CN103620606B - 存储检测装置、***及存储检测方法 - Google Patents
存储检测装置、***及存储检测方法 Download PDFInfo
- Publication number
- CN103620606B CN103620606B CN201380001004.5A CN201380001004A CN103620606B CN 103620606 B CN103620606 B CN 103620606B CN 201380001004 A CN201380001004 A CN 201380001004A CN 103620606 B CN103620606 B CN 103620606B
- Authority
- CN
- China
- Prior art keywords
- file
- security
- storage
- information
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/185—Hierarchical storage management [HSM] systems, e.g. file migration or policies thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0635—Configuration or reconfiguration of storage systems by changing the path, e.g. traffic rerouting, path reconfiguration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Human Computer Interaction (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例所提供的存储检测装置,设置于操作***内核态中,通过截获文件信息,对文件内容的安全级别进行判断后,将安全级别高的文件内容重定向到存储安全性高的存储区域,对文件内容本身进行安全级别的判定并进行存储而对用户透明,实现了对同一应用所产生的不同的文档进行安全等级的划分。
Description
技术领域
本发明实施例涉及存储技术,尤其涉及一种存储检测装置和***及方法。
背景技术
在信息安全要求较高的领域,要求数据按照安全级别的不同而存储在安全性能不同的存储区域中,也就是说按照安全等级做分级存储。
现有技术中,对需要存储的数据进行安全级别的识别,有的通过应用的不同来识别。例如,按照来自不同的服务器的IP地址来识别,这种识别方式通常适用于不同应用对应不同的安全级别,并且,不同应用存储在不同的服务器上,这样可以采用服务器的IP地址来将需要存储的数据做安全级别划分;对于多种应用在同一服务器上,不同业务采用防火墙或交换机通过TCP或UDP端口实现业务流的导向控制,通常可以有通过不同应用对应的端口号来区别不同安全等级的应用,例如,预先设置从某个端口接收到的应用为高安全级别,而从某个端口接收到的应用为低安全级别。
发明人发现,现有技术对数据安全级别的辨认相对比较粗,对不同业务数据由同一应用产生时无能为力,例如对同一种应用中多种等级的文档,目前没有一个有效识别出文档等级的方案。
发明内容
本发明实施例提供一种存储检测装置、***和方法,实现对文件的安全级别进行识别。
第一方面,本发明实施例提供一种存储检测装置,设置于操作***内核态中,包括:
截获单元,用于截获文件信息,其中,所截获的文件信息包括文件属性信息和文件内容;所述文件属性信息包括:文件安全信息;
安全级别获得单元,用于按照设置的安全策略根据所述文件安全信息获得所述文件内容的安全级别;
重定向单元,用于若所述获得的安全级别达到预设的重要级别,则将所述文件内容重定向至第一存储区域存储;若所述获得的安全级别没有达到预设的重要级别,则将所述文件内容重定向至第二存储区域存储,所述第二存储区域的数据存储安全性低于所述第一存储区域的数据存储安全性。
结合第一方面,本发明实施例提供第一种可能方式,所述装置设置于操作***内核态中,分别于操作***中的外部接口驱动、文件驱动和卷目录管理***通信。
结合第一方面的第一种可能方式,本发明实施例提供第二种可能方式,所述文件属性信息还包括文件的目录信息、文件名;所述装置还包括:
存储单元,用于调用所述操作***的文件驱动,利用所述文件驱动从所述获取的文件信息中提取出文件名和文件目录信息,调用所述操作***中的卷目录管理***,利用所述卷目录管理***将文件名和所述文件目录信息存储到所述文件目录信息中指定的存储位置。
