,若一致,则第二关键字和第一关键字是匹配的,若不一致,则第二关键字和第一关键字是不匹配的。
[0041 ]执行模块650,用于对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器200。
[0042]在本发明实施例中,在所述第二关键字与所述第一关键字匹配时,该邮件即携带了与企业机密相关的信息,因此触发了安全策略,执行模块650可以对所述邮件实施网络阻断,该邮件无法发送至目标服务器200。
[0043]在本发明实施例中,在所述第二关键字与所述第一关键字不匹配时,该邮件即未携带与企业机密相关的信息,因此,该邮件对于企业来说是安全的邮件,执行模块650可以将该邮件发送至目标服务器200。
[0044]报警模块660,用于在对所述邮件实施网络阻断之后进行报警,例如:报警模块660通过邮件或短信的方式发送报警信息给邮箱管理员,以此方式告知管理员该邮件触发了安全策略。
[0045]图表输出模块670,用于输出关于所述邮件的图表信息。
[0046]在本发明实施例中,从用户终端100发出的邮件可以为触发了安全策略的邮件以及未触发安全策略的邮件,从用户终端100发出的邮件可以在控制服务器500的数据库中进行备份,并且执行模块650向邮箱管理员发送的报警信息也可以保存在控制服务器500的数据库中。如此,图表输出模块670可以依据从用户终端100发出的邮件以及报警信息输出图表来展示企业的安全态势。
[0047]第二实施例
[0048]请参阅图4,是本发明实施例提供的一种防泄密方法的流程图。本发明实施例提供的一种防泄密方法包括以下步骤:
[0049]步骤SI,获取预先设定的安全策略。
[0050]在本发明实施例中,步骤SI可以由获取模块610执行。安全策略可以为关于企业机密信息的关键字所构成的数据包,关于企业机密信息的关键字可以包括第一关键字,例如:机密、秘密、密码等等。企业机密信息的第一关键字被打包成数据包,并存储于控制服务器500。当用户终端100中的电子邮箱客户端开启之后,获取模块610可以与控制服务器500通讯,从控制服务器500获取预先设定的安全策略,并保存在用户终端100的存储器102中。[0051 ]步骤S2,获取向指定端口发送的邮件。
[0052]在本发明实施例中,步骤S2可以由截取模块620执行。当用户终端100与目标服务器200建立连接时,用户终端100向目标服务器200发送自己身份(这里指的是账户和密码)并由目标服务器200成功确认,此时,用户终端100可以向目标服务器200的指定端口发送邮件,例如,当目标服务器200为简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)服务器时,用户终端100可以向SMTP服务器的指定端口 25发送邮件。
[0053]进一步地,截取模块620可以为网络过滤驱动,通过对向指定端口发送的邮件做端口重定向,以获取向指定端口发送的邮件。例如,当目标服务器200为简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)服务器时,截取模块620可以对向指定端口 25发送的邮件做端口重定向,以使向指定端口 25发送的邮件发送到截取模块620,由截取模块620获取。
[0054]步骤S3,解析所述安全策略和所述邮件。
[0055]在本发明实施例中,步骤S3可以由解析模块630执行。安全策略中可以包括第一关键字,解析模块630可以从安全策略中解析出第一关键字并存储于用户终端100的存储器102 中。
[0056]向指定端口发送的邮件的内容可以包括正文和附件,邮件中可以包括第二关键字,第二关键字既可以为正文中的内容,也可以为附件中的内容,解析模块630可以用于解析所述安全策略中的第一关键字和所述邮件中的第二关键字。
[0057]步骤S4,将所述邮件与所述安全策略进行匹配。
[0058]在本发明实施例中,步骤S4可以由匹配模块640执行。匹配模块640将所述邮件与所述安全策略进行匹配的过程可以为:匹配模块640将所述邮件中的第二关键字和所述安全策略中的第一关键字进行匹配,确认第二关键字与第一关键字是否一致,若一致,则第二关键字和第一关键字是匹配的,若不一致,则第二关键字和第一关键字是不匹配的。
[0059]步骤S5,对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器200。
[0060]在本发明实施例中,步骤S5可以由执行模块650执行。在所述第二关键字与所述第一关键字匹配时,该邮件即携带了与企业机密相关的信息,因此触发了安全策略,执行模块650可以对所述邮件实施网络阻断,该邮件无法发送至目标服务器200。在所述第二关键字与所述第一关键字不匹配时,该邮件即未携带与企业机密相关的信息,因此,该邮件对于企业来说是安全的邮件,执行模块650可以将该邮件发送至目标服务器200。
[0061]步骤S6,在对所述邮件实施网络阻断之后进行报警,步骤S6可以由报警模块660执行。例如:报警模块660通过邮件或短信的方式发送报警信息给邮箱管理员,以此方式告知管理员该邮件触发了安全策略。
[0062]步骤S7,输出关于所述邮件的图表信息。
[0063]在本发明实施例中,步骤S7可以由图表输出模块670执行。从用户终端100发出的邮件可以为触发了安全策略的邮件以及未触发安全策略的邮件,从用户终端100发出的邮件可以在控制服务器500的数据库中进行备份,并且执行模块650也可以将向邮箱管理员发送的报警信息上传至控制服务器500的数据库中。如此,图表输出模块670可以依据从用户终端100发出的邮件以及报警信息输出图表来展示企业的安全态势。
