本發明公開了一種磁盤資安系統，包含：處理模塊，協調系統組件間的運算資源與運作；位鎖磁盤管理模塊，管理位鎖磁盤與涉密文件；位鎖磁盤驅動模塊，耦接上述的位鎖磁盤管理模塊，將位鎖磁盤耦接于處理模塊，使涉密文件得被處理模塊所存取；防護驅動模塊，耦接位鎖磁盤驅動模塊，防止未經允許存取儲存于位鎖磁盤之中的涉密文件；以及，位鎖磁盤認證模塊，耦接位鎖磁盤管理模塊，于位鎖磁盤啟動或存取涉密文件時，認證位鎖磁盤，或涉密文件的保護權限。

技術領域

本發明涉及一種資安系統，更詳而言之，為一種通過將檔案儲存于位鎖磁盤，并在存取時須通過軟、硬件加密認證，以避免檔案遭到非法備份、破壞，或旁道攻擊的資安防護系統。

背景技術

隨著計算機科技的發展，現代人不管在工作、學習、科研或其他應用皆采用計算機，或各種終端機為作業工具，尤其在企業、政府單位、金融機構、軍事單位，均無時無刻在產生大量的電子檔案。然而，在信息化時代，只要牽涉到重要的，具有無論商務、策略、軍事、智慧創作等等具重大價值的電子檔案，即存在因組織內部管理不慎而泄漏，或遭到外部攻擊的可能，例如從組織內部非法備份、破壞電子檔案，或是物理上將裝有電子檔案的儲存設備夾帶至外部，再到由外部終端機通過網絡攻擊或竊取，一再使得企業或組織承受利益上的損失。此外，由于現代計算機的操作系統多可容納多組用戶賬號，亦或網絡服務器的分享，因此在多位使用者同時共享下，就必須對各種不同機密程度的文件加以區分。

在過往的信息安全系統架構中，例如中國專利CN102708335，其公開了一種涉密文件的保護系統。在該系統架構中，其揭示了以一沙盤程序(SandBox)為基礎，客戶端將儲存于服務器端的涉密文件下載于該沙盤程序中，進行處理的應用。客戶端通過和服務器端聯機后，將涉密文件下載至一與實體磁體有所隔離的沙盤程序中進行有限度編輯，例如，依照權限設定可存取的動作，例如：寫入、讀取、拷貝、刪除，使其具有防止客戶端將涉密文件流出至外部終端機的效能，在信息安全確實了提高的組織或企業的資安防護程度。然而，如同前述，該系統并未具有辨識加密檔案所屬的服務器端以及客戶端的技術特征，這導致了在客戶端中可能具有安全性的漏洞，例如，在物理上將安裝有客戶端系統的終端機中的儲存設備卸下(如直接拆下計算機中，客戶端所在的硬盤)，并將儲存設備在他地安裝在另一終端機上(如將所拆下的硬盤裝于另一臺計算機)，但此涉密文件依然可在客戶端與服務端聯機后，于第三方的客戶端上進行使用；再例如，該系統并未針對第三方終端機的遠端聯機做出限制，這使得雖然客戶端在編輯涉密文件時，雖然的確因沙盤程序中的限制機制，無法做出將涉密文件備份至遠端聯機至客戶端的第三方終端機，但第三終端機仍有機會利用本身的屏幕截圖功能，將涉密文件中的內容記錄下來(如，利用第三方終端機通過TeamViewer、Anydesk、ShowMyPC、UltraVNC，或Splashtop等軟件，甚或操作系統的后門做遠端聯機時，以第三方終端機屏幕截圖的功能，而非由客戶端直接拷貝，來紀錄涉密文件內容，藉以規避客戶端于沙盤程序中的限制機制)。

對于信息安全來說，一些應用程序，例如加密裝置應用程序(Encrypted DeviceApplication，EDA)，可以將一個特定的檔案空間進行加密，且將加密檔案儲存于隔離磁盤。隔離磁盤可以使用不同的加密算法來保存用戶的信息，以避免病毒或是黑客的惡意攻擊。現有技術中，在建立加密檔案的過程中，加密裝置應用程序依據用戶設定的密碼來對于檔案進行加密。在處理加密檔案的過程中，加密裝置應用程序亦判斷密碼是否正確來決定是否將加密檔案設為隔離磁盤。由于檔案僅依據用戶設定的單一密碼進行加密。密碼極有可能被其他人破解，使得加密檔案可以被其他人使用。另外，由于現有的隔離磁盤不具有任何的控管機制，無法提供不同用戶的存取彈性。此外，由于隔離磁盤的管理機制中并無法辨識加密檔案所屬的主機，加密檔案亦可能被復制到其他的主機上使用。

因此，于現時時點上，對于現有基于隔離磁盤于信息安全上的應用，仍有進一步改進的必要，以避免隔離磁盤中的檔案，通過物理上，將儲存設備加以移動，或透過來源不明的遠端聯機以隔離磁盤當作跳板，以竊取隔離磁盤中的檔案數據，造成企業或組織的損失。

發明內容