技術領域

本發明涉及信息安全技術領域，尤其涉及一種移動數據隔離的系統及方法。

背景技術

隨著BYOD的興起，政府、企業使用移動智能終端處理事務的增加，移動智能終端上的數據安全保密性問題越來越受到重視。但在同一臺移動智能終端上運行著辦公應用和私人應用，一旦移動應用未授權讀取及修改政府、企業數據就可能造成政府或企業機密泄露，造成安全威脅。現在急需對在移動智能終端上進行讀取和處理數據進行有效控制，確保其安全保密。

現有的MDM產品中移動終端數據保護主要有明朝萬達的chinasec（安元）移動安全管理平臺，主要通過文件加密加VPN安全傳輸來實現。所有從內部網絡發送到移動終端的數據均加密，在移動終端通過產品的客戶端輸入密碼認證后，才可對數據進行操作。

目前此技術不能對數據進行細粒度的區分隔離。所有的數據都通過移動網關加密后傳輸到移動智能終端，所有通過移動網關推送至移動智能終端的應用均可對這些數據進行操作。數據保密性僅通過統一的加密和VPN傳輸來保證，不能針對不同類型的數據實行不同的保護策略，也不能限定不同的移動應用對不同數據的操作權限。一旦誤推送一非法授權應用，此應用便具有權限讀取所有數據。另外對所有通過移動網關傳輸到移動智能終端的數據都采用加密和VPN的傳輸方式，對資源的耗用較大。

現有的個人移動終端數據保護主要有騰訊手機管家、360手機安全衛士等產品，均使用文件保密箱的方法。用戶將指定的數據放入“保險箱”，當移動應用對這些數據進行訪問操作時對此應用進行權限驗證（用戶輸入密碼驗證），判別后授權應用對所有數據進行操作，以實現對移動數據保密性的控制。

目前此技術只能實現對數據粗粒度的控制。不僅每個敏感數據都需要用戶手動添加到文件保密箱內，而且每次使用該敏感數據時都需要用戶手動輸入密碼。數據的保密性級別十分單調，只分為“保密”、“不保密”這2個級別；數據的保密性也不強，一旦密碼泄露或其它應用通過某一移動應用獲得數據操作權限，則所有的數據都得不到有效保護；此外這些敏感數據只能在移動終端上得到保護，一旦取得合法權限的應用將其發送到本移動終端之外則不能再對此敏感數據進行保護。

發明內容

本發明的目的是為了克服現有技術的缺陷，提供一種移動數據隔離的系統及方法，解決移動智能終端中數據的安全隔離及完整保密性。

一種移動數據隔離的系統，由標簽tag控制管理模塊和移動數據管理模塊組成；標簽tag控制管理模塊包括標簽tag生成器、標簽tag存儲管理模塊和標簽tag傳輸控制模塊；標簽tag生成器包括數據標簽data-tag生成器和移動應用標簽app-tag生成器，在數據標簽data-tag和移動應用標簽app-tag生成或變動完成后通知標簽tag存儲管理模塊；標簽tag存儲管理模塊負責數據標簽data-tag和移動應用標簽app-tag的存儲；標簽tag傳輸控制模塊包括對data-tag的傳輸管理和對app-tag的傳輸同步管理。

移動數據管理模塊根據標簽識別用戶權限和數據保密級別，對移動數據的移動應用進行操作控制，以實現移動數據細粒度的保密安全防護。

移動數據管理模塊分為數據處理過程的安全隔離控制、數據傳輸過程的安全控制和數據存儲中的安全隔離控制；數據處理過程的安全隔離控制在移動智能終端和移動接入網關上實現；數據傳輸過程的安全控制包括數據從移動接入網關傳輸到移動智能終端過程和數據從移動智能終端傳輸到外部過程這兩種情況進行的數據安全控制；數據存儲中的安全隔離控制對移動終端上的靜止數據進行隔離；若收到數據訪問消息通知，立即通知數據處理過程的安全隔離控制模塊；若收到數據傳送消息通知，立即通知數據傳輸過程的安全控制模塊。

優選的，標簽tag存儲管理還負責對移動設備data-tag數據庫、移動設備app-tag數據庫、移動接入網關app-tag數據庫這三個數據庫的運行維護。

優選的，數據標簽data-tag生成器負責生成移動數據的標簽，分為移動智能終端data-tag生成器和移動接入網關data-tag生成器兩部分；在移動智能終端設置data-tag數據庫，在移動接入網關不設置data-tag數據庫。

優選的，移動應用標簽app-tag生成器主要負責生成移動應用的標簽，分為移動智能終端app-tag生成器和移動接入網關app-tag生成器兩部分；在移動智能終端和移動接入網關均有app-tag數據庫。