本发明涉及信息安全领域,具体涉及一种基于tdi接口层的数据防泄漏方法及系统。
背景技术:
随着信息科学与互联网技术的飞跃发展,安全问题愈演愈烈,网络与信息安全已获得到前所未有的关注。其中,数据防泄漏系统作为数据安全的终端防护手段,需要对数据进行安全管控。对此,北京明朝万达科技股份有限公司提出一种针对数据防泄漏系统的网络拦截在tdi接口层的应用方法。
目前,传统网络拦截是一般通过spi(serviceproviderinterface)截包技术或者hook网络通信函数来实现,内部实现是通过加载ws2_32.dll调用winsock网络接口。该方式拦截不够严密,从而有数据泄露的风险。
首先,如图1,在特定应用情况下,如在新版的ie11增加了增强型保护模式。ie11不再使用ws2_32.dll调用winsock网络接口。在这种应用程序中传统网络拦截方式不能够拦截到网络数据。
其次,在同一台计算机安装带有传统网络拦截技术的不同软件,可能会引起不同程度的访问冲突,造成软件之间互相干扰。
因此,需要一种新的网络拦截方式,不再局限于应用程序的网络传输方式和网络拦截应用的安装环境,能够更全面,更安全的拦截到网络数据。
技术实现要素:
为解决上述技术问题,本发明提供了一种基于tdi接口层的数据防泄漏方法,包括以下步骤:
1)生成至少一种数据外发策略和数据接收策略;
2)加载上述数据外发策略和数据接收策略;
3)当应用程序需要进行发送或接收网络数据包的时候,通过tdi驱动程序截获irp数据包;
4)截取数据包后,所述tdi驱动程序进一步对所述irp数据包进行过滤,将过滤后的所述irp数据包发送到重定向模块作进一步处理;
5)所述重定向模块对截取到的所述irp数据包进行分析,根据配置的上述数据外发策略和数据接收策略处理数据。
根据本发明的实施例,优选的,所述数据外发策略针对:邮件接收客户端、http数据接收客户端;所述数据接收策略针对:邮件外发客户端、http数据外发客户端。
根据本发明的实施例,优选的,邮件客户端外发邮件策略以及http数据外发策略包括:配置加密类型和审计类型,其中加密类型包括:不加密、附件加密和全文加密;审计类型包括:审计和不审计。
根据本发明的实施例,优选的,邮件客户端接收邮件策略以及http数据接收策略包括:配置解密类型和审计类型,其中解密类型包括:解密和不解密;审计类型包括:审计和不审计。
根据本发明的实施例,优选的,所述重定向模块以插件形式加载。
根据本发明的实施例,优选的,所述重定向模块分析所述irp数据包,解析出所述irp数据包发送的协议数据,解析出的协议包括:smtp、pop、http、https;解析出的数据拆分为:内容数据、附件数据、附件名数据。
为解决上述技术问题,本发明提供了一种基于tdi接口层的数据防泄漏系统,包括:
策略生成模块,生成至少一种数据外发策略和数据接收策略;
策略加载模块,加载上述数据外发策略和数据接收策略;
tdi驱动模块,当应用程序需要进行发送或接收网络数据包的时候,截获irp数据包,并对所述irp数据包进行过滤,将过滤后的irp数据包发送到重定向模块;
重定向模块,对截取到的所述irp数据包进行分析,根据配置的上述数据外发策略和数据接收策略进行数据处理。
根据本发明的实施例,优选的,所述数据外发策略针对:邮件接收客户端、http数据接收客户端;所述数据接收策略针对:邮件外发客户端、http数据外发客户端。
根据本发明的实施例,优选的,所述重定向模块分析所述irp数据包,解析出所述irp数据包发送的协议数据,解析出的协议包括:smtp、pop、http、https;解析出的数据拆分为:内容数据、附件数据、附件名数据。
为解决上述技术问题,本发明提供了一种计算机终端,该计算机终端包括计算机处理装置和计算机存储介质,该计算机存储介质存储有计算机指令,当所述计算机处理装置执行上述计算机指令时,执行上述方法之一。
通过本发明的技术方案,取得了以下有益的技术效果:
可应用于各种应用程序的网络传输方式和网络拦截应用的安装环境,能够全面、安全的拦截到网络数据,防止敏感数据泄露。
附图说明
图1是现有技术中的ie11数据发送流程图
图2是本发明的网络拦截流程图
图3本发明系统架构图
图4是本发明的网络协议架构图
图5是协议数据拆分图
图6是利用本发明技术方案的具体实施例
