一种邮件检测方法及装置与流程

1.本发明涉及信息安全技术领域，尤其涉及一种邮件检测方法及装置。


背景技术：

2.在现有的通信方式中，电子邮件是普遍使用的一种电子通信方式，用户可以通过电子邮件经济且快速地与其他用户进行信息交互。
3.随着信息化时代的到来，信息安全受到越来越多用户的重视。用户之间在通过电子邮件进行通信时，均不希望将自身的一些敏感信息泄露出去，尤其是对企业而言，信息泄露可能会严重影响企业信息安全，因此一些敏感信息检测技术(如数据泄漏防护技术)应运而生。通过敏感信息检测技术可以对当前发出邮件进行检测，并对于包括敏感信息的邮件进行阻断，以防邮件发送出去，造成信息泄露。
4.但敏感信息检测策略会随着用户的不同需求而发生更新，此时，对于已经通过之前敏感信息检测策略的一些历史邮件，可能会存在信息泄露风险，影响信息安全性。


技术实现要素：

5.本发明实施例提供一种邮件检测方法及装置，以解决现有技术中在敏感信息检测策略发生更新的情况下，之前已通过原敏感信息检测策略的历史邮件，可能存在信息泄露风险的问题。
6.第一方面，本发明实施例提供了一种邮件检测方法，包括：
7.在敏感信息检测策略发生更新的情况下，获取预设范围内的历史邮件；
8.检测所述历史邮件是否命中更新后的所述敏感信息检测策略；
9.将命中更新后的所述敏感信息检测策略的历史邮件，标记为异常邮件；
10.显示所述异常邮件的邮件信息。
11.第二方面，本发明实施例还提供一种邮件检测装置，包括：
12.获取模块，用于在敏感信息检测策略发生更新的情况下，获取预设范围内的历史邮件；
13.检测模块，用于检测所述历史邮件是否命中更新后的所述敏感信息检测策略；
14.标记模块，用于将命中更新后的所述敏感信息检测策略的历史邮件，标记为异常邮件；
15.显示模块，用于显示所述异常邮件的邮件信息。
16.第三方面，本发明实施例还提供一种电子设备，该电子设备包括处理器和存储器，所述存储器上存储可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的邮件检测方法的步骤。
17.第四方面，本发明实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有程序或指令，所述程序或指令被处理器执行时实现如第一方面所述的邮件检测方法中的步骤。
18.在本发明实施例中，在敏感信息检测策略发生更新的情况下，可以基于更新后的敏感信息检测策略，对历史邮件进行检测，在历史邮件中筛选可能包括敏感信息的邮件，并将命中更新后的敏感信息检测策略的邮件的信息进行显示，以供用户查看，从而使得用户可以针对该邮件采取处理措施，从而降低信息进一步泄露的风险。
附图说明
19.图1为本发明实施例提供的邮件检测方法的步骤流程图；
20.图2为本发明实施例提供的系统示意框图；
21.图3为本发明实施例提供的流程示意之一；
22.图4为本发明实施例提供的流程示意之二；
23.图5为本发明实施例提供的流程示意之三；
24.图6为本发明实施例提供的流程示意之四；
25.图7为本发明实施例提供的系统结构拓扑图；
26.图8为本发明实施例提供的系统设备部署示意图；
27.图9为本发明实施例提供的邮件检测装置的框图；
28.图10为本发明实施例提供的电子设备的结构框图。
具体实施方式
29.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
30.应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
31.在本发明的各种实施例中，应理解，下述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
