专利名称:一种用于数据泄密防护的计算机系统的制作方法
一种用于数据泄密防护的计算机系统技术领域
本发明属于信息安全领域,具体来说是涉及对计算机中的数据进行安全保护的一 种用于数据泄密防护的计算机系统。
背景技术:
内部战略规划、技术秘密、商业机密这些敏感数据广泛存在于政府机关、企事业单 位中,这些敏感数据通常都要求被严格限定在一定范围内使用,如果泄露到组织之外,将会 对组织利益造成严重的破坏,甚至是毁灭性的打击。据调查,组织内部大部分的泄密行为都 是由于内部工作人员有意或者无意的操作造成的。
为了防止泄密行为的发生,很多组织内部都有严格的管理制度。例如,高科技企业 的研发部通常使用物理隔离的内部网络,禁止研发人员通过工作机访问互联网;禁止个人 使用未经许可的移动存储设备等。长期以来,这种简单而高效的管理措施取得了一定的效 果,但是随着信息技术的快速发展,例如企业应用的互联网化和移动网络的普及,这种封闭 式的管理手段将成为企业健康发展的严重障碍。
为此,数据泄密防护系统作为解决信息安全的技术手段被发展起来,其主要的功 能是标识网络环境和计算机存储中的敏感信息,监控数据的访问和传输,防止敏感信息的 泄漏。
其中一类数据泄密防护的计算机系统是根据数据的特征信息(如关键字、特定的 文件类型或属性等)来判断数据的敏感性,但是,由于用户是在单一的工作环境下操作计 算机,敏感信息的范围不明确,很容易造成有意或无意的违规操作,触发系统的防护措施, 造成使用不便。
另一类数据泄密防护的计算机系统采用文件加密的方式,将应用程序操作的所有 文件进行加密存储。通常系统提供两种使用模式工作模式和普通模式。当授权用户登录 系统后进入工作模式,在此模式下应用程序所访问的所有文件都自动被加密存储,应用程 序读取这些加密文件时会自动解密;将加密文件复制到U盘或作为邮件发送都不解密,保 持密文状态。当进入普通模式时,访问的所有的文件都不进行加解密。这类系统通过文件 加密的方式来防止内部数据的泄漏,但用这种方式在使用上有很大不便,因为一个应用程 序只能在其中一种模式下工作,在工作模式下所有被访问的文件都是加密的,这些加密的 文件在转到普通模式下看到的也是加密的。这导致很多不需要加密的文件因在工作模式下 被加密而在普通模式下无法访问。另外因两种模式的模式规则,使得无法同时处理加密文 件和非加密文件,因为非加密文件在工作模式下对其访问后也会变成加密文件。因此这种 模式很难应用于现实使用中。
还有一类数据泄密防护的计算机系统采用多用户分别授权登陆的操作方式。该 系统创建多个用户,将每个用户的配置保存到系统组件中,当一个用户访问另一个用户的 私有文档目录时,系统通过组件判断是否有权限进行访问。但是如果使用多用户的这种方 式来保护数据,在使用上存在很多不方便和不安全的问题,其中包括系统无法根据不同的用户对网络等资源进行开启或禁用的选择,使得每个用户都可以上网,导致数据可以有意 或无意的发布到互联网中;另外,针对这种数据泄密防护的技术方案,对计算机很有了解的 用户还可以修改系统组件,通过提升当前用户的权限或者修改其他用户的私有文档访问权 限,使得其他用户的数据不安全;再有,从应用程序角度上,用户可以设置一些应用程序只 运行在自己的用户下,但实际上其他用户也可以提升权限来运行这些程序,导致应用程序 的随意运行。
上述几类数据泄密防护系统都存在各自的缺点,都不能兼顾使用方便以及数据安 全这两方面。发明内容
为了解决现有技术中的数据泄密防护系统方便和安全不能兼顾的技术问题,本发 明提出了一种可以在很好的防止有意或者无意数据泄密的、同时操作方便的、用于数据泄 密防护的计算机系统。
本发明的技术方案如下
一种用于数据泄密防护的计算机系统,包括多个并行运行的桌面,每个所述桌面 单独分别设置有不同安全级别的资源访问策略,多个所述桌面之间相互隔离。
在上述技术方案中,设置的所述资源访问策略包括
每个所述桌面独立的数据区域;
每个所述桌面禁止使用的资源;
每个所述桌面的环境变量。
在上述技术方案中,每个所述桌面禁止使用的所述资源包括
