一种基于多因子认证数据流向控制的方法和系统与流程

1.本发明涉及信息安全技术领域，尤其涉及一种基于多因子认证数据流向控制的方法和系统。


背景技术：

2.随着信息化的发展与普及，各行各业进入了网络时代。但是信息化的发展同时伴随的是网络入侵和信息窃取，为保护重要的信息系统与数据，用户建立内部商用网络、内部工业控制网络。但这些措施大部分基于已知“黑木蠕”的“黑名单”机制，只能对已知网络威胁起到一定的防护作用，而网络安全威胁千变万化，很多重要的业务软件如源代码开发平台、仿真系统等均有公开的数据备份平台或未公开的系统后门，尤其是随着智能制造的发展，大量的高端生产设备、生产控制设备都是通过各种高性能芯片、软件管理与控制，在商业竞争和国家政治军事竞争的大环境下，竞争对手可能在高端生产设备、生产控制设备的芯片或系统中事先设置后门、植入木马，将敏感的科研、生产技术参数采取隐秘手段外发到外部系统的接收端，从而窃取敏感数据。为了防止业务应用、系统、接口、工控网络中智能设备通过预置后门或植入木马，向特定的网络地址自主发送敏感数据，内部系统数据外发流向控制就显得极为重要。


技术实现要素：

3.本发明所要解决的技术问题是针对内部系统数据流向无法有效管理的难题，提供一种基于多因子认证数据流向精准控制的方法和系统。
4.本发明解决上述技术问题的技术方案如下：
5.一种基于多因子认证数据流向控制的方法，所述方法包括：
6.数据接收端预先通过多维度环境身份信息认证与授权流程：预先在待接入的数据接收端中部署多维度环境身份信息采集模块，根据安全策略要求，采集待接入数据接收端的部分或全部多维度环境身份信息，按预先设定的格式制作为所述待接入数据接收端的身份电子数字证书，进行认证和登记备案，分配其允许收受相应的业务资源数据的权限，并设定该数据接收端为可信接入和数据接收认证终端和/或所述数据接收端是否在所述数据接收白名单中；
7.业务资源数据外发流向控制流程：持续监控业务资源数据外发流向，根据数据外发的接收端ip，查询目前该ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端和/或所述数据接收端是否在所述数据接收白名单中，根据查询结果确定数据是否允许外发至该数据接收端；
8.所述环境身份信息包括下述六类信息：数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息；当数据接收端是个人终端时，还包括：用户正常上机的使用习惯信息以及用户身份信息；
9.所述数据接收端所依托设备的硬件信息，包括主板mac地址，cpu厂商、型号、序列
号，存储器件厂商、型号、序列号，以及设备的其他组件的硬件信息要素；
10.所述数据接收端的系统信息，指操作系统名称、版本号；
11.所述数据接收端所并存的应用系统信息，指该设备部署的应用软件信息，如浏览器名称、应用软件名称和版本号应用系统信息；
12.所述数据接收端所处的网络信息，指该数据接收端ip地址、接入路由和代理网关；
13.所述用户正常上机的使用习惯信息，指用户正常的工作时区信息、用户正常的上机时间信息；
14.所述用户身份信息，指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息；
15.所述多维度环境身份信息，指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、和/或三个及三个以上具体信息要素；
16.所述数据接收端包括发起对业务资源访问和接收数据的终端设备、服务器、网络设备、生产设备、虚拟终端设备、虚拟服务器、应用软件、应用软件的特定模块、api以及数据接口；
17.所述业务资源包括业务应用、系统、接口、内部网络和工控网络中智能设备。
18.本方法发明的有益效果是：提出了一种基于多因子认证可接收业务资源的数据接收终端为可信接入和数据接收认证终端的方法，事先对业务资源数据外发的数据接收端进行多维度可信认证和授权，并通过登录验证和持续验证保持数据接收端动态可信，从而保障数据流向精细化的控制在可信任的数据接收端，防止业务资源向未经充分验证其安全性和预先授权的设备、终端、系统发送数据。满足了数据发送时对设备或系统的身份认证的全过程的管理，使数据外发控制精细化到具体的、经高等级安全认证的数据接收端，从而保障保障重要业务系统的数据外发的安全性，防止系统内部的后门、木马、上传备份进程、或其他数据传输手段将数据外发到未经安全认证和授权的接收端。
19.本发明还解决上述技术问题的另一种技术方案如下：
20.一种基于多因子认证数据流向控制的方法，所述方法包括：
21.业务资源数据外发流向控制流程：持续监控业务资源数据外发流向，根据数据外发的接收端ip，查询目前该ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端和/或所述数据接收端是否在所述数据接收白名单中，根据查询结果确定数据是否允许外发至该数据接收端；
