专利名称:机密信息泄露防止系统、机密信息泄露防止方法及机密信息泄露防止程序的制作方法
技术领域:
本发明涉及一种用于防止机密信息泄露的技术,以及更具体地,涉及一种用于使用多级别安全机制防止机密信息泄露的技术。
背景技术:
关于防止机密信息泄露,已经提出了多种技术。例如,专利文档1(专利公开 JP-A-2004-220120)描述了认证机构通过将数据库中收集的用户信息和与用户访问的信息资源相对应的信息相比较来认证用户。
专利文档2(专利公开JP-A-2005-275669)描述了一种数据监视方法,其中,当发起数据发送命令时,如果将发起数据发送命令的应用程序作为要监视的应用程序进行了登记,则限制数据发送命令。专利文档3 (专利公开JP-A-2009-169895)描述了一种客户端终端,在检测到向网络发送了机密文件时,所述客户端终端在向网络发送分组之前向所述分组添加附加信息, 其中所述附加信息表示包括机密信息。专利文档4(专利公开JP-A-2008-033584)描述了一种配置,其中,安装在客户端设备中的VM(安全虚拟机)将自己插入诸如WWW浏览器之类的程序与操作系统(OS)之间, 以及在将与程序所发起的文件访问相关的系统调用的内容修改为安全内容之后,向操作系统传送这些内容。[专利文档I]专利公开 JP-A-2004-220120[专利文档2]专利公开 JP-A-2005-275669[专利文档3]专利公开 JP-A-2009-169895[专利文档4]专利公开 JP-A-2008-033584这里,多级别安全系统(MLS)是已知的,其将载明安全级别的标签分配给数据、应用程序、用户和设备,并基于所分配标签控制对访问目标的访问。这种多级别安全系统预先向应用程序分配例如表示“公共”、“机密”等的标签,以及当应用程序对访问目标进行访问时,基于所分配标签控制访问。然而,如果应用程序对网络中的访问目标进行访问(在下文中,称作“网络访问”),则有必要在应用程序访问所述访问目标之前进行检查并控制应用程序,但是这伴随着以下问题。例如,关于由应用程序实施的网络访问,可以考虑在紧邻从终端设备向网络发送访问之前的定时处对访问进行检查和控制的方法。可以例如通过使用防火墙等执行检查。 然而,存在一些应用程序,例如通过使用由操作系统提供的网络服务功能等来执行网络访问。在这种情况下,通过操作系统执行网络访问,而不是通过应用程序。因此,防火墙检测由操作系统实施的网络访问而非由应用程序实施的网络访问,所以防火墙不能够确定网络访问源于哪个应用程序,因而难以根据应用程序的标签执行访问控制。
同时,关于使用网络服务功能的应用程序的网络访问,可以考虑在应用程序调用网络服务功能的定时处检查和控制网络服务功能的方法。可以通过使用专利文档4中描述的系统调用的钩子(hook)执行检查。然而,对于该方法,由于监视目标限于设置了钩子的特定应用程序,因而存在如下问题在监视过程中可能遗漏应用程序。因此,尽管有必要没有任何遗漏地控制由应用程序实施的网络访问,但是不管由应用程序实施的网络访问的方法是什么,前述专利文档I至4均并没有提供有效方案,用于解决前述问题。
发明内容
因此,本发明的目标在于,提供一种系统,能够根据应用程序的安全级别没有任何遗漏地控制由该应用程序实施的网络访问,而不管由应用程序实施的网络访问的方法是什么。本发明是一种机密信息泄露防止系统,基于向应用程序分配的安全级别来控制经由网络访问服务提供单元从应用程序发送的网络访问请求和从应用程序直接发送的网络访问请求,所述机密信息泄露防止系统包括第一监视单元,用于监视应用程序是否已经调用了网络访问服务提供单元,第二监视单元,用于监视是否向网络发送了网络访问请求,第一访问控制单元,用于当第一监视单元检测到已经调用了网络访问服务提供单元时,基于向已经调用了服务提供单元的应用程序分配的安全级别来控制所检测到的调用的网络访问请求,以及第二访问控制单元,用于当第二监视单元检测到已经发送了网络访问请求时, 确定第一访问控制单元是否已经对所检测到的网络访问请求执行了访问控制,以及如果确定结果是否定的,则基于向已经发送了网络访问请求的应用程序分配的安全级别来控制网络访问请求。