专利名称:一种企业计算机终端信息保护系统的制作方法
技术领域:
本实用新型涉及一种企业计算机终端信息保护系统。
背景技术:
2010年,国内爆发了几起较大的企业信息安全事件,波及面之广、影响之恶劣前所未有。近年来,随着企业计算机应用的普及,寻找一种有效,可行的企业内部计算机终端信息保护手段成为当前亟待解决的问题。当前企业内部信息保护的控制存在几个问题,一是对磁盘缺乏访问控制,移动磁盘、机器外出送修,易导致用户文件泄露;二是依靠软、硬的加密方式的文件控制,系统依赖程度较高,对用户不透明,实施难度较大,可靠性较低;三是缺乏基于用户的控制管理,缺乏基于企业内外网的访问控制机制,应用领域较窄。所以,企业必须要对各种终端计算机用户文件的使用与传播进行相应保护和管理。另一方面,企业也应考虑到文件在员工及相关方的易传播与易用性。为此,企业亟需一种信息安全保护系统在控制磁盘和文件访问的同时也兼顾文件的易传播性与易用性。
实用新型内容本实用新型所要解决的技术问题是提出一种企业计算机终端信息保护系统,该企业计算机终端信息保护系统为磁盘和文件提供可靠保护,并且在控制文件机密性的同时也兼顾了易传播性与易用性。本实用新型的技术解决方案如下—种企业计算机终端信息保护系统,包括受保护客户端、微软域控管理服务器、文档权限管理模块、企业证书服务器、内网域名管理服务器、防火墙和外网客户端;微软域控管理服务器、文档权限管理模块、企业证书服务器、内网域名管理服务器均与受保护客户端连接,微软域控管理服务器、防火墙均与文档权限管理模块连接,外网客户端通过互联网连接防火墙。文档权限管理模块为由多个文档权限管理模块组成的文档权限管理群集。文档权限管理群集由第一文档权限管理模块和第二文档权限管理模块组成,第一文档权限管理模块与第二文档权限管理模块连接。本实用新型实现对用户磁盘和文件的保护。企业内部多个用户登录同一受保护客户端的情况下,登陆用户不能访问磁盘上其他用户创建的文件。文档权限管理模块可以保护企业内的重要MS OFFICE文件,授权特定用户以特定权限访问这些文件,并将这些受保护文件带到外网也按同样的授权规则访问。本实用新型提供了一套较完整的企业终端计算机信息的保护服务,保障了计算机磁盘和文件数据的安全。微软域控管理服务器的功能是对受保护控制端下发EFS指令;并对文档权限管理模块的授权用户进行认证。企业证书服务器的功能是为受保护客户端统一颁发证书,并将该证书进行保存。[0014]内网域名管理服务器的功能是受保护的MS OFFICE文件内保存的认证地址是 URL,域名服务器进行地址解析,并对文档权限管理模块进行域名负载均衡。文档权限管理模块是一个包含多个程序服务的硬件模块它包括数据库、应用中间件、ASP. Net和消息队列等服务组件,同时文档权限管理模块注册完成后还需要到微软域控管理服务器注册它的服务器连接点(ServiceCormectionPoint,SCP),确保授权用户认证。有益效果本实用新型能实现对受保护终端磁盘的访问控制受保护客户端与微软域控管理服务器、企业证书服务器构成连接,对受保护客户端的磁盘进行基于用户证书的EFS加密, 实现对多用户登录同一受保护客户端后不能访问磁盘上其他用户创建的文件的功能。某受保护客户端在多用户登陆的情况下,将为登陆用户生成授权文件夹,该文件夹只对该用户开放,必须在该用户合法登陆操作系统的情况下才可访问,同时该登陆用户访问其他用户的授权文件夹将被限制。优点是1、完全透明。授权用户打开、修改、删除文件与日常操作完全一致。2、保护方式牢固。无论用户重装系统,将磁盘介质移出计算机外挂等方式,未合法登陆的用户始终无法打开受保护文件夹中的文档。3、覆盖面较广,可行性较高,无需其他软、硬件支撑,Windows 2000及以上Windows版本操作系统,磁盘格式为NTFS 即可实现。本实用新型实现对企业MS OFFICE文件的保护第一文档权限管理模块、第二文档权限管理模块进行连接,通过连接两模块形成群集,减少单点故障,提高文档授权访问系统的稳定性;微软域控管理服务器、防火墙与第一文档权限管理模块、第二文档权限管理模块构成连接;受保护客户端分别与第一文档权限管理模块、第二文档权限管理模块、内网域名管理服务器进行连接;外网客户端通过互联网与防火墙进行连接;为企业受保护客户端和外网客户端提供重要文件保护,授权特定用户才能访问这些文件。这些MS OFFICE文件按照文档权限管理模块制定的规则进行文件访问,确保该文档按照授权的用户和权限(浏览、修改、复制,时间期限等)进行访问。同时这些受保护文档在外网同样可接受访问控制,实现企业文档文件跨越内外网的统一管理和保护。文档权限管理模块进行群集配置,受保护客户端、外网客户端通过域名负载均衡,保证了访问控制的高可靠性。
图1为企业计算机终端信息保护系统总体结构示意图。
具体实施方式
以下将结合附图和具体实施例对本实用新型做进一步详细说明实施例1 如图1,一种企业终端信息保护系统,其由微软域控管理服务器、企业证书服务器、 内网域名管理服务器、第一文档权限管理模块、第二文档权限管理模块、受保护客户端、防火墙、外网客户端组成。其中第一文档权限管理模块、第二文档权限管理模块连接形成群集,群集中两个文档权限管理模块共享相同的配置,相同的数据,相同的服务连接管道URL。其中第一文档权限管理模块、第二文档权限管理模块与微软域控管理服务器连接,对文档授权用户进行认证。由于加入到群集中的两个模块默认状态基于无状态的请求过程,并不能自动负载均衡,所以需要部署负载均衡器。负载均衡的设计与配置过程在内网域名管理服务器中为两个文档权限管理模块的IP地址配置同一个域名,因而查询这个域名的受保护客户端将随机得到其中一个地址,从而使不同的客户访问不同的服务器,达到负载均衡的目的。受保护客户端与该群集、内网域名管理服务器连接,进行文件的访问授权许可,由于形成群集,单一文档权限管理模块故障不会影响MS OFFICE文档的访问,避免单点失败,这样的结构实现了高可靠性。第一文档权限管理模块、第二文档权限管理模块与防火墙形成连接,为外网客户端提供文档授权认证,防火墙把文档权限管理群集的URL外网认证地址发布到公网供外部用户访问,用户通过公网域名解析找到公网IP,直接路由到监听的防火墙,防火墙转发到文档权限管理群集,这样即实现了内外网的统一认证授权保护。内网用户对一个MS OFFICE文件进行授权保护的流程受保护客户端首先连接文档权限管理模块,通过内网域名管理服务器的域名解析,得到一个文档权限管理模块IP 地址,受保护客户端将文档的授权用户对象和访问权限信息发送到指定的文档权限管理模块,群集生成加密的授权对象和权限发布许可证书返回至受保护客户端,客户端将发布许可合并到受保护文档内容中。受保护客户端对受保护的文档的访问流程受保护客户端通过URL地址,到内网域名管理服务器进行域名解析,得到一个文档权限管理模块IP地址,受保护客户端将该受保护文档的授权对象和权限发布许可证书提交到指定的文档权限管理模块,文档权限管理模块将授权用户信息到微软域控管理服务器进行认证,进行用户身份确认,之后文档权限管理模块签署使用许可,再返回给客户端,客户端获得这个使用许可证,就能按赋予的权限访问受保护文件的内容了。外网客户端对受保护的文档的访问流程与受保护客户端的访问流程类似,用户在创建受保护文件时会在文档权限管理模块找到两个URL认证地址(内网和外网)加入到MS OFFICE文件里。在外网环境下,客户端无法联系到内网地址就会使用外网地址进行授权申请,通过公网域名服务器解析外网URL到防火墙端口,防火墙再将服务请求递交到文档权限管理模块。受保护客户端与微软域控管理服务器连接,实现本地操作系统接受域控管理服务器的管理。受保护客户端与企业证书服务器构成连接,接受EFS证书的统一颁发和管理。 1、在用户第一次登陆操作系统后,域控服务器将下发EFS(Encrypting File System,加密文件系统)指令,在受保护客户端的NTFS磁盘生产EFS加密的用户文件夹,同时企业证书服务器为该用户颁发一个证书(非对称);2、EFS也会随机产生一个FEK(文件加密密钥, 对称);3、EFS会用第1步产生的证书的公钥对FEK进行加密;4、EFS会将加密后的FEK存储在DDF (数据压缩区)。5、企业证书服务器对第1步产生的证书进行统一管理,确保证书颁发的一致性,同时将证书进行备份,那么在用户证书丢失后,企业证书服务器可进行磁盘 EFS证书还原,保证了证书的统一性和可靠性。这样受保护客户端实现了在多用户情况下, 一个用户登录受保护客户端后不能访问磁盘上其他用户创建的文件。
权利要求1.一种企业计算机终端信息保护系统,其特征在于,包括受保护客户端、微软域控管理服务器、文档权限管理模块、企业证书服务器、内网域名管理服务器、防火墙和外网客户端;微软域控管理服务器、文档权限管理模块、企业证书服务器、内网域名管理服务器均与受保护客户端连接,微软域控管理服务器、防火墙均与文档权限管理模块连接,外网客户端通过互联网连接防火墙。
2.根据权利要求1所述的企业计算机终端信息保护系统,其特征在于,文档权限管理模块为由多个文档权限管理模块组成的文档权限管理群集。
3.根据权利要求2所述的企业计算机终端信息保护系统,其特征在于,文档权限管理群集由第一文档权限管理模块和第二文档权限管理模块组成,第一文档权限管理模块与第二文档权限管理模块连接。
专利摘要本实用新型公开了一种企业计算机终端信息保护系统,包括受保护客户端、微软域控管理服务器、文档权限管理模块、企业证书服务器、内网域名管理服务器、防火墙和外网客户端;微软域控管理服务器、文档权限管理模块、企业证书服务器、内网域名管理服务器均与受保护客户端相连,微软域控管理服务器、防火墙均与文档权限管理模块连接,外网客户端通过互联网连接防火墙。该企业计算机终端信息保护系统能为磁盘和文件提供可靠保护,并且在控制文件机密性的同时也兼顾了易传播性和易用性。
文档编号H04L29/06GK202059438SQ201120157989
公开日2011年11月30日 申请日期2011年5月18日 优先权日2011年5月18日
发明者彭俊 申请人:湖南省烟草公司长沙市公司