22.所述环境身份信息包括下述六类信息：数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息；当数据接收端是个人终端时，还包括：用户正常上机的使用习惯信息以及用户身份信息；
23.所述数据接收端所依托设备的硬件信息，包括主板mac地址，cpu厂商、型号、序列号，存储器件厂商、型号、序列号，以及设备的其他组件的硬件信息要素；
24.所述数据接收端的系统信息，指操作系统名称、版本号；
25.所述数据接收端所并存的应用系统信息，指该设备部署的应用软件信息，如浏览器名称、应用软件名称和版本号应用系统信息；
26.所述数据接收端所处的网络信息，指该数据接收端ip地址、接入路由和代理网关；
27.所述用户正常上机的使用习惯信息，指用户正常的工作时区信息、用户正常的上
机时间信息；
28.所述用户身份信息，指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息；
29.所述多维度环境身份信息，指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、三个及三个以上具体信息要素。
30.本发明还解决上述技术问题的另一种技术方案如下：
31.一种基于多因子认证数据流向控制的方法，所述方法包括：
32.业务资源数据外发流向控制流程：持续监控业务资源数据外发流向，根据数据外发的接收端ip，查询目前所述接收端ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端，根据查询结果确定数据是否允许外发至所述数据接收端；
33.所述环境身份信息包括下述六类信息：数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息；当数据接收端是个人终端时，还包括：用户正常上机的使用习惯信息以及用户身份信息；
34.所述数据接收端所依托设备的硬件信息，包括主板mac地址，cpu厂商、型号、序列号，存储器件厂商、型号、序列号，以及设备的其他组件的硬件信息要素；
35.所述数据接收端的系统信息，指操作系统名称、版本号；
36.所述数据接收端所并存的应用系统信息，指该设备部署的应用软件信息，如浏览器名称、应用软件名称和版本号应用系统信息；
37.所述数据接收端所处的网络信息，指该数据接收端ip地址、接入路由和代理网关；
38.所述用户正常上机的使用习惯信息，指用户正常的工作时区信息、用户正常的上机时间信息；
39.所述用户身份信息，指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息；
40.所述多维度环境身份信息，指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、和/或三个及三个以上具体信息要素。
41.本发明还解决上述技术问题的另一种技术方案如下：
42.一种基于多因子认证数据流向控制的系统，所述系统包括：多维度的环境身份信息采集装置、认证装置和数据外发控制装置：
43.所述环境身份信息采集装置，部署于作为数据接收端中，用于当所述数据接收端在认证时、在对特定业务资源发起访问时和接入特定业务资源后的持续访问过程中，采集该数据接收端的实时多维度的环境身份信息，上传认证装置；
44.所述认证装置，用于对所述待接入数据接收端的认证与授权；所述认证装置根据所述待接入数据接收端的多维度环境身份信息，按预先设定的格式制作为所述待接入数据接收端的身份电子数字证书，进行认证和/或登记备案，若认证通过，分配所述待接入数据接收端允许接收相应的业务资源数据的权限，并设定所述待接入数据接收端为可信接入和数据接收认证终端；
45.所述数据外发流向控制装置，用于对业务外发数据的外发接收端解析，根据数据外发接收端查询认证装置，以确定数据外发接收端是否为可信接入和数据接收终端，从而分别采取允许或阻断数据外发行为。
46.所述环境身份信息包括下述六类信息：数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息；当数据接收端是个人终端时，还包括：用户正常上机的使用习惯信息以及用户身份信息；
47.所述数据接收端所依托设备的硬件信息，包括主板mac地址，cpu厂商、型号、序列号，存储器件厂商、型号、序列号，以及设备的其他组件的硬件信息要素；
48.所述数据接收端的系统信息，指操作系统名称和版本号；
49.所述数据接收端所并存的应用系统信息，指该设备部署的应用软件信息，如浏览器名称、应用软件名称和版本号应用系统信息；