此外,本发明是一种机密信息泄露防止系统中的机密信息泄露方法,所述机密信息泄露防止系统基于向应用程序分配的安全级别来控制经由网络访问服务提供程序从应用程序发送的网络访问请求和从应用程序直接发送的网络访问请求,所述方法包括第一监视步骤,监视应用程序是否已经调用了网络访问服务提供程序,第二监视步骤,监视是否向网络发送了网络访问请求,第一访问控制步骤,当在第一监视步骤中检测到已经调用了网络访问服务提供程序时,基于向已经调用了服务提供程序的应用程序分配的安全级别来控制所检测到的调用的网络访问请求,以及第二访问控制步骤,当在第二监视步骤中检测到已经发送了网络访问请求时,确定是否已经对所检测到的网络访问请求执行了访问控制,以及如果确定结果是否定的,则基于向已经发送了网络访问请求的应用程序分配的安全级别来控制网络访问请求。此外,本发明是一种程序,使得计算机执行以下步骤,其中所述计算机基于向应用程序分配的安全级别来相应地控制经由网络访问服务提供程序从应用程序发送的网络访问请求和从应用程序直接发送的网络访问请求第一监视步骤,监视第一应用程序是否已经调用了网络访问服务提供程序,第二监视步骤,监视是否向网络发送了网络访问请求,第一访问控制步骤,当在第一监视步骤中检测到已经调用了服务提供程序时,基于向已经调用了服务提供程序的第一应用程序分配的安全级别来控制所检测到的调用的网络访问请求,以及第二访问控制步骤,当在第二监视步骤中检测到已经发送了网络访问请求时,确定是否已经对所检测到的网络访问请求执行了访问控制,以及如果确定结果是否定的,则基于向已经发送了网络访问请求的第二应用程序分配的安全级别来控制网络访问请求。本发明程序的独特性在于,程序使计算机执行本发明的机密信息泄露防止方法的相应处理。可以通过诸如CD-ROM或其它光盘、磁盘或半导体存储器之类的各种记录介质将本发明的程序安装或加载到计算机中,或者经由通信网络等将本发明的程序下载到计算机中。应注意,本说明书中所使用的术语“单元”等并非只涉及物理单元,还包括如下情形由软件实现这种单元的功能。此外,可以通过两个或更多个物理单元实现一个单元的功能,以及可以通过一个物理单元实现两个或更多个单元的功能。因此,本发明的目标在于,提供一种系统,能够根据应用程序的安全级别没有任何遗漏地控制由应用程序实施的网络访问,而不论由应用程序实施的网络访问的方法是什么。
图I是示出了机密信息泄露防止系统的示意性配置的图。图2是示出了客户端和服务器的硬件的略图的图。图3是示出了由标签分配单元产生的标签分配列表的示例的图。 图4是示出了服务器信息存储单元的数据结构的示例的图。图5是示出了访问控制规则存储单元的数据结构的示例的图。图6是示出了机密信息泄露防止处理的流程的示例的流程图。
具体实施例方式现在参考
本发明的实施例。应注意,给予相同元件相同参考数字,并省略相同元件的冗余说明。此外,尽管在本实施例中,根据本发明的机密信息泄露防止系统应用于如下配置客户端中的应用程序经由网络访问服务器文件夹,但是本发明不限于此,并且本发明还可以适当地应用于访问主体针对网络上的访问目标所要执行的处理。[系统配置]图I是示出了客户端/服务器系统的示意性配置的框图,其中所述客户端/服务器系统应用于根据本实施例的机密信息泄露防止系统。该系统包括客户端100和服务器 200,以及客户端100和服务器200经由网络N互连。可以将通用计算机用作客户端100,如图2所示,通用计算机包括如下硬件作为用于控制客户端100的处理和操作的控制单元的CPU301、诸如ROM 302或RAM 303之类的存储器、用于存储各种信息的外部存储装置(HDD) 304、通信接口 305、输入接口 306、诸如显示器之类的输出接口 307、和用于连接前述部件的总线。ROM 302、RAM303和/或外部存储装置304有时也简称为存储装置。因为CPU 301执行在存储器或外部存储装置304中存储的预定程序,所以客户端100可以用作稍后描述的各种功能实现单元,比如服务提供单元 102、标签分配单元103、第一网络访问控制单元106和第二网络访问控制单元107。应注意, 尽管图I示出了一个客户端100,但是多个客户端100可以与服务器200相连,并可以根据设计适当地设置客户端100的数目。客户端100包括应用程序101、服务提供单元102、标签分配单元103、服务器信息存储单元104、访问控制规则存储单元105、第一网络访问控制单元106、第二网络访问控制单元107和通信单元108。