CN101923610A - 一种数据保护方法及*** - Google Patents
一种数据保护方法及*** Download PDFInfo
- Publication number
- CN101923610A CN101923610A CN2009101078515A CN200910107851A CN101923610A CN 101923610 A CN101923610 A CN 101923610A CN 2009101078515 A CN2009101078515 A CN 2009101078515A CN 200910107851 A CN200910107851 A CN 200910107851A CN 101923610 A CN101923610 A CN 101923610A
- Authority
- CN
- China
- Prior art keywords
- data
- client
- module
- software
- server end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明适用于数据处理技术领域,提供了一种数据保护方法及***,所述方法包括下述步骤:判断客户端是否安装了指定监控软件;若客户端安装了指定监控软件,则控制允许客户端访问服务器端数据,同时对客户端进行监控操作;若客户端没有安装指定监控软件,则禁止客户端访问服务器端数据和/或将客户端转到修复区,并对客户端进行相应的安全配置处理。在本发明实施例中,判断客户端是否安装了指定监控软件;若是,则控制允许所述客户端访问服务器端数据,同时对客户端进行监控操作;若否,则禁止客户端访问服务器端数据和/或将客户端转到修复区,并对客户端进行相应的安全配置处理,保证通过网络访问服务器端数据的客户端的安全要求,有效的防止数据的泄漏。
Description
技术领域
本发明属于数据处理技术领域,尤其涉及一种数据保护方法及***。
背景技术
现有技术的基于CS/BS架构***中,一般通过密码验证的方式获取访问服务器端数据的权限,而且验证通过的客户端仅仅访问与其权限相对应的相关数据,其他数据不允许访问,例如在客户关系管理***(Customer RelationshipManagement,CRM)中,某位销售人员在只能查看该销售员自己的客户列表,销售部门经理可以查看其下属的销售人员的所有客户列表。
但是,在数据被客户端读取后,却缺少有效手段防止客户端将已经读取到本地的数据泄漏出去,例如客户端用户可以通过相应的客户端软件对数据进行拷屏、拷贝、另存、导出、打印等各种操作,该类操作可能造成数据的泄漏,例如企业数据中存储的保密资料、客户资料、员工资料、资产信息、生产相关信息等。
另外,在现有的基于数据库或服务器的应用中,有DBA或应用***管理员权限的用户,通过数据工具软件或其它远程访问工具,远程连接登录数据后,对数据所做的各种操作也可能造成数据泄密,而且由于DBA权限较大,其可以查看数据中几乎所有的数据,一旦数据泄漏会给企业带来非常大的损失。
发明内容
本发明实施例的目的在于提供一种数据保护方法,旨在解决现有技术中通过网络访问服务器端数据的客户端容易造成数据泄漏的问题。
本发明实施例是这样实现的,一种数据保护方法,所述方法包括下述步骤:
判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件;
若所述客户端安装了指定监控软件,则控制允许所述客户端访问服务器端数据,同时对客户端进行监控操作;
若所述客户端没有安装指定监控软件,则禁止所述客户端访问服务器端数据和/或将客户端转到修复区,并对所述客户端进行相应的安全配置处理。
本发明实施例的另一目的在于提供一种数据保护***,所述***包括:
第一判断模块,用于判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件;
客户端控制监控模块,用于若所述第一判断模块判断所述客户端安装了指定监控软件,则控制允许所述客户端访问服务器端数据,同时对客户端进行监控操作;以及
禁止处理模块,用于若所述第一判断模块判断客户端没有安装指定监控软件,则禁止所述客户端访问服务器端数据和/或将客户端转到修复区,并对所述客户端进行相应的安全配置处理。
在本发明实施例中,判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件;若客户端安装了指定监控软件,则控制允许客户端访问服务器端数据,同时对客户端进行监控操作;若客户端没有安装指定监控软件,则禁止客户端访问服务器端数据和/或将客户端转到修复区,并对客户端进行相应的安全配置处理,保证通过网络访问服务器端数据的客户端的安全要求,有效的防止服务器端数据的泄漏。
附图说明
图1是本发明实施例提供的数据保护方法的实现流程图;
图2是本发明实施例提供的对客户端进行监控操作的实现流程图;
图3是本发明实施例提供的对造成数据泄漏的操作进行限制的实现流程图;
图4是本发明实施例提供的数据保护***的结构框图;
图5是本发明实施例提供的客户端控制监控模块的结构框图;
