加密压缩文件的监控方法及装置与流程

本发明涉及信息安全
技术领域：
，具体涉及一种加密压缩文件的监控方法及装置。
背景技术：
：在互联网时代，信息安全非常重要，特别是在信息企业中，电子资料是企业的重要资产，需要格外注意信息安全保护，但是时常会发生员工有意或无意泄密企业核心数据，黑客利用木马技术窃取企业数据，还有勒索病毒破坏企业数据等现象。为应对这些安全威胁，各种企业数据保护技术方案也应运而生，例如：基于文件加密技术的防泄密方案。在数据丢失防护
技术领域：
中，比较棘手的一个问题是加密压缩文件的内容判别问题，当一个加密压缩文件试图被发送到企业网络之外，或者发送给企业内没有访问权限的员工，由于内容被加密，技术层面很难对其进行精准识别，因而也无法对该压缩文件实施灵活的安全策略。现有技术主要采用“禁止或者允许加密压缩文件传输”的简单策略，例如：在边界网关设备处对加密压缩文件直接进行拦截或放行，在文件被拷贝到usb(universalserialbus，通用串行总线)设备时直接拦截或放行。这种实施方法比较简单，但无法兼顾安全性与可用性。技术实现要素：有鉴于此，本发明的目的在于克服现有技术的不足，提供一种加密压缩文件的监控方法及装置。为实现以上目的，本发明采用如下技术方案：一种加密压缩文件的监控方法，包括：监测到对压缩文件的操作；查询所述压缩文件的权限；根据查询到的压缩文件的权限对所述操作实施阻止或放行；其中，所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。可选的，所述压缩文件的权限是所述压缩文件包含的所有子文件中权限安全级别最高的一个权限。可选的，当所述方法由客户端执行时，所述方法还包括：客户端向服务端发送客户端所存储的子文件的文件信息，以使所述服务端根据所述子文件信息确定相应子文件的权限。可选的，所述压缩文件的权限是所述客户端从所述服务端获取的，所述监测到对压缩文件的操作之后，所述方法还包括：客户端根据所述操作的事件信息确定审计信息，并将所述审计信息发送给服务端，以使所述服务端根据所述审计信息确定所述压缩文件包含的子文件以及根据所述子文件的权限确定所述压缩文件的权限。可选的，所述客户端根据所述操作的事件信息确定审计信息，包括：客户端监测到压缩文件对子文件的操作；客户端判断所述操作是否为已记录的压缩程序执行的；如果所述操作是已记录的压缩程序执行的，判断所述子文件是否为需要监控的文件；如果所述子文件是需要监控的文件，客户端根据所述操作的事件信息确定审计信息。可选的，所述客户端根据所述操作的事件信息确定审计信息，包括：客户端监测到所述操作后，直接根据所述操作的事件信息确定审计信息。可选的，当所述方法由网关设备执行时，所述查询所述压缩文件的权限，包括：所述网关设备向服务端查询所述压缩文件的权限。本发明还提供了一种加密压缩文件的监控装置，包括：第一监测模块，用于监测对压缩文件的操作；文件权限查询模块，用于查询所述压缩文件和子文件的权限；执行模块，用于根据查询到的压缩文件的权限对所述操作实施拦截或放行；第二监测模块，用于监测压缩程序对子文件的操作事件；文件监控模块，用于判断所述压缩程序是否为已记录的压缩程序执行的；用于判断所述子文件列表中的子文件是否属于被监控的文件类型；策略分析模块，用于根据所有子文件的权限，为所述压缩文件产生一个新权限；策略管理模块，用于将所述策略分析模块产生的新权限和所述压缩文件作为一条记录予以保存。本发明还提供了一种非临时性计算机可读存储介质，当所述存储介质中的指令由服务端的处理器执行时，使得服务端能够执行一种加密压缩文件的监控方法，所述方法包括：监测到对压缩文件的操作；查询所述压缩文件的权限；根据查询到的压缩文件的权限对所述操作实施拦截或放行；其中，所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。本发明还提供了一种加密压缩文件的监控装置，包括：处理器和用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：监测到对压缩文件的操作；查询所述压缩文件的权限；根据查询到的压缩文件的权限对所述操作实施拦截或放行；其中，所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。本发明采用以上技术方案，所述加密压缩文件的监控方法包括：监测到对压缩文件的操作；查询所述压缩文件的权限；根据查询到的压缩文件的权限对所述操作实施阻止或放行；其中，所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。本发明所提供的对加密压缩文件的监控方法，通过对加密压缩文件赋予新权限，保证在防止加密压缩文件外泄的前提下，大大提高了压缩文件的可用性，兼顾了压缩文件的安全性与可用性。