应用(应用程序)101是存储在外部存储装置304等中的程序,并通过CPU301执行程序来向用户提供预定功能。对于应用程序101,不存在特殊限制,而是例如可以应用具有文件编制功能或信息读取功能的现有软件,在该实施例中,如下所述,根据网络访问方法和标签内容区分应用程序101。将应用程序101区分为用于经由服务提供单元102向网络发送访问请求的应用程序(第一应用程序)和用于向网络直接发送访问请求的应用程序(第二应用程序)。前者因为使用服务提供单元102而被称作服务使用应用程序,而后者因为没有使用服务提供单元102而被称作服务未使用应用程序。具体地,当服务使用应用程序基于系统调用等调用服务提供单元102时,服务提供单元102产生通信套接字,并执行网络访问。同时,服务未使用应用程序直接产生通信套接字,并独立地执行网络访问。此外,根据所分配标签的内容,将应用程序101区分为分配了公共标签的应用程序(公共应用程序)和分配了机密标签的应用程序(机密应用程序)。此外,将应用程序101区分为使用服务提供单元102执行网络访问且由标签分配单元103分配公共标签的应用程序(服务使用公共应用程序)、使用服务提供单元102执行网络访问且由标签分配单元103分配机密标签的应用程序(服务使用机密应用程序)、在 不使用服务提供单元102的情况下执行网络访问且由标签分配单元103分配公共标签的应用程序(服务未使用公共应用程序)、在不使用服务提供单元102的情况下执行网络访问且由标签分配单元103分配机密标签的应用程序(服务未使用机密应用程序)。图I所不的应用程序AlOla与服务使用公共应用程序相对应,应用程序BlOlb与服务使用机密应用程序相对应,应用程序ClOlc与服务未使用公共应用程序相对应,应用程序DlOld与服务未使用机密应用程序相对应。服务提供单元102是配置为能够向应用程序101提供与网络访问相关的网络服务的程序(在下文中,称作“网络访问服务提供程序”或“服务提供程序”),并且是独立于应用程序101的程序。当应用程序101使用系统调用等调用服务提供单元102时,服务提供单元102经由通信单元108访问网络,并向应用程序101提供访问结果。对于服务提供单元102而言,不存在特殊限制,例如用于提供web读取服务或网络文件共享服务功能的现有程序就与其相当,且这里说明了由操作系统提供的情况。当服务提供单元102从应用程序101接收到用于访问例如服务器200中的文件夹203的访问请求时,服务提供单元102访问服务器应用程序202,从服务器应用程序202获取文件夹203中的数据,且向应用程序101提供所获取数据。标签分配单元103被配置为能够向应用程序分配示出安全级别的信息(在下文中,称作“标签”)。此外,标签分配单元103被配置为能够在预定存储区域中存储列表,其中所述列表将应用程序与向该应用程序分配的标签相关联。对于标签,例如,可以分配两种标签,低安全的“公共”和高安全的“机密”,但是标签的内容不限于此,且可以根据设计进行适当设置。例如,也可以分配比如“机密”、“顶级秘密”、“秘密”、或“未分类”等标签。图3 示出了标签分配列表的示例,示出了用于唯一标识应用程序的进程号(ID)、应用程序名称与向应用程序分配的标签的对应性。
此外,当标签分配单元103从第一访问控制单元106b或第二访问控制单元107b 接收到与向预定应用程序分配的标签相关的查询时,标签分配单元103被配置为能够从标签分配列表读取向该应用程序分配的标签,且告知该标签。此外,在阻止客户端100中的信息从机密应用程序(101b,IOlc)分发至公共应用程序(101a,IOld)时,也可以使用由标签分配单元103分配的标签。服务器信息存储单元104是存储装置,其将访问目标与关于向该访问目标分配的标签的信息相关联,并进行存储,以及服务器信息存储单元104包括作为数据库的功能。服务器信息存储单元104也称作访问目标存储单元。例如,可以将存储数据的文件夹设置为访问目标,但是不限于此,也可以根据设计适当地将访问目的地的设备或email地址设置为访问目标。此外,对于向访问目标分配的标签而言,可以分配两种类型,“公共”和“机密”, 但是不限于此,可以根据设计适当地设置其它标签。