應用程式的控管模塊與其方法
2023-05-11 16:36:26 1
專利名稱:應用程式的控管模塊與其方法
技術領域:
本發明為一種關於應用程式的控管模塊與其方法,具體來說,是一種關 於限制客戶端應用程式操作權限的模塊與方法。
背景技術:
因為信息科技的發展,各企業均日漸依賴計算機協助其業務的推展;但 信息科技的普及同時也伴隨著風險,來自外部的攻擊,例如病毒、後門程序、 系統漏洞攻擊等威脅亦隨之日增,因此企業的信息防護即成為重要課題。
關於信息安全的威脅除了來自外部的攻擊,更可能來自內部的不當使用; 相當多調査發現對於企業信息安全的威脅源其實來自於員工惡意的行為與非 惡意的失誤操作,因此企業內部關於應用軟體的不當使用與信息存取行為, 實為暗藏信息安全威脅之處,如何解決內部信息安全問題,是企業所必須面 臨的重要安全課題。
目前關於企業內部信息安全管理,多以伺服器端與客戶端構成一管理模 塊,由中央伺服器端對於客戶端上的操作行為加以控管;所以市面上軟體多 可以達到異地管理與控制,對多臺客戶端計算機加以實時監控與根據客戶端 授權層級,為相對應限制的功能。但是目前所述的這種控管模塊,只能針對 企業內部對於外部信息的存取,例如對瀏覽外部網頁,或自特定網址下載程 序的行為加以限制,而且僅能做到阻絕程序操作或網頁的存取,而不能僅是 限制特定功能操作,例如目前監控模塊尚不能作到可瀏覽外部網頁但對於特 定網頁信息的儲存,剪貼網頁等操作加以限制的功能。因此如何在使用者在 使用企業內部信息時,例如企業員工使用企業資源規畫(ERP : Enterprise Resource Planning)系統時,有效率管理使用者操作行為,防止使用者惡意操 作或不當操作,造成信息安全管理上的漏洞,實為急待解決的問題。
發明內容
本發明揭露一種可限制客戶端上應用程式與網頁操作與管理與更新相關 權限數據的控制模塊與方法,以解決上述問題。
本發明揭露一種關於控制客戶端程序與網頁操作的模塊與方法,本發明
至少包含一輸入端(console)、 一伺服器端(server)與一客戶端(client);其中輸 入端的功能為負責接收或傳遞變更權限指令;伺服器端的功能則包含:根據輸 入端所傳入的指令變更伺服器端所儲存的權限數據、通知客戶端所述的變更 權限事件,與更新儲存於客戶端的權限數據;客戶端則可根據伺服器端的通 知信息取得更新的權限數據,並據以限制客戶端應用程式的操作權限。通過 上述模塊與方法,本發明即可達到限制客戶端程序操作的目的。
本發明還揭露一種集中控管複數客戶端應用軟體操作的模塊與方法,以 達到實時與統一控制數客戶端的目的。在關於本發明的一具體實施例中,服 務器端與客戶端均包含一資料庫;上述資料庫包含以一組權限數據儲存表與 控制指針,通過權限數據儲存表上的記錄與所述的控制指針間的互動對應關 系,即可在伺服器端統一管理與更新複數客戶端關於應用程式操作的權限數 據。
圖1顯示關於本發明的應用程式控管模塊。
圖2顯示關於本發明的控管應用程式的方法流程圖。
輸入端10
伺服器端20
數據接收與傳遞單元21
處理單元22
資料庫單元23
客戶端30變更權限101
通知變更權限102 收到權限變更通知201 通知權限變更202 在資料庫取得新權限數據203 將新權限數據傳回204 收到權限變更通知301 下載新權限設定302 取得新權限設定303 新權限設定生效30具體實施例方式
本發明將配合其較佳實施例與附圖詳述如下,應理解的是本發明中所有 的較佳實施例僅為示例之用,因此除說明書中所述的較佳實施例與參考圖示 外,本發明亦可廣泛地應用在其它實施例中。且本發明並不受限於任何實施 例,應以權利要求範圍及其同等領域而定。
