一種終端數(shù)據(jù)保護(hù)的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本申請屬于智能移動設(shè)備領(lǐng)域���,具體地說,涉及一種終端數(shù)據(jù)保護(hù)的方法及裝置���。
【背景技術(shù)】
[0002]隨著智能終端的成熟與普及����,以手機(jī)�����、平板電腦為代表的個人智能終端設(shè)備逐漸進(jìn)入企業(yè)領(lǐng)域����。眾多企業(yè)已經(jīng)開始支持員工在個人移動設(shè)備上使用企業(yè)應(yīng)用程序,員工使用個人智能終端設(shè)備辦公已經(jīng)成為一種無法逆轉(zhuǎn)的潮流�����。這類被稱為BY0D(Bring YourOwn Device,自帶設(shè)備辦公)的現(xiàn)象為企業(yè)帶來了全新的機(jī)遇�。但是�,機(jī)遇常伴隨著風(fēng)險。移動設(shè)備由于其便攜性極易丟失�����,每年有7000萬部手機(jī)丟失,其中60%的手機(jī)包含敏感信息��,而移動設(shè)備中所保存的企業(yè)敏感數(shù)據(jù)也因此面臨泄密風(fēng)險���。Varonis在2013年發(fā)布的關(guān)于企業(yè)中BYOD的趨勢調(diào)查報告顯示����,50 %的受訪企業(yè)表示曾經(jīng)丟失過儲存企業(yè)重要數(shù)據(jù)的設(shè)備�����,其中23%的企業(yè)遭遇了數(shù)據(jù)安全事故�。設(shè)備丟失不但意味著敏感商業(yè)信息的泄漏,所丟失的設(shè)備也可能會變成黑客攻擊企業(yè)網(wǎng)絡(luò)的跳板��。根據(jù)調(diào)查���,盡管85%的企業(yè)采取了保密措施��,但仍有23 %的企業(yè)發(fā)生過泄密事件�����,員工的主要泄密途徑除了拍照泄漏��、存儲在手機(jī)中進(jìn)而外泄外�����,還有離職員工拷貝企業(yè)重要信息���,從而出賣資料�����。員工的這些行為����,導(dǎo)致企業(yè)重要信息無意或有意泄密�����,不僅為企業(yè)帶來財產(chǎn)損失�����,影響企業(yè)的業(yè)務(wù)運營,還帶來了商譽受損等問題�。
[0003]因此���,一種終端數(shù)據(jù)保護(hù)的方法亟待提出����。
【發(fā)明內(nèi)容】
[0004]有鑒于此���,本申請所要解決的技術(shù)問題是提供一種終端數(shù)據(jù)保護(hù)的方法及裝置��。
[0005]本申請開了一種終端數(shù)據(jù)保護(hù)的方法�,位于硬件層執(zhí)行�,主要包括如下步驟:
[0006]在終端中建立用于存儲企業(yè)數(shù)據(jù)的工作區(qū);
[0007]根據(jù)預(yù)設(shè)的加密算法在所述終端的TF卡對所述工作區(qū)存儲數(shù)據(jù)進(jìn)行加密����;
[0008]當(dāng)檢測到數(shù)據(jù)訪問請求時,獲取所述數(shù)據(jù)訪問請求的身份認(rèn)證信息��;
[0009 ]當(dāng)判定所述身份認(rèn)證信息通過認(rèn)證���,則接受所述數(shù)據(jù)訪問請求��。
[0010]其中�,根據(jù)預(yù)設(shè)的加密算法對存儲數(shù)據(jù)進(jìn)行加密,具體包括:
[0011]根據(jù)終端用戶的設(shè)置選擇相應(yīng)的加密算法����,調(diào)用TF卡的軟件開發(fā)工具包對所述終端保存的數(shù)據(jù)進(jìn)行加密運算。
[0012]其中���,獲取所述數(shù)據(jù)訪問請求的身份認(rèn)證信息�,所述身份認(rèn)證信息包括:所述終端的TF卡標(biāo)識��、S頂卡標(biāo)識����、終端的設(shè)備識別號以及網(wǎng)絡(luò)狀態(tài)。