具体实施方式
<本发明的方法流程图>
如图2,本发明提供了一种针对数据防泄漏系统的网络拦截在tdi接口层的应用方法,其特征在于,该方法包括:
生成邮件客户端外发策略,配置加密类型和审计类型,加密类型包括:不加密,附件加密,全文加密;审计类型包括:审计和不审计。
生成邮件客户端接收策略,配置解密类型和审计类型,解密类型包括:解密和不解密;审计类型包括:审计和不审计。
生成http外发策略,配置加密类型和审计类型,加密类型包括:加密和不加密;审计类型包括:审计和不审计。
生成http接收策略,配置解密类型和审计类型,解密类型包括:解密和不解密;审计类型包括:审计和不审计。
加载上述网络拦截策略。
当应用程序需要进行发送或接收网络数据包的时候,通过tdi驱动程序截获irp数据包。
截取数据包后,tdi驱动进一步对irp数据包进行过滤,将数据发送到向到重定向模块进一步处理。
重定向模块对截取到的数据进行分析,根据配置的策略信息,处理数据包。
<本发明的系统架构>
如图3,本发明公开了一种基于tdi接口层的数据防泄漏系统,包括:
策略生成模块,生成至少一种数据外发策略和数据接收策略;
策略加载模块,加载上述数据外发策略和数据接收策略;
tdi驱动模块,当应用程序需要进行发送或接收网络数据包的时候,截获irp数据包,并对所述irp数据包进行过滤,将过滤后的irp数据包发送到重定向模块;
重定向模块,对截取到的所述irp数据包进行分析,根据配置的上述数据外发策略和数据接收策略进行数据处理。
所述数据外发策略针对:邮件接收客户端、http数据接收客户端;所述数据接收策略针对:邮件外发客户端、http数据外发客户端。
邮件客户端外发邮件策略以及http数据外发策略包括:配置加密类型和审计类型,其中加密类型包括:不加密、附件加密和全文加密;审计类型包括:审计和不审计。
邮件客户端接收邮件策略以及http数据接收策略包括:配置解密类型和审计类型,其中解密类型包括:解密和不解密;审计类型包括:审计和不审计。
所述重定向模块分析所述irp数据包,解析出所述irp数据包发送的协议数据,解析出的协议包括:smtp、pop、http、https;解析出的数据拆分为:内容数据、附件数据、附件名数据。
当应用程序需要进行发送或接收网络数据包的时候,都是通过协议驱动(如:tcpip.sys)所提供的接口(如sendto,connect)来进行的。协议驱动提供了一套系统预定义的标准接口来和应用程序之间进行交互
如图4,传输层过滤驱动程序tdi驱动通过创建一个或多个设备对象(设备对象:tdi设备:"\\device\\tcp",对应tcp协议;"\\device\\udp";对应udp协议;
"\\device\\rawip",对应原始ip包)直接挂接到现有的驱动程序之上(tcpip.sys)。当有应用程序或其它驱动程序调用这个设备对象时,会首先映射到过tdi驱动上,然后由tdi驱动再传递给原来的设备对象(tcpip.sys)。
tdi驱动模块截获到网络数据包,解析出需要重定向的数据包,通过tcp协议发送到重定向模块。
重定向模块以插件形式加载到防泄漏系统中,防泄漏系统开机即运行加载插件。
参看图5,重定向模块插件分析数据包,解析出数据包发送的协议数据,协议包括smtp,pop,http,https。解析出信息拆分出:内容数据,附件数据,附件名数据。
具体实施例
如图6,某银行客户数据安全管理项目,防泄漏系统将网络划分为行内网路和行外网络。内网之间邮件通讯需要加密发送,内外网邮件之间通讯需要审计后进行明文发送。
邮件外发加密策略:邮件客户端外发附件加密,附件和邮件信息上传防泄漏服务器用于审计。
邮件接收解密策略:邮件客户端接收附件加密,附件和邮件信息上传防泄漏服务器用于审计。
web外发加密策略:配置oa邮箱地址到http外发控制策略,邮件外发和接收时附件和邮件信息上传防泄漏服务器用于审计。
邮件服务器通过公务邮箱通过明文外发登记后可明文发送给银行外的任意终端,均可以接收阅读。
而邮件服务器行内的通信邮件需要加密传输,安全终端接收邮件后自动解密,不影响用户阅读。如果是非法终端截取到经过加密的邮件,无法正常读取。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应保护在本发明的保护范围之内。