一种局域网数据安全防护系统的制作方法
【技术领域】
[0001]本发明涉及一种数据安全防护系统,更具体的说是涉及一种局域网内的数据防护系统。
【背景技术】
[0002]随着信息化的发展,单位越来越多的利用计算机进行日常办公操作,单位内部大量的数据信息及重要资料都是以电子文件的形式存在,如何能更好的保证单位内部重要数据信息及资料的安全性、保密性,防止重要资料被非法扩散造成信息泄密,又能使得这些电子文件被合法人员合理的高效的使用,是各单位比较关注的问题。
[0003]而对于大型单位来说,其网络环境复杂、基层单位多、分布广,办公环境差异大,电脑终端多。如何构建一种不影响工作效率的全方位防泄密环境是大型单位难解之题。而防泄密环境的构建一般需要同时完成网络数据安全建设和终端数据安全建设;网络数据安全建设现阶段技术已经趋于成熟,且针对网络层数据,对用户的工作效率几乎不影响。而终端是直接面向用户,在终端数据安全建设中对工作效率有很大影响。如何把终端建设的即安全又便捷是防泄密环境构建工作的重点。
[0004]针对以上问题,现有技术一般采用如下方法之一:
[0005]1.把视角集中在终端上的防护方法:以终端为防护点的主要特征是在各终端上安装管控软件,限制计算机终端上类外部接口的使用,如usb接口和光驱接口,极大的限制了计算机终端的便捷性,现有技术方法有:基于协同方式的内网安全管理方法(专利:201110323798.X)、单机安全防护系统(专利:201310356953.7)等。
[0006]2.把视角集中在电子文件上的防护方法:电子文件包括相关政策、法规、决议、筹划、计划、方案、报告、历年业务资料等,对于党政、军事、科研、商业、企业等领域而言,电子文件是最主要的敏感载体,也是发生泄密事件的主要途径。管住电子文件,即可实现终端数据安全。基于电子文件为防护点的主要特征是:对终端的电子文件进行加密,依据服务器分发的策略对电子文件进行解密访问等。加密文件在工作流转过程中所需的解密策略各不相同,需要花费大量时间定制不同的解密策略。主要的方法有:文件安全防范系统(专利-201310388918.3)。
[0007]3.把视角集中在用户上的防护方法:主要特征是采用权限控制技术,为用户分配角色及权限,符合条件的用户才能敏感的数据。防止非授权用户有意或无意对文件的操作导致文件的破坏。用户的角色和权限随人员的变化而变化。管理员需要时时跟踪人员的变化。
[0008]以上各种方式或各种方式的组合均会对用户使用计算机终端造成影响,对文件的使用习惯造成影响,严重影响工作效率。
【发明内容】
[0009]针对上述解决方案的弱点,本发明提出如下解决大型单位中接入特定网络环境下的终端数据安全的问题的思路与方法,同时保证工作效率不受影响:
[0010]在大型单位中,终端可能会处于不同的网络环境中,为了更全面、更有效的防护终端数据安全,不能单纯的以终端、文件、用户为中心,需要把防护的视角提高个层次,把计算机终端用户按照部门或业务类型的不同分为不同的局域网,以局域网为中心来集中防护终端数据安全,把终端的敏感数据转移到局域网中集中管理。
[0011]通过分配个人区方式把终端上敏感数据进行集中管理,通过存储加密、通道加密方式保证敏感数据在任何状态下都是安全的,个人区由用户自主操作控制,可以自主的利用多种权限方式共享敏感数据给其他人员,使得敏感文件均处于可控状态。通过备份模块备份敏感数据;通过USbkey保证访问者的物理身份与数字身份的一致性的同时,完成外带数据安全存储和安全使用。
[0012]敏感数据仅在显示时内存中的数据是明文,并对内存数据进行管控;在存储状态、传输状态,都是密文存在,确保了重要信息数据无论采取任何技术手段拿到的也只是加密后的乱码文件,没有合法的使用身份、访问权限、正确的安全通道,所有重要的文件都是密文状态,确保了数据无论在何时、何地、何种状态下都是安全的。在严密的防泄密环境下不影响用户的工作效率。
[0013]具体来说,本发明设置一种局域网数据安全防护的系统,包括计算机、局域网络,
