专利名称:一种终端防泄密控制方法及终端的制作方法
技术领域:
本发明涉及计算机保密领域,尤其涉及一种终端防泄密控制方法及终端。
背景技术:
随着信息技术,特别是网络技术的普及,互联网已经渗透到工作和生活的各方面。但因为终端用户的素质和安全意识参差不齐,有意识或无意识的泄密行为随时都有可能发生。多年来,泄密事件一直在发生,如2002年《传奇》的游戏源码泄密,2003年Half-Life 2源代码泄露,2004年微软Windows源码泄密,以及2010年卡巴斯基KasperskyInternet Security 8源码泄密,而那些更为耳熟能详的如维基解密等等,不论是哪一个泄密事故,都对当事企业或个人造成了不可磨灭的影响。处理泄密的复杂问题,现有多种解决方案,如1、硬隔离使用多机(多盘)方案,在员工办公时使用一套硬件,与互联网交流或出差等时使用另一套硬件,达到物理上隔离,此方法的优点是隔离效果好,不易被攻破;而缺点也是显而易见的,其成本高,部署难,操作与易用性都不尽如人意。2、软隔离a)加密隔离将本机数据或重要文档做加密处理,对指定区域的指定文件做解密处理,达到可阅读编辑,不能外发的效果。此方法的优点是部署成本低;缺点是防泄密效果不理想,市场上的主流方法,也很难做到对所有外发软件判断,如果识别不成功,就会导致文档根本无法阅读,易用性极差。b)远程应用所有数据存放在远程服务器且运算逻辑均发生在服务器,本机相当于一个查看器,如RDP(Remote Display Protocol)等,数据不经过本机,优点是防泄密效果不错;缺点是对服务器要求高,成本高,对网络环境要求高,且远程计算机也不能上外网,只可以办公用,易用性不好。从上面列举的现有方法可总结出,一种好的防泄密方案需要满足以下几个方面防泄密效果、成本、易用性以及部署与反部署是否方便,但是,当前的解决方案中,很难看到能提供防泄密效果好、易用性高、成本低廉的解决方案。
发明内容
本发明要解决的技术问题在于针对现有技术中无法提供防泄密效果好、易用性高、成本低廉的解决方案的缺陷,提供一种防泄密效果好、易用性高、成本低廉的终端防泄密控制方法及终端。本发明解决其技术问题所采用的技术方案是提供一种终端防泄密控制方法,包括以下步骤对操作系统进行虚拟化,隔离出一虚拟环境,将该虚拟环境与外网连接,而将用户操作系统的原始环境与外网断开;
在所述虚拟环境中,检查是否有打开文件的用户行为操作,所述用户行为操作是打开文件的所有有效方式;若有打开文件的所述用户行为操作,则判断用户所打开的文件是否为所述原始环境中的文件;若用户所打开的文件为所述原始环境中的文件,则阻止该文件打开。本发明所述的方法中,在Windows操作系统中,在应用层使用LSP控制所述原始环境与外网断开;在Linux操作系统中,在驱动层使用netfilter控制所述原始环境与外网断开。本发明所述的方法中,在Windows操作系统中,所述用户行为操作行为包括文件浏览、拖曳、命令行或快捷键方式传参数以及在程序提供的控件中输入文件路径;还包括shel 1内部对文件的复制、重命名、剪贴和移动操作以及shell自带工具封堵文件。本发明所述的方法中,通过截取所述虚拟环境运行程序中涉及用户行为操作的API来阻止用户打开所述原始环境中的文件。本发明所述的方法中,所述涉及用户行为操作的API包括用户打开文件时调用的用户界面交互的API。本发明所述的方法中,通过HOOK方式截取所述用户打开文件时调用的用户界面交互的API。本发明所述的方法中,将所述虚拟环境设置为虚拟桌面。本发明解决其技术问题所采用的另一技术方案是提供一种防泄密终端,包括虚拟环境设置单元,用于对操作系统进行虚拟化,隔离出一虚拟环境,将该虚拟环境与外网连接,而将用户操作系统的原始环境与外网断开;用户行为操作检查单元,用于在所述虚拟环境中,检查是否有打开文件的用户行为操作,所述用户行为操作是打开文件的所有有效方式;文件判断单元,用于在有打开文件的所述用户行为操作时,判断用户所打开的文件是否为所述原始环境中的文件;阻止文件打开单元,用于在用户所打开的文件为所述原始环境中的文件时,阻止该文件打开。