本發(fā)明提供一種涉密計算機的內(nèi)外網(wǎng)訪問控制方法及訪問控制系統(tǒng)，方法包括：在服務(wù)端設(shè)置客戶端網(wǎng)絡(luò)訪問策略，客戶端網(wǎng)絡(luò)訪問策略包括禁止訪問內(nèi)網(wǎng)、禁止訪問外網(wǎng)、連接外網(wǎng)時通知云控服務(wù)器、連接外網(wǎng)時退出客戶端、連接外網(wǎng)時發(fā)送郵件；其中，客戶端包括應(yīng)用層和驅(qū)動層；應(yīng)用層將客戶端網(wǎng)絡(luò)訪問策略加載到驅(qū)動層，以使驅(qū)動層根據(jù)加載的客戶端網(wǎng)絡(luò)訪問策略進行網(wǎng)絡(luò)訪問控制。對于涉密計算機，本發(fā)明通過設(shè)置不同的網(wǎng)絡(luò)訪問策略，保證了客戶端所在計算機訪問內(nèi)外網(wǎng)絡(luò)的數(shù)據(jù)安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機安全訪問領(lǐng)域，更具體地，涉及一種涉密計算機的內(nèi)外網(wǎng)訪問控制方法及訪問控制系統(tǒng)。

背景技術(shù)

對于涉密使用的計算機是嚴(yán)禁連接外網(wǎng)的，涉密使用計算機在斷開外網(wǎng)的內(nèi)網(wǎng)使用時，不存在連接外網(wǎng)的風(fēng)險，但有些涉密計算機需要帶出內(nèi)網(wǎng)進行外部作業(yè)，在離開內(nèi)網(wǎng)期間存在連接外部內(nèi)網(wǎng)和Internet網(wǎng)的風(fēng)險，這就需要一種方法來控制涉密計算機的內(nèi)外網(wǎng)訪問，保證涉密計算機的數(shù)據(jù)安全性。

發(fā)明內(nèi)容

本發(fā)明針對現(xiàn)有技術(shù)中存在的技術(shù)問題，提供一種涉密計算機的內(nèi)外網(wǎng)訪問控制方法及訪問控制系統(tǒng)。

根據(jù)本發(fā)明的第一方面，提供了一種涉密計算機方法，包括：在服務(wù)端設(shè)置客戶端網(wǎng)絡(luò)訪問策略，所述客戶端網(wǎng)絡(luò)訪問策略包括禁止訪問內(nèi)網(wǎng)、禁止訪問外網(wǎng)、連接外網(wǎng)時通知云控服務(wù)器、連接外網(wǎng)時退出客戶端、連接外網(wǎng)時發(fā)送郵件；其中，所述客戶端包括應(yīng)用層和驅(qū)動層；應(yīng)用層將客戶端網(wǎng)絡(luò)訪問策略加載到驅(qū)動層，以使驅(qū)動層根據(jù)加載的客戶端網(wǎng)絡(luò)訪問策略進行網(wǎng)絡(luò)訪問控制。

在上述技術(shù)方案的基礎(chǔ)上，本發(fā)明還可以作出如下改進。

可選的，所述應(yīng)用層將客戶端網(wǎng)絡(luò)訪問策略加載到驅(qū)動層，以使驅(qū)動層根據(jù)加載的客戶端網(wǎng)絡(luò)訪問策略進行網(wǎng)絡(luò)訪問控制，包括：客戶端應(yīng)用層在啟動時，根據(jù)設(shè)置的客戶端網(wǎng)絡(luò)訪問策略判斷所在計算機是否連接外網(wǎng)，如果是，則根據(jù)客戶端網(wǎng)絡(luò)訪問策略判斷在連接外網(wǎng)時，是否需要通知云控服務(wù)器、是否啟動客戶端或是否向指定郵箱發(fā)送郵件。

可選的，當(dāng)客戶端應(yīng)用層根據(jù)設(shè)置的客戶端網(wǎng)絡(luò)訪問策略判斷是否連接外網(wǎng)，但客戶端所在計算機當(dāng)前未連接外網(wǎng)時，開啟網(wǎng)絡(luò)監(jiān)控監(jiān)視器，用于實時監(jiān)控客戶端所在計算機的網(wǎng)絡(luò)狀態(tài)；當(dāng)監(jiān)控到客戶端所在計算機網(wǎng)絡(luò)狀態(tài)為連接外網(wǎng)時，則根據(jù)判斷的是否需要通知云控服務(wù)器、是否啟動客戶端或是否向指定郵箱發(fā)送郵件執(zhí)行相應(yīng)的操作。

可選的，還包括：客戶端對涉密數(shù)據(jù)自動加密，得到加密后的涉密數(shù)據(jù)，所述涉密數(shù)據(jù)離開涉密環(huán)境則無法打開，以及當(dāng)客戶端退出時，將無法訪問所述涉密數(shù)據(jù)。

可選的，所述驅(qū)動層根據(jù)加載的客戶端網(wǎng)絡(luò)訪問策略進行網(wǎng)絡(luò)訪問控制，包括：客戶端驅(qū)動層啟動，添加過濾層，過濾客戶端所在計算機的所有訪問，當(dāng)客戶端所在計算機有網(wǎng)絡(luò)訪問時，通過過濾層獲取訪問端口、訪問進程和訪問目的IP；

基于所述訪問端口、訪問進程和訪問目的IP，判斷網(wǎng)絡(luò)的訪問類型，所述網(wǎng)絡(luò)的訪問類型包括例外訪問、內(nèi)網(wǎng)訪問和外網(wǎng)訪問；

基于所述網(wǎng)絡(luò)的訪問類型和設(shè)置的客戶端網(wǎng)絡(luò)訪問策略，允許相應(yīng)網(wǎng)絡(luò)訪問或者阻止相應(yīng)網(wǎng)絡(luò)訪問。

可選的，基于訪問端口、訪問進程和訪問目的IP，判斷網(wǎng)絡(luò)的訪問類型，包括：根據(jù)訪問端口和訪問進程，判斷是否為例外訪問，以及根據(jù)訪問目的IP，判斷是內(nèi)網(wǎng)訪問IP或者外網(wǎng)訪問IP。

可選的，基于所述網(wǎng)絡(luò)的訪問類型和設(shè)置的客戶端網(wǎng)絡(luò)訪問策略，過濾所有網(wǎng)絡(luò)訪問，允許網(wǎng)絡(luò)訪問或者阻止網(wǎng)絡(luò)訪問，包括：

當(dāng)為例外訪問時，則允許相應(yīng)網(wǎng)絡(luò)訪問；

當(dāng)設(shè)置的客戶端網(wǎng)絡(luò)訪問策略為禁止內(nèi)網(wǎng)訪問且禁止外網(wǎng)訪問時，則阻止相應(yīng)網(wǎng)絡(luò)訪問；