專利名稱:應用程序的控管模塊與其方法
技術領域:
本發明為一種關于應用程序的控管模塊與其方法,具體來說,是一種關 于限制客戶端應用程序操作權限的模塊與方法。
背景技術:
因為信息科技的發展,各企業均日漸依賴計算機協助其業務的推展;但 信息科技的普及同時也伴隨著風險,來自外部的攻擊,例如病毒、后門程序、 系統漏洞攻擊等威脅亦隨之日增,因此企業的信息防護即成為重要課題。
關于信息安全的威脅除了來自外部的攻擊,更可能來自內部的不當使用; 相當多調査發現對于企業信息安全的威脅源其實來自于員工惡意的行為與非 惡意的失誤操作,因此企業內部關于應用軟件的不當使用與信息存取行為, 實為暗藏信息安全威脅之處,如何解決內部信息安全問題,是企業所必須面 臨的重要安全課題。
目前關于企業內部信息安全管理,多以服務器端與客戶端構成一管理模 塊,由中央服務器端對于客戶端上的操作行為加以控管;所以市面上軟件多 可以達到異地管理與控制,對多臺客戶端計算機加以實時監控與根據客戶端 授權層級,為相對應限制的功能。但是目前所述的這種控管模塊,只能針對 企業內部對于外部信息的存取,例如對瀏覽外部網頁,或自特定網址下載程 序的行為加以限制,而且僅能做到阻絕程序操作或網頁的存取,而不能僅是 限制特定功能操作,例如目前監控模塊尚不能作到可瀏覽外部網頁但對于特 定網頁信息的儲存,剪貼網頁等操作加以限制的功能。因此如何在使用者在 使用企業內部信息時,例如企業員工使用企業資源規畫(ERP : Enterprise Resource Planning)系統時,有效率管理使用者操作行為,防止使用者惡意操 作或不當操作,造成信息安全管理上的漏洞,實為急待解決的問題。
發明內容
本發明揭露一種可限制客戶端上應用程序與網頁操作與管理與更新相關 權限數據的控制模塊與方法,以解決上述問題。
本發明揭露一種關于控制客戶端程序與網頁操作的模塊與方法,本發明
至少包含一輸入端(console)、 一服務器端(server)與一客戶端(client);其中輸 入端的功能為負責接收或傳遞變更權限指令;服務器端的功能則包含:根據輸 入端所傳入的指令變更服務器端所儲存的權限數據、通知客戶端所述的變更 權限事件,與更新儲存于客戶端的權限數據;客戶端則可根據服務器端的通 知信息取得更新的權限數據,并據以限制客戶端應用程序的操作權限。通過 上述模塊與方法,本發明即可達到限制客戶端程序操作的目的。
本發明還揭露一種集中控管復數客戶端應用軟件操作的模塊與方法,以 達到實時與統一控制數客戶端的目的。在關于本發明的一具體實施例中,服 務器端與客戶端均包含一數據庫;上述數據庫包含以一組權限數據儲存表與 控制指針,通過權限數據儲存表上的記錄與所述的控制指針間的互動對應關 系,即可在服務器端統一管理與更新復數客戶端關于應用程序操作的權限數 據。
圖1顯示關于本發明的應用程序控管模塊。
圖2顯示關于本發明的控管應用程序的方法流程圖。
輸入端10
服務器端20
數據接收與傳遞單元21
處理單元22
數據庫單元23
客戶端30變更權限101
通知變更權限102 收到權限變更通知201 通知權限變更202 在數據庫取得新權限數據203 將新權限數據傳回204 收到權限變更通知301 下載新權限設定302 取得新權限設定303 新權限設定生效30具體實施例方式
本發明將配合其較佳實施例與附圖詳述如下,應理解的是本發明中所有 的較佳實施例僅為示例之用,因此除說明書中所述的較佳實施例與參考圖示 外,本發明亦可廣泛地應用在其它實施例中。且本發明并不受限于任何實施 例,應以權利要求范圍及其同等領域而定。
