專利名稱:機密信息泄漏防止系統(tǒng)和機密信息泄漏防止方法
技術領域:
本發(fā)明涉及機密信息(confidential information)泄漏防止系統(tǒng)、包括相同系統(tǒng) 的信息處理設備、機密信息泄漏防止方法和存儲用于使得計算機執(zhí)行相同方法的程序的存 儲介質(zhì)。
背景技術:
近年來,在諸如公司、辦公室或?qū)W校之類的組織中,已開發(fā)出一種被稱為內(nèi)聯(lián)網(wǎng) (Intranet)的信息處理基礎設施以用于共享信息。內(nèi)聯(lián)網(wǎng)是任意數(shù)目的服務器和任意數(shù)目的客戶端的聚集,這兩者都是計算機系 統(tǒng)。存在一種情況,在包括公司內(nèi)的客戶端計算機和能夠與這些計算機連接的服務器的計 算機系統(tǒng)中,公司內(nèi)的服務器管理機密文檔文件,并且客戶端計算機共享并使用這些文件 的信息。此時,有必要采取措施來防止機密信息的泄漏,因而已開發(fā)出各種機密信息泄漏 防止系統(tǒng)。日本未實審專利申請公布No. 2005-165900 (專利文獻1)公開了一種該機密信息 泄漏防止系統(tǒng)的示例。在該公布所公開的機密信息泄漏防止系統(tǒng)中,機密信息被存儲為加密文件,并且 一般信息被存儲為明文文本文件,用于處理機密信息的執(zhí)行環(huán)境和用于處理一般信息的執(zhí) 行環(huán)境被相互區(qū)分,根據(jù)下面的策略(1)至(4)確定任何訪問的適當性,并且按需要執(zhí)行加 密處理。(1)對于在相同執(zhí)行環(huán)境下的訪問主體,不給予對經(jīng)加密文件解密的授權(quán)和寫入明 文文本文件的授權(quán)。(2)對于已經(jīng)被給予對經(jīng)加密文件解密的授權(quán)的訪問主體,總是給予伴 隨著加密的寫入授權(quán)。(3)對于在相同執(zhí)行環(huán)境下的訪問主體,不給予對經(jīng)加密文件解密的 授權(quán)和訪問網(wǎng)絡的授權(quán)。(4)對于用于拷貝或移動文件的訪問主體,既不給予文件的加密授 權(quán)也不給予文件的解密授權(quán)。[專利文獻1]日本未實審專利申請公布No. 2005-165900
發(fā)明內(nèi)容
技術問題S卩,在專利文獻1中公開的機密信息泄漏防止系統(tǒng)的特征在于用于處理機密信息 的執(zhí)行環(huán)境和用于處理一般信息的執(zhí)行環(huán)境被按需要切換,從而防止信息的泄漏。然而,由于該特征,在專利文獻1中公開的機密信息泄漏防止系統(tǒng)引起了以下兩 個問題。第一個問題是當用戶在正使用機密信息時嘗試使用一般信息或者在正使用一般 信息時嘗試使用機密信息的情況下,用戶必須切換執(zhí)行環(huán)境以防止信息的泄漏。這要求用 戶花費額外的時間和努力來切換執(zhí)行環(huán)境,從而使用戶的可用性惡化。
第二個問題是即使當用于處理機密信息的執(zhí)行環(huán)境和用于處理一般信息的執(zhí)行 環(huán)境可以同時執(zhí)行時,也必需使用這兩個執(zhí)行環(huán)境之一。當使用用于處理機密信息的執(zhí)行 環(huán)境時,可以從用于處理一般信息的執(zhí)行環(huán)境訪問機密信息?;蛘?,當使用用于處理一般信 息的執(zhí)行環(huán)境時,不能使用機密信息。本發(fā)明試圖提供一種可以解決上述問題的機密信息泄漏防止系統(tǒng)、包括相同系統(tǒng) 的信息處理設備、機密信息泄漏防止方法和存儲用于使得計算機執(zhí)行相同方法的程序的存 儲介質(zhì)。技術方案為了實現(xiàn)上述目的,本發(fā)明在第一示例性方面提供了一種機密信息泄漏防止系 統(tǒng),包括應用行為控制裝置,用于控制要控制的對象應用的行為;處理內(nèi)容確定裝置,用 于確定從應用到設備的訪問處理的內(nèi)容;受控對象確定裝置,用于根據(jù)處理內(nèi)容確定裝置 的確定結(jié)果來確定應用是否是要控制的對象應用;以及訪問控制裝置,用于在作為受控對 象確定裝置的確定結(jié)果、應用不是要控制的對象應用時,不允許應用訪問設備。另外,本發(fā)明在第二示例性方面提供了一種信息處理設備,包括存儲裝置;中央 處理單元;設備控制單元;以及信息記錄器。存儲裝置存儲激活處理機密信息的應用的啟 動程序、處理機密信息的機密應用、處理非機密信息的正常應用、定義對文件的訪問權(quán)限的 策略、管理信息處理設備的操作的操作系統(tǒng)、以及實現(xiàn)上述機密信息泄漏防止系統(tǒng)的程序。 設備控制單元控制連接到信息處理設備的設備的操作。信息記錄器包括存儲機密信息的機 密信息存儲區(qū)域和存儲非機密信息的正常信息存儲區(qū)域。