图6是本发明实施例提供的操作控制处理模块的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明实施例中,判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件;若客户端安装了指定监控软件,则控制允许客户端访问服务器端数据,同时对客户端进行监控操作;若客户端没有安装指定监控软件,则禁止客户端访问服务器端数据和/或将客户端转到修复区,并对客户端进行相应的安全配置处理。
图1示出了本发明实施例提供的数据保护方法的实现流程,其详细步骤如下所述:
在步骤S101中,判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件,是则执行步骤S102;否则执行步骤S103。
在本发明实施例中,服务器端数据可以是数据库数据,也可以是其他形式存在的数据,在此不用以限制本发明。该制定监控软件为客户端安全监控软件,可以是现有的安全软件,在此不用以限制本发明。
在步骤S102中,若客户端安装了指定监控软件,则控制允许客户端访问服务器端数据,同时对客户端进行监控操作。
在本发明实施例中,对客户端进行监控操作具体可以是上述监控软件来操作完成,其具体包括对客户端软件进行标识以及监控判断的流程,下述有详细的实施例进行描述,在此不再赘述,但不用以限制本发明。
在步骤S103中,若客户端没有安装指定监控软件,则禁止客户端访问服务器端数据和/或将客户端转到修复区,并对客户端进行相应的安全配置处理。
在本发明实施例中,将客户端转到修复区,并对客户端进行相应的安全配置处理具体为:将没有安装指定监控软件的客户端转移到修复区,在修复区中,强制客户端进行制定监控软件的安全,可以在修复区中以网页或提示框或菜单的方式提示客户端用户进行指定监控软件的安装,客户端用户在该修复区中只能进行指定监控软件的安装,不能访问服务器端数据的其他数据,在此不用以限制本发明。
在本发明实施例中,在判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件的步骤之前,该数据保护方法流程还包括控制客户端进行密码验证,只有通过了密码验证的客户端才能按照本发明上述实施例提供的流程对数据进行保护,在此不用以限制本发明。
图2示出了本发明实施例提供的对客户端进行监控操作的实现流程,其详细步骤如下所述:
在步骤S201中,将安装了指定监控软件的客户端的反问服务器端数据的各种软件标识为受控软件。
在本发明实施例中,当控制允许所述客户端访问服务器端数据后,将客户端中访问服务器端数据的各种软件标识为受控软件,例如拷屏、拷贝、另存、打印和导出数据等操作对应的软件,在此不用以限制本发明,还可以包括其他客户端软件。
在步骤S202中,对运行受控软件所生成的对应操作进行监控。
在本发明实施例中,受控软件所生成的对应操作包括但不限于拷屏、拷贝、另存、打印和导出数据。
在步骤S203中,判断运行受控软件所生成的对应操作是否是造成数据泄漏的操作,是则执行步骤S204,否则执行步骤S205。
在本发明实施例中,对运行受控软件所生成的对应操作是否是造成数据泄漏的操作的判断可以理解为:判断步骤S202的监控过程是否检测到包括但不限于拷屏、拷贝、另存、打印和导出数据的操作,其中,包括但不限于拷屏、拷贝、另存、打印和导出数据的操作容易导致造成数据的泄漏。
在步骤S204中,当运行受控软件所生成的对应操作是造成数据泄漏的操作时,对造成数据泄漏的操作进行审计、禁止和/或限制。
在本发明实施例中,对造成数据泄密的操作进行审计,即对数据的读写操作进行日志记录,控制进行相应的日至追踪;当然,也可以对造成数据泄密的操作进行禁止或限制,其中对造成数据泄密的操作的限制下述有详细的实现流程描述,在此不再赘述。
在步骤S205中,允许受控软件所生成的对应操作的执行。
在本发明实施例中,当受控软件所生成的对应操作不是造成数据泄密的操作时,允许受控软件所声称的对应操作的执行的同时,对操作进行日志记录,控制进行相应的日至追踪,保证数据的安全。
图3示出了本发明实施例提供的对造成数据泄漏的操作进行限制的实现流程,其详细步骤如下所述:
在步骤S301中,对造成数据泄漏的对象数据进行加密。
在本发明实施例中,数据泄漏是指服务器端数据的泄漏。以拷屏、拷贝和另存为例进行说明,但不用以限制本发明,通过拷屏、拷贝和另存的操作之后生成以文件的方式存在的对象数据,在该实施例中,对生成的以文件的方式存在的对象数据进行加密,其中,该加解密算法可以现有技术提供的加解密算法,在此不用以限制本发明。
在步骤S302中,判断在当前客户端对对象数据的动作类型,即判断在当前客户端是否对对象数据进行打开操作,是则执行步骤S303;否则执行步骤S304。
在本发明实施例中,在当前客户端对对象数据的动作类型包括但不限于打开对象数据和通过包括电子邮件发送、网络上传和拷贝到移动设备的方式将对象数据移走。
在步骤S303中,当动作类型为打开对象数据时,对加密后的对象数据进行解密,显示为明文。
在本发明实施例中,当客户端用户将加密后的对象数据进行打开操作时,并对加密后的数据进行打开操作时,根据对对象数据的加密算法所对应的解密算法,对加密后的对象数据进行解密,以明文的方式显示给当前用户,用户正常查看对象数据的实质内容。
在步骤S304中,当动作类型为通过包括电子邮件发送、网络上传和拷贝到移动设备的方式将对象数据移走时,对对象数据不进行解密,移走的数据为密文。
