基于移動存儲器的數據黑洞處理方法及移動存儲器技術
【技術實現步驟摘要】
基于移動存儲器的數據黑洞處理方法及移動存儲器
本專利技術涉及計算機安全領域,尤其涉及一種基于移動存儲器的數據黑洞處理方法及移動存儲器。
技術介紹
現有的電子信息安全領域包括系統安全、數據安全和設備安全三個子領域。在數據安全領域內,一般采用下面三種技術確保數據安全:(1)數據內容安全技術,包括數據加密解密技術和端到端數據加密技術,保障數據在存儲和傳輸過程中內容不被非法讀取;(2)數據安全轉移技術,包括防止非法拷貝、打印或其它輸出,保障數據在使用和轉移過程中的安全;(3)網絡阻斷技術,包括網絡物理阻斷和設置網絡屏障等技術。根據相關分析,目前針對計算機的所有危害總有效偵測能力最多在50%左右;由于上述技術在應對計算機內核病毒、木馬、操作系統漏洞、系統后門以及人為泄密時能力不足,事實上任何計算設備(包括例如計算機、筆記本電腦、手持通信設備等)都可能存在惡意代碼。一旦惡意代碼進入終端系統,上述的加密技術、防拷貝技術以及網絡阻斷技術都將失去作用。現有的黑客技術可以利用系統漏洞或系統后門穿透上述安全技術并植入惡意代碼,并利用惡意代碼取得用戶數據。上述技術更無法防范涉密人員的主動或被動泄密,例如,內部人員可以攜帶存儲設備,從內部網絡或終端上下載所需的資料并帶走存儲設備,導致內部泄密;又例如,內部人員可以直接將計算設備帶走。綜上,防拷貝技術無法保證涉密信息在終端不被非法存儲。基于網絡過濾無法確保涉密信息不丟失。涉密人員可通過惡意代碼或惡意工具造成泄密,還可能因涉密設備或存儲介質失控造成泄密。
技術實現思路
本專利技術的目的是提供一種基于移動存儲器的數據黑洞處理方法及移動存儲器,...
【技術保護點】
一種基于移動存儲器的數據黑洞處理方法,包括:在計算設備部署數據黑洞系統,使之成為數據黑洞終端;數據黑洞系統是指將計算設備運行過程中的過程數據和運行結果存儲至特定存儲位置并且能夠確保計算設備正常運行的系統;建立數據黑洞空間,包括在所述移動存儲器上開辟的數據存儲區域,其中,該數據存儲區只能由數據黑洞系統訪問,不能被操作系統或應用層軟件訪問,所述移動存儲器與計算設備耦接;為計算設備的用戶與數據黑洞空間或數據黑洞空間的一部分建立對應關系;將用戶在數據黑洞終端操作所產生的數據寫重定向到與該用戶對應的數據黑洞空間;阻止對于本地存儲設備的數據持久化操作,并且阻止通過本地端口對非數據黑洞終端的數據輸出,從而保證進入數據黑洞終端或者數據黑洞空間的數據只在數據黑洞空間存在。
【技術特征摘要】
1.一種基于移動存儲器的數據黑洞處理方法,包括:在計算設備部署數據黑洞系統,使之成為數據黑洞終端;數據黑洞系統是指將計算設備運行過程中的過程數據和運行結果存儲至特定存儲位置并且能夠確保計算設備正常運行的系統;建立數據黑洞空間,包括在所述移動存儲器上開辟的數據存儲區域,其中,該數據存儲區只能由數據黑洞系統訪問,不能被操作系統或應用層軟件訪問,所述移動存儲器與計算設備耦接;為計算設備的用戶與數據黑洞空間或數據黑洞空間的一部分建立對應關系;將用戶在數據黑洞終端操作所產生的數據寫重定向到與該用戶對應的數據黑洞空間;阻止對于本地存儲設備的數據持久化操作,并且阻止通過本地端口對非數據黑洞終端的數據輸出,從而保證進入數據黑洞終端或者數據黑洞空間的數據只在數據黑洞空間存在。2.如權利要求1所述的基于移動存儲器的數據黑洞處理方法,其中,部署數據黑洞系統包括部署數據安全存儲方法,將用戶在數據黑洞終端操作所產生的數據寫重定向到與該用戶對應的數據黑洞空間通過數據安全存儲方法實現,數據安全存儲方法包括:接收硬件指令;如果該硬件指令是存儲指令,修改存儲指令中的目標地址為當前用戶對應的數據黑洞空間的存儲地址;和將修改后的存儲指令發送到硬件層執行。3.如權利要求2所述的基于移動存儲器的數據黑洞處理方法,其中,部署數據黑洞系統包括部署數據安全讀取方法,數據安全讀取方法包括:接收硬件指令;如果該硬件指令是讀取指令并且其欲讀取的數據已經被存儲到數據黑洞空間,更改讀取指令的源地址為當前用戶對應的數據黑洞空間的存儲地址;將修改后的讀取指令發送到硬件層執行。4.如權利要求2所述的基于移動存儲器的數據黑洞處理方法,其中,部署數據黑洞系統包括部署數據安全讀取方法,數據安全讀取方法包括:接收硬件指令;如果該硬件指令是讀取指令并且其欲讀取的數據已經被存儲到數據黑洞空間,為用戶提供一種選擇:讀取本地數據或數據黑洞空間數據,并根據用戶的選擇來讀取本地數據或數據黑洞空間數據;將修改后的讀取指令發送到硬件層執行。5.如權利要求4所述的基于移動存儲器的數據黑洞處理方法,其中,讀取數據黑洞空間數據包括:更改讀取指令的源地址為當前用戶對應的數據黑洞空間的存儲地址。6.如權利要求3或4所述的基于移動存儲器的數據黑洞處理方法,其中,接收硬件指令包括:接收來自硬件抽象層的硬件指令。7.如權利要求1所述的基于移動存儲器的數據黑洞處理方法,其中,部署數據黑洞系統包括部署數據安全存儲方法,將用戶在數據黑洞終端操作所產生的數據寫重定向到與該用戶對應的數據黑洞空間通過數據安全存儲方法實現,數據安全存儲方法包括:緩存指令運行環境,包括地址寄存器,地址寄存器用于保存下一條將要運行的機器指令的地址,該地址為第一地址;獲取待調度的機器指令片段,其中,待調度的機器指令片段的最后一條指令為第一程序轉移指令;分析待調度的機器指令片段中的每一條指令,如果其為存儲指令,則修改所述存儲指令中的目標地址為對應的數據黑洞空間的存儲地址;在所述第一程序轉移指令前,插入第二程序轉移指令,生成具有第二地址的重組指令片段,其中,第二程序轉移指令指向指令重組平臺的入口地址;將所述地址寄存器中的第一地址修改為第二地址;和恢復所述指令運行環境。8.如權利要求1所述的基于移動存儲器的數據黑洞處理方法,其中,部署數據黑洞系統包括部署數據安全存儲方法,將用戶在數據黑洞終端操作所產生的數據寫重定向到與該用戶對應的數據黑洞空間通過數據安全存儲方法實現,數據安全存儲方法包括:緩存指令運行環境;從第一存儲位置讀取目標地址,根據目標地址獲取待調度的機器指令片段;待調度的機器指令片段的最后一條指令為第一程序轉移指令;在第一存儲位置保存第一程序轉移指令的目標地址;分析待調度的機器指令片段中的每一條指令,如果其為存儲指令,則修改所述存儲指令中的目標地址為對應的數據黑洞空間的存儲地址;將第一程序轉移指令替換為第二程序轉移指令,生成具有第二地址的重組指令片段;所述第二程序轉移指令指向指令重組平臺的入口地址;和恢復所述指令運行環境,并跳轉到第二地址繼續執行。9.如權利要求1所述的基于移動存儲器的數據黑洞處理方法,其中,部署數據黑洞系統包括部署數據安全存儲方法,將用戶在數據黑洞終端操作所產生的數據寫重定...
【專利技術屬性】
技術研發人員:汪家祥,
申請(專利權)人:北京中天安泰信息科技有限公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。