一种针对云终端的数据扫描方法及系统与流程

本发明涉及数据安全领域，具体涉及一种针对云终端的数据扫描方法及系统。

背景技术：

随着近几年云办公的企业化，云化办公桌面已经成为企事业单位削减办公成本、提高数据维护性的一种重要途径，得到了广泛应用。在云化办公环境中，传统的主机数据防泄漏终端在扫描主机中的敏感文件时，针对每个人的终端分配的空间都进行了敏感信息扫描，没有对云化环境进行优化，浪费了云化环境的数据集中带来的扫描便利性，同时，维护起来成本很高，难维护。

技术实现要素：

为解决上述技术问题，本发明提供了一种针对云终端的数据扫描方法，其特征在于，该方法包括以下步骤：

1)在云服务器上建立敏感信息存储区；

2)对云服务器上终端信息存储区域的所有云终端信息进行扫描，确定敏感信息；

3)在云服务器的敏感信息存储区对所述敏感信息进行分类存储；

4)建立云服务器上终端信息存储区域与敏感信息存储区之间的映射关系；

5)根据云服务器上的分类存储结果，对用户的操作进行相应的处理。

根据本发明的方法，优选的，所述步骤2)中的扫描包括：全量扫描、增量扫描和定时扫描。

根据本发明的方法，优选的，在所述步骤2)中，在云服务器扫描初次启动时触发全量扫描或通过手动触发全量扫描。

根据本发明的方法，优选的，所述步骤3)中的敏感信息从终端信息存储区域迁移分类存储于以下敏感信息存储区：需要审批存储区、加密存储区和拒绝外泄存储区，然后在终端信息存储区域的敏感信息原始存储位置与敏感信息存储区之间建立映射关系。

根据本发明的方法，优选的，所述步骤5)中，判断该操作是否发生在定时扫描后，如果是，则对操作针对的文件启动扫描；

否则，判断操作针对的文件是否为敏感文件，如果是，获取用户操作权限，根据用户操作权限对文件进行操作，如果不是敏感文件，则直接对文件进行操作。

为解决上述技术问题，本发明提供了一种针对云终端的数据扫描系统，其特征在于，该系统包括：

敏感信息创建模块，在云服务器上建立敏感信息存储区；

信息映射模块，建立云服务器上终端信息存储区域与敏感信息存储区之间的映射关系；

敏感信息确定模块，对云服务器上终端信息存储区域的所有云终端信息进行扫描，确定敏感信息；

分类存储模块，在云服务器的敏感信息存储区对所述敏感信息进行分类存储；

操作处理模块，根据云服务器上的分类存储结果，对用户的操作进行相应的处理。

根据本发明的系统，优选的，所述敏感信息确定模块进行的扫描包括：全量扫描、增量扫描和定时扫描。

根据本发明的系统，优选的，所述敏感信息确定模块在云服务器扫描初次启动时触发全量扫描或通过手动触发全量扫描。

根据本发明的系统，优选的，所述分类存储模块将敏感信息从终端信息存储区域迁移分类存储于以下敏感信息存储区：需要审批存储区、加密存储区和拒绝外泄存储区，然后在终端信息存储区域的敏感信息原始存储位置与敏感信息存储区之间建立映射关系。