在本发明实施例中,当客户端用户将对象数据移走时,移走的数据以密文方式存在,并且显示给用户的是乱码,例如客户端用户通过电子邮件发送,当用户到电子邮件进行下载查看该对象数据时,打开的对象数据是乱码,在此不用以限制本发明。
在本发明实施例中,当当前用户的确需要使用对象数据时,则可以通过申请批准或获取相应的加解密算法密钥的方式将该加密后的对象数据移走,在此不用以限制本发明。
图4示出了本发明实施例提供的数据保护***的结构框图,为了便于说明,图中仅给出了与本发明实施例相关的部分,该数据保护***可以内置于客户端的软件单元、硬件单元或软硬件结合单元。
第一判断模块11判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件;若第一判断模块11判断所述客户端安装了指定监控软件,客户端控制监控模块12控制允许客户端访问服务器端数据,同时对客户端进行监控操作;若第一判断模块11判断客户端没有安装指定监控软件,禁止处理模块13则禁止客户端访问服务器端数据和/或将客户端转到修复区,并对客户端进行相应的安全配置处理。
在本发明实施例中,禁止处理模块13将客户端转到修复区,并对客户端进行相应的安全配置处理的具体实现为:将没有安装指定监控软件的客户端转移到修复区,在修复区中,强制客户端进行制定监控软件的安全,可以在修复区中以网页或提示框或菜单的方式提示客户端用户进行指定监控软件的安装,客户端用户在该修复区中只能进行指定监控软件的安装,不能访问服务器端数据的其他数据,在此不用以限制本发明。
在本发明实施例中,在第一判断模块11判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件之前,密码验证控制模块14控制客户端进行密码验证,只有通过了密码验证的客户端才能执行第一判断模块11的判断流程。
作为本发明的另一个实施例,如图5所示,标识模块121将安装了指定监控软件的客户端的各种软件标识为受控软件;操作监控模块122对运行标识模块121标识的受控软件所生成的对应操作进行监控;第二判断模块123判断运行受控软件所生成的对应操作是否是造成数据泄漏的操作;当第二判断模123块判断运行受控软件所生成的对应操作是造成数据泄漏的操作时,操作控制处理模块124对造成数据泄漏的操作进行审计、禁止和/或限制,在该实施例中,对于当第二判断模123块判断运行受控软件所生成的对应操作不是造成数据泄漏的操作时,则允许运行受控软件所生成的对应操作,与现有技术的受控软件的运行类似,在此不再赘述,当不用以限制本发明。
在本发明实施例中,造成数据泄漏的操作包括但不限于拷屏、拷贝、另存、打印和导出数据。
作为本发明的另一个实施例,如图6所示,加密模块1241对造成数据泄漏的对象数据进行加密;第三判断模块1242判断在当前客户端对对象数据的动作类型;当第三判断模块1242判断所述动作类型为打开所述对象数据时,解密模块1243对所述加密后的对象数据进行解密,显示为明文;当第三判断模块1242判断动作类型为通过包括电子邮件发送、网络上传和拷贝到移动设备的方式将所述对象数据移走时,控制模块1244对对象数据不进行解密,移走的数据为密文。
在本发明实施例中,造成数据泄漏的对象数据是通过包括但不限于拷屏、拷贝、另存、打印和导出数据的操作之后生成的以文件方式存在的对象数据,在此不用以限制本发明。
在本发明实施例中,判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件;若客户端安装了指定监控软件,则控制允许客户端访问服务器端数据,同时对客户端进行监控操作;若客户端没有安装指定监控软件,则禁止客户端访问服务器端数据和/或将客户端转到修复区,并对客户端进行相应的安全配置处理,保证通过网络访问服务器端数据的客户端的安全要求,有效的防止服务器端数据的泄漏,即有效的防止通过网络远程登录的客户端用户对服务器端数据进行操作带来的数据泄密。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种数据保护方法,其特征在于,所述方法包括下述步骤:
判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件;
若所述客户端安装了指定监控软件,则控制允许所述客户端访问服务器端数据,同时对客户端进行监控操作;
若所述客户端没有安装指定监控软件,则禁止所述客户端访问服务器端数据和/或将客户端转到修复区,并对所述客户端进行相应的安全配置处理。
2.如权利要求1所述的数据保护方法,其特征在于,所述对客户端进行监控操作的步骤具体包括下述步骤:
将安装了指定监控软件的客户端的访问服务器端数据的各种软件标识为受控软件;
对运行所述受控软件所生成的对应操作进行监控;
判断运行所述受控软件所生成的对应操作是否是造成数据泄漏的操作;
当运行所述受控软件所生成的对应操作是造成数据泄漏的操作时,对所述造成数据泄漏的操作进行审计、禁止和/或限制。
3.如权利要求2所述的数据保护方法,其特征在于,所述造成数据泄漏的操作包括拷屏、拷贝、另存、打印和导出数据。
4.如权利要求2或3所述的数据保护方法,其特征在于,所述对所述造成数据泄漏的操作进行限制的步骤具体包括下述步骤:
对所述造成数据泄漏的对象数据进行加密;
判断在当前客户端对对象数据的动作类型;
当所述动作类型为打开所述对象数据时,对所述加密后的对象数据进行解密,显示为明文;
当所述动作类型为通过包括电子邮件发送、网络上传和拷贝到移动设备的方式将所述对象数据移走时,对所述对象数据不进行解密,移走的数据为密文。
5.如权利要求1所述的数据保护方法,其特征在于,所述判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件的步骤之前还包括下述步骤:
控制客户端进行密码验证。
6.一种数据保护***,其特征在于,所述***包括:
第一判断模块,用于判断通过网络远程访问服务器端数据的客户端是否安装了指定监控软件;
客户端控制监控模块,用于若所述第一判断模块判断所述客户端安装了指定监控软件,则控制允许所述客户端访问服务器端数据,同时对客户端进行监控操作;以及
禁止处理模块,用于若所述第一判断模块判断客户端没有安装指定监控软件,则禁止所述客户端访问服务器端数据和/或将客户端转到修复区,并对所述客户端进行相应的安全配置处理。
7.如权利要求6所述的数据保护***,其特征在于,所述客户端控制监控模块具体包括:
标识模块,用于将安装了指定监控软件的客户端的访问服务器端数据的各种软件标识为受控软件;
操作监控模块,用于对运行所述标识模块标识的受控软件所生成的对应操作进行监控;
第二判断模块,用于判断运行所述受控软件所生成的对应操作是否是造成数据泄漏的操作;以及
操作控制处理模块,用于当所述第二判断模块判断运行所述受控软件所生成的对应操作是造成数据泄漏的操作时,对所述造成数据泄漏的操作进行审计、禁止和/或限制。
8.如权利要求7所述的数据保护***,其特征在于,所述造成数据泄漏的操作包括拷屏、拷贝、另存、打印和导出数据。
9.如权利要求7或8所述的数据保护***,其特征在于,所述操作控制处理模块具体包括:
加密模块,用于对所述造成数据泄漏的对象数据进行加密;
第三判断模块,用于判断在当前客户端对对象数据的动作类型;
解密模块,用于当所述第三判断模块判断所述动作类型为打开所述对象数据时,对所述加密后的对象数据进行解密,显示为明文;以及
控制模块,用于当所述第三判断模块判断所述动作类型为通过包括电子邮件发送、网络上传和拷贝到移动设备的方式将所述对象数据移走时,对所述对象数据不进行解密,移走的数据为密文。
10.如权利要求6所述的数据保护***,其特征在于,所述***还包括:
密码验证控制模块,用于控制客户端进行密码验证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101078515A CN101923610A (zh) | 2009-06-09 | 2009-06-09 | 一种数据保护方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101078515A CN101923610A (zh) | 2009-06-09 | 2009-06-09 | 一种数据保护方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101923610A true CN101923610A (zh) | 2010-12-22 |
Family
ID=43338541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101078515A Pending CN101923610A (zh) | 2009-06-09 | 2009-06-09 | 一种数据保护方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101923610A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102541482A (zh) * | 2010-12-27 | 2012-07-04 | 北大方正集团有限公司 | 一种文档打印管控与文档溯源追踪的方法和*** |
CN103166977A (zh) * | 2013-04-16 | 2013-06-19 | 福建伊时代信息科技股份有限公司 | 一种网站访问的方法、终端、服务器和*** |
CN104580083A (zh) * | 2013-10-17 | 2015-04-29 | 苏州慧盾信息安全科技有限公司 | 一种财务***提供安全防护的***和方法 |
CN104636675A (zh) * | 2013-11-08 | 2015-05-20 | 苏州慧盾信息安全科技有限公司 | 一种数据库提供安全防护的***和方法 |
CN106897613A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 一种操作执行方法及装置 |
CN111367573A (zh) * | 2020-03-12 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 设备登陆方法、装置、存储介质和计算机设备 |