第二方面,本发明实施例提供了一种存储检测***,包括:存储检测装置和安全策略输入装置;所述存储检测装置,用于截获文件信息,其中,所截获的文件信息包括文件属性信息和文件内容;所述文件属性信息包括:文件安全信息;接收所述安全策略,按照所述的安全策略根据所述文件安全信息获得所述文件内容的安全级别;若所述获得的安全级别达到预设的重要级别,则将所述文件内容重定向至第一存储区域存储;若所述获得的安全级别没有达到预设的重要级别,则将所述文件内容重定向至第二存储区域存储,所述第二存储区域的数据存储安全性低于所述第一存储区域的数据存储安全性;
所述安全策略输入装置,用于通过向用户提供可视化应用窗口,接收用户输入的安全策略,并将所接收的安全策略发送至所述存储检测装置。
结合第二方面,在第一种可能的实现方式中,还包括:鉴权装置,用于在安全策略输入装置接收用户输入的安全策略之前,对用户的权限进行认证,认证通过后,则启动安全策略输入装置;如果认证未通过,则不启动安全策略输入装置。
第三方面,本发明实施例提供一种存储检测方法,应用于操作***内核态中,包括:
截获文件信息,其中,所截获的文件信息包括文件属性信息和文件内容;所述文件属性信息包括:文件安全信息;
按照设置的安全策略根据所述文件安全信息获得所述文件内容的安全级别;
若所述获得的安全级别达到预设的重要级别,则将所述文件内容重定向至第一存储区域存储;若所述获得的安全级别没有达到预设的重要级别,则将所述文件内容重定向至第二存储区域存储,所述第二存储区域的数据存储安全性低于所述第一存储区域的数据存储安全性。
结合第三方面,在第一种可能的实现方式中,所述截获文件信息包括:调用所述操作***中外部接口驱动,通过所述外部接口驱动截获文件信息。
结合第三方面,在第二种可能的实现方式中,所述文件属性信息还包括文件的目录信息、文件名;所述方法还包括:
调用所述操作***的文件驱动,利用所述文件驱动从所述获取的文件信息中提取出文件名和文件目录信息,调用所述操作***中的卷目录管理***,利用所述卷目录管理***将文件名和所述文件目录信息存储到所述文件目录信息中指定的存储位置。
结合第三方面或第三方面的第一种方式,或第三方面的第二种方式,在第三种可能方式中,还包括:
接收所述安全策略,所接收的安全策略用以判断所述文件内容的安全级别。
本发明实施例所提供的存储检测装置,设置于操作***内核态中,通过截获文件信息,对文件内容的安全级别进行判断后,将安全级别高的文件内容重定向到存储安全性高的存储区域,对文件内容本身进行安全级别的判定并进行存储而对用户透明,实现了对同一应用所产生的不同的文档进行安全等级的划分。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种存储检测装置的结构示意图;
图2为本发明实施例提供的在Windows操作***下存储检测装置应用场景图;
图3为本发明实施例提供的一种存储检测***的结构示意图;
图4为本发明实施例提供的一种存储检测方法流程图;
图5为本发明实施例提供的一种存储检测装置结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例所提供的一种存储检测装置,设置于操作***内核态中,例如,可以是在操作***内核态中,分别与操作***中的的外部接口驱动、文件驱动和卷目录管理***通信,并与本地存储单元连接;在实际应用中,本发明实施例提供的存储检测装置实现对不同安全级别的文档存储到不同存储区域中,不同的存储区域的数据存储安全性不同,通常称为归级存储,存储区域的存储安全性的高低表明了数据存储在该存储区域的可靠性和容错性的性能的高低,性能越高数据越安全;本发明实施例所提供的存储检测装置具体可以是一个设置于操作***内核态中的中间件。本发明实施例所提供的存储检测装置,可以随操作***设置在网关上,也可以设置在服务器上等需要进行归级存储的设备中。
参见图1,本发明实施例提供的一种存储检测装置,包括:
截获单元101,用于截获需要存储的文件信息,其中,所截获的文件信息包括文件属性信息和文件内容;所述的文件属性信息包括:文件安全信息等;
其中,截获单元101通过所述外部接口驱动截获文件信息;
其中,文件安全信息为用于进行文件安全级别判断的信息,什么样的信息会作为用于文件安全级别判断的文件信息,和用户预先设置的安全策略相对应;例如,当用户预先设置的安全策略是通过文档中设置的水印作为判断文件安全级别的依据,那么,文件安全信息就包括设置文件水印的函数信息;当用户预先设置的安全策略是通过文档中的敏感字信息来作为判断文件安全级别的依据,那么,文件安全信息就包括文件中的敏感字信息。在具体实现中,安全策略灵活机动,由用户根据实际情况来配置,因此,文件安全信息也不宜被解释为某一种或二种信息,本领域技术人员可以根据实际情况灵活界定。
安全级别获得单元102,用于按照设置的安全策略根据所述文件安全信息获得所述文件内容的安全级别;
