专利名称:一种防止数据泄密的方法、安全网关及系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种防止数据泄密的方法、安全网关及系统。
背景技术:
随着互联网的发展,各种即时通讯工具,如QQ、MSN、Gtalk等,给人们的日常交流带来了极大便利,各种即时通讯工具已成为组织内部人员开展工作的重要日常办公手段。但事物都有其两面性,网络为日常办公带来便捷的同时,通过网络将内部资料泄密的行为越来越多,给组织的信息安全带来的风险也是越来越高,通过即时通讯软件如MSN 等进行传文件就是其中一种常见的泄密途径。如何防止内部用户通过即时通讯工具如MSN、Gtalk等传文件泄密,又不影响其正常的MSN聊天通信成为了一个难题。目前业界通用的方案是在企业的网络出口部署安全网关,进行安全控制。以MSN 为例,现有如下技术方案来封堵即时通讯软件传文件第一种方案是在安全网关上通过行为和内容特征识别出MSN传文件这个行为之后,安全网关上丢掉这些数据包。但多数情况下由于MSN聊天消息和MSN传文件都采用同一个端口一 1863端口,那么如果采用丢包断开连接的方式来拒绝文件的话,聊天消息也跟着会丢失,甚至会断掉聊天的会话连接,导致客户体验非常差。第二种方案,在安全网关上采用发现MSN传文件就发送tcp reset包给会话双方的方式,结果该连接被断掉后,文件发送方在发送消息时,会自动创建新连接,并且在新连接中不断尝试重传之前没有传输成功的文件,从而造成循环的reset。文件接收方的聊天消息则永远不能发送到文件的发送方。
发明内容
本发明要解决的技术问题在于,针对现有技术中防止通过即时通讯工具传送文件导致组织内部信息泄密的技术手段容易影响终端用户的会话行为的缺陷,提供一种能够保证终端用户的正常会话,且可以保证企业数据不被外发泄密的防止数据泄密的方法、安全网关及系统。本发明解决其技术问题所采用的技术方案是提供一种防止数据泄密的方法,包括以下步骤Si、接收内网用户发送的数据包;S2、识别所述数据包是否为包含特征字段的关键数据包;S3、在所述数据包为包含特征字段的关键数据包时,根据数据包传送协议的不同, 篡改数据包的特征字段;S4、将篡改后的数据包发送出去。本发明所述的防止数据泄密的方法中,步骤S3中,在所述数据包为包含特征字段的关键数据包时,若该关键数据包为MSN传文件数据包,则检测所述MSN传文件数据包中是否含有“ INVITE”字段,若是,则将该字段替换为等长度的非特征码字符串。本发明所述的防止数据泄密的方法中,步骤S3中,在所述数据包为包含特征字段的关键数据包时,若该关键数据包为Gtalk加密聊天数据包时,向内网用户发送不支持 tls加密传输的协议的信息,以使内网用户改用明文传输;同时检测所述传文件数据数据包中是否含有字段〈starttlsxmlns = 〃 urn: ietf :params:xml :ns:xmpp_tls〃 Xrequire d/X/starttls〉,若是,则将该字段替换为等长度的非特征码字符串。本发明所述的防止数据泄密的方法中,步骤S3中,在所述MSN传文件数据包中没有“INVITE”字段或所述Gtalk加密聊天数据包中没有〈starttls xmlns =" urn: ietf :pa rams: xml:ns: xmpp-tls" ><required/X/starttls> 字段时,直接将该数据包发送出去。本发明所述的防止数据泄密的方法中,步骤S3中,在所述数据包被识别为MSN传文件数据包时,将其进行标记。本发明解决其技术问题所采用的另一技术方案是提供一种防止数据泄密的安全网关,所述安全网关具体包括收发模块,用于接收内网用户发送的数据包;应用识别模块,用于识别所述数据包是否为包含特征字段的关键数据包;应用服务控制模块,用于在所述数据包为包含特征字段的关键数据包时,根据数据包传送协议的不同,篡改数据包的特征字段,并通过所述收发模块发送出去。本发明所述的防止数据泄密的安全网关中,应用服务控制模块具体用于在所述数据包为包含特征字段的关键数据包时,若该关键数据包为MSN传文件数据包,则检测所述 MSN传文件数据包中是否含有“INVITE”字段,若是,则将该字段替换为等长度的非特征码字符串。本发明所述的防止数据泄密的安全网关中,应用服务控制模块具体用于在所述数据包为包含特征字段的关键数据包时,若该关键数据包为Gtalk加密聊天数据包时,向内网用户发送不支持tls加密传输的信息,以使内网用户改用明文传输;同时检测所述传文件数据数据包中是否含有字段 <starttls xmlns =〃 urn: ietf: params: xml :ns: xmpp-tls “Xrequired/X/starttls〉,若是,则将该字段替换为等长度的任意字符串。