郵件敏感字過(guò)濾系統(tǒng)研究與實(shí)現(xiàn)

薛海偉，田崢，田建偉，漆文輝

(國(guó)網(wǎng)湖南省電力公司電力科學(xué)研究院，湖南 長(zhǎng)沙 410007)

郵件敏感字過(guò)濾系統(tǒng)研究與實(shí)現(xiàn)

薛海偉，田崢，田建偉，漆文輝

(國(guó)網(wǎng)湖南省電力公司電力科學(xué)研究院，湖南 長(zhǎng)沙 410007)

文中研究一套能夠識(shí)別關(guān)鍵字，并在用戶發(fā)送數(shù)據(jù)時(shí)，能夠自動(dòng)阻斷郵件的關(guān)鍵字過(guò)濾系統(tǒng)。該系統(tǒng)基于C/S模式的分層框架結(jié)構(gòu)進(jìn)行架構(gòu)設(shè)計(jì)，采用多層邏輯處理層體系結(jié)構(gòu)，能在對(duì)用戶透明的情況下，自動(dòng)阻斷含有敏感關(guān)鍵字的郵件。實(shí)驗(yàn)結(jié)果表明該系統(tǒng)能夠有效阻止含有敏感關(guān)鍵字的郵件。

數(shù)據(jù)包過(guò)濾；郵件系統(tǒng)；數(shù)據(jù)泄密

電子郵件 (E-mail)已經(jīng)成為互聯(lián)網(wǎng)上最基本的通訊工具。E-mail不僅支持簡(jiǎn)單的文本傳輸，采用MIME(Multipurpose Internet Mail Extensions)技術(shù)規(guī)范后，同時(shí)也支持二進(jìn)制文件、視頻、音頻數(shù)據(jù)傳輸。E-mail因其方便、快捷、信息多樣等特點(diǎn)，廣泛應(yīng)用于政府、學(xué)校以及其他企事業(yè)單位。

E-mail在給人們帶來(lái)方便的同時(shí)，也帶來(lái)了諸多安全問(wèn)題。其中E-mail泄密就是其中一個(gè)很重要的問(wèn)題。由于E-mail的方便性，企業(yè)員工只要能夠接入網(wǎng)絡(luò)，就可以很方便的收發(fā)郵件?；蛴幸狻⒒驘o(wú)意，企事業(yè)單位的數(shù)據(jù)隨時(shí)隨地面臨著郵件數(shù)據(jù)泄露的危險(xiǎn)，這主要體現(xiàn)在以下幾個(gè)方面:

(1)E-mail本身就是一條泄密通道

E-mail系統(tǒng)中內(nèi)部惡意用戶可主動(dòng)使用郵件系統(tǒng)發(fā)送敏感信息到外部網(wǎng)絡(luò)，造成泄密；E-mail系統(tǒng)中普通用戶可能因?yàn)槭韬龆?“不小心”發(fā)送敏感郵件至外部網(wǎng)絡(luò)，造成泄密。此外，郵件因?yàn)楸憬菪约捌毡樾?，通常不?huì)被防火墻攔截，因此大多數(shù)木馬會(huì)使用郵件方式盜取用戶的敏感信息。

(2)E-mail的存儲(chǔ)范圍難以控制

與普通的郵件不同，E-mail的收發(fā)雙方都會(huì)存儲(chǔ)E-mail至郵件服務(wù)器，即使E-mail用戶刪除了本地郵件，服務(wù)器上仍然存有E-mail數(shù)據(jù)。因此，如果用戶對(duì)服務(wù)器沒(méi)有控制權(quán)、或者郵件服務(wù)器遭到入侵，那么敏感數(shù)據(jù)很容易遭到泄露。此外，由于E-mail的便捷性，用戶很容易因?yàn)檗D(zhuǎn)發(fā)功能，而把敏感信息發(fā)送到外部網(wǎng)絡(luò)。