根据本发明的系统，优选的，操作处理模块判断该操作是否发生在定时扫描后，如果是，则对操作针对的文件启动扫描；

否则，判断操作针对的文件是否为敏感文件，如果是，获取用户操作权限，根据用户操作权限对文件进行操作，如果不是敏感文件，则直接对文件进行操作。

通过本发明的技术方案，取得了以下技术效果：

1、由于云服务器单独安装的防泄密软件，在云服务器上占用资源对所有的硬件信息进行扫描不占用员工个人的资源，员工几乎感知不到；

2、增加增量扫描和敏感文件转储操作，可以保证员工对文件操作时候，在文件在增量扫描前的文件不必要做重复扫描，减少了扫描机制；

3、防泄密扫描产品部署在云服务器端，做到产品易维护，对员工感知少等特点，做到了最大效率的保证安全的同时，又不影响员工的正常办公。

附图说明

图1为云终端与云服务器的数据映射图。

图2为本发明的扫描软件信息扫描交互图。

图3为本发明的全量扫描流程图。

图4为本发明的定时扫描流程图。

图5为本发明的云终端与云服务器之间的敏感信息映射图。

图6为本发明的云终端文件操作流程图。

具体实施方式

下面结合附图以及具体实施例对本发明作进一步的说明，但本发明的保护范围并不限于此。

<数据扫描方法>

本发明提供了一种针对企业云办公环境(不涉及私人云环境，因为目前扫描涉及个人隐私，不适合私人云环境下使用)下,云桌面终端、基于主机数据防泄密系统的敏感文件扫描办法，该方法充分利用了云计算环境计算集中，存储集中的优势，以一体化的模式集中扫描处理文件，辨识文件敏感，集中存储敏感文件，提高了扫描效率与效果。

该扫描方法包括以下步骤：

s1、云服务器集中部署，硬件信息分布式部署方式部署，保证各个云桌面终端的信息在云服务器中可以直接访问，分出敏感信息片区。

云服务器集中部署，基于目前的部署方式，新增敏感信息区域，提供扫描的敏感信息从终端存储区到敏感信息区的映射，保证所有的存储信息对扫描区透明，单个云服务器集群部署图如图1，这种部署可以拓展到多集群部署中；

s2、扫描软件部署，云服务器集中部署安全扫描软件，可以对所有信息进行扫描功能。

扫描软件部署，此发明中扫描软件关于扫描性能，规则都是基于我公司目前产品使用的扫描软件，此发明在此不分析扫描软件的扫描原理以及其他性能上的参数；云服务器部署上预留扫描软件的区域，此区域有单独的处理器和linux或者winows系统环境支持扫描软件功能；同时，此区域有访问云服务器所有区域的权限，拥有增删改移动云服务器上文件的权限；扫描软件简单部署见下图。

s3、云服务器敏感扫描，云服务器扫描支持全量扫描和增量扫描功能。

云服务器敏感信息扫描，目前支持全量扫描和增量扫描，定制扫描功能；

全量扫描：对所有的云服务器的云终端信息进行整体扫描，区分出敏感信息，为后续的处理做准备；全量扫描支持在云服务器扫描初次启动的时候触发一次全盘扫描和手动触发全量扫描两种操作，具体执行流程见图3；

增量扫描：定时对录属于当前云服务器集群中的云终端的一段时间内的变更信息进行扫描；触发时间可以配置，扫描多长时间的变更信息支持手工配置，目前默认设置时间是整点定时器，定时扫描前1小时的变更信息，具体流程见图4；

定制扫描：定制扫描是为扫描功能的严谨性和检查结果做的一份补充，手动触发的针对云服务器中部分云终端的定向扫描功能，主要为企业安检人员提供部分实时扫描报告补充的功能，此处不做详细分析。

s4、扫描结果分类存储，将扫描的结果按照不敏感，需要审批后方能操作，禁止外传操作3类，对后2种文件在敏感信息区进行分类存储，在云终端原有区域创建索引。

对于云办公环境，所有信息都存储在云服务器上，扫描之后的敏感信息会统一存储到云服务器上的敏感信息区，在云终端物理地址上存放映射信息。映射信息记录云终端对应敏感信息在云服务器保密区对应的位置。

扫描结果分类存储，将敏感信息区划分为需要审批区、加密区和拒绝外泄区；云服务器需要提供敏感信息区域的物理存储区，区域划分由防泄密产品进行划分；文件敏感基本配置按照用户的配置项进行配置，支持区域扩展；扫描引擎扫描到敏感文件之后，按照用户配置的进行分类，将敏感文件迁移到敏感信息对应的区域，同时在原始位置和敏感信息区创建索引。

