一种基于客户端的安全管理系统和方法

专利名称：一种基于客户端的安全管理系统和方法
技术领域：
本发明属于信息安全管理技术领域，特别是涉及一种基于客户端的安全管理系统
和方法。
背景技术：
任何一种安全管理体系的建立取决于它的完备性和非二义性，同时要体现它的科
学性、实用性和可实现性。中办27号文明确要求"信息化发展的不同阶段和不同信息系
统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源配
置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重
要信息系统。"同时指出"重点保护；谁主管谁负责、谁运营谁负责；分区域保护；同步建
设；动态调整等原则。"这就是信息安全等级保护要求的精髓，它企业/机构信息技术主管
部门对IT系统进行有效的区域划分，实行重点区域重点保护的保护策略。 随着网络技术的发展，安全管理中的失泄密管理已经摆到了非常重要的位置了，
网络层面的控制、加解密技术的应用能够在一定的程度上发挥失泄密管理的作用。 现有技术中，存在的通过区域划分而进行安全管理的技术有基于安全网闸的物理
隔离(网间隔离)，基于防火墙的边界管理(网内分区)，基于三层交换机的VLAN技术(分
区内构建VLAN)，基于监控审计技术的安全管理技术，艮卩 (1)利用物理隔离器进行网络的物理隔离。(网络级) (2)利用防火墙进行网络安全边界划分；(防火墙端口级) (3)利用三层交换机的虚拟局域网(VLAN)功能进行虚拟局域网划分。(交换机端口级) 物理隔离技术，将不同性质的网络利用物理隔离技术进行隔离，是更粗犷的网段划分方法。网间的通信交互主要依赖物理隔离设备的"摆渡"技术实现。
防火墙技术，按照防火墙的物理接口将网络划分成多个网段，利用防火墙的安全规则进行区域间交互的安全管理与控制；防火墙技术划分网段的粒度比物理隔离技术要细一胜。 三层交换机的VLAN技术，将通过交换机接入的客户端划分成多个VLAN，通过设置ACL规则来管理和控制不同VALN间交互的安全管理与控制；三层交换机的网段划分粒度比防火墙要更细一些。 而在计算机安全管理中，计算机客户端之间通信的管理、安全文档的流转、移动存储介质的管理以及输出设备(如打印机)的管理是失泄密防护和安全管理的主要方面。
然而，网络隔离器(网闸)、防火墙、三层交换机都是网络端口级别的区域划分设备，实施访问控制和安全管理的是网闸、防火墙和三层交换机；都是网络级的不同性质网络、网段划分方法，只能能够实现网络间、网段间的访问控制，无法对客户端自身进行更精细的管理。具体存在的问题如下
无法控制安全文档的流转；
5
无法控制移动存储介质的有序使用； 无法控制输出设备的安全输出； 无法控制在拔掉网线后的任何行为等。 也就是说，现有的通过区域划分进行安全管理的技术的实施安全策略比较粗犷，很难精细到用户终端或具体内容，其都是不成体系和粗粒度的，很难起到真正的安全保密作用。 而且，依靠现有的安全管理技术实现安全区域划分的安全管理，要实现网络通信、安全文档、移动存储介质和输出设备的安全管理与控制，必须要选用多重技术来实现，进一步地，能够实现安全管理，其系统之间的管理信息是孤立的和分离的，不具备可管理性。

发明内容
本发明的目的就是针对现有的按区域划分的安全管理系统中存在的不足进行改进，提供一种基于客户端的安全管理系统和方法。 为实现本发明的目的而提供的一种基于客户端的安全管理系统，包括服务器和至少一客户端，所述服务器包括管理中心，用于配置管理域的桌面虚拟保密子网、安全域和客户端的安全标识和安全级别，并设置所述客户端的安全管理属性；所述客户端包括执行中心，用于进行安全管理时，从服务器中读取相应的安全标识和安全级别，截获操作请求，并根据相应的安全管理属性而对所述客户端进行安全管理。 为实现本发明目的还提供一种基于客户端的安全管理方法，包括下列步骤
步骤S100，服务器配置管理域中的客户端、所述客户端对应的安全域、所述安全域对应的桌面虚拟保密子网的安全标识和安全级别；
步骤S200，所述服务器设置所述客户端的安全管理属性； 步骤S300，在所述客户端进行安全管理时，由所述客户端从所述服务器读取所述客户端、安全域和桌面虚拟保密子网的安全标识和安全级别，并获取所配置的所述客户端安全管理属性，进行安全管理。 本发明的有益效果本发明的基于客户端的安全管理系统和方法，以客户端为核心的虚拟保密子网建立的统一管理体系，精细到客户端，可以根据客户端的重要性来确定以它自己为核心的通信"圈子"，由他自己的特性决定移动存储介质的使用、安全文档的流转、网络通信和输出设备(如打印机)的使用。这样无论网络结构如何，无论在线还是离线，决定权在客户端自己(客户端的策略)，这样确保了安全保密的精准和有效性，能够实现真正的安全且可管理的安全。 本发明的基于客户端的安全管理系统和方法，将企业的客户端系统根据其安全级别和敏感程度，精细地构建成客户端-安全域-虚拟保密子网(E-S-V)的管理体系，并为客户端定制三级管理策略(客户端级、安全域级、虚拟保密子网级)，同时安全策略由客户端实施，这样保证安全保密的精确性和有效性。 本发明的基于客户端的安全管理系统和方法，是以客户端为核心进行虚拟保密子网的划分，将网络和客户端的等级划分、密码技术和访问控制技术进行系统的结合；其大大减少了客户端的部署系统的数目，提高客户端的运行效率，减少企业的资金投入，减少了管理的复杂度，能够大大提高企业的安全保密性能、客户端的运行效率和企业整体的运作效率。