(3)E-mail數(shù)據(jù)容易在傳輸過(guò)程被截獲

E-mail數(shù)據(jù)在網(wǎng)絡(luò)中默認(rèn)是明文傳輸，因此用戶的數(shù)據(jù)很容易因?yàn)?“監(jiān)聽(tīng)”被惡意用戶盜取。即使使用了Secure Sockets Layer(SSL)對(duì)E-mail進(jìn)行加密傳輸，也只能保證用戶到郵件服務(wù)器之間的數(shù)據(jù)傳輸不能被監(jiān)聽(tīng)，而郵件服務(wù)器之間的數(shù)據(jù)傳輸仍然使用明文數(shù)據(jù)。因此敏感信息在郵件傳輸過(guò)程中容易被截獲。

當(dāng)前使用電子郵件的方法有兩種:通過(guò)客戶端(例如Foxmail)、通過(guò)瀏覽器 (例如IE瀏覽器)。這兩種方法中用戶發(fā)送的數(shù)據(jù)，都是由操作系統(tǒng)組裝成網(wǎng)絡(luò)數(shù)據(jù)包，通過(guò)網(wǎng)絡(luò)發(fā)送至外部郵件服務(wù)器。目前國(guó)內(nèi)外對(duì)互聯(lián)網(wǎng)數(shù)據(jù)過(guò)濾的方法主要是通過(guò)在互聯(lián)網(wǎng)出口部署攔截設(shè)備〔1－2〕，這種方法對(duì)于用戶較多，附件較大的郵件系統(tǒng)，無(wú)法實(shí)現(xiàn)實(shí)時(shí)阻斷。通過(guò)對(duì)當(dāng)前業(yè)內(nèi)行為上網(wǎng)設(shè)備的調(diào)研中發(fā)現(xiàn)，上網(wǎng)行為審計(jì)設(shè)備通常部署在網(wǎng)絡(luò)出口處，攔截含有敏感信息的數(shù)據(jù)。由于網(wǎng)絡(luò)出口數(shù)據(jù)流量大，帶寬要求高，因此對(duì)設(shè)備的性能要求也高。當(dāng)前這種方法可以對(duì)郵件的內(nèi)容進(jìn)行實(shí)時(shí)攔截，但對(duì)郵件的附件由于需要進(jìn)行數(shù)據(jù)緩存、數(shù)據(jù)包拼接等操作，現(xiàn)有硬件設(shè)備無(wú)法滿足網(wǎng)絡(luò)性能需求，因此只能進(jìn)行審計(jì)，無(wú)法實(shí)時(shí)攔截〔3－4〕，并且在一些特殊情況下郵件內(nèi)容攔截也可能發(fā)生遺漏〔5〕，導(dǎo)致攔截失效。此外，當(dāng)郵件被攔截時(shí)，用戶無(wú)法得到郵件發(fā)送失敗的原因。文獻(xiàn) 〔6〕給出了一種實(shí)時(shí)的郵件過(guò)濾方法，在郵件服務(wù)器上對(duì)用戶發(fā)送的數(shù)據(jù)進(jìn)行指紋識(shí)別，判斷郵件內(nèi)容是否存在敏感信息。當(dāng)郵件系統(tǒng)的用戶數(shù)量較少時(shí)，該方法可以做到實(shí)時(shí)過(guò)濾，但是當(dāng)用戶數(shù)量很大時(shí)，將會(huì)嚴(yán)重影響郵件服務(wù)器的性能，導(dǎo)致用戶無(wú)法及時(shí)收發(fā)郵件；此外這種方法需要在郵件服務(wù)器端對(duì)郵件系統(tǒng)進(jìn)行二次開(kāi)發(fā)，因此需要郵件服務(wù)提供商的支持和配合才能部署系統(tǒng)，對(duì)于現(xiàn)成的郵件系統(tǒng)，應(yīng)用難度較大。

