[发明专利]一种跨域文件知悉范围及活动轨迹的全视图监视方法

说明书

技术领域

本发明涉及涉密文件保密管理领域，尤其涉及一种跨域文件知悉范围及活动轨迹的全视图监视方法。

背景技术

在企业活动中，信息资源文件的存储、各文件操作活动和文件的管理是重点关注的问题。国内通常的网络信息安全管理系统中，通常是跨多域的异构网络环境、不同域网络密级不同。而由于文件涉及的设计、管理、生产和制造等多个层面，各种工业、工序文件相对复杂。文件在传输过程中，一份涉密文件衍生、分解为多份非密文件，如：涉密图纸对应的工艺单据，并传输至非密或者更低密级的安全域。而这些非密文件的内容总加有可能是原涉密文件的内容。这样就无法实现对涉密文件进行有效的保密。

由于安全保密管理规定的限制，密与非密域要物理隔离，信息只能从低密域向高密域单向传递，传统安全保密系统只能在单域或同类域运行，从而无法实现跨域可信传递。

发明内容

本发明的目的在于提供一种能够监测涉密文件的降密、解密、衍生、跨域传送等活动，监测内容知悉范围、追踪使用情况等情况的跨域文件知悉范围及活动轨迹的全视图监视方法，从而解决现有技术中存在的前述问题。

为了实现上述目的，本发明采用的技术方案如下：

一种跨域文件知悉范围及活动轨迹的全视图监视方法，包括以下步骤：

S1，将文件本体和附加于所述文件本体上的安全标签绑定生成安全文件，并将所述安全文件保存于本域文件存储服务器；

S2，将本域内的所述安全文件的文件活动记录为文件活动日志，并建立所述文件活动日志与所述安全文件的对应关系；

S3，当所述安全文件跨域传输时，以文件镜像方式和文件活动双向引用方式，对跨域文件状态和文件活动建立整体关系，实现跨域文件知悉和活动追踪审计全视图。

优选的，S3具体为：

S31，当所述安全文件跨域传输时扩展所述安全标签，为所述安全标签增加扩展属性，并生成所述安全文件的镜像文件；

S32，建立所述安全标签与文件活动日志的关联以及所述安全文件和其镜像文件的关联，实现文件活动的双向引用。

优选的，S32具体为：

在文件跨域传输时，既改变源域所述安全文件的安全标签的扩展属性，增加指向目的域所述镜像文件的互备活动日志记录标识引用，又改变目的域所述镜像文件的安全标签扩展属性，增加指向源域所述安全文件的互备活动日志记录标识引用；从而，所述镜像文件的后续活动记录在目的域的活动日志中，并且通过互备日志记录标识引用，实现知悉范围和文件踪迹的跨域可审计。

优选的，所述扩展属性包括本地活动记录引用、镜像标志位和源域标识。

优选的，所述安全标签包括：本地域ID、文件ID和密级ID。

优选的，所述安全文件的文件活动包括文件全周期活动和衍生活动；所述文件活动日志是所述文件活动的记录的集合。

优选的，所述文件的全周期活动具体包括文件创建、提交、审核、下载、输出、升/降密级和销毁操作的活动；所述衍生活动具体包括通过将一个或多个源文件输入某一应用、系统或业务阶段，产生一个或多个目标文件的活动。

优选的，所述文件活动日志记录了每一个所述安全文件的活动发生场景，所述活动发生场景包括：发生时刻T，安全域D的用户U通过主机V，将某个或些源文件S_F作为某应用或业务阶段A的输入，产生现有文件D_F的活动。

优选的，其特征在于所述活动发生场景通过以下公式表示：活动发生场景＝{T，D，U，V，S_F，A，D_F}。

本发明的有益效果是：

本发明通过扩展安全标签的方式，使它附带活动状态信息和衍生信息，依托跨域安全传输技术，实现了源、目的涉密域之间日志双向引用和文件镜像机制，实现了跨域文件知悉范围及活动轨迹的全视图监视审计。提高了对涉密文件的有效管控能力，最大限度杜绝了泄密的可能性，应用本发明后当泄密情况发生时还可以迅速追查责任人。

附图说明

图1是安全文件的安全标签定义举例；

图2是文件集中存储的示意图；

图3是安全文件的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不用于限定本发明。

一种跨域文件知悉范围及活动轨迹的全视图监视方法，包括以下步骤：