本发明所述的防止数据泄密的安全网关中,所述应用识别模块还用于在所述数据包被识别为所述MSN传文件数据包时,将其进行标记。本发明解决其技术问题采用的第三技术方案是提供一种防止数据泄密的系统,包括内网发送端、安全网关、外网服务器和外网接收端,其中,所述内网发送端,用于发起请求并发送数据包;所述安全网关,用于接收所述内网发送端的数据包,并识别所述数据包是否为包含特征字段的关键数据包,在该数据包为包含特征字段的关键数据包,将该数据包中的特征字段替换为等长的非特征码字符串并发送出去;所述外网服务器,用于接收所述安全网关发送的数据包,并转发给所述外网接收端;若数据包中的特征字段被非特征码字符串替换,则无法识别和接收该数据包;所述外网接收端,用于接收所述外网服务器转发的数据包。本发明产生的有益效果是本发明通过识别通过内网安全网关的数据包是否为包含特征字段的关键数据包,若是,则根据数据包传送协议的不同,篡改数据包的特征字段; 再将修改后的数据包发送给服务器(如MSN服务器),而一般服务器无法识别经过篡改后的数据包,从而无法响应客户端的传文件(或会话)动作,则接收方无法看到传输请求,实现了在不断开连接、不影响终端客户非泄密业务的前提下,通过篡改数据包对传文件(或会话)的静默控制,防止了数据的外泄。
下面将结合附图及实施例对本发明作进一步说明,附图中图1是本发明实施例防止数据泄密的方法流程图;图2是本发明实施例防止MSN传文件泄密的方法流程图;图3是本发明实施例防止Gtalk会话泄密的方法流程图;图4是本发明实施例防止数据泄密的安全网关的结构示意图;图5是本发明实施例防止数据泄密的系统结构示意图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。本发明主要是为了防止组织如企业内部的数据外泄,可根据数据包传送协议的不同,篡改数据包的特征字段,使得服务器或者接收端无法识别或无法接收用户发送的数据包,从而防止了组织内部人员的泄密。如图1所示,防止数据泄密的方法主要包括以下步骤Si、组织内部的网络监控设备如安全网关接收内网用户发送的数据包;S2、安全网关识别所述数据包是否为包含特征字段的关键数据包,该关键数据包为传文件数据包或者会话数据包;S3、在所述数据包为包含特征字段的关键数据包时,安全网关根据数据包传送协议的不同,篡改数据包的特征字段;S4、安全网关将篡改后的数据包发送出去,如发送给外网的服务器,通过服务器再将数据包发给外网接收端。在本发明的一个实施例中,用户使用MSN的方式进行通讯,如图2所示,该实施例中防止数据泄密的方法主要包括以下步骤S101、组织内部的网络监控设备如安全网关接收内网用户发送的数据包;S102、安全网关识别所述数据包是否为包含特征字段的MSN传文件数据包;S103、在数据包为MSN传文件数据包时,进一步检测传文件数据包中是否含有 “INVITE”字段。在数据包为传文件数据包时,在本发明的其他实施例中可将被识别为传文件的数据包进行标记,以便于对该数据包数据进行相应的修改。S104、在安全网关检测到传文件数据包中含有“INVITE”字段时,则将该字段替换为等长度的非特征码字符串,如替换为“aaaaaa”。通过非特征码字符串的替换,并通过安全网关将篡改后的数据包发送出去。当然在发送前需要重新计算数据包的校验和等。经过篡改后的数据包到达MSN服务器以后,MSN服务器无法识别该传文件行为而无法响应客户端传文件的动作。MSN服务器再将数据包转发到接收方的PC上,此步由MSN服务器自动进行;接收方PC上的MSN客户端得到该请求数据包,但是由于特征码已经被篡改,因此无法识别该请求数据包为MSN传文件从而无法响应,因此不会接收或在客户端上面显示出MSN传文件请求,接收方用户无法看到请求,则无法接收文件。另外,还可以包括步骤S105 若安全网关检测传文件数据包中并不含有“INVITE” 字段,说明没有传送文件或者传送文件失败,则无需对数据包进行任何修改,可直接通过安全网关将数据包直接发送给MSN服务器。采用了数据包篡改的方案,可以不需要断开原有的连接,从而可以实现细化到单方向的文件拒绝和允许,比如允许外网可以发文件进来,而内网不能发文件出去,或者相反。这对目前最常用的丢包断连接方案是一个很好的改进。