数据文件流转的审批系统的制作方法

本发明涉及计算机数据安全领域，尤其涉及一种数据文件流转的审批系统。

背景技术：

在计算机数据安全系统中，基于网段隔离技术设置不同的保护区，可以用来管理和控制不同安全等级的数据资源访问。保护区内的计算资源和数据文件只能被授权访问此保护区的用户访问，非授权用户不能访问。同时，授权用户只能在保护区范围内访问和使用数据文件，不能将数据文件转移到该保护区之外的其它区域。

然而，在实际的应用场景中，授权用户经常需要将保护区内的数据文件转移到保护区外或其它保护区中。相关技术中，通常需要系统数据安全管理员根据安全规定来进行文件流转操作。在安全级别要求高的环境中，还需要相关的审批人员对转移申请进行人工审批。

技术实现要素：

本发明实施例提供一种数据文件流转的审批系统，用以解决现有技术中不同保护区的数据流转审批复杂的问题。

根据本发明实施例的数据文件流转的审批系统，包括：

多个相互级联的审批模块，每个所述审批模块对应设置一个第一预设结果，每个所述审批模块均包括：至少一个策略规则执行模块和一个级联规则执行模块；

每个所述策略规则执行模块对应设置有至少一个策略条件和一个第二预设结果，所述策略规则执行模块用于：

当所述审批请求满足当前策略规则执行模块的所有策略条件时，将当前策略规则执行模块对应的第二预设结果作为本级审批模块的待输出判决结果；

当所述审批请求不满足当前策略规则执行模块的所有策略条件时，将所述审批请求转移至下一级策略规则执行模块进行审批或者将本级审批模块对应的第一预设结果作为本级审批模块的待输出判决结果；

所述待输出判决结果包括：审批通过或者审批拒绝；

每个所述级联规则执行模块对应设置有一个级联规则，所述级联规则执行模块用于根据对应的级联规则输出最终的判决结果；

所述级联规则包括：

当本级审批模块的待输出判决结果为审批通过时转入下一级审批模块，当本级审批模块的待输出判决结果为审批拒绝时输出审批拒绝；或者，

当本级审批模块的待输出判决结果为审批拒绝时转入下一级审批模块，当本级审批模块的待输出判决结果为审批通过时输出审批通过；或者，

无论本级审批模块的待输出判决结果为何，都转入下一级审批模块。

根据本发明的一些实施例，至少一个所述策略条件包括：

所述审批请求的发送者是否在指定的用户列表中；

所述审批请求的发送者是否属于指定的用户组列表；

所述审批请求中待流转的数据文件是否属于指定的文件类型列表；

所述审批请求中待流转的数据文件的个数是否在指定的个数范围内；

所述审批请求中待流转的单个数据文件大小是否在指定的数值范围内；

策略规则执行模块生效的日期范围；

所述审批请求是否发生在设定时间段内。

根据本发明的一些实施例，所述级联规则还包括：

当本级审批模块的待输出判决结果为审批通过时转入人工审批，当本级审批模块的待输出判决结果为审批拒绝时输出审批拒绝；或者，

当本级审批模块的待输出判决结果为审批拒绝时转入人工审批，当本级审批模块的待输出判决结果为审批通过时输出审批通过；或者，

无论本级审批模块的待输出判决结果为何，都转入人工审批。

根据本发明的一些实施例，所述审批系统，还包括：

分析模块，用于根据预设的数据文件流转安全规则，确定判决结果的数量，以确定所述审批模块的数量，并为每个所述审批模块对应设置对应的第一预设结果，为每个所述审批模块中的级联规则执行模块设置对应的级联规则，为每个所述审批模块中的每个所述策略规则执行模块设置对应的策略条件和第二预设结果。

采用本发明实施例，通过设置不同的策略规则和级联规则，可以用若干个审批模块构建出任意复杂的逻辑规则判决系统，设置方法简洁明了，非常适合将一般语义描述的安全策略转换为可实际运行的执行系统，提供了等同于程序编码所能实现的复杂策略规则的逻辑处理能力，极大的增强了文件流转安全审批系统的功能性和易用性，便于设计简洁明了的用户界面，为系统使用者提供可视化的安全策略配置工具。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。在附图中：

