CN101789942A - 一种防敏感数据泄密的方法及装置 - Google Patents
一种防敏感数据泄密的方法及装置 Download PDFInfo
- Publication number
- CN101789942A CN101789942A CN201010104930A CN201010104930A CN101789942A CN 101789942 A CN101789942 A CN 101789942A CN 201010104930 A CN201010104930 A CN 201010104930A CN 201010104930 A CN201010104930 A CN 201010104930A CN 101789942 A CN101789942 A CN 101789942A
- Authority
- CN
- China
- Prior art keywords
- connection request
- matching
- sensitive data
- betraying
- compartment wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防敏感数据泄密的方法及装置,涉及网络安全领域,用以解决现有防敏感数据泄密的技术不能有效阻止敏感数据泄密的问题。方法包括:防火墙拦***问源发来的连接请求;防火墙对该连接请求进行敏感数据访问策略匹配;若匹配结果为允许,则转发该连接请求并允许访问目的数据;若匹配结果为不允许,则阻断该连接请求。防火墙包括:拦截单元,用于拦***问源发来的连接请求;匹配单元,用于对拦截到的连接请求进行敏感数据访问策略匹配;转发单元,在匹配结果为允许时被触发,用于转发该连接请求并允许访问目的数据;阻断单元,在匹配结果为不允许时被触发,用于阻断该连接请求。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种防敏感数据泄密的方法及装置。
背景技术
Internet的迅速发展以及普及,使之成为日常个人、企业或政府部门等获得信息和发布信息的主要手段,使Internet变成了资源丰富的信息宝库;Internet已成为信息传播的重要手段,正逐渐代替传统的信息传播手段。
为了从Internet获取信息,企业的内部网络必须与Internet连接。不法分子或黑客等能通过各种手段来进入企业的内网盗取敏感数据;内部人员也可通过Internet泄露企业的敏感数据。因此保护企业的敏感数据不被通过Internet泄露是网络安全里一个主要的任务。
现有防敏感数据泄密的主要技术是基于审计***,参见图1所示,在企业部署审计日志服务器,以日志的形式记录内部用户的网络操作等。可见,审计日志只能事后取证,不能及时阻止敏感数据的泄密,而且审计日志服务器对病毒、黑客等无法阻止。
发明内容
本发明提供了一种防敏感数据泄密的方法及装置,用以解决现有防敏感数据泄密的技术不能有效阻止敏感数据泄密的问题。
本发明的一种防敏感数据泄密的方法,包括下列步骤:防火墙拦***问源发来的连接请求;防火墙对该连接请求进行敏感数据访问策略匹配;若匹配结果为允许,则转发该连接请求并允许访问目的数据;若匹配结果为不允许,则阻断该连接请求。
本发明的一种防火墙,包括:拦截单元,用于拦***问源发来的连接请求;匹配单元,用于对拦截到的连接请求进行敏感数据访问策略匹配;转发单元,在匹配结果为允许时被触发,用于转发该连接请求并允许访问目的数据;阻断单元,在匹配结果为不允许时被触发,用于阻断该连接请求。
本发明有益效果如下:
本发明在防火墙上增加了拦截连接请求的机制、匹配机制,以及根据匹配结果的不同处理机制。所以有效阻断非法连接盗取内部网络中的数据,从而防止了敏感数据的泄密。
附图说明
图1为现有审计***的结构示意图;
图2为本发明实施例中的防火墙部署示意图;
图3为本发明实施例中的防火墙结构示意图;
图4为本发明实施例中的方法步骤流程图。
具体实施方式
由于Internet的固有特点使之在网络安全方面很薄弱,因此有大量相关的网络安全产品出现,如防火墙、入侵检测、漏洞扫描和安全审计等,这些安全产品的特点都是保护企业的私有网络或资源不被非授权访问和修改,或记录审计日志以日后取证等。本发明的主要思路是在防火墙上阻止企业的敏感数据被发布到Internet上。参见图2所示,本发明实施例中的防火墙网络部署如下:防火墙的部署位置通常在Internet与服务器区或/和内部网络之间,防火墙的部署位置决定了其是网络安全的第一道安全保证,也是最重要的安全屏障,所以其自身的软件安全要求是极高的,所用操作***也是专有的或经过安全加固的;而且防火墙工作特点必须是能长时间高复核的连续工作,所以硬件的性能和稳定性也要求很高。基于防火墙这些特点,在防火墙上阻止敏感数据的泄密较审计保护方法有很多优越之处。
因此,本发明实施例中提供了一种防火墙,参见图3所示,包括:拦截单元、匹配单元、转发单元和阻断单元。
拦截单元,用于拦***问源发来的连接请求。
匹配单元,用于对拦截到的连接请求进行敏感数据访问策略匹配。策略匹配包括:关键字匹配、IP地址匹配,或/和MAC地址匹配。
转发单元,在匹配结果为允许时被触发,用于转发该连接请求并允许访问目的数据。
阻断单元,在匹配结果为不允许时被触发,用于阻断该连接请求。
进一步,还可包括:日志单元(在图3中未画出),用于在阻断单元阻断该连接请求后,记录该连接请求的信息,以备日事后审计查证。
在具体实现中,例如:连接请求中携带有“报表”。
携带有“报表”二字的连接请求从Internet发往企业内部网络,经过防火墙时,拦截单元将该连接请求拦截;
匹配单元以敏感数据访问策略中的关键词策略对该连接请求进行匹配;
匹配后发现该连接请求中携带有“报表”二字,不能被接受,则阻断单元被触发;
阻断单元阻断该连接请求;
同时,日志单元记录该连接请求的关键字内容(即“报表”),该连接请求的完整内容,该连接请求访问源的IP地址、MAC地址等,以备日事后审计查证。
在具体实现中,又例如:连接请求中携带有“报表”,连接请求的访问源IP地址为XXX。
携带有“报表”二字的连接请求从Internet发往企业内部网络,经过防火墙时,拦截单元将该连接请求拦截;
匹配单元以敏感数据访问策略中的关键词策略和IP地址策略对该连接请求进行匹配;
匹配后发现该连接请求中携带有“报表”二字,但该连接请求的访问源IP地址为XXX,具有访问企业内部数据的最高权限,则转发单元被触发;
转发单元将该连接请求转发到企业内部网络,允许访问目的数据。
本发明实施例中还提供了一种防敏感数据泄密的方法,参见图4所示,包括下列主要步骤:
S1、防火墙拦***问源发来的连接请求。
S2、防火墙对该连接请求进行敏感数据访问策略匹配。策略匹配包括:关键字匹配、IP地址匹配,或/和MAC地址匹配。若匹配结果为允许,则转入S3,若匹配结果为不允许,则转入S4。