文件、目录、网络、以及注册表项,的访问权限;
图形、文字输出设备的使用权限;
计算机端口的使用权限;
应用程序的启动权限。
在上述技术方案中,所述图形、文字输出设备包括打印机,传真机。
在上述技术方案中,所述计算机端口包括USB接口、串口、并口、蓝牙接口。
在上述技术方案中,多个所述桌面之间相互隔离具体是包括
各个所述桌面的剪切板数据相互隔离;
违反所述资源访问策略的系统进程禁止启动;
违反所述资源访问策略的不同系统进程间禁止通信。
在上述技术方案中,所述资源访问策略保存到非易失性存储介质中。
本发明的用于数据泄密防护的计算机系统具有以下的有益效果
本发明的用于数据泄密防护的计算机系统,为用户创建不同的计算机操作环境, 使得用户在操作敏感数据和非敏感数据时处于各自独立的操作界面下,可以有效的简化数 据泄密防护系统的实现方法,并大大降低用户违规操作的可能性。
本发明的用于数据泄密防护的计算机系统,用户可以方便的在多个桌面间切换, 同时,在保证易用性的同时还实现了高效便捷的数据泄密防护功能,本发明的用于数据泄 密防护的计算机系统,使用不同的桌面显式的划分不同安全等级的工作环境,用户在不同的桌面环境中进行该安全等级所允许的操作,访问该安全等级所授权的数据和资源,而且 各个桌面是同时运行的,不同桌面下启动的应用程序自然的归属到相应的安全等级中,通 过在创建桌面时设置各自的环境变量和私有数据区域将数据划分到对应的安全等级中,将 各个桌面及其所包含的进程隔离在各自的环境中。
图1为本发明的用于数据泄密防护的计算机系统所具备的功能和作用的示意图2为图1中所示的本发明的用于数据泄密防护的计算机系统中,多桌面环境的 设定以及其工作原理的示意图。
具体实施方式
本发明的主要发明思想为在计算机中部署一个多桌面管理系统,在用户登陆系 统后,运行多桌面管理系统即可实现数据泄密防护的功能。
所述可实现数据泄密防护的功能棘突包括
1、创建多桌面
根据系统的安全策略需求,为同一计算机登录用户创建多个并行运行的桌面环^Mi ο
2、切换桌面
提供通过用户界面和快捷键切换桌面的方法,用户可以快捷的切换到任意桌面。 切换后,前一桌面的状态不受影响。
3、定义各个桌面的相关安全级别的资源访问策略
3. 1设置各个桌面的独立的数据区域
为每个桌面设置各自独立的私有数据区域,每个所述数据区域中的文件只能被该 桌面中运行的进程访问,所述数据区域的目录位置、访问权限由该桌面的资源访问策略决定。
3. 2对禁止使用的资源的设置
因桌面的不同而设置的资源的限制访问或者禁用。所述资源包括文件、目录、 网络、以及注册表项,的访问权限;打印机、传真机或其它图形、文字输出设备的使用权限; USB、串口、并口、蓝牙和其它计算机端口的使用权限。
3. 3为各个桌面设置独立的环境变量;
环境变量是计算机运行时预先设置的一些信息,以Windows操作系统为例,临时 文件一般位于由TEMP环境变量指定的目录中,而应用程序的数据文件通常存储在APPDATA 环境变量指定的目录中。
多桌面管理系统列举计算机中需要隔离的环境变量,为每个桌面设置各不同的环 境变量值。这样在每个桌面运行的应用程序将使用不同的环境变量值,以实现了隔离目的。
3. 4设定并记录应用程序启动权限
设定并记录应用程序的安全等级,将所有在某个桌面环境下启动的应用程序归属 到该桌面的安全等级中,并记录在该安全等级的程序列表中。当退出某个应用程序,删除该 安全等级的程序列表中该应用程序的记录。
4、实施桌面环境的隔离和访问监控
隔离各个桌面的剪贴板数据为每个桌面维护一个剪贴板数据副本,当切换桌面 时,将切换出当前系统的剪贴板数据复制到切换出的桌面的剪贴板数据副本,将切换入的 桌面的剪贴板数据副本复制到当前系统的剪贴板。
监控应用程序的启动过程,根据当前桌面的安全等级,禁止某些个应用程序的进 程启动。
通过监控各个进程对进程间通信系统函数接口的调用,发现并阻止违反安全策略 的进程间通信。
5、独立设置的数据管理