图1是本发明实施例中数据文件流转的审批系统结构示意图；

图2是本发明实施例中数据文件流转的审批系统结构示意图；

图3是本发明实施例中策略规则执行模块示意图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

如图1所示，根据本发明实施例的数据文件流转的审批系统，包括：

多个相互级联的审批模块，可以理解的是，多个审批模块在审批的过程中具有顺序，审批请求先在第一级审批模块中进行审批，然后依次传递至下一级审批模块，直至可以输出判决结果。每个审批模块对应设置一个第一预设结果，每个审批模块均包括：至少一个策略规则执行模块和一个级联规则执行模块；这里，至少一个策略规则执行模块在审批的过程中也具有顺序，审批请求先在第一级策略规则执行模块中进行审批，然后依次传递至下一级策略规则执行模块，直至可以输出待输出判决结果。

每个策略规则执行模块对应设置有至少一个策略条件和一个第二预设结果，策略规则执行模块用于：

当审批请求满足当前策略规则执行模块的所有策略条件时，将当前策略规则执行模块对应的第二预设结果作为本级审批模块的待输出判决结果；

当审批请求不满足当前策略规则执行模块的所有策略条件时，将审批请求转移至下一级策略规则执行模块进行审批或者将本级审批模块对应的第一预设结果作为本级审批模块的待输出判决结果；

待输出判决结果包括：审批通过或者审批拒绝；

每个级联规则执行模块对应设置有一个级联规则，级联规则执行模块用于根据对应的级联规则输出最终的判决结果；

级联规则包括：

当本级审批模块的待输出判决结果为审批通过时转入下一级审批模块，当本级审批模块的待输出判决结果为审批拒绝时输出审批拒绝；或者，

当本级审批模块的待输出判决结果为审批拒绝时转入下一级审批模块，当本级审批模块的待输出判决结果为审批通过时输出审批通过；或者，

无论本级审批模块的待输出判决结果为何，都转入下一级审批模块。

采用本发明实施例，通过设置不同的策略规则和级联规则，可以用若干个审批模块构建出任意复杂的逻辑规则判决系统，设置方法简洁明了，非常适合将一般语义描述的安全策略转换为可实际运行的执行系统，提供了等同于程序编码所能实现的复杂策略规则的逻辑处理能力，极大的增强了文件流转安全审批系统的功能性和易用性，便于设计简洁明了的用户界面，为系统使用者提供可视化的安全策略配置工具。

在上述实施例的基础上，进一步提出各变型实施例，在此需要说明的是，为了使描述简要，在各变型实施例中仅描述与上述实施例的不同之处。

根据本发明的一些实施例，至少一个策略条件包括以下条件中的至少一个：

审批请求的发送者是否在指定的用户列表中；

审批请求的发送者是否属于指定的用户组列表；

审批请求中待流转的数据文件是否属于指定的文件类型列表；

审批请求中待流转的数据文件的个数是否在指定的个数范围内；

审批请求中待流转的单个数据文件大小是否在指定的数值范围内；

策略规则执行模块生效的日期范围；

审批请求是否发生在设定时间段内。

需要说明的是，策略条件还可以设置为其他条件，可以具体根据实际审批需求进行设置，上述条件仅仅是举例说明，不是对本发明实施例的限定。

根据本发明的一些实施例，级联规则还可以包括：

当本级审批模块的待输出判决结果为审批通过时转入人工审批，当本级审批模块的待输出判决结果为审批拒绝时输出审批拒绝；或者，

当本级审批模块的待输出判决结果为审批拒绝时转入人工审批，当本级审批模块的待输出判决结果为审批通过时输出审批通过；或者，

无论本级审批模块的待输出判决结果为何，都转入人工审批。

根据本发明的一些实施例，审批系统，还包括：

分析模块，用于根据预设的数据文件流转安全规则，确定判决结果的数量，以确定所述审批模块的数量，并为每个所述审批模块对应设置对应的第一预设结果，为每个所述审批模块中的级联规则执行模块设置对应的级联规则，为每个所述审批模块中的每个所述策略规则执行模块设置对应的策略条件和第二预设结果。