圖1顯示關於本發明的一具體實施例,所述的控制模塊包含一輸入端10、 一伺服器端20與一客戶端30,其中輸入端10功能為接收與傳輸受控管應用 程序操作權限指令;伺服器端20則可儲存前述權限數據、在輸入端10與客 戶端30間傳遞關於操作權限的數據與更新客戶端30上儲存的操作權限數據; 客戶端30則可根據伺服器所傳來的變更權限事件信息,更新客戶端上儲存的 操作權限數據,並據以限制客戶端上應用程式的操作權限。以上述架構,控 制模塊即可限制客戶端的應用程式的操作。關於本發明的控制模塊可適用於 家庭、辦公室環境等內部網絡環境中,但並不限於此;所述的模塊尚可以應 用於任何有控制客戶端應用程式操作需要的網絡環境,例如圖書館、網絡咖 啡廳等等空間。
關於上述實施例中控制模塊的功能可以更詳述如下。上述控制模塊中輸入端10,功能為接收與輸出使用者所輸入指令,以通知伺服器端20變更數 據庫中儲存的權限數據;上述的輸入指令包含新增、修改、刪除關於限制或 開放受控管應用程式特定功能與查詢所述的項目狀態的變更權限指令。更特 定言之,上述變更權限指令中,關於限制特定應用程式操作功能的項目包括: 禁止列印特定信息、禁用複製特定信息、禁用鍵盤、禁用另存新文件與禁用 滑鼠拖曳特定信息等功能;在另一具體實施例中,尚包括限制網頁信息存取 功能,其項目包括:禁止列印、禁用複製特定信息、禁用鍵盤、禁用另存新文 件與禁用滑鼠拖曳數據、禁止以郵件傳送網頁、禁止檢視原始檔。
關於本發明的一具體實施例中,上述輸入端為一使用者接口,使用者可 通過點選接口上的選項,控管特定應用程式的操作權限。使用者可點選使用 者接口的功能鍵,例如禁用特定功能選項,即可開啟一窗口分區,所述的窗 口內區分數欄位包含所述的受控管軟體名稱、類型與功能選項。使用者可點 選畫面上方的修改選項在窗口中輸入受控管的程序名稱,即可開啟權限功能 設定窗口,輸入權限功能設定信息。上述權限功能設定窗口包含複數個預先 設計的欄位,使用者可根據各欄位對應的功能加以勾選,即可開啟或關閉特 定功能,完成輸入端的輸入。
關於本發明的另一具體實施例為關於限制控制網頁的操作,在所述的具 體實施例中,操作接口與上述控管特定應用程式的操作接口相似,但使用者 所輸入的控制標的為一網址。
在本發明的具體實施例中,伺服器端20包含以下功能接收輸入端輸入 的變更權限指令,儲存、更新與傳遞關於客戶端的受控管應用程式權限數據。
伺服器20包含一數據接收與傳遞單元21 、 一處理單元22與一資料庫單 元23。數據接收與傳遞單元21可接收來自輸入端10的變更權限信息,之後 將數據傳遞予處理單元22,處理單元22根據所述的變更權限信息,更改數 據庫單元23中的權限數據,並通過數據接收與傳遞單元21發出變更權限通 知,通知客戶端30所述的權限變更事件的發生。伺服器端20則在接收到客戶端30所傳回權限數據下載請求後,即會傳送一變更權限數據予客戶端30, 以更新客戶端30上儲存的應用軟體權限數據。上述的伺服器20亦包含如內 存、作業系統、硬碟、顯示單元等的其它構件,然而本領域具有通常知識的 人應得以理解,為避免模糊本發明的焦點,故不贅述。輸入端與客戶端亦同。
更特定言之,在關於本發明的一具體實施例中,上述數據接收與傳遞單 元21利用TCP通訊協議,通知客戶端30下載權限數據,並以不同代號代表 應用程式權限數據與網址權限數據;而通知客戶端權限數據更新的事件使用 UDP協議。在關於本發明的另一具體實施例中,自上述數據接收與傳遞單元 21所傳送的權限數據包含對應於客戶端受控管的應用程式或網頁的指針數 據,以使客戶端得以確定所要更新的權限數據。