另外,本發(fā)明在第三示例性方面提供了一種機密信息泄漏防止方法,包括第一步 驟,確定從應用到設備的訪問處理的內(nèi)容;第二步驟,根據(jù)第一步驟的確定結(jié)果指定已訪問 設備的應用,并確定應用是否是要控制的對象應用;以及第三步驟,當作為第二步驟的確定 結(jié)果、應用是要控制的對象應用時,不允許應用訪問設備。此外,本發(fā)明在第四示例性方面提供了一種存儲程序的存儲介質(zhì),該程序用于使 得計算機執(zhí)行機密信息泄漏防止方法。該程序執(zhí)行以下處理第一處理,確定從應用到設備 的訪問處理的內(nèi)容;第二處理,根據(jù)第一處理的確定結(jié)果指定已訪問設備的應用,并確定應 用是否是要控制的對象應用;以及第三處理,當作為第二處理的確定結(jié)果、應用是要控制的 對象應用時,不允許應用訪問設備。有利效果根據(jù)本發(fā)明的機密信息泄漏防止系統(tǒng)、包括相同系統(tǒng)的信息處理設備、機密信息 泄漏防止方法和用于使得計算機執(zhí)行相同方法的程序可以實現(xiàn)以下效果。第一效果是當機密應用和正常應用被同時使用時,這兩個應用都可以被使用,而 不用切換這兩個應用的執(zhí)行環(huán)境。這是因為根據(jù)本發(fā)明,利用啟動程序激活的應用的操作被控制作為機密應用,從 而沒有必要切換機密應用的執(zhí)行環(huán)境和正常應用的執(zhí)行環(huán)境。第二效果是當機密應用和正常應用被同時使用時,可以阻止從用于處理正常信息 (非機密信息)的執(zhí)行環(huán)境對機密信息的訪問。這是因為根據(jù)本發(fā)明,被機密應用存儲的文件的路徑被改變,并且防止了正常應 用對機密信息的訪問。
圖1是根據(jù)本發(fā)明第一示例性實施例的機密信息泄漏防止系統(tǒng)的框圖;圖2是其中包括根據(jù)本發(fā)明第一示例性實施例的機密信息泄漏防止系統(tǒng)的信息 處理設備的框圖;圖3是示出其中包括根據(jù)本發(fā)明第一示例性實施例的機密信息泄漏防止系統(tǒng)的 信息處理設備的操作的流程圖;圖4是示出關于對文件訪問的允許或禁止的確定的表格;以及
圖5是示出用于用戶認證的畫面示例的示圖。
標號說明
100信息處理設備
101啟動程序
102機密應用
103應用行為控制裝置
104正常應用
105訪問控制單元
106處理內(nèi)容確定裝置
107受控對象確定裝置
108訪問控制裝置
1090S
110存儲裝置
111設備控制單元
112顯示設備
113輸入設備
114通信設備
115信息記錄器
116機密信息存儲區(qū)域
117正常信息存儲區(qū)域
118策略
119網(wǎng)絡
120中央處理單元
121信息處理設備
130通信線路
150機密信息泄漏防止系統(tǒng)
具體實施例方式
圖1是示出根據(jù)本發(fā)明第一示例性實施例的機密信息泄漏防止系統(tǒng)150的框圖。 機密信息泄漏防止系統(tǒng)150包括控制要控制的對象應用的行為的應用行為控制裝置103、 確定從應用到設備的訪問處理的內(nèi)容的處理內(nèi)容確定裝置106、根據(jù)處理內(nèi)容確定裝置106的確定結(jié)果來確定該應用是否是要控制的對象應用的受控對象確定裝置107、以及當 作為受控對象確定裝置107的確定結(jié)果、該應用不是要控制的對象應用時不允許應用訪問 設備的訪問控制裝置108。圖2是其中包括根據(jù)本發(fā)明第一示例性實施例的機密信息泄漏防止系統(tǒng)150的信 息處理設備100的更詳細框圖。如圖2所示,信息處理設備100包括存儲裝置110、CPU(中央處理單元)120、設備 控制單元111、信息記錄器115和電氣互連這些元件的通信線路130。存儲裝置110存儲啟動程序101、機密應用102、正常應用104、根據(jù)本發(fā)明第一示 例性實施例的機密信息泄漏防止系統(tǒng)150、OS (操作系統(tǒng))109以及策略118。另外,根據(jù)該示例性實施例的機密信息泄漏防止系統(tǒng)150包括作為控制應用的 行為的功能的應用行為控制裝置103以及作為控制文件訪問的功能的訪問控制單元105。 訪問控制單元105還包括處理內(nèi)容確定裝置106、受控對象確定裝置107和訪問控制裝置 108。信息記錄器115包括機密信息存儲區(qū)域116和正常信息存儲區(qū)域117。信息處理設備100連接到顯示設備112、輸入設備113和通信設備114中的每一 個。顯示設備112、輸入設備113和通信設備114中的每一個是信息處理設備100的外部設備。啟動程序101是在激活處理機密信息的應用時所用的程序。被啟動程序101激活 的應用變?yōu)闄C密應用102。在機密應用102是處理機密信息的應用時,正常應用104是處理正常信息的應用。另外,在機密應用102被啟動程序101激活時,正常應用104按通常方式被激活, 換句話說,與啟動程序101獨立地被激活。