专利名称:应用程序的控管模块与其方法
技术领域:
本发明为一种关于应用程序的控管模块与其方法,具体来说,是一种关 于限制客户端应用程序操作权限的模块与方法。
背景技术:
因为信息科技的发展,各企业均日渐依赖计算机协助其业务的推展;但 信息科技的普及同时也伴随着风险,来自外部的攻击,例如病毒、后门程序、 系统漏洞攻击等威胁亦随之日增,因此企业的信息防护即成为重要课题。
关于信息安全的威胁除了来自外部的攻击,更可能来自内部的不当使用; 相当多调査发现对于企业信息安全的威胁源其实来自于员工恶意的行为与非 恶意的失误操作,因此企业内部关于应用软件的不当使用与信息存取行为, 实为暗藏信息安全威胁之处,如何解决内部信息安全问题,是企业所必须面 临的重要安全课题。
目前关于企业内部信息安全管理,多以服务器端与客户端构成一管理模 块,由中央服务器端对于客户端上的操作行为加以控管;所以市面上软件多 可以达到异地管理与控制,对多台客户端计算机加以实时监控与根据客户端 授权层级,为相对应限制的功能。但是目前所述的这种控管模块,只能针对 企业内部对于外部信息的存取,例如对浏览外部网页,或自特定网址下载程 序的行为加以限制,而且仅能做到阻绝程序操作或网页的存取,而不能仅是 限制特定功能操作,例如目前监控模块尚不能作到可浏览外部网页但对于特 定网页信息的储存,剪贴网页等操作加以限制的功能。因此如何在使用者在 使用企业内部信息时,例如企业员工使用企业资源规画(ERP : Enterprise Resource Planning)系统时,有效率管理使用者操作行为,防止使用者恶意操 作或不当操作,造成信息安全管理上的漏洞,实为急待解决的问题。
发明内容
本发明揭露一种可限制客户端上应用程序与网页操作与管理与更新相关 权限数据的控制模块与方法,以解决上述问题。
本发明揭露一种关于控制客户端程序与网页操作的模块与方法,本发明
至少包含一输入端(console)、 一服务器端(server)与一客户端(client);其中输 入端的功能为负责接收或传递变更权限指令;服务器端的功能则包含:根据输 入端所传入的指令变更服务器端所储存的权限数据、通知客户端所述的变更 权限事件,与更新储存于客户端的权限数据;客户端则可根据服务器端的通 知信息取得更新的权限数据,并据以限制客户端应用程序的操作权限。通过 上述模块与方法,本发明即可达到限制客户端程序操作的目的。
本发明还揭露一种集中控管复数客户端应用软件操作的模块与方法,以 达到实时与统一控制数客户端的目的。在关于本发明的一具体实施例中,服 务器端与客户端均包含一数据库;上述数据库包含以一组权限数据储存表与 控制指针,通过权限数据储存表上的记录与所述的控制指针间的互动对应关 系,即可在服务器端统一管理与更新复数客户端关于应用程序操作的权限数 据。
图1显示关于本发明的应用程序控管模块。
图2显示关于本发明的控管应用程序的方法流程图。
输入端10
服务器端20
数据接收与传递单元21
处理单元22
数据库单元23
客户端30变更权限101
通知变更权限102 收到权限变更通知201 通知权限变更202 在数据库取得新权限数据203 将新权限数据传回204 收到权限变更通知301 下载新权限设定302 取得新权限设定303 新权限设定生效30具体实施例方式
本发明将配合其较佳实施例与附图详述如下,应理解的是本发明中所有 的较佳实施例仅为示例之用,因此除说明书中所述的较佳实施例与参考图示 外,本发明亦可广泛地应用在其它实施例中。且本发明并不受限于任何实施 例,应以权利要求范围及其同等领域而定。
图1显示关于本发明的一具体实施例,所述的控制模块包含一输入端10、 一服务器端20与一客户端30,其中输入端10功能为接收与传输受控管应用 程序操作权限指令;服务器端20则可储存前述权限数据、在输入端10与客 户端30间传递关于操作权限的数据与更新客户端30上储存的操作权限数据; 客户端30则可根据服务器所传来的变更权限事件信息,更新客户端上储存的 操作权限数据,并据以限制客户端上应用程序的操作权限。以上述架构,控 制模块即可限制客户端的应用程序的操作。关于本发明的控制模块可适用于 家庭、办公室环境等内部网络环境中,但并不限于此;所述的模块尚可以应 用于任何有控制客户端应用程序操作需要的网络环境,例如图书馆、网络咖 啡厅等等空间。
关于上述实施例中控制模块的功能可以更详述如下。上述控制模块中输入端10,功能为接收与输出使用者所输入指令,以通知服务器端20变更数 据库中储存的权限数据;上述的输入指令包含新增、修改、删除关于限制或 开放受控管应用程序特定功能与查询所述的项目状态的变更权限指令。更特 定言之,上述变更权限指令中,关于限制特定应用程序操作功能的项目包括: 禁止打印特定信息、禁用复制特定信息、禁用键盘、禁用另存新文件与禁用 鼠标拖曳特定信息等功能;在另一具体实施例中,尚包括限制网页信息存取 功能,其项目包括:禁止打印、禁用复制特定信息、禁用键盘、禁用另存新文 件与禁用鼠标拖曳数据、禁止以邮件传送网页、禁止检视原始档。