32.本发明实施例提供了一种邮件检测方法，可以应用于信息安全系统，尤其可以应用于基于邮件扫描的数据泄露防护(data leakage prevention，dlp)系统中。
33.如图1所示，该方法可以包括如下步骤：
34.步骤101：在敏感信息检测策略发生更新的情况下，获取预设范围内的历史邮件。
35.在敏感信息检测策略发生更新的情况下，很有可能一些历史邮件对于新的检测策略，存在信息泄露的风险，因此，本发明实施例中，可以在这种情况下，获取历史邮件，以便基于新的检测策略对历史邮件进行检测。
36.本发明实施例中，可以预设历史邮件的获取范围，该获取范围可以是时间范围，也可以是组织结构范围，还可以是二者的结合等，因此，这里所述的预设范围可以包括但不限于：预设时间范围(以下可以称为第二预设时间范围)和预设组织结构范围中的至少一种。
例如，预设范围内的邮件可以是2021年10月1日至12月31日该时间段内产生的邮件，也可以是xx公司或xx公司的yy部门的邮件，还可以是2021年10月1日至12月31日的时间范围内xx公司或xx公司的yy部门的邮件。
37.可选地，这里所述的历史邮件可以是已发送邮件和已接收邮件中的至少一种。由于本发明实施例是为了降低信息泄露的风险，而发出的邮件更容易发生信息泄露的情况，因此，历史邮件可以优选为已发送邮件。当然，有些情况下，由于已发送邮件可能被删除，但已接收邮件中包括双方往来邮件内容，因此，为了避免遗漏，历史邮件还可以包括已接收邮件。
38.步骤102：检测历史邮件是否命中更新后的敏感信息检测策略。
39.本发明实施例中，在获取到预设范围的历史邮件后，可以基于更新后的检测策略对历史邮件进行检测，在历史邮件中筛选可能包括敏感信息的邮件。
40.步骤103：将命中更新后的敏感信息检测策略的历史邮件，标记为异常邮件。
41.对于命中更新后的敏感信息检测策略的历史邮件，说明该历史邮件中具有较大可能包括不宜泄露的敏感信息，即较大概率上存在信息泄露风险，因此可以将该历史邮件标记为异常邮件，以便用户对其进行特殊处理。
42.步骤104：显示该异常邮件的邮件信息。
43.本发明实施例中，在将可能包括敏感信息的历史邮件标记为异常邮件后，还可以显示该历史邮件的邮件信息，以供用户查看，从而使得用户可以确定是否需要对该邮件进行进一步地处理。例如，该邮件为已发送邮件且用户查看该邮件后，确认该邮件中包括不宜泄露的敏感信息时，则可以通知收件人将邮件删除，以及请求收件人对邮件内容进行保密，从而降低信息进一步泄露的风险。具体地，可以通过信息检测系统中的终端设备显示该异常邮件的邮件信息。
44.可选地，由于发出的邮件更容易发生信息泄露的情况，因此无论历史邮件是已发送邮件还是已接收邮件，均可以主要检测本端发件人的发件内容，以减少数据处理量。例如，针对xx公司yy部门的历史邮件进行检测时，主要检测该部门的工作人员的发件内容。
45.作为一种可选实施例，该信息检测系统还可以包括：管理平台和文件解析平台。其中，管理平台可以提供敏感信息检测策略，并对历史邮件的回溯任务(即历史邮件的检测任务)进行管理。文件解析平台可以对历史邮件进行解析，并将命中敏感策略的历史邮件的邮件信息上报至管理平台。
46.如图2所示，管理平台可以对历史邮件的回溯任务进行管理，如通过平台中的系统初始化模块，初始化系统参数、初始化工作线程以及初始化线程池，为邮件回溯做准备。在执行回溯任务过程中，管理平台可以查询历史邮件信息，并将查询到的历史邮件信息添加至待解析文件阻塞队列中。
47.管理平台还可以发送敏感信息检测策略至文件解析平台。文件解析平台接收到敏感信息检测策略后，发送接收成功标识至管理平台。
48.文件解析平台可以通过与管理平台的交互接口，从线程池获取回溯任务线程，并执行相应的线程，如：启动扫描线程(即检测线程)，从待解析文件阻塞队列中获取邮件信息，对邮件信息进行解析，并根据敏感信息检测策略对邮件信息进行检测，并将检测结果上报至管理平台。其中，解析的目的在于将不同的文件类型转换为同一种格式，便于后续的业