如前面提到的,安全策略为用户设定的判断文件安全级别的具体策略,例如,安全策略为根据文档中是否有水印来判断文档是否达到重要级别,或者,安全策略为根据文件中包含的敏感字信息来判断文件是否达到重要级别。总之,具体安全策略用户可以根据实际情况灵活设定,本发明实施例不做具体限定,其中,若用户设定的安全策略为根据文件中包含的敏感字信息来判断文件的重要级别的情况,敏感词由用户预先设定。
重定向单元103,若所述获得的安全级别达到预设的重要级别,则将所述文件内容重定向至第一存储区域存储;若所述获得的安全级别没有达到预设的重要级别,则将所述文件内容重定向至第二存储区域存储,所述第二存储区域的数据存储安全性低于所述第一存储区域;
在本发明实施例中,用户可以对文档预先设置不同的安全级别,相应的按照存储区域的数据存储安全性将整个存储区域也进行划分,数据所在的存储区域的数据存储安全性越高,说明数据存储越安全,不同安全级别的文档存放到不同的存储区域,例如,经过安全加固的作为第一存储区域,相对其他存储区域第一存储区域的数据存储安全性较高,而将数据存储安全性低于第一存储区域的存储区域称为第二存储区域。在实际应用中,按照数据存储安全性的不同,也可以将存储区域划分为多个级别,每个级别对应的存储区域的数据存储安全性递减,本发明实施例仅仅是以第一存储区域和第二存储区域举例说明。
本发明实施例所提供的存储检测装置在截获文件信息后,通过对文件的安全信息进行判断后,对文件内容进行重定向存储,为了不改变用户的操作习惯,重定向的工作不会让用户感知,因此,对文件信息中的文件名目录信息等需要按照用户指定的位置进行存储。其中,文件属性信息中还包括:文件的目录信息,文件名,因此,本发明实施例所提供的存储检测装置还包括:
存储单元104,用于调用所述操作***中文件驱动,利用所述文件驱动从所述获取的文件信息中提取出文件名和文件的目录信息,调用所述操作***中的卷目录管理***,利用卷目录管理***将文件名和所述文件目录信息存储到所述文件目录信息中指定的存储位置。
本发明实施例中所提供的存储装置利用文件驱动技术,利用文件驱动将文件名和文件目录通过文件读写协议提取出来,然后通过卷目录管理***将文件名和文件目录信息保存在指定的磁盘目录下。其中,所保存的磁盘目录是文件目录信息中用户指定的地址,因此,对用户而言,文件没有被重定向,仍然保存在用户指定的磁盘目录下。
可选的,本发明实施例所提供的存储检测装置,对安全策略的预设可以是设置于归级存储内默认的安全策略,也可以是由用户根据实际需要而灵活设置,因此,为配合本发明实施例所提供的存储检测装置的存储工作,还可以提供一些应用程序用于向用户提供一个可视化应用窗口,通过可视化应用窗口接收用户输入的预设的安全策略,并将所接收的安全策略发送给存储检测装置,因此,本发明实施例所提供的存储检测装置,还可以包括:
安全策略接收单元105,用于接收用户输入的安全策略,所接收的安全策略提供给安全级别获得单元102用以判断所述文件内容的安全级别。
参见图2,以Windows操作***举例说明本发明实施例所提供的存储检测装置的工作原理。
本发明实施例所提供的存储检测装置在实现形态可以是安装在操作***的内核态中的一个中间件,安装在操作***中的外部接口驱动程序和文件驱动程序之间,在Windows***中,就可以安装在内核态中的Ntdll.dll和FS NTFS驱动程序之间,中间件分别与windows操作***的外部接口驱动Ntdll.dll、文件驱动FS NTFS以及卷目录管理***VolMg通信。假设由同一应用App1产生的a.txt文件,b.txt文件,c.txt文件,用户指定的存储位置为磁盘的D盘下i目录。
中间件通过调用Ntdll.dll驱动程序截获文件信息,安全级别获得单元按照中间件中设置的安全策略判断所截获的文件信息的安全级别;
当所述获得安全级别达到预设的重要级别,则将文件信息中的文件内容的存储位置重定向至经过安全加固的第一存储区域,可以是图中所示的经过安全加固的云存储1;当所述获得的安全级别没有达到预设的重要级别,则将所述文件内容存储到图中所示的一般安全加固的云存储2中。
如果用户指定的文件存储的位置是磁盘的D盘下的i目录,对于中间件截获的文件名和文件目录信息等文件的属性信息,可以通过调用文件***NTFS接口,利用文件***NTFS接口从文件信息中提取文件名和文件目录信息,然后,调用卷目录管理***(VolumeManagement,VolMg),利用VolMg将文件名和所述文件目录信息存储到用户指定的位置。
中间件的安全策略接收单元和安全策略配置控制单元通信,接收由安全策略控制单元发送的安全策略。安全策略配置控制单元通过给用户提供一个可视化应用窗口,接收用户设置的安全策略。
另外,安全策略配置控制单元与存储认证鉴权窗口通信,当用户通过安全策略配置控制单元配置安全策略之前,可以通过存储认证鉴权窗口对用户的权限进行认证,当认证通过之后才允许用户通过安全策略配置控制单元所提供的可视化窗口进行安全策略的配置。