圖1顯示關于本發明的一具體實施例,所述的控制模塊包含一輸入端10、 一服務器端20與一客戶端30,其中輸入端10功能為接收與傳輸受控管應用 程序操作權限指令;服務器端20則可儲存前述權限數據、在輸入端10與客 戶端30間傳遞關于操作權限的數據與更新客戶端30上儲存的操作權限數據; 客戶端30則可根據服務器所傳來的變更權限事件信息,更新客戶端上儲存的 操作權限數據,并據以限制客戶端上應用程序的操作權限。以上述架構,控 制模塊即可限制客戶端的應用程序的操作。關于本發明的控制模塊可適用于 家庭、辦公室環境等內部網絡環境中,但并不限于此;所述的模塊尚可以應 用于任何有控制客戶端應用程序操作需要的網絡環境,例如圖書館、網絡咖 啡廳等等空間。
關于上述實施例中控制模塊的功能可以更詳述如下。上述控制模塊中輸入端10,功能為接收與輸出使用者所輸入指令,以通知服務器端20變更數 據庫中儲存的權限數據;上述的輸入指令包含新增、修改、刪除關于限制或 開放受控管應用程序特定功能與查詢所述的項目狀態的變更權限指令。更特 定言之,上述變更權限指令中,關于限制特定應用程序操作功能的項目包括: 禁止打印特定信息、禁用復制特定信息、禁用鍵盤、禁用另存新文件與禁用 鼠標拖曳特定信息等功能;在另一具體實施例中,尚包括限制網頁信息存取 功能,其項目包括:禁止打印、禁用復制特定信息、禁用鍵盤、禁用另存新文 件與禁用鼠標拖曳數據、禁止以郵件傳送網頁、禁止檢視原始檔。
關于本發明的一具體實施例中,上述輸入端為一使用者接口,使用者可 通過點選接口上的選項,控管特定應用程序的操作權限。使用者可點選使用 者接口的功能鍵,例如禁用特定功能選項,即可開啟一窗口分區,所述的窗 口內區分數字段包含所述的受控管軟件名稱、類型與功能選項。使用者可點 選畫面上方的修改選項在窗口中輸入受控管的程序名稱,即可開啟權限功能 設定窗口,輸入權限功能設定信息。上述權限功能設定窗口包含復數個預先 設計的字段,使用者可根據各字段對應的功能加以勾選,即可開啟或關閉特 定功能,完成輸入端的輸入。
關于本發明的另一具體實施例為關于限制控制網頁的操作,在所述的具 體實施例中,操作接口與上述控管特定應用程序的操作接口相似,但使用者 所輸入的控制標的為一網址。
在本發明的具體實施例中,服務器端20包含以下功能接收輸入端輸入 的變更權限指令,儲存、更新與傳遞關于客戶端的受控管應用程序權限數據。
服務器20包含一數據接收與傳遞單元21 、 一處理單元22與一數據庫單 元23。數據接收與傳遞單元21可接收來自輸入端10的變更權限信息,之后 將數據傳遞予處理單元22,處理單元22根據所述的變更權限信息,更改數 據庫單元23中的權限數據,并通過數據接收與傳遞單元21發出變更權限通 知,通知客戶端30所述的權限變更事件的發生。服務器端20則在接收到客戶端30所傳回權限數據下載請求后,即會傳送一變更權限數據予客戶端30, 以更新客戶端30上儲存的應用軟件權限數據。上述的服務器20亦包含如內 存、操作系統、硬盤、顯示單元等的其它構件,然而本領域具有通常知識的 人應得以理解,為避免模糊本發明的焦點,故不贅述。輸入端與客戶端亦同。
更特定言之,在關于本發明的一具體實施例中,上述數據接收與傳遞單 元21利用TCP通訊協議,通知客戶端30下載權限數據,并以不同代號代表 應用程序權限數據與網址權限數據;而通知客戶端權限數據更新的事件使用 UDP協議。在關于本發明的另一具體實施例中,自上述數據接收與傳遞單元 21所傳送的權限數據包含對應于客戶端受控管的應用程序或網頁的指針數 據,以使客戶端得以確定所要更新的權限數據。