图4示出了服务器信息存储单元104 的数据结构的示例。如图所示,向作为访问目标的示例的文件夹A分配“公共”,以及向文件夹B分配“机密”。访问控制规则存储单元105是存储装置,存储用于限制由应用程序实施的网络访问的信息(访问控制规则)。尽管对于访问控制规则存储单元105不存在特殊限制,但是例如,对于每个应用程序,相应访问目标与针对这些访问目标的访问控制的内容是相关联的, 并进行了存储。对于控制的内容,例如“许可”或“禁止”访问与其相对应,但是可以根据访问的类型或本质适当地设置和改变内容。图5示出了访问控制规则存储单元的数据结构的示例。如图所示,对于机密应用程序,分别将“许可访问”与机密文件夹相关联,以及将“仅许可读”与公共文件夹相关联,并进行了设置。同时,对于公共应用程序,分别将“禁止访问” 与机密文件夹相关联,以及将“许可访问”与公共文件夹相关联,并进行了设置。 第一网络访问控制单元106包括第一监视单元(服务提供单元监视单元)106a, 被配置为能够监视服务使用应用程序(101a,IOlb)与服务提供单元102之间的通信;和第一访问控制单元106b,被配置为能够控制由服务使用应用程序(101a,IOlb)经由服务提供单元102实施的网络访问。第一监视单元106a用于监视服务使用应用程序(101a,IOlb)对服务提供单元102 的调用,以及例如可以通过使用诸如API (应用程序接口)或系统调用的钩子之类的常规技术实现。此外,当第一监视单元106a钩住(hook)服务使用应用程序(101a, IOlb)对服务提供单元102的调用时,第一访问控制单元106b从钩住的调用中提取尝试执行网络访问的应用程序101的进程号或访问目标。此外,第一访问控制单元106b基于进程号从标签分配单元103获取服务使用应用程序(101a,101b)的标签,并从服务器信息存储单元104获取作为访问目标的文件夹203的标签。此外,第一访问控制单元106b基于所获得的服务使用应用程序(101a,101b)的标签和文件夹203的标签,从访问控制规则存储单元105查阅访问控制规则,从而控制服务使用应用程序(101a,IOlb)的网络访问。此外,当第一访问控制单元106b从第二访问控制单元107a接收到关于是否已经执行了访问控制的查询时,第一访问控制单元IOb被配置为确定是否已经根据预定处理执行了访问控制,并向第二访问控制单元107b发送确定结果。例如,第一访问控制单元106b 确定在查询中包括的应用程序的进程号和端口号是否与要被监视的服务提供单元102的进程号和端口号一致,以及当进程号和端口号一致时回复已经执行了访问控制,当进程号和端口号不一致时回复还没有执行访问控制。第二网络访问控制单元107包括第二监视单元(网络访问监视单元)107a,被配置为能够监视经由通信单元108执行的所有网络通信,和第二访问控制单元107b,被配置为能够确定在钩住网络访问时是否已经由第二访问控制单元107b执行了针对该应用程序的访问控制,并根据确定结果控制网络访问。第二监视单元107a用于监视由应用程序101实施的所有网络访问,并且例如可以通过应用诸如TDI (传输驱动器接口)驱动器或NDIS(网络驱动器接口规范)驱动器之类的常规技术来实现。此外,当第二监视单元107a钩住由应用程序101实施的网络访问时,第二访问控制单元107b确定是否第一访问控制单元106b已经执行了针对该应用程序的访问控制。可以通过例如以下方式确定是否已经执行了访问控制第二访问控制单元107b从所钩住的访问提取尝试执行网络访问的应用程序(101c,IOld)、或者服务提供单元102的进程号、或者在网络访问中使用的端口号,向第一访问控制单元106b查询在先进程号和端口号(查询是否已经执行了访问控制),从而基于从第一访问控制单元106b接收的查询结果进行确定。应注意,对是否已经执行了访问控制的确定不限于以下方法查询第一访问控制单元106b。例如,还可以通过以下方式确定是否第一访问控制单元106b已经执行了访问控制第一访问控制单元106b或第二访问控制单元107b预先定义用于执行访问控制的应用 程序((101a,101b)或(101c,101d))的应用程序信息(例如,进程号或端口号),并在预定存储区域中存储这些定义信息作为参考信息,以及当第二监视单元107a钩住网络访问时, 第二访问控制单元107b查阅在预定存储区域中存储的参考信息。