CN101836212B - 信息提供方法、中继方法、信息保持装置、中继器 - Google Patents
信息提供方法、中继方法、信息保持装置、中继器 Download PDFInfo
- Publication number
- CN101836212B CN101836212B CN200780101273.3A CN200780101273A CN101836212B CN 101836212 B CN101836212 B CN 101836212B CN 200780101273 A CN200780101273 A CN 200780101273A CN 101836212 B CN101836212 B CN 101836212B
- Authority
- CN
- China
- Prior art keywords
- information
- access
- signal conditioning
- conditioning package
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
- G06F15/173—Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
- G06F15/17306—Intercommunication techniques
- G06F15/17331—Distributed shared memory [DSM], e.g. remote direct memory access [RDMA]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Virology (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供信息提供方法、中继方法、信息保持装置、中继器,其目的在于,防止因流氓软件混入到计算机内而导致网络存储内的信息泄露。本发明的信息提供方法,其由信息保持装置执行,该信息保持装置存储信息,并经由网络将该信息提供给信息处理装置,所述信息提供方法的特征在于,包括:访问检测步骤,检测该信息处理装置对该信息保持装置内的该信息进行了访问的情况;以及控制步骤,在该信息处理装置对信息保持装置进行信息访问时,控制该信息处理装置经由网络传送信息。并且,上述信息保持装置具备:文件访问检测部,其检测该信息处理装置对该信息保持装置内的该信息进行了访问的情况;以及系统控制部,其在该访问时,控制该信息处理装置的信息传送。
Description
技术领域
本发明涉及NAS(Network Attached Storage,网络附加存储器)等网络存储器。
背景技术
NAS等网络存储器的利用正在增加。计算机始终与因特网连接的情况也很普遍。因此,在大部分的计算机关闭了LAN等的期间,用户向NAS进行文件访问的情况下,仍处于与因特网连接的状态。
由此,发生如下问题,怀有恶意的软件(以下称为流氓软件,Malware)在非用户本意的情况下将存储于NAS的数据公开到因特网上。
并且,还会出现由如下的非本意或不适当的操作引起的问题,例如,用户将因特网上的实际公开的区域误认为非公开的作业区域,放置重要的数据,或者,将原本不应公开的文件夹设定为公开状态,在此状态下与网络连接,等等。
针对上述问题,比较简单的解决对策是“直接拔掉LAN线缆”,但每次都拔掉路由器等的LAN线缆,比较麻烦。
关于防止计算机信息泄露的技术,存在以下的专利文献。
专利文献1:日本特开2003-122615号公报
发明内容
本发明的目的在于,防止因流氓软件混入到计算机内而导致网络存储内的信息泄露。
涉及本实施例的信息提供方法,其由信息保持装置执行,该信息保持装置存储信息,并经由网络将该信息提供给多个信息处理装置,所述信息提供方法的特征在于,所述信息提供方法包括:访问检测步骤,检测该多个信息处理装置中的信息处理装置对该信息保持装置内的该信息中的指定信息进行了访问的情况;以及控制步骤,在该多个信息处理装置中的信息处理装置对信息保持装置进行所述指定信息的访问时,禁止该多个信息处理装置中的访问了该信息保持装置的信息处理装置进行的对外部网络的信息的传送。
并且,涉及本实施例的信息提供方法,其特征在于,在该访问检测步骤中,参照从该多个信息处理装置中的信息处理装置接收的请求分组,检测对该指定信息的访问。
并且,涉及本实施例的信息提供方法,其特征在于,在该访问检测步骤中,判断该信息保持装置所存储的该信息的属性。
并且,涉及本实施例的信息提供方法,其特征在于,在该访问检测步骤中,根据该信息所保持的标志来判断该信息的属性。
并且,涉及本实施例的信息提供方法,其特征在于,在该控制步骤中,根据在该访问检测步骤中判断出的该信息的属性,禁止该多个信息处理装置中的信息处理装置进行的该信息的传送。
并且,涉及本实施例的信息提供方法,其特征在于,在该控制步骤中,对进行该网络中继的中继器禁止该信息的传送。
并且,涉及本实施例的中继方法,其由中继器执行,该中继器将包括信息保持装置和多个信息处理装置的网络与外部网络连接,所述中继方法的特征在于,所述中继方法包括:访问管理步骤,管理该多个信息处理装置中的信息处理装置进行的对该信息保持装置的指定信息的访问状况;以及外部访问控制步骤,在该访问管理步骤中检测到该多个信息处理装置中的信息处理装置进行的对该信息保持装置的指定信息的访问的情况下,禁止从该多个信息处理装置中的访问了该信息保持装置的信息处理装置向该外部网络传送信息。
并且,涉及本实施例的中继方法,其特征在于,在该访问管理步骤中,从该信息保持装置取得该访问状况。
并且,涉及本实施例的中继方法,其特征在于,在该访问管理步骤中,对在该外部访问控制步骤中禁止从该多个信息处理装置中的信息处理装置向该外部网络传送该指定信息的时间进行管理。
并且,涉及本实施例的中继方法,其特征在于,所述中继方法还包括检测该多个信息处理装置中的信息处理装置与该外部网络之间的连接的外部访问检测步骤。
本发明的目的在于,通过在对网络存储器进行文件访问时禁止访问外部网络,从而防止因流氓软件类的混入导致网络存储器中的信息泄露。
附图说明
图1是涉及本实施例的网络存储系统100的结构图。
图2是涉及本实施例的路由器103和NAS104的概要图。
图3是涉及本实施例的BadPCList(恶意个人计算机列表)203。
图4是涉及本实施例的网络存储系统400的结构图。
图5是涉及本实施例的网络存储系统500的结构图。
图6是涉及本实施例的网络存储系统600的结构图。
图7是涉及本实施例的网络存储系统700的结构图。
图8是涉及本实施例的网络存储系统800的结构图。
图9是涉及本实施例的NAS的打开处理的流程图。
图10是涉及本实施例的NAS104的关闭处理的流程图。
图11是涉及本实施例的路由器103进行的计数处理的流程图。
图12是涉及本实施例的路由器103进行的分组传送处理的流程图。
图13是涉及本实施例的NAS104的硬件框图。
图14是涉及本实施例的网络存储系统100的结构图。
图15是涉及本实施例的网络存储系统100的结构图。
标记说明
100网络存储系统;101个人计算机;102个人计算机;103路由器;104NAS;105外部网络;106文件访问监视部;107系统控制部;108外部访问控制部;201文件夹;202文件夹;203BadPCList
具体实施方式
本实施例中的网络存储系统是指,多个个人计算机和NAS通过LAN连接,LAN外部的网络与个人计算机经由路由器连接的系统。并且,个人计算机经由LAN访问文件,经由路由器访问因特网。本实施例中的NAS控制存储于NAS的数据,使其不会在违背用户本意的情况下流出到因特网上。
作为存储于NAS的数据流出到因特网上的情况,问题比较大的是由流氓软件引起的情况。
流氓软件在违背用户本意的情况下向因特网上流出数据的途径有如下几种情况。
·流氓软件将应保密的文件夹设定为文件共享文件夹的公开文件夹。
·流氓软件将应保密的文件复制到公开文件夹中。
·流氓软件按照非用户本意的定时将应保密的文件作为邮件传送。
针对这些问题的现有对策如下。
·个人计算机通过病毒软件检测“流氓软件”。
·个人计算机通过软件防火墙切断从外部向个人计算机的网络连接。
·个人计算机通过物理性防火墙监视重要数据的流失。
但是,上述1.的对策对新型病毒的应对缓慢。对最先或初期感染“怀有恶意的软件”的个人计算机不能发挥作用。
对于上述2.的对策,在先开始了工作的“怀有恶意的软件”从内部访问外部的情况下,很难被检测到。
上述3.的对策是指,SPAM邮件的对策或由管理员监视web访问的技术。具体是指,当从外部网络进入的、或者与外部网络之间收发的数据中存在与业务无关的词或表述时,发送方或中继地点可疑时,将其视为不当数据。如果需防止泄露的重要数据固定且模式也已确定,则可以延用该技术。即,只要能够将认为是业务上重要的词或表述作为固定模式选出,则当包含该词或表述的数据要被传送到外部时,禁止该数据发送。