[0013]其中��,當(dāng)判定所述身份認(rèn)證信息通過認(rèn)證����,則接受所述數(shù)據(jù)訪問請求,進(jìn)一步包括:
[0014]當(dāng)檢測到通話的主叫方以及被叫方電話號碼存儲在所述工作區(qū)的數(shù)據(jù)庫中時�����,對所述通話過程進(jìn)行加密處理。
[0015]其中���,當(dāng)判定所述身份認(rèn)證信息通過認(rèn)證����,則接受所述數(shù)據(jù)訪問請求�,進(jìn)一步包括:
[0016]當(dāng)檢測到短信的發(fā)件人以及收件人的電話號碼存儲在所述工作區(qū)的數(shù)據(jù)庫中時����,從密鑰管理服務(wù)器獲取收件人的公鑰并使用TF卡對明文短信內(nèi)容進(jìn)行加密運算得到加密短信,以使收件人通過私鑰在TF卡中進(jìn)行加密短信的解密運算從而獲得明文短信��。
[0017]—種終端數(shù)據(jù)保護(hù)的方法�,位于應(yīng)用層執(zhí)行,進(jìn)一步包括:
[0018]對終端的系統(tǒng)事件進(jìn)行監(jiān)測�,判斷所述系統(tǒng)事件是否符合預(yù)設(shè)的工作區(qū)規(guī)則;其中��,所述系統(tǒng)事件包括:通話事件和短信事件�;
[0019]當(dāng)所述系統(tǒng)事件符合所述工作區(qū)規(guī)則時,在工作區(qū)空間內(nèi)執(zhí)行與所述系統(tǒng)事件對應(yīng)的操作���,將與所述操作相對應(yīng)的數(shù)據(jù)加密并存儲在所述工作區(qū)空間的數(shù)據(jù)庫中����。
[0020]具體地,當(dāng)判斷所述通話的主叫方或被叫方電話號碼����、或短信的發(fā)件人或收件人的電話號碼存儲在工作區(qū)空間的數(shù)據(jù)庫中時,對所述通話記錄或短信加密���,將此通話記錄或短信存儲在所述工作區(qū)空間的數(shù)據(jù)庫中�����,并在所述終端的通話記錄或短消息記錄中將此通話記錄或短消息刪除;其中��,當(dāng)所述通話事件為去電事件時�����,在所述終端的來電記錄中將此通話記錄刪除����;提供通話選項界面�,由用戶選擇當(dāng)來電的主叫方或被叫方電話號碼存儲在工作區(qū)空間的數(shù)據(jù)庫中時,是否刪除所述終端的通話記錄�。
[0021]具體地���,提供郵件規(guī)則選項界面,由用戶設(shè)置只能在工作區(qū)或使用工作區(qū)應(yīng)用接收的郵箱賬號�����,并將所述郵箱賬號存儲在所述工作區(qū)空間的數(shù)據(jù)庫中����;
[0022]當(dāng)判斷所述系統(tǒng)事件為接收郵件����、并且發(fā)件人的郵箱賬號存儲在工作區(qū)空間的數(shù)據(jù)庫中時,將郵件內(nèi)容以及下載的郵件附件加密�,并將郵件內(nèi)容以及下載的郵件的附件存儲在所述工作區(qū)空間的數(shù)據(jù)庫中。
[0023]—種終端數(shù)據(jù)保護(hù)的方法�,位于操作系統(tǒng)層執(zhí)行,進(jìn)一步包括:
[0024]接收針對應(yīng)用自由安裝列表中列出的應(yīng)用程序發(fā)起的安裝請求��,所述應(yīng)用自由安裝列表從服務(wù)器獲?。?br>[0025]當(dāng)確認(rèn)配置有應(yīng)用黑名單時���,判斷待安裝的應(yīng)用程序是否在所述應(yīng)用黑名單中��,如果是��,則禁止所述應(yīng)用程序的安裝����,否則,對所述應(yīng)用程序進(jìn)行安裝���;
[0026]當(dāng)確認(rèn)配置有應(yīng)用白名單時���,判斷待安裝的應(yīng)用程序是否在所述應(yīng)用白名單中,如果是�����,則對所述應(yīng)用程序進(jìn)行安裝���,否則���,禁止所述應(yīng)用軟件的安裝;其中,所述應(yīng)用黑名單或應(yīng)用白名單由服務(wù)器配置���。