[0014]所述系统设置集控存储设备,单个计算机不设置存储设备,计算机通过局域网访问集控存储设备存储数据;
[0015]所述集控存储设备划分为个人用户区和群用户区,个人用户区供单个用户对数据进行操作,包括增、删、改、上传、下载、打印,共享,群用户区供多个用户对数据进行操作,包括增、删、改、上传、下载、打印;
[0016]用户将存储在所述集控存储设备中的数据复制至外部存储设备时,必须通过具有加密安全存储区的usbkey。
[0017]所述usbkey包括如下模块:
[0018]A.用户认证usbkey使用者身份;
[0019]B.对外带文件的加密;
[0020]C.对外带文件的解密;
[0021]D.对外带文件的所做操作的记录;
[0022]E.对外带文件的防复制。
[0023]用户编辑所述系统中存储在集控存储设备中的数据时,采用如下三种内存管理方法之一:
[0024]A.计算机不使用计算机本地的内存空间,将集控存储设备中部分映射到终端为本地磁盘,在映射磁盘中设置虚拟内存空间,文件的内存数据均缓存在虚拟内存空间中,系统通过虚拟内存空间防护内核对数据进行安全控制,保证在编辑过程中内存信息都控制在虚拟内存空间内,并对编辑进程进行防泄密控制(防打印、拷屏、内容复制粘贴、拖拽、屏幕取词、网络发送)
[0025]B.计算机使用计算机本地的内存空间,对访问数据的进程进行防泄密操作控制,禁止对数据进行打印、拷屏、内容复制粘贴、拖拽、屏幕取词、网络发送操作。
[0026]C.计算机不使用计算机本地的内存空间,计算机在存储在集控存储设备中的数据时,在usbkey中设置虚拟内存空间,数据的内存数据均缓存在usbkey中,系统通过usbkey防护内核对数据进行安全控制,保证在编辑过程中内存信息都控制在usbkey内,禁止对数据进行打印、拷屏、内容复制粘贴、拖拽、屏幕取词、网络发送操作。
[0027]所述局域网与另一局域网交换数据时:
[0028]A.一局域网与另一局域网之间设置专用数据安全通道;
[0029]B.一局域网中用户指定文件后,先选择另一局域网的集控存储设备,再选择另一局域网内的用户名,并指定共享权限后,把通过专用数据安全通道安全的共享给另一局域网的被选择用户;
[0030]C.另一局域网的被选择用户登录自己网内的集控存储设备,通过专用数据安全通道,安全的跨网访问共享数据。
[0031]所述系统具备用户间消息通信模块,用户通过消息通信模块进行自动的共享通知、即时通信和非在线留言,并可阅读与回复。
[0032]所述系统具备日志记录模块,日志记录模块记录系统中数据全生命周期的日志,及usbkey中脱离系统的可回收的日志记录。
【附图说明】
[0033]图1是系统安全划区及管理模块示意图
[0034]图2是系统安全共享模块示意图
[0035]图3是系统日志模块示意图
[0036]图4是在跨局域网时用户之间进行数据共享示意图
【具体实施方式】
[0037]下面结合图示来说明该发明的一种具体实施方法:
[0038]1、安全划区及管理模块
[0039]如图1,系统对集中存储空间进行隔离,划分出相互隔离的空间,把空间分配给每个用户个人使用,也可以把空间作为公共区分配给某特定群体人使用,通过公共区和个人区来集中管理文件,公共区中存放的是整个公司或某个业务部门的公共文件,个人区中存放的是个人用户的个人文件,分区所有者可对其所属分区进行权限管理,如将分区中的文件或文件夹授权给他人访问。终端上不保留任何敏感文件信息。
[0040]管理员可以为整个局域网或每个部门或某个业务创建一个公共区,为每个员工创建一个个人区。个人区用于存放员工个人有关的文件。空间与空间之间的内容在未授权的情况下无法互相访问,空间由终端用户自己管理维护,包括文件的上传、读、写、删、打印、下载等以及文件权限包括:读、写、删、打印的分配。相比于与以文件为中心的防护方法,管理与可以不必操心用户文件流转过程中的权限设置问题。
[0041]2、加密模块,存储加密,数据传输通道加密
[0042]3、灵活的安全共享模块
[0043]用户自主操作,灵活、安全、可控数据共享,不需要管理员的参与,用户可以自主把文件共享