利用网络环境信任程度技术选择数据防泄露策略的方法与流程

技术特征：
1.利用网络环境信任程度技术选择数据防泄露策略的方法，其特征在于，包括网络环境信任度感知模块和策略组管理模块，具体步骤如下：步骤一：通过策略组管理模块在管理平台上增加针对不同安全级别的防泄露策略组，所述防泄露策略组包括物理内网安全策略组、物理外网安全策略组、半虚拟内网安全策略组以及全虚拟外网安全策略组；步骤二：通过网络环境信任度感知模块实时监督网络环境的变化情况，具体表现为：在mini-port层检查pc端网络链接是否可以访问网络数据防泄露设备；检查有两种方式，包括：s1：新上线的链接：pc端监控进程监控网络链接池，发现有新建的网络链接时，则记录；判断该网络链接是物理链接还是虚拟链接；判断通过此网络链接是否可以和内网的网络防泄露设备完成握手；根据判断结果标记链接类型；s2：准备外发文件时：判断该进程是否在防泄露策略允许的进程白名单中；判断该网络链接是否途经了可用设备名单中的网络数据防泄露设备；判断外发文件是否包含敏感信息；根据判断结果进行敏感信息外发控制，自动选择适应的防泄露策略，然后根据当前环境更换更适当的防泄露策略。2.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法，其特征在于，所述策略组管理模块的具体工作步骤为：配置单元用于预先配置各种网络环境，所述网络环境包括外网、内网、半虚拟内网以及全虚拟外网；创建单元用于根据用户需求创建若干个不同安全级别的防泄露策略组；编辑单元分别连接配置单元与创建单元，用于分别获取每种网络环境和每个防泄露策略组，并将每种网络环境添加至对应的防泄露策略组中，生成网络环境和防泄露策略组的映射关系表。3.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法，其特征在于，判断通过此网络链接是否可以和内网的网络防泄露设备完成握手的具体过程如下：告知管理平台自身pc的网络链接变化，即当时用到的各个网络链接信息；从管理平台获得网络防泄露设备的guid号和ip地址；管理平台生成一对临时的非对称加密密钥，一个发给pc端，另一个发给网络防泄露设备；其中非对称加密密钥不定时变更；pc端用接收到的一半密钥对网络防泄露设备的guid号和ip地址进行加密，并将加密得到的加密密文发给对应ip的网络防泄露设备；该网络防泄露设备接收到加密密文后用自己的一半密钥解密，判断是否与自身guid和ip一致，将判断结果用自己的一半密钥加密后发还pc端；pc端用自己的一半密钥解密，得到结果。4.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法，其特征在于，根据判断结果标记链接类型，具体包括：
若该网络链接是物理链接且能完成握手，则标记为物理内网链接；若该网络链接是物理链接但不能完成握手，则标记为物理外网链接；若该网络链接是虚拟链接且能完成握手，则标记为虚拟内网链接；若该网络链接是虚拟链接但不能完成握手，则标记为虚拟外网链接。5.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法，其特征在于，管理平台上预先设定了允许访问敏感文件的进程白名单，所述进程白名单包括单位特定的浏览器和应用程序；pc端在获得对应的防泄露策略组时，同时获得此进程白名单。6.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法，其特征在于，管理平台上预先链接了允许使用的网络数据防泄露设备，形成一个可用设备名单，pc端在获得对应的防泄露策略组时，同时获得此可用设备名单。7.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法，其特征在于，判断外发文件是否包含敏感信息，具体为：文件内容识别采用文件拆解技术和字符扫描ocr技术；通过文件拆解技术对文件头特征进行分析，将其中的文字、图片内容输出成通用格式，通用格式包含嵌套格式；通过字符扫描ocr技术对文件中图形化的文字进行识别，转换成功通用字符格式，以便进行内容的识别分析。8.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法，其特征在于，敏感信息的外发控制具体包括：若进程白名单内的进程通过物理内网链接发送敏感文件，则使用物理内网链接的安全策略；若进程白名单内的进程通过虚拟内网链接发送敏感文件，且此虚拟内网链接没有桥接其他链接，则使用虚拟内网链接的安全策略；若有桥接其他链接，则禁用此虚拟内网链接；若进程白名单外的进程通过物理内网链接发送敏感文件，则使用例外进程的物理内网链接的安全策略；若进程白名单外的进程通过虚拟内网链接发送敏感文件，则使用例外进程的虚拟内网链接的安全策略；若通过外网链接发送敏感文件，则被安全策略禁止。

技术总结
本发明公开了利用网络环境信任程度技术选择数据防泄露策略的方法，涉及数据安全技术领域，包括：通过策略组管理模块在管理平台上增加针对不同安全级别的防泄露策略组；通过网络环境信任度感知模块实时监督网络环境的变化情况，对于新上线的链接，判断该网络链接是物理链接/虚拟链接，判断通过此链接是否可以和内网的网络防泄露设备完成握手，根据判断结果标记链接类型；当准备外发文件时，判断该进程是否在防泄露策略允许的进程白名单中，判断该链接是否途经了可用设备名单中的网络数据防泄露设备以及外发文件是否包含敏感信息，根据判断结果进行敏感信息外发控制，自动选择适应的防泄露策略，有效减少数据泄漏途径，提高数据安全性。数据安全性。数据安全性。


技术研发人员：张晶
受保护的技术使用者：合肥赛猊腾龙信息技术有限公司
技术研发日：2021.12.15
技术公布日：2022/3/22