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本发明加密压缩文件的监控方法实施例一的流程图；图2是本发明加密压缩文件的监控方法实施例二的流程图；图3是本发明加密压缩文件的监控装置的结构示意图；图4是本发明加密压缩文件的监控装置实施例一的结构示意图；图5是本发明加密压缩文件的监控装置实施例二的结构示意图。图中：1、第一监测模块；2、文件权限查询模块；3、执行模块；4、策略管理模块；5、策略分析模块；6、第二监测模块；7、文件监控模块；8、文件信息上传模块。具体实施方式为使本发明的目的、技术方案和优点更加清楚，下面将对本发明的技术方案进行详细的描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式，都属于本发明所保护的范围。如图1所示，作为本发明实施例一，提供了一种加密压缩文件的监控方法，包括：s11：监测到对压缩文件的操作；例如，网关设备对经过网关的压缩文件的操作进行监测；或者是客户端对本地的压缩文件的操作进行监测。这里所述的对压缩文件的操作是指：对压缩文件发送、拷贝、读、写等操作。s12：查询所述压缩文件的权限；s13：根据查询到的压缩文件的权限对所述操作实施拦截或放行。其中，所述压缩文件的权限是根据所述压缩文本包含的子文件的权限确定的。如图2所示，作为本发明加密压缩文件的监控方法实施例二，当所述方法由客户端执行时，所述方法包括：s20：客户端向服务端发送客户端所存储的子文件的文件信息，所述服务端获取所有子文件信息。所述子文件信息包括：文件内容哈希值、文件完整路径(包括文件名称)、文件大小、客户端资产id和客户端用户id。其中，所述文件内容哈希值可通过md5(message-digestalgorithm，信息-摘要算法5)或sha2(securehashalgorithm2，安全哈希算法2)计算得到。所述客户端资产id可通过服务端的管理员人工配置，也可以由服务端自动配置：直接采用客户端硬件唯一标识码，比如：主板编码、网卡地址，或者是由软件产生的一个全球通用唯一标识码；客户端用户id可以是具有唯一性质的员工编号、邮件地址或者是用户姓名等。s21：在所述服务端完成对子文件的权限、要监控的压缩程序名称列表以及压缩文件扩展名列表的配置记录。上述子文件的权限可以包括：文件的公开范围，能够操作的行为，例如读写，拷贝，外发等行为。s22：监测压缩程序对子文件的操作事件，并形成审计信息；可以是指客户端监测压缩程序对子文件的操作事件，所述操作事件包括打开文件、读取文件、创建压缩文件或写压缩文件等。s23：判断所述压缩程序是否与压缩程序名称列表中的某一项匹配；当所述压缩程序与压缩程序名称列表中的某一项匹配时，执行s24，否则执行s28；s24：获取压缩文件中包含的子文件列表，并判断所述子文件列表中的子文件是否属于被监控的文件类型，当被压缩的子文件属于被监控的文件类型时，执行s25，否则执行s28；s25：将上述审计信息发送给服务端，以使所述服务端根据所述审计信息确定所述压缩文件包含的子文件以及所述子文件的权限；s26：由所有子文件的权限产生一个新权限赋予所述压缩文件：选取所有子文件中权限安全级别最高的一个权限值作为所述压缩文件的权限；s27：将所述新权限和所述压缩文件作为一条记录予以保存。s28：忽略该操作事件。s29：当客户端监测到对压缩文件的发送、拷贝、读、写等操作。s210：查询所述压缩文件的权限。s211：根据查询到的压缩文件的权限对所述操作实施阻止或放行。所述审计信息包括对每个子文件的操作事件信息。其中，每条操作事件信息包括但不限于：压缩程序全路径、压缩程序哈希值、事件动作、文件哈希值、文件全路径、操作时间、客户端资产id和客户端用户id等。这里所述的压缩程序包括所有具备压缩能力的可执行程序，例如：rar、zip等。需要补充的是，所述子文件的格式包括：pdf、word、wps、excel、ppt、zip、gz、rar、txt、jpeg、bmp图片文件、文字文件或压缩格式文件。需要进一步补充说明的是，如图3所示，本发明还提供了一种加密压缩文件的监控装置，包括：第一监测模块1，用于监测压缩文件的发送或拷贝操作；文件权限查询模块2，用于查询所述压缩文件和子文件的权限；执行模块3，用于根据查询到的压缩文件的权限实施拦截或放行；第二监测模块6，用于监测压缩程序对子文件的操作事件；文件监控模块7，用于判断所述压缩程序是否为已记录的压缩程序执行的；用于判断所述子文件列表中的子文件是否属于被监控的文件类型；策略分析模块5，用于根据所有子文件的权限，为所述压缩文件产生一个新权限；策略管理模块4，用于将所述策略分析模块5产生的新权限和所述压缩文件作为一条记录予以保存。在实际使用中，所述策略分析模块5和策略管理模块4可以设置在服务端，所述第二监测模块6和文件监控模块7设置在客户端，所述第一监测模块1、文件权限查询模块2和执行模块3设置在客户端或网管设备中；所述策略管理模块4通过设置在客户端的文件信息上传模块8将客户端的文件信息发送至所述策略管理模块4，所述策略管理模块4获取所有子文件信息，并完成对子文件的权限、要监控的压缩程序名称列表以及压缩文件扩展名列表的配置。