一种面向云桌面应用环境的数据防泄漏方法及系统与流程

本发明涉及数据安全领域，具体涉及一种面向云桌面应用环境的数据防泄漏方法及系统。

背景技术：

近年来，随着计算机软硬件能力的飞跃发展，云计算与大数据技术获得极其广泛的应用，使人类的日常生活产生了巨大变化。云桌面作为云计算的重要组成部分，在众多行业中获得实践应用，其较低成本投入与使用便捷的特点大大降低了企业在计算机基础设施方面的运营成本，同时也提供给员工使用时极大的便利，间接提高了工作效率。作为一种可有效降低数据泄露几率的计算机软件系统，数据防泄漏系统在云桌面环境的有效应用是目前DLP领域面临的重要挑战之一。其中，对文件外发操作的有效管控是数据防泄漏系统的核心目标。对此，北京明朝万达科技股份有限公司提出一种优化传统数据防泄漏系统工作模式，有效适配云桌面环境、实现用户无感知的文件外发管控方法。

目前，数据防泄漏系统普遍采用C/S部署模式，以终端为主、服务器端为辅的方式实现对部署环境的数据管控。服务器端仅具备终端管理、用户管理、策略管理与系统管理等普通管理功能。部署在主机上的数据防泄漏终端是系统核心，包括外设管控、文件外发管控、网络流量管控、数据操作管控、进程管控等众多数据管控措施。现有数据防泄漏系统的运行模式如图1所示。

分析传统数据防泄漏系统，可以发现：

基于主机的数据防泄漏终端技术较为成熟，受益于部署位置(主机)，可获得大量运行信息与数据，为有效实现数据防泄漏提供重要基础。但受限于主机单机运行模式，存储数据的重复性较高，占用了大量存储空间，同时也导致大量雷同的数据扫描、分析与检测工作，造成严重的运行资源(存储与计算)浪费，对数据防泄漏系统甚至计算机基础设施的运行效率造成一定影响。

另外，在云桌面环境中部署传统数据防泄漏终端，目前的主要问题是云计算资源未能得到有效利用，没有针对云计算模式的特性进行优化，最终导致传统数据防泄漏系统的短处被明显放大，造成扬(数据防泄漏终端)短避(云桌面)长的现象，降低了应用云桌面带来的优势，影响了数据防泄漏功能在云桌面环境的推广应用。

最后，考虑云桌面应用的一大优势：便携性(登录场景不受限)，用户可能在企业内部场所登录，也可能在出差时在外部场所登录。不同场景下，对文件外发的管控需求不同，传统数据防泄漏系统未涉及有效区别用户场景，从而加载不同管控策略，在有效文件外发管控的前提下降低对用户造成的干扰。

综上所述，现有数据防泄漏系统因设计初衷与目标(主机单机运行管控与联网管理)具有较强应用场景限制，在云桌面环境应用外发外发管控功能时存在不足，包括计算冗余(重复扫描、分析与检测)、存储冗余(大量重复文件)及策略固定(无法根据使用场景区别管控)等。这部分现象与问题在资源不受限云桌面使用过程中不会造成影响，但考虑大部分数据防泄漏系统部署单位的成本控制要求，需在较低资源占用的情况下实现数据防泄漏目标，尽力降低数据防泄漏操作对正常用户使用的干扰，提高云桌面应用的生产力，以此提高员工工作效率。

因此，迫切需要一种针对云桌面环境优化的数据防泄漏系统及相应文件外发管控方法，利用云化优势，对防泄漏相关的计算、存储与接入等操作进行修改，实现单一(用户云桌面使用)与共通(文件外发管控)的有效结合，从而降低文件外发管控对计算资源、存储资源的占用。同时，区分用户的使用场景，从而加载并应用不同等级的文件外发管控策略与措施。

本发明针对云桌面应用环境，基于现有数据防泄漏系统终端功能进行改进，从计算、存储与接入三个方面适配云化环境下的文件外发管控措施，对用户外发操作涉及的文件、网络流量等进行全面监管，在用户无感知的情况下对云桌面环境下的数据存储与传输进行有效管控，识别并及时响应敏感用户操作，降低数据泄露事件的发生，提高数据防泄漏系统的有效性，保障云桌面的数据安全。