但是,就像防火墙很难仅根据业务上无关的词或表述来机械地区分异常或正常那样,使用作为禁止数据发送的关键的词或表述来进行检测也是很难的。因此,用户也只能使用防火墙的日志数据,在事情发生之后进行处理。
本实施例中的NAS经由网络与个人计算机连接。并且,该NAS由文件访问检测部和系统控制部构成,该文件访问检测部检测从该个人计算机向该网络存储器的文件访问,该系统控制部根据检测到的文件访问,对该个人计算机与外部网络之间的连接的切断进行控制。由此,信息处理装置正在对NAS进行文件访问时,通过将信息处理装置和外部网络切断,从而能够防止存储于NAS的数据流出到外部网络。
[网络存储系统100]
下面,使用图1,说明涉及本实施例的网络存储系统100。图1是涉及本实施例的网络存储系统100的结构图。
网络存储系统100由个人计算机101、102、路由器103、网络存储器(以下、称作NAS。)104构成。网络存储系统100经由路由器103与外部网络105连接。并且,NAS104由文件访问监视部106、系统控制部107、文件访问控制部110构成。搭载在NAS104上的文件访问监视部106、系统控制部107、文件访问控制部110是新功能,是本实施例的NAS104的特征。而且,路由器103具有外部访问控制部108、外部访问监视部109。外部访问控制部108、外部访问监视部109与文件访问监视部106、系统控制部107、文件访问控制部110协作而工作,是本实施例的路由器103的特征。另外,文件访问监视部106、系统控制部107、文件访问控制部110也可以设置于NAS104外部。
并且,本实施例中,个人计算机101对NAS104进行文件访问。流氓软件将NAS104的数据(文件、文件夹等)公开到因特网上的情况下,经由对NAS104进行文件访问的个人计算机101,向外部网络105流出数据。
在发生了对指定文件夹进行文件访问的情况时,NAS104对路由器103的外部访问控制部108进行控制。指定文件夹是指,用户预先指定为应保密的文件夹的文件夹。存储于NAS104的文件夹具有表示该文件夹是否为保密对象的标志。
在涉及本实施例的网络存储系统100中,个人计算机101正在对保密文件进行编辑时,NAS104禁止个人计算机101访问外部网络105。由此,网络存储系统100能够防止因流氓软件而导致存储于NAS104的保密文件流出。
另外,可以从其他个人计算机102参照因特网,个人计算机101与个人计算机102之间也可以在LAN内相互访问数据。外部网络105与个人计算机101、102之间的连接控制不限于通过路由器103的控制来实现。
[NAS1O4]
本实施例中的NAS104,除了具有文件服务器功能之外,还具有控制路由器103的功能。并且,路由器103通过外部访问控制部108控制从个人计算机101向外部网络105的通信。
NAS104具有文件夹、文件。文件可以在文件夹内,也可以在与文件夹相同的层内。文件访问监视部106检测个人计算机101、102的文件访问。本实施例中,文件访问监视部106检测与个人计算机101、102的文件访问有关的api(ApplicationProgramInterface,应用程序接口),从而检测个人计算机101、102的文件访问。api是指规定了软件在程序上的手续的协议的集合。
文件访问监视部106检测到个人计算机101、102访问文件时,将访问请求方(个人计算机101、102)的MAC地址、IP地址通知给系统控制部107。
系统控制部107根据从文件访问监视部106接收的信息(MAC地址、IP地址),控制路由器103所具有的外部访问控制部108。
外部访问控制部108根据来自系统控制部107的指示,切断个人计算机101、102向外部网络105的访问。并且,外部访问控制部108也可以采用使个人计算机101、102向外部网络105的访问延迟的结构。
例如,假设流氓软件要将原本应被保密的文件(表示保密的标志为有效的文件)以邮件等方式发送到外部网络105。本实施例中的NAS104在流氓软件读出保密文件的时刻,禁止读出了保密文件的个人计算机(存在流氓软件的个人计算机)与外部网络105之间的访问。由此,个人计算机进行的保密文件的数据发送失败,能够防止信息泄露。
并且,访问控制部105禁止个人计算机与外部网络105之间的访问,由此访问控制部105还将个人计算机正在进行正规作业的、与外部网络105之间的通信一律禁止。个人计算机的用户认识到系统工作不稳定并进行调查,从而成为该用户察觉到存在流氓软件的关键。根据本实施例的网络存储系统100,用户能够尽早发现流氓软件的混入,能够防止二次危害、危害的扩大。
因此,进行在个人计算机正在对网络存储器进行文件访问时切断与外部网络的文件访问的控制,从而能够防止因流氓软件引起的信息泄露。
[路由器103与NAS104的协作功能]
图2是涉及本实施例的路由器103和NAS104的概略图。
详细说明涉及本实施例的路由器103与NAS104的协作。图2示出路由器103和NAS104,该路由器103和NAS104与图1所示的相同。并且,在图2中,虽然未图示搭载在NAS104上的文件访问控制部106、系统控制部107,但图2的NAS104也具有该功能。
路由器103除外部访问控制部108之外,还具有BadPCList203。图3是BadPCList203的具体例。
路由器103通过软件实行如下功能。路由器103所具有的功能之一是管理BadPCList203,判断允许还是拒绝各个个人计算机101、102与外部网络105之间的通信的功能。并且,路由器103所具有的功能之一是更新BadPCList203的功能。此外,路由器103所具有的功能之一是指如下的控制逻辑功能,当IP分组的发送方IP地址、MAC地址存在于BadPCList203中,判断为拒绝IP分组的发送方(个人计算机)向外部网络105的通信,且IP分组的接收方是外部网络105的情况下,将该分组丢弃。另外,路由器103还具有如下功能,通过分组的IP地址、MAC地址,判断分组的发送方和接收方是内部LAN还是外部网络105。
[BadPCList203]
图3是涉及本实施例的BadPCList203。
BadPCList203由存在于LAN内的个人计算机101、102的IP地址301、MAC地址302、in_use303、BTL304、protect(保护)标志305、OCN306构成。
in_use303是表示拒绝访问的因素个数的计数器。
BTL304是表示到允许个人计算机101、102访问外部网络105为止的时间的向下计数器。
protect标志305与请求连接外部网络105的各个人计算机101、102对应地保持拒绝访问外部网络的状态。
OCN306是表示到允许个人计算机101、102访问NAS104为止的时间的向下计数器。OCN306是在每次发生个人计算机101、102与外部网络105之间的通信时,设定预定值(例如20)的计数器。
路由器103在发生拒绝个人计算机101、102与外部网络105之间的访问的因素时,对in_use303进行向上计数。具体地说,拒绝个人计算机101、102与外部网络105之间的访问的因素在于个人计算机101、102访问了NAS104的指定文件夹。
若路由器103判断为拒绝个人计算机101、102与外部网络105之间的访问的因素消除,则路由器103对in_use303进行向下计数。另外,in_use303的初始值为0。
in_use303的值不为“0”,表示存在拒绝个人计算机101、102与外部网络105之间的访问的因素,所以路由器103将protect标志305设为“protect=true”。并且,路由器103将BTL304的值设定为规定值(例如32)。
若路由器103将in_use303设为“0”(即,应拒绝个人计算机101、102与外部网络105之间的访问的因素消除),路由器103以一定时间间隔(例如1秒),对BTL304的值进行向下计数。若路由器103对BTL304进行向下计数,将BTL304的值设为“0”,则停止向下计数,并将protect标志305从“true”设为“false”。由此,与“protect=false”对应的个人计算机可向外部网络105进行通信。
并且,在本实施例中,路由器103对OCN306也以与BTL304相同的时间间隔(例如1秒)进行向下计数,若为“0”,则停止向下计数。当然,OCN306和BTL304中的向下计数的时间间隔不限于相同。
路由器103对OCN306设定的值也可以通过个人计算机101、102和外部网络105之间的通信协议(端口号)而改变。该情况下,路由器103进行控制,使得比OCN306所保持的值小的值不会写入到OCN306。
并且,本实施例中,BadPCList203是通过搭载在路由器103上的软件进行管理的表,但不限于此。也可以通过在路由器103中安装GateArray等硬件来实现BadPCList203。