S3、转发该连接请求并允许访问目的数据,终结流程。
S4、阻断该连接请求。
S5、记录该连接请求的信息,终结流程。
在具体实现中,例如:连接请求的访问源MAC地址为YYY。
防火墙拦***问源发来的连接请求。
防火墙以敏感数据访问策略中的MAC地址策略对该连接请求进行匹配。发现该MAC地址不在信任列表中,则匹配结果为不允许。
防火墙阻断该连接请求,并记录该连接请求的完整内容,该连接请求访问源的IP地址、MAC地址等,以备日事后审计查证。
在具体实现中,又例如:连接请求中携带有“方案”,连接请求的访问源MAC地址为ZZZ。
防火墙拦***问源发来的连接请求。
防火墙以敏感数据访问策略中的关键字策略和MAC地址策略对该连接请求进行匹配。匹配后发现该连接请求中携带有“方案”二字,但该连接请求的访问源MAC地址ZZZ在信任列表中,则匹配结果为允许。
防火墙转发该连接请求并允许访问目的数据。
综上,由于防火墙在网络上的特殊位置,决定了本发明技术能有效阻断所有非法连接,可及时防止敏感数据的泄密,而且日志更加详细准确,便于事后有证可查。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (6)
1.一种防敏感数据泄密的方法,其特征在于,包括下列步骤:
防火墙拦***问源发来的连接请求;
防火墙对该连接请求进行敏感数据访问策略匹配;
若匹配结果为允许,则转发该连接请求并允许访问目的数据;
若匹配结果为不允许,则阻断该连接请求。
2.如权利要求1所述防敏感数据泄密的方法,其特征在于,所述策略匹配包括:关键字匹配、IP地址匹配,或/和MAC地址匹配。
3.如权利要求1所述防敏感数据泄密的方法,其特征在于,阻断所述连接请求后,记录该连接请求的信息。
4.一种防火墙,其特征在于,包括:
拦截单元,用于拦***问源发来的连接请求;
匹配单元,用于对拦截到的连接请求进行敏感数据访问策略匹配;
转发单元,在匹配结果为允许时被触发,用于转发该连接请求并允许访问目的数据;
阻断单元,在匹配结果为不允许时被触发,用于阻断该连接请求。
5.如权利要求4所述的防火墙,其特征在于,还包括:
日志单元,用于在阻断所述连接请求后,记录该连接请求的信息。
6.如权利要求4所述的防火墙,其特征在于,匹配单元的所述策略匹配包括:关键字匹配、IP地址匹配,或/和MAC地址匹配。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010104930A CN101789942A (zh) | 2010-01-29 | 2010-01-29 | 一种防敏感数据泄密的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010104930A CN101789942A (zh) | 2010-01-29 | 2010-01-29 | 一种防敏感数据泄密的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101789942A true CN101789942A (zh) | 2010-07-28 |
Family
ID=42532996
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010104930A Pending CN101789942A (zh) | 2010-01-29 | 2010-01-29 | 一种防敏感数据泄密的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101789942A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101908014A (zh) * | 2010-09-01 | 2010-12-08 | 上海普元信息技术股份有限公司 | 计算机软件***中实现安全审计与留痕的***结构及方法 |
| CN103067355A (zh) * | 2012-12-10 | 2013-04-24 | 深信服网络科技(深圳)有限公司 | 基于域名的网络防护方法及*** |
| CN103597478A (zh) * | 2011-06-08 | 2014-02-19 | 阿尔卡特朗讯 | 通过软件应用控制对多媒体对象的处理 |
| WO2015103878A1 (zh) * | 2014-01-07 | 2015-07-16 | 深圳市华傲数据技术有限公司 | 一种基于防火墙的数据修复方法及*** |
| CN107979610A (zh) * | 2017-12-14 | 2018-05-01 | 广东天网安全信息科技有限公司 | 一种防火墙于大数据通信的安全防护方法 |
| CN109088824A (zh) * | 2018-10-26 | 2018-12-25 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN112800397A (zh) * | 2021-02-22 | 2021-05-14 | 四川奥诚科技有限责任公司 | 一种数据资产保护方法、***、电子设备及存储介质 |
| CN114448721A (zh) * | 2022-03-11 | 2022-05-06 | 全球能源互联网研究院有限公司南京分公司 | 一种漏洞无感缓解装置及方法 |
-
2010
- 2010-01-29 CN CN201010104930A patent/CN101789942A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101908014A (zh) * | 2010-09-01 | 2010-12-08 | 上海普元信息技术股份有限公司 | 计算机软件***中实现安全审计与留痕的***结构及方法 |
| CN103597478A (zh) * | 2011-06-08 | 2014-02-19 | 阿尔卡特朗讯 | 通过软件应用控制对多媒体对象的处理 |
| CN103597478B (zh) * | 2011-06-08 | 2018-07-31 | 阿尔卡特朗讯 | 通过软件应用控制对多媒体对象的处理 |
| US10324769B2 (en) | 2011-06-08 | 2019-06-18 | Alcatel Lucent | Controlling the processing of a multimedia object by a software application |
| CN103067355A (zh) * | 2012-12-10 | 2013-04-24 | 深信服网络科技(深圳)有限公司 | 基于域名的网络防护方法及*** |
