技術領域

本發明是一種數據信息安全過濾方法，主要用于解決不同信息安全級別網絡間通信過程中的非結構化數據安全過濾問題，屬于信息安全軟件領域。

背景技術

隨著社會信息化建設的日益完善，企業也逐步實現辦公運營的信息化和數字化，為了能夠更好將用戶信息與企業內部信息結合，企業不僅僅有自己的內部網絡，而且內部網絡開始逐漸向英特網開放，隨之帶來的就是安全問題。

在不同安全域的網絡信息交互過程中，信息從一個安全域網絡到另一個安全域網絡，對信息進行過濾是有必要的。當從低安全級別網絡傳遞信息到高安全級別網絡時，傳遞信息的安全性（信息攜帶病毒，木馬等）為考慮的關鍵點。而對于從高安全級別網絡傳遞信息到低安全級別網絡時，信息的防泄漏（文檔的密級程度）為考慮的關鍵點；此外，對于不健康的信息，所有的網絡都需要對它們進行過濾。

目前在網絡傳輸過程中，對于結構化的數據，它們具有良好的結構信息，通過程序能夠直接訪問到結構化數據的內容信息。因此，網絡交換設備（網關，網閘等）能夠直接訪問結構化數據的內容并對其進行過濾。而對于非結構化數據，如Word文檔，PDF文檔，圖像文檔等，它們沒有很好的結構化信息，網絡交換設備如何很好對它們進行過濾，甚至于統一的進行內容過濾分析是當前過濾設備的一大挑戰。

為了解決目前網絡交換設備不能夠對非結構化數據的內容過濾問題，本專利提出基于標記的非結構化數據的安全過濾方法。它通過對各種文檔進行分類描述、為文檔添加關鍵字信息和設置用戶對分類文檔的訪問權限來限制用戶對文檔的傳送和訪問。這樣，用戶在傳遞文檔時，為文檔打上標記信息（標記信息包括對文檔選擇分類描述信息，為文檔添加關鍵字，附帶上用戶信息），文檔傳遞到過濾器時，過濾器依據用戶與文檔之間的關系，以及用戶為文檔添加的關鍵字來對文檔進行過濾。為了保證用戶不能夠隨意選擇文檔的分類信息與添加關鍵字，過濾器需要有統計日志信息，日志信息中包含有用戶信息，以便事后審計。

?基于標記的非結構化數據的安全過濾方法通過用戶對文檔進行打標記信息，用戶對分類文檔的訪問控制權限來保證文檔是否能夠通過過濾器。這種方法的好處在于，對于非結構化的文檔，不論是Word文檔，還是圖像文檔，都可以統一進行處理（打標記）。引入管理策略，通過規范用戶對文檔選擇分類信息與添加關鍵詞來保證文檔內容與標記的關系，從而保證過濾器表面上過濾的是文檔標記信息，實際過濾的是文檔的核心內容。

發明內容

本發明的目的為提供一種新的非結構化數據安全過濾方法，來解決非結構化數據在不同安全級別網絡數據交換過程中的過濾問題，本機制是一種策略性方法，通過使用本方法可以使得非結構化數據能夠安全的在不同級別的網絡間進行數據交換，從而保證數據不會被泄漏，也不會被隨意傳送。

本發明的方法是一種策略性的方法，通過在傳送的非結構化數據的文檔中做標記信息，使得數據源、數據目的地和數據內容都在可控范圍之內，從而解決非結構化數據在傳輸過程中能夠安全，可靠的進行交換，從而保證安全數據不會被泄漏和隨意傳送。

一、體系結構

圖1給出了基于標記的非結構化數據安全過濾結構圖，它主要包括四個部分：標記客戶端、標記服務器、標記過濾器（實際對非結構化文檔進行安全過濾）、日志系統。標記客戶端為文檔做標記操作，標記服務端保存有用戶、文檔分類和用戶對文檔訪問權限等通過標記來識別的信息；標記過濾器通過提取標記信息與標記服務器上的信息進行判斷比較，從而對文檔進行安全過濾；日志系統是對過濾器操作過程的過程備份，從而作為事后處理分析依據。

下面給出具體介紹：

標記客戶端：標記客戶端通過用戶登陸標記系統，獲得文檔分類信息，并選擇文檔所屬分類；然后將用戶信息、文檔摘要、文檔關鍵字（用戶提供）與文檔分類信息通過標記（包含標記摘要）添加到文檔中。為了保證用戶和服務器的身份正確性，在文檔傳遞過程之前客戶端需要服務器進行身份認證；為了保證標記的安全性，標記信息需要加密后添加到文檔中。

標記服務器：標記服務器是一個信息倉庫，它保存有文檔分類信息，信息安全關鍵字，用戶信息，以及用戶對文檔的訪問權限信息。此外，它還提供用戶注冊，文檔分類管理，用戶對文檔訪問權限申請與管理功能。