一种防敏感数据泄密的方法及装置的利记博彩app

文档序号:7741401
专利名称:一种防敏感数据泄密的方法及装置的利记博彩app
技术领域
本发明涉及网络安全领域,特别是涉及一种防敏感数据泄密的方法及装置。
背景技术
Internet的迅速发展以及普及,使之成为日常个人、企业或政府部门等获得信息和发布信息的主要手段,使Internet变成了资源丰富的信息宝库;Internet已成为信息传播的重要手段,正逐渐代替传统的信息传播手段。 为了从Internet获取信息,企业的内部网络必须与Internet连接。不法分子或黑客等能通过各种手段来进入企业的内网盗取敏感数据;内部人员也可通过Internet泄露企业的敏感数据。因此保护企业的敏感数据不被通过Internet泄露是网络安全里一个主要的任务。 现有防敏感数据泄密的主要技术是基于审计系统,参见图l所示,在企业部署审计日志服务器,以日志的形式记录内部用户的网络操作等。可见,审计日志只能事后取证,不能及时阻止敏感数据的泄密,而且审计日志服务器对病毒、黑客等无法阻止。

发明内容
本发明提供了一种防敏感数据泄密的方法及装置,用以解决现有防敏感数据泄密的技术不能有效阻止敏感数据泄密的问题。 本发明的一种防敏感数据泄密的方法,包括下列步骤防火墙拦截访问源发来的
连接请求;防火墙对该连接请求进行敏感数据访问策略匹配;若匹配结果为允许,则转发
该连接请求并允许访问目的数据;若匹配结果为不允许,则阻断该连接请求。
本发明的一种防火墙,包括拦截单元,用于拦截访问源发来的连接请求;匹配单
元,用于对拦截到的连接请求进行敏感数据访问策略匹配;转发单元,在匹配结果为允许时
被触发,用于转发该连接请求并允许访问目的数据;阻断单元,在匹配结果为不允许时被触
发,用于阻断该连接请求。
本发明有益效果如下 本发明在防火墙上增加了拦截连接请求的机制、匹配机制,以及根据匹配结果的不同处理机制。所以有效阻断非法连接盗取内部网络中的数据,从而防止了敏感数据的泄密。