上述用于儲存權限數據的數據庫23包含一組數據表與控制指針,用以紀 錄與更新關于客戶端上儲存的應用程序權限數據。在關于本發明的一具體實 施例中,上述數據表至少包含兩數據表:信息安全行為(security—acticm)與信息
安全策略(securityjdicy)執行權限數據操作限制功能,其中信息安全行為 (security—action)為紀錄包含但不限于受控管的應用程序、指令、網址或網頁 等的行為或模式,信息安全策略(securityjolicy)紀錄包含但不限于關于特定 應用程序、指令、網址或網頁的權限數據。信息安全行為子數據庫中至少包 含以下字段辨識表(id)為一指標字段,用于與其它工作表產生關聯、分類表 Ccategory)用于紀錄應用程序、指令、網址或網址的類型、標的名稱 (target一name)用于紀錄受控管應用程序執行文件名或受控管網址、標的類型 (targetjype)用于紀錄受控管標的類型。Securityjx)licy表則是紀錄受控管應 用程序或網址的權限限制數據。信息安全策略表中量化(value)欄為紀錄一指 針數據,所述的指針與軟件行為(software— action)中辨識(id)字段中指針數據 具相對應關系,以使兩數據表產生關聯關系;解除行為(Disabledjction)欄則 是紀錄所述的應用程序或網址所要被限制的權限,所述的字段可寫入特定數 值,表示所述的行為被管控,不能使用。客戶端模塊30則至少包含以下功能:自服務器端接受信息、自服務器端 下載權限數據與設定權限數據。在一具體實施例中,客戶端包含一權限控制 單元,例如一另外植入的權限控制程序,以實施上述客戶端的功能。于另一 具體實施例中,客戶端包含一數據庫用于儲存客戶端權限數據。上述數據庫 包括一組數據表與控制指針,其中數據表記載客戶端受控管的應用程序數據, 且各受控制標的的數據包含一控制指針與服務器端上相同受控制標的的控制 指標具相對應關系,因此客服端方可在下載服務器新權限數據后,找出相對 應的受控制應用程序權限數據并加以更新。
關于本發明的另一具體實施例中,控制模塊可為上述實施例之中控制模 塊的復數組合,以完成一多層次的控制模塊;此多層次的控制模塊可根據不 同授權層級,限制各服務器可更動的權限數據,以達到分級管理的目的。在 所述的具體實施例中,包含一中央服務器與復數臺周邊服務器以及客戶端計 算機。中央服務器的數據庫儲存各周邊服務器權限數據,周邊服務器除儲存 所述的周邊服務器權限數據,還儲存特定區域內客戶端上應用程序的權限數 據。在上述多階層架構下,由一中央服務器統一管理各周邊服務器上權限數 據的狀態與更新,周邊服務器則根據不同需求,不同授權層級,開放不同的 權限數據變更權限,以管理客戶端的應用程序,以此一控管架構即可達成分 級,分區授權的信息安全管理架構,管理客戶端計算機上應用程序的操作。 如此除可迅速更新復數臺客戶端的權限外,并可避免需手動逐區更新服務器 權限數據時,所可能發生的錯誤。
圖2顯示關于權限更新流程的具體實施例;使用者可通過輸入端在步驟 101輸入變更權限并更改服務器端的權限數據,并在后續步驟102發出信息 通知服務器端所述的變更權限信息事件。步驟201表示服務器端20收到上述 變更權限信息,并在下一步驟202中,發出信息通知客戶端所述的變更權限 事件的存在。客戶端在步驟301中收到服務器端傳來的權限設定變更信息后, 即在后續步驟302發送信息要求自服務器端下載新權限設定。在后續步驟203中,數據庫根據由步驟302所傳來的信息,取出上述更新后的權限數據,并 在步驟204將上述更新后的權限數據傳送給客戶端。客戶端在步驟303中取 得由服務器端所傳送來的新權限數據后,在步驟304中更新客戶端的權限設 定。