此外,参考信息不限于与用于执行访问控制的应用程序相关的信息。例如,与不需要受第二访问控制单元107b控制的程序相关的信息(即,服务提供单元102的信息(例如,进程号或端口号))也可以在预定存储区域中存储作为参考信息。第二访问控制单元107b可以通过查阅前述参考信息确定是否第一访问控制单元106b已经执行了访问控制。此外,当确定结果是否定时(当没有执行访问控制时),第二访问控制单元107b 对网络访问执行访问控制。应注意,前述情况下的网络访问是基于服务未使用应用程序的 (101c,IOld)。具体地,第二访问控制单元107b从由第二监视单元107钩住的网络访问中提取应用程序(101c,IOld)的进程号和访问目标,并基于进程号从标签分配单元103获取应用程序(101c,IOld)的标签。此外,第二访问控制单元107b从服务器信息存储单元104 获取作为访问目标的文件夹203的标签。此外,第二访问控制单元107b基于所获得的应用程序(101c,IOld)的标签和文件夹203的标签从访问控制规则存储单元105查阅访问控制规则,从而对应用程序(101c,IOld)执行访问控制。应注意,当确定结果是肯定时(当已经执行了访问控制时),第二访问控制单元107b许可由应用程序101 (101a,IOlb)实施的访问遵循现状。通信单元108被配置为经由网络N与服务器200和未示出的其它设备通信,并输入/输出信息。例如,通信单元108包括现有通信模块,比如网络接口卡(NIC)或TCP/IP 驱动器。
服务器200包括通信单元201、服务器应用程序202和文件夹203。对于服务器 200,可以应用通用服务器或计算机,所述通用服务器或计算机包括如下硬件用于控制服务器200的处理和操作的CPU、诸如ROM或RAM之类的存储器、用于存储各种信息的外部存储装置、通信接口、I/O接口和用于连接前述部件的总线。应注意,服务器/计算机的硬件配置与参考图2进行说明的硬件配置相同,省略其说明。通信单元201被配置为经由网络N与客户端100和未示出的其它设备通信,并输入/输出信息。例如,通信单元201包括现有通信模块,比如网络接口卡(NIC)或TCP/IP 驱动器。服务器应用程序202是用于提供网络服务的程序,存储在外部存储装置或类似装置中,并由CPU执行。尽管不存在特殊限制,但是例如利用FTP或CIFS加载的现有程序与其对应。文件夹203用于存储要成为访问目标的数据,文件夹203也称作目录。通过分配的标签区分文件夹203,在本实施例中,作为示例,将文件夹203分为分配了公共标签的文件夹(公共文件夹)和分配了机密标签的文件夹(机密文件夹)。应注意,标签的内容不限于此,并且可以根据设计适当地设计标签的内容。在服务器信息存储单元104中存储文件夹203与标签的对应关系(图4)。此后,网络N是用于发送和接收客户端100与服务器200之间的信息的线路。网络 N是例如因特网、专用线路、分组通信网络、电话线路、LAN、内联网、或其它通信线路、或前述线路的组合,并且网络N可以是有线的或无线的。 [机密信息泄露阻止处理的流程]现在参考图5说明根据本实施例的机密信息泄露阻止处理。应注意,可以在不会造成处理内容上任何矛盾的程度上任意改变图中所示相应处理步骤的顺序,或者可以并行地执行相应处理步骤。此外,可以在相应处理步骤之间添加其它步骤。此外,为了便利而指示为一个步骤的步骤可以被分离为多个步骤来执行。同时,为了便利而指示为多个步骤的步骤可以理解为一个步骤。第二监视单元107a在预定时刻(比如,在开启电源时)启动监视所有网络通信 (SlOl)。此外,第一监视单元106a开始监视服务使用应用程序(IOla或IOlb)与服务提供单元102之间的通信(S102)。例如,由控制单元(CPU)执行的应用程序101根据用户所操作的指令启动对指定网络上的访问目标的访问(步骤S103)。这里,假设已经将服务器200的文件夹203(203a 或203b)指定为访问目标。现在说明应用程序101是服务使用应用程序(IOla或IOlb)的情况下的处理,以及随后说明应用程序101是服务未使用应用程序(IOlc或IOld)的情况下的处理。