另外,鉴于以上情况,BadPCList203表示如下情况。IP地址为“192.168.3.32”的个人计算机101被允许访问外部网络(protect=false),但其只在LAN内进行通信(OCN=0)。另一方面,IP地址为“192.168.3.33”的个人计算机102因2种因素被禁止与外部网络105进行通信。此外,IP地址为“192.168.3.34”的个人计算机在(20-15=)5秒前与外部网络105进行了通信。
[NAS104的功能]
接着,详细说明涉及本实施例的NAS104所具有的功能。
NAS104针对LAN内的个人计算机101、102公开的每个文件夹具有Hide标志和Open标志。
更具体地说,本实施例中的NAS104具有文件夹201、202。并且,各个文件夹201、202分别具有Hide标志和Open标志。文件夹201的Hide标志为“true”,Open标志为“false”。文件夹202的Hide标志为“false”,Open标志为“true”。
Hide标志的“true”表示文件夹201中的文件是应对外部网络105保密的保密文件。Hide标志的“false”表示文件夹202中的文件是可向外部网络105公开的文件。即,Hide标志是表示具有该Hide标志的文件夹中存在的文件是否是保密文件的信息。并且,NAS104参照文件夹201、202的Hide标志,判断文件夹201、202内的文件是否是保密文件。
Open标志的“true”表示文件夹202内的某一文件正在被读出(读写)。Open标志的“false”表示文件夹201内的任何文件均未被读出(读写)。文件夹201、202针对访问方的每个个人计算机具有Open标志(未图示。作为代表,仅记载与个人计算机101对应的Open标志)。
Hide标志、Open标志也可以沿用文件系统原本持有的标志。例如,有若是Unix系的文件系统,“当不允许Other用户读出时,看作Hide=true”;若是FAT文件系统,“具有Hidden属性时,看作Hide=true”等的方法。并且,对于Open标志,由于大部分的文件系统具有表示被打开的次数的计数器或表示正在被安装的标志,所以将该机构与下述b2的机构组合,对访问方的每个个人计算机进行管理。
并且,NAS104具有根据IP地址或MAC地址来确定访问了NAS104的个人计算机的功能。
作为安装方法的一个例子,由于向NAS104的请求经由网络送达,所以能够从该请求分组取得请求方的IP地址或MAC地址。将该地址直接作为附加信息附加到对文件系统的请求模块中即可。另外,也可以在将文件系统中的处理结果发送给请求方的个人计算机时,取得接收方的IP地址/MAC地址(访问请求方的个人计算机的IP地址/MAC地址)。
若NAS104检测到在Hide标志为“true”的文件夹201中Open标志的文件夹从“false”变为“true”,则对访问方的个人计算机101、即所取得的IP地址/MAC地址的BadPCList203,向上计数in_use。
NAS104将protect标志305的值设定为“true”,并且将BTL304的值设定为规定值(例如32)。NAS104将Open标志从“true”改为“false”时,NAS104对对应的in_use进行向下计数。
由此,路由器103在个人计算机101正在访问保密文件夹的期间、以及访问结束后的一定时间(32秒)的期间,禁止访问方的个人计算机101对外部网络105的数据通信。
禁止访问期间(BTL304、OCN306)不会使用户的通常作业受到影响。例如,在禁止访问期间,用户仍可以一边读写邮件,一边读写应保密的文件夹的数据。另一方面,流氓软件这类软件的网络访问被禁止,能够防止信息流出的危害。此外,对通信模块化的日志、错误信息在每次流氓软件工作时发出警告。因此,用户能够尽早发现流氓软件。
另外,该路由器103无需具有NAT功能、DHCP功能。因此,路由器103能够通过分组的接收方、发送方的IP/MAC的地址检测和转换来实现。因此,路由器103与开关集线器(switching HUB)程度相同,也容易硬件化。
[外部访问监视部109]
接着,说明路由器103所搭载的新功能,即外部访问监视部109。
外部访问监视部109的功能在于,监视个人计算机101、102与外部网络105之间的连接状况。
个人计算机101、102访问外部网络105时,NAS104禁止访问外部网络105的个人计算机101、102访问文件。换言之,路由器103从LAN内的个人计算机101、102收到了访问外部网络105的请求时,在之后一定时间,NAS104将请求了访问外部网络105的个人计算机101、102对NAS1O4内文件夹的读取设为错误。
由此,当个人计算机101、102因流氓软件的工作而尝试连接外部网络105时,NAS104禁止个人计算机101、102访问保密文件(存储于NAS1O4内的保密文件),从而防止数据流出。
具体地说,若外部访问监视部109检测到个人计算机101、102访问了外部网络105,则设定BadPCList203的OCN306的值。
外部访问监视部109考虑个人计算机101、102与外部网络105之间的收发中利用的网络协议等,设定OCN306的值。例如个人计算机101、102利用SMTP(Simple Mail Transfer protocol,简单邮件传输协议)与外部网络105进行收发的情况下,外部访问监视部109将OCN306的值设定为“30”。个人计算机101、102利用HTTP(Hyper text Transfer Protocol,超文本传输协议)与外部网络105进行收发的情况下,外部访问监视部109将OCN306的值设定为“10”。并且,个人计算机101、102利用FTP(File Transfer Protocol,文件传输协议)与外部网络105进行收发的情况下,外部访问监视部109将OCN306的值设定为“40”。即,个人计算机101、102发送邮件或传送文件的情况,相比于个人计算机101、102访问网页的情况,禁止访问NAS104的期间设定得更长。这是因为,对于流氓软件导致保密文件的流出可能性高的、对外部网络105的访问,禁止访问期间要长。
另外,外部访问监视部109也可以通过如下方式来实现,即,路由器103与防火墙协作,监视个人计算机101、102与外部网络105之间的通信。
[文件访问控制部110]
并且,NAS104具有文件访问控制部110。文件访问控制部110的功能在于,禁止LAN内的个人计算机101、102向可公开的文件夹进行访问,或使访问延迟一定时间。
文件访问控制部110根据来自路由器103的外部访问监视部109的信息进行工作。更具体地说,系统控制部107取得路由器103的外部访问监视部109的访问检测结果。并且,系统控制部107根据从外部访问监视部109取得的访问信息,对文件访问控制部110发出工作指示。文件访问控制部110根据来自系统控制部107的指示,控制个人计算机101、102向NAS104的访问。
并且,如上所述,外部访问监视部109设定OCN306的值。系统控制部107根据OCN306的值,对文件访问控制部110发出工作指示。文件访问控制部110允许OCN306的值为“0”的个人计算机访问NAS104。并且,文件访问控制部110禁止OCN306的值不为“0”的个人计算机访问NAS104。
系统控制部107判断Hide标志为“true”的文件夹。文件访问监视部104监视Open标志。若文件访问监视部104检测到Open标志由“false”变为“true”,则系统控制部107取得与改变的Open标志对应的个人计算机的OCN306。并且,系统控制部107判断出所取得的OCN306的Hide标志为“true”的情况下,向文件访问控制部110通知OCN306。
在文件访问控制部110判断出OCN306的值不为“0”的情况下,文件访问控制部100对文件访问请求输出错误。即,文件访问控制部110禁止OCN306的值不为“0”的个人计算机进行文件访问。
[网络存储系统400]
图4是涉及本实施例的网络存储系统400的结构图。
网络存储系统400由个人计算机401、402、防火墙403、NAS404构成。网络存储系统400经由防火墙403与外部网络105连接。防火墙403具有分组监视部406、特征模式词典409。并且,NAS404具有特征模式生成部407、登记功能408。
NAS404可对每个文件进行是否是保密文件的管理。特征图像生成部407对每个保密文件生成特征模式。并且,登记功能408将特征模式生成部407生成的特征模式登记到特征模式词典409中。特征模式表示文件是否是保密文件。特征模式生成部407例如根据保密文件的文件名·文件内容生成特征模式。
分组监视部406监视LAN内的个人计算机401、402向外部网络405的传送分组,判断该传送分组内是否存在特征模式。在防火墙403接收了传送分组的情况下,分组监视部406访问特征模式词典409。分组监视部406判断出传送分组内存在登记到特征模式词典409中的特征模式的情况下,外部访问控制部410禁止将传送分组发送到外部网络105。
