一種信息系統(tǒng)的安全防護(hù)系統(tǒng)和方法
【專(zhuān)利摘要】本發(fā)明提供了一種信息系統(tǒng)的安全防護(hù)系統(tǒng)和方法���。該系統(tǒng)包括Web服務(wù)器(安全策略設(shè)定模塊�、客戶(hù)端管理模塊����、日志管理模塊)和客戶(hù)端(信息訪問(wèn)控制模塊、文件訪問(wèn)控制模塊����、文件下載監(jiān)控模塊、件訪問(wèn)日志記錄模塊����、加解密模塊、通信模塊����、策略更新模塊、客戶(hù)端基本信息模塊)����。策略更新模塊通過(guò)通信模塊獲取安全策略。信息訪問(wèn)控制模塊實(shí)時(shí)監(jiān)視并控制終端上所有訪問(wèn)信息系統(tǒng)的操作���。文件訪問(wèn)控制模塊實(shí)現(xiàn)對(duì)終端中的文件對(duì)象的訪問(wèn)操作進(jìn)行控制。文件訪問(wèn)日志記錄模塊實(shí)現(xiàn)對(duì)文件的所有操作進(jìn)行記錄���。文件下載模塊實(shí)時(shí)監(jiān)控終端文件下載并通知加密模塊進(jìn)行加密�。動(dòng)態(tài)加解密模塊位于移動(dòng)操作系統(tǒng)的內(nèi)核層,根據(jù)設(shè)定的安全策略實(shí)現(xiàn)對(duì)文件的加解密處理��。
【專(zhuān)利說(shuō)明】一種信息系統(tǒng)的安全防護(hù)系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種信息系統(tǒng)在安全防護(hù)系統(tǒng)和方法��,基于企業(yè)信息化系統(tǒng)在終端上應(yīng)用時(shí),通過(guò)Windows操作系統(tǒng)內(nèi)核級(jí)的動(dòng)態(tài)加解密技術(shù)����,可實(shí)現(xiàn)對(duì)信息化系統(tǒng)中信息數(shù)據(jù)的防護(hù),以避免通過(guò)終端進(jìn)行信息泄露的可能����。
[0002]縮略語(yǔ)及名詞解釋:
[0003]AP1:應(yīng)用程序接口
[0004]PC:計(jì)算機(jī)(個(gè)人計(jì)算機(jī))
【背景技術(shù)】
[0005]隨著企業(yè)信息化的不斷發(fā)展,企業(yè)通過(guò)構(gòu)建信息化系統(tǒng)���,方便地為企業(yè)用戶(hù)提供大量的信息數(shù)據(jù)���,其中不乏有企業(yè)合同信息、企業(yè)客戶(hù)信息等敏感的信息數(shù)據(jù)����。在使用這些信息化系統(tǒng)時(shí),用戶(hù)通過(guò)計(jì)算機(jī)或智能移動(dòng)終端(包括智能手機(jī)和平板電腦)接入信息化系統(tǒng),并獲取信息數(shù)據(jù)��。信息化系統(tǒng)能夠在系統(tǒng)內(nèi)部通過(guò)用戶(hù)帳戶(hù)管理�、用戶(hù)權(quán)限管理,防范信息的泄漏���;然而這些信息一旦到達(dá)用戶(hù)訪問(wèn)終端(計(jì)算機(jī)或智能移動(dòng)終端)�����,則不再受控于信息化系統(tǒng)的保護(hù)���,例如用戶(hù)可通過(guò)屏幕復(fù)制獲取顯示在訪問(wèn)終端屏幕上的信息數(shù)據(jù),用戶(hù)可以通過(guò)合法的數(shù)據(jù)下載功能�����,將信息數(shù)據(jù)下載至訪問(wèn)終端上存儲(chǔ)�����,等等���。因此由于訪問(wèn)終端的接入所引發(fā)的信息泄露事件頻頻發(fā)生�。對(duì)于計(jì)算機(jī)上的信息泄露防護(hù)目前已比較成熟,然而在終端上仍無(wú)有效地防護(hù)手段和方法����。