务处理，比如将docx和pptx等类型的文件内容提取成文本文件进行处理。
49.其中，在管理平台与文件解析平台分别部署于不同设备时，二者之间的交互接口可以是http接口，当然也可以是其他可用类型的接口。
50.其中，管理平台还可以后台管理该信息检测系统中的终端设备上的可视化界面。该可视化界面可以显示策略配置信息、回溯任务信息以及邮件扫描结果等。该终端设备与管理平台之间建立有通信连接。
51.作为一种可选实施例，步骤101：在敏感信息检测策略发生更新的情况下，获取预设范围内的历史邮件，可以包括：
52.步骤a1：在敏感信息检测策略发生更新的情况下，显示提示信息。
53.具体地，可以通过信息检测系统中的终端设备显示该提示信息，以供用户查看。
54.其中，该提示信息用于提示敏感信息检测策略发生更新，并可以进一步提示具体更新了哪些信息。此外，还可以提示用户是否启动对历史邮件的检测任务。
55.步骤a2：接收用户根据提示信息输入的启动指令，并根据该启动指令获取预设范围内的历史邮件。
56.其中，该启动指令用于启动基于更新后的敏感信息检测策略对历史邮件的检测任务。
57.如图3所示，用户可以通过管理平台启动历史邮件的回溯任务或关闭历史邮件的回溯任务。
58.可选地，本发明实施例中，可以针对回溯任务的启动操作和关闭操作设置用户权限，即具有相应的权限才可以执行相应的操作。当用户没有相应权限时，则返回页面提示信息，提醒用户没有相应的操作权限。对于图中所示的权限判断(即“是否具有权限”)，可以依据生物特征信息(如指纹、声音、人脸、虹膜等)、密码信息或者二者的结合，进行判断。
59.可选地，在启动检测任务后，可以反馈页面通知信息至终端设备，以告知用户文件采集进程任务状态(即历史邮件的检测任务状态)。
60.可选地，用户可以通过信息检测系统中的终端设备输入启动指令。例如，终端设备的显示屏中显示有信息检测系统的控制页面，该控制页面中显示有一控制按钮，通过触发该按钮，可以启动检测任务。
61.可选地，本发明实施例中，敏感信息检测策略更新可以包括：新增敏感信息检测策略、原敏感信息检测策略内容被修改等。
62.其中，步骤a1和步骤a2可以由管理平台实现。
63.作为一种可选实施例，如图3所示，用户除了可以启动或关闭回溯任务，还可以设置回溯任务信息，如设置邮件扫描范围(即预设范围)、设置扫描策略(即敏感信息检测策略)、设置任务执行周期、设置高级选项(如cpu(central processing unit，中央处理器)使用率上限、硬盘占用率上限、内存占用率上限等)、设置硬件资源限制条件(如对cpu、硬盘、内存等硬件信息进行监控)以及备份扫描设置(即设置备份邮件的根目录)。在完成设置后，可以将设置信息保存至管理平台数据库(如platform数据库)。在启动回溯任务后，可以将管理平台数据库中存储的设置信息保存至redis中，以便回溯任务执行过程中使用。
64.在完成设置后，用户还可以根据需求，新增回溯设置信息、修改回溯设置信息或删除回溯设置信息等。在对设置信息进行编辑时，可以设置用户权限，即具有权限的用户才可
以对设置信息进行编辑。对于图中所述的权限判断(即“是否具有权限”)，可以依据生物特征信息(如指纹、声音、人脸、虹膜等)、密码信息或者二者的结合，进行判断。
65.可选地，步骤101：在敏感信息检测策略发生更新的情况下，获取预设范围内的历史邮件，可以包括：
66.在敏感信息检测策略发生更新且满足预设获取条件的情况下，获取预设范围内的历史邮件。
67.其中，预设获取条件可以包括以下至少一项：当前时刻处于第一预设时间范围(即任务执行周期)、当前执行的邮件检测任务大于或等于预设数量以及预设硬件信息满足预设条件。