針對(duì)上述問(wèn)題，文中提出一種基于C/S模式的郵件過(guò)濾系統(tǒng)。文中通過(guò)對(duì)主流社會(huì)郵箱 (包括網(wǎng)易、新浪、騰訊、搜狐)的郵件發(fā)送流程進(jìn)行研究，分析這些郵箱的傳輸協(xié)議，以及常見(jiàn)附件(如doc，docx，rar等)的數(shù)據(jù)格式，最終在用戶的主機(jī)上部署郵件攔截客戶端。當(dāng)用戶發(fā)送郵件時(shí)，直接在客戶端上進(jìn)行郵件內(nèi)容和附件的敏感字匹配，如果匹配成功，提示用戶被發(fā)送郵件或附件含有敏感詞，不能進(jìn)行發(fā)送，用戶發(fā)送的數(shù)據(jù)會(huì)在客戶端處被丟棄，郵件數(shù)據(jù)不會(huì)進(jìn)入傳輸網(wǎng)絡(luò)。文中設(shè)計(jì)的郵件過(guò)濾系統(tǒng)，可以對(duì)郵件的正文、郵件的標(biāo)題、附件名稱(chēng)、附件內(nèi)容進(jìn)行實(shí)時(shí)攔截，且對(duì)用戶透明。

1 郵件關(guān)鍵字過(guò)濾系統(tǒng)

敏感郵件關(guān)鍵字過(guò)濾系統(tǒng)的基本原理是，用戶發(fā)送郵件時(shí)，通過(guò)windows提供的系統(tǒng)調(diào)用接口來(lái)捕獲用戶的發(fā)送操作，在郵件發(fā)送之前，對(duì)郵件的標(biāo)題、正文、附件進(jìn)行關(guān)鍵字匹配。如果匹配成功，表明郵件含有敏感關(guān)鍵字，進(jìn)而根據(jù)系統(tǒng)策略處理；如果沒(méi)有匹配成功，表明用戶發(fā)送的郵件不包含敏感關(guān)鍵字，可直接放行。

1.1 系統(tǒng)架構(gòu)

敏感郵件關(guān)鍵字過(guò)濾系統(tǒng)是一種基于C/S架構(gòu)的郵件過(guò)濾系統(tǒng)。其系統(tǒng)架構(gòu)如圖1所示。其中服務(wù)器和客戶端的主要功能如下:

(1)服務(wù)器端:全局策略配置，可通過(guò)服務(wù)器配置整個(gè)系統(tǒng)的敏感關(guān)鍵字，以及發(fā)現(xiàn)關(guān)鍵字時(shí)執(zhí)行的安全動(dòng)作 (如，阻斷、報(bào)警、審計(jì)等)；策略下發(fā)，通過(guò)服務(wù)器可將全局的策略下發(fā)至客戶端，并使之生效；客戶端認(rèn)證，可通過(guò)服務(wù)器對(duì)每個(gè)客戶端的身份信息進(jìn)行認(rèn)證。

(2)客戶端:郵件攔截，通過(guò)LSP模塊對(duì)用戶發(fā)送的郵件進(jìn)行攔截；郵件內(nèi)容過(guò)濾，通過(guò)敏感字檢測(cè)模塊，對(duì)LSP攔截到的郵件數(shù)據(jù)進(jìn)行多關(guān)鍵字搜索，以確定郵件是否包含敏感關(guān)鍵字；策略實(shí)施，根據(jù)敏感字檢測(cè)模塊的搜索結(jié)果，實(shí)施服務(wù)器下發(fā)的策略，以決定是否對(duì)用戶發(fā)送的郵件進(jìn)行放行；策略更新，策略服務(wù)模塊完成策略更新操作，根據(jù)服務(wù)器下發(fā)的策略執(zhí)行更新，以實(shí)時(shí)調(diào)整客戶的安全策略；用戶配置，用戶可通過(guò)用戶界面對(duì)客戶端進(jìn)行自定義配置，例如可以額外添加系統(tǒng)關(guān)鍵字之外的敏感關(guān)鍵字。