由此,涉及本实施例的网络存储系统400能够使用特征模式,对防火墙403指定保密文件,能够防止保密文件流出到外部网络405。并且,本实施例中的网络存储系统400,即使在流氓软件将保密文件复制到公开文件夹中的情况下,也能够防止保密文件流出到外部网络405。
并且,特征模式生成部407工作的关键为例如下述a、b、c的任意一种,或它们的组合。
a.NAS404的用户对特征模式生成部407进行起动指示。
b.在预先指定的时间,定期起动特征模式生成部407。
c.根据对文件的写入、更新,起动模式生成部407。
并且,在特征模式生成部407中,NAS404对发生了变更的文件中存在的特征模式进行计算。因此,防火墙403能够实时监视传送分组内有无特征模式。
另外,特征模式生成部407的起动触发器,可以沿用对搭载在NAS404上的文件系统、操作系统的文件更新、制作进行通知的功能来实现。
像这样,本实施例中的网络存储400能够防止NAS404的特定文件夹(protect标志为“true”)中存在的文件、对该文件进行了改变的文件、或者数据流出到外部网络405。下面将对protect标志进行追加说明。
本实施例中的网络存储系统400禁止将具有特征模式的传送分组发送到外部网络105。因此,涉及本实施例的网络存储系统400,即使在保密文件存在于不是保护对象的文件夹的情况下,也能够防止保密文件流出到外部网络405。
[网络存储系统500]
图5是涉及本实施例的网络存储系统500的结构图。
网络存储系统500由个人计算机501、502、路由器503、NAS504构成。网络存储系统500经由路由器503与外部网络505连接。并且,路由器503具有外部访问控制部503。NAS504具有文件访问监视部507、系统控制部508、特征模式生成部509、特征模式词典510、文件检索部511。
本实施例中的网络存储系统500是随时检测保密文件中的特征模式、随时更新有无访问保密文件的系统。并且,本实施例中的网络存储系统500禁止对保密文件进行文件访问的个人计算机访问外部网络505。由此,网络存储系统500也能够防止因流氓软件导致保密文件流出。
下面,说明网络存储系统500的工作。
个人计算机501、502对NAS504进行文件访问。若个人计算机501、502更新保密文件,则特征模式生成部509起动。特征模式生成部509生成被更新的保密文件的特征模式。特征模式生成部407根据文件名·文件内容生成特征模式。并且,特征模式生成部509将生成的特征模式登记到特征模式词典510中,并且向文件检索部511通知所生成的特征模式。文件检索部511判断存在于NAS504的所有文件夹内是否存在所通知的特征模式。文件检索部511检测到包含所生成的特征模式的文件夹、文件的情况下,追加功能512将检测到的文件作为文件访问监视部507的新监视对象来追加。文件访问监视部507对成为新监视对象的文件夹、文件以及已成为监视对象的文件夹、文件,监视来自个人计算机501、502的文件访问。
本实施例中的网络存储系统500从NAS504内的指定文件夹(protect标志为“true”)以外的文件夹、个人计算机501、502或NAS504的公开文件夹检索特征模式。
并且,NAS504具有与个人计算机上的软件协作,在个人计算机上的所有文件夹内检索特征模式的功能,NAS504也可以进行如下a、b的任意一个或双方的动作。
a.禁止将发现了特征模式的文件或文件夹发送到外部网络505。
b.将新检测到特征模式的文件或文件夹通知给个人计算机。
由此,涉及本实施例中的网络存储系统500,即使在保密文件被复制到不被保护的文件夹的情况下,也能够防止保密文件流出到外部网络505。
并且,涉及本实施例的网络存储系统500将被复制到不被保护的文件夹中的保密文件追加为监视对象。因此,能够减少因用户的无意操作导致保密文件流出到外部网络505。
并且,涉及本实施例的网络存储系统500中,若用户指定应保护的文件夹,则对存在于该文件夹的文件的复本也设定为保护对象。因此,网络存储系统500能够防止用户看漏的NAS504的文件保护漏洞。
[网络存储系统600]
图6是涉及本实施例的网络存储系统600的结构图。
接着说明涉及本实施例的网络存储系统600。
网络存储系统600由个人计算机601、外部网络602构成。个人计算机601由LAN端口603、网络访问控制部604、系统控制部605、文件访问监视部606、内置磁盘607构成。个人计算机601具有在个人计算机601上工作的防火墙软件。
内置磁盘607中存储有保密文件夹、保密文件。文件访问监视部606检测对存储于内置磁盘607的保密文件夹、保密文件的文件访问。文件访问监视部606检测到对保密文件夹、保密文件的文件访问的情况下,文件访问监视部606通知系统控制部605检测到文件访问。
若系统控制部605收到检测到文件访问的通知,则系统控制部605根据来自文件访问监视部606的检测到文件访问的通知,指示网络访问控制部604切断向外部网络602。
网络访问控制部604根据来自系统控制部605的指示,切断个人计算机601向外部网络602的访问。
[网络存储系统700]
图7是涉及本实施例的网络存储系统700的结构图。
说明涉及本实施例的网络存储系统700。
网络存储系统700由个人计算机701、外部网络702、外部磁盘703构成。在此,外部磁盘包括MO盘、USB记忆棒等。个人计算机701经由USB接口、SCSI接口等,与外部磁盘703连接。
个人计算机701由LAN端口704、网络访问控制部705、系统控制部706、保护对象检测部707、文件访问监视部708、内置磁盘709构成。
个人计算机702访问了存储于外部磁盘703的文件夹、文件的情况下,保护对象检测部707根据外部磁盘703的卷标(volume label)或文件夹名等,判断所访问的文件夹、文件是否是保密文件夹、保密文件。具体地说,保护对象检测部707进行的处理逻辑是例如判断卷标为“HIDDENxxx”的文件夹、文件为保护对象。换言之,保护对象检测部707将具有预先决定的特定卷标的文件夹、文件判断为保护对象。或者,保护对象检测部707将特定路径中存在的文件夹的文件夹、文件判断为保护对象。
若保护对象检测部707判断存储于外部磁盘703的文件夹、文件为保护对象,则保护对象检测部707通知系统控制部706禁止外部网络702与个人计算机701之间的访问。
若系统控制部706从保护对象检测部707收到禁止访问通知,则系统控制部706根据来自保护对象检测部707的通知,指示网络访问控制部705切断外部网络702。
网络访问控制部705根据来自系统控制部706的指示,切断个人计算机701向外部网络702的访问。
并且,当对存储于内置磁盘709的保密文件夹、保密文件进行了文件访问时,网络存储系统700也使用文件访问监视部708检测对文件的访问。若文件访问监视部708判断对存储于内置磁盘709的保密文件夹、保密文件进行了文件访问,则文件访问监视部708通知系统控制部706检测到文件访问。
若系统控制部706从文件访问监视部708收到文件访问检测通知,则系统控制部706根据来自文件访问监视部708的文件访问检测通知,指示网络访问控制部705切断外部网络702。
网络访问控制部705根据来自系统控制部706的指示,切断个人计算机701向外部网络702的访问。
涉及本实施例的网络存储系统700是在对外部磁盘703的保密文件夹、保密文件进行了文件访问的情况下,禁止个人计算机701与外部网络702之间的访问的系统。
由此,本实施例中的网络存储系统700能够防止将存储在外部磁盘703中的保密数据流出到外部网络702。
个人计算机701只要在外部磁盘703内对存储于外部磁盘703的保密文件夹、保密文件进行更新管理,就能够防止因流氓软件导致保密文件夹、保密文件流出到外部网络702。
[网络存储系统800]
说明涉及本实施例的网络存储系统800。
图8是涉及本实施例的网络存储系统800的结构图。
网络存储系统800由个人计算机801、外部网络802、外部磁盘803构成。
个人计算机801由LAN端口804、网络访问控制部805、系统控制部806、访问控制部807、文件访问监视部808、内置磁盘809构成。
在网络存储系统800中,文件访问监视部808检测个人计算机801对存储于内置磁盘809的保密文件夹、保密文件的文件访问。
并且,若文件访问监视部808判断对存储于内置磁盘809的保密文件夹、保密文件进行了文件访问,则文件访问监视部808通知系统控制部806检测到文件访问。
若系统控制部806从文件访问监视部808收到文件访问检测通知,则系统控制部806根据来自文件访问监视部808的文件访问检测通知,指示网络访问控制部805切断外部网络802。