68.为了可以更好的执行历史邮件的检测任务，也为了降低历史邮件的检测任务对其他处理任务(如实时邮件的检测任务)的影响，可以设置历史邮件检测任务的执行条件。
69.例如，在邮件检测任务量上进行限制。在当前邮件检测任务量达到预设数量时，则不宜再执行检测任务，以免使处理器压力过大。如图4所示，用户通过显示于终端设备上的信息系统控制页面触发了任务启动指令，即终端设备接收任务启动指令。然后终端设备可以判断当前已启动的检测任务的数量是否大于或等于预设数量(如3个)。若为是，则不响应该任务启动指令，并可以显示响应失败原因。若为否，则发送任务启动指令至管理平台。其中，已启动的检测任务(即当前执行的检测任务)包括但不限于：对历史邮件的检测任务和对实时邮件的检测任务中的至少一种。
70.其中，如图5所示，管理平台接收到一个指令后，可以对该指令进行分析，确定具体指令内容，并根据具体指令内容变更任务状态。例如，在指令为启动指令时，则将任务状态由关闭状态更新为启动状态；在指令为关闭指令时，则将任务状态由启动状态更新为关闭状态。在任务状态更新后，管理平台进行任务状态检测，并根据当前的任务状态，变更相关信息。
71.又例如，在任务执行时间上进行限制，即图3中所示的设置任务执行周期，该任务执行周期可以设置在系统比较空闲的时间段，如晚上10点到第二天凌晨5点等，以免增加系统负担。例如，如图5所示，在开启本地扫描任务后，先判断当时时间是否处于预设任务执行周期内。若为否，则继续进行判断。若为是，则执行后续步骤。可以理解的是，具体时间范围可以根据实际情况设置。
72.再例如，在硬件信息上进行限制，如对cpu使用率、硬盘占用率、内存占用率等上进行限制，即图3中所述的设置硬件资源限制条件以及设置高级选项。例如，如图5所示，在轮询归档邮件查询结果时，可以判断是否超过高级选项设置限制。若为是，则不执行后续步骤。若为否，则再继续执行后续步骤。
73.其中，预设硬件信息满足预设条件可以包括：cpu使用率小于或等于第一预设值、硬盘占用率小于或等于第二预设值以及内存占用率小于或等于第三预设值中的至少一种。第一预设值、第二预设值以及第三预设值可以根据实际需求进行设置，本发明实施例对此不进行限定。
74.作为一种可选实施例，步骤101：获取预设范围内的历史邮件，可以包括：
75.步骤b1：按照预设查询规则，查询预设范围内产生的历史邮件的存储目录。
76.其中，预设查询规则可以包括：将邮件依次拆分为年、月、日、小时的查询任务。
77.例如，如图5所示，查询预设邮件扫描范围内的邮件时，可以拆分为年、月、日、小时的查询任务，再依据拆分后的查询任务进行查询。例如，先按年拆分，拆分为每年任务，并记录当前查询年份；对于每年任务再按月拆分，拆分为每月任务，并记录当前查询月份；对于每月任务，再按天拆分，拆分为每天任务，并记录当前查询天数；对于每天任务，再按小时拆分，拆分为每小时任务，记录当前查询小时。对于查询到的邮件，同时记录该邮件的安全标识符(security identifiers，sid)，即邮件的唯一标识符。
78.具体查询过程可以是：获取查询任务的时间范围(即第二预设时间范围)、历史查询页数，按照时间升序查询，计算查询到邮件的存储目录，更新查询页数。这里所述的页数是指邮件页数。
79.其中，查询时，可以对本地邮件进行查询，也可以对网络文件进行查询，如存储于网盘中的邮件。如图5所示，可以先开启本地归档邮件的扫描任务。
80.步骤b2：根据存储目录，获取历史邮件。
81.在获得存储目录后，则可以在存储目录下，获取相应的历史邮件。
82.其中，步骤b1和b2可以由管理平台执行。
83.可选地，步骤b1：按照预设查询规则，查询预设范围内产生的历史邮件的存储目录，可以包括：
84.步骤b11：判断查询到的存储目录下是否存储对应的历史邮件。
85.如图5所示，在获得归档邮件的查询结果(即查询到的存储目录)后，可以轮询归档邮件的查询结果，判断归档文件是否存在，即查询到的存储目录下是否存储有对应的历史邮件。