关于本发明的一具体实施例中,上述输入端为一使用者接口,使用者可 通过点选接口上的选项,控管特定应用程序的操作权限。使用者可点选使用 者接口的功能键,例如禁用特定功能选项,即可开启一窗口分区,所述的窗 口内区分数字段包含所述的受控管软件名称、类型与功能选项。使用者可点 选画面上方的修改选项在窗口中输入受控管的程序名称,即可开启权限功能 设定窗口,输入权限功能设定信息。上述权限功能设定窗口包含复数个预先 设计的字段,使用者可根据各字段对应的功能加以勾选,即可开启或关闭特 定功能,完成输入端的输入。
关于本发明的另一具体实施例为关于限制控制网页的操作,在所述的具 体实施例中,操作接口与上述控管特定应用程序的操作接口相似,但使用者 所输入的控制标的为一网址。
在本发明的具体实施例中,服务器端20包含以下功能接收输入端输入 的变更权限指令,储存、更新与传递关于客户端的受控管应用程序权限数据。
服务器20包含一数据接收与传递单元21 、 一处理单元22与一数据库单 元23。数据接收与传递单元21可接收来自输入端10的变更权限信息,之后 将数据传递予处理单元22,处理单元22根据所述的变更权限信息,更改数 据库单元23中的权限数据,并通过数据接收与传递单元21发出变更权限通 知,通知客户端30所述的权限变更事件的发生。服务器端20则在接收到客户端30所传回权限数据下载请求后,即会传送一变更权限数据予客户端30, 以更新客户端30上储存的应用软件权限数据。上述的服务器20亦包含如内 存、操作系统、硬盘、显示单元等的其它构件,然而本领域具有通常知识的 人应得以理解,为避免模糊本发明的焦点,故不赘述。输入端与客户端亦同。
更特定言之,在关于本发明的一具体实施例中,上述数据接收与传递单 元21利用TCP通讯协议,通知客户端30下载权限数据,并以不同代号代表 应用程序权限数据与网址权限数据;而通知客户端权限数据更新的事件使用 UDP协议。在关于本发明的另一具体实施例中,自上述数据接收与传递单元 21所传送的权限数据包含对应于客户端受控管的应用程序或网页的指针数 据,以使客户端得以确定所要更新的权限数据。
上述用于储存权限数据的数据库23包含一组数据表与控制指针,用以纪 录与更新关于客户端上储存的应用程序权限数据。在关于本发明的一具体实 施例中,上述数据表至少包含两数据表:信息安全行为(security—acticm)与信息
安全策略(securityjdicy)执行权限数据操作限制功能,其中信息安全行为 (security—action)为纪录包含但不限于受控管的应用程序、指令、网址或网页 等的行为或模式,信息安全策略(securityjolicy)纪录包含但不限于关于特定 应用程序、指令、网址或网页的权限数据。信息安全行为子数据库中至少包 含以下字段辨识表(id)为一指标字段,用于与其它工作表产生关联、分类表 Ccategory)用于纪录应用程序、指令、网址或网址的类型、标的名称 (target一name)用于纪录受控管应用程序执行文件名或受控管网址、标的类型 (targetjype)用于纪录受控管标的类型。Securityjx)licy表则是纪录受控管应 用程序或网址的权限限制数据。信息安全策略表中量化(value)栏为纪录一指 针数据,所述的指针与软件行为(software— action)中辨识(id)字段中指针数据 具相对应关系,以使两数据表产生关联关系;解除行为(Disabledjction)栏则 是纪录所述的应用程序或网址所要被限制的权限,所述的字段可写入特定数 值,表示所述的行为被管控,不能使用。客户端模块30则至少包含以下功能:自服务器端接受信息、自服务器端 下载权限数据与设定权限数据。在一具体实施例中,客户端包含一权限控制 单元,例如一另外植入的权限控制程序,以实施上述客户端的功能。于另一 具体实施例中,客户端包含一数据库用于储存客户端权限数据。上述数据库 包括一组数据表与控制指针,其中数据表记载客户端受控管的应用程序数据, 且各受控制标的的数据包含一控制指针与服务器端上相同受控制标的的控制 指标具相对应关系,因此客服端方可在下载服务器新权限数据后,找出相对 应的受控制应用程序权限数据并加以更新。