服务使用应用程序(IOla或IOlb)通过系统调用来调用服务提供单元102 (S104)。当服务使用应用程序(IOla或IOlb)调用服务提供单元102时,第一监视单元 106a钩住调用(S105 ;是)。第一访问控制单元106b基于第一监视单元106a所钩住的调用中包括的信息(例如,进程号或文件夹信息)来识别服务使用应用程序(101a,101b),然后启动访问控制。第一访问控制单元106b基于进程号从标签分配单元103获取向服务使用应用程序(IOla或IOlb)分配的标签,且基于文件夹信息从服务器信息存储单元104获取向访问目的地的文件夹203 (203a或203b)分配的标签(S106b)。第一访问控制单元106b基于向服务使用应用程序(IOla或IOlb)分配的标签和向访问目的地文件夹203 (203a或203b)分配的标签来查阅在访问控制规则存储单元105 中存储的访问控制规则,并控制服务使用应用程序(IOla或IOlb)对文件夹203 (203a或 203b)的访问,其中从标签分配单元103获得向服务使用应用程序(IOla或IOlb)分配的标签,以及从服务器信息存储单元104获得向访问目的地文件夹203 (203a或203b)分配的标签。例如,在从应用程序A至文件夹B的访问请求的情况下,因为这是从公共应用程序至机密文件夹的访问请求,所以基于访问控制规则禁止访问。同时,在从应用程序B至文件夹B的访问请求的情况下,因为这是从机密应用程序至机密文件夹的访问请求,所以基于访问控制规则许可访问。服务提供单元102根据第一访问控制单元106实施的访问控制执行对文件夹203 的网络访问(S108)。例如,服务提供单元102产生通信套接字等(包括服务提供单元102 的端口号或进程号)和访问目的地的文件夹信息,并向通信单元108发送所产生的通信套接字等。应注意,在禁止访问时,服务提供单元102结束处理,而不执行网络访问。
同时,返回S103,现在说明应用程序101是服务未使用应用程序(IOlc或IOld)的情形。服务未使用应用程序(IOlC或IOld)直接产生通信套接字等(包括服务未使用应用程序(IOlc或IOld)的端口号或进程号)和访问目的地的文件夹信息,并通过向通信单元 108发送所产生的通信套接字等来执行网络访问(S109)。随后,第二监视单元107a钩住由服务提供单元102或服务未使用应用程序(IOlc 或IOld)实施的网络访问(SI 10 ;是)。第二访问控制单元107b确定是否第二监视单元107a所钩住的访问已经受到了第一访问控制单元106b所实施的访问控制(Slll)。例如,第二访问控制单元107b向第一访问控制单元106b发送查询,该查询包括在通信套接字中包括的端口号或进程号。在接收到查询结果时,第二访问控制单元107b基于查询结果确定是否已经执行了访问控制。应注意,如果在预定存储区域中存储了参考信息,则第二访问控制单元107b基于通信套接字中包括的端口号和进程号查阅参考信息,并基于查阅结果确定是否执行了访问控制。当第二访问控制单元107b确定被第二监视单元107a钩住的访问已经受到了由第一访问控制单元106b实施的访问控制时(S112 ;是),第二访问控制单元107b通过执行所钩住的网络事件等来许可通信(S113)。应注意,在先前情况下,由服务提供单元102钩住访问。同时,当第二访问控制单元107b确定被第二监视单元107a钩住的访问还没有受到由第一访问控制单元106b实施的访问控制时(S112 ;否),第二访问控制单元107b执行对应用程序的访问控制。应注意,在前述情况下,应用程序101是服务未使用应用程序 (IOlc 或 IOld)。第二访问控制单元107b基于从所钩住的访问获得的进程号从标签分配单元103 获取向服务未使用应用程序(IOlc或IOld)分配的标签,并基于从所钩住的访问获得的文件夹信息从服务器信息存储单元104获取向访问目的地文件夹203 (203a或203b)分配的标签(SI 14)。第二访问控制单元107b基于向服务未使用应用程序(IOlc或IOld)分配的标签和向访问目的地文件夹203 (203a或203b)分配的标签来查阅在访问控制规则存储单元105 中存储的访问控制规则,并控制服务未使用应用程序(IOlc或IOld)对文件夹203 (203a或 203b)的访问(S115),其中从标签分配单元103获得所述向服务未使用应用程序(IOlc或 IOld)分配的标签,以及从服务器信息存储单元104获得向访问目的地文件夹203 (203a或 203b)分配的标签。