当用户更改敏感处理方式和级别时，需要对敏感信息区和其他区域进行重新扫描分类；具体模型见图5。所有云终端的信息都存储在云服务器上，因此更改敏感信息处理方式和级别，需要重新对云服务器上的所有信息进行扫描分类。

s5、云终端防护，主要涉及敏感文件通过终端操作外泄时候的防护。

云服务器终端防护，通过云服务器防泄密软件，识别终端对涉密文件的外泄操作，打印，刻录，移动存储，复制等一系列操作，判断文件是否更改在定时扫描后，如果是的话，云服务器启动线程扫描这个文件，否的话，当文件是敏感文件时候，调用到敏感信息保护区时，针对云终端用户的权限以及文件存在于敏感信息的区域，判断文件执行加密，发送审批，拒绝执行等一系列操作，具体流程见图6，包括：

s51、确定在云终端上进行的文件操作；

s52、判断该操作针对的文件是否涉密，如果不涉密，则直接在云终端本地进行文件操作，否则进行步骤s53；

s53、获取云终端用户的权限级别；确定文件对所在敏感信息存储区域：加密存储区、审批存储区和拒绝外泄(拒绝操作区)；向用户返回文件信息以及具体文件；

s54、判断是用户是否有直接操作权限，如果有直接对文件进行操作，否则跳转到步骤s55；

s55、按照用户操作先对获取的涉密文件进行操作。

s6、网路防护，主要涉及接入内网设备，ftp，邮件等方式的敏感信息基于云端的防护。

网路防护，主要涉及接入内网设备，ftp，邮件等方式的敏感信息基于云端的防护工作；触发条件：防泄密系统在监控到这些操作的时候，当云服务器访问敏感数据区域的时候，会进行相应的控制，具体控制方法和步骤s5类似。

<数据扫描系统>

为解决上述技术问题，本发明还提供了一种针对云终端的数据扫描系统，该系统包括：

敏感信息创建模块，在云服务器上建立敏感信息存储区；

信息映射模块，建立云服务器上终端信息存储区域与敏感信息存储区之间的映射关系；

敏感信息确定模块，对云服务器上终端信息存储区域的所有云终端信息进行扫描，确定敏感信息；

分类存储模块，在云服务器的敏感信息存储区对所述敏感信息进行分类存储；

操作处理模块，根据云服务器上的分类存储结果，对用户的操作进行相应的处理。

所述敏感信息确定模块进行的扫描包括：全量扫描、增量扫描和定时扫描。

所述敏感信息确定模块在云服务器扫描初次启动时触发全量扫描或通过手动触发全量扫描。

所述分类存储模块将敏感信息从终端信息存储区域迁移分类存储于以下敏感信息存储区：需要审批存储区、加密存储区和拒绝外泄存储区，然后在终端信息存储区域的敏感信息原始存储位置与敏感信息存储区之间建立映射关系。

操作处理模块判断该操作是否发生在定时扫描后，如果是，则对操作针对的文件启动扫描；

否则，判断操作针对的文件是否为敏感文件，如果是，获取用户操作权限，根据用户操作权限对文件进行操作，如果不是敏感文件，则直接对文件进行操作。

<实施例>

某小型企业采用云终端系统进行办公，由于公司产品涉及高精尖行业，信息安全对公司来说至关重要，未安装本产品前，数据防泄密终端安装在客户的每一台电脑上，经常遇到以下问题：

1、全盘扫描的时候占用云终端的cpu和内存，影响员工的正常办公，并且员工都不太愿意开启全盘扫描，默认的全盘扫描功能几乎么有什么用处；

2、由于缺少增量扫描的功能，占用员工的资源，不太方便使用；在员工进行u盘外发，邮件外发，打印等一系列操作的过程中，才进行扫描等一系列处理，当涉及图片等复杂东西时，扫描特别慢，缺少时效性，严重影响员工的正常办事效率；

3、是产品总会有bug的，扫描产品的稍微不稳定性，会导致不同员工各处反映，各处更改替换，对用户管理员和公司来说维护难，同时维护成本过高。

通过本发明的实施方案，由于云服务器单独安装的防泄密软件，在云服务器上占用资源对所有的硬件信息进行扫描不占用员工个人的资源，员工几乎感知不到。增加增量扫描和敏感文件转储操作，可以保证员工对文件操作时候，在文件在增量扫描前的文件不必要做重复扫描，减少了扫描机制。防泄密扫描产品部署在云服务器端，做到产品易维护，对员工感知少等特点，做到了最大效率的保证安全的同时，又不影响员工的正常办公。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式发送机或其他可编程数据发送终端设备的发送器以产生一个机器，使得通过计算机或其他可编程数据发送终端设备的发送器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据发送终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据发送终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的发送，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种数据处理方法及装置，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。