下面结合附图和实施例对本发明做进一步详细的说明。
图1为本发明实施例的基于客户端的安全管理系统结构示意图； 图2为本发明实施例的基于客户端的安全管理方法流程图。
具体实施例方式
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明的一种基于客户端的安全管理系统和方法进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。 本发明基于客户端的安全管理系统，以客户端为核心，基于客户端的虚拟保密子网技术，由客户端根据具体策略要求，决定网络通信、安全文档管理、存储介质管理和输出设备管理的具体事务，同时通过管理中心11与其他客户端保持紧密联系，而构建的相互依赖的安全保密与安全管理体系。 下面通过具体实施例，详细说明本发明的客户端的安全管理系统。 本发明实施例的基于客户端的安全管理系统，如图1所示，包括服务器1和至少一
客户端(B/S)2，所述服务器l包括管理中心ll，用于配置管理域的桌面虚拟保密子网、安全
域和客户端的安全标识和安全级别，并设置所述客户端2的安全管理属性。 所述客户端2包括执行中心21，用于在进行安全管理时，从服务器1中读取相应的
安全标识和安全级别，截获操作请求，并根据相应的安全管理属性而对所述客户端2进行
安全管理。 下面详细说明本发明的服务器1中的管理中心11。 虚拟保密子网技术(Virtual Confidentiality Network, VCN)是一个安全管理系统，要实现虚拟保密子网，首先要明确一个具体的管理域(Enterprise Managed Domain,EMD，如一企业内部所有计算机终端构成一管理域)，在本发明实施例中，就是明确一个管理域具有那些具体的客户端2需要管理，明确一个管理域的管理范围；以及明确在这个管理域中的客户端2需要管理的客体(包括网络通信、安全文档、存储介质、输出设备)。
本发明实施例中的管理中心ll，包括DBVCN配置中心111，用于将管理域配置为多个桌面虚拟保密子网(DBVCN)，并配置所述虚拟保密子网(DBVCN)的安全标识和安全级别。
管理域(EMD)是一项安全管理活动需要管理的全部内容，就是将所管理要素纳入一个封闭的管理体系。 在管理域(EMD)内，将管理的要素进行安全密级划分，本发明实施例中，按照国家规定划分为五个级别普通级、敏感级、秘密级、机密级、绝密级。在本发明实施例中，将密级相同客户端2归并为一个虚拟保密子网(VCN)，称为桌面虚拟保密子网(Desktop BasedVirtual Confidentiality Network, DBVCN)。 在本发明实施例中，在一个确定的管理域EMD内，最多配置五个桌面虚拟保密子网(DBVCN)，即EMD(DBVCN1， DBVCN2， DBVCN3， DBVCN4， DBVCN5)，或者表示为:
管理域EMD {
DBVCN1
DBVCN2
DBVCN3
DBVCN4
DBVCN5 }; 每个虚拟保密子网配置 一 个安全标识DBVCNID和安全级别DBVCNSLeve 1 。其中，安全标识DBVCNID的取值范围为1，2，3，4，5，即DBVCNID = {1，2，3，4，5};安全级别DBVCNSLevel的取值范围为1，2，3，4，5，即DBVCNSLevel = {1， 2， 3， 4， 5}，或者表示为
DBVCN {
DBVCNID;
DBVCNSLevel ; }; 即EMD = DBVCN1 U DBVCN2 U DBVCN3 U DBVCN4 U DBVCN5 ; 这样，在一个管理域里，至少包括一个级别的DBVCN(如普通级)，最多包括五个级别的DBVCN (如普通级、敏感级、秘密级、机密级、绝密级)。 在本发明实施例中，任何一个客户端2属于且仅属于一个DBVCN(i)， i = 1，2，. 5。 本发明实施例中的管理中心ll，还包括SD配置中心112，用于将桌面虚拟保密子网(DBVCN)配置为多个安全域(SD)，并配置所述安全域的安全标识和安全级别。
为了更精细化的管理，在桌面虚拟保密子网(DBVCN)中，将工作性质相近、业务相关的客户端2分组成为多个安全域(Security Domain, SD)。这样一个DBVCN内可以划分为多个安全域(SD)，但这些安全域的安全级别跟它所属的桌面虚拟保密子网DBVCN的安全域(SD)是一致的。如DBVCN(i)中有n个安全域，表示为SD(i， j)i = 1，2，3，4，5 ;j = 1，2， .， n ; SD(i， j) G DBVCN (i)DBVCN(i) =SD(i，l) U SD(i，2) U SD(i，3) U SD(i，4) U…U SD(i，n)