网络访问控制部805根据来自系统控制部806的指示,切断个人计算机801向外部网络802的访问。
并且,存储于外部磁盘803的数据被加密。外部磁盘803是可移动的记录介质。通过对外部磁盘803内的数据进行加密,从而即使在用户不小心丢失外部磁盘803的情况下,也能够防止数据泄露。
个人计算机801具有访问控制部807。访问控制部807对存储于外部磁盘803的加密数据进行解密。具体地说,访问控制部807进行密码认证、指纹认证等,访问控制部807将存储于外部磁盘803内的加密数据解密。若访问控制部807判断出允许向外部磁盘803进行读写,则访问控制部807通知系统控制部806禁止外部网络802与个人计算机801之间的访问。
若系统控制部806从访问控制部807收到禁止访问通知,则系统控制部806根据来自访问控制部807的通知,指示网络访问控制部805切断外部网络802。
网络访问控制部805根据来自系统控制部806的指示,切断个人计算机801向外部网络802的访问。
并且,网络访问控制部805也可以允许NTP(Network Time Protcol,网络时间协议)或ping响应等、不可能导致保密数据(保密文件夹、保密文件)流出到外部网络802的网络访问。
[打开处理的流程图]
图9是与涉及本实施例的存储于NAS104的文件、文件夹的访问处理(打开处理)有关的流程图。
个人计算机101、102访问NAS104的情况下,个人计算机101、102将请求分组发送到NAS104。
搭载在NAS104上的文件访问监视部106从请求分组中取得NAS104进行了文件访问的请求方的IP地址/MAC地址(步骤S901)。
文件访问监视部106参照BadPCList203,判断与访问请求方对应的OCN306的值是否大于0(步骤S902)。文件访问监视部106判断出与访问请求方对应的OCN306的值大于“0”的情况下(步骤S902“是”),文件访问监视部106禁止请求方的文件访问(步骤S905)。结束访问处理(步骤S906)。
并且,文件访问监视部106在与访问请求方对应的OCN306的值不大于0(具体地说,OCN306的值为0。)的情况下(步骤S902“否”),系统控制部107允许文件访问,执行打开处理(步骤S903)。打开处理是指系统控制部107打开有访问请求的文件的处理。
而且,系统控制部107判断打开处理是否失败(步骤S904)。系统控制部107判断出打开处理失败的情况下(步骤S904“是”),文件访问监视部106禁止请求方的文件访问(步骤S905),结束访问处理(步骤S906)。系统控制部107判断出打开处理成功的情况下(步骤S904“否”),系统控制部107判断进行打开处理的文件是否是保护对象的文件(步骤S907)。
系统控制部107判断出进行打开处理的文件是保护对象的情况下(步骤S908“是”),系统控制部107对与访问请求方对应的in_use303进行向上计数,加1,将protect标志305设定为“true”,将BTL设定为“32”(步骤S908)。系统控制部107判断出进行打开处理的文件不是保护对象的情况下(步骤S909),系统控制部107结束打开处理(步骤S909)。
[关闭处理的流程图]
图10是与涉及本实施例的存储于NAS104的文件、文件夹的访问处理(关闭处理)有关的流程图。
个人计算机101、102访问NAS104的情况下,个人计算机101、102将请求分组发送到NAS104。
搭载在NAS104上的文件访问监视部106从请求分组取得对NAS104进行了文件访问的请求方的IP地址/MAC地址(步骤S1001)。
文件访问监视部106将请求方的IP地址/MAC地址通知给系统控制部107,系统控制部107进行关闭处理(步骤S1002)。
并且,系统控制部107判断进行关闭处理的文件是否是保护对象的文件(步骤S1003)。系统控制部107判断出进行关闭处理的文件不是保护对象的情况下(步骤S1003“否”),系统控制部107结束关闭处理(步骤S1006)。系统控制部107判断出进行关闭处理的文件是保护对象的情况下(步骤S1003“是”),系统控制部107判断该保护对象文件所属的文件夹内的所有文件是否均为关闭(步骤S1004)。
系统控制部107判断为文件夹内的所有文件均为关闭的情况下(步骤S1004“是”),系统控制部107对与访问请求方对应的in_use303进行向下计数,减1(步骤S1005),结束关闭处理(步骤S1006)。并且,系统控制部107判断文件夹内的所有文件不是全都关闭的情况下(步骤S1004“否”),系统控制部107结束关闭处理(步骤S1006)。
[计数处理的流程图]
图11是涉及本实施例的路由器103进行的计数处理的流程图。执行图11所示的流程图的路由器103的功能是,管理上述的BadPCList203,判断允许还是拒绝各个人计算机101、102与外部网络105之间的通信。另外,计数处理是指,对切断个人计算机101、102与外部网络105之间的连接的时间进行计数的处理。
路由器103具有内部计时器(未图示)。路由器103通过内部计时器每隔1秒起动。路由器103参照BadPCList203(步骤S1101)。路由器103判断登记在BadPCList203中的、与所有个人计算机(个人计算机101、102)对应的BTL304是否大于“0”(步骤S1102)。路由器103判断BTL304大于“0”的情况下(步骤S1103“是”),路由器103对判断为大于“0”的BTL304的值进行向下计数,减1(步骤S1103)。
并且,路由器103判断进行向下计数而减1的结果,BTL304是否成为“0”(步骤S1104)。路由器103判断为BTL304成为“0”的情况下(步骤S1104“是”),路由器103将判断为BTL304成为“0”的protect标志305从“true”设为“false”(步骤S 1105)。路由器103判断为BTL304不为“0”的情况下(步骤S1104“否”),路由器103判断与所有的个人计算机(个人计算机101、102)对应的OCN306是否大于“0”(步骤S1106)。并且,在步骤S1102中,当判断为登记到BadPCList203的、与所有个人计算机(个人计算机101、102)对应的BTL304不大于“0”的情况下(步骤S1102“否”),路由器103判断与所有的个人计算机(个人计算机101、102)对应的OCN306是否大于“0”(步骤S1106)。
路由器103判断为OCN306大于“0”的情况下(步骤S1106“是”),路由器103对OCN306的值进行向下计数,减1(步骤S1107)。路由器判断为与所有的个人计算机(个人计算机101、102)对应的OCN306不大于“0”的情况下(步骤S1106“否”),路由器103判断是否对登记到BadPCList203的所有项目的BTL304、OCN306执行了计数处理(步骤S1108)。
路由器103判断对登记在BadPCList203中的所有项目的BTL304、OCN306执行了计数处理的情况下(步骤S1108“是”),路由器103结束处理(步骤S1109)。并且,路由器103判断没有对登记在BadPCList203中的所有项目的BTL304、OCN306执行计数处理的情况下(步骤S1108“否”),路由器103再次判断BTL304的值是否大于“0”(步骤S1102)。
[分组传送处理的流程图]
图12是涉及本实施例的路由器103进行的分组传送处理的流程图。若路由器103从个人计算机101、102接收到分组,则开始分组传送处理(步骤S1201)。
路由器103判断接收到的分组的接收方是否是外部网络105、且接收到的分组的发送方是否是LAN内部的个人计算机101、102(步骤S1202)。路由器103判断分组的接收方不是外部网络105、或接收到的分组的发送方不是LAN内部的个人计算机101、102的情况下(换言之,至少分组的接收方不是外部网络105、分组的发送方不是个人计算机101、102的情况下)(步骤S1202“否”),路由器103将接收到的分组传送给预定的接收方(步骤S1203),结束分组传送处理(步骤S1204)。
路由器103判断分组的接收方是外部网络105、且接收到的分组的发送方是LAN内部的个人计算机101、102的情况下(步骤S1202“是”),路由器103判断与分组发送方的个人计算机对应的protect标志305是否为“true”(步骤S1205)。
路由器103判断与分组发送方的个人计算机对应的protect标志305不是“true”(protect标志305为“false”)的情况下(步骤S1205否),路由器103根据通信中使用的协议,确定延迟值(X)(步骤S1208)。
并且,路由器103判断OCN306的值是否小于延迟值(X)(步骤S1209)。路由器103判断OCN306的值小于延迟值(X)的情况下(步骤S1209“是”),路由器103将OCN的值设定为延迟值(X)(步骤S1210)。