[0006]現(xiàn)有的終端安全軟件���,都是基于數(shù)據(jù)存儲(chǔ)并指定數(shù)據(jù)類(lèi)型(指定的文件格式)安全實(shí)現(xiàn)�,對(duì)于訪問(wèn)信息化系統(tǒng)所面臨的信息泄露問(wèn)題�����,存在如下嚴(yán)重缺失:
[0007]1��、對(duì)訪問(wèn)信息化系統(tǒng)時(shí)的操作無(wú)法進(jìn)行管理���。終端在訪問(wèn)信息化系統(tǒng)時(shí)����,信息數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸?shù)浇K端后�,并不以文件方式存儲(chǔ),而是直接通過(guò)應(yīng)用軟件(瀏覽器)顯示到屏幕上�,此時(shí)用戶(hù)可進(jìn)行例如屏幕拷貝、內(nèi)容的復(fù)制粘貼等手段將信息數(shù)據(jù)獲取����。
[0008]2��、對(duì)從信息化系統(tǒng)中下載�、或?qū)С龅臄?shù)據(jù)文件僅進(jìn)行加密處理�,能夠有效地防止因丟失造成的信息泄露。然而���,因?yàn)闊o(wú)法配合信息系統(tǒng)中的權(quán)限管理�,不能有效地限制下載者的使用權(quán)限����,可能會(huì)造成下載者的越權(quán)使用所導(dǎo)致的信息泄露。
【發(fā)明內(nèi)容】
[0009]本發(fā)明提供了一種信息系統(tǒng)在終端上的安全防護(hù)系統(tǒng)和方法�����,基于企業(yè)信息化系統(tǒng)在終端上應(yīng)用時(shí)����,通過(guò)Windows操作系統(tǒng)內(nèi)核級(jí)的動(dòng)態(tài)加解密技術(shù),可實(shí)現(xiàn)對(duì)信息化系統(tǒng)中信息數(shù)據(jù)的防護(hù)��,以避免通過(guò)終端進(jìn)行信息泄露的可能�。
[0010]本發(fā)明所述的信息系統(tǒng)在終端上的安全防護(hù)系統(tǒng)�����,可從三個(gè)層面防護(hù)當(dāng)終端訪問(wèn)信息系統(tǒng)時(shí)的安全����。
[0011]1.對(duì)訪問(wèn)信息化系統(tǒng)時(shí)的操作進(jìn)行管理和控制����。防止用戶(hù)進(jìn)行屏幕復(fù)制����、瀏覽的信息數(shù)據(jù)復(fù)制粘貼等操作。
[0012]2.對(duì)從信息化系統(tǒng)中下載����、或?qū)С龅臄?shù)據(jù)文件進(jìn)行自動(dòng)加密處理。[0013]3.對(duì)從信息化系統(tǒng)中下載�����、或?qū)С龅臄?shù)據(jù)文件��,在使用時(shí)進(jìn)行權(quán)限管理��。
[0014]繼承信息系統(tǒng)中對(duì)用戶(hù)的權(quán)限管理,防止用戶(hù)濫用�、越權(quán)等造成的信息泄露。
[0015]圖1為本發(fā)明所述的信息系統(tǒng)在終端上的安全防護(hù)系統(tǒng)�,其中包括
[0016]Web服務(wù)器:安全策略設(shè)定模塊、客戶(hù)端管理模塊���、日志管理模塊
[0017]客戶(hù)端:信息訪問(wèn)控制模塊����、文件訪問(wèn)控制模塊��、文件下載監(jiān)控模塊���、文件訪問(wèn)日志記錄模塊�����、加解密模塊���、通信模塊、策略更新模塊����、客戶(hù)端基本信息模塊
[0018]Web 服務(wù)器:
[0019]安全策略設(shè)定模塊是指通過(guò)web界面來(lái)預(yù)設(shè)安全保護(hù)的對(duì)象和安全保護(hù)的形式���,包括信息訪問(wèn)控制模塊、文件訪問(wèn)控制等����。將設(shè)置好的策略保存到數(shù)據(jù)服務(wù)器以便客戶(hù)通過(guò)通信接口獲取策略信息。管理員可以新建����、編輯���、刪除策略�����。
[0020]客戶(hù)端管理模塊:客戶(hù)端將用戶(hù)信息�、客戶(hù)端狀態(tài)通過(guò)通信模塊上傳到服務(wù)器�。通過(guò)web界面展現(xiàn)用戶(hù)信息、用戶(hù)狀態(tài)以及調(diào)整用戶(hù)組等功能���。
[0021 ] 日志管理模塊:客戶(hù)將“文件訪問(wèn)日志記錄模塊”記錄的日志信息����,通過(guò)通信模塊上傳到服務(wù)器。Web界面展現(xiàn)日志記錄(顯示日志信息��、曰志時(shí)間�、操作類(lèi)型、操作人等信息)����。
[0022]客戶(hù)端:
[0023]通信模塊:主要負(fù)責(zé)將服務(wù)器與客戶(hù)端之間進(jìn)行通信。比如:服務(wù)器設(shè)置的策略(安全策略設(shè)定模塊)下載到客戶(hù)端�;將客戶(hù)端信息(終端信息)、客戶(hù)端狀態(tài)以及文件訪問(wèn)日志記錄模塊記錄的日志信息上傳到服務(wù)器����。是服務(wù)器與客戶(hù)端連接的通道。
[0024]策略更新模塊:通過(guò)通信模塊獲取服務(wù)器最新策略并通知信息訪問(wèn)控制模塊���、文件訪問(wèn)控制模塊����、文件訪問(wèn)日志記錄模塊���、文件下載監(jiān)控模塊執(zhí)行最新控制策略�����。
[0025]客戶(hù)端基本信息模塊:獲取本機(jī)基本信息如:計(jì)算機(jī)名��、IP地址�、用戶(hù)登錄狀態(tài)等并通過(guò)“通信模塊”上傳到服務(wù)器。
[0026]信息訪問(wèn)控制模塊:通過(guò)“策略更新模塊”獲取“安全策略設(shè)定模塊”設(shè)置的信息訪問(wèn)控制策略����。實(shí)現(xiàn)對(duì)終端訪問(wèn)信息系統(tǒng)時(shí)的操作進(jìn)行控制。其中訪問(wèn)操作包括對(duì)訪問(wèn)到的信息數(shù)據(jù)進(jìn)行屏幕復(fù)制�、內(nèi)容復(fù)制粘貼、內(nèi)容另存為�����、內(nèi)容打印操作���。同時(shí)實(shí)現(xiàn)對(duì)在終端上從信息系統(tǒng)中下載的數(shù)據(jù)文件進(jìn)行自動(dòng)加密、授權(quán)操作��。其中授權(quán)操作包括授予只讀���、打印�����、修改�、復(fù)制粘貼、還原權(quán)限����。當(dāng)下載的數(shù)據(jù)文件在終端上被打開(kāi)使用時(shí),信息訪問(wèn)控制模塊對(duì)打開(kāi)的數(shù)據(jù)文件進(jìn)行權(quán)限控制����。
[0027]文件訪問(wèn)控制模塊:通過(guò)“策略更新模塊”獲取安全策略設(shè)定模塊發(fā)來(lái)的指令,實(shí)現(xiàn)對(duì)終端中的文件對(duì)象的訪問(wèn)操作進(jìn)行控制�。其中文件對(duì)象,可以是某個(gè)指定文件����、或一組文件、或目錄����。其中訪問(wèn)操作包括對(duì)文件對(duì)象的打開(kāi)、創(chuàng)建����、刪除、改名、復(fù)制�����、移動(dòng)�����、保存����、屬性設(shè)置操作。文件訪問(wèn)控制模塊對(duì)文件和目錄進(jìn)行權(quán)限控制包括只讀����、隱藏、禁止刪除����、禁止打開(kāi)���、禁止拷貝����、禁止非法應(yīng)用程序訪問(wèn)一個(gè)已經(jīng)被合法應(yīng)用程序打開(kāi)的文件。
