[发明专利]对敏感文件的输入输出进行监控的方法和装置

说明书

技术领域

本发明涉及安全技术领域，特别地，涉及一种对敏感文件的输入输出进行监控的方法和装置。

背景技术

政府及企事业单位为标识文件的重要性和特殊性，通常在文件发布时将文件加上绝密、机密、秘密等标识，这在引起内部员工或合作伙伴对资料信息高度重视的同时，也给国内外间谍及网络黑客以可乘之机，他们利用种种基于互联网的探测及攻击手段非法获取该类文件以牟取暴利。另一方面，由于互联网的资源分享的便利性，一些防范意识不强的用户也因无意间通过网络下载或上传一些标有密级的文件而受到国家安全监测机构审查，给单位或个人带来不必要的麻烦。

目前针对此类问题的解决方案通常是在用户终端上安装支持文件关键字搜索(例如，百度硬盘搜索)的软件。为加快搜索速度，此类软件通常需要对磁盘文件先建立索引，然后再按文件关键字进行搜索，对检索到的文件根据文件重要性或用户需求进行手工删除、移除、加密等处理。

上述现有技术对敏感文件进行检测与处理的方案至少存在以下四种缺陷：

(1)缺乏对敏感文件输入/输出过程(例如，上传/下载或带有附件的邮件收发)的检测机制：

互联网的资源分享的便利性使得用户可随时随地的进行文件的上传/下载及邮件的收发，此外一些黑客攻击也会利用一些软件盗取敏感文件，如果缺乏对这一过程的检测，那些基于静态过程对敏感文件的搜索与处理等同于无。

(2)建立文件索引时占用的用户终端资源大且花费时间长：

由于文件索引服务需要频繁地对磁盘进行读操作，CPU的使用率通常会达到70％以上，导致系统运行缓慢，影响用户正常工作；对于一个通用办公计算机，完成首次索引建立的时间一般在3小时以上。如果本地文件数量较大，需检索的文件类型较多，则花费的时间一般在6小时以上。

(3)手工处理方式繁琐、费时：

由于文件重要性不同，需要对检测到的文件根据情况分别进行处理，有的可能需要彻底删除，有的需要转移到其它安全移动介质上存档，有的需要进行本地加密保存。如果本地磁盘含有众多重要性不同的敏感文件，这种处理需要用户进行大量繁琐的判别和手工处理操作，耗费用户大量时间。

(4)经处理后的敏感文件给用户的再次使用带来不便：

由于敏感文件经上述检测处理后已被删除、移除或加密，因此当需要再次使用这些敏感文件时，查找、拷贝或解密等操作后还需要再次进行移除或加密。如果文件已被删除，则给使用带来更大的不便。

发明内容

本发明要解决的一个技术问题是提供一种对敏感文件的输入输出进行监控的方法和装置，能够对敏感文件的输入/输出过程进行有效地检测以防止敏感文件的泄露。

根据本发明的一方面，提出了一种对敏感文件的输入输出进行监控的方法，包括监测是否对敏感文件进行输入/输出操作；如果监测到对敏感文件进行输入/输出操作，则检索敏感文件是否包含关键字；如果敏感文件不包含关键字，则继续对敏感文件进行输入/输出操作，否则，生成敏感文件副本，并根据预先设定的处理模式和处理策略控制对敏感文件副本和输入/输出操作的处理。

根据本发明方法的一个实施例，处理模式为交互式或静默式。

根据本发明方法的另一实施例，处理策略包括删除关键字、删除敏感文件副本、对敏感文件副本进行加密以及取消输入/输出操作。

根据本发明方法的又一实施例，输入/输出操作的类型包括为邮件添加附件、FTP上传或下载。

根据本发明方法的再一实施例，在处理模式为交互式时，根据预先设定的处理模式和处理策略控制对敏感文件副本和输入/输出操作的处理的步骤包括生成处理策略交互式选择提示；根据提示选择对敏感文件副本和输入/输出操作的处理策略；根据所选择的处理策略对敏感文件副本和输入/输出操作进行处理。

根据本发明的另一方面，还提出了一种对敏感文件的输入输出进行监控的装置，包括监测模块，用于监测是否对敏感文件进行输入/输出操作；检索模块，与监测模块相连，用于如果监测到对敏感文件进行输入/输出操作，则检索敏感文件是否包含关键字；控制模块，与检索模块相连，用于如果敏感文件不包含关键字，则继续对敏感文件进行输入/输出操作，否则，生成敏感文件副本，并根据预先设定的处理模式和处理策略控制对敏感文件副本和输入/输出操作的处理。

根据本发明装置的一个实施例，处理模式为交互式或静默式。

根据本发明装置的另一实施例，处理策略包括删除关键字、删除敏感文件副本、对敏感文件副本进行加密以及取消输入/输出操作。