在本发明另一实施例中,用户通过Gtalk进行即时通讯,如图3所示,该实施例中防止数据泄密的方法主要包括以下步骤S201、安全网关接收内网用户发送的数据包;S202、安全网关识别数据包是否为包含特征字段识的Gtalk加密聊天数据包;S203、在数据包为Gtalk加密聊天数据包时,安全网关进一步检测传文件数据包中是否含有〈starttls xmlns = “ urn: ietf :params:xml :ns:xmpp-tls" ><required/></ starttls〉字段。根据Gtalk文件传输协议可得到上述会话传输请求数据包的字符特征码。 由于Gtalk的文件传输协议采用tls进行加密传输,在篡改数据包之前,安全网关也可以采用TCP会话劫持的原理,给客户端发送不支持tls加密传输的提示,强迫客户端进行明文传输,这样解析比较方便,根据聊天内容可以及时阻止员工的泄密。如果聊天内容中没有涉及任何秘密,则可以放行。S204、在安全网关检测传文件数据包中含有〈starttls xmlns = " urn: ietf para ms xml ns xmpp-t 1 s “ Xrequired/X/startt 1 s>字段时,则利用TCP会话劫持方法将该字段替换为等长度的非特征码字符串,如等长度的任意字母。安全网关将篡改后的数据包发送到原来的公网Gtalk服务器上,当然在发送前需要重新计算数据包的校验和等,Gtalk服务器再将接收的数据包转发到接收方的PC上,此步由Gtalk服务器自动进行;接收方PC上的Gtalk客户端得到该请求数据包,但是由于特征码已经被篡改,因此无法识别该请求数据包为Gtalk会话数据包从而无法响应,因此不会接收或在客户端上面显示出Gtalk会话请求,接收方用户也无法看到请求,无法接收会话。另外,还可以包括步骤S205若安全网关检测传文件数据包中并不含有〈starttls xmlns = “ urn: ietf :params:xml :ns: xmpp-t Is " ><required/></starttls> 字段,说明会话失败,则无需对数据包进行任何修改,可直接通过安全网关将数据包直接发送给Gtalk 服务器。如图4所示,本发明还提供了一种防止数据泄密的安全网关20,具体包括收发模块21,用于接收内网用户发送的数据包;应用识别模块22,用于识别所述数据包是否为包含特征字段的关键数据包;应用服务控制模块23,用于在所述数据包为包含特征字段的关键数据包时,根据数据包传送协议的不同,篡改数据包的特征字段,并通过收发模块21发送出去。进一步地,应用服务控制模块23具体用于在数据包为MSN传文件数据包,检测MSN 传文件数据包中是否含有“ INVITE”字段,若是,则将该字段替换为等长的非特征码字符串。进一步地,应用服务控制模块23具体用于在数据包为Gtalk加密聊天数据包时, 向内网用户发送不支持tls加密传输的信息,以使内网用户改用明文传输;同时检测数据包中是否含有字段〈starttls xmlns = ” urn: ietf :params:xml :nsxmpp-tls〃 Xrequire d/X/starttls〉,若是,则将该字段替换为等长度的任意字符串。另外,应用识别模块22还用于在数据包被识别为MSN传文件数据包时,将其进行标记。本发明采用数据包篡改技术,可以不需要断开原有的连接,可实现细化到单方向的文件(或会话)拒绝和允许,如允许外网可以发文件(或会话)进来,而内网不能发文件 (或会话)出去,或者相反,简单易行。如图4所示,本发明实施例防止数据泄密的系统包括内网发送端10、安全网关20、 外网服务器30和外网接收端40,其中,内网发送端10,用于发起请求并发送数据包;安全网关20,用于接收内网发送端10的数据包,并识别所述数据包是否为包含特征字段的关键数据包,在该数据包为包含特征字段的关键数据包时,将该关键数据包中的特征字段替换为等长的非特征码字符串并发送出去;安全网关20即为上述实施例中的安全网关,在此不再赘述。外网服务器30,用于接收安全网关20发送的数据包,并转发给外网接收端40 ;若数据包中的特征字段被非特征码字符串替换,则无法识别和接收该数据包。外网接收端40,用于接收外网服务器转发的数据包。本发明防止数据泄密的系统通过篡改数据包中的特征字段的方式来防止组织内部泄密,且篡改数据包的同时不影响原有的通话连接,简单易实现。应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换, 而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