86.步骤b12：在存储目录下未存储对应的历史邮件的情况下，判断历史邮件是否存在备份邮件。
87.如图5所示，本发明实施例中，在存储目录下没有存储对应的历史邮件时，可以判断该历史邮件的归档备份文件是否存在。
88.步骤b13：在历史邮件存在备份邮件的情况下，获取该备份邮件的存储目录。
89.如图5所示，在该历史邮件的归档备份文件存在的情况下，则可以根据备份扫描设置信息(即预设的备份邮件的根目录信息)、版本信息(即备份文件的中间存储路径对应的编号信息)以及备份文件信息(如备份文件的名称信息)，确定备份文件的存储路径(即存储目录)。
90.例如，预设根目录信息为d盘，版本信息指示的中间存储路径(如文件夹路径)由上级到下级依次为：文件夹a》文本夹b，备份文件的名称为备份a，则依据前述信息可以得到备份文件的存储路径为：d盘》文件夹a》文本夹b》备份a。
91.其中，在数据库中直接存储路径信息存在数据量大的问题，而本发明实施例中，则通过将版本信息与中间存储路径进行关联，由一个编号代替相同的中间存储路径存储于数据库中，而编号相对于具体的路径信息数据量较小，因此，相比于直接存储路径信息，这样能够很大程度上减小数据存储量。
92.由于备份文件的存储路径可能发生变化，因此，同一备份文件可能不同时期对应的存储路径编号不同，即：同一备份文件在不同时期对应的版本信息可能不同。
93.如图5所示，在该历史邮件的归档备份文件不存在的情况下，判断是否连续预设次
数检测到存储目录不存在，即：在该历史邮件的归档备份文件不存在的情况下，则再次确定该历史邮件的存储目录是否存在。若在预设次数内确定该历史邮件的存储目录存在，则重新进行轮询。若连续预设次数确定该历史邮件的存储目录不存在，则记录该历史邮件的检测任务状态为异常停止。
94.其中，在存储目录下存储有对应的历史邮件或没有存储对应的历史邮件但存在备份邮件时，若归档邮件是加密存储的，则可以通过归档数据记录的密码，解压加密压缩邮件至临时目录。
95.其中，当邮件扫描范围不仅包括预设时间范围还包括预设组织结构范围时，还可以从临时目录获取保存的邮件，根据邮件中的收发件人信息，判断该邮件是否在预设组织机构范围内。若为否，则获取下一个历史邮件进行判断。若为是，则判断扫描队列(即待解析文件缓存队列)是否超限。若已超限，继续进行判断。若未超限，则判断该归档邮件是否已被扫描，若为是，则轮询下一个查询结果。若为否，则将该归档邮件的邮件信息进行组装，并将组装后的邮件信息发送至扫描队列缓存。其中，组装邮件信息是指：将邮件信息按照规定的报文格式，拼接到一起，如邮件的发件人、主题、附件名、附件文件路径等信息。
96.其中，如图5所示，在轮询过程中，还可以判断是否完成遍历(即轮询)，若为是，则清理该检测任务缓存，并返回接口响应信息至终端设备，以告知用户任务执行状态。其中，当停止检测任务时，也会清理该检测任务缓存，并返回接口响应信息，即告知用户任务执行状态。
97.作为一种可选实施例，步骤b1：按照预设查询规则，查询预设范围内产生的历史邮件的存储目录，可以包括：
98.步骤b14：在按照预设查询规则查询存储目录的过程中，记录当前的查询进度和查询规则。
99.步骤b15：在检测到发生重启的情况下，在已记录的查询进度下，根据已记录的查询规则，继续进行查询存储目录。
100.本发明实施例中，在历史邮件存储目录的查询过程中，可以实时记录查询进度，如记录查询进度为某月某天某时某分的某一邮件。此外，还可以记录当前查询规则以及检测任务的执行状态。这样，如图5所示，当服务异常重启、回溯任务的重新加载时，可以首先读取缓存的任务状态，根据缓存的任务状态，判断在重启前，任务状态是否为启动状态。若为启动状态，则读取缓存的任务查询规则信息，查询规则加上缓存的sid信息，继续进行查询，这样可以避免重复查询已经查询过的邮件。