技术实现要素：

为解决上述技术问题，本发明提供了一种面向云桌面应用环境的数据防泄漏方法，其特征在于，该方法包括以下步骤：

1)数据防泄漏终端拦截并接管云桌面用户的文件操作过程，获得云桌面用户在主机操作过程中的文件操作信息并推送至平台侧；

2)平台侧根据文件操作信息在数据池中建立相应的数据对象；

3)平台侧将数据对象与主机文件进行映射，并保存文件映射信息；

4)云桌面用户选择外发主机文件与目标用户，数据防泄漏终端捕获云桌面用户的外发主机文件发送信息并通知平台侧；

5)平台侧根据外发主机文件发送信息查询文件映射信息，确定外发主机文件的管控策略，并根据该管控策略发送该外发主机文件。

根据本发明的方法，优选的，所述步骤2)中，平台侧将数据对象与主机文件进行映射，将文件内容存储在数据池的数据对象中，主机上不存储文件内容。

根据本发明的方法，优选的，在所述步骤2)平台侧根据文件操作信息在数据池中建立相应的数据对象后，平台侧还执行以下操作：

建立数据对象参考记录、并存储读取、写入文件操作记录；

建立数据对象相似度特征信息并计算文件敏感度；

将数据对象信息与数据对象参考记录反馈至数据防泄漏终端。

根据本发明的方法，优选的，所述步骤5)平台侧根据外发主机文件发送信息查询文件映射信息，确定外发主机文件的管控策略，并根据该管控策略发送该外发主机文件，包括：

定位外发主机文件映射的数据对象，确定目标用户的类型和用户权限；

并根据目标用户类型和用户权限，发送外发主机文件相应的数据对象。

根据本发明的方法，优选的，所述根据目标用户类型和用户操作权限，发送外发主机文件相应的数据对象包括：

如果云桌面用户和目标用户均为内部用户，且操作权限相同，则：

平台侧根据外发主机文件信息在数据池中检索并确定该外发主机文件映射的数据对象，更新数据对象记录信息，增加外发记录，并根据数据对象存取结果，将结果反馈至源用户防泄漏数据终端；

目标用户防泄漏数据终端捕获目标用户接收主机文件操作并通知平台侧；

平台侧更新数据对象记录信息，增加接收记录。

根据本发明的方法，优选的，所述根据目标用户类型和用户操作权限，发送外发主机文件相应的数据对象包括：

如果云桌面用户和目标用户均为内部用户，且操作权限不同，则：

平台侧根据外发文件信息在数据池中检索并确定外发主机文件映射的数据对象，并根据外发主机文件发送信息，确定需要执行的数据对象操作，并加入外发记录；

平台侧更新数据对象记录信息，增加外发记录，根据数据对象存取结果，将结果反馈至源用户防泄漏数据终端；

目标用户防泄漏数据终端捕获目标用户接收主机文件操作并通知平台侧；

平台侧获取并计算外发记录，在数据池中检索是否存在相同数据对象，如存在则复用该相同对象，否则根据外发记录要求创建新的数据对象；

平台侧更新数据对象记录信息，增加接收记录；

平台侧与目标用户防泄漏数据终端协同完成接收的数据对象与目标用户主机文件的映射。

根据本发明的方法，优选的，所述根据目标用户类型和用户操作权限，发送外发主机文件相应的数据对象包括：

如果外发主机文件由内部的云桌面用户发送至外部用户，则：

平台侧根据外发主机文件信息，在数据池中检索并确定外发主机文件映射的数据对象，并根据外发主机文件发送信息，确定需要执行的数据对象操作，加入外发记录；

平台侧更新数据对象记录信息，增加外发记录；

平台侧获取并计算外发记录，在数据池中检索是否存在相同数据对象，如存在则复用该相同数据对象，否则根据外发记录要求创建新的数据对象。

根据本发明的方法，优选的，所述云桌面用户通过至少以下方式之一发送主机文件：邮件发送、网页发送、应用程序发送或文件共享。

根据本发明的方法，优选的，所述步骤3)平台侧将数据对象与主机文件进行映射，并保存文件映射信息，其中主机文件需要映射到数据对象的信息包括：文件名、文件大小、文件所属用户、用户权限、文件哈希值、创建时间、修改时间、最后读取时间以及文件读取记录、写入记录、复制记录、删除记录。