由于安全域SD的安全级别与所属的DBVCN的安全级别一致。则
DBVCN (i) {
SD(i， j);i G {1，2，3，4，5}，对应五个安全级别;j G n， n为确定的桌面虚拟保密子网内安全域的数量；
则管理域EMD{
DBVCN1(DBVCNIDl， DBVCNSLevel1)DBVCN2(DBVCNID2， DBVCNSLeve12)DBVCN3(DBVCNID3， DBVCNSLeve13)DBVCN4(DBVCNID4， DBVCNSLeve14)DBVCN5(DBVCNID5， DBVCNSLeve15)
}; 本发明实施例中的管理中心ll，还包括客户端配置中心113，用于将安全域配置 为多个客户端2，并配置所述客户端的安全标识和安全级别。 客户端2是管理域中安全管理的终端。根据本发明实施例的安全管理密级划分， 每一客户端2有且仅有一个安全级别，它属于一个具体的DBVCN，为了更精细的管理，本发 明实施例中，把客户端2划归为一个具体的DBVCN内的一个具体的SD，配置客户端2E (i， j， k) G SD(i， j) G DBVCN(i); 其中，E(i， j，k)表示安全级别为i的虚拟保密子网内的第j个安全域的第k个客 户端2。 E(i， j， k)属于SD(i， j)，同时属于VCN(i)，表示为E(i， j， k) G SD(i，
j) G VCN(i); 则客户端2的安全级别就是所属桌面虚拟保密子网(DBVCN)的安全级别ESCLevel(i， j， k) = SDSCLevel(i， j) = DBVCNSCLevel(i); 其中ESCLevel (i， j，k)为客户端2的安全级别；SDSCLevel (i， j)为客户端2所在
安全域的安全级别；DBVCNSCLevel (i)为安全域所在DBVCN的安全级别。 如果SD(i，j)中有m个客户端2，客户端2表示为E(i，j，k)k二 1，2，... ，m;其所
属的安全域表示为SD(i， j) =E(i， j，l) U E(i， j，2) U ... U E(i， j，m) 或表示为SD(i，j)( E(i， j， k); i G {1，2，3，4，5}，对应五个安全级别； j G n， n是确定的所属虚拟保密子网内安全域的数量；
k G m， m是确定的所属安全域内客户端2的数量；
}; 在确定一个管理域EMD中，基于客户端2的桌面虚拟保密子网DBVCN设置后，从安
全管理角度看，还要设置客户端2的安全管理属性，即网络通信、安全文档、存储介质、以及
输出设备的安全管理属性。在本发明实施例中，设置客户端2的安全管理属性，就是对所述
网络通信、安全文档、存储介质以及输出设备的安全管理属性进行设置。 所述管理中心ll，还包括网络通信属性设置模块114，用于根据客户端2的MAC地
址设置客户端2中的网络连接的安全级别，并根据安全级别设置网络连接方式。 管理域内的客户端2之间的通信连接是可控制的，将每一客户端2的MAC地
址和客户端2的安全等级进行绑定。有MAC地址就可以识别出该客户端2的安全级别
S(Xevel (Ei jk)。 本发明实施例中，对于网络连接的安全管理，设置1)根据不同的安全级别，采用 访问控制列表(Access Control List, ACL)设定不同DBVCN之间的访问控制；级别越高， 访问控制越严格；2)如果越级，那么低级别的DBVCN不允许访问高级别的DBVCN ;高级别的 DBVCN允许访问高级别的DBVCN ;3)同级别的DBVCN之间被授权的网络通信连接采用SSL协 议进行安全通信保障。 所述管理中心ll，还包括安全文档属性设置模块115，用于设置客户端2中的安全 文档的安全文档标识和安全级别，并根据所述安全级别设置所述安全文档的流转方式。
9
安全文档是企业最为富贵的资源，也是安全管理的重要要素，在桌面虚拟保密子
网(DBVCN)，安全文档需要设置安全文档标识(SDDocID)和安全级别(ScLevel)，以便在
DBVCN中进行精细化管理。 安全文档SDOC( SDDocID ;文档标识 SCLevel ;安全级别，在{1，2，3，4，5}中取值，对应的是普通级、敏
感级、秘密级、机密级、绝密级
} 在本发明实施例中，对于安全文档的流转方式，设置1)同级别使用；2)如果越 级，那么高密级的安全文档不能流转到低密级的DBVCN中去，低密级的文档，允许流转到高 密级的DBVCN中去。 所述管理中心ll，还包括存储介质属性设置模块116，用于设置客户端2中的存 储介质的存储介质标识和安全级别，并根据所述安全级别设置所述存储介质的业务操作方 式。 存储介质的安全管理也是安全管理的重要要素，在桌面虚拟保密子网(DBVCN)
中，存储介质需要设置存储介质标识(SMSMID)和安全级别(ScLevel)，以便在DBVCN中进行
精细化的管理。 存储介质SMSM( SMSMID ;存储介质标识 ScLevel ;安全级别，在{1，2，3，4，5}中取值，对应的是普通级、敏
感级、秘密级、机密级、绝密级 0pDomain ;操作属性 } 在本发明实施例中，对于存储介质的业务操作方式，设置1)同级使用；2)如果越
级，那么高密级的存储介质不能在低密级的DBVCN中使用，或者只能执行写操作；低密级的
移动存储介质，不能在高密级的DBVCN中进行操作，或者只能执行读操作。 所述管理中心ll，还包括输出设备属性设置模块117，用于设置客户端2中的输
出设备的输出设备标识和安全级别，并根据所述安全级别设置所述输出设备的业务操作方式。 输出设备的安全管理也是安全管理的重要要素，在桌面虚拟保密子网(DBVCN)
中，输出设备需要设置输出设备标识(SprtID)和安全级别(ScLevel)，以便在DBVCN中进行
精细化管理。 输出设备SPrt( SprtID ;输出设备标识 ScLevel ;安全级别，在{1，2，3，4，5}中取值，对应的是普通级、敏
感级、秘密级、机密级、绝密级 0pDomain ;操作属性 } 本发明实施例中，对于输出设备的安全管理，设置1)同级使用；2)如果越级，那
10么高密级的DBVCN不允许使用低密级的输出设备；低密级的DBVCN可以使用高密级的输出 设备。 下面详细说明本发明的基于客户端的安全管理方法，如图2所示，包括如下步骤
步骤S100，服务器1配置管理域中的客户端2、所述客户端2对应的安全域、所述 安全域对应的桌面虚拟保密子网的安全标识和安全级别；
所述步骤S100包括下列步骤 步骤S110，对每个客户端E(i，j，k)设置一个安全标识EID(i，j，k)和一个安全级 别为ESCLevel (i， j， k);并对每个客户端E(i， j， k)的MAC地址进行捆绑绑定；
步骤S120，将工作性质相近、业务相关的客户端2设置为安全域(SD)，用SD(i， j)表示；并对每个安全域SD(i， j)设置一个安全标识SDID(i， j)和一个安全级别为 SDSCLevel(i， j); 步骤S130，将安全域(SD)中所需保密级别相同的安全域(SD)设置成桌面虚拟保 密子网(DBVCN)，用DBVCN(i)表示；并对每个所述桌面虚拟保密子网(DBVCN)设置一个安 全标识DBVCNID(i)和一个安全级别为DBVCNSCLevel(i); 其中，DBVCN(i)表示安全级别为i的桌面虚拟保密子网，i表示安全级别；i越大， 表示虚拟保密子网安全级别越高。 步骤S200，服务器1设置客户端的安全管理属性；
步骤S210，设置客户端的网络通信的安全管理属性； 在基于终端的安全管理系统的物理设备部署完毕后，管理域内的客户端之间的通 信连接的建立是可控制的，将每一客户端的MAC地址和客户端的安全等级进行绑定。有MAC 地址就可以识别出该客户端的安全级别SCLevel (Ei jk)。
步骤S220，设置客户端的安全文档的安全管理属性； 在基于终端的安全管理系统的物理设备部署完毕后，安全文档Sdoc都进行安全 标记和密级划分，也就是每一个需要保护的安全文档都给它分配唯一的安全标识SDDocID， 和设置安全级别SCLevel，无论在这一管理域中如何流转，这两个标记不会改变。
步骤S230，设置客户端的存储介质的安全管理属性； 在基于终端的安全管理系统的物理设备部署完毕后，存储介质(包括移动硬 盘、移动USB等)在它下发给管理域内的用户时，要分配安全标识SMSMID，设置安全级别 SCLevel,无论这些存储设备在这一管理域内如何流转，安全标识SMSMID，设置安全级别 SCLevel都不会变化。 步骤S240，设置客户端的输出设备的安全管理属性。 在基于终端的安全管理系统的物理设备部署完毕后，给管理域内的每一输出设备 分配安全标识SPrnID，和安全级别SPrnSClevel。在管理域中输出设备的配置变更前，这些 输出设备的安全标识SPrnID，和安全级别SPrnSClevel不会改变。 步骤S300，在客户端2进行安全管理时，由客户端2从服务器1读取所述客户端 2、安全域和桌面虚拟保密子网的安全标识和安全级别，并获取所配置的客户端2安全管理 属性，进行安全管理。 本发明的基于客户端的安全管理方法，是由客户端2实施的，其读取所述客户端 2、安全域和桌面虚拟保密子网的安全标识和安全级别，并获取所配置的客户端2安全管理属性，然后客户端2根据自身的状态(在线、商旅、脱管)进行安全管理。 作为一种可实施方式，网络通信、安全文档、存储介质和输出设备都是分别由客户
端2内置的不同驱动模块在底层实施的。 步骤S310，在客户端2进行网络连接时，从服务器1中读取相应的安全标识和安全 级别，截获网络连接操作请求，并根据相应的安全管理属性而对所述客户端2的网络连接 进行安全管理。 网络通信的安全管理分为管理域内部客户端2之间的通信，以及管理域内部客户 端2与管理域外部的客户端2之间的通信两种情况。 所述步骤S310，是一个客户端E(i，j，k)对该系统内的另一个客户端E(x，y，z)发 起连接，客户端2之间的网络通信的安全管理流程，包括如下步骤 步骤S311 :客户端2截获客户端E(i， j， k)对管理域内的客户端E(x， y， z)的连 接请求； 步骤S312 :客户端2从连接请求中读取所述两个客户端2的安全标识，根据所述 安全标识比较桌面虚拟安全子网、安全域和客户端2的安全级别，根据不同的比较结果，以 及网络连接的安全属性进行安全管理操作；
所述安全管理操作，包括如下步骤 步骤S3121，如果i不等于x，则根据DBVCN(i)和DBVCN(x)的网络连接方式，判断 DBVCN(i)是否可以访问DBVCN(x);如果不允许DBVCN(i)访问VCN(x)，则终止发起连接；
如果允许DBVCN(i)访问DBVCN(x);则根据SD(i， j)和SD(x，y)的网络连接方式， 判断SD(i， j)是否可以访问SD(x， y);如果不允许SD(i， j)访问SD(x， y)，则终止发起连 接； 如果允许SD(i， j)访问SD(x， y);则根据E(i， j， k)和E(x， y， z)的网络连接方 式，判断E(i， j，k)是否可以访问E(x，y，z);如果不允许E(i， j，k)访问E(x，y，z)，则终止 发起连接； 如果允许E(i， j，k)访问E(x，y，z)，则允许E(i， j，k)向E(x，y，z)发起连接；
步骤S3122，如果i 二x，则继续比较j和y;如果j不等于y，则根据SD(i， j)和 SD(x，y)的网络连接方式，判断安全域SD(i， j)是否可以访问安全域SD(x，y);
如果不允许SD (i， j)访问SD (x， y)，则终止发起连接； 如果允许SD(i， j)访问SD(x， y);则根据E(i， j， k)和E(x， y， z)的网络连接方 式，判断E(i， j，k)是否可以访问E(x，y，z); 如果不允许E(i， j， k)访问E(x， y， z)，则终止发起连接; 如果允许E(i， j，k)访问E(x，y，z)，则允许E(i， j，k)向E(x，y，z)发起连接；
步骤S2133，如果i = x， j 二y，则继续比较k和z，如果k不等于z，则根据E(i， j，k)和E(x，y，z)的网络连接方式，判断客户端E(i， j，k)是否可以访问客户端E(x，y，z); 如果不允许E(i， j， k)访问E(x， y， z)，则终止发起连接; 如果允许E(i， j，k)访问E(x，y，z)，则允许E(i， j，k)向E(x，y，z)发起连接；
作为一种可实施方式，所述网络连接可由安装在客户端2的网络驱动过滤程序 NetFilter负责实现。 对于任何管理体系内部的通信双方，DBVCN系统是能够实时获取通信双方的MAC地址源地址SMac，目标地址0Mac。 NetFilter(VCNPolicy， SDPolicy， EndpointPolicy， SMac， OMac， Sport， 0Port， Protocol){ VCNPolicy ;DBVCN间网络通信连接方式； SDPolicy ;VCN内安全域间的网络通信连接方式； EndpointPolicy ;安全域内客户端间的网络通信连接方式； SMac;源MAC地址； 0Mac ;目的MAC地址； Sport ;源端口 ； 0Port ;目的通信端口 ； Protocol ;协议； } 步骤S320，在进行安全文档访问请求时，从服务器1中读取相应的安全标识和安 全级别，截获安全文档流转访问请求，并根据相应的安全管理属性而对所述文档访问请求 进行安全管理。 作为一种可实施方式，所述安全文档可以是由管理域发布的，存放在具体位置，设
置了安全文档安全标识ID和安全级别Dlevel的，供管理域中有权限浏览的人员浏览的格
式化文档。 SD0C = { SD0CID :安全文档标识； SDOCSCLevel :安全级别(普通1，敏感2，秘密3，机密4，绝密5)
} 安全文档安全管理需要进行全局配置，由客户端2具体实施。根据实际情况为每
一个客户端2确定允许访问的安全文档，为每一个客户端2设置允许访问的安全文档列表，
实现不同DBVCN之间的安全文档的控制，包括安全文档(SD0CID， SDOCSCLevel)与客户端
(EID， ESCLevel)的结合关系控制；客户端2是否能够访问该安全文档、是否可以存储该安
全文档、是否允许接受(流进)该安全文档、是否可以传出(流出)该安全文档。 所述步骤S320，是从一个客户端E(i，j，k)流出安全文档的管理流程，包括如下步
骤 步骤S321，客户端2截获安全文档的访问请求； 步骤S322，客户端2从访问请求中检查安全级别及流出方式，并读取所述客户端2
的安全标识，根据安全文档的流转方式进行安全管理操作。 所述安全文档的流转方式进行安全管理操作，包括如下步骤 步骤S3221，如果安全文档将要通过网络传输至客户端E(x， y， z)，则比较客户端
E(x， y， z)和安全文档的安全级别； 如果客户端E(x， y， z)的安全级别小于安全文档的安全级别，即SCLevel (Exyz) < SCLevel (SD0C)，则终止传输; 如果客户端E(x， y， z)的安全级别等于或大于安全文档的安全级别，即 SCLevel (Exyz) > SCLevel (SD0C)，则允许传输；
13
步骤S3222，如果安全文档将要通过输出设备输出，则比较输出设备和安全文档的 安全级别； 如果输出设备安全级别小于安全文档的安全级别，即SCLevel (Sprt)
< SCLevel (SD0C)，则终止输出； 如果输出设备的安全级别等于或大于安全文档的安全级别，即 SCLevel (Sprt) > SCLevel (SDOC)，则允许输出； 步骤S3223，如果安全文档将要复制至移动存储介质，则比较安全移动存储介质和 安全文档的安全级别； 如果安全移动存储介质的级别小于安全文档的安全级别，即SCLevel (SMSM)
< SCLevel (SDOC)，则终止复制; 如果安全移动存储介质的安全级别等于或大于安全文档的安全级别，即 SCLevel (SMSM) > SCLevel (SDOC)，则允许复制。 作为一种可实施方式，可以由由安装在客户端2的文件系统驱动过滤程序 FSFilter负责实现。FSFilter(VCNPolicy， SDPolicy， EndpointPolicy， SDOCID){ VCNPolicy :VCN间安全文档流转方式； SDPolicy :VCN内安全域间安全文档流转方式； EndpointPolicy :安全域内客户端间安全文档流转方式； SDOCID :安全文档标识； SD0CSCLevel :安全文档安全级别； } 步骤S330，在进行存储介质访问请求时，从服务器1中读取相应的安全标识和安 全级别，截获存储介质访问请求，并根据相应的安全管理属性而对所述存储介质访问请求 进行安全管理。 作为一种可实施方式，本发明实施例的存储介质可以是由企业管理部门采购、登 记、注册、分区、密级定义、规定使用范围等，然后分发给管理域内用户使用的移动USB盘、 移动硬盘和软盘。
SMSM = { SMSMID :移动存储介质标识； SMSMSCLevel :安全级别(1，2，3，4，5) SMSMTime :使用期限； SMSM0wner :使用者； } 存储介质的安全管理需要进行全局配置，并由客户端2具体实施。根据实际情况 为每一个客户端2确定允许使用的存储介质，通过Web管理控制台为每一个客户端2设置 允许使用的存储介质列表，通过这种方法来实现不同DBVCN之间的存储介质的控制，即存 储介质与客户端2的结合关系控制；文件进出移动存储介质控制(含加、解密)、共享区、高 密区的使用控制；外来未注册移动存储介质的控制。 所述步骤S330，是在一个客户端2E(i，j，k)中插入使用安全移动存储介质的安全管理流程，包括如下步骤 步骤S331，客户端2截获存储介质的访问请求； 步骤S332，客户端2从访问请求中读取存储介质的的安全标识，并比较存储介质 和客户端的安全级别，根据不同的比较结果利用存储介质的业务操作方式进行安全管理操 作； 所述根据不同的比较结果利用存储介质的业务操作方式进行安全管理操作，包括 下列步骤 步骤S3321，如果客户端的安全级别小于安全移动存储介质的安全级别时，即 SCLevel (SMSM) < SCLevel (Ei jk)，则检查安全移动存储介质是否存在分区，即高密区和共 享区； 如果不存在共享区，则禁止客户端使用安全存储介质； 如果存在共享区，则允许客户端使用共享区读写非保密文件； 步骤S3322，如果客户端的安全级别等于安全移动存储介质的安全级别时，即
SCLevel (SMSM) = SCLevel (Eijk)，则检查安全移动存储介质是否存在分区，即高密区和共
享区； 如果不存在共享区，则允许客户端使用高密区读、写； 如果存在共享区，则允许客户端使用共享区读写非密级文件； 步骤S3323，如果客户端的安全级别大于安全移动存储介质的安全级别时，即 SCLevel (SMSM) > SCLevel (Eijk)则检查安全移动存储介质是否存在分区，即高密区和共 享区； 如果不存在共享区，则允许客户端以只读模式使用高密区；
如果存在共享区，则允许客户端使用共享区读写非密级文件。 作为一种可实施方式，在本发明实施例中，可由安装在客户端的外设接口及文件 系统驱动过滤程序MSMFilter负责实现MSMFilter (VCNPolicy， SDPolicy， EndpointPolicy， MSMID) { VCNPolicy :VCN间存储介质业务操作方式； SDPolicy :VCN内安全域间存储介质业务操作方式； EndpointPolicy :安全域内客户端间存储业务操作方式； SMSMID :存储介质标识； SMSMSCLevel :存储介质安全级别； } 步骤S340，在进行输出设备访问请求时，从服务器1中读取相应的安全标识和安 全级别，截获输出设备访问请求，并根据相应的安全管理属性而对所述输出设备访问请求 进行安全管理。 作为一种可实施方式，本发明实施例中，输出设备的安全管理是由企业管理机构 设置，分配安全标识，安全级别等属性，根据客户端2的安全属性确定安全策略，控制是否 可以使用相关安全输出设备的过程。 输出设备的安全管理需要进行全局配置，并由客户端2具体实施，根据实际情况 为每一个客户端2确定允许使用的输出设备，为每一个客户端2设置允许使用的输出设备的列表，通过这种方法来实现不同虚拟保密子网之间的输出设备的控制，即列表输出设备 之外，客户端2无法安装配置其他输出设备；输出设备与DBVCN之间的结合关系控制、与客 户端2之间的结合关系控制； 所述步骤S340，是在一个客户端2E(i，j，k)使用输出设备(如打印机)输出文件
的安全管理流程，包括如下步骤 步骤S341 ，客户端2截获访问请求 步骤S342，客户端2从访问请求中读取所述客户端的安全标识，并比较客户端和 输出设备的安全级别，根据不同的比较结果利用输出设备的业务操作方式进行安全管理操 作。 所述根据不同的比较结果利用输出设备的业务操作方式进行安全管理操作，包括 如下步骤 步骤S3421，客户端的安全级别小于或等于安全输出设备的安全级别时，即 SCLevel (Ei jk)《SCLevel (Sprt)，允许客户端自由使用和输出； 步骤S3422，客户端的安全级别大于输出设备的安全级别时，即SCLevel (Eijk) > SCLevel (Sprt)，比较输出设备和输出安全文档的安全级别； 如果输出安全文档的安全级别大于输出设备的安全级别时，即SCLevel (SDoc) > SCLevel (Sprt)，禁止输出； 如果输出安全文档的安全级别小于或等于输出设备的安全级别时，即 SCLevel (SDoc)《SCLevel (Sprt)，允许客户端自由使用和输出。 作为一种可实施方式，本发明实施例由安装在客户端2的输出设备及文件系统驱 动过滤程序PrtFilter负责实现。PrtFilter(VCNPolicy， SDPolicy， EndpointPolicy， SPrtID， SPrtSCLevel){ VCNPolicy :VCN间输出设备的业务操作方式； SDPolicy :VCN内安全域间输出设备的业务操作方式； EndpointPolicy :安全域内客户端间输出设备的业务操作方式； SPrtID :输出设备标识； SPrtSCLevel :输出设备安全级别； } 本发明实施例的基于客户端的安全管理系统，将管理域的客户端根据其安全级别 和敏感程度，精细地构建成客户端-安全域-桌面虚拟保密子网(E-S-V)的管理体系，并为 客户端设置三级管理方式(客户端级、安全域级、桌面虚拟保密子网级)，同时安全管理由 客户端实施，保证安全管理的精确性和有效性。 本发明实施例的基于客户端的安全管理系统，将网络和客户端的等级划分、密码 技术和访问控制技术进行结合，构成一个完备的安全管理体系，同时将网络通信、安全文 档、存储介质、打印设备等四个安全管理中重要的要素纳入管理中，实现安全管理的完美应 用。 本发明实施例的基于客户端的安全管理系统，以客户端为核心进行保密子网的划 分，实施访问控制和安全管理就是客户端自己，这样确保了安全管理的精准和有效性。
本发明实施例的基于客户端的安全管理系统，大大减少了客户端的部署系统的数目，提高客户端的运行效率，减少管理域(如企业)的资金投入，减少了管理的复杂度，能够 大大提高企业的安全保密性能，客户端的运行效率和管理域的整体的运行效率。其以客户 端为核心的虚拟保密子网安全保密和安全管理系统非常适合党、政、军、警等机要保密部门 及航天军工等核心高科技单位。 最后应当说明的是，很显然，本领域的技术人员可以对本发明进行各种改动和变 型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要 求及其等同技术的范围之内，则本发明也意图包含这些改动和变形。
权利要求
一种基于客户端的安全管理系统，包括服务器和至少一客户端，其特征在于所述服务器包括管理中心，用于配置管理域的桌面虚拟保密子网、安全域和客户端的安全标识和安全级别，并设置所述客户端的安全管理属性；所述客户端包括执行中心，用于进行安全管理时，从所述服务器中读取相应的安全标识和安全级别，截获操作请求，并根据相应的安全管理属性而对所述客户端进行安全管理。
2. 根据权利要求1所述的基于客户端的安全管理系统，其特征在于，所述管理中心包括DBVCN配置中心，SD配置中心，客户端配置中心，其中所述DBVCN配置中心，用于将管理域配置为多个桌面虚拟保密子网，并配置所述虚拟保密子网的安全标识和安全级别；所述SD配置中心，用于将所述桌面虚拟保密子网配置为多个安全域，并配置所述安全域的安全标识和安全级别；所述客户端配置中心，用于将所述安全域配置为多个客户端，并配置所述客户端的安全标识和安全级别。
3. 根据权利要求1或2所述的基于客户端的安全管理系统，其特征在于，所述管理中心还包括网络通信属性设置模块，安全文档属性设置模块，存储介质属性设置模块，输出设备属性设置模块，其中所述网络通信属性设置模块，用于根据所述客户端的MAC地址，设置所述客户端中的网络连接的安全级别，并根据安全级别设置网络连接方式；所述安全文档属性设置模块，用于设置所述客户端中的安全文档的安全文档标识和安全级别，并根据所述安全级别设置所述安全文档的流转方式；所述存储介质属性设置模块，用于设置所述客户端中的存储介质的存储介质标识和安全级别，并根据所述安全级别设置所述存储介质的业务操作方式；所述输出设备属性设置模块，用于设置所述客户端中的输出设备的输出设备标识和安全级别，并根据所述安全级别设置所述输出设备的业务操作方式。
4. 一种基于客户端的安全管理方法，其特征在于，包括下列步骤步骤S100，服务器配置管理域中的客户端、所述客户端对应的安全域、所述安全域对应的桌面虚拟保密子网的安全标识和安全级别；步骤S200，所述服务器设置所述客户端的安全管理属性；步骤S300，在所述客户端进行安全管理时，由所述客户端从所述服务器读取所述客户端、安全域和桌面虚拟保密子网的安全标识和安全级别，并获取所配置的所述客户端安全管理属性，进行安全管理。
5. 根据权利要求4所述的基于客户端的安全管理方法，其特征在于，所述步骤S100包括下列步骤步骤S110，对每个客户端E(i，j，k)设置一个安全标识EID(i，j，k)和一个安全级别为ESCLevel (i， j， k);并对每个客户端E(i， j， k)的MAC地址进行捆绑绑定；步骤S120，将工作性质相近、业务相关的客户端设置为安全域，用SD(i， j)表示；并对每个安全域SD(i， j)设置一个安全标识SDID(i， j)和一个安全级别为SDSCLevel(i， j);步骤S130，将安全域中所需保密级别相同的安全域设置成桌面虚拟保密子网，用DBVCN(i)表示；并对每个所述桌面虚拟保密子网设置一个安全标识DBVCNID(i)和一个安全级别为DBVCNSCLevel (i)。
6. 根据权利要求4或5所述的基于客户端的安全管理方法，其特征在于，所述步骤S200包括下列步骤步骤S210，设置所述客户端的网络通信的安全管理属性；步骤S220，设置所述客户端的安全文档的安全管理属性；步骤S230，设置所述客户端的存储介质的安全管理属性；步骤S240，设置所述客户端的输出设备的安全管理属性。
7. 根据权利要求6所述的基于客户端的安全管理方法，其特征在于，所述步骤S300包括下列步骤步骤S310，在所述客户端进行网络连接时，从所述服务器中读取相应的安全标识和安全级别，截获网络连接操作请求，并根据相应的安全管理属性而对所述客户端的网络连接进行安全管理；步骤S320，在进行安全文档访问请求时，从所述服务器中读取相应的安全标识和安全级别，截获安全文档流转访问请求，并根据相应的安全管理属性而对所述文档访问请求进行安全管理；步骤S330，在进行存储介质访问请求时，从所述服务器中读取相应的安全标识和安全级别，截获存储介质访问请求，并根据相应的安全管理属性而对所述存储介质访问请求进行安全管理；步骤S340，在进行输出设备访问请求时，从所述服务器中读取相应的安全标识和安全级别，截获输出设备访问请求，并根据相应的安全管理属性而对所述输出设备访问请求进行安全管理。
8. 根据权利要求7所述的基于客户端的安全管理方法，其特征在于所述步骤S310包括下列步骤步骤S311 :所述客户端截获客户端E(i， j， k)对管理域内的客户端E(x， y， z)的连接请求；步骤S312 :所述客户端从连接请求中读取所述两个客户端的安全标识，根据所述安全标识比较桌面虚拟安全子网、安全域和客户端的安全级别，根据不同的比较结果，以及网络连接的安全属性进行安全管理操作；所述步骤S320包括下列步骤步骤S321，所述客户端截获安全文档的访问请求；步骤S322，所述客户端从访问请求中检查安全级别及流出方式，并读取所述客户端的安全标识，根据安全文档的流转方式进行安全管理操作；所述步骤S330包括下列步骤步骤S331，所述客户端截获存储介质的访问请求；步骤S332，所述客户端从访问请求中读取存储介质的的安全标识，并比较存储介质和客户端的安全级别，根据不同的比较结果利用存储介质的业务操作方式进行安全管理操作；所述步骤S340包括下列步骤步骤S341，所述客户端截获访问请求步骤S342，所述客户端从访问请求中读取所述客户端的安全标识，并比较客户端和输出设备的安全级别，根据不同的比较结果利用输出设备的业务操作方式进行安全管理操作。
全文摘要
本发明公开一种基于客户端的安全管理系统和方法。该系统包括服务器和至少一客户端，所述服务器包括管理中心，用于配置管理域的桌面虚拟保密子网、安全域和客户端的安全标识和安全级别，并设置所述客户端的安全管理属性；所述客户端包括执行中心，用于进行安全管理时，从服务器中读取相应的安全标识和安全级别，截获操作请求，并根据相应的安全管理属性而对所述客户端进行安全管理。其确保了安全保密的精准和有效性，能够实现真正的安全且可管理的安全。
文档编号H04L12/24GK101764798SQ200910087629
公开日2010年6月30日 申请日期2009年7月1日 优先权日2009年7月1日
发明者马东平 申请人:北京华胜天成科技股份有限公司