101.作为一种可选实施例，步骤102：检测历史邮件是否命中更新后的敏感信息检测策略，可以包括：
102.在历史邮件中的邮件内容包括预设关键词信息、历史邮件中的邮件内容与预设正则表达式相匹配，和/或，历史邮件中的附件的文件属性信息与预设文件属性信息相匹配的情况下，确定命中更新后的敏感信息检测策略。
103.其中，文件属性信息可以包括：文件大小、文件创建时间、文件修改时间、文件作者中的至少一种。
104.可选地，不同的检测任务对应的敏感信息检测策略可以不同，因此可以预先建立检测任务与敏感信息检测策略之间的对应关系，在执行检测任务时，可以获取与执行的检
测任务对应的敏感信息检测策略。
105.为了更好地理解上述检测过程，下面以图6为例对文件解析平台对文件的解析过程进行进一步地解释说明。
106.其中，文件解析平台可以包括：文件扫描进程模块和策略匹配模块。
107.如图6所示，文件扫描进程模块可以读取扫描队列，获取待扫描文件，并解析扫描文件结果，拆装解析报文添加扫描任务号，以及发送检测策略和文件扫描结果数据至策略匹配模块。其中，文件扫描进程模块在获取到待扫描文件后，可以先判断待扫描文件大小是否超过阈值，若超过阈值，则将待扫描文件加入普通文件解析队列中；若未超过阈值，则将待扫描文件加入大文件解析队列中。之后，文件扫描进程模块则可以调用文件解析线程，对待扫描文件进行解析，获得解析文件信息，并根据解析文件信息生成解析结果报文。可选地，文件解析平台可以具有超时判断机制，超时线程可以获取超时解析请求，在超时解析请求是针对历史邮件时，直接删除解析队列中超时的信息记录，无需发送通知邮件给用户。
108.策略匹配模块接收文件扫描进程模块发送的检测策略以及文件扫描结果数据。根据当前扫描任务的任务号，读取当前扫描任务对应的检测策略。根据读取到的检测策略，对待扫描文件进行检测。然后返回检测结果至文件扫描进程模块。其中，可以将邮件中命中检测策略的文件内容可以写入json(javascript object notation，js对象简谱)中，再将json写入检测结果中。
109.文件扫描进程模块接收检测结果，并将检测结果作为事件信息发送至管理平台。其中，由于本发明实施例是对历史邮件进行检测，因此，当检测到历史邮件命中检测策略时，只需将检测结果上报至管理平台即可，无需将检测结果发送至历史邮件的本端发件人。
110.管理平台中的事件接收模块接收事件信息，然后判断是否开启证据文件保存功能，若已开启该功能，则保存事件证据文件。再然后判断是否开启证据文件备份功能，若已开启该功能，则加入证据文件备份队列，以对证据文件进行备份。管理平台中的事件接收模块，还可以保存事件信息至platform数据库，并删除临时目录下对应的邮件。
111.因为不是所有的文件扫描都一定能及时处理，在判定为回溯任务的情况下，超时的回溯任务不会发送超时的通知
112.最后本发明实施例还提供信息安全系统一种的可选地拓扑图和实施部署图，分别如图7和图8所示。
113.图7示意了信息安全系统的一种可选通用实施拓扑图。其中，dlp控制台对应管理平台，该dlp控制台包括后台管理系统。配置中心对应数据库和redis等用于存储信息的信息中间件。文件解析平台可以从配置中心中获取所述的邮件存储目录，并根据邮件存储目录，在文件服务器中的本地文件和/或网络文件中获取相应的邮件。其中，网络文件可以是存在与网盘、网络附属存储(network attached storage，nas)等中的文件。
114.图8示意了信息安全系统的一种可选具体项目实施部署图。如图8所示，用户可以通过终端设备触发历史邮件的回溯检测任务。该回溯检测任务首先被发送至负责均衡器。当回溯检测任务为多个时，负载均衡器可以其分配给不同的管理平台，以实现负载均衡，如在检测任务为4个时，可以将4个检测任务分别分配给图中4个管理平台。其中，该负载均衡器可以是f5负载均衡器。
