[发明专利]一种可执行文件数据防泄漏扫描方法、系统及网关

说明书

本发明公开了一种可执行文件数据防泄漏扫描方法、网关及系统，该方法包括以下步骤：内网用户将文件通过数据网关发往外网时，扫描判断通过网关的数据流中是否包含可执行文件；捕获通过数据网关的数据流中的可执行文件；判断该可执行文件是否包含敏感数据；根据可执行文件包含的敏感数据确定文件的敏感级别；根据可执行文件的敏感级别对该可执行文件进行相应的处理，同时缓存可执行文件的指纹。通过本发明的技术方案，可以实现对可执行文件的扫描，提高数据安全性。

技术领域

本发明涉及数据安全领域，具体涉及一种可执行文件数据防泄漏扫描方法、系统及网关。

背景技术

近年来，随着信息化系统在企业集团和金融银行内部的应用普及，IT系统的安全设计也受到越来越多的重视。本着降低数据泄漏风险的原则，在金融行业单位内部IT系统的建设过程中，通过部署数据防泄漏网关来达成这一目标。数据防泄漏网关能够对通过网关的文档进行内容识别，根据内容识别的结果以及预先设定的策略进行分类分级，采用不同级别的密级进行加密，并记录详细的访问日志，以此来提升文档的安全性。但是传统的文件内容识别类型仅限于常见的文档类型，如office，txt,pdf，wps等格式的文本文档。而在办公应用环境中，出于便捷性等目的，用户会把文件使用压缩工具压缩成可执行文件如exe，而防泄密网关无法针对如exe这样的可执行文件进行识别。本次申请的技术就是通过静态启发式技术来识别可执行文件，在网关捕获到可执行文献后进行静态分析，通过指令级数据判断，分析该可执行文件是否属于敏感文件，然后根据预设的策略来进行相应的加密处理，提高文件安全性，降低数据泄密的风险。

现有技术中，本申请人提供了一种数据防泄漏网关解决方案，该方案在应用服务器的网络出口部署防泄漏网关，将通过防泄漏网关的外发文档进行识别，拦截，静态内容识别，根据策略进行分类分级并加密处理，以此来提高外发文档的安全性。

然而现有的防泄漏网关只能针对office，txt，pdf类型的文档进行识别，无法识别出可执行文件如exe类型的文档内容，无法判断可执行文件是否携带有敏感数据，从而在客观上造成了数据泄露的可能性。

发明内容

为解决上述技术问题，本发明提出了一种可执行文件数据防泄漏扫描方法，其特征在于，该方法包括以下步骤：

1)内网用户将文件发往外网时，扫描判断发送的数据流中是否包含可执行文件，如果是则跳转到步骤2)，否则跳转到步骤6)；

2)捕获发送的数据流中的可执行文件；

3)判断该可执行文件是否包含敏感数据，如果是则跳转到步骤4)，否则跳转到步骤6)；

4)根据可执行文件包含的敏感数据确定文件的敏感级别；

5)根据可执行文件的敏感级别对该可执行文件进行相应的处理，同时缓存可执行文件的指纹；

6)结束。

根据本发明的方法，优选的，所述步骤1)中的文件包括经过压缩的可执行文件。

根据本发明的方法，优选的，所述步骤3)之前对可执行文件进行行为检测，检测内容包括可执行文件的前端部分和后端部分组成的代码段。

根据本发明的方法，优选的，所述步骤4)中，启动启发式扫描引擎，对所述代码段进行预设的字节序列匹配来发现可执行文件中的某些行为，结合设置的策略信息进行敏感数据判断，确定可执行文件的敏感级别。

根据本发明的方法，优选的，所述步骤5)中，根据可执行文件的敏感级别，对可执行文件进行相应级别的加密处理，同时生成该文件的审计信息。

为解决上述技术问题，本发明提出了一种可执行文件数据防泄漏扫描装置，其特征在于，该装置包括：

数据扫描模块，扫描判断内网用户发送到外网的数据流中是否包含可执行文件；