[发明专利]防止信息泄漏的系统和基于该系统的防止信息泄漏的方法

说明书

技术领域

本发明涉及网络信息安全的技术领域，尤其涉及一种防止信息泄漏的系统和基于该系统的防止信息泄漏的方法。

背景技术

企业为防止机密信息泄漏，通常会制定严格的信息管理策略和信息管理制度，采取限制涉密员工访问互联网、限制涉密员工把信息复制到可移动存储设备、限制涉密员工打印和传真、限制涉密员工向企业外面发送邮件等措施对机密信息加以保护。但是严格的信息保护措施和制度极大地限制了员工访问互联网信息的自由，而且限制员工和外部的通信，包括禁止向外发送信息，同时也会限制员工与合作伙伴的信息交流，导致工作效率降低。

以使用电子邮件(email)为例，企业为满足涉密员工通信的需求，通常会允许员工使用email进行内部员工间通信，但严格限制员工和企业外部人员的通信。只有经过严格审核后，员工才能向企业外部的人员发送邮件。这种安全策略对于保护企业的信息资产是必要的，但这种审核通常需要繁琐的人工申请过程，在得到相关管理人员的批准后，员工才能向外发送邮件，同时，员工所发送的邮件还需要在安全管理人员处进行备案，以上过程给员工造成极大的不便，并且降低了工作效率。

即使企业允许员工和企业外部人员进行通信，也要采取信息防泄漏技术以防止企业信息通过网络泄漏出去。信息防泄漏技术主要包括防止非授权用户对信息的非法访问和防止合法用户对信息有意或无意的泄漏。为防止非授权用户对信息的非法访问，通常采用物理手段或密码学技术对信息存储设备和传输线路进行安全加固。比如采用防止非法读取的设备、加密存储、认证和加密传输等安全手段。防止合法用户的信息泄漏，则是从终端角度对各种可能外流信息的渠道进行封锁与禁用，达到信息流动的可控性。

信息防泄漏技术主要可以分为基于网络的信息防泄漏技术和基于主机的信息防泄漏技术。基于网络的信息防泄漏技术主要是在企业的网络出口对信息进行监测和控制。而基于主机的信息防泄漏技术则是对主机的各种外设接口的使用进行控制，特别是对移动存储设备和打印机的使用进行监控。

基于网络的信息防泄漏技术是为了防止企业员工通过网络的各种应用，包括邮件、FTP、即时通信工具等，有意或无意地把企业的机密信息传送到企业之外。例如，企业员工的机器中了木马，那么就有可能造成信息的无意外泄。基于网络的信息防泄漏技术通常在网络出口部署安全网关，在安全网关上对外传的信息进行检测，如果外传信息属于企业的机密信息，安全网关将阻止这种行为，并且记录企业员工的非法行为。这种技术最有代表性的是Vontu公司的数据传输控制系统，该系统使用了三种不同的过滤技术来分析不同的机密数据，包括用于防止文件外传的索引文件匹配法(IDM，IndexedDocument Matching)，用于防止机密数据外传的准确数据匹配法(EDM，ExactData Matching)和防止带特殊关键字内容的描述内容匹配(DCM，DescribedContent Matching)。

基于主机的信息防泄漏技术通常在员工使用的终端上安装一个代理，该代理全面监管员工的终端，可以防止通过网络、主机外设接口、打印机和移动存储设备泄漏信息。这种技术可以阻止企业员工访问网络，根据不同的安全策略，可以基于IP地址、TCP端口和具体的内容过滤来限制信息外传。常用的Safend信息安全卫士软件可以通过驻留在主机上的代理，对主机上的各种端口进行监控，防止信息从USB、串口、并口、蓝牙、传真等接口外传，同时可以限制移动存储设备的使用，包括U盘、光驱、软盘、磁带等。

目前，无论是基于网络的信息防泄漏技术还是基于主机的信息防泄漏技术，仅提供访问控制和自动检测，没有提供对信息的授权。

发明内容

有鉴于此，本发明解决的技术问题是提供一种防止信息泄漏的系统和基于该系统的防止信息泄漏的方法，通过该系统和方法对信息的内容进行审核和授权，只有审核通过的信息才被授权发送到企业网外部，从而大大提高了信息传输的安全性，更好地防止了信息泄漏。

为此本发明提供的技术方案如下：

一种防止信息泄漏的系统，包括：

用户端，用于在用户发送信息Msg时，生成第一验证信息，将包括Msg和第一验证信息的消息发送给所述审核端；

审核端，用于审核所述Msg，如果审核通过，则生成第二验证信息，将包括Msg、第一验证信息和第二验证信息的消息发送给代理服务器；

代理服务器，用于验证第一验证信息和第二验证信息，如果验证都通过，则将Msg发送给该Msg的接收者，并向所述用户端和审核端返回授权消息。

其中，所述用户端包括：