将各个桌面环境下设置的信息分别独立的存储到非易失性存储介质中,这样可以 有效的防止外界的影响。所有的数据都是通过加密存储。当读取非易失性存储介质中数据 时再解密得到明文信息。确保桌面配置的安全性,每个桌面环境存储的信息都不互相依赖 和影响。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并结合具体实 施例,对本发明进一步详细说明。
实施例一
在本实施例中,要解决的问题是为用户创建不同的计算机操作环境,使得用户在 操作敏感数据和非敏感数据时处于各自独立的操作界面下,从而有效的保护数据。
本实施例的应用环境正常登录计算机系统后的所有用户,并成功安装了多桌面 管理系统应用软件。
根据图1和图2所示,本实施例的具体方案如下
1.桌面管理系统首先为登录用户创建多个桌面,并为其命名。例如创建两 个桌面“工作桌面”和“上网桌面”。在Windows操作系统中,通过调用系统接口函数 "CreateDesktop"即可创建新的桌面。
2.桌面管理系统设置“工作桌面”和“上网桌面”的安全级别及相关的资源访问策 略。不同安全级别的所述资源访问策略的设置信息都将保存到多桌面管理系统的非易失性 存储介质中,例如数据库存储介质,具体包括
2. 1设置两个桌面各自的用户数据区域
桌面管理系统为每个桌面设置各自的独立的数据区域,每个区域中的文件只能被 该桌面中运行的进程访问。例如设置“工作桌面”的数据区域为“D:\W0rkData\”,“上网桌 面”的数据区域为“D:\NetData\”。这样,“D:\W0rkData\”中的文件只能由“工作桌面”中 运行的进程访问,而不能被“上网桌面”中运行的进程访问;反之亦然。
2. 2设置计算机资源的访问权限
根据安全策略需求为各个桌面设置资源访问权限和安全级别。
例如“工作桌面”下禁止进程对网络、蓝牙、USB和其他计算机端口的访问。“上网 桌面”下开启进程对网络、蓝牙、USB和其他计算机端口的访问。禁用对文件夹“E:\Private Work\"的访问权限。
程序通过调用系统API或者修改注册表等实现上述操作。比如禁用或开启网络, 调用SetupApi. dll内公开的API接口 “ktupDiChangeMate”函数即可实现。
2. 3设置环境变量
桌面管理系统为各个桌面中需要隔离的环境变量分别设置不同的取值。例如环 境变量APPDATA (默认情况下应用程序存储数据的位置)和TEMP (默认情况下应用程序存 储临时文件的位置)。
例如
在“工作桌面”中,设置APPDATA = “C: \WorkDir\AppData\”,设置 TEMP =“C:\ fforkDir\Temp\"0
在“上网桌面”中,设置APPDATA = “C: \NetDir\AppData\”,设置 TEMP =“C:\ NetDir\Temp\"0
本具体实施方式
的应用过程如下。
I 桌面私有独立的数据区域的安全性
通过程序界面切换到“工作桌面”环境下。进入数据区域“D:\W0rkData\”目录,在 该目录下创建文件名为“a. txt”,创建成功。可以对“a. txt”内容的修改和文件的删除。再 尝试进入“D:\NetData\”目录,系统将提示“拒绝访问”。同理切换到“上网桌面”环境,分别 再访问这两个目录,"D:\NetData\"目录可以进行读写文件操作。“D: \W0rkData\”则拒绝 访问。因为“D: \WorkData\”数据区域私有于“工作桌面”,支持可读可写。“D: \NetData\” 数据区域私有于“上网桌面”支持可读可写。
II 桌面环境变量的隔离
切换到“工作桌面”,编写Word文档,在数据区域“C:\WorkDir\Temp\”下发现Word 产生的相关文件。切换到“上网桌面”环境,进行相同操作,产生的word相关文件保存到了 “C:\NetDir\Temp\”下。因为在不同的桌面下,环境变量% TEMP%的值不同,所以保存的数 据位置也不同。
III 进程访问或使用的资源的可靠性