举例说明，表1为所述配置子文件权限表的具体形式，表1中doc_full_name由客户端的文件信息上传模块8发送到服务端，asset_id和employee_id由管理员导入，表1中的doc_hash表示文件内容哈希值，举例值采用了短字符串表示；doc_full_name表示文件完整路径(包括名称)；asset_id表示资产id；employee_id表示用户id；send_right表示外发权限(权限属性可以是一个或多个字段，例如：网络发送权限、u盘拷贝权限、读写权限等)，布尔类型值。所述压缩程序名称列表为：gzip.exe/program/rar.exetar.exe...doc_hashdoc_full_nameasset_idemployee_idsend_right…h0001c:\documents\e.pdfa0001e0001trueh0001d:\e.pdfa0001e0001trueh0002c:\m.doca0001e0001falseh0002d:\m.doca0002e0001falseh0001c:\documents\e.pdfa0003e0002true表1所述压缩文件扩展名列表为：gzziprar...可以理解的是，所述客户端的文件信息上传模块8可以采用周期性遍历所述客户端磁盘的方式，或者根据文件变动事件触发方式向所述服务端的策略管理模块4上传文件信息。所述文件变动事件是指对文件的创建、读写、删除或移动等操作。所述第二监测模块6用于监测压缩程序对子文件的操作事件，每条操作事件信息字段包括但不限于：压缩程序全路径、压缩程序哈希值、事件动作、文件哈希值、文件全路径、操作时间、客户端资产id和客户端用户id等。每条操作事件信息以如下的格式被发送到服务端的策略分析模块5，进程名称、读取的文件名称、时间进程名称、创建文件名称、时间进程名称、读取文件名称、时间进程名称、写文件名称、时间......所述策略分析模块5对收到的信息进行分析得到子文件列表，并根据所有子文件的权限，为所述压缩文件产生一个新权限。所述策略分析模块5会向所述策略管理模块4发送一条增加或修改权限的请求，以实现将所述新权限和所述压缩文件作为一条记录保存在策略管理模块4中。如图4所示，作为该监控装置的实施例一，当客户端的第一监测模块1监测到客户端上存在对本地的压缩文件进行发送或拷贝等操作时，会调用所述文件权限查询模块2向服务端的策略管理模块4发送权限查询请求，完成所述压缩文件的权限查询；位于客户端的执行模块3会根据文件权限查询模块2的查询结果对该压缩文件发送或拷贝等操作实行拦截或放行。类似的，如图5所示，作为该监控装置的实施例二，网关设备也可对经过网关的压缩文件实施监控：当网关设备的第一监测模块1监测到网关设备上存在对压缩文件的发送或拷贝等操作时，所述网关设备会调用所述文件权限查询模块2向服务端的策略管理模块4发送权限查询请求，完成所述压缩文件的权限查询；位于网关设备的执行模块3会根据文件权限查询模块2的查询结果对该压缩文件发送或拷贝等实行拦截或放行。此外，本申请还提供如下实施例：一种非临时性计算机可读存储介质，当所述存储介质中的指令由服务端的处理器执行时，使得服务端能够执行一种加密压缩文件的监控方法，所述方法包括：监测到对压缩文件的操作；查询所述压缩文件的权限；根据查询到的压缩文件的权限对所述操作实施拦截或放行；其中，所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。此外，本申请还提供如下实施例：一种加密压缩文件的监控装置，包括：处理器和用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：监测到对压缩文件的操作；查询所述压缩文件的权限；根据查询到的压缩文件的权限对所述操作实施拦截或放行；其中，所述压缩文件的权限是根据所述压缩文件包含的子文件的权限确定的。可以理解的是，上述各实施例中相同或相似部分可以相互参考，在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。需要说明的是，在本申请的描述中，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本申请的描述中，除非另有说明，“多个”的含义是指至少两个。流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属
技术领域：
的技术人员所理解。应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。本
技术领域：
的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器，磁盘或光盘等。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。当前第1页12