[0028]文件訪問(wèn)日志記錄模塊:通過(guò)“策略更新模塊”獲取安全策略設(shè)定模塊發(fā)來(lái)的指令�,實(shí)現(xiàn)對(duì)文件的所有操作進(jìn)行記錄、跟蹤并生成曰志文檔通過(guò)通信模塊上傳到服務(wù)器�����。
[0029]文件下載監(jiān)控模塊:通過(guò)“策略更新模塊”獲取安全策略設(shè)定模塊發(fā)來(lái)的指令����,對(duì)從指定信息系統(tǒng)下載、導(dǎo)出文件進(jìn)行監(jiān)控����。當(dāng)下載或?qū)С鍪录l(fā)生時(shí),監(jiān)控模塊即使發(fā)現(xiàn)操作的文件并通知加密模塊進(jìn)行加密�。[0030]加解密模塊:對(duì)文件下載監(jiān)控模塊指定的文件進(jìn)行加密,實(shí)現(xiàn)對(duì)文件的加解密處理����。當(dāng)合法應(yīng)用程序讀取被加密的數(shù)據(jù)時(shí),加解密模塊進(jìn)行解密操作���,合法應(yīng)用程序則可正常使用數(shù)據(jù)����;當(dāng)合法應(yīng)用程序?qū)ξ募M(jìn)行寫(xiě)操作時(shí),加解密模塊進(jìn)行加密操作����,合法應(yīng)用程序保存的文件為加密后的文件;當(dāng)非法應(yīng)用程序讀取被加密的數(shù)據(jù)時(shí)����,動(dòng)態(tài)加解密模塊不進(jìn)行解密操作,非法應(yīng)用程序則無(wú)法正常使用數(shù)據(jù)�����;當(dāng)非法應(yīng)用程序?qū)ξ募M(jìn)行寫(xiě)操作時(shí)����,加解密模塊不進(jìn)行加解密操作。
[0031]本發(fā)明還提供一種信息系統(tǒng)在終端上的安全防護(hù)方法���,它采用本發(fā)明所述的信息系統(tǒng)在終端上的安全防護(hù)系統(tǒng)����,可通過(guò)調(diào)用通信模塊接口從服務(wù)器傳遞安全保護(hù)的指令和數(shù)據(jù)到客戶(hù)端�����,策略更新模塊會(huì)將安全保護(hù)的指令傳遞信息訪問(wèn)控制模塊�、文件訪問(wèn)控制模塊、文件訪問(wèn)日志記錄模塊和文件下載監(jiān)控模塊�;信息訪問(wèn)控制模塊在接收安全策略設(shè)定模塊的指令后,根據(jù)安全策略的要求�,實(shí)時(shí)監(jiān)視終端上所有訪問(wèn)信息系統(tǒng)的操作,并進(jìn)行控制��;文件訪問(wèn)控制模塊在接收安全策略設(shè)定模塊的指令后�����,根據(jù)安全策略的要求��,實(shí)時(shí)監(jiān)視終端上文件對(duì)象的所有操作���,并進(jìn)行控制�����;文件訪問(wèn)日志記錄模塊在接收安全策略設(shè)定模塊的指令后�����,根據(jù)安全策略的要求����,實(shí)時(shí)監(jiān)視終端上文件對(duì)象的所有操作,并進(jìn)行日志記錄���;文件下載監(jiān)測(cè)模塊在接收安全策略設(shè)定模塊的指令后��,根據(jù)安全策略的要求���,實(shí)時(shí)監(jiān)視終端下載文件操作并通知加解密模塊進(jìn)行加密。
【具體實(shí)施方式】:
[0032]服務(wù)器:搭建HTTP�、HTTPS服務(wù)器,連接mysql數(shù)據(jù)庫(kù)�。Web服務(wù)器是制定安全策略(客戶(hù)端執(zhí)行指令)、數(shù)據(jù)存儲(chǔ)中心���;
[0033]客戶(hù)端:
[0034]通信層:主要用于網(wǎng)絡(luò)請(qǐng)求��、響應(yīng)處理(網(wǎng)絡(luò)數(shù)據(jù)傳輸)�����。通信模塊屬于這一層��,通信模塊下載安全策略����、上傳客戶(hù)端信息���、上傳文件操作曰志信息等�。
[0035]應(yīng)用層:處理數(shù)據(jù)解析����、命令下發(fā)、記錄日志等操作`����。策略更新模塊解析安全策略并通知“信息訪問(wèn)控制模塊、文件訪問(wèn)控制模塊���、文件下載監(jiān)控模塊”;文件訪問(wèn)日志記錄模塊記錄文件操作曰志;客戶(hù)端基本信息模塊����,記錄客戶(hù)端當(dāng)前狀態(tài)信息。
[0036]HOOK層:主要捕獲系統(tǒng)調(diào)用信息�,過(guò)濾并處理安全策略中設(shè)置的指令���。
[0037]信息訪問(wèn)控制模塊�、文件訪問(wèn)控制模塊和文件下載監(jiān)控模塊通過(guò)更改操作系統(tǒng)工作流程,實(shí)現(xiàn)對(duì)文件的訪問(wèn)控制和日志記錄�。具體Hook操作系統(tǒng)的系統(tǒng)調(diào)用:0pen����、Read���、Writ^Delete和Move�,通過(guò)邏輯(安全策略信息)判斷是否允許文件訪問(wèn)操作來(lái)繼續(xù)或阻斷系統(tǒng)調(diào)用。
[0038]另外���,實(shí)現(xiàn)本發(fā)明所述系統(tǒng)很重要的一點(diǎn)是安全策略的設(shè)定:
[0039]1.安全策略規(guī)范
[0040]安全策略包括以下幾項(xiàng)內(nèi)容:
[0041]I)安全等級(jí)設(shè)定
[0042]為滿足各種客戶(hù)對(duì)不同安全需求�����,安全等級(jí)有三級(jí):核密���,機(jī)密�����,秘密��。
[0043]2)加密算法設(shè)定
[0044]通過(guò)應(yīng)用程序可以設(shè)定不同加密算法,如DES���,3DES,AES�����,RC4等。
[0045]3)密鑰設(shè)定[0046]通過(guò)應(yīng)用程序可以設(shè)定不同密鑰����,可以設(shè)定任何長(zhǎng)度的密鑰�����。
[0047]4)關(guān)聯(lián)程序設(shè)定
[0048]為了實(shí)現(xiàn)專(zhuān)用應(yīng)用程序解密�,從而設(shè)定專(zhuān)用讀取程序�,獲得授權(quán)的應(yīng)用程序可以正常讀取文件����,驅(qū)動(dòng)會(huì)為其透明加解密,而對(duì)于非授權(quán)的應(yīng)用程序卻只能讀到密文���,無(wú)法正常讀取使用文件�����。
[0049]5)策略開(kāi)關(guān)
[0050]設(shè)定是否應(yīng)用策略�����,或者是是否容許特定的文件操作穿過(guò)(PASS)過(guò)濾層。
[0051]6)策略?xún)?nèi)容設(shè)定
[0052]設(shè)定策略的詳細(xì)內(nèi)容��,如具體的文件類(lèi)型(可以使用通配符*�、?)���,特定的文件目錄。策略?xún)?nèi)容可以指定任何邏輯扇區(qū)比如:@:\*.*��,就是在終端儲(chǔ)存設(shè)備下的所有文件都是加密保存的�����。包括如下內(nèi)容:
[0053]代表盤(pán)符�。
[0054]F 日志開(kāi)關(guān)設(shè)定,設(shè)定是否記錄日志�。
[0055]G:—訪問(wèn)權(quán)限屬性控制設(shè)定策略?xún)?nèi)容所規(guī)定的文件訪問(wèn)控制屬性,包括:READONLY、HIDDEN��、NODEL ETE, Ν00ΡΕΝ��、N0C0PY...����。
【權(quán)利要求】