本发明所述的终端中,在Windows操作系统中,所述用户行为操作行为包括文件浏览、拖曳、命令行或快捷键方式传参数以及在程序提供的控件中输入文件路径;还包括shell内部对文件的复制、重命名、剪贴和移动操作以及shell自带工具封堵文件。本发明所述的终端中,所述阻止文件打开单元具体用于通过截取所述虚拟环境运行程序中涉及用户行为操作的API来阻止用户打开所述原始环境中的文件。本发明所述的终端中,所述阻止文件打开单元具体用于通过Η00Κ方式截取所述用户打开文件时调用的用户界面交互的API。本发明所述的终端中,所述虚拟环境设置单元还用于将所述虚拟环境设置为虚拟桌面。本发明产生的有益效果是本发明通过将用户操作系统隔离出一虚拟环境,该虚拟环境中不包含任何“敏感信息”(需要保密的信息),且只有在该虚拟环境中才能访问外网,而将用户操作系统的原始环境与外网断开;当在虚拟环境中,发生打开文件的用户行为操作,且用户所打开的文件为原始环境中的文件时,则阻止该文件打开,使得内部保密文件无法在虚拟环境中被打开,从而很好地防止了保密信息的泄漏;虚拟环境下提供与外界(互联网)联络的途径,从而达到既保护了“敏感信息”,也能正常连接互联网,本发明在不影响用户正常办公的同时,也不影响上网聊天娱乐,易用性高;同时不需要更改现有部署环境,实现成本低廉。
下面将结合附图及实施例对本发明作进一步说明,附图中图1是本发明实施例终端防泄密控制方法的流程图;图2是本发明实施例中用户手动加载文件的流程图;图3是本发明另一实施例终端防泄密控制方法的流程图;图4是本发明实施例防泄密终端的结构示意图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。本发明通过在操作系统中虚拟出一个虚拟环境,在该虚拟环境中可以进行上网操作,而将操作系统的原始环境设置为相对封闭的环境,其与外网保持断开,对用户在虚拟环境中的操作进行过滤,用户只能在虚拟环境中上网浏览网页,聊天、娱乐等,禁止在虚拟环境中打开原始环境中的文件,从而避免了泄密事件的发生。图1为本发明实施例终端防泄密控制方法100,如图1所示,主要包括以下步骤S102对操作系统进行虚拟化,隔离出一虚拟环境,将该虚拟环境与外网连接,而将用户操作系统的原始环境与外网断开;虚拟环境可以为Windows平台的虚拟桌面,Linux平台的多桌面等,具体的虚拟环境实现可根据实际情况,不限于本发明实施例所列举的方法。以下将虚拟环境称为“上网域”,而将原始环境称为“安全域”,处于“安全域”内的文件信息不会被轻易泄露出去。上网等操作要移到新建立起来的虚拟环境中,即“上网域”内,所有在“上网域”中生成或改写过的文件都应该与“安全域”里的文件区分开来,区分的方法有多种,如对文件打标记,对文件重定向,维护文件列表等,不限于此处列举出来的方法。“安全域”不能连接外网,可以根据实际需求放通对该区域资源的访问以增强易用性;新的虚拟环境可以连接外网,可以访问原始环境(“安全域”)内的部分文件,因为加载系统文件(如DLL文件,SO文件,语言文件,安装程序里的配置文件等)或者软件运行时有些文件是必需的。具体阻止原始环境连接外网的实现方法可自行选定,在本发明实施例中,若在Windows操作系统中,可在应用层使用LSP (Layered Service ftOvider分层服务提供商)控制原始环境与外网断开;若在Linux操作系统中,可在驱动层使用netfilteH网络过滤器)控制原始环境与外网断开。
S104在虚拟环境中,检查是否有打开文件的用户行为操作。用户行为操作在本发明实施例中主要指用户打开文件的所有有效途径,以Windows操作系统为例,如通过双击打开文件,浏览文件对话框打开文件,拖拽文件,命令行或快捷键方式传参数,通过在程序提供的控件中输入文件路径打开文件,以及shell内部对文件的复制、重命名、剪贴和移动操作以及shell自带工具封堵文件等。在其他操作系统平台中类似的打开文件的操作均属于用户行为操作。S106若有打开文件的用户行为操作,则进一步判断用户所打开的文件是否为原始环境中的文件;S108若用户所打开的文件为原始环境中的文件,则阻止该文件打开。可以理解的是,如果能封住对“安全域”中文件的“用户行为操作”,就等于封赌住了泄密。SllO若用户所打开的文件不是原始环境中的文件,则可以顺利打开该文件。