一种基于数字指纹的文件安全管控和溯源的方法及系统的制作方法
【技术领域】
[0001] 本发明涉及一种文件安全管控和溯源的方法,尤其是一种基于数字指纹的文件安 全管控和溯源的方法与系统。属于信息安全管控领域。
【背景技术】
[0002] 随着信息技术的进步,计算机和网络已成为日常办公、通信交流和协作互动的必 备工具。但信息技术提高人们工作效率的同时,也对信息安全防范提出了更高的要求。目 前大多数用户对办公网络的安全防范方式,仍然停留在采用防火墙、入侵检测、防病毒等被 动防护阶段。而实际调查数据显示,公司或单位内部机密通过网络泄露的事件中,只有极少 部分是被黑客窃取的,其余大多数都是由于内部员工有意或无意的泄密行为所导致。
[0003] 防止网络泄密的手段主要包括两方面,一个是从系统和网络的角度防止数据泄 露,另一个是从管理的角度提升员工的安全意识。
[0004] -、如何从系统和网络角度防止数据泄露。
[0005] 在系统角度,企业实现数据泄露防护(Dataleakageprevention,DLP)的成熟系 统具有很多,主要都是基于以下3点控制来实现的:
[0006] 1)网络以及物理隔离管控:将企业的内网和外部互联网,以及内网的不同敏感区 域进行隔离和控制,在服务器端和用户端安装部署专用软件以控制用户行为,并且在网络 的关键位置部署安全管控设备,使得企业机密文档不能通过网络或者U盘等途径传播到外 部。
[0007] 2)账号权限控制:通过集中的权限管控系统,给不同的用户分配不同的系统访问 权限,只有级别足够的用户才能访问敏感文件,并且可以对企业外发的文件进行审批确认, 以控制敏感文件外泄。
[0008] 3)文档加密方式:对文档本身进行加密,在没有获得授权的情况下打开,只能看 到加密后的密文乱码。
[0009]目前,市场上有众多的DLP数据泄密防护系统的厂家,其中有代表性的方案包括:
[0010] 1)亿赛通公司,系统包括:数据资产内容安全管理系统(TA),以数据透明加解密 技术为基础,以内容安全管控技术为核心,整合数据安全管理DSM、终端安全管理TSM、移动 设备管理MDM与应用安全管理ASM等子系统。而数据防泄露部分,主要是锐盾系统,包含四 个子系统,分别为锐盾终端防护、锐盾网络防护、锐盾邮件防护和锐盾数据管理,对终端、网 络、邮件泄露风险行为进行识别并及时阻止。
[0011] 2)深圳虹安公司,其产品包括服务器端和客户端,以密码技术为支撑,数据保密为 核心,身份认证为基础,通过内核级加密技术,整合端点控制技术,有效防止任何状态(使 用、传输、存储)的内部资料和智慧资产泄漏,能够在数据和文件使用时便对其进行自动加 密,确保以任何方式泄漏的数据和文件均是密文,同时能够有效防止数据和文件通过任何 非法操作和传输路径(如:截屏和另存、共享和外设、邮件、和移动存储设备)等方式泄露。
[0012] 从文档可溯源的角度来看,现有的DLP产品都没有对每一个流出的文件进行唯一 的标识,也就是没有加上数字水印或者数字指纹,这样,当同样的一个文档通过不同渠道流 出泄露之后,系统并不能直接标识出文档的泄露渠道。
[0013] 二、如何从管理的角度提升员工的安全意识
[0014]在企业管理的角度,需要培训专业的安全管理人员,建立文档安全管理体系。而更 关键的是需要提升全员的安全管控意识。为了提升员工的安全意识,对文档加上数字水印 和数字指纹是一个可取的技术手段。
[0015]数字水印和数字指纹技术都是进行文件溯源的技术,这两者都是通过在数字文件 中插入各种信息来对文件进行标识。本质上来说,数字指纹也属于数字水印技术的一种,它 们之间主要的区别在于,数字水印技术会在所有外发的文件中都加入同样的信息,往往用 于标识文件的版权和所有者信息,尤其是音视频产品的版权保护;而数字指纹则是为每一 个用户插入独特的不同的信息,往往用于文件的溯源和安全管控。
