本發(fā)明公開(kāi)了一種涉密網(wǎng)信息泄密風(fēng)險(xiǎn)監(jiān)測(cè)方法，通過(guò)在客戶端實(shí)時(shí)記錄用戶操作，以文件流出該客戶端為出發(fā)點(diǎn)，還原出該用戶本次文件流出客戶端的完整行為，然后依據(jù)涉密網(wǎng)中密級(jí)管理規(guī)定，在客戶端分析判斷出單個(gè)行為是否存在泄密隱患，并實(shí)時(shí)將涉密網(wǎng)中各客戶端的行為上傳至服務(wù)器的行為庫(kù)中，回溯分析出與之相關(guān)的所有泄密隱患行為，從而有效阻止涉密文件流出涉密網(wǎng)，避免泄密事件的發(fā)生。本發(fā)明解決了當(dāng)前涉密網(wǎng)安全防護(hù)手段對(duì)于惡意泄密者使用正常打印、刻錄途徑泄密無(wú)能為力的困境。彌補(bǔ)了當(dāng)前監(jiān)測(cè)方法的不足。本發(fā)明監(jiān)測(cè)覆蓋面更廣、判斷準(zhǔn)確率更高，并且便于安全保密人員審計(jì)管理。

技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)信息泄密風(fēng)險(xiǎn)監(jiān)測(cè)方法，特別是一種涉密網(wǎng)信息泄密風(fēng)險(xiǎn)監(jiān)測(cè)方法。

背景技術(shù)

國(guó)家涉密網(wǎng)采用分級(jí)保護(hù)模式管理，主要在政府、軍隊(duì)、軍工等領(lǐng)域建設(shè)使用。國(guó)家涉密網(wǎng)中承載了大量的國(guó)家涉密信息，其安全要求極高，一旦發(fā)生泄密事件將為國(guó)家?guī)?lái)巨大的損失。在分級(jí)保護(hù)管理體制下，涉密網(wǎng)與國(guó)際互聯(lián)網(wǎng)完全物理隔離，涉密信息導(dǎo)出涉密網(wǎng)主要依靠流程審批管理機(jī)制與集中輸出管理機(jī)制，涉密信息以文件形式導(dǎo)出涉密網(wǎng)，導(dǎo)出方式為：文件打印或光盤(pán)刻錄。

涉密網(wǎng)采用了高等級(jí)的安全防護(hù)手段，但還是會(huì)出現(xiàn)泄密事件。涉密網(wǎng)的安全防護(hù)主要依靠相關(guān)監(jiān)控工具與人工審批、審計(jì)環(huán)節(jié)，監(jiān)控用戶是否執(zhí)行非法操作，如：是否將涉密機(jī)接入互聯(lián)網(wǎng)、是否將涉密文件拷入普通U盤(pán)、是否在計(jì)算機(jī)上安裝非法軟件、是否更改計(jì)算機(jī)接入網(wǎng)絡(luò)的配置等。涉密網(wǎng)現(xiàn)階段發(fā)現(xiàn)泄密問(wèn)題的方法，主要偏向于涉密人員已經(jīng)存在涉密行為而進(jìn)行的事后監(jiān)測(cè)，這種監(jiān)測(cè)方式對(duì)于惡意泄密者使用正常打印、刻錄途徑泄密無(wú)能為力，如采用把涉密數(shù)據(jù)加密為亂碼并偽裝成非涉密文件的方式，或把涉密文件以二進(jìn)制形式插入到非涉密文件中的方式，將涉密信息非法刻錄出涉密網(wǎng)，目前上述的監(jiān)測(cè)方法根本無(wú)能為力。

為了彌補(bǔ)上述監(jiān)測(cè)方法的不足，本發(fā)明從涉密網(wǎng)中用戶行為的安全性出發(fā)，通過(guò)還原出完整的用戶操作行為，發(fā)現(xiàn)、判斷用戶是否具有泄密隱患。如：發(fā)現(xiàn)用戶在刻錄非涉密文件A之前先將涉密文件B加密成亂碼數(shù)據(jù)流并分散插入到A文件中，通過(guò)本發(fā)明就可以發(fā)現(xiàn)并判斷出該行為是高泄密隱患行為。

發(fā)明內(nèi)容

本發(fā)明目的在于提供一種涉密網(wǎng)信息泄密風(fēng)險(xiǎn)監(jiān)測(cè)方法，解決當(dāng)前涉密網(wǎng)對(duì)泄密隱患行為監(jiān)管不全面而產(chǎn)生的泄密問(wèn)題。

一種涉密網(wǎng)信息泄密風(fēng)險(xiǎn)監(jiān)測(cè)方法的具體步驟為：

第一步構(gòu)建涉密網(wǎng)信息泄密風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)

涉密網(wǎng)信息泄密風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)，包括：客戶端的操作記錄模塊、泄密風(fēng)險(xiǎn)分析模塊、操作關(guān)聯(lián)模塊和服務(wù)器端的行為分析模塊。

操作記錄模塊的功能為：以驅(qū)動(dòng)形式加載在用戶客戶端上的監(jiān)控模塊，實(shí)時(shí)監(jiān)控并記錄客戶端的文件操作、程序操作、網(wǎng)絡(luò)操作和文件流入流出事件的內(nèi)容。按操作ID、操作時(shí)間、進(jìn)程、線程、操作方法、輸入文件、輸入文件屬性、輸出文件或上傳數(shù)據(jù)包、輸出文件屬性等因素形成操作記錄，并將操作記錄傳遞給泄密風(fēng)險(xiǎn)分析模塊。

其中，文件操作、程序操作、網(wǎng)絡(luò)操作和文件流入流出事件的定義分別為：

文件操作：監(jiān)控用戶對(duì)文件的操作，包括：文件的創(chuàng)建、修改和刪除的全部操作；

程序操作：監(jiān)控用戶的程序使用情況，監(jiān)控程序使用過(guò)程中涉及的文件以及對(duì)文件的操作，并詳細(xì)記錄程序操作過(guò)程中所有輸入及輸出文件的相關(guān)信息；

網(wǎng)絡(luò)操作：監(jiān)控用戶在涉密網(wǎng)中的所有網(wǎng)絡(luò)流量，并以文件的上傳、下載、郵件的發(fā)送和轉(zhuǎn)發(fā)的數(shù)據(jù)傳輸操作作為操作關(guān)聯(lián)模塊的驅(qū)動(dòng)事件，并將相關(guān)信息記錄入庫(kù)；

文件流入流出事件：監(jiān)控移動(dòng)介質(zhì)及其它涉密存儲(chǔ)設(shè)備的信息流入流出客戶端的事件，并將此類事件中流出客戶端的事件作為行為分析驅(qū)動(dòng)事件。