而且,路由器103判断OCN306的值不小于延迟值(X)的情况下(步骤S1209“否”),路由器103进行分组的传送处理(步骤S1211),结束分组传送处理(步骤S1212)。
图13是涉及本实施例的NAS104的硬件框图。
说明NAS104中的硬件结构。NAS104由CPU(Central ProcessingUnit)1301、存储部1302、内存1303、LAN端口1304、1305构成。
NAS 104经由LAN端口1304与个人计算机101、102连接。并且,NAS104经由LAN端口1305与路由器103连接。
NAS104所具有的文件访问监视部106、系统控制部107、文件访问控制部110分别是作为软件由CPU1301执行的功能。因此,文件访问监视部106、系统控制部107、文件访问控制部110作为软件存储于存储部1302中。并且,CPU1301在执行文件访问监视部106、系统控制部107、文件访问控制部110的情况下,CPU1301将文件访问监视部106、系统控制部107、文件访问控制部110展开到内存1303中执行。
并且,图14是记载了涉及本实施例的NAS104的功能的网络存储系统100的结构图。NAS104具有文件访问监视部106、系统控制部107、文件访问控制部110的功能。文件访问监视部106、系统控制部107、文件访问控制部110是控制网络存储系统100的功能。即使在感染了流氓软件的个人计算机对NAS104进行了文件访问的情况下,NAS104也能够防止NAS104中存储的文件、文件夹流出到外部网络105。
并且,图15是记载了涉及本实施例的路由器103的功能的网络存储系统100的结构图。路由器103具有外部访问控制部108、外部访问监视部109的功能。外部访问控制部108、外部访问监视部109是控制网络存储系统100的功能。外部访问控制部108的功能在于,控制是否将从个人计算机101、102接收到的分组传送到外部网络105。并且,外部访问监视部109的功能在于,监视外部网络105与个人计算机101、102之间的连接状况。路由器103将外部访问控制部108、外部访问监视部109作为软件执行并进行控制。因此,路由器103为了执行外部访问控制部108、外部访问监视部109,具有CPU、存储部、内存、或类似的硬件。外部访问控制部108、外部访问监视部109也可以以硬件结构物理地存在。
外部访问控制部108、外部访问监视部109即使在感染了流氓软件的个人计算机对NAS104进行了文件访问的情况下,也能够防止NAS104中存储的文件、文件夹流出到外部网络105。
产业上的可利用性
涉及本实施例的网络存储系统对经由网络连接的存储器内的数据进行保护。
本实施例中的网络存储系统,能够有效防止流氓软件或无意·不适当的网络访问导致数据流出到外部网络。
Claims (15)
1.一种信息保持装置执行的信息提供方法,该信息保持装置存储信息,并经由网络将该信息提供给多个信息处理装置,
所述信息提供方法的特征在于,所述信息提供方法包括:
访问检测步骤,检测该多个信息处理装置中的信息处理装置对该信息保持装置内的该信息中的指定信息进行了访问的情况;以及
控制步骤,在该多个信息处理装置中的信息处理装置对信息保持装置进行所述指定信息的访问的期间,禁止该多个信息处理装置中的访问了该信息保持装置的信息处理装置进行的对外部网络的信息的传送。
2.根据权利要求1所述的信息提供方法,其特征在于,在该访问检测步骤中,参照从该多个信息处理装置中的信息处理装置接收的请求分组,检测对该指定信息的访问。
3.根据权利要求1所述的信息提供方法,其特征在于,在该访问检测步骤中,判断该信息保持装置所存储的该信息的属性。
4.根据权利要求3所述的信息提供方法,其特征在于,在该访问检测步骤中,根据该信息所保持的标志来判断该信息的属性。
5.根据权利要求4所述的信息提供方法,其特征在于,在该控制步骤中,根据在该访问检测步骤中判断出的该信息的属性,禁止该多个信息处理装置中的信息处理装置进行的该信息的传送。
6.根据权利要求5所述的信息提供方法,其特征在于,在该控制步骤中,对进行该网络的中继的中继器禁止该信息的传送。
7.一种由中继器执行的中继方法,该中继器将包括信息保持装置和多个信息处理装置的网络与外部网络连接起来,
所述中继方法的特征在于,所述中继方法包括:
访问管理步骤,管理该多个信息处理装置中的信息处理装置进行的对该信息保持装置的指定信息的访问状况;以及
外部访问控制步骤,在该访问管理步骤中检测到该多个信息处理装置中的信息处理装置进行的对该信息保持装置的指定信息的访问的情况下,禁止从该多个信息处理装置中的访问了该信息保持装置的信息处理装置向该外部网络传送信息。
8.根据权利要求7所述的中继方法,其特征在于,在该访问管理步骤中,从该信息保持装置取得该访问状况。
9.根据权利要求8所述的中继方法,其特征在于,在该访问管理步骤中,对在该外部访问控制步骤中禁止从该多个信息处理装置中的信息处理装置向该外部网络传送该指定信息的时间进行管理。
10.根据权利要求9所述的中继方法,其特征在于,所述中继方法还包括检测该多个信息处理装置中的信息处理装置与该外部网络之间的连接的外部访问检测步骤。
11.根据权利要求10所述的中继方法,其特征在于,在该访问管理步骤中,对该多个信息处理装置中的信息处理装置与该外部网络之间的连接状况进行管理。
12.根据权利要求11所述的中继方法,其特征在于,在该访问管理步骤中,根据该多个信息处理装置中的信息处理装置与该外部网络之间的连接状况,对禁止从该多个信息处理装置中的信息处理装置访问该信息保持装置的时间进行管理。
13.一种由经由网络与信息处理装置连接的信息保持装置执行的信息提供方法,
所述信息提供方法的特征在于,所述信息提供方法包括:
特征模式生成步骤,针对该信息保持装置保持于特定文件夹内的每个文件生成特征模式;
存储步骤,存储该特征模式;
检索与该特征模式对应的文件的文件检索步骤;
检测从该信息处理装置对所述文件的访问的文件访问检测步骤;
追加步骤,当在该文件检索步骤中新检测到与该特征模式对应的文件时,将检测到的文件追加为文件访问检测步骤中的监视对象;以及
外部访问控制步骤,当检测到该信息处理装置对在该追加步骤中追加到监视对象的文件的访问时,向连接该网络和外部网络的中继装置指示禁止对该外部网络的信息传送。
14.一种信息保持装置,其存储信息,并经由网络将该信息提供给多个信息处理装置,
所述信息保持装置的特征在于,所述信息保持装置包括:
文件访问检测部,其检测该多个信息处理装置中的信息处理装置对该信息保持装置内的该信息中的指定信息进行了访问的情况;以及
系统控制部,其在该多个信息处理装置中的信息处理装置对该信息保持装置进行所述指定信息的访问的期间,禁止该多个信息处理装置中的访问了该信息保持装置的信息处理装置进行的对外部网络的信息的传送。
15.一种中继器,其连接包括信息保持装置和多个信息处理装置的网络与外部网络,
所述中继器的特征在于,所述中继器包括:
访问管理部,其管理该多个信息处理装置中的信息处理装置进行的对该信息保持装置的指定信息的访问状况;以及
外部访问控制部,其该访问管理部检测到该多个信息处理装置中的信息处理装置进行的对该信息保持装置的指定信息的访问的情况下,禁止从该多个信息处理装置中的访问了该信息保持装置的信息处理装置向该外部网络传送信息。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2007/070796 WO2009054056A1 (ja) | 2007-10-25 | 2007-10-25 | 情報提供方法、中継方法、情報保持装置、中継器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101836212A CN101836212A (zh) | 2010-09-15 |
| CN101836212B true CN101836212B (zh) | 2015-10-14 |
Family
ID=40579166
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200780101273.3A Expired - Fee Related CN101836212B (zh) | 2007-10-25 | 2007-10-25 | 信息提供方法、中继方法、信息保持装置、中继器 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US8626915B2 (zh) |
| EP (1) | EP2204757B1 (zh) |
| JP (1) | JP5263169B2 (zh) |
| KR (1) | KR101124551B1 (zh) |
| CN (1) | CN101836212B (zh) |