例如,在从应用程序C至文件夹A的访问请求的情况下,因为这是从机密应用程序至公共文件夹的访问请求,所以基于访问控制规则,仅许可读。同时,在从应用程序D至文件夹B的访问请求的情况下,因为这是从公共应用程序至公共文件夹的访问请求,所以基于访问控制规则,许可访问。因此,应用程序101或服务提供单元102根据第一访问控制单元106或第二访问控制单元107b所实施的访问控制与服务器200的服务器应用程序202相通信,并从服务器应用程序202获取访问目标的文件夹203的数据(SI 16)。根据以上描述的这个实施例,由服务使用应用程序(101a,IOlb)经由服务使用单元实施的网络访问受第一网络访问控制单元106的控制,以及由服务未使用应用程序 (IOlc或IOld)实施的网络访问受第二网络访问控制单元107的控制。因此,不管网络 访问的方法是什么,能够根据向应用程序分配的标签来没有任何遗漏地控制源于该应用程序的网络访问。此外,因为利用私有软件加载现有系统中的大多数客户端,所以不期望修改操作系统或应用程序。然而,根据本实施例,能够实现机密信息泄露防止,而不用必须修改现有操作系统或应用程序。此外,根据本实施例,例如与基于诸如机器虚拟化(VA)等方法实现多级安全的情况相比,能够减少资源消耗,并且本发明还可以应用于低规格设备。[其它实施例]应注意,本发明不限于前述实施例,并且可以在不背离本发明主旨的程度上以多种形式实现本发明。因此,前述实施例在所有方面均仅是说明,而不应该以限制方式进行解释。例如,可以在不造成处理内容方面的任何矛盾的程度上任意改变以上描述的相应处理步骤的次序,或者可以并行地执行相应处理步骤。例如,尽管前述实施例说明了如下情况客户端100包括一个服务提供单元102, 但是根据设计,客户端100可以包括任意数目的服务提供单元102。当客户端100包括多个服务提供单元102时,第一监视单元106a被配置为分别监视应用程序101与相应服务提供单元102之间的通信,以及第二访问控制单元106b被配置为根据监视结果执行访问控制。此外,例如,尽管前述实施例说明了如下情况控制由应用程序对文件夹实施的读和写,但是可以任意设置访问主体、访问内容和访问目标。例如,当应用程序是经由网络发送和接收email时,可以根据向应用程序分配的标签或email地址控制对email的发送和接收。本申请涉及并要求享有2010年I月13日提交的No. 2010-5187的日本专利申请的优先权,在此并入其全部公开以供参考。
以上参考实施例说明了本发明,但是本发明不限于前述实施例。本领域技术人员可以在本发明的范围内对本发明的配置和细节进行多种修改。根据本发明的机密信息泄露防止系统、机密信息泄露防止方法和机密信息泄露防止程序适于根据应用程序的安全级别来没有任何遗漏地控制由应用程序实施的网络访问, 而不论由应用程序实施的网络访问的方法是什么。100…客户端,101…应用程序,IOla…应用程序A(服务使用公共应用程序), IOlb…应用程序B (服务使用机密应用程序),IOlc…应用程序C (服务未使用机密应用程序),IOld…应用程序D(服务未使用公共应用程序),102…服务提供单元,103…标签分配单元,104…服务器信息存储单元,105…访问控制规则存储单元,106…第一网络访问控制单元,106a…第一监视单元,106b···第一访问控制单元,107…第二网络访问控制单元, 107a…第二监视单元,107b…第二访问控制单元,108…通信单元,200…服务器,201…通信单元,202…服务器应用程序,203…文件夹,203a…文件夹A (公共),203b…文·件夹B (机密)
权利要求