50.所述数据接收端所处的网络信息，指该数据接收端ip地址、接入路由、代理网关；
51.所述用户正常上机的使用习惯信息，指用户正常的工作时区信息和用户正常的上机时间信息；
52.所述用户身份信息，指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息；
53.所述多维度环境身份信息，指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、三个及三个以上具体信息要素；
54.所述数据接收端包括发起对业务资源访问和接收数据的终端设备、服务器、网络设备、生产设备、虚拟终端设备、虚拟服务器、应用软件、应用软件的特定模块、api以及数据接口；
55.所述业务资源包括业务应用、系统、接口、内部网络和工控网络中智能设备。
56.本发明还解决上述技术问题的另一种技术方案如下：
57.一种基于多因子认证数据流向控制的系统，所述系统包括：环境身份信息采集装置、认证装置和数据外发流向控制装置：
58.所述数据外发流向控制装置，用于对业务外发数据的外发接收端解析，根据数据外发接收端查询认证装置，以确定数据外发接收端是否为可信接入和数据接收终端，从而分别采取允许或阻断数据外发行为；
59.所述环境身份信息包括下述六类信息：数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息；当数据接收端是个人终端时，还包括：用户正常上机的使用习惯信息以及用户身份信息；
60.所述数据接收端所依托设备的硬件信息，包括主板mac地址，cpu厂商、型号、序列号，存储器件厂商、型号、序列号，以及设备的其他组件的硬件信息要素；
61.所述数据接收端的系统信息，指操作系统名称、版本号；
62.所述数据接收端所并存的应用系统信息，指该设备部署的应用软件信息，如浏览器名称、应用软件名称和版本号应用系统信息；
63.所述数据接收端所处的网络信息，指该数据接收端ip地址、接入路由和代理网关；
64.所述用户正常上机的使用习惯信息，指用户正常的工作时区信息、用户正常的上机时间信息；
65.所述用户身份信息，指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息；
66.所述多维度环境身份信息，指安全策略要求采集所述环境身份信息包括所述六类
环境身份信息中两个及两个以上类别、三个及三个以上具体信息要素；
67.本发明还解决上述技术问题的另一种技术方案如下：
68.一种基于多因子认证数据流向控制的系统，所述系统包括：
69.所述数据外发流向控制装置，用于根据数据外发的接收端ip，查询目前所述接收端ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端，根据查询结果确定数据是否允许外发至所述数据接收端；
70.所述环境身份信息包括下述六类信息：数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息；当数据接收端是个人终端时，还包括：用户正常上机的使用习惯信息以及用户身份信息；
71.所述数据接收端所依托设备的硬件信息，包括主板mac地址，cpu厂商、型号、序列号，存储器件厂商、型号、序列号，以及设备的其他组件的硬件信息要素；
72.所述数据接收端的系统信息，指操作系统名称、版本号；
73.所述数据接收端所并存的应用系统信息，指该设备部署的应用软件信息，如浏览器名称、应用软件名称和版本号应用系统信息；
74.所述数据接收端所处的网络信息，指该数据接收端ip地址、接入路由和代理网关；
75.所述用户正常上机的使用习惯信息，指用户正常的工作时区信息、用户正常的上机时间信息；
76.所述用户身份信息，指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息；
77.所述多维度环境身份信息，指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、和/或三个及三个以上具体信息要素。
78.本发明附加的方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明实践了解到。
附图说明
79.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
80.图1为本发明实施例所述的一种基于多因子认证数据流向控制方法的流程示意图；
81.图2为本发明另一实施例所述的一种基于多因子认证数据流向控制的系统的示意图；
82.图3为本发明另一实施例所述的一种基于多因子认证数据流向控制的系统的部署示意图。
具体实施方式
83.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发
