技術領域

本發明涉及一種移動終端信息安全防護系統和方法，基于企業信息化系統在移動終端上應用時，通過使用數據加密和權限控制的技術，可實現對信息化系統中信息數據的防護，以避免通過移動終端進行信息泄露的可能。

縮略語及名詞解釋：

API：應用程序接口

PIN：全稱Personal?Identification?Number，就是移動終端SIM卡的個人識別密碼。

SD卡：全稱Secure?Digital?Memory?Card，中文翻譯為安全數碼卡，是一種基于半導體快閃記憶器的存儲設備，它被廣泛地于便攜式裝置上使用，如手機、數碼相機等。

背景技術

隨著企業信息化的不斷發展，企業通過構建信息化系統，方便地為企業用戶提供大量的信息數據，其中不乏有企業合同信息、企業客戶信息等敏感的信息數據。在使用這些信息化系統時，用戶通過計算機或智能移動終端(包括智能手機和平板電腦)接入信息化系統，并獲取信息數據。信息化系統能夠在系統內部通過用戶帳戶管理、用戶權限管理，防范信息的泄漏；然而這些信息一旦到達用戶訪問終端(計算機或智能移動終端)，則不再受控于信息化系統的保護，例如用戶可通過屏幕復制獲取顯示在訪問終端屏幕上的信息數據，用戶可以通過合法的數據下載功能，將信息數據下載至訪問終端上存儲，等等。因此由于訪問終端的接入所引發的信息泄露事件頻頻發生。對于計算機上的信息泄露防護目前已比較成熟，然而在智能移動終端上仍無有效地防護手段和方法。

現有的手機安全軟件，都是基于數據存儲安全實現，對于訪問信息化系統所面臨的信息泄露問題，存在如下嚴重缺失：

1、對訪問信息化系統時的操作無法進行管理。智能移動終端在訪問信息化系統時，信息數據通過網絡傳輸到智能移動終端后，并不以文件方式存儲，而是直接通過應用軟件顯示到屏幕上，此時用戶可進行例如屏幕拷貝、內容的復制粘貼等手段將信息數據獲取。

2、對從信息化系統中下載、或導出的數據文件僅進行加密處理，能夠有效地防止因丟失造成的信息泄露。然而，因為無法配合信息系統中的權限管理，不能有效地限制下載者的使用權限，可能會造成下載者的越權使用所導致的信息泄露。

發明內容

本發明提供了一種移動終端信息安全防護系統和方法，基于企業信息化系統在移動終端上應用時，通過加解密技術和訪問控制技術，可實現對信息化系統中信息數據的防護，以避免通過移動終端進行信息泄露的可能。

本發明所述的信息系統在移動終端上的安全防護系統，可從三個層面防護當智能移動終端訪問信息系統時的安全。

1.對訪問信息化系統時的操作進行管理和控制。防止用戶進行屏幕復制、瀏覽的信息數據復制粘貼等操作。

2.對從信息化系統中下載、或導出的數據文件進行自動加密處理。

3.對從信息化系統中下載、或導出的數據文件，在使用時進行權限管理。繼承信息系統中對用戶的權限管理，防止用戶濫用、越權等造成的信息泄露。

圖1為本發明所述的移動終端信息安全防護系統，其中包括監控模塊、文件加密模塊、文件解密模塊、信息訪問控制模塊、文件訪問控制模塊和日志記錄模塊。該系統隨著移動終端系統啟動時自動啟動。

監控模塊實時監控移動終端系統訪問信息系統時的操作，并根據操作類型向下層的文件加密模塊、文件解密模塊或信息訪問控制模塊發送指令。監控模塊實時監控的操作類型包括：保存文件操作、打開文件操作、復制粘貼操作、屏幕拷貝操作和打印操作。當保存文件操作發生時，監控模塊將通知文件加密模塊；當復制粘貼操作、屏幕拷貝操作和打印操作發生時，監控模塊將通知信息訪問控制模塊；當訪問該系統所加密的文件時，監控模塊將通知文件解密模塊。

文件加密模塊在接收到監控模塊或文件訪問控制模塊發送的指令后，將從信息系統中保存出來的文件進行加密處理，并通知日志記錄模塊將文件加密保存操作記錄至日志文件中。

文件解密模塊根據監控模塊傳送的指令，對指令中指定的文件解密操作，成功解密并打開文件后，通知文件訪問控制模塊，并通知日志記錄模塊將解密操作記錄至日志文件中。

信息訪問控制模塊位于移動操作系統的內核層，通過接收從監控模塊傳送的指令，實現對移動終端訪問信息系統時的操作進行控制，并將通知日志記錄模塊將操作記錄至日志文件中。信息訪問控制模塊所控制的操作包括對訪問到的信息數據進行屏幕復制、內容復制粘貼、內容打印操作。