注意,在該說明書中,機密信息是指被禁止向除了具有授權(quán)的人以外的任何人公 開的信息。正常信息是指除了機密信息以外的信息,換句話說,可以公開的信息。應用行為控制裝置103被添加到由啟動程序101激活的機密應用102。應用行為控制裝置103控制作為要控制的對象應用的機密應用102的行為。具體而言,應用行為控制裝置103用鉤子函數(shù)調(diào)用由應用執(zhí)行的用于打印、拷貝 粘貼、網(wǎng)絡傳輸、與正常應用的通信等等的系統(tǒng)調(diào)用,并根據(jù)策略118阻止系統(tǒng)調(diào)用的執(zhí) 行。另外,應用行為控制裝置103還在寫入文件時用鉤子函數(shù)調(diào)用系統(tǒng)調(diào)用,并改變 文件路徑以便改變文件到機密信息存儲區(qū)域116的寫入目的地。在讀取文件時,應用行為 控制裝置103從機密信息存儲區(qū)域116讀取文件。當在機密信息存儲區(qū)域116中沒有文件 時,應用行為控制裝置103從正常信息存儲區(qū)域117讀取文件。如上所述,訪問控制單元105包括處理內(nèi)容確定裝置106、受控對象確定裝置107 和訪問控制裝置108。處理內(nèi)容確定裝置106確定從應用到設備的訪問處理的內(nèi)容。具體而言,當應用 打開文件或目錄以訪問信息記錄器115時,處理內(nèi)容確定裝置106確定是否添加了寫入標簽。受控對象確定裝置107根據(jù)處理內(nèi)容確定裝置106的確定結(jié)果來指定已訪問設備的應用,并確定該應用是否是要控制的對象應用,換句話說,機密應用102。具體而言,受控 對象確定裝置107確定該訪問是否是在被處理內(nèi)容確定裝置106確定為添加了寫入標簽的 請求中的、添加了來自機密應用102的請求的訪問。換句話說,受控對象確定裝置107確定 該訪問是否是添加了應用行為控制裝置103的訪問。訪問控制裝置108阻止從被受控對象確定裝置107確定為不是機密應用102 (換 句話說,被確定為是正常應用104)的應用對機密信息存儲區(qū)域116的訪問。OS 109例如由微軟公司的Windows 構(gòu)成。通信線路130例如由總線構(gòu)成,該總線電氣互連存儲裝置110、中央處理單元120、 設備控制單元111和信息記錄器115。設備控制單元111是控制硬盤或其他類型的硬件的控制機構(gòu)。信息記錄器115由硬盤或其他記錄器構(gòu)成,并且包括機密信息存儲區(qū)域116和正 常信息存儲區(qū)域117。機密信息存儲區(qū)域116記錄由機密應用102讀取和寫入的機密信息。正常信息存儲區(qū)域117記錄由正常應用104讀取和寫入的正常信息。另外,機密 應用102僅在必要時才執(zhí)行從正常信息存儲區(qū)域117的讀取。策略118存儲在寫入文件時要改變的路徑作為策略信息,并且存儲確定對打印、 與正常應用的通信、網(wǎng)絡傳輸或者拷貝粘貼的允許或禁止的信息。顯示設備112例如由液晶顯示器或其他顯示器構(gòu)成,并且其操作由設備控制單元 111控制。輸入設備113是諸如鍵盤或鼠標之類的輸入機構(gòu),并且其操作由設備控制單元 111控制。通信設備114是利用LAN(局域網(wǎng))等執(zhí)行通信的通信機構(gòu),并且其操作由設備控 制單元111控制。通信設備114可以通過網(wǎng)絡119與另一信息處理設備121通信。注意,多個殼(shell)(未示出)被存儲在存儲裝置110中。每個殼是相對于拷 貝、移動、文件的重命名或刪除、程序的激活和終止等等,實現(xiàn)由OS 109提供給用戶的用戶 界面的軟件模塊(程序)。當這多個殼被執(zhí)行時,通過顯示設備112和輸入設備113同時可得的用戶界面限 于由殼和根據(jù)殼運行的程序中的任何一個提供的那些界面。換句話說,用戶通過顯示設備 112可以看見的殼(程序)的數(shù)目(即,可見殼的數(shù)目)總是1。注意,由根據(jù)殼運行的程 序提供的用戶界面也是可見的。當用戶使用由另一殼提供的用戶界面時(在存在根據(jù)殼運行的程序的情況下,該 程序被包括在內(nèi)),用戶通過輸入設備113向OS 109發(fā)出用戶將當前可見的殼切換到另一 殼的系統(tǒng)調(diào)用。如圖2所示,存儲裝置110存儲由處理內(nèi)容確定裝置106、受控對象確定裝置107 和訪問控制裝置108組成的訪問控制單元105,并且還存儲應用行為控制裝置103。這表明 存儲裝置110存儲由CPU 120執(zhí)行并從而實現(xiàn)信息處理設備100中裝置106、107、108和 103中的每一個的程序。另外,存儲在存儲裝置110中的程序和數(shù)據(jù)可以通過可用于信息處理設備100的 存儲介質(zhì)或通信介質(zhì)被從另一設備存儲到信息記錄器115。這些程序和數(shù)據(jù)在需要時被輸出到存儲裝置110。