本发明涉及网络安全,具体而言,涉及一种文件传输控制方法、装置、系统、设备及存储介质。
背景技术:
1、目前,大部分企业均设置有内外网,以满足内部办公、外部互联的需求。考虑到企业的重要文件具有保密性,为了避免重要文件泄露,通常要在内外网边界进行文件传输控制。现有的文件传输控制方法主要是针对企业文件配置黑白名单,根据黑白名单来判断是否允许在内外网之间传输用户选择的文件,这使得任一用户可随意进行文件传输操作,容易使黑白名单被恶意篡改,且配置黑白名单的方式固化了文件过滤规则,难以面向企业日益增加的重要文件进行通用的文件传输控制,因此,采用现有的文件传输控制方案在内外网之间传输文件仍存在较大的安全风险。
技术实现思路
1、本发明实施例的目的在于提供一种文件传输控制方法、装置、系统、设备及存储介质,用以实现在不同网络之间安全传输文件的技术效果。
2、第一方面,本发明实施例提供了一种文件传输控制方法,包括:
3、对访问网络节点服务器的第一用户进行用户认证,并在认证所述第一用户为中心管理服务器集中配置的任一规则配置管理员时,响应所述第一用户发起的文件过滤规则配置请求,配置文件过滤规则;
4、对访问所述网络节点服务器的第二用户进行用户认证,并在认证所述第二用户为所述中心管理服务器集中配置的任一文件传输管理员时,响应所述第二用户发起的文件传输请求,根据所述文件过滤规则,选择是否传输目标文件。
5、在上述实现过程中,通过仅允许被认证为中心管理服务器集中配置的任一规则配置管理员的用户配置文件过滤规则,以及仅允许被认证为中心管理服务器集中配置的任一文件传输管理员的用户启动文件传输流程,根据先前配置的文件过滤规则,选择是否传输目标文件,采用这种由中心管理服务器集中授权,由网络节点服务器分权管理的文件传输控制方式,能够避免任一用户恶意篡改文件过滤规则和随意启动文件传输流程,使得单一用户无法自行完成文件传输,从而实现在不同网络之间安全传输文件。
6、进一步地,所述中心管理服务器架设在网络边界。
7、在上述实现过程中,通过将中心管理服务器架设在网络边界,能够使网络节点服务器快速访问中心管理服务器,获取中心管理服务器集中配置的所有规则配置管理员和所有文件传输管理员,有利于提高文件传输控制效率。
8、进一步地,所述在认证所述第一用户为中心管理服务器集中配置的任一规则配置管理员时,响应所述第一用户发起的文件过滤规则配置请求,配置文件过滤规则,还包括:
9、响应所述第一用户发起的权限限制范围划分请求,划分各个所述文件传输管理员的权限限制范围;
10、响应所述第一用户发起的目标文件密标设置请求,设置所述目标文件的密标。
11、在上述实现过程中,通过仅允许被认证为中心管理服务器集中配置的任一规则配置管理员的用户去划分各个文件传输管理员的权限限制范围和设置目标文件的密标,采用这种由中心管理服务器集中授权,由网络节点服务器分权管理的文件传输控制方式,能够进一步限制各个文件传输管理员的文件操作权限,使得文件传输管理员在没有目标文件的文件操作权限的情况下仍无法完成文件传输,从而更好地实现在不同网络之间安全传输文件。
12、进一步地,所述响应所述第二用户发起的文件传输请求,根据所述文件过滤规则,选择是否传输目标文件,具体包括:
13、响应所述文件传输请求,从所述文件传输请求中提取所述目标文件,获取所述目标文件的密标,以及获取所述第二用户对应的权限限制范围;
14、根据所述目标文件的密标和所述第二用户对应的权限限制范围,校验所述第二用户是否具有所述目标文件的传输权限;
15、当确定所述第二用户具有所述目标文件的传输权限时,继续根据所述文件过滤规则,选择是否传输所述目标文件。
16、在上述实现过程中,通过根据目标文件的密标和第二用户对应的权限限制范围,校验第二用户是否具有目标文件的传输权限,能够在传输目标文件之前对第二用户进行权限校验,避免没有目标文件的文件操作权限的文件传输管理员传输目标文件,从而更好地实现在不同网络之间安全传输文件。
17、进一步地,所述根据所述目标文件的密标和所述第二用户对应的权限限制范围,校验所述第二用户是否具有所述目标文件的传输权限,具体包括:
18、根据所述第二用户对应的权限限制范围,获取所述第二用户的密级;
19、判断所述目标文件的密标是否小于等于所述第二用户的密级,若所述目标文件的密标小于等于所述第二用户的密级,则确定所述第二用户具有所述目标文件的传输权限,否则确定所述第二用户不具有所述目标文件的传输权限。
