一種局域網數據安全防護方法及系統技術方案

本專利公開了一種局域網數據安全防護系統，通過分配個人區方式把終端上敏感數據進行集中管理，通過存儲加密、通道加密方式保證敏感數據在任何狀態下都是安全的，個人區由用戶自主操作控制，可以自主的利用多種權限方式共享敏感數據給其他人員，使得敏感文件均處于可控狀態。通過備份模塊備份敏感數據；通過usbkey保證訪問者的物理身份與數字身份的一致性的同時，完成外帶數據安全存儲和安全使用。

【技術實現步驟摘要】
一種局域網數據安全防護方法及系統
本專利技術涉及一種數據安全防護方法及系統，更具體的說是涉及一種局域網內的數據防護方法及系統。
技術介紹
隨著信息化的發展，單位越來越多的利用計算機進行日常辦公操作，單位內部大量的數據信息及重要資料都是以電子文件的形式存在，如何能更好的保證單位內部重要數據信息及資料的安全性、保密性，防止重要資料被非法擴散造成信息泄密，又能使得這些電子文件被合法人員合理的高效的使用，是各單位比較關注的問題。 而對于大型單位來說，其網絡環境復雜、基層單位多、分布廣，辦公環境差異大，電腦終端多。如何構建一種不影響工作效率的全方位防泄密環境是大型單位難解之題。而防泄密環境的構建一般需要同時完成網絡數據安全建設和終端數據安全建設；網絡數據安全建設現階段技術已經趨于成熟，且針對網絡層數據，對用戶的工作效率幾乎不影響。而終端是直接面向用戶，在終端數據安全建設中對工作效率有很大影響。如何把終端建設的即安全又便捷是防泄密環境構建工作的重點。 針對以上問題，現有技術一般采用如下方法之一: 1.把視角集中在終端上的防護方法:以終端為防護點的主要特征是在各終端上安裝管控軟件，限制計算機終端上類外部接口的使用，如usb接口和光驅接口，極大的限制了計算機終端的便捷性，現有技術方法有:基于協同方式的內網安全管理方法(專利:201110323798.X)、單機安全防護系統(專利:201310356953.7)等。 2.把視角集中在電子文件上的防護方法:電子文件包括相關政策、法規、決議、籌劃、計劃、方案、報告、歷年業務資料等，對于黨政、軍事、科研、商業、企業等領域而言，電子文件是最主要的敏感載體，也是發生泄密事件的主要途徑。管住電子文件，即可實現終端數據安全。基于電子文件為防護點的主要特征是:對終端的電子文件進行加密，依據服務器分發的策略對電子文件進行解密訪問等。加密文件在工作流轉過程中所需的解密策略各不相同，需要花費大量時間定制不同的解密策略。主要的方法有:文件安全防范系統(專利-201310388918.3)。 3.把視角集中在用戶上的防護方法:主要特征是采用權限控制技術，為用戶分配角色及權限，符合條件的用戶才能敏感的數據。防止非授權用戶有意或無意對文件的操作導致文件的破壞。用戶的角色和權限隨人員的變化而變化。管理員需要時時跟蹤人員的變化。 以上各種方式或各種方式的組合均會對用戶使用計算機終端造成影響，對文件的使用習慣造成影響，嚴重影響工作效率。
技術實現思路
針對上述解決方案的弱點，本專利技術提出如下解決大型單位中接入特定網絡環境下的終端數據安全的問題的思路與方法，同時保證工作效率不受影響: 在大型單位中，終端可能會處于不同的網絡環境中，為了更全面、更有效的防護終端數據安全，不能單純的以終端、文件、用戶為中心，需要把防護的視角提高個層次，把計算機終端用戶按照部門或業務類型的不同分為不同的局域網，以局域網為中心來集中防護終端數據安全，把終端的敏感數據轉移到局域網中集中管理。 通過分配個人區方式把終端上敏感數據進行集中管理，通過存儲加密、通道加密方式保證敏感數據在任何狀態下都是安全的，個人區由用戶自主操作控制，可以自主的利用多種權限方式共享敏感數據給其他人員，使得敏感文件均處于可控狀態。通過備份模塊備份敏感數據；通過USbkey保證訪問者的物理身份與數字身份的一致性的同時，完成外帶數據安全存儲和安全使用。 敏感數據僅在顯示時內存中的數據是明文，并對內存數據進行管控；在存儲狀態、傳輸狀態，都是密文存在，確保了重要信息數據無論采取任何技術手段拿到的也只是加密后的亂碼文件，沒有合法的使用身份、訪問權限、正確的安全通道，所有重要的文件都是密文狀態，確保了數據無論在何時、何地、何種狀態下都是安全的。在嚴密的防泄密環境下不影響用戶的工作效率。 具體來說，本專利技術設置一種局域網數據安全防護的系統，包括計算機、局域網絡， 所述系統設置集控存儲設備，計算機通過局域網訪問集控存儲設備存儲的涉密數據，本處所述的涉密數據主要是指涉及業務的數據，操作系統、通用軟件等不屬于涉密數據； 所述集控存儲設備劃分為個人用戶區和群用戶區，個人用戶區供單個用戶對數據進行操作，包括增、刪、改、上傳、下載、打印，共享，群用戶區供多個用戶對數據進行操作，包括增、刪、改、上傳、下載、打印； 用戶將存儲在所述集控存儲設備中的數據復制至外部存儲設備時，必須通過具有加密安全存儲區的usbkey。 所述usbkey包括如下模塊: A.用戶認證usbkey使用者身份； B.對外帶文件的加密； C.對外帶文件的解密； D.對外帶文件的所做操作的記錄； E.對外帶文件的防復制； F.對外帶文件的存儲。 用戶編輯所述系統中存儲在集控存儲設備中的數據時，采用如下三種內存管理方法之一: A.計算機不使用計算機本地的內存空間，將集控存儲設備中部分映射到終端為本地磁盤，在映射磁盤中設置虛擬內存空間，文件的內存數據均緩存在虛擬內存空間中，系統通過虛擬內存空間防護內核對數據進行安全控制，保證在編輯過程中內存信息都控制在虛擬內存空間內，并對編輯進程進行防泄密控制(防打印、拷屏、內容復制粘貼、拖拽、屏幕取詞、網絡發送) B.計算機使用計算機本地的內存空間，對訪問數據的進程進行防泄密操作控制，禁止對數據進行打印、拷屏、內容復制粘貼、拖拽、屏幕取詞、網絡發送操作。 C.計算機不使用計算機本地的內存空間，計算機在存儲在集控存儲設備中的數據時,在usbkey中設置虛擬內存空間,數據的內存數據均緩存在usbkey中，系統通過usbkey防護內核對數據進行安全控制，保證在編輯過程中內存信息都控制在usbkey內，禁止對數據進行打印、拷屏、內容復制粘貼、拖拽、屏幕取詞、網絡發送操作。 所述局域網與另一局域網交換數據時: A.一局域網與另一局域網之間設置專用數據安全通道； B.一局域網中用戶指定文件后，先選擇另一局域網的集控存儲設備，再選擇另一局域網內的用戶名，并指定共享權限后，把通過專用數據安全通道安全的共享給另一局域網的被選擇用戶； C.另一局域網的被選擇用戶登錄自己網內的集控存儲設備，通過專用數據安全通道，安全的跨網訪問共享數據。 所述系統具備用戶間消息通信模塊，用戶通過消息通信模塊進行自動的共享通知、即時通信和非在線留言，并可閱讀與回復。 所述系統具備日志記錄模塊，日志記錄模塊記錄系統中數據全生命周期的日志，及usbkey中脫離系統的可回收的日志記錄。 【附圖說明】 圖1是系統安全劃區及管理模塊示意圖 圖2是系統安全共享模塊示意圖 圖3是系統日志模塊示意圖 圖4是在跨局域網時用戶之間進行數據共享示意圖 【具體實施方式】 下面結合圖示來說明該專利技術的一種具體實施方法: 1、安全劃區及管理模塊 如圖1，系統對集中存儲空間進行隔離，劃分出相互隔離的空間，把空間分配給每個用戶個人使用，也可以把空間作為公共區分配給某特定群體人使用，通過公共區和個人區來集中管理文件，公共區中存放的是整個公司或某個業務部門的公共文件，個人區中存放的是個人用戶的個人文件，分區所有者可對其所屬分區進行權限管理，如將分區中的文件本文檔來自技高網...

【技術保護點】
一種局域網數據安全防護的方法，建立一包括計算機、局域網絡的系統，其特征在于：對所述系統設置集控存儲設備，計算機通過局域網訪問集控存儲設備存儲的涉密數據；將所述集控存儲設備劃分為個人用戶區和群用戶區，個人用戶區供單個用戶對數據進行操作，包括增、刪、改、上傳、下載、打印，共享，群用戶區供多個用戶對數據進行操作，包括增、刪、改、上傳、下載、打印；用戶將存儲在集控存儲設備中的數據復制至外部存儲設備時，必須通過具有加密安全存儲區的usbkey。

【技術特征摘要】
1.一種局域網數據安全防護的方法，建立一包括計算機、局域網絡的系統，其特征在于: 對所述系統設置集控存儲設備，計算機通過局域網訪問集控存儲設備存儲的涉密數據； 將所述集控存儲設備劃分為個人用戶區和群用戶區，個人用戶區供單個用戶對數據進行操作，包括增、刪、改、上傳、下載、打印，共享，群用戶區供多個用戶對數據進行操作，包括增、刪、改、上傳、下載、打印； 用戶將存儲在集控存儲設備中的數據復制至外部存儲設備時，必須通過具有加密安全存儲區的usbkey。2.一種如權利要求1所述的局域網數據安全防護的方法，其特征在于: 對所述防護系統設置用戶訪問集控存儲設備的控制權限； 所述個人用戶可對分配給該個人用戶的個人用戶區中的數據設置對外共享的權限； 所述個人用戶可對其他用戶共享給該用戶的數據進行再共享。3.—種如權利要求1所述的局域網數據安全防護方法，其特征在于: 所述的個人用戶通過在線編輯方式對個人用戶區數據或其他用戶共享的數據進行訪問。4.一種如權利要求1所述的局域網數據安全防護方法，其特征在于: 所述usbkey可實現如下功能步驟: A.用戶認證usbkey使用者身份； B.對外帶文件的存儲； C.對外帶文件的加密； D.對外帶文件的解密； E.對外帶文件的所做操作的記錄； F.對外帶文件的防復制。5.一種如權利要求1所述的局域網數據安全防護方法，其特征在于: 用戶編輯所述系統中存儲在集控存儲設備中的數據時，采用如下三種內存管理方法之 A.計算機不使用計算機本地的內存空間，將集控存儲設備中部分空間映射到終端為本地磁盤，在映射磁盤中設置虛擬內存空間，文件的內存數據均緩存在虛擬內存空間中，系統通過虛擬內存空間防護內核對數據進行安全控制，保證在編輯過程中內存信息都控制在虛擬內存空間內，并對編輯進程進行防泄密控制(防打印、拷屏、內容復制粘貼、拖拽、屏幕取詞、網絡發送)； B.計算機使用計算機本地的內存空間，對訪問數據的進程進行防泄密操作控制，禁止對數據進行打印、拷屏、內容復制粘貼、拖拽、屏幕取詞、網絡發送操作； C.計算機不使用計算機本地的內存空間，計算機在訪問集控存儲設備中或usbkey安全存儲區中的數據時，在usbkey中設置虛擬內存空間，數據的內存數據均緩存在usbkey中，系統通過usbkey防護內核對數據進行安全控制，保證在編輯過程中內存信息都控制在usbkey內，禁止對數據進行打印、拷屏、內容復制粘貼、拖拽、屏幕取詞、網絡發送操作。6.一種如權利要求1-4中任一所述的局域網數據安全防護方法，其特征在于: 所述局域網與另一局域網交換數據時: A.—局域網與另一局域網之間設置專用數據安全通道； B.一局域網中用戶指定文件后，先選擇另一局域網的集控存儲設備，再選擇另一局域網內的用戶名，并指定共享權限后，把通過專用數據安全通道安全的共享給另一局域網的被選擇用戶； C.另一局域網的被選擇用戶登錄自己網內的集控存儲設備，通過專用數據安全通道，安全的跨網訪問共享數據。7.—種如權利要求1-4中任一所述的局域網數據安全防護方法，其特征在于: 所述系統具備用戶間消息通信模塊，用戶通過消息通信模塊進行自動的共享通知、即時通信和非在線...

【專利技術屬性】
技術研發人員：許元進，許林鋒，廖利云，莊清新，林直堂，
申請(專利權)人：福建伊時代信息科技股份有限公司，
類型：發明
國別省市：福建;35