明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。
84.如图1所示，本发明实施例所述的一种基于多因子认证数据流向控制的方法包括以下步骤：
85.110、数据接收端预先认证与授权流程：预先在待接入数据接收端中部署多维度环境身份信息采集模块；
86.所述多维度环境身份信息采集模块采集待接入数据接收端的多维度环境身份信息，将所述多维度环境身份信息上传至认证装置；
87.所述认证装置根据所述待接入数据接收端的多维度环境身份信息，得到所述待接入数据接收端的身份电子数字证书，并进行登记备案和认证，若认证通过，分配所述待接入数据接收端允许接收相应的业务资源数据的权限，并设定所述待接入数据接收端为可信接入和数据接收认证终端；
88.所述多维度环境身份信息包括：
①
数据接收端所依托设备的mac地址、cpu序列号等硬件信息、
②
数据接收端的操作系统名称、版本号等系统信息、
③
数据接收端所并存的浏览器名称、应用软件名称和版本号等应用系统信息
④
数据接收端所处的ip、接入路由、代理网关等网络信息；当数据接收端是个人终端时，还包括
⑤
用户正常上机时区和时间等使用习惯信息以及用户身份信息(如：用户名、密码、邮箱、社交账号等)；
89.所述数据接收端包括发起对业务资源访问和接收数据的终端设备、服务器、网络设备、生产设备、虚拟终端设备、虚拟服务器、应用软件、应用软件的特定模块、api以及数据接口；
90.所述业务资源包括业务应用、系统、接口、内部网络和工控网络中智能设备。
91.进一步地，还包括步骤120：
92.120、数据接收端接入验证流程：当所述数据接收端发起对所述业务资源访问时，采集所述数据接收端的实时多维度环境身份信息，将所述实时多维度环境身份信息和已经认证的所述数据接收端的身份电子数字证书进行比对，根据比对结果，确定所述数据接收端是否允许访问所述业务资源；
93.当所述实时多维度环境身份信息与已认证的所述数据接收端的身份电子数字证书完全一致时，允许所述数据接收端访问所述业务资源，否则，拒绝允许所述数据接收端访问所述业务资源。
94.进一步地，还包括步骤130：
95.130、数据接收端持续验证流程：当所述数据接收端接入所述业务资源后，根据预先设定的持续验证策略采集所述数据接收端的实时多维度环境身份信息，将所述数据接收端的实时多维度环境身份信息和已经认证的所述数据接收端的身份电子数字证书进行比对，根据比对结果，动态调整所述数据接收终端是否为可信接入和数据接收认证终端，从而确定所述数据接收端是否可继续允许访问所述业务资源；
96.当所述数据接收端的实时多维度环境身份信息与已认证的所述数据接收端身份电子数字证书完全一致时，所述数据接收端保持在可信接入和数据接收认证终端中，并允许所述数据接收端继续访问所述业务资源，否则，拒绝允许所述数据接收端访问所述业务资源。
97.进一步地，还包括步骤140：
98.140、业务资源数据外发流向控制流程：持续监控业务资源数据外发流向，根据数据外发的接收端ip，查询目前所述接收端ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端，根据查询结果确定数据是否允许外发至所述数据接收端。
99.如图2和图3所示，一种基于多因子认证数据流向控制的系统，所述系统包括：环境身份信息采集装置、认证装置和数据外发流向控制装置：
100.所述环境身份信息采集装置，部署于数据接收端中，用于当所述数据接收端在认证时、在对特定业务资源发起访问时和接入特定业务资源后的持续访问过程中，采集该数据接收端的实时多维度的环境身份信息，上传认证装置；
101.认证装置，用于对所述待接入数据接收端的认证与授权。所述认证装置根据所述待接入数据接收端的多维度环境身份信息，按预先设定的格式制作为所述待接入数据接收端的身份电子数字证书，进行认证和登记备案，若认证通过，分配所述待接入数据接收端允许接收相应的业务资源数据的权限，并设定所述待接入数据接收端为可信接入和数据接收认证终端；
102.数据外发流向控制装置，用于对业务外发数据的外发接收端解析，根据数据外发接收端查询认证装置，以确定数据外发接收端是否为可信接入和数据接收终端，从而分别采取允许或阻断数据外发行为。所述多维度环境身份信息包括：
①
数据接收端所依托设备的mac地址、cpu序列号等硬件信息、
②
数据接收端的操作系统名称、版本号等系统信息、
③
数据接收端所并存的浏览器名称、应用软件名称和版本号等应用系统信息
④
数据接收端所处的ip、接入路由、代理网关等网络信息；当数据接收端是个人终端时，还包括
⑤
用户正常上机时区和时间等使用习惯信息以及用户身份信息(如：用户名、密码、邮箱、社交账号等)；