为解决上述技术问题，本发明提供了一种面向云桌面应用环境的数据防泄漏系统，其特征在于，该系统包括：至少两个数据防泄漏终端和一个平台侧；

数据防泄漏终端拦截并接管云桌面用户的文件操作过程，获得云桌面用户在主机操作过程中的文件操作信息并推送至平台侧；

数据防泄漏终端捕获云桌面用户选择外发主机文件与目标用户时云桌面用户的外发主机文件发送信息并通知平台侧；

平台侧根据文件操作信息在数据池中建立相应的数据对象；

平台侧将数据对象与主机文件进行映射，并保存文件映射信息；

平台侧根据数据防泄漏终端的外发主机文件发送信息，查询文件映射信息，确定外发主机文件的管控策略，并根据该管控策略发送该外发主机文件至目标数据防泄漏终端。

根据本发明的系统，优选的，平台侧将数据对象与主机文件进行映射，将文件内容存储在数据池的数据对象中，主机上不存储文件内容。

根据本发明的系统，优选的，平台侧根据文件操作信息在数据池中建立相应的数据对象后，平台侧执行以下操作：

建立数据对象参考记录、并存储读取、写入文件操作记录；

建立数据对象相似度特征信息并计算文件敏感度；

将数据对象信息与数据对象参考记录反馈至数据防泄漏终端。

根据本发明的系统，优选的，所述平台侧根据外发主机文件发送信息，查询文件映射信息，确定外发主机文件的管控策略，并根据该管控策略发送该外发主机文件，包括：

定位外发主机文件映射的数据对象，确定目标用户的类型和用户权限；

并根据目标用户类型和用户权限，发送外发主机文件相应的数据对象。

根据本发明的系统，优选的，平台侧将数据对象与主机文件进行映射，并保存文件映射信息，其中主机文件需要映射到数据对象的信息包括：文件名、文件大小、文件所属用户、用户权限、文件哈希值、创建时间、修改时间、最后读取时间以及文件读取记录、写入记录、复制记录、删除记录。

根据本发明的系统，优选的，所述平台侧包括用于建立数据池和数据对象的云化数据对象存储服务器以及用于下发管控策略的数据防泄漏系统管理服务器。

为解决上述技术问题，本发明提供了一种面向云桌面应用环境的数据防泄漏系统，其特征在于，该系统包括：至少两个数据防泄漏终端和一个平台侧；

所述至少两个数据防泄漏终端和平台侧分别具有计算机可读存储介质和计算机处理装置；

所述至少两个数据防泄漏终端以及平台侧的所述计算机可读存储介质分别存储有计算机程序指令；

通过所述至少两个数据防泄漏终端以及平台侧的计算机处理装置分别执行相应的计算机程序指令，实现上述之一所述的方法。

根据本发明的系统，优选的，所述平台侧包括用于建立数据池和数据对象的云化数据对象存储服务器以及用于下发管控策略的数据防泄漏系统管理服务器。

根据本发明的系统，优选的，所述平台侧包括用于建立数据池和数据对象的云化数据对象存储服务器以及用于下发管控策略的数据防泄漏系统管理服务器。

采用本发明的技术方案，利用云化优势，定向强化数据防泄漏系统文件外发管控功能，对用户主机上的文件与网络流量进行数据对象化，在平台上统一存储并管理。针对数据外发的不同用户对象组合(相同权限内部至内部、不同权限内部至内部及内部至外部)，将外发文件映射为平台侧数据对象的操作，统一数据相似度、敏感度、加解密等计算操作。通过上述数据映射、计算缓存的方式，降低数据防泄漏系统对计算资源与存储资源的消耗。同时，通过差别接入机制，根据不同用户登录场景，加载相应的数据外发管控策略，降低对用户正常数据操作的影响，提高云桌面用户的使用效率。