| WO (1) | WO2009054056A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5471415B2 (ja) * | 2009-12-21 | 2014-04-16 | 日本電気株式会社 | 情報漏洩防止システム、情報漏洩防止方法及び情報漏洩防止プログラム |
| JP5614073B2 (ja) * | 2010-03-29 | 2014-10-29 | ヤマハ株式会社 | 中継装置 |
| CN102918511A (zh) * | 2010-05-27 | 2013-02-06 | 富士通株式会社 | 中继装置、中继系统、中继方法、程序以及记录了程序的计算机可读取的记录介质 |
| WO2015096149A1 (zh) * | 2013-12-27 | 2015-07-02 | 华为技术有限公司 | Tcp链路配置方法、装置及设备 |
| US9213255B1 (en) | 2014-08-27 | 2015-12-15 | Eastman Kodak Company | Printing tactile images with improved image quality |
| US9721094B2 (en) * | 2015-05-20 | 2017-08-01 | International Business Machines Corporation | Determining privacy leaks |
| US20190149569A1 (en) * | 2016-06-15 | 2019-05-16 | Mitsubishi Electric Corporation | Security monitoring device, communication system, security monitoring method, and computer readable medium |
| JP6202507B1 (ja) * | 2016-07-27 | 2017-09-27 | 株式会社Pfu | 情報管理システム、情報提供方法、及びプログラム |
| KR102042086B1 (ko) * | 2018-01-03 | 2019-11-27 | 킹스정보통신(주) | 암호화 통신 프로토콜 제어 모듈 |
| JP7074034B2 (ja) * | 2018-11-22 | 2022-05-24 | 富士通株式会社 | 仮想デスクトップ環境等で用いる情報処理システム、プログラム及び情報処理方法 |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6041355A (en) * | 1996-12-27 | 2000-03-21 | Intel Corporation | Method for transferring data between a network of computers dynamically based on tag information |
| ATE545261T1 (de) * | 1998-03-12 | 2012-02-15 | Whale Comm Ltd | Verfahren zur absicherung von datenvermittlungsnetzwerken |
| US8010627B1 (en) * | 1998-09-25 | 2011-08-30 | Sprint Communications Company L.P. | Virtual content publishing system |
| IL126587A (en) * | 1998-10-15 | 2004-12-15 | Computer Ass Think Inc | A method and system for preventing unwanted actions of activatable objects |
| KR20000058227A (ko) * | 1999-06-08 | 2000-10-05 | 강달수 | 외부네트웍과 내부네트웍의 정보가 별도로 처리되는 보안시스템 및 그 제어방법 |
| US6535227B1 (en) * | 2000-02-08 | 2003-03-18 | Harris Corporation | System and method for assessing the security posture of a network and having a graphical user interface |
| GB0027280D0 (en) * | 2000-11-08 | 2000-12-27 | Malcolm Peter | An information management system |
| US20020101932A1 (en) * | 2000-11-29 | 2002-08-01 | Montgomery Dennis L. | Method and apparatus for encoding information using multiple passes and decoding in a single pass |
| US20020107961A1 (en) * | 2001-02-07 | 2002-08-08 | Naoya Kinoshita | Secure internet communication system |
| JP2002312316A (ja) * | 2001-04-13 | 2002-10-25 | Sumisho Computer Systems Corp | 不正アクセス防止装置および方法、不正アクセス防止用プログラム、記録媒体 |
| JP2003122615A (ja) | 2001-10-11 | 2003-04-25 | Just Syst Corp | ファイル処理方法とこの方法にて利用可能なファイル処理装置 |
| JP2004021557A (ja) * | 2002-06-14 | 2004-01-22 | Hitachi Ltd | プログラム、情報処理方法、情報処理装置、及び記憶装置 |
| US7248563B2 (en) * | 2002-07-31 | 2007-07-24 | International Business Machines Corporation | Method, system, and computer program product for restricting access to a network using a network communications device |
| JP2004185312A (ja) * | 2002-12-03 | 2004-07-02 | Canon Inc | 文書管理装置 |
| EP1619586A4 (en) * | 2003-04-25 | 2008-10-15 | Fujitsu Ltd | ANTIVIRUS PROGRAM AND THE SAME FOR MESSAGE TRANSMISSION |
| JP2004336619A (ja) | 2003-05-12 | 2004-11-25 | Sony Corp | 機器間認証システム及び機器間認証方法、通信機器、並びにコンピュータ・プログラム |
| JP2005130214A (ja) * | 2003-10-23 | 2005-05-19 | Shimane Univ | 文書漏洩検出管理システム、その方法及びプログラム |
| JP4368184B2 (ja) * | 2003-11-19 | 2009-11-18 | 株式会社日立製作所 | ブラックリストによる緊急アクセス遮断装置 |
| JP2006085401A (ja) * | 2004-09-16 | 2006-03-30 | Hitachi Ltd | ストレージ装置及びストレージ装置のパケットサイズ制御方法 |
| US7827148B2 (en) * | 2005-01-17 | 2010-11-02 | Kabushiki Kaisha Toshiba | Medical equipment having audit log managing function |
| DE102005016561B4 (de) * | 2005-04-11 | 2008-01-31 | Siemens Ag | Verfahren und Vorrichtung zur strukturierten Erfassung und Bearbeitung von in einem System auftretenden Problemen |