圖3是示出其中包括根據(jù)本發(fā)明第一示例性實施例的機密信息泄漏防止系統(tǒng)150 的信息處理設備100的操作的流程圖。下文中,將參考圖3描述其中包括根據(jù)本發(fā)明第一示例性實施例的機密信息泄漏 防止系統(tǒng)150的信息處理設備100的操作。用戶通過輸入設備113輸入引導命令,從而CPU 120引導信息處理設備100。然后,用戶激活機密應用102或正常應用104(步驟S201)。在這種情況下,在激活 機密應用102后,機密應用102通過啟動程序101被激活,并且向其添加用作控制應用的行 為的功能的應用行為控制裝置103。然后,訪問控制單元105中的訪問控制裝置108訪問策略118,并從策略118獲取 策略信息(步驟S202)。在獲取了策略信息之后,訪問控制單元105中的處理內(nèi)容確定裝置106確定用戶 需要應用的哪種操作(步驟S203)。具體而言,訪問控制單元105中的處理內(nèi)容確定裝置106確定用戶需要對文件的 訪問、打印、與另一應用的通信、對網(wǎng)絡的訪問、以及拷貝粘貼中的哪一種作為應用的行為。當處理內(nèi)容確定裝置106確定用戶所需的應用的行為是對文件的訪問(步驟 S204)時,受控對象確定裝置107確定應用是否是機密應用102 (步驟S205)。例如,受控對象確定裝置107基于應用是否已被啟動程序101激活或者基于是否 添加了應用行為控制裝置103來確定應用是否是機密應用102。當應用是機密應用102 (步驟S205的“是”)時,訪問控制裝置108將文件路徑改 變信號發(fā)送到應用行為控制裝置103。已從訪問控制裝置108接收到文件路徑改變信號的應用行為控制裝置103改變文 件路徑以便改變文件到機密信息存儲區(qū)域116的寫入目的地(當需要對文件進行寫入時) (步驟 S205)。例如,在日本未實審專利申請公布No. 2006-127127中公開的方法可以用于文件 路徑的改變。之后,根據(jù)圖4所示的訪問策略(后面將描述)來執(zhí)行文件訪問的處理(步驟 S207)。當應用不是機密應用102時,換句話說,當應用是正常應用104(步驟S205的 “否”)時,根據(jù)圖4中所示的訪問策略來執(zhí)行文件訪問的處理(步驟S207)。當處理內(nèi)容確定裝置106確定用戶所需的應用的行為是打印(步驟S208)時,受 控對象確定裝置107確定應用是否是機密應用102 (步驟S209)。當應用不是機密應用102時,換句話說,當應用是正常應用104(步驟S209的 “否”)時,執(zhí)行打印處理(步驟S211)。當應用是機密應用102(步驟S209的“是”)時,訪問控制裝置108根據(jù)已經(jīng)獲取 的策略信息(步驟S202)來確定是允許還是禁止打印處理(步驟S210)。注意,在圖3所示的流程圖中,策略的獲取(步驟S202)跟在應用的激活(步驟 S201)后。然而,策略的獲取可以在有關是允許還是禁止打印處理的確定之前的任意步驟執(zhí) 行(步驟S210)。
當禁止打印處理(步驟S210的“是”)時,訪問控制裝置108阻止打印處理(步驟
5212)。當不禁止打印處理(步驟S210的“否”)時,執(zhí)行打印處理(步驟S211)。當處理內(nèi)容確定裝置106確定用戶所需的應用的行為是與另一應用通信(步驟
5213)時,受控對象確定裝置107確定應用是否是機密應用102(步驟S214)。當應用不是機密應用102時,換句話說,當應用是正常應用104(步驟S214的 “否”)時,執(zhí)行與另一應用的通信處理(步驟S216)。當應用是機密應用102(步驟S214的“是”)時,訪問控制裝置108根據(jù)已經(jīng)獲取 的策略信息(步驟S202)來確定是允許還是禁止與另一應用的通信處理(步驟S215)。當禁止與另一應用的通信處理(步驟S215的“是”)時,訪問控制裝置108阻止與 另一應用的通信處理(步驟S217)。當不禁止與另一應用的通信處理(步驟S215的“否”)時,執(zhí)行與另一應用的通信 處理(步驟S216)。當處理內(nèi)容確定裝置106確定用戶所需的應用的行為是對網(wǎng)絡的訪問(步驟 S218)時,受控對象確定裝置107確定應用是否是機密應用102 (步驟S219)。當應用不是機密應用102時,換句話說,當應用是正常應用104(步驟S219的 “否”)時,執(zhí)行對網(wǎng)絡的訪問(步驟S221)。當應用是機密應用102(步驟S219的“是”)時,訪問控制裝置108根據(jù)已經(jīng)獲取 的策略信息(步驟S202)來確定是允許還是禁止對網(wǎng)絡的訪問(步驟S220)。當禁止對網(wǎng)絡的訪問(步驟S220的“是”)時,訪問控制裝置108阻止對網(wǎng)絡的訪 問(步驟S222)。當不禁止對網(wǎng)絡的訪問(步驟S220的“否”)時,執(zhí)行對網(wǎng)絡的訪問(步驟S221)。