下面参照图1-图3以一个具体的实施例详细描述根据本发明实施例的数据文件流转的审批系统。值得理解的是，下述描述仅是示例性说明，而不是对本发明的具体限制。凡是采用本发明的相似结构及其相似变化，均应列入本发明的保护范围。

传统的审查任务处理系统，只能对审查对象的若干属性与策略规则做出是非或阈值比较，判断审查对象的符合性，根据审查结果建立审查任务，由审查任务执行人员进行审查工作。不同的安全系统中有不同的安全策略，涉及申请提交者用户属性、操作时间、待转移的文件属性、转移目的地、审批流程等等。

在复杂的安全管理场景中，多个安全策略可能同时被实施，并可能采用不同的逻辑判决关系。比如所有安全策略都通过才被允许，或任一安全策略通过即允许，等等。不同安全策略的执行优先级也不同，不同安全策略符合或违法时的预期执行规则也不同。审批策略判决条件和逻辑的复杂性和多样性，使得传统的审查任务处理系统难以适应数据安全领域里的的申请审批处理策略需求。防火墙之类的系统所采用的进站/出站规则处理机制也只能设定各自独立的白名单或黑名单规则，规则之间无法组合，难以构成复杂的策略规则执行逻辑。现有的技术来解决这个问题时，只能为特定的应用场景编写相应的策略处理程序代码，以实现复杂的审批策略逻辑，这无疑增加了系统的开发和维护成本，造成系统用户的使用不便，也难以适应策略规则需要经常调整和修改的场合。

如图1所示，本发明提出一种数据文件流转的审批系统，由多个级联的审批模块构成。每个审批模块根据其设置的策略规则处理输入的审批请求，得到本级的待输出判决结果，并根据其设置的级联方式，直接得出最终的判决结果，或传递到下一级审批模块或人工审批执行模块。

每个审批模块可设置各自的任意多条策略规则，策略规则覆盖了数据安全场景中文件流转相关的各种属性定义，多条策略规则可以组合出复杂的策略逻辑。多个审批模块和/或人工审批模块可以用多种的级联方式构建出任意复杂的策略规则逻辑的系统。

审批模块可以配置成直接输出判决结果的应用模式，也可以作为人工审批的前置模块对审批输入进行预处理，生成预处理信息供人工审批执行人员参考，简化人工审查工作。

具体的，审批模块包括：多个策略规则执行模块和一个级联规则执行模块。每个策略规则执行模块对应一条策略规则，每条策略规则包括若干个策略条件、满足本策略规则执行模块所有策略条件时的第二预设结果，审批模块对应设置缺省策略规则中指定的第一预设结果。每个级联规则执行模块对应设置有一个级联规则。

如图2所示，策略规则执行模块用于对其设置的若干个策略条件进行处理：若该策略规则执行模块中所有开启的策略条件同时满足，则设置第二预设结果为本级审批模块的待输出判决结果；若该策略规则执行模块中所有开启的策略条件未能同时满足，则转入下一个策略规则执行模块，由下一个策略规则执行模块得出本级审批模块的待输出判决结果；若本级审批模块中所有开启的策略条件都未能同时满足，则设置本级审批模块的待输出判决结果为缺省策略规则中指定的第一预设结果。

