一種局域網(wǎng)數(shù)據(jù)安全防護系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種數(shù)據(jù)安全防護系統(tǒng),更具體的說是涉及一種局域網(wǎng)內(nèi)的數(shù)據(jù)防護系統(tǒng)。
【背景技術(shù)】
[0002]隨著信息化的發(fā)展,單位越來越多的利用計算機進行日常辦公操作,單位內(nèi)部大量的數(shù)據(jù)信息及重要資料都是以電子文件的形式存在,如何能更好的保證單位內(nèi)部重要數(shù)據(jù)信息及資料的安全性、保密性,防止重要資料被非法擴散造成信息泄密,又能使得這些電子文件被合法人員合理的高效的使用,是各單位比較關(guān)注的問題。
[0003]而對于大型單位來說,其網(wǎng)絡(luò)環(huán)境復雜、基層單位多、分布廣,辦公環(huán)境差異大,電腦終端多。如何構(gòu)建一種不影響工作效率的全方位防泄密環(huán)境是大型單位難解之題。而防泄密環(huán)境的構(gòu)建一般需要同時完成網(wǎng)絡(luò)數(shù)據(jù)安全建設(shè)和終端數(shù)據(jù)安全建設(shè);網(wǎng)絡(luò)數(shù)據(jù)安全建設(shè)現(xiàn)階段技術(shù)已經(jīng)趨于成熟,且針對網(wǎng)絡(luò)層數(shù)據(jù),對用戶的工作效率幾乎不影響。而終端是直接面向用戶,在終端數(shù)據(jù)安全建設(shè)中對工作效率有很大影響。如何把終端建設(shè)的即安全又便捷是防泄密環(huán)境構(gòu)建工作的重點。
[0004]針對以上問題,現(xiàn)有技術(shù)一般采用如下方法之一:
[0005]1.把視角集中在終端上的防護方法:以終端為防護點的主要特征是在各終端上安裝管控軟件,限制計算機終端上類外部接口的使用,如usb接口和光驅(qū)接口,極大的限制了計算機終端的便捷性,現(xiàn)有技術(shù)方法有:基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法(專利:201110323798.X)、單機安全防護系統(tǒng)(專利:201310356953.7)等。
[0006]2.把視角集中在電子文件上的防護方法:電子文件包括相關(guān)政策、法規(guī)、決議、籌劃、計劃、方案、報告、歷年業(yè)務資料等,對于黨政、軍事、科研、商業(yè)、企業(yè)等領(lǐng)域而言,電子文件是最主要的敏感載體,也是發(fā)生泄密事件的主要途徑。管住電子文件,即可實現(xiàn)終端數(shù)據(jù)安全。基于電子文件為防護點的主要特征是:對終端的電子文件進行加密,依據(jù)服務器分發(fā)的策略對電子文件進行解密訪問等。加密文件在工作流轉(zhuǎn)過程中所需的解密策略各不相同,需要花費大量時間定制不同的解密策略。主要的方法有:文件安全防范系統(tǒng)(專利-201310388918.3)。
[0007]3.把視角集中在用戶上的防護方法:主要特征是采用權(quán)限控制技術(shù),為用戶分配角色及權(quán)限,符合條件的用戶才能敏感的數(shù)據(jù)。防止非授權(quán)用戶有意或無意對文件的操作導致文件的破壞。用戶的角色和權(quán)限隨人員的變化而變化。管理員需要時時跟蹤人員的變化。
[0008]以上各種方式或各種方式的組合均會對用戶使用計算機終端造成影響,對文件的使用習慣造成影響,嚴重影響工作效率。
【發(fā)明內(nèi)容】
[0009]針對上述解決方案的弱點,本發(fā)明提出如下解決大型單位中接入特定網(wǎng)絡(luò)環(huán)境下的終端數(shù)據(jù)安全的問題的思路與方法,同時保證工作效率不受影響:
[0010]在大型單位中,終端可能會處于不同的網(wǎng)絡(luò)環(huán)境中,為了更全面、更有效的防護終端數(shù)據(jù)安全,不能單純的以終端、文件、用戶為中心,需要把防護的視角提高個層次,把計算機終端用戶按照部門或業(yè)務類型的不同分為不同的局域網(wǎng),以局域網(wǎng)為中心來集中防護終端數(shù)據(jù)安全,把終端的敏感數(shù)據(jù)轉(zhuǎn)移到局域網(wǎng)中集中管理。
[0011]通過分配個人區(qū)方式把終端上敏感數(shù)據(jù)進行集中管理,通過存儲加密、通道加密方式保證敏感數(shù)據(jù)在任何狀態(tài)下都是安全的,個人區(qū)由用戶自主操作控制,可以自主的利用多種權(quán)限方式共享敏感數(shù)據(jù)給其他人員,使得敏感文件均處于可控狀態(tài)。通過備份模塊備份敏感數(shù)據(jù);通過USbkey保證訪問者的物理身份與數(shù)字身份的一致性的同時,完成外帶數(shù)據(jù)安全存儲和安全使用。
[0012]敏感數(shù)據(jù)僅在顯示時內(nèi)存中的數(shù)據(jù)是明文,并對內(nèi)存數(shù)據(jù)進行管控;在存儲狀態(tài)、傳輸狀態(tài),都是密文存在,確保了重要信息數(shù)據(jù)無論采取任何技術(shù)手段拿到的也只是加密后的亂碼文件,沒有合法的使用身份、訪問權(quán)限、正確的安全通道,所有重要的文件都是密文狀態(tài),確保了數(shù)據(jù)無論在何時、何地、何種狀態(tài)下都是安全的。在嚴密的防泄密環(huán)境下不影響用戶的工作效率。
[0013]具體來說,本發(fā)明設(shè)置一種局域網(wǎng)數(shù)據(jù)安全防護的系統(tǒng),包括計算機、局域網(wǎng)絡(luò),
[0014]所述系統(tǒng)設(shè)置集控存儲設(shè)備,單個計算機不設(shè)置存儲設(shè)備,計算機通過局域網(wǎng)訪問集控存儲設(shè)備存儲數(shù)據(jù);
[0015]所述集控存儲設(shè)備劃分為個人用戶區(qū)和群用戶區(qū),個人用戶區(qū)供單個用戶對數(shù)據(jù)進行操作,包括增、刪、改、上傳、下載、打印,共享,群用戶區(qū)供多個用戶對數(shù)據(jù)進行操作,包括增、刪、改、上傳、下載、打印;
[0016]用戶將存儲在所述集控存儲設(shè)備中的數(shù)據(jù)復制至外部存儲設(shè)備時,必須通過具有加密安全存儲區(qū)的usbkey。
[0017]所述usbkey包括如下模塊:
[0018]A.用戶認證usbkey使用者身份;
[0019]B.對外帶文件的加密;
[0020]C.對外帶文件的解密;
[0021]D.對外帶文件的所做操作的記錄;
[0022]E.對外帶文件的防復制。
[0023]用戶編輯所述系統(tǒng)中存儲在集控存儲設(shè)備中的數(shù)據(jù)時,采用如下三種內(nèi)存管理方法之一:
[0024]A.計算機不使用計算機本地的內(nèi)存空間,將集控存儲設(shè)備中部分映射到終端為本地磁盤,在映射磁盤中設(shè)置虛擬內(nèi)存空間,文件的內(nèi)存數(shù)據(jù)均緩存在虛擬內(nèi)存空間中,系統(tǒng)通過虛擬內(nèi)存空間防護內(nèi)核對數(shù)據(jù)進行安全控制,保證在編輯過程中內(nèi)存信息都控制在虛擬內(nèi)存空間內(nèi),并對編輯進程進行防泄密控制(防打印、拷屏、內(nèi)容復制粘貼、拖拽、屏幕取詞、網(wǎng)絡(luò)發(fā)送)
