一种防数据泄漏的企业共享云盘登录器的制作方法

本发明属于计算机领域，涉及一种具有数据泄漏防护功能的企业共享云盘登录器。

背景技术：

随着互联网技术的飞速发展，云盘的使用越来越广泛，有的企业使用云盘来实现互联网协同办公，优点是不受时间和地点限制，只要能上网，就可以随时随地办公，但在享受极大便利性的同时，也带来一个难题是：如何保护云盘数据不泄漏。这里的“数据不泄漏”包含两层含义：一是文档出不去，二是文档即使出去了也打不开或者打开是乱码；在目前的技术、产品和解决方案中，还不能很好地解决企业共享云盘数据泄漏防护的难题。

技术实现要素：

本发明的目的是为了提供一种防数据泄漏的企业共享云盘登录器，由一个含有加密存储芯片的硬件key和内嵌的防数据泄漏系统软件构成，实现了在开放性网络环境下保护企业共享云盘数据不泄漏的目标。

一种防数据泄漏的企业共享云盘登录器，采用的技术方案是用key作为企业共享云盘登录器，key里内嵌一套防数据泄漏系统，key里的加密存储芯片保存了用户身份认证信息和安全策略参数；所述防数据泄漏系统是在计算机操作系统的基础上，运用网络隔离、存储隔离、应用隔离和外设隔离等驱动层隔离技术，构建出一个与系统桌面完全隔离的安全桌面，用来打开企业共享云盘，使得文档“出不去”；采用文件透明加密技术，对企业共享云盘的文件自动加密，使得文档即使出去了也打不开或打开是乱码。

所述防数据泄漏系统包括创建企业共享云盘模块、用户分控模块、桌面切换模块、登录控制模块、安全桌面模块、网络隔离模块、存储隔离模块、应用隔离模块、外设隔离模块、文件透明加密模块、文件导入导出模块。

为了达到上述目的，本发明是采用以下技术手段实现的：

1、采用含有加密存储芯片的硬件key作为企业共享云盘登录器，key里内嵌一套防数据泄漏系统，key里的加密存储芯片保存了用户身份认证信息和安全策略参数；

2、创建企业共享云盘模块，由企业共享云盘系统管理员，登录企业共享云盘服务器，申请注册一个企业共享云盘，并将登录密码存储到登录器的加密存储芯片里，同时加密保存到安全策略服务器里；

3、用户分控模块，为企业共享云盘设置不同权限的用户：超级用户、审计用户、普通用户和只读用户，超级用户用于最高权限，审计用户只涉及日志，普通用户只编辑文件，只读用户只浏览文件，未经超级用户许可，审计用户、普通用户和只读用户无法从企业共享云盘获取数据；

4、桌面切换模块，用于系统桌面与安全桌面之间来回切换；

5、登录控制模块，从登录器或安全策略服务器获取身份认证信息，接收用户输入的企业共享云盘的登录信息，若身份认证通过，则打开企业共享云盘，否则不能打开；

6、安全桌面模块，用于创建一个安全的人机交互界面即安全桌面，并用安全桌面来打开企业共享云盘，安全桌面与系统桌面之间完全隔离，安全桌面的呈现形式与系统桌面一样；

7、文件透明加密模块，采用文件透明加密技术，对企业共享云盘里的数据进行透明加密，即使文件泄漏出去了，也不能被打开或打开是乱码；

8、网络隔离模块，采用网络通讯底层驱动技术，对网络通讯命令进行控制，对网络数据包进行过滤，除了特例放行企业共享云盘服务器通讯外，隔离所有其它网络，无法通过网络将企业共享云盘的数据泄漏出去；

9、存储隔离模块，采用存储内核驱动技术，实现安全桌面与系统桌面之间存储设备的隔离，在系统桌面里，本地盘可见可读写，而企业共享云盘不可见且禁止访问；在安全桌面里，企业共享云盘可见可读写，而本地盘不可见且访问受限制；

10、应用隔离模块，采用进程监控驱动技术，拦截进程启动，监控进程行为，以安全桌面为标识，实现两个桌面之间的进程隔离，企业共享云盘只能由安全桌面的进程访问，系统桌面的进程不能访问企业共享云盘；

11、外设隔离模块，采用设备驱动技术，实现两个桌面之间的外设隔离，即在安全桌面里，除了企业共享云盘外，其它外部设备一律不可见；

12、文件导入导出模块，用于将系统桌面的数据导入到安全桌面里的企业共享云盘内，企业共享云盘内的数据导出到系统桌面。

本发明采取了上述方案以后，具备以下积极效果：

对企业共享云盘实施双重保护，一是安全桌面保护，使得文档出不去；二是文档透明加密保护，使得文档即使泄漏出去了，也打不开或者打开是乱码；实现了在开放性网络环境下保护企业共享云盘数据不泄漏的目标。

下面结合附图对本发明进行详细的描述，其中：

图1是本发明的系统结构示意图；

图2是本发明的实施例的系统流程示意图。

具体实施方式

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。需要说明的是，只要不构成冲突，本发明中的各个实施例以及各实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护范围之内。

请参阅图1，本发明提供一种防数据泄漏的企业共享云盘登录器，是由一个含有加密存储芯片的硬件key和内嵌的防数据泄漏系统构成。所述防数据泄漏系统包括企业共享云盘创建模块、桌面切换模块、登录控制模块、安全桌面模块、网络隔离模块、存储隔离模块、应用隔离模块、外设隔离模块、文件透明加密模块、文件导入导出模块。

请参阅图2，具体来说，一种防数据泄漏的企业共享云盘登录器，包括：

1、采用含有加密存储芯片的硬件key作为企业共享云盘登录器，key里内嵌一套防数据泄漏系统，key里的加密存储芯片保存了身份认证信息和安全策略参数。

2、双击运行登录器软件s0，判断企业共享云盘是否已经创建，若企业共享云盘未创建，则进入下一步s10，若企业共享云盘已创建，则进入下一步s2。

3、由企业共享云盘系统管理员，登录企业共享云盘服务器，申请注册一个企业共享云盘，并并将登录密码存储到登录器的加密存储芯片里，同时加密保存到安全策略服务器里。创建完成后会在桌面生成一个软件快捷图标，进入下一步s2。

4、登录控制和用户分控s2，从登录器或安全策略服务器获取身份认证信息，接收用户输入的企业共享云盘账户密码，若身份认证通过，则执行用户分控模块，鉴别用户属性，赋予不同权限，进入下一步s3；若身份认证未通过，则程序结束。

5、加载各驱动模块s3。驱动模块包括网络过滤驱动模块、存储过滤驱动模块、进程过滤驱动模块、设备过滤驱动模块、文件透明加密驱动模块等。若某驱动模块加载失败，表明驱动控制功能异常，结束并返回系统桌面s1；若各驱动模块都加载成功，表明驱动控制功能正常，则进入下一步s4。

6、实施网络隔离策略s4。对网络通讯命令进行控制，对网络数据包进行过滤，除了特例放行企业共享云盘服务器通讯外，隔离所有其它网络，无法通过网络将企业共享云盘的数据泄漏出去；若实施网络隔离策略失败，则结束并返回系统桌面；若实施网络隔离策略成功，则进入下一步s5。

7、实施存储隔离策略s5。实现安全桌面与系统桌面之间存储设备的隔离，在系统桌面里，本地盘可见可读写，而企业共享云盘不可见且禁止访问；在安全桌面里，企业共享云盘可见可读写，而本地盘不可见且访问受限制。若实施存储隔离策略失败，则结束并返回系统桌面；若实施存储隔离策略成功，则进入下一步s6。

8、实施应用隔离策略s6。拦截进程启动，监控进程行为，以安全桌面为标识，实现两个桌面之间的进程隔离，企业共享云盘只能由安全桌面的进程访问，系统桌面的进程不能访问企业共享云盘。若实施应用隔离策略失败，则结束并返回系统桌面；若实施应用隔离策略成功，则进入下一步s7。

9、实施外设隔离策略s7。实现两个桌面之间的外设隔离，即在安全桌面里，除了企业共享云盘外，其它外部设备一律不可见。若实施外设隔离策略失败，则结束并返回系统桌面；若实施外设隔离策略成功，则进入下一步s8。

10、挂载企业共享云盘s8。加载所述企业共享云盘的盘符于系统盘符目录中。若挂载失败，则结束并返回系统桌面；若挂载成功，表明可以正常使用企业共享云盘了，则进入下一步s9。

11、登录安全桌面s9。在这个安全桌面环境中，用户对企业共享云盘的所有操作都是在用户所对应的安全策略的控制之中。在安全桌面里本地盘不可见，数据只能存企业共享云盘，文件无法另存、复制、粘贴、拷贝或移动到本地磁盘；由于安全桌面是与外网隔离的，因此文件是无法外发出去的；由于安全桌面是与内网隔离的，因此文件是无法通过共享拷贝出去的；由于安全桌面是与外设隔离的，因此无法将文件输出到外部设备；由于安全桌面是与系统桌面隔离的，即使使用录屏软件将内容录制下来、或用拷屏和截屏的操作将内容保存下来，也无法从安全桌面出去；从而实现了企业共享云盘数据泄漏防护的功能。

12、桌面切换。可以在系统桌面和安全桌面之间方便地来回切换，系统桌面，不限制功能，可以上外网，用于非密工作；安全桌面，为企业共享云盘环境，与外网隔离，用于企业办公。

13、数据导入/导出。由于安全桌面是一个“封闭”的环境，是与系统桌面“完全隔离”的，因此外部数据要导入到企业共享云盘，须借助专用的数据导入根据且经过授权许可；企业共享云盘的数据要导出到外部，也须借助专用的数据导出工具且经过授权许可。

14、退出安全桌面。退出安全桌面之前，首先要做如下处理：撤销安全控制策略、卸载各驱动模块、清除缓存及残余文件、关闭企业共享云盘，最后再关闭安全桌面，结束并返回系统桌面s1。

综上所述，本发明的目的是为了提供一种防数据泄漏的企业共享云盘登录器，是由一个含有加密存储芯片的硬件key和内嵌的防数据泄漏系统构成，对企业共享云盘实施双重保护，一是安全桌面保护，使得文档出不去；二是文档透明加密保护，使得文档即使出去了也打不开或者打开是乱码；实现了在开放性网络环境下保护企业共享云盘的数据不泄漏的目标。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。