权利要求
1.一种防止数据泄密的方法,其特征在于,包括以下步骤51、接收内网用户发送的数据包;52、识别所述数据包是否为包含特征字段的关键数据包;53、在所述数据包为包含特征字段的关键数据包时,根据数据包传送协议的不同,篡改数据包的特征字段;54、将篡改后的数据包发送出去。
2.根据权利要求1所述的防止数据泄密的方法,其特征在于,步骤S3中,在所述数据包为包含特征字段的关键数据包时,若该关键数据包为MSN传文件数据包,则检测所述MSN传文件数据包中是否含有“ INVITE”字段,若是,则将该字段替换为等长度的非特征码字符串。
3.根据权利要求1所述的防止数据泄密的方法,其特征在于,步骤S3中,在所述数据包为包含特征字段的关键数据包时,若该关键数据包为Gtalk加密聊天数据包时,向内网用户发送不支持tls加密传输的协议的信息,以使内网用户改用明文传输;同时检测所述传文件数据数据包中是否含有字段 <starttls Xmlns=^urn ietf:params xml ns xmpp-tls" Xrequired/X/starttls〉,若是,则将该字段替换为等长度的非特征码字符串。
4.根据权利要求2或3所述的防止数据泄密的方法,其特征在于,在所述MSN传文件数据包中没有“INVITE”字段或所述Gtalk加密聊天数据包中没有〈starttls Xmlns=^urniie tf:params xml ns xmpp_tls〃> <required/X/starttls> 字段时,直接将该数据包发送出去。
5.根据权利要求2所述的防止数据泄密的方法,其特征在于,在所述数据包被识别为 MSN传文件数据包时,将其进行标记。
6.一种防止数据泄密的安全网关,其特征在于,所述安全网关具体包括收发模块,用于接收内网用户发送的数据包;应用识别模块,用于识别所述数据包是否为包含特征字段的关键数据包;应用服务控制模块,用于在所述数据包为包含特征字段的关键数据包时,根据数据包传送协议的不同,篡改数据包的特征字段,并通过所述收发模块发送出去。
7.根据权利要求6所述的防止数据泄密的安全网关,其特征在于,应用服务控制模块具体用于在所述数据包为包含特征字段的关键数据包时,若该关键数据包为MSN传文件数据包,则检测所述MSN传文件数据包中是否含有“ INVITE”字段,若是,则将该字段替换为等长度的非特征码字符串。
8.根据权利要求6所述的防止数据泄密的安全网关,其特征在于,应用服务控制模块具体用于在所述数据包为包含特征字段的关键数据包时,若该关键数据包为Gtalk加密聊天数据包时,向内网用户发送不支持tls加密传输的信息,以使内网用户改用明文传输;同时检测所述传文件数据数据包中是否含有字段〈starttls Xmlns=^urn ietf params xml ns xmpp-tlVXrequired/X/starttls〉,若是,则将该字段替换为等长度的任意字符串。
9.根据权利要求7或8所述的防止数据泄密的安全网关,其特征在于,所述应用识别模块还用于在所述数据包被识别为所述MSN传文件数据包时,将其进行标记。
10.一种防止数据泄密的系统,其特征在于,包括内网发送端、安全网关、外网服务器和外网接收端,其中,所述内网发送端,用于发起请求并发送数据包;所述安全网关,用于接收所述内网发送端的数据包,并识别所述数据包是否为包含特征字段的关键数据包,在该数据包为包含特征字段的关键数据包,将该数据包中的特征字段替换为等长的非特征码字符串并发送出去;所述外网服务器,用于接收所述安全网关发送的数据包,并转发给所述外网接收端;若数据包中的特征字段被非特征码字符串替换,则无法识别和接收该数据包; 所述外网接收端,用于接收所述外网服务器转发的数据包。
全文摘要
本发明公开了一种防止数据泄密的方法、安全网关及系统,其中防止数据泄密的方法主要包括以下步骤接收内网用户发送的数据包;识别数据包是否为包含特征字段的关键数据包;在数据包为包含特征字段的关键数据包时,根据数据包传送协议的不同,篡改数据包的特征字段;将篡改后的数据包发送出去。本发明实现了在不断开连接、不影响终端客户非涉密业务的前提下,通过篡改数据包对传文件(或会话)的静默控制,防止了企业内部数据的外泄。
文档编号H04L12/66GK102333042SQ20111033673
公开日2012年1月25日 申请日期2011年10月31日 优先权日2011年10月31日
发明者张武健, 郑磊 申请人:深信服网络科技(深圳)有限公司