本发明实施例所提供的存储检测装置,设置于操作***内核态中,通过截获文件信息,对文件内容的安全级别进行判断后,将安全级别高的文件内容重定向到数据存储安全性高的存储区域,而文件目录等信息仍然按照用户指定的位置进行存储,从而实现了对文件内容本身进行安全级别的判定并进行存储而对用户透明,实现了对同一应用所产生的不同的文档进行安全等级的划分。
参见图3,本发明实施例还提供一种存储检测***,包括前述实施例所描述的存储检测装置301,安全策略输入装置302;
其中,所述存储检测装置301的功能和前面描述的存储检测装置相同;
安全策略输入装置302,用于通过向用户提供可视化应用窗口,接收用户输入的安全策略,并将所接收的安全策略发送至存储检测装置301;
参见附图3,安全策略输入装置302发送的安全策略会被存储检测装置的安全策略接收单元所接收;
为了保证输入安全策略的用户有安全策略设置的权限,所述存储检测***还可以包括:
鉴权装置303,用于在安全策略输入装置302接收用户输入的安全策略之前,对用户的权限进行认证,认证通过后,则启动安全策略输入装置302。
如果认证未通过,则不启动安全策略输入装置302。
本发明实施例提供的存储检测***,在实现对文档按照安全性进行分开存储的同时,为用户提供安全策略应用可视化窗口,使用户能够灵活得设置归级存储的安全策略,并且在用户进行安全策略设置之前对用户进行鉴权,保证输入的合法性。
参见图4,对应于本发明实施例所提供的装置,本发明实施例提供一种存储检测方法,应用于操作***内核态中,本发明实施例所提供的方法,其详细的工作原理和前述装置实施例相同,在这里仅对方法流程做描述,详细描述可参考前述装置实施例中的描述。
本发明实施例提供的一种存储检测方法,应用于操作***内核态中,包括:
步骤401,截获文件信息,其中,所截获的文件信息包括文件属性信息和文件内容;所述文件属性信息包括:文件安全信息;
可选的,通过调用操作***中的外部接口驱动,通过外部接口驱动截获文件信息;
步骤402,按照设置的安全策略根据所述文件安全信息获得所述文件内容的安全级别;
步骤403,若所述获得的安全级别达到预设的重要级别,则将所述文件内容重定向至第一存储区域存储;若所述获得的安全级别没有达到预设的重要级别,则将所述文件内容重定向至第二存储区域存储,所述第二存储区域的数据存储安全性低于所述第一存储区域的数据存储安全性。
可选的,本发明实施例所提供的存储检测装置存储检测方法在截获文件信息后,通过对文件的安全信息进行判断后,对文件内容进行重定向存储,为了不改变用户的操作习惯,重定向的工作不会让用户感知,因此,对文件信息中的文件名目录信息等需要按照用户指定的位置进行存储。其中,文件属性信息中还包括:文件的目录信息,文件名,因此,本发明实施例所提供的存储检测装置存储检测方法还包括:
步骤404,用于调用所述操作***中文件驱动,利用所述文件驱动从所述获取的文件信息中提取出文件名和文件的目录信息,调用所述操作***中的卷目录管理***,利用卷目录管理***将文件名和所述文件目录信息存储到所述文件目录信息中指定的存储位置。
可选的,本发明实施例所提供的存储检测装置存储检测方法,对安全策略的预设可以是设置于归级存储内默认的安全策略,也可以是由用户根据实际需要而灵活设置,因此,为配合本发明实施例所提供的存储检测装置存储检测方法的存储工作,还可以提供一些应用程序用于向用户提供一个可视化应用窗口,通过可视化应用窗口接收用户输入的预设的安全策略,并将所接收的安全策略发送给存储检测装置,因此,本发明实施例所提供的存储检测装置存储检测方法,还可以包括:
步骤405,接收用户输入的安全策略,利用所接收的安全策略判断所述文件内容的安全级别。
本发明实施例所提供的存储检测方法,应用于操作***内核态中,通过截获文件信息,对文件内容的安全级别进行判断后,将安全级别高的文件内容重定向到存储安全性高的存储区域,实现了对文件内容本身进行安全级别的判定并进行存储而对用户透明,实现了对同一应用所产生的不同的文档进行安全等级的划分。
参见图5,本发明实施例还提供一种存储检测装置500,该装置设置于操作***的内核态中,包括:处理器51,存储器53,通信接口52,总线54;
处理器51,通信接口52,存储器53通过总线54完成相互的通信。
所述通信接口52,用于与操作***中的外部接口驱动、文件驱动和卷目录管理***通信;
所述处理器用于执行程序531;
程序531可以包括程序代码,所述程序代码包括计算机操作指令;
存储器53,用于存放程序531;
程序531获得执行指令后执行前面方法实施例中所述的方法,具体实现可参见方法实施例;程序531的程序单元可以包括:
截获单元101,用于截获文件信息,其中,所截获的文件信息包括文件属性信息和文件内容;所述文件属性信息包括:文件安全信息;