圖1中的實(shí)線是發(fā)送郵件的數(shù)據(jù)流。在Windows平臺(tái)下，用戶通過(guò)瀏覽器或者郵件客戶端發(fā)送郵件時(shí)，首先會(huì)調(diào)用操作系統(tǒng)的分層服務(wù)提供商 (Layered Service Provider，LSP)模塊，該模塊會(huì)對(duì)用戶發(fā)送郵件的標(biāo)題、正文以及附件名稱(chēng)進(jìn)行過(guò)濾，當(dāng)發(fā)現(xiàn)含有敏感關(guān)鍵字時(shí)，則會(huì)阻斷用戶的發(fā)送操作，并通過(guò)策略服務(wù)模塊向用戶界面發(fā)送提示消息，提示用戶郵件被攔截。當(dāng)用戶發(fā)送附件時(shí)，最終會(huì)被運(yùn)行在內(nèi)核層的文件過(guò)濾驅(qū)動(dòng)捕獲，文件過(guò)濾驅(qū)動(dòng)模塊通過(guò)敏感字檢測(cè)模塊判斷附件是否包含關(guān)鍵字，進(jìn)而決策是否允許文件讀取操作。當(dāng)禁止文件讀取操作時(shí)，系統(tǒng)將通過(guò)內(nèi)核層的通信代理模塊以及用戶層的策略服務(wù)器模塊給用戶的界面發(fā)送提示消息，提示用戶附件含有關(guān)鍵字，禁止發(fā)送。

圖1中的虛線是原型系統(tǒng)的控制流。在服務(wù)器端可以通過(guò)策略配置終端配置系統(tǒng)的關(guān)鍵字，這些關(guān)鍵字將通過(guò)服務(wù)器端的策略下發(fā)模塊發(fā)送至客戶端的策略服務(wù)模塊。客戶端的策略服務(wù)模塊收到關(guān)鍵字時(shí)，便會(huì)更新內(nèi)核層的敏感字檢測(cè)模塊以及LSP中的敏感字檢測(cè)模塊。當(dāng)LSP、文件過(guò)濾驅(qū)動(dòng)檢測(cè)到郵件發(fā)送請(qǐng)求時(shí)，便會(huì)利用這些模塊進(jìn)行敏感字檢測(cè)。當(dāng)發(fā)現(xiàn)關(guān)鍵字時(shí)，就會(huì)阻斷用戶的發(fā)送操作，并利用控制流信道向用戶界面發(fā)送消息，提示用戶發(fā)現(xiàn)關(guān)鍵字。

圖1 敏感郵件關(guān)鍵字過(guò)濾系統(tǒng)架構(gòu)

敏感郵件關(guān)鍵字過(guò)濾系統(tǒng)共分為8個(gè)模塊: LSP過(guò)濾模塊、文件過(guò)濾驅(qū)動(dòng)模塊、策略服務(wù)模塊、通信代理模塊、敏感字檢測(cè)模塊、策略下發(fā)通信模塊、服務(wù)器策略配置界面、用戶界面。這些模塊的功能如下:

LSP過(guò)濾模塊:在客戶端捕獲系統(tǒng)中所有使用網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包，這些數(shù)據(jù)包包括本地使用瀏覽器發(fā)送郵件的數(shù)據(jù)包，也包括其它的應(yīng)用程序發(fā)送的數(shù)據(jù)包。LSP分析這些數(shù)據(jù)包，并截取與郵件相關(guān)的數(shù)據(jù)包，放行其它數(shù)據(jù)包。在截取郵件相關(guān)的數(shù)據(jù)包后，LSP將分析這些數(shù)據(jù)包，辨別數(shù)據(jù)包所使用協(xié)議，進(jìn)而判斷數(shù)據(jù)包發(fā)送的是郵件標(biāo)題，還是郵件的正文，還是附件。如果是附件，LSP過(guò)濾模塊將進(jìn)一步提取附件的文件名稱(chēng)。最后，LSP過(guò)濾模塊會(huì)將捕獲的數(shù)據(jù)包，以及數(shù)據(jù)包協(xié)議分析結(jié)果送至策略服務(wù)模塊進(jìn)行進(jìn)一步處理，并根據(jù)策略服務(wù)模塊的處理結(jié)果，依照系統(tǒng)的策略決定是否放行數(shù)據(jù)包。

策略服務(wù)模塊:策略服務(wù)模塊在收到LSP過(guò)濾模塊捕獲的數(shù)據(jù)包以及協(xié)議分析結(jié)果后對(duì)數(shù)據(jù)包進(jìn)行進(jìn)一步處理。

