技術領域

本發明涉及通信技術領域，尤其涉及一種數據防護方法、裝置及系統。

背景技術

隨著信息化的發展，信息安全日益成為企業安全管理和風險控制的核心內容。許多企業為了防止員工在外發數據時造成的信息泄露，在其內部網絡中部署了數據防泄漏(Data?Loss?Prevent，DLP)服務器，以保護其數據安全。

現有的DLP實現方案中，可以通過網頁代理(web?proxy)服務器或者郵件傳送代理(Mail?Transfer?Agent，MTA)服務器將來自于用戶終端的外發的數據(網頁數據或者郵件)傳輸到DLP服務器中，DLP服務器采用關鍵字、元數據、正則表達式、多模匹配、指紋匹配等算法對外發的數據流中的數據的安全性進行判定，發送通過安全性判定的數據至目的地址，攔截未通過安全性判定的數據或者選擇性的發送該數據至目的地址。

現有技術中，DLP服務器在進行安全性判定時，對于系統監控范圍內的所有用戶的外發數據都執行同樣的判定流程，導致外發數據的安全性判定時延較大，影響數據的外發效率，影響用戶體驗。

發明內容

本發明的實施例提供一種數據防護方法、裝置及系統，可以減少外發數據的安全性判定時延，進而提高數據的外發效率，提高用戶體驗。

為達到上述目的，本發明的實施例采用如下技術方案：

第一方面，提供一種數據防護方法，包括：

接收來自用戶終端的外發數據，所述外發數據中攜帶用戶的身份標識；

根據所述身份標識從信譽服務器獲取所述用戶的用戶等級和信譽值，所述信譽值為所述用戶的外發數據的違規百分比；

發送所述外發數據、所述用戶等級和所述信譽值至數據防泄漏DLP服務器，以使所述DLP服務器根據所述用戶等級和所述信譽值對所述外發數據的安全性進行判定，進而使所述DLP服務器生成包含判定結果的消息，所述判定結果包括通過安全性判定和未通過安全性判定；

接收來自所述DLP服務器的所述包含所述判定結果的消息，并根據所述判定結果采用與所述判定結果對應的策略處理所述外發數據。

結合第一方面，在第一方面的第一種可能的實現方式中，所述根據所述身份標識從信譽服務器獲取所述用戶的用戶等級和信譽值，包括：

發送所述身份標識至所述信譽服務器，以使所述信譽服務器根據所述身份標識查詢所述用戶的用戶等級和所述信譽值；

接收來自所述信譽服務器的所述用戶等級和所述信譽值。

結合第一方面、或第一方面的第一種可能的實現方式，在第一方面的第二種可能的實現方式中，所述來自用戶終端的外發數據為所述用戶終端的通過身份認證的外發數據。

結合第一方面、第一方面的第一或第二種可能的實現方式，在第一方面的第三種可能的實現方式中，所述用戶的用戶等級包括：免審查級、審查級和停外發權限級，所述審查級至少包括簡單審查級和嚴格審查級；

所述違規百分比為所述信譽服務器根據所述信譽服務器中預存的所述用戶的外發數據通過所述安全性判定的次數和未通過所述安全性判定的次數計算得到的。

結合第一方面、第一方面的第一、第二或第三種可能的實現方式，在第一方面的第四種可能的實現方式中，所述根據所述判定結果采用預設策略處理所述外發數據，包括：

若所述判定結果指示所述外發數據通過安全性判定，則發送所述外發數據至所述外發數據的目的地址；

若所述判定結果指示所述外發數據未通過所述安全性判定，則攔截所述外發數據。

結合第一方面、或第一方面的上述任意一種可能的實現方式，在第一方面的第五種可能的實現方式中，在所述接收來自所述DLP服務器的所述包含所述判定結果的消息，并根據所述判定結果采用與所述判定結果對應的策略處理所述外發數據之后，所述方法還包括：

發送所述包含所述判定結果的消息至所述信譽服務器，以使得所述信譽服務器根據所述身份標識和所述判定結果更新所述用戶等級和所述信譽值。

接收來自所述用戶終端的通過身份認證的用戶終端的外發數據。

結合第一方面、或第一方面的上述任意一種可能的實現方式，在第一方面的第六種可能的實現方式中，若所述外部數據為Web數據，所述發送所述外發數據、所述用戶等級和所述信譽值至DLP服務器，具體為：

通過互聯網內容適配協議ICAP協議向所述DLP服務器發送所述外發數據、所述用戶等級和所述信譽值，其中所述用戶等級和所述信譽值攜帶在擴展的ICAP頭部字段中。

第二方面，還提供一種數據防護方法，包括：