[0016]目前,针对视频、图像的数字水印技术已经被深入研宄,采用空域、频域的算法均 已经非常成熟。但是,对于非视频、非图片的文档而言,而在数字水印算法方面的手段还相 对较少,目前主流的水印算法包括:
[0017] 1)行间距编码:在文本的每一页中,对每行的行间距进行微小调整,调整的数值 和顺序作为嵌入的水印信息。
[0018] 2)字间距编码:类似于行间距编码的思路,对每个字符进行水平移位,移位的数 值和顺序作为嵌入的水印信息。
[0019] 3)特征编码:通过改变文本中字符的特征(比如字体)来嵌入水印。
[0020] 以上3种方法主要是针对带格式的文本,比如word、pdf等,而无法用于程序代码 等纯文本环境,并且在经过打印复印后编码信息会难以辨识。
[0021] 而针对无格式文本,主要的数字水印方法包括:
[0022] 4)加入无效不可见字符:针对无格式的纯文本,可以通过在每行的末位加空格等 方法加入水印信息。该方法的缺点是恶意用户可以很容易的清理掉数字文档中的这些字 符,并且文档在被打印、复印、截屏、拍照后会损失水印。
[0023] 5)同义词替换:通过同义词进行替换来插入水印,但是完全同义的词很少,该方 法容易被阅读者察觉,并且在某些情况下会影响语义表达。
[0024] 6)基于语言语法规则的编码:该方法的主要思想是通过对自然语言的分词、句法 分析等等,对文字本身进行修改来嵌入水印信息。包括了purdue大学atallah教授提出的 一种基于计算机自然语言处理技术的文本水印技术;基于汉字结构知识的鲁棒性文本数字 水印算法;基于汉字数学表达式的文本数字水印算法。
[0025]这些方法的优点是直接改变文本本身的内容,水印信息不受文本格式的限制,也 不受拷贝、打印、复印等等方法的影响。而分析检测手段单一,若仅仅采用其中一种方法,如 果恶意用户了解到了水印的算法,实施对文本内容添加或者替换攻击,将非常容易的去除 水印,对水印提取影响很大。
[0026]对于非格式的文本,如果采用单一的技术手段进行水印和指纹的插入,效果并不 会很好。需要一种即适合于格式文本,也适用于非格式文本的数字水印算法,它的算法应该 保持开放性,具备不断的可扩展性,支持各种复杂的语法规则,支持用户根据自身要求进行 自定义配置,具备强大的鲁棒性来抵抗恶意用户的攻击。
[0027] 并且,该算法和系统架构需要适合于现代企业网络化的环境,不仅需要处理快速, 更需要系统配置简单,便于和现有的各种0A办公自动化系统和互联网应用进行集成。
[0028] 以上是现有产品和通用的方法分析,专利系统中的类似专利文献主要包括以下三 个:
[0029] 1)申请人为西北大学,申请号为200910023743.X,名称为"一种基于中文句式模 板变换的文本隐藏方法"的发明专利申请,其通过模板改写句子,避开对语法、语义的复杂 理解和处理,使得载体文本符合语法、语义习惯,避免盲目的改写。
[0030] 2)申请人为湖南大学,申请号为201010127144. 5,名称为"一种基于同义词替换 的文本可恢复水印方法和装置"的发明专利申请,其优点是在提取版权信息的同时恢复原 始文本,能够在军事、法律和文学等对文本内容要求甚高的领域中,既保证文档的版权,又 不会导致合法用户的歧义理解。
[0031] 3)申请人为西北大学,申请号为201210148620. 0,名称为"一种中文超短文本的 水印嵌入和提取方法"的发明专利申请,其充分利用每一个嵌入单元,大大提高了超短文本 的隐藏容量,在提取水印信息时,采用水印验证技术来分析待检测文本是否是经过嵌入处 理的文本,有效地降低了提取水印信息时的虚警率。
[0032]但是以上三个类似方案采用的文本处理替换手段都比较单一,没有提出一种可以 无限扩展的框架来容纳各种语法处理手段,都没有涉及到文件的上传和下载处理流程,没 有一套易于和现有网络应用系统集成的方案,没有涉及到如何保持无缝感知的用户体验。 [0033]