上述用於儲存權限數據的資料庫23包含一組數據表與控制指針,用以紀 錄與更新關於客戶端上儲存的應用程式權限數據。在關於本發明的一具體實 施例中,上述數據表至少包含兩數據表:信息安全行為(security—acticm)與信息
安全策略(securityjdicy)執行權限數據操作限制功能,其中信息安全行為 (security—action)為紀錄包含但不限於受控管的應用程式、指令、網址或網頁 等的行為或模式,信息安全策略(securityjolicy)紀錄包含但不限於關於特定 應用程式、指令、網址或網頁的權限數據。信息安全行為子資料庫中至少包 含以下欄位辨識表(id)為一指標欄位,用於與其它工作表產生關聯、分類表 Ccategory)用於紀錄應用程式、指令、網址或網址的類型、標的名稱 (target一name)用於紀錄受控管應用程式執行文件名或受控管網址、標的類型 (targetjype)用於紀錄受控管標的類型。Securityjx)licy表則是紀錄受控管應 用程序或網址的權限限制數據。信息安全策略表中量化(value)欄為紀錄一指 針數據,所述的指針與軟體行為(software— action)中辨識(id)欄位中指針數據 具相對應關係,以使兩數據表產生關聯關係;解除行為(Disabledjction)欄則 是紀錄所述的應用程式或網址所要被限制的權限,所述的欄位可寫入特定數 值,表示所述的行為被管控,不能使用。客戶端模塊30則至少包含以下功能:自伺服器端接受信息、自伺服器端 下載權限數據與設定權限數據。在一具體實施例中,客戶端包含一權限控制 單元,例如一另外植入的權限控制程序,以實施上述客戶端的功能。於另一 具體實施例中,客戶端包含一資料庫用於儲存客戶端權限數據。上述資料庫 包括一組數據表與控制指針,其中數據表記載客戶端受控管的應用程式數據, 且各受控制標的的數據包含一控制指針與伺服器端上相同受控制標的的控制 指標具相對應關係,因此客服端方可在下載伺服器新權限數據後,找出相對 應的受控制應用程式權限數據並加以更新。
關於本發明的另一具體實施例中,控制模塊可為上述實施例之中控制模 塊的複數組合,以完成一多層次的控制模塊;此多層次的控制模塊可根據不 同授權層級,限制各伺服器可更動的權限數據,以達到分級管理的目的。在 所述的具體實施例中,包含一中央伺服器與複數臺周邊伺服器以及客戶端計 算機。中央伺服器的資料庫儲存各周邊伺服器權限數據,周邊伺服器除儲存 所述的周邊伺服器權限數據,還儲存特定區域內客戶端上應用程式的權限數 據。在上述多階層架構下,由一中央伺服器統一管理各周邊伺服器上權限數 據的狀態與更新,周邊伺服器則根據不同需求,不同授權層級,開放不同的 權限數據變更權限,以管理客戶端的應用程式,以此一控管架構即可達成分 級,分區授權的信息安全管理架構,管理客戶端計算機上應用程式的操作。 如此除可迅速更新複數臺客戶端的權限外,並可避免需手動逐區更新伺服器 權限數據時,所可能發生的錯誤。
圖2顯示關於權限更新流程的具體實施例;使用者可通過輸入端在步驟 101輸入變更權限並更改伺服器端的權限數據,並在後續步驟102發出信息 通知伺服器端所述的變更權限信息事件。步驟201表示伺服器端20收到上述 變更權限信息,並在下一步驟202中,發出信息通知客戶端所述的變更權限 事件的存在。客戶端在步驟301中收到伺服器端傳來的權限設定變更信息後, 即在後續步驟302發送信息要求自伺服器端下載新權限設定。在後續步驟203中,資料庫根據由步驟302所傳來的信息,取出上述更新後的權限數據,並 在步驟204將上述更新後的權限數據傳送給客戶端。客戶端在步驟303中取 得由伺服器端所傳送來的新權限數據後,在步驟304中更新客戶端的權限設 定。
