技術領域

本發明涉及內網信息保護控制系統，具體地說是一種防止內網計算機網絡信息泄露的方法，尤其針對電力、國防、政府等高安全要求行業內部網絡的一種信息保護防護方法。

背景技術

近年來ICT技術的高速發展給工作與生活憑借技術動力變得更加便利，包括電力、國防、政府在內的安全敏感行業應用越來越依賴于計算機網絡，網絡安全問題日益嚴峻。防火墻、安全隔離、入侵檢測、安全U盤等安全措施為保障系統安全提供了一定的技術手段。在自主知識產權的操作系統方面，我國也取得了一定的進展。

目前，安全敏感行業的計算機網絡系統，大多采取了雙網方案，即內部網絡/外部網絡/物理隔離的模式，在一定意義上，阻斷了內部信息網絡泄露的渠道。另一方面，Windows操作系統的技術地位及其易用性，在行業辦公的桌面操作系統具有絕對份額，目前主要包括Windows?XP、Windows7等版本。不可以忽視的現狀是由于智能手機等移動終端的便利性及Windows操作系統的自動連接機制，不經意間的智能手機充電、Wifi功能，都會造成內部網絡計算機與公網的連接。

因此，本發明提供了一種內網信息保護方法與系統，可以通過技術手段降低信息泄露風險，增強內網桌面計算機的信息安全。

發明內容

針對現有技術中存在的上述不足之處，本發明是一種內網信息保護方法與系統，通過對桌面計算機進行安全加固，控制僅允許內網特定網段的網絡通信，屏蔽該桌面計算機對公網的一切訪問，實現內網信息保護。

本發明為實現上述目的所采用的技術方案是：一種內網信息保護方法與系統，包括以下步驟：

規范內網的網絡地址，形成一定規則，并在系統軟件編譯時固化到映像文件中；

在內核引擎初始化時啟動防范組件，對內核引擎的注冊表及映像文件進行保護；

通過內核引擎對內網的網絡流量進行認證和過濾，對于符合規則的內網流量直接放行，對于不符合規則的非內網流量進行丟棄阻斷。

所述過濾采用操作系統內核驅動的方式。

所述丟棄阻斷的信息記錄到管理日志中用于管理分析。

所述過濾由過濾規則判斷。

所述規則判斷不超過5條，在方案設計時確定，在軟件編譯階段固化到映像文件中，且無法直接修改。

所述防范組件啟動時，打開并鎖定內核驅動服務的注冊表項，直到計算機關閉時，才釋放鎖定資源。

所述防范組件啟動時，將映像文件以獨占方式載入內存，使得非防范組件的程序無法獲得映像文件句柄而無法獲得操作權限，實現映像文件的保護。

所述通過內核引擎對內網的網絡流量進行認證，具體為：采用分布式架構的接入認證接口，通過服務協議與接入認證服務器進行通信，與網絡交換機端口接入管理的互動。

一種內網信息保護系統，包括：

內核引擎模塊，用于對進出系統的所有網絡數據包進行監控，根據固化規則模塊存儲的過濾規則進行過濾，并予以放行或丟棄阻斷；自動運行防范組件模塊，對內核服務進行保護，防止非法修改或停止服務；

防范組件模塊，在系統啟動時首先起效；在內核引擎模塊中運行，以組件形式，通過內存映像鎖定；通過獨占鎖定注冊表項，實現對服務的保護，防止非授權的服務卸載或刪除；

固化規則模塊，存儲用于網絡過濾的過濾規則；

接入認證模塊，用于分布式架構的接入認證接口，通過接入認證服務器與網絡交換機端口管理互動；

管理日志模塊，用于對在保護期間發現的外網數據包進行記錄，直接以文件形式進行本地記錄，并可以根據部署環境，將各類記錄及引擎啟動情況進行日志上傳。

所述過濾規則包括：（1）允許內網特定網段之間的網絡通信；（2）默認禁止所有網絡通信。

本發明具有以下優點及有益效果：

1.本發明采用分布式的系統加固方式，實現內網信息保護，對內網的網絡拓撲沒有要求和直接影響，網絡適應性強。

2.本發明采用固化規則，防止檢查規則的修改，由于檢查規則要求少于5條，系統資源占用少，檢查效率高。

3.本發明以內核驅動形式，從系統底層對網絡流量進行檢查阻斷，與具體的網絡連接方式無關，可以同時防范以太網、無線Wifi、智能手機撥號、藍牙網絡等網絡連接，有效防止內網計算機網絡信息泄露。

附圖說明

圖1為本發明內網信息保護系統架構圖；

圖2為本發明系統啟動流程圖。