安全级别获得单元102用于按照设置的安全策略根据所述文件安全信息获得所述文件内容的安全级别;
重定向单元103,用于若所述获得的安全级别达到预设的重要级别,则将所述文件内容重定向至第一存储区域存储;若所述获得的安全级别没有达到预设的重要级别,则将所述文件内容重定向至第二存储区域存储,所述第二存储区域的数据存储安全性低于所述第一存储区域的数据存储安全性;
程序531还可以包括:存储单元104,用于调用所述操作***的文件驱动,利用所述文件驱动从所述获取的文件信息中提取出文件名和文件目录信息,调用所述操作***中的卷目录管理***,利用所述卷目录管理***将文件名和所述文件目录信息存储到所述文件目录信息中指定的存储位置。
所述程序531还可以包括:安全策略接收单元105,用于接收所述安全策略,所接收的安全策略提供给所述安全级别获得单元用以判断所述文件内容的安全级别。
程序531中各单元的具体实现参见图1所示实施例中的相应单元,在此不重复。
本发明实施例所提供的存储检测装置500,设置于操作***内核态中,通过截获文件信息,对文件内容的安全级别进行判断后,将安全级别高的文件内容重定向到数据存储安全性高的存储区域,而文件目录等信息仍然按照用户指定的位置进行存储,从而实现了对文件内容本身进行安全级别的判定并进行存储而对用户透明,实现了对同一应用所产生的不同的文档进行安全等级的划分。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (14)
1.一种存储检测装置,其特征在于,设置于操作***内核态中,包括:
截获单元,用于截获文件信息,其中,所截获的文件信息包括文件属性信息和文件内容,所述文件属性信息包括文件安全信息;
安全级别获得单元,用于按照设置的安全策略根据所述文件安全信息获得所述文件内容的安全级别;
重定向单元,用于若所述获得的安全级别达到预设的重要级别,则将所述文件内容重定向到第一存储区域进行存储;若所述获得的安全级别没有达到所述预设的重要级别,则将所述文件内容重定向到第二存储区域进行存储,所述第二存储区域的数据存储安全性低于所述第一存储区域的数据存储安全性。
2.根据权利要求1所述的装置,其特征在于,所述装置设置于操作***内核态中,分别与操作***中的外部接口驱动、文件驱动和卷目录管理***通信。
3.根据权利要求2所述的装置,其特征在于,所述截获单元具体用于调用所述外部接口驱动,通过所述外部接口驱动截获所述文件信息。
4.根据权利要求2所述的装置,其特征在于,所述文件属性信息还包括文件名和文件目录信息;所述装置还包括:
存储单元,用于调用所述操作***中的文件驱动,利用所述文件驱动从所述文件属性信息中提取所述文件名和所述文件目录信息,用于调用所述操作***中的卷目录管理***,利用所述卷目录管理***将所述文件名和所述文件目录信息存储到所述文件目录信息指定的存储位置。
5.根据权利要求4所述的装置,其特征在于,所述操作***为Windows操作***,所述存储单元具体用于:
调用文件***NTFS接口,利用所述文件***NTFS接口从所述文件属性信息中提取文件名和目录信息,调用卷目录管理***(Volume Management,VolMg)接口,利用VolMg接口将所提取的文件名和文件目录信息存储到所述文件目录信息中指定的位置。
6.根据权利要求1或3或4所述的装置,其特征在于,还包括:
安全策略接收单元,用于接收所述安全策略,所接收的安全策略提供给所述安全级别获得单元。
7.一种存储检测***,其特征在于,包括安全策略输入装置,存储检测装置;
所述存储检测装置,用于截获文件信息,其中,所截获的文件信息包括文件属性信息和文件内容;所述文件属性信息包括:文件安全信息;接收安全策略,按照所述的安全策略根据所述文件安全信息获得所述文件内容的安全级别;若所述获得的安全级别达到预设的重要级别,则将所述文件内容重定向至第一存储区域存储;若所述获得的安全级别没有达到预设的重要级别,则将所述文件内容重定向至第二存储区域存储,所述第二存储区域的数据存储安全性低于所述第一存储区域的数据存储安全性;
所述安全策略输入装置,用于接收用户输入的安全策略,并将所接收的安全策略发送至所述存储检测装置。
8.根据权利要求7所述的存储检测***,其特征在于,所述存储检测***还包括:鉴权装置,用于在安全策略输入装置接收用户输入的安全策略之前,对用户的权限进行认证,认证通过后,则启动安全策略输入装置;如果认证未通过,则不启动安全策略输入装置。
9.一种存储检测方法,其特征在于,应用于操作***内核态中,包括:
截获文件信息,其中,所截获的文件信息包括文件属性信息和文件内容,所述文件属性信息包括:文件安全信息;
按照设置的安全策略根据所述文件安全信息获得所述文件内容的安全级别;