| WO2015103878A1 (zh) * | 2014-01-07 | 2015-07-16 | 深圳市华傲数据技术有限公司 | 一种基于防火墙的数据修复方法及*** |
| CN107979610A (zh) * | 2017-12-14 | 2018-05-01 | 广东天网安全信息科技有限公司 | 一种防火墙于大数据通信的安全防护方法 |
| CN109088824A (zh) * | 2018-10-26 | 2018-12-25 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN109088824B (zh) * | 2018-10-26 | 2021-02-23 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN112800397A (zh) * | 2021-02-22 | 2021-05-14 | 四川奥诚科技有限责任公司 | 一种数据资产保护方法、***、电子设备及存储介质 |
| CN114448721A (zh) * | 2022-03-11 | 2022-05-06 | 全球能源互联网研究院有限公司南京分公司 | 一种漏洞无感缓解装置及方法 |
| CN114448721B (zh) * | 2022-03-11 | 2023-06-13 | 全球能源互联网研究院有限公司南京分公司 | 一种漏洞无感缓解装置及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10212134B2 (en) | Centralized management and enforcement of online privacy policies | |
| JP6086968B2 (ja) | 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法 | |
| JP6080910B2 (ja) | 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法 | |
| Clark et al. | Untangling attribution | |
| US7788235B1 (en) | Extrusion detection using taint analysis | |
| US9495539B2 (en) | Method and system for protection against information stealing software | |
| EP2715522B1 (en) | Using dns communications to filter domain names | |
| US8407784B2 (en) | Method and system for protection against information stealing software | |
| CN101789942A (zh) | 一种防敏感数据泄密的方法及装置 | |
| US20040111636A1 (en) | Defense mechanism for server farm | |
| KR101373542B1 (ko) | 가상화 기반 논리적 망 분리 기법을 이용한 개인정보 보호 시스템 | |
| Giani et al. | Data exfiltration and covert channels | |
| CN101079882A (zh) | 基于态势的数据保护 | |
| Lee et al. | Reverse‐safe authentication protocol for secure USB memories | |
| AU2009225671A1 (en) | Method and system for protection against information stealing software | |
| Pitney et al. | A systematic review of 2021 microsoft exchange data breach exploiting multiple vulnerabilities | |
| Shulman et al. | Top ten database security threats | |
| CN102325132B (zh) | 一种***层安全dns防护方法 | |
| Witzke | Computer network security: then and now | |
| RANI | ADDRESSING SOLUTIONS TO OVERCOME CHALLENGES STUMBLE UPON ON CLOUD SECURITY | |
| Umrigar et al. | Review of Data Security Frameworks for Secure Cloud Computing | |
| Sasnouskaya | Unveiling the Dark Web and the Impact of REvil's Cyberattacks | |
| Dave et al. | Security policy implementation using connection and event log to achieve network access control | |
| Uddholm | Anonymous Javascript Cryptography and CoverTraffic in Whistleblowing Applications | |
| Maistry et al. | Cyber security: Threats, Vulnerabilities and Countermeasures-A Perspective on the State of Affairs in Mauritius |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention |
|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Examination on Formalities |
|
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100728 |
|
| RJ01 | Rejection of invention patent application after publication |