[0027]其中�����,所述對所述應(yīng)用程序進(jìn)行安裝���,具體包括:
[0028]根據(jù)所述安裝請求從服務(wù)器處下載所述應(yīng)用程序的安裝包���;修改所述安裝包的Manifest文件,將應(yīng)用程序的入口強(qiáng)制變更至工作區(qū)�。
[0029]其中,接收到所述服務(wù)器配置的應(yīng)用黑名單時�����,根據(jù)應(yīng)用黑名單中列出的應(yīng)用程序的名稱及版本號檢測個人區(qū)內(nèi)存空間中是否安裝有所述應(yīng)用黑名單中列出的應(yīng)用程序�����,并針對檢測到的應(yīng)用程序發(fā)出所述應(yīng)用程序禁止安裝的告警信息�����;
[0030]接收到所述服務(wù)器配置的應(yīng)用白名單時�����,根據(jù)應(yīng)用白名單中列出的應(yīng)用程序的名稱及版本號檢測個人區(qū)內(nèi)存空間中是否安裝有所述應(yīng)用白名單中未列出的應(yīng)用程序;并針對檢測到的應(yīng)用程序發(fā)出所述應(yīng)用程序禁止安裝的告警信息����。
[0031]所述方法還包括:在所述應(yīng)用程序的安裝包中添加卸載監(jiān)聽代碼,用以所述終端監(jiān)聽到所述數(shù)據(jù)保護(hù)方法對應(yīng)的裝置卸載后�����,清除所述工作區(qū)內(nèi)目標(biāo)的應(yīng)用程序的數(shù)據(jù)��。
[0032]所述方法還包括:在所述應(yīng)用程序的安裝包中添加與服務(wù)器通信代碼��,用以所述終端在接收到由服務(wù)器端發(fā)送的數(shù)據(jù)清除命令時��,清除所述工作區(qū)內(nèi)相應(yīng)的應(yīng)用程序的數(shù)據(jù)��。
[0033]所述方法還包括:在所述應(yīng)用程序的安裝包中添加解密與加密代碼�,用以所述終端對工作區(qū)讀寫的數(shù)據(jù)進(jìn)行加密以及解密。
[0034]所述方法還包括:在所述應(yīng)用程序的安裝包中隔離代碼����,用以所述終端攔截工作區(qū)內(nèi)應(yīng)用程序的開啟行為,并將開啟請求發(fā)送至服務(wù)器�����,由服務(wù)器判斷應(yīng)用程序的開啟方式。
[0035]—種終端數(shù)據(jù)保護(hù)的方法���,位于應(yīng)用層執(zhí)行����,所述方法進(jìn)一步包括:
[0036]接收服務(wù)器下發(fā)的所述移動端對應(yīng)的基于地理位置的安全策略信息�����;其中����,所述安全策略包括:在指定的地理區(qū)域范圍內(nèi),關(guān)閉終端中至少一個特定的系統(tǒng)功能;在指定的地理區(qū)域范圍內(nèi)����,禁止終端中至少一個特定的應(yīng)用程序的啟動和運行。
[0037]周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理區(qū)域范圍內(nèi)��;
[0038]若在�����,則執(zhí)行所述安全策略����。
[0039]其中,當(dāng)所述安全策略為:
[0040]在指定的區(qū)域內(nèi)����,禁止終端中至少一個特定的應(yīng)用程序的啟動和運行時,所述安全策略包括:指定的地理區(qū)范圍信息���、允許和不允許啟動和運行的應(yīng)用的安全類別信息;所述執(zhí)行所述安全策略����,具體包括:
[0041 ]向服務(wù)器發(fā)送查詢本地所有應(yīng)用的私有屬性信息和公有屬性信息���;
[0042]并從獲取到的各應(yīng)用的私有屬性信息和公有屬性信息中分別查找對應(yīng)的安全類別?目息;
[0043]將查找到的每個應(yīng)用私有屬性信息和公有屬性信息中的安全類別信息的組合�,作為該應(yīng)用的安全類別信息����;