关于本发明的另一具体实施例中,控制模块可为上述实施例之中控制模 块的复数组合,以完成一多层次的控制模块;此多层次的控制模块可根据不 同授权层级,限制各服务器可更动的权限数据,以达到分级管理的目的。在 所述的具体实施例中,包含一中央服务器与复数台周边服务器以及客户端计 算机。中央服务器的数据库储存各周边服务器权限数据,周边服务器除储存 所述的周边服务器权限数据,还储存特定区域内客户端上应用程序的权限数 据。在上述多阶层架构下,由一中央服务器统一管理各周边服务器上权限数 据的状态与更新,周边服务器则根据不同需求,不同授权层级,开放不同的 权限数据变更权限,以管理客户端的应用程序,以此一控管架构即可达成分 级,分区授权的信息安全管理架构,管理客户端计算机上应用程序的操作。 如此除可迅速更新复数台客户端的权限外,并可避免需手动逐区更新服务器 权限数据时,所可能发生的错误。
图2显示关于权限更新流程的具体实施例;使用者可通过输入端在步骤 101输入变更权限并更改服务器端的权限数据,并在后续步骤102发出信息 通知服务器端所述的变更权限信息事件。步骤201表示服务器端20收到上述 变更权限信息,并在下一步骤202中,发出信息通知客户端所述的变更权限 事件的存在。客户端在步骤301中收到服务器端传来的权限设定变更信息后, 即在后续步骤302发送信息要求自服务器端下载新权限设定。在后续步骤203中,数据库根据由步骤302所传来的信息,取出上述更新后的权限数据,并 在步骤204将上述更新后的权限数据传送给客户端。客户端在步骤303中取 得由服务器端所传送来的新权限数据后,在步骤304中更新客户端的权限设 定。
在另一具体实施例中,关于本发明的权限更新流程尚可应用于多部外围 服务器的情形,在此实施例中,其更新流程与图2所显示的流程类似,但各 周边服务器可由一中央服务器管理,在本具体实施例中,服务器端的变更权 限指令由中央服务器端下载,但根据对各服务器或使用者所开放的权限,也 可由各服务器的输入端输入权限数据。是故通过一中央服务器的设置,将复 数个与图2相同的更新流程互相组合,即可达到分层、分区的应用软件操作 权限管理。
本发明以较佳实施例说明如上,然其并非用以限定本发明所主张的专利 权利范围。其专利保护范围当视权利要求范围及其等同领域而定。凡具有本 领域通常知识的人,在不脱离本专利精神或范围内,所作的更动或润饰,均 属于本发明所揭示精神下所完成的等效改变或设计,且应包含在权利要求范 围内。
权利要求
1.一种应用程序控管模块,至少包含一输入端,可输入权限数据;一服务器端,至少包含一数据库与一输出入单元,其中所述的数据库可储存所述的权限数据与指针数据,用以执行信息安全行为及信息安全策略模式,输出入单元可接收与传递所述的权限数据;一客户端,至少包含一权限控管单元,可储存、接收与传递所述的权限数据,并据以限制客户端上的所述的应用软件的操作权限。
2. 根据权利请求1所述的应用程序控管模块,其特征在于,所述的权限 控管单元可限制使用者因一定目的,自所述的客户端上的应用软件输出数据;其中上述的输出至少包含以指针装置拖曳数据,所述的目的至少包含用于复 制、打印、储存。
3. 根据权利请求1所述的应用程序控管模块,其特征在于,所述的权限 控管单元可限制使用者对所述的客户端上的应用软件使用输出入装置输入指 令。
4. 根据权利请求1所述的应用程序控管模块,其特征在于,所述的权限 控管单元可限制使用者检视客户端的网页原始码。
5. 根据权利请求1所述的应用程序控管模块,其特征在于,所述的权限 控管单元可限制使用者使用通讯软件。
6. —种以控管模块限制应用程序操作权限的方法,至少包含 在服务器端接收一变更权限信息;更改服务器端的数据库内权限数据,其中所述的数据库可储存所述的权 限数据与指针数据,用以执行信息安全行为及信息安全策略模式-,客户端于收到所述的服务器端传递的变更权限通知后,下载所述的权限 数据;更新客户端的权限数据。
7. 根据权利请求6所述的以控管模块限制应用程序操作权限的方法,其 特征在于,可限制使用者因一定目的,自所述的客户端输出数据;其中上述 的输出至少包含以指针装置拖曳数据,所述的目的至少包含用于复制、打印、 储存。
8. 根据权利请求6所述的以控管模块限制应用程序操作权限的方法,其特征在于,可限制使用者使用输出入装置输入指令。
9. 根据权利请求6所述的以控管模块限制应用程序操作权限的方法,其 特征在于,可限制使用者检视网页原始码。
10. 根据权利请求6所述的以控管模块限制应用程序操作权限的方法,其 特征在于,可限制使用者使用通讯软件。
全文摘要
本发明揭露一种应用程序的控管模块与其方法,本发明通过输入端更改储存于服务器端关于客户端应用程序与网页操作的权限数据,并依所述的权限数据,进行服务器端与客户端间权限数据交换与更新,以此达到管理客户端上应用程序操作权限的功能。
文档编号G06F21/00GK101320415SQ20071010857
公开日2008年12月10日 申请日期2007年6月6日 优先权日2007年6月6日
发明者黄文昌 申请人:精品科技股份有限公司