103.所述数据接收端包括发起对业务资源访问和接收数据的终端设备、服务器、网络设备、生产设备、虚拟终端设备、虚拟服务器、应用软件、应用软件的特定模块、api以及数据接口；
104.所述业务资源包括业务应用、系统、接口、内部网络和工控网络中智能设备。
105.进一步地，当所述数据接收端发起对所述业务资源访问时，所述环境身份信息采集装置，用于采集所述数据接收端的实时多维度环境身份信息；
106.所述认证装置，用于将所述实时多维度环境身份信息和已经认证的所述数据接收端的身份电子数字证书进行比对，根据比对结果，确定所述数据接收端是否允许访问所述业务资源；
107.数据外发流向控制装置，用于当所述实时多维度环境身份信息与已认证的所述数据接收端的身份电子数字证书完全一致时，允许所述数据接收端访问所述业务资源，否则，拒绝所述数据接收端访问所述业务资源。
108.进一步地，当所述数据接收端接入所述业务资源后，所述环境身份信息采集装置，用于根据预先设定的持续验证策略采集所述数据接收端的实时多维度环境身份信息；
109.所述认证装置，用于将所述数据接收端的实时多维度环境身份信息和已经认证的所述数据接收端的身份电子数字证书进行比对，根据比对结果，动态调整所述数据接收终端是否为可信接入和数据接收认证终端；
110.所述数据外发流向控制装置，用于确定所述数据接收端是否可继续允许访问所述
业务资源；
111.具体地，所述数据外发流向控制装置，用于当所述数据接收端的实时多维度环境身份信息与已认证的所述数据接收端身份电子数字证书完全一致时，所述数据接收端保持在可信接入和数据接收认证终端中，并允许所述数据接收端继续访问所述业务资源，否则，拒绝允许所述数据接收端访问所述业务资源。
112.进一步地，所述数据外发流向控制装置，用于持续监控业务资源数据外发流向，根据数据外发的接收端ip，查询目前所述接收端ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端，根据查询结果确定数据是否允许外发至所述数据接收端。
113.此外，本发明实施例还提供一种基于多因子认证数据流向控制的方法，所述方法包括：
114.业务资源数据外发流向控制流程：持续监控业务资源数据外发流向，根据数据外发的接收端ip，查询目前该ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端和/或所述数据接收端是否在所述数据接收白名单中，根据查询结果确定数据是否允许外发至该数据接收端；
115.所述环境身份信息包括下述六类信息：数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息；当数据接收端是个人终端时，还包括：用户正常上机的使用习惯信息以及用户身份信息；
116.所述数据接收端所依托设备的硬件信息，包括主板mac地址，cpu厂商、型号、序列号，存储器件厂商、型号、序列号，以及设备的其他组件的硬件信息要素；
117.所述数据接收端的系统信息，指操作系统名称、版本号；
118.所述数据接收端所并存的应用系统信息，指该设备部署的应用软件信息，如浏览器名称、应用软件名称和版本号应用系统信息；
119.所述数据接收端所处的网络信息，指该数据接收端ip地址、接入路由和代理网关；
120.所述用户正常上机的使用习惯信息，指用户正常的工作时区信息、用户正常的上机时间信息；
121.所述用户身份信息，指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息；
122.所述多维度环境身份信息，指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、三个及三个以上具体信息要素。
123.此外，本发明还提供一种基于多因子认证数据流向控制的方法，所述方法包括：
124.业务资源数据外发流向控制流程：持续监控业务资源数据外发流向，根据数据外发的接收端ip，查询目前所述接收端ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端，根据查询结果确定数据是否允许外发至所述数据接收端；
125.所述环境身份信息包括下述六类信息：数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息；当数据接收端是个人终端时，还包括：用户正常上机的使用习惯信息以及用户身份信息；
126.所述数据接收端所依托设备的硬件信息，包括主板mac地址，cpu厂商、型号、序列号，存储器件厂商、型号、序列号，以及设备的其他组件的硬件信息要素；
127.所述数据接收端的系统信息，指操作系统名称、版本号；
128.所述数据接收端所并存的应用系统信息，指该设备部署的应用软件信息，如浏览器名称、应用软件名称和版本号应用系统信息；
