本發明公開了一種面向云桌面應用環境的數據防泄漏方法及系統，該方法包括以下步驟：數據防泄漏終端攔截并接管云桌面用戶的文件操作過程，獲得云桌面用戶在主機操作過程中的文件操作信息并推送至平臺側；平臺側根據文件操作信息在數據池中建立相應的數據對象；平臺側將數據對象與主機文件進行映射，并保存文件映射信息；云桌面用戶選擇外發主機文件與目標用戶；平臺側根據外發主機文件發送信息，并根據管控策略發送該外發主機文件。通過本發明的技術方案，通過差別接入機制，根據不同用戶登錄場景，加載相應的數據外發管控策略，降低對用戶正常數據操作的影響，提高云桌面用戶的使用效率。

技術領域

本發明涉及數據安全領域，具體涉及一種面向云桌面應用環境的數據防泄漏方法及系統。

背景技術

近年來，隨著計算機軟硬件能力的飛躍發展，云計算與大數據技術獲得極其廣泛的應用，使人類的日常生活產生了巨大變化。云桌面作為云計算的重要組成部分，在眾多行業中獲得實踐應用，其較低成本投入與使用便捷的特點大大降低了企業在計算機基礎設施方面的運營成本，同時也提供給員工使用時極大的便利，間接提高了工作效率。作為一種可有效降低數據泄露幾率的計算機軟件系統，數據防泄漏系統在云桌面環境的有效應用是目前DLP領域面臨的重要挑戰之一。其中，對文件外發操作的有效管控是數據防泄漏系統的核心目標。對此，北京明朝萬達科技股份有限公司提出一種優化傳統數據防泄漏系統工作模式，有效適配云桌面環境、實現用戶無感知的文件外發管控方法。

目前，數據防泄漏系統普遍采用C/S部署模式，以終端為主、服務器端為輔的方式實現對部署環境的數據管控。服務器端僅具備終端管理、用戶管理、策略管理與系統管理等普通管理功能。部署在主機上的數據防泄漏終端是系統核心，包括外設管控、文件外發管控、網絡流量管控、數據操作管控、進程管控等眾多數據管控措施?，F有數據防泄漏系統的運行模式如圖1所示。

分析傳統數據防泄漏系統，可以發現：

基于主機的數據防泄漏終端技術較為成熟，受益于部署位置(主機)，可獲得大量運行信息與數據，為有效實現數據防泄漏提供重要基礎。但受限于主機單機運行模式，存儲數據的重復性較高，占用了大量存儲空間，同時也導致大量雷同的數據掃描、分析與檢測工作，造成嚴重的運行資源(存儲與計算)浪費，對數據防泄漏系統甚至計算機基礎設施的運行效率造成一定影響。

另外，在云桌面環境中部署傳統數據防泄漏終端，目前的主要問題是云計算資源未能得到有效利用，沒有針對云計算模式的特性進行優化，最終導致傳統數據防泄漏系統的短處被明顯放大，造成揚(數據防泄漏終端)短避(云桌面)長的現象，降低了應用云桌面帶來的優勢，影響了數據防泄漏功能在云桌面環境的推廣應用。

最后，考慮云桌面應用的一大優勢：便攜性(登錄場景不受限)，用戶可能在企業內部場所登錄，也可能在出差時在外部場所登錄。不同場景下，對文件外發的管控需求不同，傳統數據防泄漏系統未涉及有效區別用戶場景，從而加載不同管控策略，在有效文件外發管控的前提下降低對用戶造成的干擾。

綜上所述，現有數據防泄漏系統因設計初衷與目標(主機單機運行管控與聯網管理)具有較強應用場景限制，在云桌面環境應用外發外發管控功能時存在不足，包括計算冗余(重復掃描、分析與檢測)、存儲冗余(大量重復文件)及策略固定(無法根據使用場景區別管控)等。這部分現象與問題在資源不受限云桌面使用過程中不會造成影響，但考慮大部分數據防泄漏系統部署單位的成本控制要求，需在較低資源占用的情況下實現數據防泄漏目標，盡力降低數據防泄漏操作對正常用戶使用的干擾，提高云桌面應用的生產力，以此提高員工工作效率。

因此，迫切需要一種針對云桌面環境優化的數據防泄漏系統及相應文件外發管控方法，利用云化優勢，對防泄漏相關的計算、存儲與接入等操作進行修改，實現單一(用戶云桌面使用)與共通(文件外發管控)的有效結合，從而降低文件外發管控對計算資源、存儲資源的占用。同時，區分用戶的使用場景，從而加載并應用不同等級的文件外發管控策略與措施。