| US8667106B2 (en) * | 2005-05-20 | 2014-03-04 | At&T Intellectual Property Ii, L.P. | Apparatus for blocking malware originating inside and outside an operating system |
| US7870173B2 (en) * | 2005-10-13 | 2011-01-11 | International Business Machines Corporation | Storing information in a common information store |
| US8627490B2 (en) * | 2005-12-29 | 2014-01-07 | Nextlabs, Inc. | Enforcing document control in an information management system |
| CN1996901A (zh) * | 2006-01-06 | 2007-07-11 | 鸿富锦精密工业(深圳)有限公司 | 网络数据通信监控系统及方法 |
| JP4487954B2 (ja) * | 2006-02-28 | 2010-06-23 | ソニー株式会社 | データ記録装置、データ記録方法、及びプログラム |
| JP3994126B1 (ja) * | 2006-09-14 | 2007-10-17 | クオリティ株式会社 | 情報管理システム、情報管理サーバ、および情報管理サーバ用プログラム |
| US8103764B2 (en) * | 2008-10-14 | 2012-01-24 | CacheIQ, Inc. | Method and apparatus for matching trigger pattern |
| US8396873B2 (en) * | 2010-03-10 | 2013-03-12 | Emc Corporation | Index searching using a bloom filter |
-
2007
- 2007-10-25 CN CN200780101273.3A patent/CN101836212B/zh not_active Expired - Fee Related
- 2007-10-25 JP JP2009537860A patent/JP5263169B2/ja not_active Expired - Fee Related
- 2007-10-25 WO PCT/JP2007/070796 patent/WO2009054056A1/ja active Application Filing
- 2007-10-25 EP EP07830530.7A patent/EP2204757B1/en not_active Not-in-force
- 2007-10-25 KR KR1020107007235A patent/KR101124551B1/ko not_active IP Right Cessation
-
2010
- 2010-04-23 US US12/766,017 patent/US8626915B2/en not_active Expired - Fee Related
-
2013
- 2013-12-04 US US14/096,164 patent/US8898248B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US20100205300A1 (en) | 2010-08-12 |
| JP5263169B2 (ja) | 2013-08-14 |
| EP2204757B1 (en) | 2014-06-25 |
| US8898248B2 (en) | 2014-11-25 |
| EP2204757A4 (en) | 2012-03-21 |
| KR20100063777A (ko) | 2010-06-11 |
| JPWO2009054056A1 (ja) | 2011-03-03 |
| WO2009054056A1 (ja) | 2009-04-30 |
| CN101836212A (zh) | 2010-09-15 |
| US8626915B2 (en) | 2014-01-07 |
| US20140095647A1 (en) | 2014-04-03 |
| KR101124551B1 (ko) | 2012-03-16 |
| EP2204757A1 (en) | 2010-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101836212B (zh) | 信息提供方法、中继方法、信息保持装置、中继器 | |
| US11757835B2 (en) | System and method for implementing content and network security inside a chip | |
| US11201883B2 (en) | System, method, and apparatus for data loss prevention | |
| US10212134B2 (en) | Centralized management and enforcement of online privacy policies | |
| US9413785B2 (en) | System and method for interlocking a host and a gateway | |
| US8316446B1 (en) | Methods and apparatus for blocking unwanted software downloads | |
| US6721890B1 (en) | Application specific distributed firewall | |
| JP2016053979A (ja) | 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法 | |
| EP1766494A1 (en) | Method and system for isolating suspicious email | |
| JP2007323428A (ja) | ボット検出装置、ボット検出方法、およびプログラム | |
| KR20040065674A (ko) | 통합형 호스트 기반의 보안 시스템 및 방법 | |
| Susilo et al. | Personal firewall for Pocket PC 2003: design & implementation | |
| CN107819787B (zh) | 一种防止局域网计算机非法外联系统及其方法 | |
| JP5682650B2 (ja) | 情報中継方法、及び中継器 | |
| JP7523002B2 (ja) | 電子メール送信管理装置 | |
| JP2014038591A (ja) | 情報提供方法、中継方法、情報保持装置、中継器 | |
| KR20160052978A (ko) | 스마트폰을 이용한 서버의 침입탐지 모니터링 시스템 | |
| JP2011186728A (ja) | ユーザ端末保護方法、およびシステム | |
| CN117857192A (zh) | 网闸 | |
| Kamthe et al. | Email security: The challenges of network security | |
| JP2007266960A (ja) | 通信制御装置、通信制御プログラム | |
| US20080148385A1 (en) | Sectionalized Terminal System And Method | |
| CN107395655A (zh) | 一种使用黑名单控制网络访问的系统和方法 | |
| Astaro | Security Target for |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190214 Address after: Kanagawa Patentee after: Fujitsu Personal Computer Co., Ltd. Address before: Kanagawa Patentee before: Fujitsu Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151014 Termination date: 20181025 |