129.所述数据接收端所处的网络信息，指该数据接收端ip地址、接入路由和代理网关；
130.所述用户正常上机的使用习惯信息，指用户正常的工作时区信息、用户正常的上机时间信息；
131.所述用户身份信息，指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息；
132.所述多维度环境身份信息，指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、和/或三个及三个以上具体信息要素。
133.本发明还解决上述技术问题的另一种技术方案如下：
134.一种基于多因子认证数据流向控制的系统，所述系统包括：环境身份信息采集装置、认证装置和数据外发流向控制装置：
135.所述数据外发流向控制装置，用于对业务外发数据的外发接收端解析，根据数据外发接收端查询认证装置，以确定数据外发接收端是否为可信接入和数据接收终端，从而分别采取允许或阻断数据外发行为；
136.所述环境身份信息包括下述六类信息：数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息；当数据接收端是个人终端时，还包括：用户正常上机的使用习惯信息以及用户身份信息；
137.所述数据接收端所依托设备的硬件信息，包括主板mac地址，cpu厂商、型号、序列号，存储器件厂商、型号、序列号，以及设备的其他组件的硬件信息要素；
138.所述数据接收端的系统信息，指操作系统名称、版本号；
139.所述数据接收端所并存的应用系统信息，指该设备部署的应用软件信息，如浏览器名称、应用软件名称和版本号应用系统信息；
140.所述数据接收端所处的网络信息，指该数据接收端ip地址、接入路由和代理网关；
141.所述用户正常上机的使用习惯信息，指用户正常的工作时区信息、用户正常的上机时间信息；
142.所述用户身份信息，指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息；
143.所述多维度环境身份信息，指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、三个及三个以上具体信息要素。
144.此外，本发明还提供一种基于多因子认证数据流向控制的系统，所述系统包括：
145.所述数据外发流向控制装置，用于根据数据外发的接收端ip，查询目前所述接收端ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端，根据查询结果确定数据是否允许外发至所述数据接收端；
146.所述环境身份信息包括下述六类信息：数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息；当数据接收端是个人终端时，还包括：用户正常上机的使用习惯信息以及用户身份信息；
147.所述数据接收端所依托设备的硬件信息，包括主板mac地址，cpu厂商、型号、序列号，存储器件厂商、型号、序列号，以及设备的其他组件的硬件信息要素；
148.所述数据接收端的系统信息，指操作系统名称、版本号；
149.所述数据接收端所并存的应用系统信息，指该设备部署的应用软件信息，如浏览器名称、应用软件名称和版本号应用系统信息；
150.所述数据接收端所处的网络信息，指该数据接收端ip地址、接入路由和代理网关；
151.所述用户正常上机的使用习惯信息，指用户正常的工作时区信息、用户正常的上机时间信息；
152.所述用户身份信息，指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息；
153.所述多维度环境身份信息，指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、和/或三个及三个以上具体信息要素。
154.基于上述实施例提出的一种基于多因子认证可接收业务资源的数据接收终端为可信接入和数据接收认证终端的方法，事先对业务资源数据外发的数据接收端进行多维度可信认证和授权，并通过登录验证和持续验证保持数据接收端动态可信，从而保障数据流向可信任的数据接收端，防止业务资源向未经充分验证其安全性和预先授权的设备、终端、系统发送数据。满足了数据发送时对设备或系统的身份认证的全过程的管理，保障重要业务系统的数据只能发送到可信接入和数据接收认证终端，提升了数据接收端的安全性，防止系统内部的后门、木马、上传备份进程、或其他数据传输手段将数据外发到未经安全认证和授权的接收端。
155.以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。
156.以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。