1.一种机密信息泄露防止系统,基于向应用程序分配的安全级别来控制经由网络访问服务提供単元从应用程序发送的网络访问请求和从应用程序直接发送的网络访问请求,包括 第一监视单元,用于监视应用程序是否已经调用了网络访问服务提供単元; 第二监视单元,用于监视是否向网络发送了网络访问请求; 第一访问控制単元,用于当第一监视单元检测到已经调用了网络访问服务提供単元时,基于向已经调用了服务提供単元的应用程序分配的安全级别来控制所检测到的调用的网络访问请求;以及 第二访问控制単元,用于当第二监视单元检测到已经发送了网络访问请求时,确定第一访问控制单元是否已经对所检测到的网络访问请求执行了访问控制,以及如果确定结果是否定的,则基于向已经发送网络访问请求的应用程序分配的安全级别来控制网络访问请求。
2.根据权利要求I所述的机密信息泄露防止系统,其中, 当第二监视单元检测到已经发送了网络访问请求时,第二访问控制単元向第一访问控制単元查询第一访问控制单元是否已经对所检测到的网络访问请求执行了访问控制。
3.根据权利要求I所述的机密信息泄露防止系统,还包括 存储单元,用于存储參考信息,所述參考信息定义了 与受第一访问控制単元或第二访问控制单元控制的应用程序相关的应用程序信息;或者与不受第二访问控制单元控制的网络访问服务提供単元相关的信息, 其中,当第二监视单元检测到已经发送了网络访问请求时,第二访问控制単元通过查阅在存储单元中存储的參考信息来确定第一访问控制单元是否已经对所检测到的网络访问请求执行了访问控制。
4.一种机密信息泄露防止系统中的机密信息泄露方法,所述机密信息泄露防止系统基于向应用程序分配的安全级别来控制经由网络访问服务提供単元从应用程序发送的网络访问请求和从应用程序直接发送的网络访问请求,所述方法包括 第一监视步骤,监视应用程序是否已经调用了网络访问服务提供程序; 第二监视步骤,监视是否向网络发送了网络访问请求; 第一访问控制步骤,当在第一监视步骤中检测到已经调用了网络访问服务提供程序时,基于向已经调用了服务提供程序的应用程序分配的安全级别来控制所检测到的调用的网络访问请求;以及 第二访问控制步骤,当在第二监视步骤中检测到已经发送了网络访问请求吋,确定是否已经对所检测到的网络访问请求执行了访问控制,以及如果确定结果是否定的,则基于向已经发送了网络访问请求的应用程序分配的安全级别来控制网络访问请求。
5.根据权利要求4所述的机密信息泄露防止方法,还包括 存储装置,用于存储參考信息,所述參考信息定义了 与在第一访问控制步骤或第二访问控制步骤中受到控制的应用程序相关的应用程序信息;或者与不在第二访问控制步骤中受到控制的网络访问服务提供程序相关的信息, 其中,当在第二监视步骤中检测到已经发送了网络访问请求时,在第二访问控制步骤中,通过查阅存储装置中的參考信息来确定是否已经对所检测到的网络访问请求执行了访问控制。
6.一种程序,使得计算机执行以下步骤,其中所述计算机基于向应用程序分配的安全级别来相应地控制经由网络访问服务提供程序从应用程序发送的网络访问请求和从应用程序直接发送的网络访问请求 第一监视步骤,监视第一应用程序是否已经调用了网络访问服务提供程序; 第二监视步骤,监视是否向网络发送了网络访问请求; 第一访问控制步骤,当在第一监视步骤中检测到已经调用了服务提供程序时,基于向已经调用了服务提供程序的第一应用程序分配的安全级别来控制所检测到的调用的网络访问请求;以及 第二访问控制步骤,当在第二监视步骤中检测到已经发送了网络访问请求时,确定是否已经对所检测到的网络访问请求执行了访问控制,以及如果确定结果是否定的,则基于向已经发送了网络访问请求的第二应用程序分配的安全级别来控制网络访问请求。
全文摘要
所公开的机密信息泄露防止系统具有第一监视单元(106a),用于监视应用程序是否已经调用了服务提供单元(102),第二监视单元(107a),用于监视是否向网络发送了网络访问请求,第一访问控制单元(106b),用于基于向已经调用了服务提供单元的应用程序分配的安全级别来控制与由第一监视单元(106a)检测到的调用有关的网络访问请求,以及第二访问控制单元(107b),用于确定第一访问控制单元(106b)是否已经对第二监视单元(107a)检测为已经发送的网络访问请求执行了访问控制,以及如果已经执行了访问控制,则基于向已经发送该网络访问请求的应用程序分配的安全级别来控制网络访问请求。
文档编号G06F21/55GK102713925SQ20108006128
公开日2012年10月3日 申请日期2010年12月6日 优先权日2010年1月13日
发明者佐佐木贵之 申请人:日本电气株式会社