附图说明

图1为现有数据防泄漏系统组成模式图。

图2为本发明的主机侧终端组成结构图。

图3为本发明的平台侧组成结构图。

图4为本发明的文件与数据对象映射流程图。

图5为本发明的相同权限内部至内部文件外发管控流程图。

图6为本发明的不同权限内部至内部文件外发管控流程图。

图7为本发明的内部至外部文件外发管控流程图。

图8为本发明的接入场景差别管控流程图。

图9为应用本发明的实施例结构组成示意图。

具体实施方式

下面结合附图以及具体实施例对本发明作进一步的说明，但本发明的保护范围并不限于此。

本发明提供了一种面向云桌面应用环境特点设计，组合传统数据防泄漏系统优势功能，实现低计算冗余、低存储冗余、差别接入管控的文件外发管控方法，其特征在于，该方法包括以下步骤：

数据防泄漏终端获取云桌面用户登录信息，区分登录场景(判断登录用户在内部环境还是外部环境)，加载并执行不同防护等级的策略；

云桌面用户在主机操作过程中创建或修改文件；

数据防泄漏终端拦截并接管文件创建或修改过程，获得必要的文件信息并推送至平台侧；

平台侧验证用户信息、主机信息与文件信息后，在数据池中建立数据对象；

平台侧将数据对象与主机文件进行映射(文件内容存储在数据池中，主机上不存储任何文件内容，存储数据池中该文件(数据对象)的索引信息)；

平台侧建立数据对象参考记录，存储读取、写入等文件操作记录；

平台侧建立数据对象相似度特征信息并计算文件敏感度；

该数据对象相似度特征信息例如可以是，可读文档(Office文件、PDF文件之类)包含文字或图片等内容的相似度，二进制文件的二进制相似度等。

平台侧将数据对象信息与参考记录反馈至终端，文件生成操作完成；

用户选择外发文件与外发目标用户，终端捕获操作并通知平台侧；

平台侧定位外发文件映射的数据对象，解析外发参数组合，包括：

相同权限内部至内部，外发文件(数据对象)不作任何操作；外发目标用户接收的文件直接映射为原有数据对象，即目标用户使用的数据对象与发送用户是同一份，仅通过增加文件外发记录来标识；

不同权限内部至内部，外发文件(数据对象)不作任何操作；外发目标用户操作该文件时根据具体策略重新生成数据对象并进行文件映射，与用户主机生成文件流程相同，目标用户打开的是新的数据对象；

内部至外部，外发文件(数据对象)根据具体策略进行操作，包括加密、敏感度扫描(已预先执行)等并重新生成真正的文件外发至外部区域。

根据本发明的方法，优选地，所述方法需要包括主机侧终端与平台侧两类组件。

根据本发明的方法，优选地，数据外发操作包括邮件、网页、应用程序、文件共享。

根据本发明的方法，优选地，所述方法管控外发流程包括相同权限内部至内部、不同权限内部至内部、内部至外部。

根据本发明的方法，优选地，主机侧文件映射需存储文件基本信息(文件名、文件大小、拥有用户、用户权限、文件哈希值、创建时间、修改时间、最后读取时间)及附加参考信息(读取记录、写入记录、复制记录、删除记录)。