20、在上述实现过程中,通过以密级划分各个文件传输管理员的权限限制范围,能够灵活划分各个文件传输管理员的权限限制范围,进一步限制各个文件传输管理员的文件操作权限,使得文件传输管理员在没有目标文件的文件操作权限的情况下仍无法完成文件传输,从而更好地实现在不同网络之间安全传输文件。
21、进一步地,在所述根据所述文件过滤规则,选择是否传输目标文件之前,还包括:
22、检查是否有配置所述文件过滤规则,并在核定未配置文件过滤规则时,发送规则配置提示信息。
23、在上述实现过程中,通过在响应第二用户发起的文件传输请求的过程中,先检查是否有配置文件过滤规则,再在核定未配置文件过滤规则时,发送规则配置提示信息,在核定有配置文件过滤规则,继续根据文件过滤规则,选择是否传输目标文件,能够保证在文件传输前有效进行文件过滤,避免目标文件未经文件过滤处理即传输出去,从而更好地实现在不同网络之间安全传输文件。
24、进一步地,所述根据所述文件过滤规则,选择是否传输目标文件,具体包括:
25、判断所述目标文件是否符合所述文件过滤规则,若所述目标文件符合所述文件过滤规则,则允许传输所述目标文件,否则拒绝传输所述目标文件。
26、在上述实现过程中,通过仅允许被认证为中心管理服务器集中配置的任一规则配置管理员的用户配置文件过滤规则,能够灵活配置文件过滤规则,使得文件传输控制粒度可粗可细,且在传输目标文件之前根据文件过滤规则对目标文件进行文件过滤,能精准到无特征的任意文件,有利于适应复杂的业务需求。
27、第二方面,本发明实施例提供一种文件传输控制装置,包括:
28、文件过滤规则配置模块,用于对访问网络节点服务器的第一用户进行用户认证,并在认证所述第一用户为中心管理服务器集中配置的任一规则配置管理员时,响应所述第一用户发起的文件过滤规则配置请求,配置文件过滤规则;
29、文件传输控制模块,用于对访问所述网络节点服务器的第二用户进行用户认证,并在认证所述第二用户为所述中心管理服务器集中配置的任一文件传输管理员时,响应所述第二用户发起的文件传输请求,根据所述文件过滤规则,选择是否传输目标文件。
30、在上述实现过程中,通过文件过滤规则配置模块,仅允许被认证为中心管理服务器集中配置的任一规则配置管理员的用户配置文件过滤规则,以及通过文件传输控制模块,仅允许被认证为中心管理服务器集中配置的任一文件传输管理员的用户启动文件传输流程,根据先前配置的文件过滤规则,选择是否传输目标文件,采用这种由中心管理服务器集中授权,由网络节点服务器分权管理的文件传输控制方式,能够避免任一用户恶意篡改文件过滤规则和随意启动文件传输流程,使得单一用户无法自行完成文件传输,从而实现在不同网络之间安全传输文件。
31、进一步地,所述中心管理服务器架设在网络边界。
32、在上述实现过程中,通过将中心管理服务器架设在网络边界,能够使网络节点服务器快速访问中心管理服务器,获取中心管理服务器集中配置的所有规则配置管理员和所有文件传输管理员,有利于提高文件传输控制效率。
33、第三方面,本发明实施例提供一种文件传输控制系统,包括中心管理服务器和至少一个网络节点服务器;各个所述网络节点服务器均与所述中心管理服务器通信连接;
34、所述中心管理服务器,用于集中配置至少一个规则配置管理员和至少一个文件传输管理员;
35、所述网络节点服务器,用于执行如上所述的文件传输控制方法。
36、在上述实现过程中,通过应用文件传输控制系统,由中心管理服务器集中配置至少一个规则配置管理员和至少一个文件传输管理员,由网络节点服务器执行如上所述的文件传输控制方法,能够达到与之相同的有益效果。
37、第四方面,本发明实施例提供一种电子设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序;所述存储器与所述处理器耦接,且所述处理器执行所述计算机程序时实现如上所述的文件传输控制方法。
38、在上述实现过程中,应用电子设备,通过处理器执行计算机程序时实现如上所述的文件传输控制方法,能够达到与之相同的有益效果。
39、第五方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序;其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上所述的文件传输控制方法。
40、在上述实现过程中,通过在计算机程序运行时控制计算机可读存储介质所在设备执行如上所述的文件传输控制方法,能够达到与之相同的有益效果。