数据安全存取方法及其系统的制作方法
【技术领域】
[0001]本发明涉及一种存取方法及其系统,特别是涉及一种数据安全存取方法及其系统。
【背景技术】
[0002]随着计算机运用的普及与因特网的蓬勃发展,带给人类急速而巨大的冲击,也改变了人类生活模式。然而随着信息便利而来的则是令人担忧的信息安全问题;针对企业部分,企业公司组织深怕该企业所掌管的个人数据外泄而造成高额赔偿或公司核心技术数据外泄而造成企业竞争力下滑,于是纷纷采取采购资安设备来对应,例如:网页应用程序防火墙(WAF)、数据库监控稽核(DAM)、防制数据外泄(DLP)、网络行为控管侧录等设备。但是资安设备的价格不低,从数十万至百万都有,其费用对一般中国台湾的中小企业来说是个沉重的负担。
[0003]因此,企业在花钱购买资安设备前,可针对企业内部的信息系统的存取控制先加以自我检视及深入强化安全机制,让企业信息安全性提高同时也不必花费太高的金额。
[0004]一般来说,在数据存取控制上,常运用到的措施有(一)数据分级、(二)档案权限管理,以及(三)密码的使用与保护。
[0005]首先,在数据分级方面,其在一开始必须确认谁是数据拥有者(Data Owner,对数据的保护与使用负最终责任的人),并依据组织政策或相关规定设定数据或档案的重要等级,设定所需的安全管控措施,例如:契约书等机密性文件,不允许非相关人员读取;而统计数据等数据则限制相关业务人员读取,但不允许修改;一般共同文件,如行事历及字处理相关书表,则可让所有人员编辑修改。
[0006]接着,在档案权限管理方面,则通过文件系统来设定某个使用者或群组能够存取档案及文件夹,以及可以使用的权限,档案的权限一般区分成读取(r),写入(W),读取及执行(rx),读取、写入及执行(rwx);文件夹的权限一般区分为列表(r),修改(W),列表及进入(rx),列表修改及进入(rwx)。较为常见的操作系统文件格式,例如微软的NTFS及UNIXlike的EXT3、EXT4等,均有提供对档案及文件夹的权限管控。
[0007]此外,在密码的使用与保护方面,其主要方式则遵循组织政策设定强密码(StrongPasswords,安全性足够、不易被破解的密码,如密码最少长度及英数字、特殊字符混用等),并采取一些保护措施,例如定期更换、不使用自动登入储存密码及勿多个账号使用相同密码等,防止密码外泄。
[0008]然而,本发明旨在提供一种数据安全存取方法及其系统,其可防止任何未经授权的程序档案的随意存取及破坏且可达到一定程度的数据安全性。
【发明内容】
[0009]本发明的目的在于提供一种数据安全存取方法。
[0010]本发明数据安全存取方法,实现于一包括一主端处理单元、一从端处理单元及一储存单元的系统,其中,该从端处理单元具有一计算模块、一比对模块及一追查模块,且该储存单元具有可通过一操作系统辨识与读写其档案数据的一信任区与一观察区,及无法通过该操作系统辨识与读写其档案数据的一隐藏区,该方法包含下列步骤:(a)当该主端处理单元执行储存于该储存单元的信任区中的一已认证程序档案时,则该计算模块计算该已认证程序档案的数字指纹值,以产生与其对应的一当前数字指纹;(b)该比对模块加载预先储存在该隐藏区中对应于该已认证程序档案的一原始数字指纹,以比对该当前数字指纹是否与该原始数字指纹相符;(C)若该步骤(b)的比对结果为是,则该已认证程序档案继而可针对储存于该信任区或该观察区中的档案数据进行存取 '及(d)若该步骤(b)的比对结果为否,则该已认证程序档案不允许被执行,且该追查模块从该信任区中追查与该已认证程序档案相关的存取纪录,并将该存取纪录中相关的程序档案移至观察区储存,以进行后续的隔离动作或重新认证。
