一种移动终端信息安全防护系统和方法

一种移动终端信息安全防护系统和方法
【技术领域】
[0001]本发明属于信息安全技术领域，尤其涉及一种移动终端信息安全防护系统和方法。
【背景技术】
[0002]随着企业信息化的不断发展，企业通过构建信息化系统，方便地为企业用户提供大量的信息数据，其中不乏有企业合同信息、企业客户信息等敏感的信息数据。在使用这些信息化系统时，用户通过计算机或智能移动终端(包括智能手机和平板电脑)接入信息化系统，并获取信息数据。信息化系统能够在系统内部通过用户帐户管理、用户权限管理，防范信息的泄漏;然而这些信息一旦到达用户访问终端(计算机或智能移动终端)，则不再受控于信息化系统的保护，例如用户可通过屏幕复制获取显示在访问终端屏幕上的信息数据，用户可以通过合法的数据下载功能，将信息数据下载至访问终端上存储，等等。因此由于访问终端的接入所引发的信息泄露事件频频发生。对于计算机上的信息泄露防护目前已比较成熟，然而在智能移动终端上仍无有效地防护手段和方法。
[0003]现有的手机安全软件，都是基于数据存储安全实现，对于访问信息化系统所面临的信息泄露问题，存在如下严重缺失:
[0004]1、对访问信息化系统时的操作无法进行管理。智能移动终端在访问信息化系统时，信息数据通过网络传输到智能移动终端后，并不以文件方式存储，而是直接通过应用软件显示到屏幕上，此时用户可进行例如屏幕拷贝、内容的复制粘贴等手段将信息数据获取。
[0005]2、对从信息化系统中下载、或导出的数据文件仅进行加密处理，能够有效地防止因丢失造成的信息泄露。然而，因为无法配合信息系统中的权限管理，不能有效地限制下载者的使用权限，可能会造成下载者的越权使用所导致的信息泄露。

【发明内容】

[0006]本发明的目的在于提供一种移动终端信息安全防护系统和方法，旨在基于企业信息化系统在移动终端上应用时，通过加解密技术和访问控制技术，可实现对信息化系统中信息数据的防护，以避免通过移动终端进行信息泄露的可能的问题。
[0007]本发明是这样实现的，一种移动终端信息安全防护系统，所述移动终端信息安全防护系统运行在移动操作系统上，为在移动终端上访问信息系统时提供安全保护;具体包括:
[0008]监控模块，用于实时监控移动终端系统访问信息系统时的操作，并根据操作类型向下层的文件加密模块、文件解密模块或信息访问控制模块发送指令；
[0009]文件加密模块，与所述监控模块连接，用于在接收到监控模块或文件访问控制模块发送的指令后，将从信息系统中保存出来的文件进行加密处理，并通知日志记录模块将文件加密保存操作记录至日志文件中；
[0010]文件解密模块，与所述监控模块连接，根据所述监控模块传送的指令，对指令中指定的文件解密操作，成功解密并打开文件后，通知文件访问控制模块，并通知日志记录模块将解密操作记录至日志文件中；
[0011 ]信息访问控制模块位于移动操作系统的内核层，与所述监控模块连接，通过接收从所述监控模块传送的指令，实现对移动终端访问信息系统时的操作进行控制，并将通知日志记录模块将操作记录至日志文件中；
[0012]文件访问控制模块位于移动操作系统的内核层，与所述监控模块连接，通过接收从所述文件解密模块传送的指令，实现对解密后的文件对象的访问操作进行权限控制，当监控到文件关闭操作时，文件访问控制模块将文件信息通知给文件加密模块，并将通知日志记录模块将文件对象的访问操作记录至日志文件中；
[0013]日志记录模块，与所述文件加密模块、文件解密模块、信息访问控制模块和文件访问控制模块连接，根据所述文件加密模块、文件解密模块、文件访问控制模块和信息访问控制模块发来的指令，实现对所有操作进行日志记录。
[0014]进一步，所述的日志记录模块内安装有防破解系统，该防破解系统包括:云端数据库、云端服务器、移动终端、安全策略设定模块；
[0015]云端数据库与所述云端服务器连接，移动终端通过无线网络与云端服务器双向进行信息交换，安全策略设定模块与移动终端连接;移动终端将数据、指令传递给安全策略设定模块，并将安全策略设定模块的状态进行上报;所述云端数据库包括:用户信息存储模块、用户密钥存储模块、日志文件存储模块、用户信息存储模块，且云端数据库有自己完全的保护系统和隐私防护系统;所述安全策略设定模块包括:文件访问模块、文件访问日志记录模块和动态加解密模块;安全策略设定模块可根据移动终端传送的指令，设定安全策略；并根据安全策略的描述，向文件访问模块、文件访问日志记录模块和动态加解密模块发送指令;并查询文件访问模块、文件访问日志记录模块和动态加解密模块的状态并上报移动终端。
[0016]进一步，所述文件访问模块通过接收安全策略设定模块发来的指令，实现对移动终端中文件对象的访问操作进行权限控制;文件访问日志记录模块通过接收安全策略设定模块发来的指令，实现对文件的所有操作进行记录;动态加解密模块位于移动操作系统的内核层，通过接收安全策略设定模块发来的指令，自动实现对文件的加解密处理。
[0017]所述移动终端使用过程中，用户在使用应用程序时，移动终端运行相关模块计算该程序的MD5值提交云端服务器作对比，对比成功用户正常使用，对比不成功无法使用该程序，防止应用程序被病毒篡改。
[0018]本发明的另一目的在于提供一种防破解系统的防护方法，该防破解方法包括以下步骤:
[0019]步骤一:动态加解密模块实现自动加解密包括当合法应用程序读取被加密的数据时，动态加解密模块进行解密操作，合法应用程序则可正常使用数据；
[0020]步骤二:当合法应用程序对文件进行写操作时，动态加解密模块进行加密操作，合法应用程序保存的文件为加密后的文件；
[0021]步骤三:当非法应用程序读取被加密的数据时，动态加解密模块不进行解密操作，非法应用程序则无法正常使用数据；
[0022]步骤四:当非法应用程序对文件进行写操作时，动态加解密模块不进行加解密操作。
[0023 ]进一步，该移动终端信息安全防护系统随着移动终端系统启动时自动启动。
[0024]进一步，该系统随着移动终端系统启动时自动启动。
[0025]进一步，监控模块实时监控的操作类型包括:保存文件操作、打开文件操作、复制粘贴操作、屏幕拷贝操作和打印操作。当保存文件操作发生时，监控模块将通知文件加密模块；当复制粘贴操作、屏幕拷贝操作和打印操作发生时，监控模块将通知信息访问控制模块;当访问该系统所加密的文件时，监控模块将通知文件解密模块。
[0026]进一步，信息访问控制模块所控制的操作包括对访问到的信息数据进行屏幕复制、内容复制粘贴、内容打印操作。
[0027]进一步，文件访问控制模块所控制的访问操作包括对文件对象的打开、创建、删除、改名、复制、移动、保存、属性设置操作。
[0028]进一步，文件访问控制模块对文件进行权限控制包括只读、隐藏、禁止删除、禁止打开、禁止拷贝、禁止非法应用程序访问一个已经被合法应用程序打开的文件。
[0029]本发明的另一目的在于提供一种移动终端信息安全护方法，所述移动终端信息安全护方法包括:
[0030]监控移动终端系统访问信息系统时的保存文件操作、复制粘贴操作、屏幕拷贝操作和打印