如果數(shù)據(jù)包內(nèi)容是郵件正文或者標(biāo)題，則直接調(diào)用敏感字檢測(cè)模塊，判斷所發(fā)送的數(shù)據(jù)包是否包含敏感字，并將結(jié)果反饋給LSP過(guò)濾模塊。如果包含敏感字，策略服務(wù)模塊同時(shí)會(huì)通知客戶端用戶界面模塊提示用戶所發(fā)送的郵件含有敏感字，并通知服務(wù)器以審計(jì)記錄。

如果數(shù)據(jù)包發(fā)送的是郵件附件，由于附件通常很大，一個(gè)數(shù)據(jù)包無(wú)法容納整個(gè)附件，因此對(duì)單個(gè)數(shù)據(jù)包的敏感字檢測(cè)并不能判斷郵件附件是否包含敏感關(guān)鍵字，尤其是當(dāng)郵件附件是壓縮格式時(shí)，只有收集齊所有數(shù)據(jù)包才能對(duì)附件進(jìn)行解壓縮，進(jìn)而判定附件是否存在敏感字。而對(duì)于容量很大的附件，緩存數(shù)據(jù)包的方式會(huì)嚴(yán)重影響系統(tǒng)效率，并且消耗大量系統(tǒng)資源。針對(duì)這一問(wèn)題，文中采用的方法是，當(dāng)發(fā)送附件時(shí)，LSP過(guò)濾模塊只攔截第一個(gè)數(shù)據(jù)包，并解析出附件的文件名，策略服務(wù)模塊使用該文件名向文件過(guò)濾驅(qū)動(dòng)查詢(xún)文件的路徑名，得到文件路徑名后，策略服務(wù)模塊將使用敏感字檢測(cè)模塊直接對(duì)磁盤(pán)上的文件進(jìn)行關(guān)鍵字匹配，如果沒(méi)有發(fā)現(xiàn)敏感字，則放行此后的數(shù)據(jù)包，如果有敏感字，則阻斷這個(gè)數(shù)據(jù)包。由于郵件協(xié)議中，包含文件名的第一個(gè)數(shù)據(jù)包如果沒(méi)有發(fā)送成功，后面的包也不會(huì)被發(fā)送，因此只需阻止第一個(gè)數(shù)據(jù)包的發(fā)送就可以阻斷郵件附件的發(fā)送操作。

文件過(guò)濾驅(qū)動(dòng)模塊:通過(guò)瀏覽器發(fā)送郵件過(guò)程中，發(fā)送附件的相關(guān)信息記錄在發(fā)送的數(shù)據(jù)包中。但是這些數(shù)據(jù)包只記錄了發(fā)送附件的名稱(chēng)，并沒(méi)有記錄所發(fā)送附件在本地磁盤(pán)上的路徑名。要想直接對(duì)磁盤(pán)上的附件進(jìn)行關(guān)鍵字過(guò)濾，就需要獲取所發(fā)送附件的本地磁盤(pán)路徑名。文件過(guò)濾驅(qū)動(dòng)會(huì)緩存瀏覽器最近訪問(wèn)的文件路徑名至操作系統(tǒng)內(nèi)核中，當(dāng)瀏覽器發(fā)送附件時(shí)，策略服務(wù)模塊會(huì)分析所發(fā)送附件的文件名，將文件名發(fā)送至文件過(guò)濾驅(qū)動(dòng)模塊，文件過(guò)濾驅(qū)動(dòng)模塊返回文件名的全路徑名稱(chēng)。

通信代理模塊:操作系統(tǒng)內(nèi)核無(wú)法直接與用戶層的應(yīng)用程序通信，通信代理模塊的功能是，在內(nèi)核層與應(yīng)用層的程序中建立起一條通信管道，用于文件過(guò)濾驅(qū)動(dòng)與策略服務(wù)模塊之間的數(shù)據(jù)通信。

策略下發(fā)模塊:運(yùn)行在服務(wù)器端，監(jiān)聽(tīng)一個(gè)特定的TCP端口，等待客戶端連接?？蛻舳说牟呗苑?wù)模塊啟動(dòng)后，將主動(dòng)連接至服務(wù)器，服務(wù)器的策略下發(fā)模塊則將系統(tǒng)策略實(shí)時(shí)發(fā)送至客戶端。同時(shí)策略下發(fā)模塊會(huì)根據(jù)客戶端發(fā)送過(guò)來(lái)的數(shù)據(jù)，進(jìn)行客戶端身份驗(yàn)證以及軟件有效性驗(yàn)證。

