[发明专利]存储检测装置、系统及存储检测方法

说明书

技术领域

本发明实施例涉及存储技术，尤其涉及一种存储检测装置和系统及方法。

背景技术

在信息安全要求较高的领域，要求数据按照安全级别的不同而存储在安全性能不同的存储区域中，也就是说按照安全等级做分级存储。

现有技术中，对需要存储的数据进行安全级别的识别，有的通过应用的不同来识别。例如，按照来自不同的服务器的IP地址来识别，这种识别方式通常适用于不同应用对应不同的安全级别，并且，不同应用存储在不同的服务器上，这样可以采用服务器的IP地址来将需要存储的数据做安全级别划分；对于多种应用在同一服务器上，不同业务采用防火墙或交换机通过TCP或UDP端口实现业务流的导向控制，通常可以有通过不同应用对应的端口号来区别不同安全等级的应用，例如，预先设置从某个端口接收到的应用为高安全级别，而从某个端口接收到的应用为低安全级别。

发明人发现，现有技术对数据安全级别的辨认相对比较粗，对不同业务数据由同一应用产生时无能为力，例如对同一种应用中多种等级的文档，目前没有一个有效识别出文档等级的方案。

发明内容

本发明实施例提供一种存储检测装置、系统和方法，实现对文件的安全级别进行识别。

第一方面，本发明实施例提供一种存储检测装置，设置于操作系统内核态中，包括：

截获单元，用于截获文件信息，其中，所截获的文件信息包括文件属性信息和文件内容；所述文件属性信息包括：文件安全信息；

安全级别获得单元，用于按照设置的安全策略根据所述文件安全信息获得所述文件内容的安全级别;

重定向单元，用于若所述获得的安全级别达到预设的重要级别，则将所述文件内容重定向至第一存储区域存储；若所述获得的安全级别没有达到预设的重要级别，则将所述文件内容重定向至第二存储区域存储，所述第二存储区域的数据存储安全性低于所述第一存储区域的数据存储安全性。

结合第一方面，本发明实施例提供第一种可能方式，所述装置设置于操作系统内核态中，分别于操作系统中的外部接口驱动、文件驱动和卷目录管理系统通信。

结合第一方面的第一种可能方式，本发明实施例提供第二种可能方式，所述文件属性信息还包括文件的目录信息、文件名；所述装置还包括：

存储单元，用于调用所述操作系统的文件驱动，利用所述文件驱动从所述获取的文件信息中提取出文件名和文件目录信息，调用所述操作系统中的卷目录管理系统，利用所述卷目录管理系统将文件名和所述文件目录信息存储到所述文件目录信息中指定的存储位置。

第二方面，本发明实施例提供了一种存储检测系统，包括：存储检测装置和安全策略输入装置；所述存储检测装置，用于截获文件信息，其中，所截获的文件信息包括文件属性信息和文件内容；所述文件属性信息包括：文件安全信息；接收所述安全策略，按照所述的安全策略根据所述文件安全信息获得所述文件内容的安全级别;若所述获得的安全级别达到预设的重要级别，则将所述文件内容重定向至第一存储区域存储；若所述获得的安全级别没有达到预设的重要级别，则将所述文件内容重定向至第二存储区域存储，所述第二存储区域的数据存储安全性低于所述第一存储区域的数据存储安全性；

所述安全策略输入装置，用于通过向用户提供可视化应用窗口，接收用户输入的安全策略，并将所接收的安全策略发送至所述存储检测装置。

结合第二方面，在第一种可能的实现方式中，还包括：鉴权装置，用于在安全策略输入装置接收用户输入的安全策略之前，对用户的权限进行认证，认证通过后，则启动安全策略输入装置；如果认证未通过，则不启动安全策略输入装置。

第三方面，本发明实施例提供一种存储检测方法，应用于操作系统内核态中，包括：

截获文件信息，其中，所截获的文件信息包括文件属性信息和文件内容；所述文件属性信息包括：文件安全信息；

按照设置的安全策略根据所述文件安全信息获得所述文件内容的安全级别；

若所述获得的安全级别达到预设的重要级别，则将所述文件内容重定向至第一存储区域存储；若所述获得的安全级别没有达到预设的重要级别，则将所述文件内容重定向至第二存储区域存储，所述第二存储区域的数据存储安全性低于所述第一存储区域的数据存储安全性。

结合第三方面，在第一种可能的实现方式中，所述截获文件信息包括：调用所述操作系统中外部接口驱动，通过所述外部接口驱动截获文件信息。

结合第三方面，在第二种可能的实现方式中，所述文件属性信息还包括文件的目录信息、文件名；所述方法还包括：