技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全方法，尤其是網(wǎng)絡(luò)環(huán)境下基于安全桌面的信息防泄漏方法。

背景技術(shù)：

計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，將很多從前只能手動處理的事務(wù)都變成了電子化過程。編寫文檔、制作設(shè)計圖、發(fā)布新聞、傳送信息等日常工作如今都能以高度電子化的形式進行。在電子化辦公和生活越來越不可代替時，由此產(chǎn)生的安全因素也變得日益嚴峻起來。

許多涉及高度機密的單位企業(yè)，在享受電子化辦公帶來的巨大利益時，也不得不采取種種手段對付由于計算機和網(wǎng)絡(luò)帶來信息泄密的危害。在這樣的需求下，市場上產(chǎn)生了各式各樣的終端安全解決技術(shù)。

目前市場上已使用的技術(shù)方法，基本狀況如下：

(1)獨立的主機技術(shù)

獨立的主機設(shè)備技術(shù)只提供給用戶顯示器和鼠標、鍵盤，操作系統(tǒng)運行在遠端的主機設(shè)備上，兩者之間通過數(shù)據(jù)線相連。所有獨立的主機設(shè)備都集中存放在一起，由管理員統(tǒng)一管理。

這種方案在部署的時候很復(fù)雜，尤其是在企業(yè)單位不想變更原來的環(huán)境時，部署起來更加困難。原本個人電腦出現(xiàn)問題時，通常由操作者自身解決，但集中主機設(shè)備后，這就變成了管理員的職責，而且需要維護的設(shè)備數(shù)量又是巨大的。

當個人電腦非常流行的時代，許多企業(yè)不具備采用價格昂貴而又不靈活的主機系統(tǒng)的條件。

(2)基于原始桌面的保護技術(shù)

當個人機器啟動完成后，呈現(xiàn)給用戶一個工作環(huán)境，通常稱為“桌面”，桌面上可以運行各種應(yīng)用程序，也可以將應(yīng)用程序產(chǎn)生的文件保存在磁盤目錄中。本發(fā)明將機器正常啟動后呈現(xiàn)給用戶的桌面稱為“原始桌面”，以便和后面本發(fā)明提到的“安全桌面”相區(qū)分。

所謂基于原始桌面的保護技術(shù)的實現(xiàn)手段是對原始桌面的加固和審計。它為了實現(xiàn)資料不被從PC機上帶走，對USB等通信接口進行封堵，將文件進出等敏感操作進行記錄以便審計。

這種技術(shù)方案較第一種方案而言，工作在PC機上，便于部署。但這種技術(shù)屬于被動防御技術(shù)，隨著技術(shù)不斷演進，新的通信手段推陳出新，意味著新的漏洞就會出現(xiàn)，這個方案就面臨不斷升級。

另外，這種方案的實質(zhì)問題是，所有的資料都存放在用戶本機，這樣資料泄漏的可能性是比較大的，例如將硬盤拆下。

(3)加密存儲技術(shù)

針對存儲安全問題，可以采用基于硬件身份(如U盤)的加解密機制，除非用特定的標識用戶身份的密鑰才能解密讀取硬盤中的資料。這種措施在一定程度上提高了安全性。但是問題在于公司雇員仍然有辦法將資料傳送走。因為個人電腦所有者(公司員工)他能讀取屬于他本機的資料。總之這種方法可以防止個人電腦所有者之外的人讀取這臺電腦上的資料，但不能防止員工本人。而且這種方法無法阻止員工從公司服務(wù)器上下載資料而可能造成的資料泄密。

發(fā)明內(nèi)容

本發(fā)明目的是：提出一種網(wǎng)絡(luò)環(huán)境下基于安全桌面的信息防泄漏方法，根據(jù)現(xiàn)有信息保密技術(shù)存在的一些應(yīng)用上的不足，將網(wǎng)絡(luò)控制技術(shù)與基于安全桌面的終端安全技術(shù)很好的融合，推出了基于安全桌面的網(wǎng)絡(luò)環(huán)境信息防泄漏技術(shù)方案。

本發(fā)明的技術(shù)解決方案是：網(wǎng)絡(luò)環(huán)境下基于安全桌面的信息防泄漏方法，計算機通過內(nèi)容控制網(wǎng)關(guān)與內(nèi)網(wǎng)服務(wù)器通信，內(nèi)網(wǎng)服務(wù)器前端設(shè)有內(nèi)容控制網(wǎng)關(guān)；其特征在內(nèi)網(wǎng)的計算機設(shè)有“安全桌面”工作軟件，計算機與內(nèi)容控制網(wǎng)關(guān)之間采用加密隧道，計算機本機保存文件采用加密方式，計算機本機設(shè)有密鑰，所述密鑰保存在指定服務(wù)器上、以硬件或軟件身份認證設(shè)定；以安全桌面工作軟件為基礎(chǔ)，使文件的本機保存和網(wǎng)絡(luò)傳輸采用加密方式的工作系統(tǒng)，具體流程是：

終端計算機試圖訪問內(nèi)網(wǎng)服務(wù)器，首先必須登錄內(nèi)容控制網(wǎng)關(guān)；

內(nèi)容控制網(wǎng)關(guān)檢查計算機是否啟用安全桌面，這種握手協(xié)商機制是周期性進行的；而且在加密的通道中進行；

內(nèi)容控制網(wǎng)關(guān)根據(jù)終端權(quán)限和安全桌面激活的情況確定是否執(zhí)行訪問代理；

如果終端未激活安全桌面，則訪問就被拒絕；

通過安全桌面只能訪問內(nèi)容控制網(wǎng)關(guān)，不能訪問其他網(wǎng)址；

終端計算機完成會話過程后，退出安全桌面，清除本機加密存儲空間中的所有內(nèi)容。計算機通過內(nèi)容控制網(wǎng)關(guān)與內(nèi)網(wǎng)服務(wù)器通信，計算機與內(nèi)容控制網(wǎng)關(guān)之間采用SSL加密隧道，計算機本機保存文件采用3DES等加密方式，計算機本機設(shè)有密鑰，所述密鑰保存在指定服務(wù)器上或以硬件身份認證或其它方法設(shè)定密鑰。