(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111608085.8 (22)申请日 2021.12.23 (71)申请人 北京明朝万达科技股份有限公司 地址 100142 北京市海淀区阜外亮甲店1号 恩济西园产业园16号楼B座 (72)发明人 张振鑫　喻波　王志海　安鹏　 秦凯　 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/06(2022.01) H04L 67/01(2022.01) (54)发明名称 一种对基于SMB协 议的数据防泄漏的方法及 装置 (57)摘要 本发明提供一种基于SMB协议的数据防泄漏 方法及装置方法及装置， 所述方法包括： 防泄漏 策略模块配置防泄漏策略； 当用户基于SMB协议 传输数据和/或文件时， 所述网络重定向模块确 定是否需要拦截该传输操作； 若需要拦截， 则拦 截该传输操作， 并由网络重定向模块将该传输操 作相关的数据和/或文件的信息转发至数据传输 模块； 所述数据传输模块获取所述数据及文件的 监管方式， 根据所述数据及 文件的监管方式确定 所述数据和/或文件是否允许传输， 若允许， 使用 SMB协议向目标地址发送所述数据和/或文件， 方 法结束； 若 不允许， 则拦截该传输操作。 根据本发 明的方案， 实现对基于SMB协议进行数据共享时 的防泄漏。 权利要求书2页 说明书6页 附图2页 CN 114285646 A 2022.04.05 CN 114285646 A 1.一种基于SMB协议的数据防泄漏的方法， 其特 征在于， 所述方法包括以下步骤： 步骤S101： 防泄漏策略模块配置防泄漏策略， 将数据传输所允许的IP范围、 文件传输所 允许的IP范围发送给网络重定向模块， 将数据及文件的监管方式发送给数据传输模块； 所 述防泄漏策略包括数据及文件的监管方式、 数据传输所允许的IP范围、 文件传输所允许的 IP范围； 所述监管方式包含是否根据文件名 称监管、 是否对数据加密、 是否对文件内容监 管； 步骤S102： 当用户基于SMB协议传输数据和/或文件时， 所述网络重定向模块依据所述 数据传输所允许的IP范围、 文件传输所允许的IP范围， 确定是否需要拦截该传输操作； 若需 要拦截， 则拦截该传输操作， 并由网络重定向模块将该传输操作相关的数据和/或文件的信 息转发至数据传输模块， 文件监控模块获取该传输操作相关的数据和/或文件在本地磁盘 的绝对路径； 所述文件监控模块获取该传输操作相关的数据和/或文件在本地磁盘的绝对 路径的方式为： 所述文件监控模块基于所述传输操作对应的数据所属的文件名和/或传输 操作对应的文件的文件名， 获取所述传输操作对应的数据所属的文件和/或传输操作对应 的文件在本地磁盘的绝对路径； 进入步骤S103； 若不需要拦截， 则传输数据和/或文件， 方法 结束； 步骤S103： 所述数据传输模块获取所述数据及文件的监管方式， 根据所述数据及文件 的监管方式确定所述数据和 /或文件是否允许传输， 若允许， 使用SMB协议向目标地址发送 所述数据和/或文件， 方法结束； 若不允许， 则拦截该传输操作， 方法结束。 2.如权利 要求1所述的方法， 其特征在于， 所述步骤S102， 拦截该传输操作的同时， 记录 该传输操作的日志， 用于后续的统计分析。 3.如权利要求1所述的方法， 其特征在于， 所述步骤S103， 所述根据所述数据及文件的 监管方式确定所述数据和/或文件是否允许传输， 包括： 步骤S1031： 所述数据传输模块从所述网络重定向模块获取传输操作对应的数据所属 的文件名和/或传输操作对应的文件的文件名； 步骤S1032： 基于所述文件监控模块获取的绝对路径获取文件的实体内容， 根据所述数 据及文件的监管 方式确定所述数据和/或文件是否允许传输 。 4.如权利要求3所述的方法， 其特征在于， 在所述步骤S1032之后， 若允许传输， 将登录 请求发送到用户认证模块， 由所述用户认证模块获取用户登录信息， 在确认登录信息正确 后， 通知数据传输模块， 由所述数据传输模块使用SMB协议发起数据和/或文件传输 。 5.一种基于SMB协议的数据防泄漏的装置， 其特 征在于， 所述装置包括： 配置模块： 配置为防泄漏策略模块配置防泄漏策略， 将数据传输所允许的IP范围、 文件 传输所允许的IP范围发送给网络重定向模块， 将数据及文件的监管方式发送给数据传输模 块； 所述防泄漏策略包括数据及文件的监管方式、 数据传输所允许的IP范围、 文件传输所允 许的IP范围； 所述监管方式包含是否根据文件名称监管、 是否对数据加密、 是否对文件内容 监管； 重定向模块： 配置为当用户基于SMB协议传输数据和/或文件时， 所述网络重定向模块 依据所述数据传输所允许的IP范围、 文件传输所允许的IP范围， 确定是否需要拦截该传输 操作； 若需要拦截， 则拦截该传输操作， 并由网络重定 向模块将该传输操作相关的数据和/ 或文件的信息转发至数据传输模块， 文件监控模块获取该传输操作相关的数据和/或文件权　利　要　求　书 1/2 页 2 CN 114285646 A 2在本地磁盘的绝对路径； 所述文件监控模块获取该传输操作相关的数据和/或文件在本地 磁盘的绝对路径的方式为： 所述文件监控模块基于所述传输操作对应的数据所属的文件名 和/或传输操作对应的文件的文件名， 获取所述传输操作对应的数据所属的文件和/或传输 操作对应的文件在本地磁盘的绝对路径； 触发监管模块； 若不需要拦截， 则传输数据和/或 文件； 监管模块： 配置为所述数据传输模块获取所述数据及文件的监管方式， 根据所述数据 及文件的监管方式确定所述数据和/或文件是否允许传输， 若允许， 使用SMB协议向目标地 址发送所述数据和/或文件； 若不允许， 则拦截该传输操作。 6.如权利要求5所述的装置， 其特征在于， 所述重定向模块， 还包括： 拦截该传输操作的 同时， 记录该传输操作的日志， 用于后续的统计分析。 7.如权利要求5所述的装置， 其特 征在于， 所述 监管模块， 包括： 路径获取子模块： 配置为所述数据传输模块从所述网络重定向模块获取传输操作对应 的数据所属的文件名和/或传输操作对应的文件的文件名； 判断子模块： 配置为基于所述文件监控模块获取的绝对路径获取文件的实体内容， 根 据所述数据及文件的监管 方式确定所述数据和/或文件是否允许传输 。 8.如权利要求7所述的装置， 其特征在于， 所述监管模块包括传输子模块， 配置为若允 许传输， 将登录请求发送到用户认证模块， 由所述用户认证模块 获取用户登录信息， 在确认 登录信息正确后， 通知数据传输模块， 由所述数据传输模块使用SMB协议发起数据和 /或文 件传输。 9.一种基于SMB协议的数据防泄漏的系统， 其特 征在于， 包括： 处理器， 用于执 行多条指令； 存储器， 用于存 储多条指令； 其中， 所述多条指令， 用于由所述存储器存储， 并由所述处理器加载并执行如权利要求 1‑4之任一项所述方法。 10.一种计算机可读存储介质， 其特征在于， 所述存储介质中存储有多条指令； 所述多 条指令， 用于由处 理器加载并执 行如权利要求1 ‑4之任一项所述方法。权　利　要　求　书 2/2 页 3 CN 114285646 A 3