[发明专利]一种涉密网信息泄密风险监测方法

摘要

本发明公开了一种涉密网信息泄密风险监测方法，通过在客户端实时记录用户操作，以文件流出该客户端为出发点，还原出该用户本次文件流出客户端的完整行为，然后依据涉密网中密级管理规定，在客户端分析判断出单个行为是否存在泄密隐患，并实时将涉密网中各客户端的行为上传至服务器的行为库中，回溯分析出与之相关的所有泄密隐患行为，从而有效阻止涉密文件流出涉密网，避免泄密事件的发生。本发明解决了当前涉密网安全防护手段对于恶意泄密者使用正常打印、刻录途径泄密无能为力的困境。弥补了当前监测方法的不足。本发明监测覆盖面更广、判断准确率更高，并且便于安全保密人员审计管理。

主权项

一种涉密网信息泄密风险监测方法，其特征在于具体步骤为：第一步构建涉密网信息泄密风险监测系统涉密网信息泄密风险监测系统，包括：客户端的操作记录模块、泄密风险分析模块、操作关联模块和服务器端的行为分析模块；第二步操作记录模块收集所有操作记录涉密网中各个客户端安装涉密网信息泄密风险监测系统，对用户客户端进行实时监控，操作记录模块在客户端操作系统上装载文件系统过滤驱动与网卡过滤驱动，监控客户端上所有进程及其涉及的文件操作，以及进程发出的文件上传网络流量；并将实时监控不断产生的客户端操作记录提交给泄密风险分析模块；第三步泄密风险分析模块对操作记录进行分析泄密风险分析模块以分级保护密级管理原则为核心，输入对象密级取所有输入对象中的最高密级，输出对象密级取所有输出对象的最低密级；当输出对象密级低于输入对象密级时，由泄密风险分析模块将该操作记录标记为具有泄密风险的记录；泄密风险分析模块自由定义操作记录的信息隐写、信息加密、截屏、混淆、隐藏以及密级变化的泄密风险分析规则，将客户端操作记录匹配泄密风险分析的每一条规则，取其中分析出的最高泄密风险等级为该操作记录的泄密风险等级；第四步操作关联模块整合操作记录为完整的用户行为，并确认其泄密风险操作关联模块首先，找出所有信息、文件流出该客户端的操作记录，包括：文件上传操作记录、涉密红盘传输操作记录、光盘刻录操作记录、涉密U盘传输操作记录和文件打印操作记录；其次，针对找出的操作记录，以其输入对象为出发点，找出以该输入对象为输出对象的操作记录，并按上述方式逐层回溯，形成有序的操作记录序列，顺序记录序列中所有操作记录的ID，并将该序列定义为一个用户行为；最后，提取该用户行为操作记录序列中每个操作记录的泄密风险等级，并以其最高泄密风险等级标记该用户行为；并将该用户行为上传至服务器端的行为分析模块的行为库中；第五步服务器端的行为分析模块分析用户行为影响服务器端的行为分析模块发现某个客户端出现泄密行为后，遍历行为库的各个用户行为，通过关联高泄密风险等级行为的输出文件在其它行为的输入文件中的出现情况，分析出其它客户端与之相关的行为是否存在泄密风险；以具有泄密风险的行为为原点，回溯分析出行为库中所有与该行为相关的具有泄密风险的行为，并将涉密网中具有泄密风险的文件、客户端的信息交给报警响应模块处理，从而达到监测涉密网中全部客户端泄密风险的效果。