用戶界面:用戶端的界面有兩個(gè)功能:第一，當(dāng)用戶發(fā)送的郵件含有敏感字時(shí)，界面會(huì)彈出警示信息，提醒用戶；第二，用戶可以通過(guò)該界面查看系統(tǒng)已有策略以及敏感字，也可以通過(guò)該界面添加用戶自定義敏感字。

服務(wù)器策略配置界面:服務(wù)器端用于控制全局策略的用戶交互界面。

1.2 系統(tǒng)實(shí)現(xiàn)

文中在Windows平臺(tái)下實(shí)現(xiàn)了一個(gè)敏感郵件關(guān)鍵字過(guò)濾原型系統(tǒng)，其中:1)LSP過(guò)濾模塊采用了Windows服務(wù)提供接口 (SPI)技術(shù)實(shí)現(xiàn)，該模塊以DLL的形式存在，并在程序啟動(dòng)時(shí)自動(dòng)加載。2)策略服務(wù)模塊和服務(wù)器端的策略下發(fā)模塊采用Windows服務(wù)技術(shù)實(shí)現(xiàn)，以Windows Service的形式存在，當(dāng)系統(tǒng)啟動(dòng)時(shí)該服務(wù)將自動(dòng)開(kāi)啟。3)文件過(guò)濾驅(qū)動(dòng)采用Windows驅(qū)動(dòng)技術(shù)，以磁盤(pán)驅(qū)動(dòng)程序的形式存在，并在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載到操作系統(tǒng)內(nèi)核。4)敏感字檢測(cè)模塊以Windows靜態(tài)鏈接庫(kù)的方式存在，直接在代碼中調(diào)用該模塊即可。5)客戶端用戶界面和服務(wù)器端用戶界面采用開(kāi)源的圖形界面庫(kù)QT實(shí)現(xiàn)。

整個(gè)工程使用C＋＋語(yǔ)言開(kāi)發(fā)，共計(jì)代碼13K行。LSP過(guò)濾模塊的實(shí)現(xiàn)流程圖如圖2所示。

Capture單元負(fù)責(zé)捕獲數(shù)據(jù)包，并將捕獲的數(shù)據(jù)包交由E-mail單元；E-mail單元負(fù)責(zé)分析數(shù)據(jù)包是否是包含E-mail信息的數(shù)據(jù)包，如果不是E-mail數(shù)據(jù)包，則直接將數(shù)據(jù)包交給Pass Through單元，如果是，則將數(shù)據(jù)包交給 Analysis單元；Analysis單元對(duì)數(shù)據(jù)包的協(xié)議進(jìn)行分析，并將協(xié)議分析結(jié)果連同數(shù)據(jù)包一起交由策略服務(wù)模塊；策略服務(wù)模塊會(huì)分析被發(fā)送的數(shù)據(jù)是否包含敏感字，并返回敏感字的個(gè)數(shù)至Hits單元；Hits單元根據(jù)策略服務(wù)模塊的返回值判斷數(shù)據(jù)含有關(guān)鍵字的個(gè)數(shù)，如果含有關(guān)鍵字的個(gè)數(shù)大于零，在默認(rèn)系統(tǒng)策略下，系統(tǒng)會(huì)直接丟棄數(shù)據(jù)包，禁止用戶發(fā)送，否則將數(shù)據(jù)包交由Pass Through單元放行數(shù)據(jù)包。

策略服務(wù)模塊的實(shí)現(xiàn)流程圖如圖3所示。Load單元負(fù)責(zé)從LSP過(guò)濾模塊接收數(shù)據(jù)包和數(shù)據(jù)包協(xié)議分析結(jié)果；Attachment單元從數(shù)據(jù)包協(xié)議分析結(jié)果中判斷數(shù)據(jù)包是否在發(fā)送附件，如果是則交由文件過(guò)濾驅(qū)動(dòng)模塊處理，如果不是，則直接交由Analysis單元處理；文件過(guò)濾驅(qū)動(dòng)模塊會(huì)返回文件的全路徑名，并交由 Analysis單元處理；Analysis單元根據(jù)數(shù)據(jù)包類(lèi)型，調(diào)用敏感字檢測(cè)模塊檢測(cè)數(shù)據(jù)包是否含有敏感字，并將結(jié)果交由Return單元處理；Return單元直接返回結(jié)果給LSP過(guò)濾模塊。