如图3所示，策略条件可以包括：

用户：发送者是否在指定的用户列表中；

用户组：发送者是否属于指定的用户组列表；

文件类型：待流转的数据文件是否属于指定的文件类型列表；

文件数量：待流转的数据文件的个数是否大于等于或小于等于设定值；

单个文件大小：待流转的单个数据文件大小是否否大于等于或小于等于设定值；

策略有效日期：本策略生效的日期范围；

可操作时间：数据流转申请是否发生在设定时间段内。

其它与文件流转相关的信息。

级联规则决定了本级审批模块的待输出判决结果的处理方式：

若级联规则为“通过后转下级”，则当本级审批模块的待输出判决结果为审批通过时转入下一级审批模块；当本级审批模块的待输出判决结果为审批拒绝时，最终的审批结果直接设为审批拒绝，不进行下一级审批；

若级联规则为“拒绝后转下级”，当本级审批模块的待输出判决结果为审批拒绝时转入下一级审批模块；当本级审批模块的待输出判决结果为审批通过时，最终的审批结果直接设为审批通过，不进行下一级审批；

若级联规则为“转下级”，则无论本级本级审批模块的待输出判决结果为何，都转入下一级审批模块。

下面以实例演示本发明实施例的数据文件流转的审批系统用于实现复杂审批策略的方法。

某部门文件导出的安全政策如下（注：“部门经理”用户属于“部门用户”用户组）：

部门成员（非经理）导出文件安全策略：

pm1:在非工作时间内不可导出文件；

pm2:不可导出h、c、hpp、cpp、py等源程序文件；

pm3：在工作时间，导出非上述源程序文件时，当文件大小小于1m、文件数量小于10个时，导出申请自动通过；否则申请转人工审批。

部门经理导出文件安全策略：

pl1：无导出时间限制和文件类型限制；

pl2：当文件大小小于10m、文件数量小于50个时，导出申请自动通过。否则申请转人工审批。

上述审批策略需要产生3种可能的审批结果方式：自动拒绝，自动通过，转人工，因此需要两级审批模块。

第一级审批模块a产生自动拒绝的审批结果：

策略规则ar1：

策略条件：

用户=部门经理

审批结果：审批通过

策略规则ar2：

策略条件：

用户组=部门成员

可操作时间=非工作时间

审批结果：审批拒绝

策略规则ar3：

策略条件：

用户组=部门成员

文件类型=c，h，cpp，hpp，py...

审批结果：审批拒绝

缺省规则ar0：

审批结果：审批通过

级联规则as：通过后转下一级

第二级审批模块b产生自动通过的审批结果：

策略规则br1：

策略条件：

用户=部门经理

文件大小<10m

文件数量<50

审批结果：审批通过

策略规则br2：

用户组=部门成员

文件大小<1m

文件数量<10

审批结果：审批通过

缺省规则br0：

审批结果：审批拒绝

级联规则bs：拒绝后转下一级

当审批模块处理审批请求输入时，处理流程如下：

对于部门成员，违反安全策略pm1或pm2的审批请求，会被第一级审批模块a中的策略规则ar2或ar3判决为审批拒绝，由于a的级联规则as是通过后转下级，因此审批拒绝会直接作为整个审批的结果输出。没有违反安全策略pm1和pm2的审批请求，会被缺省规则ar0判决为审批通过，然后由级联规则as转入到第二级审批模块b去处理。

策略规则ar1会将部门经理的审批请求直接转入到模块b，实现了pl1设定的审批策略。

在第二级审批模块b中，符合安全策略pl2或pm3的审批请求，会被的策略规则br1或br2判决为审批通过，由于b的级联规则bs是拒绝后转下级，因此审批通过会直接作为整个审批的结果输出。不符合安全策略pl2或pm3的审批请求，会被缺省规则br0判决为审批拒绝，然后由级联规则bs转入到人工审批。

由此例可见，通过设置不同的自动审批策略规则和级联规则，可以用若干个审批模块构建出任意复杂的逻辑规则判决系统，而设置方法简洁明了，非常适合将一般语义描述的安全策略转换为可实际运行的执行系统，便于设计简洁明了的用户界面，为系统使用者提供可视化的安全策略配置工具。基于至安盾智能安全平台的单机、集群和分布式测试环境，对本发明实施例进行了验证，方法可以有效提高审批效率。

需要说明的是，以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

另外，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。