图1为现有审计系统的结构示意 图2为本发明实施例中的防火墙部署示意 图3为本发明实施例中的防火墙结构示意 图4为本发明实施例中的方法步骤流程图。
具体实施例方式
由于Internet的固有特点使之在网络安全方面很薄弱,因此有大量相关的网络 安全产品出现,如防火墙、入侵检测、漏洞扫描和安全审计等,这些安全产品的特点都是保 护企业的私有网络或资源不被非授权访问和修改,或记录审计日志以日后取证等。本发明 的主要思路是在防火墙上阻止企业的敏感数据被发布到Internet上。参见图2所示,本发 明实施例中的防火墙网络部署如下防火墙的部署位置通常在Internet与服务器区或/和 内部网络之间,防火墙的部署位置决定了其是网络安全的第一道安全保证,也是最重要的 安全屏障,所以其自身的软件安全要求是极高的,所用操作系统也是专有的或经过安全加 固的;而且防火墙工作特点必须是能长时间高复核的连续工作,所以硬件的性能和稳定性 也要求很高。基于防火墙这些特点,在防火墙上阻止敏感数据的泄密较审计保护方法有很 多优越之处。 因此,本发明实施例中提供了一种防火墙,参见图3所示,包括拦截单元、匹配单 元、转发单元和阻断单元。 拦截单元,用于拦截访问源发来的连接请求。 匹配单元,用于对拦截到的连接请求进行敏感数据访问策略匹配。策略匹配包括 关键字匹配、IP地址匹配,或/和MAC地址匹配。 转发单元,在匹配结果为允许时被触发,用于转发该连接请求并允许访问目的数 据。 阻断单元,在匹配结果为不允许时被触发,用于阻断该连接请求。
进一步,还可包括日志单元(在图3中未画出),用于在阻断单元阻断该连接请
求后,记录该连接请求的信息,以备日事后审计查证。
在具体实现中,例如连接请求中携带有"报表"。 携带有"报表"二字的连接请求从Internet发往企业内部网络,经过防火墙时,拦 截单元将该连接请求拦截; 匹配单元以敏感数据访问策略中的关键词策略对该连接请求进行匹配; 匹配后发现该连接请求中携带有"报表"二字,不能被接受,则阻断单元被触发; 阻断单元阻断该连接请求; 同时,日志单元记录该连接请求的关键字内容(即"报表"),该连接请求的完整内 容,该连接请求访问源的IP地址、MAC地址等,以备日事后审计查证。 在具体实现中,又例如连接请求中携带有"报表",连接请求的访问源IP地址为 XXX。 携带有"报表"二字的连接请求从Internet发往企业内部网络,经过防火墙时,拦 截单元将该连接请求拦截; 匹配单元以敏感数据访问策略中的关键词策略和IP地址策略对该连接请求进行 匹配; 匹配后发现该连接请求中携带有"报表"二字,但该连接请求的访问源IP地址为
XXX,具有访问企业内部数据的最高权限,则转发单元被触发; 转发单元将该连接请求转发到企业内部网络,允许访问目的数据。 本发明实施例中还提供了一种防敏感数据泄密的方法,参见图4所示,包括下列主要步骤 SI 、防火墙拦截访问源发来的连接请求。 S2、防火墙对该连接请求进行敏感数据访问策略匹配。策略匹配包括关键字匹 配、IP地址匹配,或/和MAC地址匹配。若匹配结果为允许,则转入S3,若匹配结果为不允 许,则转入S4。 S3、转发该连接请求并允许访问目的数据,终结流程。 S4、阻断该连接请求。 S5、记录该连接请求的信息,终结流程。 在具体实现中,例如连接请求的访问源MAC地址为YYY。 防火墙拦截访问源发来的连接请求。 防火墙以敏感数据访问策略中的MAC地址策略对该连接请求进行匹配。发现该 MAC地址不在信任列表中,则匹配结果为不允许。 防火墙阻断该连接请求,并记录该连接请求的完整内容,该连接请求访问源的IP 地址、MAC地址等,以备日事后审计查证。 在具体实现中,又例如连接请求中携带有"方案",连接请求的访问源MAC地址为 ZZZ。 防火墙拦截访问源发来的连接请求。 防火墙以敏感数据访问策略中的关键字策略和MAC地址策略对该连接请求进行
匹配。匹配后发现该连接请求中携带有"方案"二字,但该连接请求的访问源MAC地址ZZZ
在信任列表中,则匹配结果为允许。 防火墙转发该连接请求并允许访问目的数据。 综上,由于防火墙在网络上的特殊位置,决定了本发明技术能有效阻断所有非法 连接,可及时防止敏感数据的泄密,而且日志更加详细准确,便于事后有证可查。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种防敏感数据泄密的方法,其特征在于,包括下列步骤防火墙拦截访问源发来的连接请求;防火墙对该连接请求进行敏感数据访问策略匹配;若匹配结果为允许,则转发该连接请求并允许访问目的数据;若匹配结果为不允许,则阻断该连接请求。
2. 如权利要求1所述防敏感数据泄密的方法,其特征在于,所述策略匹配包括关键字匹配、IP地址匹配,或/和MAC地址匹配。
3. 如权利要求1所述防敏感数据泄密的方法,其特征在于,阻断所述连接请求后,记录该连接请求的信息。
4. 一种防火墙,其特征在于,包括拦截单元,用于拦截访问源发来的连接请求;匹配单元,用于对拦截到的连接请求进行敏感数据访问策略匹配;转发单元,在匹配结果为允许时被触发,用于转发该连接请求并允许访问目的数据;阻断单元,在匹配结果为不允许时被触发,用于阻断该连接请求。
5. 如权利要求4所述的防火墙,其特征在于,还包括日志单元,用于在阻断所述连接请求后,记录该连接请求的信息。
6. 如权利要求4所述的防火墙,其特征在于,匹配单元的所述策略匹配包括关键字匹配、IP地址匹配,或/和MAC地址匹配。
全文摘要
本发明公开了一种防敏感数据泄密的方法及装置,涉及网络安全领域,用以解决现有防敏感数据泄密的技术不能有效阻止敏感数据泄密的问题。方法包括防火墙拦截访问源发来的连接请求;防火墙对该连接请求进行敏感数据访问策略匹配;若匹配结果为允许,则转发该连接请求并允许访问目的数据;若匹配结果为不允许,则阻断该连接请求。防火墙包括拦截单元,用于拦截访问源发来的连接请求;匹配单元,用于对拦截到的连接请求进行敏感数据访问策略匹配;转发单元,在匹配结果为允许时被触发,用于转发该连接请求并允许访问目的数据;阻断单元,在匹配结果为不允许时被触发,用于阻断该连接请求。
文档编号H04L29/06GK101789942SQ201010104930
公开日2010年7月28日 申请日期2010年1月29日 优先权日2010年1月29日
发明者柯宗庆, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司
再多了解一些
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1