[发明专利]基于数据流的信息分类防护自动化核查方法

说明书

(一)、技术领域：本发明涉及一种网络信息核查方法，特别是涉及一种基于数据流的信息分类防护自动化核查方法。

(二)、背景技术：随着我国信息化建设的发展，信息系统越来越多地被应用到各行各业中去，为企业生产效率的提高、为便利人们的日常生活发挥了重要作用。与此同时，各种安全威胁也相伴而来，信息系统的安全防护已经成为大家关注的焦点。信息系统安全管理员希望获知系统的运行状况，特别是重要资源及信息的访问状况，由于检验工具还不够成熟，目前只能通过手工的方式或依靠系统自己产生的审计信息进行核查和检验，效率低、安全程度不高，且核查难度大，无法实现对系统的自动化检查，因此迫切需要针对应用系统的自动化的核查手段。

互联网已成为我国重要的信息基础设施，积极利用互联网进行电子政务建设，既能提高效率、扩大服务的覆盖面，又能节约资源、降低成本，基于互联网的电子政务系统已经成为我国电子政务建设的新模式。然而，利用开放的互联网开展电子政务建设，面临着计算机病毒、网络攻击、信息泄漏、身份假冒等安全威胁和风险，应该高度重视信息安全。为规避互联网带来安全风险，推进互联网在我国电子政务中的应用，我国颁布了国家标准GB/Z24294-2009《基于互联网电子政务信息安全实施指南》，其中“信息分类防护”是重要的安全防护机制，包括系统分域部署、信息分类存储、基于用户和资源类型的安全防护等。“信息分类防护”要求是实现基于互联网电子政务系统安全防护的重要手段，信息分类防护的效果将直接关系到系统安全以及基于互联网电子政务模式的应用推广。目前，尚无专门针对“信息分类防护”要求的安全性核查工具，只能借助通用核查工具或通过手工方式进行核查，无法进行快速、准确和自动化的安全核查。

(三)、发明内容：

本发明要解决的技术问题是：克服现有技术的缺陷，提供一种自动化程度高、准确性高、效率高的基于数据流的信息分类防护自动化核查方法。

本发明的技术方案：

一种基于数据流的信息分类防护自动化核查方法，在客户端与服务器端之间设置网关，该网关为信息分类防护自动核查网关，在信息分类防护自动核查网关中，通过定制防火墙规则，将所有目的端口号为HTTP应用的端口号的TCP报文全部重定向到某一端口，例如：8080端口，然后设定代理服务器在该端口上进行监听，这样所有在网络上传输的HTTP数据包就全部流向了信息分类防护自动核查网关，信息分类防护自动核查网关对监听到的数据进行如下分析和处理：

A、基于访问信息的用户身份快速识别：

通过对数据流中的访问信息进行捕获并提取其中的特征信息，再结合对访问者一系列动作的分析，就可以确定访问者的身份；

B、多类型资源的获取：对数据流进行分析，确定用户所访问的资源信息，识别资源信息的类型，并将资源信息提取出来，提取的资源信息包括：网页类资源、文件资源、服务类资源和虚拟文件资源；

C、系统分域部署核查：获取系统内部的分域情况，并对域内的信息系统进行分析判断，检查信息系统的部署是否符合要求；

D、系统分域存储核查：通过对系统内部的存储位置、资源信息进行分析，确定分类后的信息是否是被安全合理地存放，这样可消除不必要的安全隐患；

E、用户分类访问核查：对分类后用户的访问情况进行核查。

信息分类防护自动核查网关捕获HTTP数据包的方式为透明的数据捕获模式，这种方式是一种与应用系统无关、无需用户参与的自动化透明核查方式，它能够有效地降低系统开发带来的不便，降低了成本。

基于访问信息的用户身份快速识别是一种从过往的网络数据流中提取信息，确定用户身份的一种技术。信息系统在运行过程中会产生大量的数据，通过对数据流进行收集，对特征信息进行提取并结合对其一系列动作的分析，就可以确定访问者的身份。

在网络协议中，HTTP协议是高层协议，其中包含有大量的传输信息。而HTTP协议是基于请求/回应机制的，在客户端与服务器端建立连接后，以请求方法、URL、协议版本等方式向服务器端发出请求。请求内容可包含请求修饰符、客户信息，及可能的请求体(body)内容的MIME类型消息。服务器端则通过状态队列回应，内容包括消息的协议版本、成功或错误代码，也包含服务器信息、实体元信息及实体内容的MIME类型消息。