根据本发明的方法，优选地，数据对象计算操作包括相似度计算、敏感度计算与加密解密计算。

根据本发明的方法，优选地，平台侧差别接入的参考信息包括登录用户、登录位置、登录IP、登录主机。

本发明提供一种适用于云桌面环境的数据防泄漏系统数据外发管控子系统，其特征在于，该子系统包括：

外发管控代理，主机侧终端组件，管理与调度相应云化文件外发管控操作，并通知管控结果；

文件信息模块，主机侧终端组件，辅助提供各类文件外发管控所需的文件、流量信息；

文件映射模块，主机侧终端组件，管理主机用户数据文件并将其映射为平台侧数据对象；

数据对象管理模块，平台侧组件，管理平台上所有数据对象；

数据对象存取模块，平台侧组件，提供数据对象的存取操作；

数据对象池模块，平台侧组件，存储用户主机映射的文件内容数据；

数据相似度计算模块，平台侧组件，对数据对象进行相似度计算与相似数据检索；

数据加解密计算模块，平台侧组件，对数据对象进行指定权限加解密操作；

数据敏感度计算模块，平台侧组件，对数据对象进行扫描并计算敏感度；

差别接入管理模块，平台侧组件，对登录用户登录信息进行鉴别，实现不同接入场景差别加载数据外发管控策略；

外发管控日志模块，平台侧组件，记录所有数据外发管控操作。

图2为本发明的主机侧终端组成结构，软件方面去除了外设管控等组件，加入了本发明要求的外发管控代理、文件信息模块(提供参考文件信息)与文件映射模块(转发文件操作逻辑与数据至平台侧，完成文件映射目的)。

图3为本发明的平台侧组成结构，除原有数据防泄漏服务器组件外，还包括本发明要求加入的数据对象管理模块、数据对象存取模块、数据对象池模块、数据相似度计算模块、数据加解密计算模块、数据敏感度计算模块、差别接入管理模块与外发管控日志模块。

图4位本发明文件与数据对象映射流程，由终端与平台协同完成文件操作的捕获、转发、映射、存取与响应等操作。

图5为本发明相同权限内部至内部文件外发管控流程，包括以下方法步骤：

外发操作捕获，用户选择外发文件与外发目标用户，终端捕获操作并通知平台侧；

外发信息分析，平台侧解析外发参数组合，确定操作有效性及外发信息；

数据对象定位，平台侧根据文件信息，在数据池中检索并确定外发文件映射的数据对象；

数据记录更新，平台侧更新数据对象记录信息，增加外发记录；

外发结果反馈，平台侧根据对数据对象池中数据对象的检索结果，即是否正确定位到相应的数据对象，确定数据对象存取结果，将结果反馈至源数据终端完成外发文件操作；

该反馈的信息是文件与数据对象之间的映射信息，在创建文件时进行的映射；

接收操作捕获，目标数据终端捕获目标用户接收外发文件操作并通知平台侧；

数据记录更新，平台侧更新数据对象记录信息，增加接收记录。

图6为本发明不同权限内部至内部文件外发管控流程，包括以下方法步骤：

外发操作捕获，用户选择外发文件与外发目标用户，终端捕获操作并通知平台侧；

外发信息分析，平台侧解析外发参数组合，确定操作有效性及外发信息；

数据对象定位，平台侧根据文件信息，在数据池中检索并确定外发文件映射的数据对象；

数据策略加载，平台侧根据外发信息，确定需要执行的数据对象操作(加解密、敏感度扫描等)加入外发记录；

数据记录更新，平台侧更新数据对象记录信息，增加外发记录；

该数据对象记录信息包含外发记录信息；

外发结果反馈，平台侧根据对数据对象池中数据对象的检索结果，即是否正确定位到相应的数据对象，确定数据对象存取结果，将结果反馈至源数据终端完成外发文件操作；

接收操作捕获，目标数据终端捕获目标用户接收外发文件操作并通知平台侧；

数据对象检索，平台侧获取并计算外发记录，在数据池中检索是否存在相同数据对象(即之前有过相同流程的文件)，如存在则复用该相同对象，否则根据外发记录要求创建新的数据对象；

即若同一个文件由某一部门第一次向另外一部门发送，需要根据权限等信息进行源文件(数据对象)的处理(例如加密等)，从而生成一个修改过的副本(即一个新的数据对象)；但第二次或后续发送时，因该源文件的修改副本已存在，不需要再次生成，直接服用前一个副本即可，否则就创建新的数据对象(经过处理的副本)。