在另一具體實施例中,關于本發明的權限更新流程尚可應用于多部外圍 服務器的情形,在此實施例中,其更新流程與圖2所顯示的流程類似,但各 周邊服務器可由一中央服務器管理,在本具體實施例中,服務器端的變更權 限指令由中央服務器端下載,但根據對各服務器或使用者所開放的權限,也 可由各服務器的輸入端輸入權限數據。是故通過一中央服務器的設置,將復 數個與圖2相同的更新流程互相組合,即可達到分層、分區的應用軟件操作 權限管理。
本發明以較佳實施例說明如上,然其并非用以限定本發明所主張的專利 權利范圍。其專利保護范圍當視權利要求范圍及其等同領域而定。凡具有本 領域通常知識的人,在不脫離本專利精神或范圍內,所作的更動或潤飾,均 屬于本發明所揭示精神下所完成的等效改變或設計,且應包含在權利要求范 圍內。
權利要求
1.一種應用程序控管模塊,至少包含一輸入端,可輸入權限數據;一服務器端,至少包含一數據庫與一輸出入單元,其中所述的數據庫可儲存所述的權限數據與指針數據,用以執行信息安全行為及信息安全策略模式,輸出入單元可接收與傳遞所述的權限數據;一客戶端,至少包含一權限控管單元,可儲存、接收與傳遞所述的權限數據,并據以限制客戶端上的所述的應用軟件的操作權限。
2. 根據權利請求1所述的應用程序控管模塊,其特征在于,所述的權限 控管單元可限制使用者因一定目的,自所述的客戶端上的應用軟件輸出數據;其中上述的輸出至少包含以指針裝置拖曳數據,所述的目的至少包含用于復 制、打印、儲存。
3. 根據權利請求1所述的應用程序控管模塊,其特征在于,所述的權限 控管單元可限制使用者對所述的客戶端上的應用軟件使用輸出入裝置輸入指 令。
4. 根據權利請求1所述的應用程序控管模塊,其特征在于,所述的權限 控管單元可限制使用者檢視客戶端的網頁原始碼。
5. 根據權利請求1所述的應用程序控管模塊,其特征在于,所述的權限 控管單元可限制使用者使用通訊軟件。
6. —種以控管模塊限制應用程序操作權限的方法,至少包含 在服務器端接收一變更權限信息;更改服務器端的數據庫內權限數據,其中所述的數據庫可儲存所述的權 限數據與指針數據,用以執行信息安全行為及信息安全策略模式-,客戶端于收到所述的服務器端傳遞的變更權限通知后,下載所述的權限 數據;更新客戶端的權限數據。
7. 根據權利請求6所述的以控管模塊限制應用程序操作權限的方法,其 特征在于,可限制使用者因一定目的,自所述的客戶端輸出數據;其中上述 的輸出至少包含以指針裝置拖曳數據,所述的目的至少包含用于復制、打印、 儲存。
8. 根據權利請求6所述的以控管模塊限制應用程序操作權限的方法,其特征在于,可限制使用者使用輸出入裝置輸入指令。
9. 根據權利請求6所述的以控管模塊限制應用程序操作權限的方法,其 特征在于,可限制使用者檢視網頁原始碼。
10. 根據權利請求6所述的以控管模塊限制應用程序操作權限的方法,其 特征在于,可限制使用者使用通訊軟件。
全文摘要
本發明揭露一種應用程序的控管模塊與其方法,本發明通過輸入端更改儲存于服務器端關于客戶端應用程序與網頁操作的權限數據,并依所述的權限數據,進行服務器端與客戶端間權限數據交換與更新,以此達到管理客戶端上應用程序操作權限的功能。
文檔編號G06F21/00GK101320415SQ20071010857
公開日2008年12月10日 申請日期2007年6月6日 優先權日2007年6月6日
發明者黃文昌 申請人:精品科技股份有限公司