115.管理平台接收到负载均衡器发送的回溯检测任务后，执行该回溯检测任务。其中，
执行回溯检测任务过程中产生的一些数据信息，如查询到的邮件存储目录信息，可以存储至mysql设备中，其中图中mysql设备包括：mysql主设备、mysql从设备和mysql备用设备。此外，还可以将产生的数据信息存储至redis设备中，其中，图中包括6个redis主设备。
116.管理平台可以将检测任务发送至文件解析平台，文件解析平台接收到管理平台发送的检测任务后，从文件服务器(即getfile服务端)读取所需邮件，并对读取到的邮件进行解析检测，然后将检测结果上报至对应的管理平台，然后由对应的管理平台将检测结果发送至对应的终端设备，以供用户查看。
117.其中，系统外部邮件可以发送至getfile客户端(即具有文件存储接收功能的组件)，然后由getfile客户端上传至getfile服务端。
118.在getfile服务端中的邮件用于系统外部时，getfile客户端可以从getfile服务端获取邮件，并将获取的邮件发送至脱敏系统(非dlp系统)。脱敏系统在对邮件脱敏后，对邮件中的敏感信息进行处理。
119.经过脱敏系统的邮件，也可以发送至文件解析平台，由文件解析平台对邮件进行敏感信息检测，并将检测结果上报至对应的管理平台。其中，脱敏系统可以发送检测任务至负载均衡器。由负载均衡器再发送至文件解析平台。当脱敏任务为多个时，负载均衡器可以其分配给不同文件解析平台执行，以实现负载均衡，如在脱敏任务为4个时，可以将4个脱敏任务分别分配给图中4个文件解析平台。其中，该负载均衡器可以是nginx负载均衡器。
120.其中，为了避免服务器异常、文件安全、文件丢失以及文件损坏等，文件服务器需要进行高可用的集群部署，如图8所示。
121.以上即为对本技术实施例提供的邮件检测方法的描述。
122.综上所述，本发明实施例，在敏感信息检测策略发生更新的情况下，可以基于更新后的敏感信息检测策略，对历史邮件进行检测，在历史邮件中筛选可能包括敏感信息的邮件，并将命中更新后的敏感信息检测策略的邮件的信息进行显示，以供用户查看，从而使得用户可以针对该邮件采取处理措施，从而降低信息进一步泄露的风险。
123.以上介绍了本发明实施例提供的邮件检测方法，下面将结合附图介绍本发明实施例提供的邮件检测装置。
124.本发明实施例还提供了一种邮件检测装置，可以应用于信息安全系统，尤其可以应用于基于邮件扫描的数据泄露防护系统中。
125.如图9所示，所述装置可以包括：
126.获取模块901，用于在敏感信息检测策略发生更新的情况下，获取预设范围内的历史邮件。
127.检测模块902，用于检测所述历史邮件是否命中更新后的所述敏感信息检测策略。
128.标记模块903，用于将命中更新后的所述敏感信息检测策略的历史邮件，标记为异常邮件。
129.显示模块904，用于显示所述异常邮件的邮件信息。
130.可选地，所述获取模块901包括：
131.第一获取单元，用于在所述敏感信息检测策略发生更新且满足预设获取条件的情况下，获取所述预设范围内的所述历史邮件。
132.其中，所述预设获取条件包括以下至少一项：当前时刻处于第一预设时间范围、当
前时刻执行的检测任务量大于或等于预设数量以及预设硬件信息满足预设条件。
133.其中，所述预设硬件信息满足预设条件包括：cpu使用率小于或等于第一预设值、硬盘占用率小于或等于第二预设值以及内存占用率小于或等于第三预设值中的至少一种。
134.可选地，所述获取模块901包括：
135.查询单元，用于按照预设查询规则，查询所述预设范围内产生的历史邮件的存储目录。
136.其中，所述预设查询规则包括：以年、月、日、小时的顺序对邮件进行分割查询。
137.第二获取单元，用于根据所述存储目录，获取所述历史邮件。
138.可选地，所述查询单元包括：
