技術領域

本發明涉及網絡信息安全的技術領域，尤其涉及一種防止信息泄漏的系統和基于該系統的防止信息泄漏的方法。

背景技術

企業為防止機密信息泄漏，通常會制定嚴格的信息管理策略和信息管理制度，采取限制涉密員工訪問互聯網、限制涉密員工把信息復制到可移動存儲設備、限制涉密員工打印和傳真、限制涉密員工向企業外面發送郵件等措施對機密信息加以保護。但是嚴格的信息保護措施和制度極大地限制了員工訪問互聯網信息的自由，而且限制員工和外部的通信，包括禁止向外發送信息，同時也會限制員工與合作伙伴的信息交流，導致工作效率降低。

以使用電子郵件(email)為例，企業為滿足涉密員工通信的需求，通常會允許員工使用email進行內部員工間通信，但嚴格限制員工和企業外部人員的通信。只有經過嚴格審核后，員工才能向企業外部的人員發送郵件。這種安全策略對于保護企業的信息資產是必要的，但這種審核通常需要繁瑣的人工申請過程，在得到相關管理人員的批準后，員工才能向外發送郵件，同時，員工所發送的郵件還需要在安全管理人員處進行備案，以上過程給員工造成極大的不便，并且降低了工作效率。

即使企業允許員工和企業外部人員進行通信，也要采取信息防泄漏技術以防止企業信息通過網絡泄漏出去。信息防泄漏技術主要包括防止非授權用戶對信息的非法訪問和防止合法用戶對信息有意或無意的泄漏。為防止非授權用戶對信息的非法訪問，通常采用物理手段或密碼學技術對信息存儲設備和傳輸線路進行安全加固。比如采用防止非法讀取的設備、加密存儲、認證和加密傳輸等安全手段。防止合法用戶的信息泄漏，則是從終端角度對各種可能外流信息的渠道進行封鎖與禁用，達到信息流動的可控性。

信息防泄漏技術主要可以分為基于網絡的信息防泄漏技術和基于主機的信息防泄漏技術?；诰W絡的信息防泄漏技術主要是在企業的網絡出口對信息進行監測和控制。而基于主機的信息防泄漏技術則是對主機的各種外設接口的使用進行控制，特別是對移動存儲設備和打印機的使用進行監控。

基于網絡的信息防泄漏技術是為了防止企業員工通過網絡的各種應用，包括郵件、FTP、即時通信工具等，有意或無意地把企業的機密信息傳送到企業之外。例如，企業員工的機器中了木馬，那么就有可能造成信息的無意外泄?；诰W絡的信息防泄漏技術通常在網絡出口部署安全網關，在安全網關上對外傳的信息進行檢測，如果外傳信息屬于企業的機密信息，安全網關將阻止這種行為，并且記錄企業員工的非法行為。這種技術最有代表性的是Vontu公司的數據傳輸控制系統，該系統使用了三種不同的過濾技術來分析不同的機密數據，包括用于防止文件外傳的索引文件匹配法(IDM，IndexedDocument?Matching)，用于防止機密數據外傳的準確數據匹配法(EDM，ExactData?Matching)和防止帶特殊關鍵字內容的描述內容匹配(DCM，DescribedContent?Matching)。

基于主機的信息防泄漏技術通常在員工使用的終端上安裝一個代理，該代理全面監管員工的終端，可以防止通過網絡、主機外設接口、打印機和移動存儲設備泄漏信息。這種技術可以阻止企業員工訪問網絡，根據不同的安全策略，可以基于IP地址、TCP端口和具體的內容過濾來限制信息外傳。常用的Safend信息安全衛士軟件可以通過駐留在主機上的代理，對主機上的各種端口進行監控，防止信息從USB、串口、并口、藍牙、傳真等接口外傳，同時可以限制移動存儲設備的使用，包括U盤、光驅、軟盤、磁帶等。

目前，無論是基于網絡的信息防泄漏技術還是基于主機的信息防泄漏技術，僅提供訪問控制和自動檢測，沒有提供對信息的授權。

發明內容

有鑒于此，本發明解決的技術問題是提供一種防止信息泄漏的系統和基于該系統的防止信息泄漏的方法，通過該系統和方法對信息的內容進行審核和授權，只有審核通過的信息才被授權發送到企業網外部，從而大大提高了信息傳輸的安全性，更好地防止了信息泄漏。

為此本發明提供的技術方案如下：

一種防止信息泄漏的系統，包括：

用戶端，用于在用戶發送信息Msg時，生成第一驗證信息，將包括Msg和第一驗證信息的消息發送給所述審核端；

審核端，用于審核所述Msg，如果審核通過，則生成第二驗證信息，將包括Msg、第一驗證信息和第二驗證信息的消息發送給代理服務器；

代理服務器，用于驗證第一驗證信息和第二驗證信息，如果驗證都通過，則將Msg發送給該Msg的接收者，并向所述用戶端和審核端返回授權消息。

其中，所述用戶端包括：