(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111536914.6 (22)申请日 2021.12.15 (71)申请人 合肥赛猊腾龙信息技 术有限公司 地址 230000 安徽省合肥市经济技 术开发 区翠微路6号海恒大厦326室 (72)发明人 张晶　 (74)专利代理 机构 合肥正则元起专利代理事务 所(普通合伙) 3416 0 代理人 杨润 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/46(2006.01) (54)发明名称 利用网络环境信任程度技术选择数据 防泄 露策略的方法 (57)摘要 本发明公开了利用网络环境信任程度技术 选择数据防泄露策略的方法， 涉及数据安全技术 领域， 包括： 通过策略组管理模块在管理平台上 增加针对不同安全级别的防泄露策略组； 通过网 络环境信任度感知模块实时监督网络环境的变 化情况， 对于新上线的链接， 判断该网络链接是 物理链接/虚拟链接， 判断通过此链接是否可 以 和内网的网络防泄露设备完成握手， 根据判断结 果标记链接类型； 当准备外发文件时， 判断该进 程是否在防泄露策略允许的进程白名单中， 判断 该链接是否途经了可用设备名单中的网络数据 防泄露设备以及外发文件是否包含 敏感信息， 根 据判断结果进行敏感信息外发控制， 自动选择适 应的防泄露策略， 有效减少数据泄漏途径， 提高 数据安全性。 权利要求书2页 说明书6页 附图1页 CN 114221812 A 2022.03.22 CN 114221812 A 1.利用网络环境信任程度技术选择数据防泄露策略的方法， 其特征在于， 包括网络环 境信任度感知模块和策略组管理模块， 具体步骤如下： 步骤一： 通过策略组管理模块在管理平台上增加针对不同安全级别的防泄露策略组， 所述防泄露策略组包括物理内网安全策略组、 物理外网安全策略组、 半虚拟 内网安全策略 组以及全虚拟外网安全策略组； 步骤二： 通过网络环境信任度感知模块实时监督网络环境的变化情况， 具体表现为： 在 mini‑port层检查PC端网络链接是否可以访问网络数据防泄露设备； 检查有两种方式， 包 括： S1： 新上线的链接： PC端监控进程监控网络链接池， 发现有新建的网络链接时， 则记录； 判断该网络链接是物理链接还是虚拟链接； 判断通过 此网络链接是否可以和内网的网络防泄 露设备完成握 手； 根据判断结果标记 链接类型； S2： 准备外发文件时： 判断该进程是否在防泄 露策略允许的进程白名单中； 判断该网络链接是否途经了可用设备名单中的网络数据防泄 露设备； 判断外发文件是否包 含敏感信息； 根据判断结果进行敏感信息外发控制， 自动选择适应的防泄露策略， 然后根据当前环 境更换更适当的防泄 露策略。 2.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法， 其 特征在于， 所述策略组管理模块的具体工作步骤为： 配置单元用于预先配置各种网络环境， 所述网络环境包括外网、 内网、 半虚拟内网以及 全虚拟外网； 创建单 元用于根据用户需求创建若干个不同安全级别的防泄 露策略组； 编辑单元分别连接配置单元与创建单元， 用于分别获取每种网络环境和每个防泄露策 略组， 并将每种网络环境添加至对应的防泄露策略组中， 生成网络环境和防泄露策略组的 映射关系表。 3.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法， 其 特征在于， 判断通过此网络链接是否可以和内网的网络防泄露设备完成握手的具体过程如 下： 告知管理平台自身PC的网络链接变化， 即当时用到的各个网络链接信息； 从管理平台 获得网络防泄 露设备的GUID号和IP地址； 管理平台生成一对临时的非对称加密密钥， 一个发给PC端， 另一个发给网络防泄露设 备； 其中非对称加密 密钥不定时变更； PC端用接收到的一半密钥 对网络防泄露设备的GUID号和IP地址进行加密， 并将加密得 到的加密 密文发给对应IP的网络防泄 露设备； 该网络防泄露设备接收到加密密文后用自己的一半密钥解密， 判断是否与自身GUID和 IP一致， 将判断结果用自己的一半密钥加密后发还PC端； PC端用自己的一半密钥解密， 得到结果。 4.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法， 其 特征在于， 根据判断结果标记 链接类型， 具体包括：权　利　要　求　书 1/2 页 2 CN 114221812 A 2若该网络链接是物理链接且能完成握 手， 则标记为物理内网链接； 若该网络链接是物理链接但不能完成握 手， 则标记为物理外网链接； 若该网络链接是虚拟链接且能完成握 手， 则标记为虚拟内网链接； 若该网络链接是虚拟链接但不能完成握 手， 则标记为虚拟外网链接 。 5.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法， 其 特征在于， 管理平台上预先设定了允许访问敏感文件的进程白名单， 所述进程白名单包括 单位特定的浏览器和应用程序； PC端在获得对应的防泄露策略组时， 同时获得此进程白名 单。 6.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法， 其 特征在于， 管理平台上预先链接了允许使用的网络数据防泄露设备， 形成一个可用设备名 单， PC端在获得对应的防泄 露策略组时， 同时获得 此可用设备名单。 7.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法， 其 特征在于， 判断外发文件是否包 含敏感信息， 具体为： 文件内容识别采用文件拆解 技术和字符扫描OCR技 术； 通过文件拆解技术对文件头特征进行分析， 将其中的文字、 图片内容输出成通用格式， 通用格式包 含嵌套格式； 通过字符扫描OCR技术对文件中图形化的文字进行识别， 转换成功通用字符格 式， 以便 进行内容的识别分析。 8.根据权利要求1所述的利用网络环境信任程度技术选择数据防泄露策略的方法， 其 特征在于， 敏感信息的外发控制具体包括： 若进程白名单内的进程通过物理内网链接发送敏感文件， 则使用物理内网链接的安全 策略； 若进程白名单内的进程通过虚拟 内网链接发送敏感文件， 且此虚拟 内网链接没有桥 接其他链接， 则使用虚拟内网链接的安全策略； 若有桥接其他链接， 则禁用此虚拟内网链 接； 若进程白名单外的进程通过物理内网链接发送敏感文件， 则使用例外进程的物理内网 链接的安全策略； 若进程白名单外的进程通过虚拟 内网链接发送敏感文件， 则使用例 外进 程的虚拟内网链接的安全策略； 若通过外网链接发送敏感文件， 则被安全策略禁止 。权　利　要　求　书 2/2 页 3 CN 114221812 A 3