本发明涉及信息安全技术领域,具体涉及一种文件跟踪方法及装置。
背景技术:
在互联网时代,信息安全非常重要,特别是在信息企业中,电子资料是企业的重要资产,需要格外注意信息安全保护,但是时常会发生员工有意或无意泄密企业核心数据,黑客利用木马技术窃取企业数据等现象。
文件泄密是企业最难解决的问题,特别是文件泄密后流向何处,被什么样的组织和人使用,这些信息如果能够追踪得到,不但能够帮助企业控制损失,也能帮助破案人员调查取证,快速解决信息泄密问题。
技术实现要素:
有鉴于此,本发明的目的在于克服现有技术的不足,提供一种文件跟踪方法及装置,该方法能够对泄密文件进行跟踪,确定涉密文件的流向信息,有利于控制泄密文件造成的损失,也有助于破案人员调查取证,迅速确定泄密嫌疑人。
为实现以上目的,本发明采用如下技术方案:一种文件跟踪方法,包括:
当客户端的涉密文件被打开时,运行预先注入的脚本;
通过所述脚本向所述服务端发送消息,使所述客户端与服务端建立连接;
所述消息中包含所述客户端的信息,以使所述服务端接收并记录所述客户端的信息。
可选的,所述脚本中包括服务端的链接地址信息,以通过所述服务端的链接地址信息实现所述客户端与所述服务端建立连接。
可选的,所述客户端的信息包括:客户端的IP地址信息。
可选的,所述通过所述脚本向所述服务端发送消息之前,所述方法还包括:
通过所述脚本获取所述客户端的信息。
可选的,所述客户端的信息还包括:客户端的用户邮箱和/或网站登录账户信息。
可选的,所述通过所述脚本获取所述客户端的信息,包括:
通过所述脚本访问所述客户端的Cookie文件,所述Cookie文件中记录所述客户端的用户邮箱和/或网站登录账户信息,并从所述Cookie文件中获取所述客户端的用户邮箱和/或网站登录账户信息。
可选的,所述通过所述脚本向所述服务端发送消息,使所述客户端与服务端建立连接,所述消息中包括:
向所述服务端发送HTTP Post请求,所述HTTP Post请求中包含Post参数,所述Post参数包括所述客户端的信息。
可选的,所述客户端的信息包括:客户端的IP地址信息、用户邮箱和/或网站登录账户信息,所述方法还包括:
所述服务端接收所述消息后,从所述消息中获取所述客户端的信息;
所述服务端根据所述客户端的IP地址确定所述客户端的地理位置信息,根
据所述用户邮箱和/或网站登录账户信息确定邮箱和/或网站的注册用户身份;
所述服务器将所述客户端的IP地址、对应的地理位置、邮箱和/或网站的注册用户身份作为一条记录保存在存储模块中。
本发明还提供了一种非临时性计算机可读存储介质,当所述存储介质中的指令由客户端的处理器执行时,使得客户端能够执行一种文件跟踪方法,所述方法包括:
当客户端的涉密文件被打开时,运行预先注入的脚本;
通过所述脚本向所述服务端发送消息,使所述客户端与服务端建立连接;所述消息中包含所述客户端的信息,以使所述服务端接收并记录所述客户端的信息。
本发明还提供了一种对文件进行跟踪的装置,包括:
处理器和用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
当客户端的涉密文件被打开时,运行预先注入的脚本;
通过所述脚本向所述服务端发送消息,使所述客户端与服务端建立连接;所述消息中包含所述客户端的信息,以使所述服务端接收并记录所述客户端的信息。
本发明采用以上技术方案,所述的文件跟踪方法包括:当客户端的涉密文件被打开时,运行预先注入的脚本;通过所述脚本向所述服务端发送消息,使所述客户端与服务端建立连接;所述消息中包含所述客户端的信息,以使所述服务端接收并记录所述客户端的信息。所述服务端接收所述消息后,能够从所述消息中获取所述客户端的信息,查找出对应的客户端所在的地理位置等信息。该方法能够对泄密文件进行跟踪,确定涉密文件的流向信息,有利于控制泄密文件造成的损失,也有助于破案人员调查取证,迅速确定泄密嫌疑人。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一种可选实施方式的处理流程图;
图2是向涉密文件注入脚本的处理流程图;
图3是本发明另一种可选实施方式的处理流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行详细的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本发明所保护的范围。
如图1所示,本发明提供了一种文件跟踪方法,作为本发明一种可选的实施方式,该方法包括:
S11:当客户端的涉密文件被打开时,运行预先注入的脚本;
S12:通过所述脚本向所述服务端发送消息,使所述客户端与服务端建立连接;所述消息中包含所述客户端的信息,
S13:所述服务端接收并记录所述客户端的信息。
可以理解的是,在该方法执行之前,需要向涉密文件注入一个脚本;
具体的,向涉密文件注入脚本的处理方法如图2所示:
S21:打开所述涉密文件;
S22:读取所述涉密文件二进制流;
S23:解析所述涉密文件二进制流;