[0064]另外,用户还可以在控制服务器500的数据库中按照条件查询报警信息,例如,按照邮件发出日期、邮件主题、关键字等查询报警信息。
[0065]本发明实施例提供一种防泄密装置、方法及用户终端,通过获取预先设定的安全策略;获取向指定端口发送的邮件;将所述邮件与所述安全策略进行匹配;对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器,如此,可以防止企业机密通过邮件数据泄露出去,同时也可以在发送触发安全策略的邮件时,警示邮件发件人或者邮箱管理员,并在控制服务器的数据库中保留有发件内容和报警信息,可以通过输出各种图表来展示企业的安全态势。
[0066]在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
[0067]另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
[0068]所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(R0M,Read-0nly Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0069]需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0070]以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0071]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
【主权项】
1.一种防泄密装置,应用于电子邮件,其特征在于,所述防泄密装置包括: 截取模块,用于获取向指定端口发送的邮件; 匹配模块,用于将所述邮件与预先设定的安全策略进行匹配; 执行模块,用于对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器。2.如权利要求1所述的防泄密装置,其特征在于,所述截取模块还用于对所述向指定端口发送的邮件做端口重定向,以获取所述向指定端口发送的邮件。3.如权利要求1所述的防泄密装置,其特征在于,所述防泄密装置还包括解析模块,所述解析模块用于解析所述安全策略和所述邮件。4.如权利要求3所述的防泄密装置,其特征在于,所述解析模块用于解析所述安全策略中的第一关键字和所述邮件中的第二关键字。5.如权利要求4所述的防泄密装置,其特征在于,所述匹配模块还用于将所述邮件中的第二关键字和所述安全策略中的第一关键字进行匹配。6.如权利要求5所述的防泄密装置,其特征在于,所述执行模块还用于在所述第二关键字与所述第一关键字匹配时,对所述邮件实施网络阻断,以及在所述第二关键字与所述第一关键字不匹配时,将所述邮件发送至目标服务器。7.如权利要求1所述的防泄密装置,其特征在于,所述防泄密装置还包括报警模块,所述报警模块用于在对与所述安全策略匹配的邮件实施网络阻断之后进行报警。8.如权利要求1所述的防泄密装置,其特征在于,所述防泄密装置还包括获取模块,所述获取模块用于获取所述预先设定的安全策略。9.一种防泄密方法,应用于电子邮件,其特征在于,所述防泄密方法包括: 获取向指定端口发送的邮件; 将所述邮件与预先设定的安全策略进行匹配; 对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器。10.如权利要求9所述的防泄密方法,其特征在于,所述获取向指定端口发送的邮件包括:对所述向指定端口发送的邮件做端口重定向,以获取所述向指定端口发送的邮件。11.如权利要求9所述的防泄密方法,其特征在于,所述防泄密方法还包括:解析所述安全策略和所述邮件。12.如权利要求11所述的防泄密方法,其特征在于,所述解析所述安全策略和所述邮件包括:解析所述安全策略中的第一关键字和所述邮件中的第二关键字。13.如权利要求12所述的防泄密方法,其特征在于,所述将所述邮件与所述安全策略进行匹配包括:将所述邮件中的第二关键字和所述安全策略中的第一关键字进行匹配。14.如权利要求13所述的防泄密方法,其特征在于,所述对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器包括:在所述第二关键字与所述第一关键字匹配时,对所述邮件实施网络阻断,以及在所述第二关键字与所述第一关键字不匹配时,将所述邮件发送至目标服务器。15.如权利要求9所述的防泄密方法,其特征在于,所述防泄密方法还包括:在对与所述安全策略匹配的邮件实施网络阻断之后进行报警。16.如权利要求9所述的防泄密方法,其特征在于,所述防泄密方法还包括:在获取向指定端口发送的邮件之前,获取所述预先设定的安全策略。17.一种用户终端,其特征在于,所述用户终端包括: 存储器; 处理器;以及 防泄密装置,所述防泄密装置安装于所述存储器中并包括一个或多个由所述处理器执行的软件功能模块,所述防泄密装置包括: 截取模块,用于获取向指定端口发送的邮件; 匹配模块,用于将所述邮件与预先设定的安全策略进行匹配; 执行模块,用于对与所述安全策略匹配的邮件实施网络阻断,以及将与所述安全策略不匹配的邮件发送至目标服务器。
【文档编号】H04L12/58GK106027382SQ201610615474
【公开日】2016年10月12日
【申请日】2016年7月29日
【发明人】周小平, 姜涛, 刘兴安
【申请人】北京北信源软件股份有限公司