當處理內(nèi)容確定裝置106確定用戶所需的應用的行為是拷貝粘貼(步驟S223) 時,受控對象確定裝置107確定應用是否是機密應用102 (步驟S224)。當應用不是機密應用102時,換句話說,當應用是正常應用104(步驟S224的 “否”)時,執(zhí)行拷貝粘貼(步驟S226)。當應用是機密應用102 (步驟S224的“是”)時,訪問控制裝置108根據(jù)已經(jīng)獲取 的策略信息(步驟S202)來確定是允許還是禁止拷貝粘貼(步驟S225)。當禁止拷貝粘貼(步驟S225的“是”)時,訪問控制裝置108阻止拷貝粘貼(步驟 S227)。當不禁止拷貝粘貼(步驟S225的“否”)時,執(zhí)行拷貝粘貼(步驟S226)。然后,訪問控制單元105中的處理內(nèi)容確定裝置106確定用戶所需的應用的全部 行為是否已完成(步驟S228)。當用戶所需的應用的全部行為還未完成(步驟S228的“否”)時,訪問控制單元 105中的處理內(nèi)容確定裝置106確定用戶需要應用的哪種行為(步驟S203),并且隨后確定 是否允許該行為。當用戶所需的應用的全部行為已完成(步驟S228的“是”)時,處理結(jié)束(步驟 S229)。圖4是示出由訪問控制單元105中的訪問控制裝置108在步驟S207執(zhí)行的關于文件訪問的允許或禁止的確定的表格。當用戶所需的應用的行為是對文件的訪問(步驟S204)時,訪問控制單元105中 的處理內(nèi)容確定裝置106確定對文件訪問的請求是向文件寫入的請求還是從文件讀取的 請求,并確定所請求的對象是機密信息存儲區(qū)域116還是正常信息存儲區(qū)域117。另外,訪問控制單元105中的受控對象確定裝置107確定用戶指定的應用是機密 應用102還是正常應用104。訪問控制裝置108的確定內(nèi)容依據(jù)以下情形變化(1)來自用戶的請求是向文件 寫入的請求還是從文件讀取的請求;(2)所需的對象是機密信息存儲區(qū)域116還是正常信 息存儲區(qū)域117 ;以及(3)用戶指定的應用是機密應用102還是正常應用104。當來自用戶的請求是向文件寫入的請求、所需的對象是機密信息存儲區(qū)域116、并 且用戶指定的應用是機密應用102時,訪問控制單元105中的訪問控制裝置108允許機密 應用102向機密信息存儲區(qū)域116寫入的請求,如訪問策略(1)所指示的。當來自用戶的請求是向文件寫入的請求、所需的對象是正常信息存儲區(qū)域117、并 且用戶指定的應用是機密應用102時,訪問控制單元105中的訪問控制裝置108禁止機密 應用102向正常信息存儲區(qū)域117寫入的請求,如訪問策略(2)所指示的。然而,在這種情 況下,文件路徑被應用行為控制裝置103改變,從而使請求自身不能存在。當來自用戶的請求是向文件寫入的請求、所需的對象是機密信息存儲區(qū)域116、并 且用戶指定的應用是正常應用104時,訪問控制單元105中的訪問控制裝置108禁止正常 應用104向正常信息存儲區(qū)域117寫入的請求,如訪問策略(3)所指示的。當來自用戶的請求是向文件寫入的請求、所需的對象是正常信息存儲區(qū)域117、并 且用戶指定的應用是正常應用104時,訪問控制單元105中的訪問控制裝置108允許正常 應用104向正常信息存儲區(qū)域117寫入的請求,如訪問策略(4)所指示的。當來自用戶的請求是從文件讀取的請求、所需的對象是機密信息存儲區(qū)域116、并 且用戶指定的應用是機密應用102時,訪問控制單元105中的訪問控制裝置108允許機密 應用102從機密信息存儲區(qū)域116讀取的請求,如訪問策略(5)所指示的。當來自用戶的請求是從文件讀取的請求、所需的對象是正常信息存儲區(qū)域117、并 且用戶指定的應用是機密應用102時,訪問控制單元105中的訪問控制裝置108僅在訪問 控制單元105確認在機密信息存儲區(qū)域116中沒有文件的情況下才允許該請求,如訪問策 略(6)所指示的,而在訪問控制單元105確認在機密信息存儲區(qū)域116中存在文件的情況 下則禁止該請求。當來自用戶的請求是從文件讀取的請求、所需的對象是機密信息存儲區(qū)域116、并 且用戶指定的應用是正常應用104時,訪問控制單元105中的訪問控制裝置108禁止正常 應用104從機密信息存儲區(qū)域116讀取的請求,如訪問策略(5)所指示的。當來自用戶的請求是從文件讀取的請求、所需的對象是正常信息存儲區(qū)域117、并 且用戶指定的應用是正常應用104時,訪問控制單元105中的訪問控制裝置108允許正常 應用104從正常信息存儲區(qū)域117讀取的請求,如訪問策略(5)所指示的。接下來,將描述根據(jù)該示例性實施例的機密信息泄漏防止系統(tǒng)150所實現(xiàn)的效^ ο在根據(jù)該示例性實施例的機密信息泄漏防止系統(tǒng)150中,利用啟動程序101激活的機密應用102的行為得到控制,從而防止了機密信息的泄漏。另外,被機密應用102存儲 的文件的路徑被改變,并且從正常應用104對改變后的文件路徑的訪問被阻止,從而防止 了正常應用泄漏機密信息。