S24:将所述脚本内容写入所述涉密文件二进制流,形成新二进制流;
S25:将新二进制流保存到磁盘上;
S26:关闭所述涉密文件。
以PDF文档为例作进一步说明:PDF文档是由很多对象组成的,向PDF文档注入脚本的处理方法就是在PDF文档对象列表中再添加一个脚本对象,该脚本对象在PDF文档打开时执行。
为了能在PDF文档打开时执行注入的脚本对象,需要在对象列表中添加“/OpenAction 7 0 R”部分,如下面所示:
1 0 obj
/Type/Catalog
/Outlines 2 0 R
/Pages 3 0 R
/OpenAction 7 0 R
Endobj
其中,“OpenAction”表示这个对象需要在打开PDF文档时执行,7表示这个对象的编号。
编号为7的脚本对象内容如下:
7 0 obj
/Type/Action
/S/URI
/URI(http://www.httpserver.com)
endobj
该脚本对象内容是要访问站点www.httpserver.com。
所述脚本中包括服务端的链接地址信息,以通过所述服务端的链接地址信息实现所述客户端与所述服务端建立连接。
进一步的,所述客户端的信息包括:客户端的IP地址(Internet Protocol Address,互联网协议地址)信息,客户端可通过ping命令获取到客户端的IP地址信息。
作为本发明的另一种可选的实施方式:在通过所述脚本向所述服务端发送消息之前,所述方法还包括:通过所述脚本获取所述客户端的信息;所述客户端的信息还包括:客户端的用户邮箱和/或网站登录账户信息。
可选的,所述通过所述脚本获取所述客户端的信息,包括:
通过所述脚本访问所述客户端的Cookie文件,所述Cookie文件中记录所述客户端的用户邮箱和/或网站登录账户信息,并从所述Cookie文件中获取所述客户端的用户邮箱和/或网站登录账户信息。
其中,所述Cookie是由Web服务器保存在客户端上的小文本文件,例如用户在使用了电子邮箱后,会在该Cookie文件里记录邮箱地址。访问Cookie文件并读取邮箱地址和网站登录账户信息属于现有技术,在此不再详述。
需要说明的是,所述脚本向所述服务端发送HTTP Post请求消息,所述HTTP Post请求中包含Post参数,所述Post参数包括所述客户端的用户邮箱和/或网站登录账户信息。
需要进一步说明的是,所述方法还包括:
所述服务端接收所述消息后,从所述消息中获取所述客户端的信息;
所述服务端根据所述客户端的IP地址确定所述客户端的地理位置信息,根据所述用户邮箱和/或网站登录账户信息确定邮箱和/或网站的注册用户身份;
所述服务器将所述客户端的IP地址、对应的地理位置、邮箱和/或网站的注册用户身份作为一条记录保存在存储模块中。
进一步的,本发明还提供了一种非临时性计算机可读存储介质,当所述存储介质中的指令由客户端的处理器执行时,使得客户端能够执行一种文件跟踪方法,所述方法包括:
当客户端的涉密文件被打开时,运行预先注入的脚本;
通过所述脚本向所述服务端发送消息,使所述客户端与服务端建立连接;所述消息中包含所述客户端的信息,以使所述服务端接收并记录所述客户端的信息。
另外,本申请还提供如下实施例:一种对文件进行跟踪的装置,包括:
处理器和用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
当客户端的涉密文件被打开时,运行预先注入的脚本;
通过所述脚本向所述服务端发送消息,使所述客户端与服务端建立连接;所述消息中包含所述客户端的信息,以使所述服务端接收并记录所述客户端的信息。
如图3所示,在实际使用中,当客户端打开所述涉密文件时,该装置执行如下流程:
S31:当客户端的涉密文件被打开时,触发执行所述脚本;
S32:所述脚本访问所述客户端的Cookie文件;
S33:读取所述Cookie文件中的用户邮箱和/或网站登录账户信息;
S34:将所述用户邮箱和/或网站登录账户信息(还可以包括其他终端信息)作为POST参数形成HTTP Post请求;
S35:向所述HTTP服务器发送HTTP Post请求。
S36:所述HTTP服务器接收HTTP Post请求并获取所述客户端的IP地址、用户邮箱和/或网站登录账户信息;
S37:所述服务端根据所述客户端的IP地址确定所述客户端的地理位置信息,根据所述用户邮箱和/或网站登录账户信息确定邮箱和/或网站的注册用户身份;
S38:所述HTTP服务器将所述客户端的IP地址、对应的地理位置以及邮箱和/或网站的注册用户身份作为一条记录保存在存储模块中。用户可通过查看存储模块中的数据获取泄密文件的流向信息。
本发明能够实现对泄密文件进行跟踪,确定泄密文件的流向信息,即:被什么样的组织或人使用过,能够查到客户端的IP地址以及邮箱或网站的注册身份信息,有利于控制泄密文件造成的损失,也能帮助破案人员调查取证,迅速确定泄密嫌疑人,快速解决泄密问题。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。