[发明专利]一种用于访问计算机文件内容的控制方法及系统

说明书

技术领域

本发明涉及计算机文件系统和信息安全技术领域，更加具体地来说，涉及一种控制访问计算机文件内容的方法及系统。

背景技术

目前，在计算机和网络信息安全技术领域，存在着各种各样的信息安全产品，这些信息安全产品所采用的信息安全技术在其各自的信息安全环节中起着相应的保护作用。但是，从整体来看，信息安全保护的整个过程被分割成各自独立的环节，例如：有些信息安全产品主要应用在信息的传输环节，有些则主要应用在信息的存储使用环节等等。这些信息安全产品来自不同厂商，其分别在不同的环节发挥着不同的保护作用，很明显它们之间缺乏统一性，完整性，严密性和协调性。

另外，在信息的传输环节中，有相应的防火墙产品可以发挥保护作用。所述防火墙产品实际上只是一种隔离技术，其通过对网路通讯的分析来保护不同网络间的通讯，以防止非法人员入侵访问网络，但它缺乏对信息源及终端上计算机文件内容的访问控制的保护功能，因而，从信息保护的组成环节来看，其信息保护是不完整的。

还有，从信息的存储使用环节来看，现有的一些文档安全管理系统或产品也能发挥保护作用；可是，此类系统或产品缺乏对信息在传递环节上的保护和监查功能，一旦有非法人员通过网络入侵终端，入侵者将完全控制和访问终端上的文件，此类文档安全管理系统没有网络通讯分析监测功能，信息保护存在严重缺陷；同时，其所采用的文件访问控制技术相对计算机技术的发展和实际的应用情况，已远远落后。

综上所述，在目前的计算机和网络信息安全技术领域，还缺乏一个完整，有效，严密，先进的一体化信息安全保护体系，因此，如何建立一个先进而有效的信息安全保护体系是本领域内的一个亟需解决的且无法回避的问题。

发明内容

鉴于以上所述，本发明的目的在于提供一种用于控制访问计算机文件内容的方法及系统，用于解决现有技术中还缺乏一个完整，有效，严密，先进的一体化信息安全保护体系的问题。

为实现上述目的及其他相关目的，本发明提供一种通过对相关节点的网络通讯分析，进而控制访问计算机文件内容的方法和系统，以实现在信息传输、存储使用等环节上的一体化信息安全系统和产品，同时建立一个完整，有效，严密，先进的一体化信息安全保护体系，具体技术方案如下：

提供一种用于访问计算机文件内容的控制方法，应用于网络通讯分析系统和计算机文件控制系统中，其中所述网络通讯分析系统包括网络通讯分析规则集和网络通讯分析子系统，所述控制方法包括：

预先通过对相关节点的网络通讯进行采样，分析，统计后，并结合用户的需求以制定出所述相关节点的至少一条网络通讯规则；

将针对所述相关节点制定出的多个所述网络通讯规则组成一组，以形成所述相关节点的网络通讯分析规则集，其中所述网络通讯分析规则集包括所述相关节点的网络通讯正常和所述相关节点的网络通讯异常两种情况；

启动／运行所述计算机文件控制系统和网络通讯分析系统；

读取并加载所述网络通讯分析规则集，并利用所述网络通讯分析子系统来监控和检查所述相关节点的网络通讯：通过将所述相关节点的网络通讯与预先制定的所述网络通讯分析规则集进行分析比较，并判断出所述相关节点的网络通讯情况；

若所述相关节点的网络通讯正常，则所述网络通讯分析系统将通知所述计算机文件控制系统将允许／授权访问计算机文件内容；反之，若所述相关节点的网络通讯异常，则所述网络通讯分析系统将通知所述计算机文件控制系统阻止／禁止访问计算机文件内容。

进一步地，所述网络通讯分析规则包括目标地址(MAC)和特征数据，其中所述目标地址(MAC)采用人工设置或自动学习方式设置。

优选地，所述特征数据包括但不限于网络通讯协议中的数据地址、数据值、数据大小、不同数据之间的各种逻辑关系、以及在不同时间段情况下进行网络通讯时的逻辑关系中的任一种数据。

进一步地，所述预先通过对相关节点的网络通讯进行采样，分析，统计的具体步骤包括：

侦测相关节点的所有网络通讯数据以实时获取所述相关节点的所有网络通讯数据包；

将所述网络通讯数据包中各种特征数据与事先制定的所述网络通讯分析规则集中的每个通讯规则进行分析比较，并将依此得到的各种比较结果分别进行统计以作出综合判断。

优选地，所述相关节点的所有网络通讯数据为双向数据，且所获取的所述相关节点的所有网络通讯数据包亦为双向数据包。