若所述获得的安全级别达到预设的重要级别,则将所述文件内容重定向至第一存储区域进行存储;若所述获得的安全级别没有达到预设的重要级别,则将所述文件内容重定向至第二存储区域进行存储,所述第二存储区域的数据存储安全性低于所述第一存储区域的数据存储安全性。
10.根据权利要求9所述的方法,其特征在于,所述截获文件信息包括:调用所述操作***中外部接口驱动,通过所述外部接口驱动截获文件信息。
11.根据权利要求9所述的方法,其特征在于,所述文件属性信息还包括文件名和文件的目录信息;所述方法还包括:
调用所述操作***中的文件驱动,利用所述文件驱动从所述文件信息中提取出所述文件名和所述文件目录信息,调用所述操作***中的卷目录管理***,利用所述卷目录管理***将所述文件名和所述文件目录信息存储到所述文件目录信息中指定的存储位置。
12.根据权利要求9所述的方法,其特征在于,所述文件属性信息还包括文件的目录信息、文件名,所述操作***为Windows操作***,所述方法还包括:
调用文件***NTFS接口,利用所述文件***NTFS接口从所述文件属性信息中提取文件名和目录信息,调用卷目录管理***(Volume Management,VolMg)接口,利用VolMg接口将所提取的文件名和文件目录信息存储到所述文件目录信息中指定的位置。
13.根据权利要求9-12任一所述的方法,其特征在于,还包括:
接收所述安全策略。
14.一种存储检测装置,其特征在于,包括处理器,存储器,通信接口,总线;
所述处理器、通信接口、存储器通过所述总线相互的通信;所述通信接口,用于与操作***中的外部接口驱动、文件驱动和卷目录管理***通信;
所述存储器用于存储程序;
所述处理器用于执行所述存储器中的所述程序,执行如权利要求9-13任一所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2013/077538 WO2014201650A1 (zh) | 2013-06-20 | 2013-06-20 | 存储检测装置、***及存储检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103620606A CN103620606A (zh) | 2014-03-05 |
CN103620606B true CN103620606B (zh) | 2017-10-10 |
Family
ID=50169870
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380001004.5A Active CN103620606B (zh) | 2013-06-20 | 2013-06-20 | 存储检测装置、***及存储检测方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20150046979A1 (zh) |
CN (1) | CN103620606B (zh) |
WO (1) | WO2014201650A1 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104317746A (zh) * | 2014-10-27 | 2015-01-28 | 安徽江淮汽车股份有限公司 | 一种eeprom的数据冗余存取方法 |
CN104657681B (zh) * | 2015-03-13 | 2018-11-06 | 深圳酷派技术有限公司 | 一种数据存储方法及装置 |
CN104765571A (zh) * | 2015-03-17 | 2015-07-08 | 深信服网络科技(深圳)有限公司 | 虚拟数据写入、读取的方法及*** |
CN106295386B (zh) * | 2015-06-02 | 2021-04-27 | 阿里巴巴集团控股有限公司 | 数据文件的保护方法、装置及终端设备 |
KR102319661B1 (ko) * | 2015-08-07 | 2021-11-03 | 삼성전자주식회사 | 전자 장치 및 전자 장치의 보안 정보 저장 방법 |
CN105354512A (zh) * | 2015-09-30 | 2016-02-24 | 联想(北京)有限公司 | 一种文件存储方法及电子设备 |
CN106951797A (zh) * | 2016-01-07 | 2017-07-14 | 上海思立微电子科技有限公司 | 文件加锁方法、装置及终端 |
EP3440817B1 (en) * | 2016-04-06 | 2022-06-22 | Karamba Security | Automated security policy generation for controllers |