[0011]本发明的数据安全存取方法,该系统还包括一传输接口单元,该从端处理单元还具有一认证模块,该步骤(a)前还包含一步骤(e),用于针对该未认证程序档案进行一认证编程,其中,该步骤(e)包括下列子步骤:(el)该认证模块接收由该传输接口单元所传送的一未认证程序档案并对其进行认证;以及(e2)该认证模块判定该未认证程序档案是否成功通过认证,若否,则该认证模块将未通过认证的该未认证程序档案标示为一已隔离程序档案,并将该已隔离程序档案储存于该储存单元的观察区中来进行隔离动作。
[0012]本发明的数据安全存取方法,该步骤(e)还包括下列子步骤:(e3)若该子步骤(e2)的判定结果为是,则该认证模块将已通过认证的该未认证程序档案标示为该已认证程序档案,并将该已认证程序档案移至该储存单元的信任区储存;以及(e4)该计算模块计算该已认证程序档案的数字指纹值,以产生与其对应的该原始数字指纹,进而将该已认证程序档案所对应的原始数字指纹储存于该储存单元的隐藏区中。
[0013]本发明的数据安全存取方法,该步骤(e)后还包含一步骤(f),当该主端处理单元执行位于该储存单元的观察区中的该已隔离程序档案时,则该从端处理单元针对该已隔离程序档案进行一安全存取编程,其中,该步骤(f)包括下列子步骤:(Π)该主端处理单元执行储存于该储存单元的观察区中的该已隔离程序档案;(f2)该从端处理单元判定该已隔离程序档案是否欲存取储存于该信任区中的档案数据;(f3)若该步骤(f2)的判定结果为是,则该从端处理单元驱动该储存单元从该信任区中复制该已隔离程序档案所欲存取的档案数据至该观察区中;(f4)该从端处理单元于该观察区中建立一虚拟目录结构,并将由该信任区复制而来的档案数据写入对应的虚拟目录结构中;以及(f5)该已隔离程序档案继而可针对该观察区中对应于该信任区中的虚拟目录结构的档案数据进行存取。
[0014]本发明的数据安全存取方法,该步骤(f)还包括一子步骤(f6),若该步骤(f2)的判定结果为否,则该已隔离程序档案进而可直接针对储存于该观察区中指定的档案数据进行存取。
[0015]本发明的另一个目的在于提供一种数据安全存取系统。
[0016]本发明数据安全存取系统,包含一主端处理单元、一从端处理单元以及一储存单元。该从端处理单元包括一计算模块、一比对模块及一追查模块。该储存单元包括一信任区、一观察区及一隐藏区,其中,该信任区与该观察区可通过一操作系统辨识与读写其档案数据,且该隐藏区无法通过该操作系统辨识与读写其档案数据。其中,当该主端处理单元执行储存于该储存单元的信任区中的一已认证程序档案时,则该从端处理单元的计算模块用于计算该已认证程序档案的数字指纹值,以产生与其对应的一当前数字指纹,且该比对模块用于加载预先储存在该隐藏区中对应于该已认证程序档案的一原始数字指纹,以比对该当前数字指纹是否与该原始数字指纹相符,若是,则该已认证程序档案继而可针对储存于该信任区或该观察区中的档案数据进行存取,若否,则该已认证程序档案不允许被执行,且该追查模块从该信任区中追查与该已认证程序档案相关的存取纪录,并将该存取纪录中相关的程序档案移至观察区储存,以进行后续的隔离动作或重新认证。
[0017]本发明的数据安全存取系统,还包含一传输接口单元,其中,该从端处理单元还具有一认证模块,该认证模块用于接收由该传输接口单元所传送的一未认证程序档案并对其进行认证,并进而判定该未认证程序档案是否成功通过认证,若否,则该认证模块将未通过认证的该未认证程序档案标示为一已隔离程序档案,以将该已隔离程序档案储存于该储存单元的观察区中来进行隔离动作。
[0018]本发明的数据安全存取系统,若该认证模块判定该未认证程序档案已通过认证,则该认证模块将已通过认证的该未认证程序档案标示为该已认证程序档案,并将该已认证程序档案移至该储存单元的信任区储存,且该计算模块用于计算该已认证程序档案的数字指纹值,以产生与其对应的该原始数字指纹,进而将该已认证程序档案所对应的原始数字指纹储存于该储存单元的隐藏区中。
[0019]本发明的数据安全存取