数据记录更新，平台侧更新数据对象记录信息，增加接收记录；

数据对象映射，平台侧与目标数据终端协同完成新的数据对象与目标用户主机文件的映射；

接收操作反馈，平台侧通知目标用户终端完成文件与数据对象映射。

图7为本发明内部至外部文件外发管控流程，包括以下方法步骤：

外发操作捕获，用户选择外发文件与外发目标用户，终端捕获操作并通知平台侧；

外发信息分析，平台侧解析外发参数组合，确定操作有效性及外发信息；

数据对象定位，平台侧根据文件信息，在数据池中检索并确定外发文件映射的数据对象；

数据策略加载，平台侧根据外发信息，确定需要执行的数据对象操作(加解密、敏感度扫描等)加入外发记录；

数据记录更新，平台侧更新数据对象记录信息，增加外发记录；

数据对象检索，平台侧获取并计算外发记录，在数据池中检索是否存在相同数据对象(即之前有过相同流程的文件)，如存在则复用该相同对象，否则根据外发记录要求创建新的数据对象；

即若同一个文件由某一部门第一次向另外一部门发送，需要根据权限等信息进行源文件(数据对象)的处理(例如加密等)，从而生成一个修改过的副本(即一个新的数据对象)；但第二次或后续发送时，因该源文件的修改副本已存在，不需要再次生成，直接服用前一个副本即可，否则就创建新的数据对象(经过处理的副本)。

因外部区域无法映射或存储数据对象，无法将数据对象发送至外部，因此这一步操作仅是将发送至外部的文件进行保存，用于后续相同文件的快速发送。

外发结果反馈，平台侧根据对数据对象池中数据对象的检索结果，即是否正确定位到相应的数据对象，确定数据对象存取结果，将结果反馈至源数据终端完成外发文件操作；

图8为本发明接入场景差别管控流程，包括以下方法步骤：

用户接入，用户使用桌面远程工具登录云桌面及数据防泄漏终端；

信息解析，获得登录用户信息、登录IP、登录工具等信息，并通过IP等登录信息进行解析获得地理位置；

场景定位，聚合各类判断信息与预设参数计算获得用户登录云桌面场景(本部门、其他部门、企业外部等)；

加载执行，动态根据定位场景选择需要加载的管控策略并执行；

接入监控，动态不间断监控用户接入信息，及时分析并定位用户行为，避免虚假接入或接入欺骗等。

<具体实施例>

如图9所示，某已搭建私有云桌面环境的小型企业客户安装了基于本发明方法实现的数据防泄漏系统，基于云化数据管控措施构建了数据防泄漏机制。该机制对所有用户在云桌面的存储进行统一处理，由通用存储防泄漏组件完成对数据文件的存储，并通过复杂文件校验机制及文件相似度计算避免了冗余文件的存在；在平台侧引入文件敏感度计算功能，提前计算文件的敏感度。此外，还通过引入接入场景差别策略措施，对在企业内部与外出的登录用户实行不同管控策略。其中，服务器端包括如下服务器：

2台数据防泄漏系统管理服务器(1台核心，1台负载)用于实现传统DLP服务器功能；

2台云化数据对象存储服务器用于所有用户云桌面数据文件存储；

1台云化数据对象计算服务器用于文件(数据对象)进行加解密、相似度计算与敏感度计算等操作。

该数据防泄漏系统部署在云桌面环境中，数据防泄漏整体运行正常。经过测算，在具有300台云桌面(终端)的场景下，主机文件操作增加延时5ms，文件管控增加延时5ms，对用户正常操作未造成明显影响。同时，对在企业外部登录云桌面的用户实现较高的数据管控等级，企业内部的数据管控则相对宽松，从而避免对用户的正常使用造成干扰。

采用本发明的技术方案，数据防泄漏系统仅需对存储驱动与管理、网络驱动与管理等组件进行云化改造，利用云化带来的优势，降低计算冗余度与存储冗余度，在用户无感知的前提下，利用具备高扩展能力的存储与计算组件对文件进行数据管控操作，及时对敏感数据传输作出响应，有效管控可能形成的数据泄露，保障部署云桌面环境的客户数据安全。此外，通过区别用户云桌面登录的接入位置，按照预定策略等级实行严格或宽松的数据管控，在相对安全的环境中降低部分管控措施的等级，从而降低对用户造成的操作干扰，提高数据防泄漏系统的友善度。

以上实施例仅作为本发明保护方案的示例，不对本发明的具体实施方式进行限定。