切换到“工作桌面”,打开IE浏览器,输入“www. baidu. com”访问互联网,IE提示 无法打开网页。通过命令行访问局域网计算机,无法访问。将U盘插入到USB接口,系统没 有发现有硬件插入动作。点击蓝牙软件,例如流行的“bluesoleil”软件,得到结果为“无法启动蓝牙”。
切换到“上网桌面”,重新执行上述操作,局域网、互联网、USB接口、蓝牙功能都能 使用。之后尝试打开“E:\Private Work\”目录,系统提示“拒绝访问”,因为在此桌面下设 置了禁用此目录。
IV 监测进程启动,禁用部分应用程序进程的启动
切换到“上网桌面”,运行QQ软件,可以启动。关闭QQ并切换到“工作桌面”,再次 运行QQ软件,无法启动。通过监测每个启动的应用程序,并根据当前的桌面安全级别对某 些程序进行禁用。
V 各个桌面间的剪贴板数据的安全性
在“上网桌面”环境下复制任意文件到剪贴板中,例如“F:\data. txt”,立刻切换到 “工作桌面”,粘贴剪贴板中文件,无法粘贴。切换回“上网桌面”,粘贴文件,粘贴成功。因为 程序为每个桌面都维护一个剪贴板数据副本,程序根据切换的桌面,将上一个桌面数据保 存,将当前桌面数据复制到当前系统的剪贴板中,所以可以保证复制数据只在本桌面中可以粘贴。
VI 禁止不同安全等级的资源访问策略的进程进行通讯
在应用程序从“上网桌面”中被启动时,程序立刻将应用程序的进程归属到“上网 桌面”的安全等级的资源访问策略中,并记录进程ID。当切换到“工作桌面”时,启动的进 程归属为“工作桌面”,记录进程ID。当“工作桌面”下的进程向“上网桌面”下运行的进程 进行通讯时,程序将进行拦截,阻止其信息交互。
以上所述,只是本发明的较佳实施例而已,并非对本发明做任何形式上的限制,任 何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内 容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容, 依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本 发明技术方案的范围。
权利要求
1.一种用于数据泄密防护的计算机系统,其特征在于,包括多个并行运行的桌面,每个 所述桌面单独分别设置有不同安全级别的资源访问策略,多个所述桌面之间相互隔离。
2.如权利要求1所述的计算机系统,其特征在于,设置的所述资源访问策略包括 每个所述桌面独立的数据区域;每个所述桌面禁止使用的资源; 每个所述桌面的环境变量。
3.如权利要求2所述的计算机系统,其特征在于,每个所述桌面禁止使用的所述资源 包括文件、目录、网络、以及注册表项,的访问权限; 图形、文字输出设备的使用权限; 计算机端口的使用权限; 应用程序的启动权限。
4.如权利要求3所述的计算机系统,其特征在于,所述图形、文字输出设备包括打印 机,传真机。
5.如权利要求3所述的计算机系统,其特征在于,所述计算机端口包括USB接口、串口、并口、蓝牙接口。
6.如权利要求1所述的计算机系统,其特征在于,多个所述桌面之间相互隔离具体是 包括各个所述桌面的剪切板数据相互隔离; 违反所述资源访问策略的系统进程禁止启动; 违反所述资源访问策略的不同系统进程间禁止通信。
7.如权利要求1所述的计算机系统,其特征在于,所述资源访问策略保存到非易失性 存储介质中。
全文摘要
本发明提出一种用于数据泄密防护的计算机系统,其特征在于,包括多个并行运行的桌面,每个所述桌面单独分别设置有不同安全级别的资源访问策略,多个所述桌面之间相互隔离。本发明的用于数据泄密防护的计算机系统,为用户创建不同的计算机操作环境,使得用户在操作敏感数据和非敏感数据时处于各自独立的操作界面下,可以有效的简化数据泄密防护系统的实现方法,并大大降低用户违规操作的可能性。
文档编号G06F21/22GK102043927SQ20101061199
公开日2011年5月4日 申请日期2010年12月29日 优先权日2010年12月29日
发明者孙吉平, 韩勇 申请人:北京深思洛克软件技术股份有限公司