在另一具體實施例中,關於本發明的權限更新流程尚可應用於多部外圍 伺服器的情形,在此實施例中,其更新流程與圖2所顯示的流程類似,但各 周邊伺服器可由一中央伺服器管理,在本具體實施例中,伺服器端的變更權 限指令由中央伺服器端下載,但根據對各伺服器或使用者所開放的權限,也 可由各伺服器的輸入端輸入權限數據。是故通過一中央伺服器的設置,將復 數個與圖2相同的更新流程互相組合,即可達到分層、分區的應用軟體操作 權限管理。
本發明以較佳實施例說明如上,然其並非用以限定本發明所主張的專利 權利範圍。其專利保護範圍當視權利要求範圍及其等同領域而定。凡具有本 領域通常知識的人,在不脫離本專利精神或範圍內,所作的更動或潤飾,均 屬於本發明所揭示精神下所完成的等效改變或設計,且應包含在權利要求範 圍內。
權利要求
1.一種應用程式控管模塊,至少包含一輸入端,可輸入權限數據;一伺服器端,至少包含一資料庫與一輸出入單元,其中所述的資料庫可儲存所述的權限數據與指針數據,用以執行信息安全行為及信息安全策略模式,輸出入單元可接收與傳遞所述的權限數據;一客戶端,至少包含一權限控管單元,可儲存、接收與傳遞所述的權限數據,並據以限制客戶端上的所述的應用軟體的操作權限。
2. 根據權利請求1所述的應用程式控管模塊,其特徵在於,所述的權限 控管單元可限制使用者因一定目的,自所述的客戶端上的應用軟體輸出數據;其中上述的輸出至少包含以指針裝置拖曳數據,所述的目的至少包含用於復 制、列印、儲存。
3. 根據權利請求1所述的應用程式控管模塊,其特徵在於,所述的權限 控管單元可限制使用者對所述的客戶端上的應用軟體使用輸出入裝置輸入指 令。
4. 根據權利請求1所述的應用程式控管模塊,其特徵在於,所述的權限 控管單元可限制使用者檢視客戶端的網頁原始碼。
5. 根據權利請求1所述的應用程式控管模塊,其特徵在於,所述的權限 控管單元可限制使用者使用通訊軟體。
6. —種以控管模塊限制應用程式操作權限的方法,至少包含 在伺服器端接收一變更權限信息;更改伺服器端的資料庫內權限數據,其中所述的資料庫可儲存所述的權 限數據與指針數據,用以執行信息安全行為及信息安全策略模式-,客戶端於收到所述的伺服器端傳遞的變更權限通知後,下載所述的權限 數據;更新客戶端的權限數據。
7. 根據權利請求6所述的以控管模塊限制應用程式操作權限的方法,其 特徵在於,可限制使用者因一定目的,自所述的客戶端輸出數據;其中上述 的輸出至少包含以指針裝置拖曳數據,所述的目的至少包含用於複製、列印、 儲存。
8. 根據權利請求6所述的以控管模塊限制應用程式操作權限的方法,其特徵在於,可限制使用者使用輸出入裝置輸入指令。
9. 根據權利請求6所述的以控管模塊限制應用程式操作權限的方法,其 特徵在於,可限制使用者檢視網頁原始碼。
10. 根據權利請求6所述的以控管模塊限制應用程式操作權限的方法,其 特徵在於,可限制使用者使用通訊軟體。
全文摘要
本發明揭露一種應用程式的控管模塊與其方法,本發明通過輸入端更改儲存於伺服器端關於客戶端應用程式與網頁操作的權限數據,並依所述的權限數據,進行伺服器端與客戶端間權限數據交換與更新,以此達到管理客戶端上應用程式操作權限的功能。
文檔編號G06F21/00GK101320415SQ20071010857
公開日2008年12月10日 申請日期2007年6月6日 優先權日2007年6月6日
發明者黃文昌 申請人:精品科技股份有限公司