因此,可以同時實現(xiàn)用于處理機密信息的執(zhí)行環(huán)境和用于處理正常信息的執(zhí)行環(huán) 境,并且防止機密信息的泄漏。根據(jù)該示例性實施例的機密信息泄漏防止系統(tǒng)150并不限于上述配置,而是可以 按如下方式進行各種修改。下文中將描述根據(jù)該示例性實施例的機密信息泄漏防止系統(tǒng) 150的修改示例。(第一修改示例)在包括根據(jù)該示例性實施例的機密信息泄漏防止系統(tǒng)150的信息處理設備100 中,執(zhí)行啟動程序101來激活機密應用102。在執(zhí)行啟動程序101后,可以在顯示設備112 上顯示認證畫面并執(zhí)行用戶的用戶認證。圖5示出了用于用戶認證的畫面的示例。當啟動程序101被激活時,圖5中所示的認證畫面被顯示在顯示設備112的顯示
屏幕上。信息處理設備100的用戶通過輸入設備113向認證畫面輸入用戶自身的用戶ID 和密碼。CPU 120將輸入的用戶ID和密碼與預先由用戶指定并存儲的用戶ID和密碼相比 較,并且僅在用戶ID和密碼都彼此一致時才允許啟動程序101的后續(xù)執(zhí)行。換句話說,僅 在輸入了經(jīng)認證的用戶ID和密碼時,機密應用102才通過啟動程序101被激活。(第二修改示例)在包括根據(jù)該示例性實施例的機密信息泄漏防止系統(tǒng)150的信息處理設備100 中,應用行為控制裝置103改變由機密應用102存儲的文件的路徑,以便改變在寫入文件時 文件到機密信息存儲區(qū)域116的寫入目的地。在改變文件路徑后,應用行為控制裝置103可以對改變后的文件路徑加密。在改 變后的文件路徑已經(jīng)加密的情況下,應用行為控制裝置103在讀取文件時對文件路徑解
Γ t [ O(第三修改示例)在第二修改示例中,訪問控制單元105也可以執(zhí)行對文件路徑的加密和解密,而 不是應用行為控制裝置103。(第四修改示例)在包括根據(jù)該示例性實施例的機密信息泄漏防止系統(tǒng)150的信息處理設備100 中,顯示設備112、輸入設備113和通信設備114被布置為信息處理設備100的外部設備。 同時,信息處理設備100也可包括顯示設備112、輸入設備113和通信設備114作為構(gòu)成元 件。本發(fā)明的模式下文中將描述包括根據(jù)該示例性實施例的機密信息泄漏防止系統(tǒng)150的信息處 理設備100的特定操作。首先,當在作為OS 109的Windows 上運行的應用被激活時,機密文件的列表被顯示。該列表包括諸如文檔文件和電子制表文件之類的各種文件。當機密文件之一被雙擊時,應用通過啟動程序101被激活。激活的應用顯示機密文件的內(nèi)容,從而使得能夠使用打印、網(wǎng)絡傳輸、拷貝粘貼或 者來自菜單的其他各種動作。例如,當從菜單中選擇打印并且策略118禁止打印(步驟S208)時,指示打印禁止 的消息被顯示在顯示屏幕上,并且打印被禁止。另外,網(wǎng)絡傳輸、拷貝粘貼等等與打印的情況相同。當策略118禁止網(wǎng)絡傳輸或拷 貝粘貼(步驟S216或S220)時,指示網(wǎng)絡傳輸或拷貝粘貼的禁止的消息被顯示在顯示屏幕 上,并且網(wǎng)絡傳輸或拷貝粘貼被禁止。注意,關于執(zhí)行拷貝粘貼的定時,用于文檔、電子制表等的應用(除了機密應用 102以外的應用)可以預先被正常的激活方法激活(不通過啟動程序101),或者也可以在 機密應用102的激活之后激活。當機密應用102編輯然后存儲內(nèi)容時,應用行為控制裝置103將文件路徑改變到 在寫入文件時要改變的路徑,從而使內(nèi)容被強制存儲在機密信息存儲區(qū)域116中。例如,即使在嘗試將經(jīng)編輯的機密應用102存儲在“C:\confidential_document. txt” 中的情況下,也會強制存儲在 “C:\secret\confidential_document. txt” 中。當在嘗試通過機密應用102打開所存儲的文件的情況下顯示“C:\”中的文件列表 時,應用行為控制裝置103向用戶表明存儲在“C:\secret\confidential_document. txt” 中的文件看起來存在于“C:\confidential_document. txt”中。當用戶嘗試打開所存儲的 文件時,文件訪問被處理內(nèi)容確定裝置106、受控對象確定裝置107和訪問控制裝置108允 許,因而用戶可以自然地訪問所存儲的文件。另外,即使在嘗試通過正常應用104顯示“C:\secret”中的文件列表的情況下,存 儲在“C:\secret\confidential_document. txt”中的文件的存在(作為實體存在)也被處 理內(nèi)容確定裝置106、受控對象確定裝置107和訪問控制裝置108所隱藏。因此,正常應用 104 不能訪問"confidential_document. txt,,。