2 總結(jié)

文中研究并實(shí)現(xiàn)一套能夠識(shí)別敏感關(guān)鍵字，并在用戶發(fā)送郵件時(shí)，能夠自動(dòng)阻斷敏感郵件的系統(tǒng)。文中的主要研究成果包括:

1)網(wǎng)絡(luò)數(shù)據(jù)捕獲技術(shù)研究:文中研究了在對(duì)用戶透明的情況下 (用戶感知不到系統(tǒng)的存在，目的是為了提高用戶體驗(yàn))，對(duì)用戶發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行捕獲的相關(guān)技術(shù)。

2)郵件附件關(guān)鍵字搜索技術(shù)研究:郵件附件通常是rar，zip，docx等壓縮格式的文件，并且郵件附件通常由多個(gè)數(shù)據(jù)包發(fā)送，因此當(dāng)前基于包過(guò)濾的方法無(wú)法實(shí)現(xiàn)對(duì)郵件附件的關(guān)鍵字搜索，文中提出并實(shí)現(xiàn)了一種基于文件過(guò)濾驅(qū)動(dòng)程序的方法對(duì)文件附件的內(nèi)容過(guò)濾。

文中最后實(shí)現(xiàn)了一個(gè)郵件敏感字過(guò)濾原型系統(tǒng)，測(cè)試結(jié)果表明該系統(tǒng)能夠有效地阻止用戶發(fā)送含有指定敏感字的郵件。

〔1〕柳岸，龍雅琴，古樂(lè)野.基于包過(guò)濾技術(shù)的網(wǎng)絡(luò)安全的研究〔J〕.計(jì)算機(jī)應(yīng)用，2006，26(9):2 160-2 161.

〔2〕陳志賢。垃圾郵件過(guò)濾技術(shù)研究綜述 〔J〕.計(jì)算機(jī)應(yīng)用研究，2009，26(5):1 612-1 615.

〔3〕程衛(wèi)華，尤晉元.基于內(nèi)容過(guò)濾的反垃圾郵件系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) 〔J〕.安徽大學(xué)學(xué)報(bào) (自然科學(xué)版)，2007，31(3): 30-33.

〔4〕高良誠(chéng)，侯整風(fēng).客戶端垃圾郵件過(guò)濾系統(tǒng) 〔J〕.安徽建筑工業(yè)學(xué)院學(xué)報(bào) (自然科學(xué)版)，2008，16(4):73-76.

〔5〕趙靜，劉培玉，許明英.郵件過(guò)濾中特征選擇方法的性能評(píng)價(jià)與分析 〔J〕.計(jì)算機(jī)應(yīng)用研究，2012，29(2):693-697.

〔6〕AGARWAL A，GAIKWAD M，GARG K，et al.Robust data leakage and E-mail filtering system 〔C〕.//2012 International Conference on Computing，Electronics and Electrical Technologies (ICCEET).IEEE，2012:1 032-1 035.

Research and implementation on e-mail sensitive data monitoring system

XUE Hai-wei，TIAN Zhen，TIAN Jian-wei，QI Wen-hui
(State Grid Hunan Electric Power Corporation Research Institute，Changsha 410007，China)

In this paper，an E-mail filter system is implemented，which can automatically prevent sending operation when E-mail data contain specific keywords.The system is based on C/S framework which adopts multi-layer logic processing layer structure，and can automatically block user's E-mail containing sensitive data.The experimental results show that the system can effectively prevent sensitive E-mail.

Packet filter；E-mail system；data leaking

10.3969/j.issn.1008-0198.2015.02.004

TP302.7；TP393.08

B

1008-0198(2015)02-0013-04

2014-09-17 改回日期:2015-01-05