1.一種信息系統(tǒng)的安全防護(hù)系統(tǒng),其特征在于該系統(tǒng)包括該系統(tǒng)包括Web服務(wù)器:安全策略設(shè)定模塊、客戶(hù)端管理模塊����、日志管理模塊,信息訪問(wèn)控制模塊��、文件訪問(wèn)控制模塊�����、文件下載監(jiān)控模塊�����、件訪問(wèn)日志記錄模塊�、加解密模塊��、通信模塊�、策略更新模塊�����、客戶(hù)端基本信息模塊��,該系統(tǒng)的信息訪問(wèn)控制模塊����、文件訪問(wèn)控制模塊�、文件下載監(jiān)控模塊��、件訪問(wèn)日志記錄模塊����、加解密模塊�、通信模塊�、策略更新模塊運(yùn)行在終端機(jī)器上以便保護(hù)終端訪問(wèn)信息系統(tǒng)�。 安全策略設(shè)定模塊:通過(guò)web界面來(lái)預(yù)設(shè)安全保護(hù)的對(duì)象和安全保護(hù)的形式,包括信息訪問(wèn)控制模塊����、文件訪問(wèn)控制等�����。 客戶(hù)端管理模塊:通過(guò)web界面展現(xiàn)用戶(hù)信息、用戶(hù)狀態(tài)以及調(diào)整用戶(hù)組等功能����。 日志管理模塊:Web界面展現(xiàn)用戶(hù)操作日志記錄(顯示日志信息、日志時(shí)間�、操作類(lèi)型����、操作人等信息)����。 通信模塊:主要負(fù)責(zé)將服務(wù)器與客戶(hù)端之間進(jìn)行通信����。是服務(wù)器與客戶(hù)端連接的通道�。 策略更新模塊:通過(guò)通信模塊獲取服務(wù)器最新策略并通知信息訪問(wèn)控制模塊�����、文件訪問(wèn)控制模塊��、文件訪問(wèn)日志記錄模塊、文件下載監(jiān)控模塊等執(zhí)行最新控制策略����。 客戶(hù)端基本信息模塊:獲取本機(jī)基本信息(計(jì)算機(jī)名���、IP地址�、用戶(hù)登錄狀態(tài)等)。 信息訪問(wèn)控制模塊:根據(jù)信息訪問(wèn)控制策略��,實(shí)現(xiàn)對(duì)PC終端訪問(wèn)信息系統(tǒng)時(shí)的操作進(jìn)行控制�����。 文件訪問(wèn)控制模塊:根據(jù)安全策略實(shí)現(xiàn)對(duì)從信息系統(tǒng)下載的文件訪問(wèn)操作進(jìn)行控制����。 文件訪問(wèn)日志記錄模塊:記錄對(duì)從信息系統(tǒng)下載文件操作信息。 文件下載監(jiān)控模塊:對(duì)從指定信息系統(tǒng)下載��、導(dǎo)出文件進(jìn)行監(jiān)控�����。 加解密模塊:對(duì)文件下載監(jiān)控模塊指定的文件進(jìn)行加密��,實(shí)現(xiàn)對(duì)文件的加解密處理。
2.如權(quán)利要求1所述的一種信息系統(tǒng)的安全防護(hù)系統(tǒng)�,其特征在于,Web服務(wù)器的安全策略設(shè)定模塊是規(guī)則的制定者�����,控制客戶(hù)端信息訪問(wèn)控制模塊�����、文件訪問(wèn)曰志記錄模塊��、文件下載監(jiān)控模塊等行為準(zhǔn)則���。
3.如權(quán)利要求1所述的一種信息系統(tǒng)的安全防護(hù)系統(tǒng)��,其特征在于��,信息訪問(wèn)控制模塊��,實(shí)現(xiàn)對(duì)終端訪問(wèn)信息系統(tǒng)時(shí)的操作進(jìn)行控制����。其中訪問(wèn)操作包括對(duì)訪問(wèn)到的信息數(shù)據(jù)進(jìn)行屏幕復(fù)制���、內(nèi)容復(fù)制粘貼���、內(nèi)容另存為、內(nèi)容打印操作�。同時(shí)實(shí)現(xiàn)對(duì)在終端上從信息系統(tǒng)中下載的數(shù)據(jù)文件進(jìn)行自動(dòng)加密、授權(quán)操作����。其中授權(quán)操作包括授予只讀、打印����、修改、復(fù)制粘貼�、還原權(quán)限。當(dāng)下載的數(shù)據(jù)文件在終端上被打開(kāi)使用時(shí)�����,信息訪問(wèn)控制模塊對(duì)打開(kāi)的數(shù)據(jù)文件進(jìn)行權(quán)限控制��。