[0025]B.計算機使用計算機本地的內(nèi)存空間,對訪問數(shù)據(jù)的進程進行防泄密操作控制,禁止對數(shù)據(jù)進行打印、拷屏、內(nèi)容復制粘貼、拖拽、屏幕取詞、網(wǎng)絡(luò)發(fā)送操作。
[0026]C.計算機不使用計算機本地的內(nèi)存空間,計算機在存儲在集控存儲設(shè)備中的數(shù)據(jù)時,在usbkey中設(shè)置虛擬內(nèi)存空間,數(shù)據(jù)的內(nèi)存數(shù)據(jù)均緩存在usbkey中,系統(tǒng)通過usbkey防護內(nèi)核對數(shù)據(jù)進行安全控制,保證在編輯過程中內(nèi)存信息都控制在usbkey內(nèi),禁止對數(shù)據(jù)進行打印、拷屏、內(nèi)容復制粘貼、拖拽、屏幕取詞、網(wǎng)絡(luò)發(fā)送操作。
[0027]所述局域網(wǎng)與另一局域網(wǎng)交換數(shù)據(jù)時:
[0028]A.一局域網(wǎng)與另一局域網(wǎng)之間設(shè)置專用數(shù)據(jù)安全通道;
[0029]B.一局域網(wǎng)中用戶指定文件后,先選擇另一局域網(wǎng)的集控存儲設(shè)備,再選擇另一局域網(wǎng)內(nèi)的用戶名,并指定共享權(quán)限后,把通過專用數(shù)據(jù)安全通道安全的共享給另一局域網(wǎng)的被選擇用戶;
[0030]C.另一局域網(wǎng)的被選擇用戶登錄自己網(wǎng)內(nèi)的集控存儲設(shè)備,通過專用數(shù)據(jù)安全通道,安全的跨網(wǎng)訪問共享數(shù)據(jù)。
[0031]所述系統(tǒng)具備用戶間消息通信模塊,用戶通過消息通信模塊進行自動的共享通知、即時通信和非在線留言,并可閱讀與回復。
[0032]所述系統(tǒng)具備日志記錄模塊,日志記錄模塊記錄系統(tǒng)中數(shù)據(jù)全生命周期的日志,及usbkey中脫離系統(tǒng)的可回收的日志記錄。
【附圖說明】
[0033]圖1是系統(tǒng)安全劃區(qū)及管理模塊示意圖
[0034]圖2是系統(tǒng)安全共享模塊示意圖
[0035]圖3是系統(tǒng)日志模塊示意圖
[0036]圖4是在跨局域網(wǎng)時用戶之間進行數(shù)據(jù)共享示意圖
【具體實施方式】
[0037]下面結(jié)合圖示來說明該發(fā)明的一種具體實施方法:
[0038]1、安全劃區(qū)及管理模塊
[0039]如圖1,系統(tǒng)對集中存儲空間進行隔離,劃分出相互隔離的空間,把空間分配給每個用戶個人使用,也可以把空間作為公共區(qū)分配給某特定群體人使用,通過公共區(qū)和個人區(qū)來集中管理文件,公共區(qū)中存放的是整個公司或某個業(yè)務部門的公共文件,個人區(qū)中存放的是個人用戶的個人文件,分區(qū)所有者可對其所屬分區(qū)進行權(quán)限管理,如將分區(qū)中的文件或文件夾授權(quán)給他人訪問。終端上不保留任何敏感文件信息。
[0040]管理員可以為整個局域網(wǎng)或每個部門或某個業(yè)務創(chuàng)建一個公共區(qū),為每個員工創(chuàng)建一個個人區(qū)。個人區(qū)用于存放員工個人有關(guān)的文件??臻g與空間之間的內(nèi)容在未授權(quán)的情況下無法互相訪問,空間由終端用戶自己管理維護,包括文件的上傳、讀、寫、刪、打印、下載等以及文件權(quán)限包括:讀、寫、刪、打印的分配。相比于與以文件為中心的防護方法,管理與可以不必操心用戶文件流轉(zhuǎn)過程中的權(quán)限設(shè)置問題。
[0041]2、加密模塊,存儲加密,數(shù)據(jù)傳輸通道加密
[0042]3、靈活的安全共享模塊
[0043]用戶自主操作,靈活、安全、可控數(shù)據(jù)共享,不需要管理員的參與,用戶可以自主把文件共享