CN111832085A (zh) * | 2019-04-17 | 2020-10-27 | 鸿富锦精密电子(天津)有限公司 | 数据保护装置及方法 |
-
2009
- 2009-06-09 CN CN2009101078515A patent/CN101923610A/zh active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102541482A (zh) * | 2010-12-27 | 2012-07-04 | 北大方正集团有限公司 | 一种文档打印管控与文档溯源追踪的方法和*** |
CN102541482B (zh) * | 2010-12-27 | 2015-01-21 | 北大方正集团有限公司 | 一种文档打印管控与文档溯源追踪的方法和*** |
CN103166977A (zh) * | 2013-04-16 | 2013-06-19 | 福建伊时代信息科技股份有限公司 | 一种网站访问的方法、终端、服务器和*** |
CN104580083A (zh) * | 2013-10-17 | 2015-04-29 | 苏州慧盾信息安全科技有限公司 | 一种财务***提供安全防护的***和方法 |
CN104636675A (zh) * | 2013-11-08 | 2015-05-20 | 苏州慧盾信息安全科技有限公司 | 一种数据库提供安全防护的***和方法 |
CN106897613A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 一种操作执行方法及装置 |
CN106897613B (zh) * | 2015-12-21 | 2021-09-28 | 北京奇虎科技有限公司 | 一种操作执行方法及装置 |
CN111832085A (zh) * | 2019-04-17 | 2020-10-27 | 鸿富锦精密电子(天津)有限公司 | 数据保护装置及方法 |
CN111367573A (zh) * | 2020-03-12 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 设备登陆方法、装置、存储介质和计算机设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102227734B (zh) | 用于保护机密文件的客户端计算机和其服务器计算机以及其方法 | |
CN101507233B (zh) | 用于提供对于应用程序和基于互联网的服务的可信单点登录访问的方法和设备 | |
CN103778384B (zh) | 一种基于身份认证的虚拟终端安全环境的保护方法及*** | |
US11880490B2 (en) | Context-based access control and revocation for data governance and loss mitigation | |
US20070220271A1 (en) | Online creation and delivery of cryptographically verifiable one-time password tokens | |
CN101510888B (zh) | 一种SaaS应用下提高数据安全性的方法、装置及*** | |
CN101923610A (zh) | 一种数据保护方法及*** | |
Industry | Data security standard | |
CN105027130A (zh) | 延迟数据访问 | |
CN105191207A (zh) | 联合密钥管理 | |
CN105103488A (zh) | 借助相关联的数据的策略施行 | |
CN102984115B (zh) | 一种网络安全方法、及客户端服务器 | |
CN102420836A (zh) | 业务信息***的登录方法以及登录管理*** | |
CN101213561B (zh) | 安全对策应用的机密文件保护方法及机密文件保护装置 | |
CN104320389A (zh) | 一种基于云计算的融合身份保护***及方法 | |
CN101114319A (zh) | 剪切板信息保护装置和方法 | |
CN110990851A (zh) | 一种静态数据加密保护方法及*** | |
CN111614686B (zh) | 一种密钥管理方法、控制器及*** | |
CN109918934A (zh) | 基于aes三层动态加密技术的研发数据安全与保密*** | |
CN111008400A (zh) | 数据处理方法、装置及*** | |
CN101197822B (zh) | 防止信息泄漏的***和基于该***的防止信息泄漏的方法 | |
CN110472429A (zh) | 数据校验方法、装置、电子设备及存储介质 | |
CN101106451B (zh) | 一种数据的传送方法和设备 | |
CN102404363B (zh) | 一种访问方法及装置 | |
CN101471852A (zh) | 一种访问高安全性资源的方法、***及一种客户端装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101222 |