4.如權(quán)利要求1所述的一種信息系統(tǒng)在終端上的安全防護(hù)系統(tǒng)�,其特征在于,文件訪問(wèn)控制模塊,可以是某個(gè)指定文件�����、或一組文件�����、或目錄�。其中訪問(wèn)操作包括對(duì)文件對(duì)象的打開(kāi)、創(chuàng)建�����、刪除���、改名�、復(fù)制��、移動(dòng)����、保存、屬性設(shè)置操作�����。文件訪問(wèn)控制模塊對(duì)文件和目錄進(jìn)行權(quán)限控制包括只讀、隱藏���、禁止刪除、禁止打開(kāi)��、禁止拷貝��、禁止非法應(yīng)用程序訪問(wèn)一個(gè)已經(jīng)被合法應(yīng)用程序打開(kāi)的文件����。
5.如權(quán)利要求1所述的一種信息系統(tǒng)的安全防護(hù)系統(tǒng),其特征在于���,文件下載監(jiān)控模塊��,對(duì)從指定信息系統(tǒng)下載�、導(dǎo)出文件進(jìn)行監(jiān)控��。當(dāng)下載或?qū)С鍪录l(fā)生時(shí)��,監(jiān)控模塊即使發(fā)現(xiàn)操作的文件并通知加密模塊進(jìn)行加密�����。
6.如權(quán)利要求1所述的一種信息系統(tǒng)的安全防護(hù)系統(tǒng),其特征在于���,加解密模塊在系統(tǒng)核心層���,實(shí)現(xiàn)對(duì)文件的加解密處理。當(dāng)合法應(yīng)用程序讀取被加密的數(shù)據(jù)時(shí)�����,加解密模塊進(jìn)行解密操作�����,合法應(yīng)用程序則可正常使用數(shù)據(jù)���;當(dāng)合法應(yīng)用程序?qū)ξ募M(jìn)行寫(xiě)操作時(shí)�,加解密模塊進(jìn)行加密操作���,合法應(yīng)用程序保存的文件為加密后的文件�;當(dāng)非法應(yīng)用程序讀取被加密的數(shù)據(jù)時(shí)�����,動(dòng)態(tài)加解密模塊不進(jìn)行解密操作,非法應(yīng)用程序則無(wú)法正常使用數(shù)據(jù)�����;當(dāng)非法應(yīng)用程序?qū)ξ募M(jìn)行寫(xiě)操作時(shí)���,加解密模塊不進(jìn)行加解密操作。
7.—種信息系統(tǒng)的安全護(hù)方法,其特征在于米用權(quán)利要求1-6任一所述之信息安全防護(hù)系統(tǒng)��,終端隨著操作系統(tǒng)啟動(dòng)而自動(dòng)啟動(dòng)����。文件下載監(jiān)控模塊時(shí)時(shí)監(jiān)控對(duì)信息系統(tǒng)操作的行為,及時(shí)防止從信息系統(tǒng)拷貝數(shù)據(jù)�,打印數(shù)據(jù)。對(duì)從信息系統(tǒng)下載的文件進(jìn)行即時(shí)加密�。對(duì)打開(kāi)的文件禁止拷 貝、粘貼�����、打印�、另存等控制�。防止從信息系統(tǒng)泄密�。
【文檔編號(hào)】H04L29/06GK103716354SQ201210377650
【公開(kāi)日】2014年4月9日 申請(qǐng)日期:2012年10月9日 優(yōu)先權(quán)日:2012年10月9日
【發(fā)明者】王松山, 王曉波, 周亮 申請(qǐng)人:蘇州慧盾信息安全科技有限公司