技術(shù)領(lǐng)域

本發(fā)明涉及一種信息系統(tǒng)在安全防護(hù)系統(tǒng)和方法，基于企業(yè)信息化系統(tǒng)在終端上應(yīng)用時(shí)，通過(guò)Windows操作系統(tǒng)內(nèi)核級(jí)的動(dòng)態(tài)加解密技術(shù)，可實(shí)現(xiàn)對(duì)信息化系統(tǒng)中信息數(shù)據(jù)的防護(hù)，以避免通過(guò)終端進(jìn)行信息泄露的可能。

縮略語(yǔ)及名詞解釋：

API：應(yīng)用程序接口

PC：計(jì)算機(jī)(個(gè)人計(jì)算機(jī))

背景技術(shù)

隨著企業(yè)信息化的不斷發(fā)展，企業(yè)通過(guò)構(gòu)建信息化系統(tǒng)，方便地為企業(yè)用戶提供大量的信息數(shù)據(jù)，其中不乏有企業(yè)合同信息、企業(yè)客戶信息等敏感的信息數(shù)據(jù)。在使用這些信息化系統(tǒng)時(shí)，用戶通過(guò)計(jì)算機(jī)或智能移動(dòng)終端(包括智能手機(jī)和平板電腦)接入信息化系統(tǒng)，并獲取信息數(shù)據(jù)。信息化系統(tǒng)能夠在系統(tǒng)內(nèi)部通過(guò)用戶帳戶管理、用戶權(quán)限管理，防范信息的泄漏；然而這些信息一旦到達(dá)用戶訪問(wèn)終端(計(jì)算機(jī)或智能移動(dòng)終端)，則不再受控于信息化系統(tǒng)的保護(hù)，例如用戶可通過(guò)屏幕復(fù)制獲取顯示在訪問(wèn)終端屏幕上的信息數(shù)據(jù)，用戶可以通過(guò)合法的數(shù)據(jù)下載功能，將信息數(shù)據(jù)下載至訪問(wèn)終端上存儲(chǔ)，等等。因此由于訪問(wèn)終端的接入所引發(fā)的信息泄露事件頻頻發(fā)生。對(duì)于計(jì)算機(jī)上的信息泄露防護(hù)目前已比較成熟，然而在終端上仍無(wú)有效地防護(hù)手段和方法。

現(xiàn)有的終端安全軟件，都是基于數(shù)據(jù)存儲(chǔ)并指定數(shù)據(jù)類型(指定的文件格式)安全實(shí)現(xiàn)，對(duì)于訪問(wèn)信息化系統(tǒng)所面臨的信息泄露問(wèn)題，存在如下嚴(yán)重缺失：

1、對(duì)訪問(wèn)信息化系統(tǒng)時(shí)的操作無(wú)法進(jìn)行管理。終端在訪問(wèn)信息化系統(tǒng)時(shí)，信息數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸?shù)浇K端后，并不以文件方式存儲(chǔ)，而是直接通過(guò)應(yīng)用軟件(瀏覽器)顯示到屏幕上，此時(shí)用戶可進(jìn)行例如屏幕拷貝、內(nèi)容的復(fù)制粘貼等手段將信息數(shù)據(jù)獲取。

2、對(duì)從信息化系統(tǒng)中下載、或?qū)С龅臄?shù)據(jù)文件僅進(jìn)行加密處理，能夠有效地防止因丟失造成的信息泄露。然而，因?yàn)闊o(wú)法配合信息系統(tǒng)中的權(quán)限管理，不能有效地限制下載者的使用權(quán)限，可能會(huì)造成下載者的越權(quán)使用所導(dǎo)致的信息泄露。

發(fā)明內(nèi)容

本發(fā)明提供了一種信息系統(tǒng)在終端上的安全防護(hù)系統(tǒng)和方法，基于企業(yè)信息化系統(tǒng)在終端上應(yīng)用時(shí)，通過(guò)Windows操作系統(tǒng)內(nèi)核級(jí)的動(dòng)態(tài)加解密技術(shù)，可實(shí)現(xiàn)對(duì)信息化系統(tǒng)中信息數(shù)據(jù)的防護(hù)，以避免通過(guò)終端進(jìn)行信息泄露的可能。

本發(fā)明所述的信息系統(tǒng)在終端上的安全防護(hù)系統(tǒng)，可從三個(gè)層面防護(hù)當(dāng)終端訪問(wèn)信息系統(tǒng)時(shí)的安全。

1.對(duì)訪問(wèn)信息化系統(tǒng)時(shí)的操作進(jìn)行管理和控制。防止用戶進(jìn)行屏幕復(fù)制、瀏覽的信息數(shù)據(jù)復(fù)制粘貼等操作。

2.對(duì)從信息化系統(tǒng)中下載、或?qū)С龅臄?shù)據(jù)文件進(jìn)行自動(dòng)加密處理。

3.對(duì)從信息化系統(tǒng)中下載、或?qū)С龅臄?shù)據(jù)文件，在使用時(shí)進(jìn)行權(quán)限管理。

繼承信息系統(tǒng)中對(duì)用戶的權(quán)限管理，防止用戶濫用、越權(quán)等造成的信息泄露。

圖1為本發(fā)明所述的信息系統(tǒng)在終端上的安全防護(hù)系統(tǒng)，其中包括

Web服務(wù)器：安全策略設(shè)定模塊、客戶端管理模塊、日志管理模塊

客戶端：信息訪問(wèn)控制模塊、文件訪問(wèn)控制模塊、文件下載監(jiān)控模塊、文件訪問(wèn)日志記錄模塊、加解密模塊、通信模塊、策略更新模塊、客戶端基本信息模塊

Web服務(wù)器：

安全策略設(shè)定模塊是指通過(guò)web界面來(lái)預(yù)設(shè)安全保護(hù)的對(duì)象和安全保護(hù)的形式，包括信息訪問(wèn)控制模塊、文件訪問(wèn)控制等。將設(shè)置好的策略保存到數(shù)據(jù)服務(wù)器以便客戶通過(guò)通信接口獲取策略信息。管理員可以新建、編輯、刪除策略。

客戶端管理模塊：客戶端將用戶信息、客戶端狀態(tài)通過(guò)通信模塊上傳到服務(wù)器。通過(guò)web界面展現(xiàn)用戶信息、用戶狀態(tài)以及調(diào)整用戶組等功能。

日志管理模塊：客戶將“文件訪問(wèn)日志記錄模塊”記錄的日志信息，通過(guò)通信模塊上傳到服務(wù)器。Web界面展現(xiàn)日志記錄(顯示日志信息、曰志時(shí)間、操作類型、操作人等信息)。

客戶端：

通信模塊：主要負(fù)責(zé)將服務(wù)器與客戶端之間進(jìn)行通信。比如：服務(wù)器設(shè)置的策略(安全策略設(shè)定模塊)下載到客戶端；將客戶端信息(終端信息)、客戶端狀態(tài)以及文件訪問(wèn)日志記錄模塊記錄的日志信息上傳到服務(wù)器。是服務(wù)器與客戶端連接的通道。

策略更新模塊：通過(guò)通信模塊獲取服務(wù)器最新策略并通知信息訪問(wèn)控制模塊、文件訪問(wèn)控制模塊、文件訪問(wèn)日志記錄模塊、文件下載監(jiān)控模塊執(zhí)行最新控制策略。

客戶端基本信息模塊：獲取本機(jī)基本信息如：計(jì)算機(jī)名、IP地址、用戶登錄狀態(tài)等并通過(guò)“通信模塊”上傳到服務(wù)器。