139.记录子单元，用于在按照所述预设查询规则查询所述存储目录的过程中，记录当前的查询进度和查询规则。
140.查询子单元，用于在检测到发生重启的情况下，在已记录的查询进度下，根据已记录的查询规则，继续进行查询。
141.可选地，所述查询单元包括：
142.第一判断子单元，用于判断查询到的存储目录下是否存储对应的历史邮件。
143.第二判断子单元，用于在所述存储目录下未存储对应的历史邮件的情况下，判断所述历史邮件是否存在备份邮件。
144.获取子单元，用于在所述历史邮件存在备份邮件的情况下，获取所述备份邮件的存储目录。
145.可选地，所述预设范围包括：第二预设时间范围和预设组织结构对应的邮件范围中的至少一种。
146.可选地，所述检测模块902包括：
147.检测单元，用于在所述历史邮件中的邮件内容包括预设关键词信息、所述历史邮件中的邮件内容与预设正则表达式相匹配，和/或，所述历史邮件中的附件的文件属性信息与预设文件属性信息相匹配的情况下，确定命中更新后的所述敏感信息检测策略。
148.其中，所述文件属性信息包括：文件大小、文件创建时间、文件修改时间、文件作者中的至少一种。
149.本发明实施例提供的邮件检测装置能够实现图1所示方法实施例中邮件检测方法实现的各个过程，为避免重复，这里不再赘述。
150.本发明实施例提供的邮件检测装置，在敏感信息检测策略发生更新的情况下，可以基于更新后的敏感信息检测策略，对历史邮件进行检测，在历史邮件中筛选可能包括敏感信息的邮件，并将命中更新后的敏感信息检测策略的邮件的信息进行显示，以供用户查看，从而使得用户可以针对该邮件采取处理措施，从而降低信息进一步泄露的风险
151.本发明实施例还提供了一种电子设备，包括存储器、处理器和总线。存储器上存储可在处理器上运行的程序或指令，该程序或指令被处理器执行时实现如上所述的邮件检测方法的步骤。
152.举例如下，图10示出了一种电子设备的实体结构示意图。
153.如图10所示，该电子设备可以包括：处理器(processor)1010、通信接口(communications interface)1020、存储器(memory)1030和通信总线1040，其中，处理器
1010，通信接口1020，存储器1030通过通信总线1040完成相互间的通信。处理器1010可以调用存储器1030中的逻辑指令，以执行如下所述方法：
154.在敏感信息检测策略发生更新的情况下，获取预设范围内的历史邮件；
155.检测所述历史邮件是否命中更新后的所述敏感信息检测策略；
156.将命中更新后的所述敏感信息检测策略的历史邮件，标记为异常邮件；
157.显示所述异常邮件的邮件信息。
158.此外，上述的存储器1030中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
159.本发明实施例还提供了一种计算机可读存储介质，其上存储有程序或指令，该程序或指令被处理器执行时实现以执行上述各实施例提供的邮件检测方法，例如可以执行如下所述方法：
160.在敏感信息检测策略发生更新的情况下，获取预设范围内的历史邮件；
161.检测所述历史邮件是否命中更新后的所述敏感信息检测策略；
162.将命中更新后的所述敏感信息检测策略的历史邮件，标记为异常邮件；
163.显示所述异常邮件的邮件信息。
164.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
165.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom、ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
166.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。