进一步地,在本发明的一个实施例中,可通过截取虚拟环境运行程序中涉及用户行为操作的API (Application Programming hterface,应用程序编程接口)来阻止用户打开原始环境中的文件。用户行为操作API可以根据实际情况分析,用户行为操作API可能包括在“上网域”内创建新进程的API ;文件浏览对话框API ;应用层程序之间文件或数据拖拽API ;对有可输入文件路径的接口做过滤控制API ;桌面SHELL操作的API ;以及其他特定程序的可输入文件路径过滤控制API。在本发明实施例中,涉及用户行为操作的API包括虚拟环境程序运行时调用的程序原有API和用户打开文件时调用的用户界面交互的API。进一步地,在本发明较佳实施例中,可通过设置HOOK (挂钩)方式截取用户打开文件时调用的用户界面交互的API。图2为用户手动加载文件的流程图200,主要包括步骤S202用户请求打开文件;S204在用户请求打开文件时,会先调用用户界面(UI)交互的API,但在本发明实施例中已经事先在这些API上设置了 Η00Κ,则会先进入设置的HOOK逻辑,即调用被挂钩的用户行为操作API ;S206检查请求打开的文件是否属于“安全域” ;S208若文件属于“安全域”,则打开文件失败;S210若所请求打开的文件不属于“安全域”,则调用程序原有API ;S212成功打开文件。由上述步骤可以发现,在“上网域”中增加控制用户行为操作的过滤功能,就可以改变打开文件的逻辑,从而保证不能主动打开或者发送“安全域”内的需保密文件。在本发明的其他实施例中,还可以对用户行为操作之外的行为进行监控,例如,可以通过进程白名单检测即将启动的进程,如果进程已经被确认过其所有泄密途径都已被过滤,则允许运行,如果没有检查通过,则禁止运行。进一步地,在本发明较佳实施例中将虚拟环境设置为虚拟桌面,如Windows平台的虚拟桌面,Linux平台的多桌面等,用户在虚拟桌面中操作,使用起来更方便。可将上述方法设计为独立的运行软件(暂称为防泄密软件),将其安装在操作系统中,可以自动在操作系统中隔离出虚拟环境,将原操作系统中的原始环境与外网断开,自动对用户打开文件的操作进行过滤。以将虚拟环境设置为虚拟桌面为例,图3为本发明另一实施例终端防泄密控制方法300,主要包括以下步骤S302安装了上述防泄密软件的终端(如电脑),当前处于默认桌面“安全域”,用户不能上网;S304进入虚拟桌面“上网域”,“上网域”内能上网,“安全域”保持断网;S306在虚拟桌面“上网域”里启动进程,对此进程的用户操作函数进行HOOK ;S308判断是否有用户打开文件的操作(即用户行为操作);S310若有用户打开文件的操作,则进入HOOK逻辑;S312检查文件是否属于“安全域” ;S314若文件不属于“安全域”,则允许打开该文件;S316用户正常操作“上网域”内文件;S318本次操作结束,可转入S308继续判断用户的下次操作;S320若用户所要打开的文件属于“安全域”,则拒绝打开该文件;S322在用户的操作不是打开文件的操作时,则等待该次用户操作的进程的结束;S3M逻辑结束。图4是本发明实施例的防泄密终端400,如图4所示,防泄密终端400主要用于实现方法100,其主要包括虚拟环境设置单元402,用于对操作系统进行虚拟化,隔离出一虚拟环境,将该虚拟环境与外网连接,而将用户操作系统的原始环境与外网断开;用户行为操作检查单元404,用于在虚拟环境中,检查是否有打开文件的用户行为操作,用户行为操作是打开文件的所有有效方式;文件判断单元406,用于在有打开文件的用户行为操作时,判断用户所打开的文件是否为原始环境中的文件;阻止文件打开单元408,用于在用户所打开的文件为原始环境中的文件时,阻止该文件打开。在本发明的一个实施例中,在Windows操作系统中,用户行为操作行为包括文件浏览、拖曳、命令行或快捷键方式传参数以及在程序提供的控件中输入文件路径;还包括shell内部对文件的复制、重命名、剪贴和移动操作以及shell自带工具封堵文件。在本发明的一个实施例中,阻止文件打开单元408具体用于通过截取虚拟环境运行程序中涉及用户行为操作的API来阻止用户打开原始环境中的文件。在本发明的一个实施例中,阻止文件打开单元408具体用于通过HOOK方式截取用户打开文件时调用的用户界面交互的API。在本发明的一个实施例中,虚拟环境设置单元402还用于将虚拟环境设置为虚拟桌面。本发明实施例终端防泄密控制方法及终端基于用户行为操作,能最小影响用户现有的工作环境,可有效防止泄密事件的发生,安全级别高,实现成本低。应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