盡管機密信息泄漏防止系統(tǒng)被覆蓋作為本發(fā)明的示例性實施例,但是包括相同系 統(tǒng)的信息處理設備、機密信息泄漏防止方法和用于使得計算機執(zhí)行相同方法的程序也可以 實現(xiàn)與根據(jù)本發(fā)明的機密信息泄漏防止系統(tǒng)相同的效果。S卩,當機密應用(使用機密信息的應用)利用啟動程序被激活時,執(zhí)行應用的行為 控制的功能被添加到利用啟動程序激活的機密應用,并且應用的行為(打印、拷貝粘貼、網(wǎng) 絡傳輸、與正常應用的通信、文件訪問的路徑,等等)得到控制。同時,引入控制訪問的功能,分析處理內(nèi)容并判斷應用是否利用啟動程序被激活, 并且阻止從正常應用104對機密應用102所存儲的文件的訪問。如上所述,即使當機密應用102和正常應用104被同時使用時,也可以實現(xiàn)這兩個 應用的同時使用,而不用切換執(zhí)行環(huán)境。因此,可以確保用戶的方便性。注意,上述程序可以存儲在各種類型的存儲介質(zhì)中,并且可以通過通信介質(zhì)傳輸。 存儲介質(zhì)的示例包括軟盤、硬盤、磁盤、磁光盤、CD_R0M、DVD、R0M卡帶、具有電池備份的RAM 存儲卡帶、閃存卡帶和非易失性RAM卡帶。另外,通信介質(zhì)包括諸如電話線之類的有線通信 介質(zhì)、諸如微波線之類的無線通信介質(zhì)和因特網(wǎng)。
前文中,盡管已參考示例性實施例描述了本發(fā)明,但是本發(fā)明并不限于以上描述。 本領域技術人員將理解,在本發(fā)明的范圍內(nèi)可以進行形式和細節(jié)上的各種改變。該申請基于2008年3月3日提交的日本專利申請No. 2008-052713并要求其優(yōu)先 權(quán),這里通過引用將該申請的公開內(nèi)容全部并入。工業(yè)應用性本發(fā)明可應用到機密信息泄漏防止系統(tǒng)、包括相同系統(tǒng)的信息處理設備、機密信 息泄漏防止方法和用于使得計算機執(zhí)行相同方法的程序。
權(quán)利要求
一種機密信息泄漏防止系統(tǒng),包括應用行為控制裝置,用于控制要控制的對象應用的行為;處理內(nèi)容確定裝置,用于確定從應用到設備的訪問處理的內(nèi)容;受控對象確定裝置,用于根據(jù)所述處理內(nèi)容確定裝置的確定結(jié)果來確定所述應用是否是要控制的所述對象應用;以及訪問控制裝置,用于在作為所述受控對象確定裝置的確定結(jié)果、所述應用不是要控制的所述對象應用時,不允許所述應用訪問所述設備。
2.如權(quán)利要求1所述的機密信息泄漏防止系統(tǒng),其中要控制的所述對象應用包括被啟 動程序激活的應用。
3.如權(quán)利要求2所述的機密信息泄漏防止系統(tǒng),其中所述啟動程序向被所述啟動程序激活的應用添加所述應用行為控制裝置,并且 所述應用行為控制裝置從訪問機密信息存儲區(qū)域的受控對象排除被所述啟動程序激 活的應用。
4.如權(quán)利要求2或3所述的機密信息泄漏防止系統(tǒng),其中被所述啟動程序激活的應用 和不是要控制的對象的應用可以同時使用。
5.如權(quán)利要求1至4中的任一個所述的機密信息泄漏防止系統(tǒng),其中所述應用行為控 制裝置用鉤子函數(shù)調(diào)用用于打印、拷貝粘貼、網(wǎng)絡傳輸、或者與正常應用的通信的應用行為 的系統(tǒng)調(diào)用,并根據(jù)策略阻止所述系統(tǒng)調(diào)用的執(zhí)行,或者用鉤子函數(shù)調(diào)用用于文件訪問的 應用行為的系統(tǒng)調(diào)用并改變所述文件訪問的文件路徑。
6.如權(quán)利要求3至5中的任一個所述的機密信息泄漏防止系統(tǒng),其中所述受控對象確 定裝置基于是否添加了所述應用行為控制裝置來確定所述應用是否是要控制的所述對象 應用。
7.如權(quán)利要求5所述的機密信息泄漏防止系統(tǒng),其中所述應用行為控制裝置在寫入文 件時改變所述文件路徑以便改變所述文件到機密信息存儲區(qū)域的寫入目的地,在讀取文件 時從所述機密信息存儲區(qū)域讀取所述文件,并且在所述機密信息存儲區(qū)域中沒有文件時從 正常信息存儲區(qū)域讀取文件。
8.如權(quán)利要求1至7中的任一個所述的機密信息泄漏防止系統(tǒng),其中當作為所述受控 對象確定裝置的確定結(jié)果、所述應用是要控制的所述對象應用時,所述訪問控制裝置根據(jù) 預定策略來確定是否允許所述應用訪問所述設備。
9.一種信息處理設備,包括 存儲裝置;中央處理單元; 設備控制單元;以及 in息記錄器,其中所述存儲裝置存儲激活處理機密信息的應用的啟動程序、處理所述機密信息的機 密應用、處理非機密信息的正常應用、定義對文件的訪問權(quán)限的策略、管理所述信息處理設 備的操作的操作系統(tǒng)、以及實現(xiàn)根據(jù)權(quán)利要求1至8中的任一個所述的機密信息泄漏防止 系統(tǒng)的程序,所述設備控制單元控制連接到所述信息處理設備的設備的操作,并且所述信息記錄器包括存儲所述機密信息的機密信息存儲區(qū)域和存儲所述非機密信息 的正常信息存儲區(qū)域。