CN107463515A (zh) * | 2017-08-06 | 2017-12-12 | 周海云 | 一种基于物联网的图像成型介质保护装置 |
CN108647527B (zh) | 2018-04-17 | 2020-11-17 | 创新先进技术有限公司 | 文件打包、文件包解包方法、装置及网络设备 |
CN108614977A (zh) * | 2018-04-28 | 2018-10-02 | 惠州市德赛西威汽车电子股份有限公司 | 一种支持hsm的车载敏感数据安全存储方法及其*** |
CN109714308A (zh) * | 2018-08-20 | 2019-05-03 | 平安普惠企业管理有限公司 | 网络架构中数据的监控方法、装置、设备及可读存储介质 |
CN110807205B (zh) * | 2019-09-30 | 2022-04-15 | 奇安信科技集团股份有限公司 | 一种文件安全防护方法及装置 |
CN112181897A (zh) * | 2020-08-28 | 2021-01-05 | 广东亚灏科技有限公司 | 一种面向电子文档的安全等级快速鉴定方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102591842A (zh) * | 2010-12-17 | 2012-07-18 | 微软公司 | 在群集共享卷中的卷和文件*** |
CN103262024A (zh) * | 2010-05-09 | 2013-08-21 | 思杰***有限公司 | 用于强制应用将数据存储在安全的存储位置中的方法和*** |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7536524B2 (en) * | 1998-07-31 | 2009-05-19 | Kom Networks Inc. | Method and system for providing restricted access to a storage medium |
US7539828B2 (en) * | 2000-08-08 | 2009-05-26 | Faronics Corporation | Method and system for automatically preserving persistent storage |
US7509322B2 (en) * | 2001-01-11 | 2009-03-24 | F5 Networks, Inc. | Aggregated lock management for locking aggregated files in a switched file system |
US7289973B2 (en) * | 2002-12-19 | 2007-10-30 | Mathon Systems, Inc. | Graphical user interface for system and method for managing content |
US7383378B1 (en) * | 2003-04-11 | 2008-06-03 | Network Appliance, Inc. | System and method for supporting file and block access to storage object on a storage appliance |
EP1949214B1 (en) * | 2005-10-28 | 2012-12-19 | Network Appliance, Inc. | System and method for optimizing multi-pathing support in a distributed storage system environment |
US8549252B2 (en) * | 2005-12-13 | 2013-10-01 | Emc Corporation | File based volumes and file systems |
CN100498816C (zh) * | 2007-11-19 | 2009-06-10 | 南京大学 | 一种高安全等级操作***的参照监视器实现方法 |
US8290763B1 (en) * | 2008-09-04 | 2012-10-16 | Mcafee, Inc. | Emulation system, method, and computer program product for passing system calls to an operating system for direct execution |