权利要求
1.一种终端防泄密控制方法,其特征在于,包括以下步骤对操作系统进行虚拟化,隔离出一虚拟环境,将该虚拟环境与外网连接,而将用户操作系统的原始环境与外网断开;在所述虚拟环境中,检查是否有打开文件的用户行为操作,所述用户行为操作是打开文件的所有有效方式;若有打开文件的所述用户行为操作,则判断用户所打开的文件是否为所述原始环境中的文件;若用户所打开的文件为所述原始环境中的文件,则阻止该文件打开。
2.根据权利要求1所述的方法,其特征在于,在Windows操作系统中,在应用层使用LSP控制所述原始环境与外网断开;在Linux操作系统中,在驱动层使用netfilter控制所述原始环境与外网断开。
3.根据权利要求1所述的方法,其特征在于,在Windows操作系统中,所述用户行为操作行为包括文件浏览、拖曳、命令行或快捷键方式传参数以及在程序提供的控件中输入文件路径;还包括shell内部对文件的复制、重命名、剪贴和移动操作以及shell自带工具封堵文件。
4.根据权利要求3所述的方法,其特征在于,通过截取所述虚拟环境运行程序中涉及用户行为操作的API来阻止用户打开所述原始环境中的文件。
5.根据权利要求4所述的方法,其特征在于,所述涉及用户行为操作的API包括用户打开文件时调用的用户界面交互的API。
6.根据权利要求5所述的方法,其特征在于,通过HOOK方式截取所述用户打开文件时调用的用户界面交互的API。
7.根据权利要求1-6中任一项所述的方法,其特征在于,将所述虚拟环境设置为虚拟桌面。
8.一种防泄密终端,其特征在于,包括虚拟环境设置单元,用于对操作系统进行虚拟化,隔离出一虚拟环境,将该虚拟环境与外网连接,而将用户操作系统的原始环境与外网断开;用户行为操作检查单元,用于在所述虚拟环境中,检查是否有打开文件的用户行为操作,所述用户行为操作是打开文件的所有有效方式;文件判断单元,用于在有打开文件的所述用户行为操作时,判断用户所打开的文件是否为所述原始环境中的文件;阻止文件打开单元,用于在用户所打开的文件为所述原始环境中的文件时,阻止该文件打开。
9.根据权利要求8所述的终端,其特征在于,在Windows操作系统中,所述用户行为操作行为包括文件浏览、拖曳、命令行或快捷键方式传参数以及在程序提供的控件中输入文件路径;还包括shell内部对文件的复制、重命名、剪贴和移动操作以及shell自带工具封堵文件。
10.根据权利要求9所述的终端,其特征在于,所述阻止文件打开单元具体用于通过截取所述虚拟环境运行程序中涉及用户行为操作的API来阻止用户打开所述原始环境中的文件。
11.根据权利要求10所述的方法,其特征在于,所述阻止文件打开单元具体用于通过HOOK方式截取所述用户打开文件时调用的用户界面交互的API。
12.根据权利要求8-11中任一项所述的方法,其特征在于,所述虚拟环境设置单元还用于将所述虚拟环境设置为虚拟桌面。
全文摘要
本发明公开了一种终端防泄密控制方法及终端,其中方法包括以下步骤对操作系统进行虚拟化,隔离出一虚拟环境,将该虚拟环境与外网连接,而将用户操作系统的原始环境与外网断开;在虚拟环境中,检查是否有打开文件的用户行为操作,用户行为操作是打开文件的所有有效方式;若有打开文件的用户行为操作,则判断用户所打开的文件是否为原始环境中的文件;若用户所打开的文件为原始环境中的文件,则阻止该文件打开。本发明可以很好地防止保密信息的泄漏;在不影响用户正常办公的同时,也不影响上网聊天娱乐,易用性高;同时不需要更改现有部署环境,实现成本低廉。
文档编号G06F21/22GK102592102SQ20111045826
公开日2012年7月18日 申请日期2011年12月31日 优先权日2011年12月31日
发明者韦体东 申请人:深信服网络科技(深圳)有限公司