10.一種機密信息泄漏防止方法,包括第一步驟,確定從應用到設備的訪問處理的內(nèi)容;第二步驟,根據(jù)所述第一步驟的確定結(jié)果指定已訪問所述設備的應用,并確定所述應 用是否是要控制的對象應用;以及第三步驟,當作為所述第二步驟的確定結(jié)果、所述應用是要控制的所述對象應用時,不 允許所述應用訪問所述設備。
11.如權(quán)利要求10所述的機密信息泄漏防止方法,其中在所述第二步驟,基于所述應 用是否是被啟動程序激活的應用來確定所述應用是否是要控制的所述對象應用。
12.如權(quán)利要求11所述的機密信息泄漏防止方法,還包括從訪問機密信息存儲區(qū)域的 受控對象排除被所述啟動程序激活的應用的步驟。
13.如權(quán)利要求10至12中的任一個所述的機密信息泄漏防止方法,還包括用鉤子函 數(shù)調(diào)用用于打印、拷貝粘貼、網(wǎng)絡傳輸、或者與正常應用的通信的對象應用的行為的系統(tǒng)調(diào) 用,并根據(jù)策略阻止所述系統(tǒng)調(diào)用的執(zhí)行的步驟。
14.如權(quán)利要求10至12中的任一個所述的機密信息泄漏防止方法,還包括用鉤子函數(shù) 調(diào)用用于文件訪問的要控制的對象應用的行為的系統(tǒng)調(diào)用并改變所述文件訪問的文件路 徑的步驟。
15.如權(quán)利要求13或14所述的機密信息泄漏防止方法,還包括當要控制的所述對象應用寫入文件時改變文件路徑以便改變所述文件到機密信息存 儲區(qū)域的寫入目的地的步驟;當要控制的所述對象應用讀取文件時從所述機密信息存儲區(qū)域讀取所述文件的步驟;以及當在所述機密信息存儲區(qū)域中沒有文件時從正常信息存儲區(qū)域讀取文件的步驟。
16.一種存儲程序的存儲介質(zhì),所述程序用于使得計算機執(zhí)行機密信息泄漏防止方法,其中所述程序執(zhí)行以下處理第一處理,確定從應用到設備的訪問處理的內(nèi)容;第二處理,根據(jù)所述第一處理的確定結(jié)果指定已訪問所述設備的應用,并確定所述應 用是否是要控制的對象應用;以及第三處理,當作為所述第二處理的確定結(jié)果、所述應用是要控制的所述對象應用時,不 允許所述應用訪問所述設備。
17.如權(quán)利要求16所述的存儲程序的存儲介質(zhì),其中在所述第二處理中,基于所述應 用是否是被啟動程序激活的應用來確定所述應用是否是要控制的所述對象應用。
18.如權(quán)利要求17所述的存儲程序的存儲介質(zhì),其中所述程序包括從訪問機密信息存 儲區(qū)域的受控對象排除被所述啟動程序激活的應用的處理。
19.如權(quán)利要求16至18中的任一個所述的存儲程序的存儲介質(zhì),其中所述程序還包括 用鉤子函數(shù)調(diào)用用于打印、拷貝粘貼、網(wǎng)絡傳輸、或者與正常應用的通信的要控制的對象應 用的行為的系統(tǒng)調(diào)用,并根據(jù)策略阻止所述系統(tǒng)調(diào)用的執(zhí)行的處理。
20.如權(quán)利要求16至18中的任一個所述的存儲程序的存儲介質(zhì),其中所述程序還包括用鉤子函數(shù)調(diào)用用于文件訪問的要控制的對象應用的行為的系統(tǒng)調(diào)用并改變所述文件訪 問的文件路徑的處理。
21.如權(quán)利要求19或20所述的存儲程序的存儲介質(zhì),其中所述程序還包括 當要控制的所述對象應用寫入文件時改變文件路徑以便改變所述文件到機密信息存 儲區(qū)域的寫入目的地的處理;當要控制的所述對象應用讀取文件時從所述機密信息存儲區(qū)域讀取所述文件的處理;以及當在所述機密信息存儲區(qū)域中沒有文件時從正常信息存儲區(qū)域讀取文件的處理。
全文摘要
本發(fā)明提供了一種機密信息泄漏防止系統(tǒng),其中機密信息和正常信息可以同時使用,而不用切換執(zhí)行環(huán)境,并且可以防止信息的泄漏。作為執(zhí)行應用的行為控制的功能的應用行為控制單元(103)被添加到利用啟動程序(101)激活的機密應用(102),并且諸如打印、拷貝粘貼、網(wǎng)絡傳輸、與正常應用的通信、或者文件訪問的路徑之類的行為得到控制。同時,引入作為控制文件訪問的功能的訪問控制單元(105),并且阻止正常應用(104)對機密應用(102)所存儲的機密信息存儲區(qū)域(116)的訪問。
文檔編號G06F12/14GK101960465SQ200980107189
公開日2011年1月26日 申請日期2009年2月4日 優(yōu)先權(quán)日2008年3月3日
發(fā)明者寺崎浩, 川北將, 田上光輝 申請人:日本電氣株式會社