技術領域

本發明屬于信息安全技術領域，涉及一種本地數據防泄密系統，尤其涉及一種基于涉密數據流向加密的本地數據防泄密系統；同時，本發明還涉及上述本地數據防泄密系統的防泄密方法。

背景技術

隨著整個社會的信息化，所有信息資料都轉變成了計算機所能識別的方式——數據，數據是整個信息實體的唯一存在形式。信息化創造了巨大的經濟效益和社會財富，各行各業已經離不開信息技術，有些行業甚至完全依賴于信息技術。然而，事物的以展總是兩方面的，信息技術同樣也是雙刃劍，高度信息化的社會給信息安全帶來了空前的挑戰。人們發現傳統的保密方法在信息社會里都失靈了，數據的可復制和快速傳輸的特性同樣為信息資料的泄密大開方便之門。這樣防信息泄密就成為了當務之急，而且企業比較流行的是透明加密技術，這種技術不影響使用者的習慣來自動、強制完成加密，甚至感覺不到它的存在。

但是目前的透明加密技術都是依據監控系統的進程來完成，這樣就必須對所使用的軟件進行限制，需要根據用戶使用的軟件的升級不斷進行更新，對不支持的軟件、進程無法實現數據加密，引起軟件的兼容性問題，特別是對源代碼的編輯調試軟件種類繁雜，更加難以兼容。

發明內容

本發明所要解決的技術問題是：提供一種基于涉密數據流向加密的本地數據防泄密系統，可保護組織內部的重要數據，防止泄密。

此外，本發明還提供一種上述本地數據防泄密系統的防泄密方法，可保護組織內部的重要數據，防止泄密。

為解決上述技術問題，本發明采用如下技術方案：

一種基于涉密數據流向加密的本地數據防泄密系統，所述系統包括：

實時加密模塊，用于加密實時數據，并為已經加密的數據增加被加密標識字段；

加密數據判斷模塊，用于數據打開前判斷是否已經被加密；

實時解密模塊，用于解密被加密數據，送往涉密數據安全區域；

涉密數據安全區域，用于存儲解密模塊送到的明文，以及相關程序文件，保證涉密數據轉換來的明文的存儲安全；

系統監控模塊，用于監控涉密和非涉密進程，監控進程的I/O操作，將涉密進程的I/O映射在涉密數據安全區域；

剪切板監控模塊，用于監控剪切板內容的流向；

活動窗口監控模塊，用于監控桌面活動的涉密進程窗口和非涉密進程窗口；

磁盤文件寫入緩沖區，用于暫存所述涉密數據安全區域輸出的明文數據，確保數據安全；

磁盤文件監控模塊，用于監控磁盤文件，對比磁盤文件寫入緩沖區的數據是否與目標目錄原數據的屬性相同。

作為本發明的一種優選方案，涉密數據安全區域的數據只有系統監控模塊可以調用，系統監控模塊將所有涉密進程的I/O強制映射在涉密數據安全區域。

作為本發明的一種優選方案，所述磁盤文件監控模塊用于監控磁盤文件，通過mafic?number來過濾磁盤寫入緩沖區文件，對比磁盤緩沖區數據是否與目標目錄原數據的屬性相同，此處的屬性包括文件的存儲位置、hash函數值。

作為本發明的一種優選方案，通過所述磁盤文件監控模塊對比磁盤文件寫入緩沖區的數據是否與目標目錄原數據的屬性相同，智能判斷寫入磁盤的文件是否需要加密。

作為本發明的一種優選方案，所述系統不禁止電子設備的截屏功能，所有包括有涉密內容的截圖都是被強制加密的，而沒有涉密內容的截屏是不加密的。

作為本發明的一種優選方案，通過對涉密進程活動窗口的監控，智能判斷截屏內容是否需要加密。

一種上述本地數據防泄密系統的防泄密方法，該方法包括如下步驟：

A：系統管理員將系統中認為需要防止外泄的文件認定為涉密信息，進行手動加密；

B：打開加密文件，強制關閉所有網絡服務的上行輸出，防止網絡服務向網絡輸出數據；

C：將打開加密文件的軟件認定為涉密環境，所述系統監控模塊對涉密環境的I/O進行控制，只允許涉密環境的輸入輸出經過涉密數據安全區域；

D：從涉密環境中輸出的文件放入磁盤文件寫入緩沖區，經磁盤文件寫入緩沖區與目標磁盤位置的原文件進行屬性對比；如果沒有發生變化，則將磁盤寫入緩沖區的明文清除，如果發生變化，則將緩沖區的明文加密寫入磁盤位置，寫入的為新創建文件都輸入為密文；

E：對屏幕進行截屏，如果涉密進程展開活動在桌面，則截屏保存的文件為加密文件；如果涉密軟件最小化在任務欄，則截屏保存的文件為普通文件；

F：將密文全部或者部分復制進另外一個文件中，則復制進密文的文件被加密。