US9454368B2 (en) * | 2009-01-21 | 2016-09-27 | Vmware, Inc. | Data mover permitting data transfer without transferring data between application and operating system |
-
2013
- 2013-06-20 WO PCT/CN2013/077538 patent/WO2014201650A1/zh active Application Filing
- 2013-06-20 CN CN201380001004.5A patent/CN103620606B/zh active Active
-
2014
- 2014-10-24 US US14/523,417 patent/US20150046979A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103262024A (zh) * | 2010-05-09 | 2013-08-21 | 思杰***有限公司 | 用于强制应用将数据存储在安全的存储位置中的方法和*** |
CN102591842A (zh) * | 2010-12-17 | 2012-07-18 | 微软公司 | 在群集共享卷中的卷和文件*** |
Also Published As
Publication number | Publication date |
---|---|
US20150046979A1 (en) | 2015-02-12 |
WO2014201650A1 (zh) | 2014-12-24 |
CN103620606A (zh) | 2014-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103620606B (zh) | 存储检测装置、***及存储检测方法 | |
US10666670B2 (en) | Managing security breaches in a networked computing environment | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
CN109766700A (zh) | 访问文件的控制方法及装置、存储介质、电子装置 | |
CN101808123B (zh) | 在存储***中访问存储资源的方法和装置 | |
CN103581187A (zh) | 访问权限的控制方法及控制*** | |
CN105095103B (zh) | 用于云环境下的存储设备管理方法和装置 | |
CN108293044A (zh) | 用于经由域名服务流量分析来检测恶意软件感染的***和方法 | |
US11481508B2 (en) | Data access monitoring and control | |
CN105550598A (zh) | 一种移动存储设备的安全管理方法和装置 | |
CN106648462A (zh) | 数据存储方法及装置 | |
US11048770B2 (en) | Adaptive response generation on an endpoint | |
CN101047701B (zh) | 保证应用程序安全运行的***和方法 | |
CN109726041A (zh) | 恢复虚拟机磁盘中的文件的方法、设备和计算机可读介质 | |
US8561195B1 (en) | Detection of malicious code based on its use of a folder shortcut | |
CN107908957A (zh) | 一种智能终端的安全运行管理方法及*** | |
CN105550573B (zh) | 拦截捆绑软件的方法和装置 | |
CN106682504B (zh) | 一种防止文件被恶意编辑的方法、装置及电子设备 | |
CN103685233A (zh) | 一种基于Windows内核驱动的木马监测方法 | |
CN104462403B (zh) | 文件截断方法和装置 | |
CN104123371B (zh) | 基于分层文件***的Windows内核文件透明过滤的方法 | |
CN109150969A (zh) | 数据传输方法、分发机、终端机和数据传输*** | |
CN112966094A (zh) | 一种交易数据的处理方法、装置以及*** | |
CN103326924A (zh) | 浮出消息任务的控制方法、服务器和即时通讯客户端 | |
CN101777002B (zh) | 一种基于虚拟化的软件运行方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |