專利名稱:基于三級(jí)安全體系架構(gòu)的移動(dòng)介質(zhì)安全防護(hù)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全領(lǐng)域��,涉及一種基于三級(jí)安全體系構(gòu)架的移動(dòng)介質(zhì)防護(hù)系統(tǒng)��。
背景技術(shù):
移動(dòng)存儲(chǔ)介質(zhì)因其使用靈活���、方便的特點(diǎn)而得到迅速普及��。但移動(dòng)存儲(chǔ)介質(zhì)的便利性也帶來了數(shù)據(jù)拷貝不受限���、數(shù)據(jù)網(wǎng)絡(luò)傳送不受限、違規(guī)交叉使用等新情況的出現(xiàn)����,對(duì)設(shè)備安全、數(shù)據(jù)安全等保密管理帶來了新問題����。當(dāng)前使用移動(dòng)介質(zhì)面臨的威脅主要有以下幾個(gè)方面第,任意個(gè)人的U盤���、移動(dòng)硬盤��、軟盤或者光盤都可以在內(nèi)部的計(jì)算機(jī)上隨意使用�����,容易造成計(jì)算機(jī)病毒感染和泛濫�;第二�,隨意使用移動(dòng)存儲(chǔ)介質(zhì)����,使懷有惡意的內(nèi)部人員可以將內(nèi)部重要信息復(fù)制出去���,容易造成敏感和機(jī)密信息的泄密�;第三�����,由于移動(dòng)存儲(chǔ)介質(zhì)中的信息都以明文形式存放�����,內(nèi)部人員可以將涉密終端上的數(shù)據(jù)通過移動(dòng)介質(zhì)轉(zhuǎn)移到連接互聯(lián)網(wǎng)的計(jì)算機(jī)���,并通過互聯(lián)網(wǎng)泄露涉密信息�����;第四���,移動(dòng)存儲(chǔ)介質(zhì)一旦丟失�����,其中存儲(chǔ)的大量敏感數(shù)據(jù)可能失控,若造成泄密可能帶來極大的損失�����。因此��,移動(dòng)介質(zhì)安全是保障信息安全的重要一環(huán)���。當(dāng)前移動(dòng)介質(zhì)安全軟件的體系架構(gòu)大多采用集中管理��、內(nèi)外網(wǎng)絡(luò)隔離的方案�,在使用移動(dòng)介質(zhì)的內(nèi)部網(wǎng)絡(luò)環(huán)境部署服務(wù)器對(duì)所有移動(dòng)介質(zhì)進(jìn)行管理和監(jiān)控�,防止信息從內(nèi)部泄漏至外部環(huán)境。此類系統(tǒng)使用的防護(hù)體系單一�����,并對(duì)內(nèi)部網(wǎng)絡(luò)環(huán)境提出了很高的限制條件��,即不能連接互聯(lián)網(wǎng)絡(luò)����,一旦惡意程序通過無線網(wǎng)絡(luò)或其他途徑連接互聯(lián)網(wǎng)���,則整個(gè)系統(tǒng)將無法正常保證信息的安全。此外�,當(dāng)前互聯(lián)網(wǎng)的使用已經(jīng)深入人心,很少有企事業(yè)單位沒有接觸互聯(lián)網(wǎng)����,因此就存在內(nèi)部人員非法連接互聯(lián)網(wǎng)的情況。另外���,當(dāng)前存在的移動(dòng)介質(zhì)安全軟件的體系架構(gòu)使用的安全機(jī)制較為單一�,一旦惡意程序突破其中的一層保護(hù)�,整個(gè)系統(tǒng)就將失去應(yīng)有的效應(yīng)。針對(duì)現(xiàn)有移動(dòng)存儲(chǔ)介質(zhì)管理方案存在的問題�,本方案擬采用內(nèi)外兼防的指導(dǎo)思想來設(shè)計(jì)一套具備多級(jí)安全機(jī)制的移動(dòng)存儲(chǔ)介質(zhì)安全管理解決方案。通過在內(nèi)部網(wǎng)絡(luò)環(huán)境中搭建內(nèi)部網(wǎng)絡(luò)服務(wù)器和客戶終端��,在互聯(lián)網(wǎng)上部署互聯(lián)網(wǎng)監(jiān)控服務(wù)器����,從而建立起三級(jí)安全體系構(gòu)架,并在客戶端實(shí)施更加靈活多樣的權(quán)限控制和實(shí)時(shí)監(jiān)控����。各級(jí)服務(wù)器不僅僅起到信息管理和通信的作用���,而且負(fù)責(zé)對(duì)所有移動(dòng)介質(zhì)進(jìn)行注冊(cè)�����、打標(biāo)和重新分區(qū)��,對(duì)客戶端進(jìn)行實(shí)時(shí)的監(jiān)控���,對(duì)非法客戶端以及安裝在其上的移動(dòng)介質(zhì)及時(shí)進(jìn)行處理�����,保障整個(gè)網(wǎng)絡(luò)環(huán)境的安全�����,防止移動(dòng)介質(zhì)中的信息泄露���。設(shè)立在內(nèi)部網(wǎng)絡(luò)環(huán)境下的內(nèi)部服務(wù)器還負(fù)責(zé)安全策略的制定和分發(fā),保證了移動(dòng)介質(zhì)授權(quán)方案的靈活性�,以及針對(duì)不同安全層次需求的安全策略多樣性,并且所有經(jīng)過內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)均以密文形式傳輸;客戶端則是所有安全策略的最終執(zhí)行者���,負(fù)責(zé)識(shí)別和加載所有合法的移動(dòng)介質(zhì)��,對(duì)本地存在的虛擬機(jī)進(jìn)行監(jiān)控��,阻止數(shù)據(jù)從本地流向虛擬機(jī)�����?��;ヂ?lián)網(wǎng)監(jiān)控服務(wù)器的設(shè)置主要考慮到涉密單位中雖然內(nèi)外網(wǎng)網(wǎng)絡(luò)物理隔離,但內(nèi)部人員可能把內(nèi)網(wǎng)計(jì)算機(jī)接到外網(wǎng)網(wǎng)線上����,從而破壞安全策略造成泄密,所以在互聯(lián)網(wǎng)上架設(shè)服務(wù)器對(duì)所有客戶機(jī)進(jìn)行監(jiān)控����,并對(duì)非法連接互聯(lián)網(wǎng)的終端信息通過短信的形式實(shí)時(shí)通報(bào)給終端所在單位的負(fù)責(zé)人,以此來有效及時(shí)的阻斷單位內(nèi)部涉密信息在互聯(lián)網(wǎng)上的傳播�����。整個(gè)系統(tǒng)在實(shí)現(xiàn)上可分為應(yīng)用層、SDK層和核心層��,通過SDK層可以向第三方導(dǎo)出接口�,方便在此基礎(chǔ)上進(jìn)行二次開發(fā),從而提高系統(tǒng)的可復(fù)用性�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于三級(jí)安全體系架構(gòu)的移動(dòng)介質(zhì)安全防護(hù)系統(tǒng)��,使其能夠在開放網(wǎng)絡(luò)環(huán)境中保障移動(dòng)介質(zhì)內(nèi)數(shù)據(jù)安全�����。以彌補(bǔ)當(dāng)前存在的移動(dòng)介質(zhì)安全軟件體系架構(gòu)的主要不足1.防護(hù)體系只有兩級(jí)��,缺乏在外部網(wǎng)絡(luò)或互聯(lián)網(wǎng)絡(luò)上的實(shí)時(shí)監(jiān)控�; 2.使用的安全機(jī)制單一�,一旦一層保護(hù)被攻破,整個(gè)系統(tǒng)的保護(hù)效果將大打折扣��。為實(shí)現(xiàn)上述目的�����,本發(fā)明的基于三級(jí)安全體系構(gòu)架的移動(dòng)介質(zhì)安全防護(hù)系統(tǒng)包括移動(dòng)介質(zhì)集中注冊(cè)管理模塊、移動(dòng)介質(zhì)識(shí)別模塊�����、密鑰管理模塊��、動(dòng)態(tài)加解密模塊���、網(wǎng)絡(luò)通信保護(hù)模塊�、日志審計(jì)模塊�、智能監(jiān)控模塊,并將以上所有功能模塊構(gòu)建在一個(gè)覆蓋開放網(wǎng)絡(luò)環(huán)境的三級(jí)安全防護(hù)體系中��,在整個(gè)互聯(lián)網(wǎng)上對(duì)移動(dòng)介質(zhì)中的數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控和保護(hù)����,有利于全面保障移動(dòng)介質(zhì)中數(shù)據(jù)的保密性、完整性和可用性�����。移動(dòng)介質(zhì)集中注冊(cè)管理模塊負(fù)責(zé)管理移動(dòng)介質(zhì)的整個(gè)生命周期���,包括購(gòu)買�����、標(biāo)記���、監(jiān)控和銷毀�����;移動(dòng)介質(zhì)識(shí)別模塊在客戶端計(jì)算機(jī)或虛擬機(jī)中識(shí)別外部插入移動(dòng)介質(zhì)的動(dòng)作���,并對(duì)插入的移動(dòng)介質(zhì)進(jìn)行認(rèn)證�, 攔截非法移動(dòng)介質(zhì)的插入行為;密鑰管理模塊負(fù)責(zé)對(duì)數(shù)據(jù)加解密密鑰的整個(gè)生命周期進(jìn)行管理���,包括密鑰的創(chuàng)建����、分發(fā)�����、保存和銷毀�����;動(dòng)態(tài)加解密模塊可以對(duì)進(jìn)出移動(dòng)介質(zhì)的信息進(jìn)行透明的加解密,并且不會(huì)影響用戶的操作習(xí)慣和降低由此帶來的效率損失��;網(wǎng)絡(luò)通信保護(hù)模塊可以對(duì)傳輸?shù)骄W(wǎng)絡(luò)上的涉密信息進(jìn)行監(jiān)控����,對(duì)傳輸源和目的地進(jìn)行過濾,保障信息在網(wǎng)絡(luò)上端到端的安全���;日志審計(jì)模塊負(fù)責(zé)記錄所有針對(duì)移動(dòng)介質(zhì)的操作�,及時(shí)避免安全隱患和事后追蹤安全問題���;智能監(jiān)控模塊負(fù)責(zé)對(duì)移動(dòng)介質(zhì)操作過程中可能存在的安全隱患進(jìn)行實(shí)時(shí)監(jiān)控�,并及時(shí)阻斷非法操作��?���;ヂ?lián)網(wǎng)監(jiān)控服務(wù)器、內(nèi)部網(wǎng)絡(luò)服務(wù)器分別通過互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)與客戶端相連�。 客戶端是整個(gè)系統(tǒng)策略和機(jī)制的執(zhí)行單元?�?蛻舳嗽谑褂们氨仨氃趦?nèi)部網(wǎng)絡(luò)服務(wù)器對(duì)計(jì)算機(jī)進(jìn)行登記,計(jì)算機(jī)一經(jīng)啟動(dòng)�����,即向內(nèi)部網(wǎng)絡(luò)服務(wù)器開機(jī)注冊(cè)����,此后便處于內(nèi)部網(wǎng)絡(luò)服務(wù)器的監(jiān)控狀態(tài)中,當(dāng)接入移動(dòng)介質(zhì)后�,USB識(shí)別模塊即可檢測(cè)到設(shè)備的接入,從而獲取標(biāo)記號(hào)向內(nèi)部網(wǎng)絡(luò)服務(wù)器注冊(cè)���,對(duì)于合法的內(nèi)部介質(zhì)還需要進(jìn)行用戶登錄和認(rèn)證����,認(rèn)證通過后就可以根據(jù)從內(nèi)部網(wǎng)絡(luò)服務(wù)器獲取的權(quán)限對(duì)移動(dòng)介質(zhì)進(jìn)行操作���,另外經(jīng)過移動(dòng)介質(zhì)中的文件數(shù)據(jù)都必須進(jìn)行動(dòng)態(tài)加解密,保證移動(dòng)介質(zhì)脫離工作環(huán)境不會(huì)泄密�����。同時(shí)�����,記錄用戶操作移動(dòng)盤的所有記錄,并發(fā)往內(nèi)部網(wǎng)絡(luò)服務(wù)器作為審計(jì)記錄���?�;ヂ?lián)網(wǎng)監(jiān)控模塊通過TDI Client 驅(qū)動(dòng)程序定時(shí)向互聯(lián)網(wǎng)監(jiān)控服務(wù)器發(fā)送外聯(lián)信息���,當(dāng)客戶端連接上互聯(lián)網(wǎng)后,互聯(lián)網(wǎng)監(jiān)控服務(wù)器就可以接收到外聯(lián)信息��,從而通知單位負(fù)責(zé)人來阻止客戶端連接互聯(lián)網(wǎng)�����。此外����,客戶端在整個(gè)系統(tǒng)中被認(rèn)為是不可信單元,系統(tǒng)自保護(hù)模塊使用開機(jī)自啟動(dòng)機(jī)制保證計(jì)算機(jī)啟動(dòng)后就對(duì)用戶的操作進(jìn)行監(jiān)控����,通過文件只讀策略、API Hook技術(shù)和輪詢機(jī)制保證客戶端軟件的相關(guān)文件和注冊(cè)表參數(shù)不被用戶刪除或者篡改���。
內(nèi)部網(wǎng)絡(luò)服務(wù)器是系統(tǒng)內(nèi)各種信息的管理中心�����,包括用戶信息�、設(shè)備信息、終端信息�、部門信息、權(quán)限信息以及日志信息����,部門內(nèi)部的所有用戶、移動(dòng)介質(zhì)和計(jì)算機(jī)終端都必須到內(nèi)部網(wǎng)絡(luò)服務(wù)器進(jìn)行登記和注冊(cè)方可使用��,用戶注冊(cè)需記錄用戶ID和密碼���,移動(dòng)介質(zhì)的注冊(cè)就是在其中的非用戶存儲(chǔ)區(qū)域?qū)懭霕?biāo)識(shí)符來唯一標(biāo)識(shí)內(nèi)部介質(zhì)����,而計(jì)算機(jī)終端則使用硬盤序列號(hào)來唯一標(biāo)識(shí)��。內(nèi)部網(wǎng)絡(luò)服務(wù)器的主要作用就是通過利用保存在數(shù)據(jù)庫(kù)中的這些信息����,與客戶端進(jìn)行一系列的數(shù)據(jù)交換,從而能夠在方便用戶使用計(jì)算機(jī)和移動(dòng)介質(zhì)的前提下��,保證用戶計(jì)算機(jī)和移動(dòng)介質(zhì)中信息的安全��。當(dāng)客戶端計(jì)算機(jī)啟動(dòng)后�����,內(nèi)部網(wǎng)絡(luò)服務(wù)器根據(jù)客戶端的開機(jī)注冊(cè)信息對(duì)客戶端的合法性進(jìn)行驗(yàn)證�,保證非法計(jì)算機(jī)無法在內(nèi)部網(wǎng)絡(luò)中使用;當(dāng)客戶端接入移動(dòng)介質(zhì)時(shí)�����,內(nèi)部網(wǎng)絡(luò)服務(wù)器通過對(duì)比數(shù)據(jù)庫(kù)中保存的標(biāo)記號(hào)以及認(rèn)證信息判斷移動(dòng)介質(zhì)的合法性�,從而可以拒絕外來移動(dòng)介質(zhì)的接入;認(rèn)證成功后�,會(huì)接收到客戶端發(fā)來的用戶登錄信息,內(nèi)部網(wǎng)絡(luò)服務(wù)器對(duì)比用戶ID和密碼成功后���,就會(huì)將對(duì)應(yīng)的權(quán)限返回�����,客戶端通過設(shè)置權(quán)限即可使用移動(dòng)介質(zhì)�����。在移動(dòng)介質(zhì)使用過程中����,服務(wù)器會(huì)將從客戶端發(fā)來的日志信息保存在數(shù)據(jù)庫(kù)中以便日后查看,對(duì)安全事故進(jìn)行追蹤�。互聯(lián)網(wǎng)監(jiān)控服務(wù)器作為外聯(lián)信息的管理中心��,同樣在數(shù)據(jù)庫(kù)中保存了用戶信息���、 部門信息和計(jì)算機(jī)終端信息���。它通過互聯(lián)網(wǎng)對(duì)客戶端實(shí)施遠(yuǎn)程監(jiān)控,當(dāng)各單位內(nèi)部的計(jì)算機(jī)非法連接互聯(lián)網(wǎng)時(shí)��,互聯(lián)網(wǎng)監(jiān)控服務(wù)器可以實(shí)時(shí)檢測(cè)到聯(lián)網(wǎng)狀況���,并將聯(lián)網(wǎng)計(jì)算機(jī)的外聯(lián)信息保存在外聯(lián)信息表中�����。同時(shí)����,互聯(lián)網(wǎng)監(jiān)控服務(wù)器端開辟獨(dú)立的線程定時(shí)掃描數(shù)據(jù)庫(kù)中外聯(lián)記錄�����,根據(jù)外聯(lián)記錄獲取聯(lián)網(wǎng)計(jì)算機(jī)的標(biāo)記號(hào)以及當(dāng)前接入的移動(dòng)介質(zhì)信息�,從而確定聯(lián)網(wǎng)用戶信息,并通過短信息的形式向該用戶所在的單位負(fù)責(zé)人通報(bào)非法外聯(lián)情況����, 以便單位內(nèi)部進(jìn)一步處理。另外��,在內(nèi)部網(wǎng)絡(luò)服務(wù)器��、互聯(lián)網(wǎng)監(jiān)控服務(wù)器和客戶端上安裝NDIS中間層驅(qū)動(dòng)程序�,對(duì)內(nèi)外網(wǎng)進(jìn)行隔離,只允許客戶端計(jì)算機(jī)和內(nèi)部網(wǎng)絡(luò)服務(wù)器�、互聯(lián)網(wǎng)監(jiān)控服務(wù)器進(jìn)行通信。攔截所有經(jīng)過網(wǎng)絡(luò)的數(shù)據(jù)包��,并對(duì)其中的數(shù)據(jù)載荷進(jìn)行加密和完整性校驗(yàn)���,在接收端對(duì)所有從網(wǎng)絡(luò)上接收的數(shù)據(jù)包進(jìn)行解密并檢查完整性����,使得整個(gè)系統(tǒng)內(nèi)部的數(shù)據(jù)傳輸都處于密文狀態(tài),防止第三方對(duì)數(shù)據(jù)進(jìn)行監(jiān)聽����、截獲和篡改。本發(fā)明與當(dāng)前存在的移動(dòng)介質(zhì)安全軟件的體系架構(gòu)相比����,具有以下優(yōu)點(diǎn)1.本發(fā)明建立了一個(gè)三級(jí)安全防護(hù)體系,在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)同時(shí)對(duì)移動(dòng)介質(zhì)的使用進(jìn)行全程監(jiān)控���,最大程度的保證移動(dòng)介質(zhì)中涉密信息的安全�;2.本發(fā)明使用多種安全機(jī)制��,在一種安全機(jī)制被惡意程序攻破的情況下�,仍然可以有效保護(hù)移動(dòng)介質(zhì)中的信息安全。
圖1為本發(fā)明基于三級(jí)安全體系架構(gòu)的移動(dòng)介質(zhì)安全防護(hù)系統(tǒng)的系統(tǒng)結(jié)構(gòu)圖�。圖2為本發(fā)明基于三級(jí)安全體系架構(gòu)的移動(dòng)介質(zhì)安全防護(hù)系統(tǒng)的功能模塊圖。
權(quán)利要求
1.基于三級(jí)安全體系構(gòu)架的移動(dòng)介質(zhì)安全防護(hù)系統(tǒng)���,其特征在于���,該系統(tǒng)包括移動(dòng)介質(zhì)集中注冊(cè)管理模塊��、移動(dòng)介質(zhì)識(shí)別模塊���、密鑰管理模塊�、動(dòng)態(tài)加解密模塊、日志審計(jì)模塊和智能監(jiān)控模塊��,所有模塊構(gòu)建在一個(gè)覆蓋開放網(wǎng)絡(luò)環(huán)境的三級(jí)安全防護(hù)體系中�����,在整個(gè)互聯(lián)網(wǎng)上對(duì)移動(dòng)介質(zhì)中的數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控和保護(hù)�,有利于全面保障移動(dòng)介質(zhì)中數(shù)據(jù)的保密性、完整性和可用性����。所述移動(dòng)介質(zhì)集中注冊(cè)管理模塊負(fù)責(zé)管理移動(dòng)介質(zhì)的整個(gè)生命周期,包括購(gòu)買�、標(biāo)記、監(jiān)控和銷毀�����;所述移動(dòng)介質(zhì)識(shí)別模塊在客戶端計(jì)算機(jī)或虛擬機(jī)中識(shí)別外部插入移動(dòng)介質(zhì)的動(dòng)作,并對(duì)插入的移動(dòng)介質(zhì)進(jìn)行認(rèn)證�����,攔截非法移動(dòng)介質(zhì)的插入行為��; 所述密鑰管理模塊負(fù)責(zé)對(duì)數(shù)據(jù)加解密密鑰的整個(gè)生命周期進(jìn)行管理�,包括密鑰的創(chuàng)建、分發(fā)��、保存和銷毀�����;所述日志審計(jì)模塊負(fù)責(zé)記錄所有針對(duì)移動(dòng)介質(zhì)的操作���,及時(shí)避免安全隱患和事后追蹤安全問題�����;所述智能監(jiān)控模塊負(fù)責(zé)對(duì)移動(dòng)介質(zhì)操作過程中可能存在的安全隱患進(jìn)行實(shí)時(shí)監(jiān)控�����,并及時(shí)阻斷非法操作�。
2.根據(jù)權(quán)利要求1所述的移動(dòng)介質(zhì)安全防護(hù)系統(tǒng),其特征在于整個(gè)體系構(gòu)架由互聯(lián)網(wǎng)監(jiān)控服務(wù)器��、內(nèi)部監(jiān)控服務(wù)器��,以及客戶端計(jì)算機(jī)或客戶端計(jì)算機(jī)上的虛擬機(jī)三部分組成�。
3.根據(jù)權(quán)利要求2所述的互聯(lián)網(wǎng)監(jiān)控服務(wù)器,其特征在于第一�����,記錄所有移動(dòng)介質(zhì)的基本信息�����,基本信息包括移動(dòng)介質(zhì)的序列號(hào)�、使用人姓名�、容量,此外還應(yīng)記錄客戶端計(jì)算機(jī)或客戶端計(jì)算機(jī)上的虛擬機(jī)的基本信息�,基本信息包括計(jì)算機(jī)或虛擬機(jī)的名稱、硬盤序列號(hào)����;第二 監(jiān)控使用移動(dòng)介質(zhì)的客戶端計(jì)算機(jī)或虛擬機(jī),并對(duì)非法連接互聯(lián)網(wǎng)的客戶端計(jì)算機(jī)或虛擬機(jī)采取必要的措施���。
4.根據(jù)權(quán)利要求2所述的內(nèi)部監(jiān)控服務(wù)器����,其特征在于內(nèi)部網(wǎng)絡(luò)服務(wù)器是系統(tǒng)內(nèi)各種信息的管理中心,包括用戶信息��、設(shè)備信息�����、終端信息�、部門信息、權(quán)限信息以及日志信息��,部門內(nèi)部的所有用戶�、移動(dòng)介質(zhì)和計(jì)算機(jī)終端都必須到內(nèi)部網(wǎng)絡(luò)服務(wù)器進(jìn)行登記和注冊(cè)方可使用,用戶注冊(cè)需記錄用戶ID和密碼����,移動(dòng)介質(zhì)的注冊(cè)就是在其中的非用戶存儲(chǔ)區(qū)域?qū)懭霕?biāo)識(shí)符來唯一標(biāo)識(shí)內(nèi)部介質(zhì),而計(jì)算機(jī)終端則使用硬盤序列號(hào)來唯一標(biāo)識(shí)�。內(nèi)部網(wǎng)絡(luò)服務(wù)器的主要作用就是通過利用保存在數(shù)據(jù)庫(kù)中的這些信息,與客戶端進(jìn)行一系列的數(shù)據(jù)交換�,從而能夠在方便用戶使用計(jì)算機(jī)和移動(dòng)介質(zhì)的前提下,保證用戶計(jì)算機(jī)和移動(dòng)介質(zhì)中信息的安全�����。當(dāng)客戶端計(jì)算機(jī)啟動(dòng)后,內(nèi)部網(wǎng)絡(luò)服務(wù)器根據(jù)客戶端的開機(jī)注冊(cè)信息對(duì)客戶端的合法性進(jìn)行驗(yàn)證�,保證非法計(jì)算機(jī)無法在內(nèi)部網(wǎng)絡(luò)中使用;當(dāng)客戶端接入移動(dòng)介質(zhì)時(shí)�,內(nèi)部網(wǎng)絡(luò)服務(wù)器通過對(duì)比數(shù)據(jù)庫(kù)中保存的標(biāo)記號(hào)以及認(rèn)證信息判斷移動(dòng)介質(zhì)的合法性,從而可以拒絕外來移動(dòng)介質(zhì)的接入�;認(rèn)證成功后,會(huì)接收到客戶端發(fā)來的用戶登錄信息���,內(nèi)部網(wǎng)絡(luò)服務(wù)器對(duì)比用戶ID和密碼成功后�,就會(huì)將對(duì)應(yīng)的權(quán)限返回��,客戶端通過設(shè)置權(quán)限即可使用移動(dòng)介質(zhì)���。在移動(dòng)介質(zhì)使用過程中,服務(wù)器會(huì)將從客戶端發(fā)來的日志信息保存在數(shù)據(jù)庫(kù)中以便日后查看��,對(duì)安全事故進(jìn)行追蹤���。
5.根據(jù)權(quán)利要求2所述的客戶端計(jì)算機(jī)或虛擬機(jī)�,其特征在于客戶端計(jì)算機(jī)或虛擬機(jī)是整個(gè)系統(tǒng)策略和機(jī)制的執(zhí)行單元��。客戶端在使用前必須在內(nèi)部網(wǎng)絡(luò)服務(wù)器對(duì)計(jì)算機(jī)進(jìn)行登記���,計(jì)算機(jī)一經(jīng)啟動(dòng)��,即向內(nèi)部網(wǎng)絡(luò)服務(wù)器開機(jī)注冊(cè)���,此后便處于內(nèi)部網(wǎng)絡(luò)服務(wù)器的監(jiān)控狀態(tài)中,當(dāng)接入移動(dòng)介質(zhì)后����,USB識(shí)別模塊即可檢測(cè)到設(shè)備的接入,從而獲取標(biāo)記號(hào)向內(nèi)部網(wǎng)絡(luò)服務(wù)器注冊(cè)����,對(duì)于合法的內(nèi)部介質(zhì)還需要進(jìn)行用戶登錄和認(rèn)證,認(rèn)證通過后就可以根據(jù)從內(nèi)部網(wǎng)絡(luò)服務(wù)器獲取的權(quán)限對(duì)移動(dòng)介質(zhì)進(jìn)行操作�,另外經(jīng)過移動(dòng)介質(zhì)中的文件數(shù)據(jù)都必須進(jìn)行動(dòng)態(tài)加解密,保證移動(dòng)介質(zhì)脫離工作環(huán)境不會(huì)泄密��。同時(shí)����,記錄用戶操作移動(dòng)盤的所有記錄,并發(fā)往內(nèi)部網(wǎng)絡(luò)服務(wù)器作為審計(jì)記錄。
全文摘要
本發(fā)明公開了一種基于三級(jí)安全體系架構(gòu)的移動(dòng)介質(zhì)安全防護(hù)系統(tǒng)�����。包括集中管理模塊��、識(shí)別模塊����、密鑰管理模塊、加解密模塊��、網(wǎng)絡(luò)通信保護(hù)模塊���、日志審計(jì)模塊���、智能監(jiān)控模塊。集中管理模塊負(fù)責(zé)管理移動(dòng)介質(zhì)的生命周期���;識(shí)別模塊對(duì)插入的移動(dòng)介質(zhì)進(jìn)行識(shí)別和認(rèn)證;密鑰管理模塊負(fù)責(zé)管理密鑰的生命周期�����;動(dòng)態(tài)加解密模塊對(duì)進(jìn)出移動(dòng)介質(zhì)的信息進(jìn)行透明加解密;網(wǎng)絡(luò)通信保護(hù)模塊對(duì)網(wǎng)絡(luò)上傳輸?shù)纳婷苄畔⑦M(jìn)行監(jiān)控�����;日志審計(jì)模塊記錄針對(duì)移動(dòng)介質(zhì)的操作�;智能監(jiān)控模塊對(duì)操作過程中存在的安全隱患進(jìn)行監(jiān)控。系統(tǒng)由客戶端����、內(nèi)部網(wǎng)絡(luò)服務(wù)器、互聯(lián)網(wǎng)監(jiān)控服務(wù)器組成�,結(jié)合內(nèi)外兼防和多級(jí)安全機(jī)制的思想,有利于全面保障移動(dòng)介質(zhì)中數(shù)據(jù)的保密性��、完整性和可用性�����。
文檔編號(hào)H04L12/26GK102170424SQ20101058470
公開日2011年8月31日 申請(qǐng)日期2010年12月13日 優(yōu)先權(quán)日2010年12月13日
發(fā)明者俞衛(wèi)華, 沈暉 申請(qǐng)人:沈暉, 王毅, 郭浩然