[0044]根據(jù)每個應(yīng)用的安全類別信息,確定在所述指定區(qū)域內(nèi)���,是否允許該應(yīng)用的啟動和運行�����。
[0045]—種終端數(shù)據(jù)保護(hù)的方法�����,位于通信層執(zhí)行�����,進(jìn)一步包括:
[0046]采用VPN建立專用網(wǎng)絡(luò)�����,當(dāng)所述工作區(qū)的應(yīng)用程序進(jìn)行網(wǎng)絡(luò)訪問時��,將VPN服務(wù)器和移動端之間的通訊數(shù)據(jù)進(jìn)行加密處理;和/或
[0047]當(dāng)所述工作區(qū)的應(yīng)用程序訪問外網(wǎng)時��,對所述外網(wǎng)的URL進(jìn)行檢測�;
[0048]當(dāng)判定所述外網(wǎng)的URL存在訪問風(fēng)險,則禁止應(yīng)用程序訪問�����,并將所述外網(wǎng)URL添加至風(fēng)險列表以用于后續(xù)判斷���。
[0049]本申請開了一種終端數(shù)據(jù)保護(hù)的裝置���,所述裝置位于硬件層,主要包括如下模塊:
[0050]建立模塊�,用于在終端中建立用于存儲企業(yè)數(shù)據(jù)的工作區(qū);
[0051 ]加密模塊���,用于根據(jù)預(yù)設(shè)的加密算法在所述終端的TF卡對所述工作區(qū)存儲數(shù)據(jù)進(jìn)行加密�;
[0052]認(rèn)證模塊�,用于當(dāng)檢測到數(shù)據(jù)訪問請求時,獲取所述數(shù)據(jù)訪問請求的身份認(rèn)證信息;
[0053]訪問控制模塊��,用于當(dāng)判定所述身份認(rèn)證信息通過認(rèn)證�,則接受所述數(shù)據(jù)訪問請求。
[0054]其中���,所述加密模塊��,具體用于:根據(jù)終端用戶的設(shè)置選擇相應(yīng)的加密算法���,調(diào)用TF卡的軟件開發(fā)工具包對所述終端保存的數(shù)據(jù)進(jìn)行加密運算。
[0055]所述身份認(rèn)證信息包括:所述終端的TF卡標(biāo)識����、S頂卡標(biāo)識����、終端的設(shè)備識別號以及網(wǎng)絡(luò)狀態(tài)��。
[0056]所述訪問控制模塊進(jìn)一步用于:當(dāng)檢測到通話的主叫方以及被叫方電話號碼存儲在所述工作區(qū)的數(shù)據(jù)庫中時�����,對所述通話過程進(jìn)行加密處理���。
[0057]所述訪問控制模塊進(jìn)一步用于:
[0058]當(dāng)檢測到短信的發(fā)件人以及收件人的電話號碼存儲在所述工作區(qū)的數(shù)據(jù)庫中時���,從密鑰管理服務(wù)器獲取收件人的公鑰并使用TF卡對明文短信內(nèi)容進(jìn)行加密運算得到加密短信,以使收件人通過私鑰在TF卡中進(jìn)行加密短信的解密運算從而獲得明文短信��。
[0059]—種終端數(shù)據(jù)保護(hù)的裝置����,所述裝置位于應(yīng)用層,進(jìn)一步包括:
[0060]監(jiān)測模塊�,用于對終端的系統(tǒng)事件進(jìn)行監(jiān)測,判斷所述系統(tǒng)事件是否符合預(yù)設(shè)的工作區(qū)規(guī)則;其中��,所述系統(tǒng)事件包括:通話事件和短信事件;
[0061]執(zhí)行模塊���,用于當(dāng)所述系統(tǒng)事件符合所述工作區(qū)規(guī)則時,在工作區(qū)空間內(nèi)執(zhí)行與所述系統(tǒng)事件對應(yīng)的操作����,將與所述操作相對應(yīng)的數(shù)據(jù)加密并存儲在所述工作區(qū)空間的數(shù)據(jù)庫中。
[0062]其中�,所述執(zhí)行模塊進(jìn)一步包括通話和短信執(zhí)行模塊,所述通話和短信執(zhí)行模塊用于:
[0063]當(dāng)判斷所述通話的主叫方或被叫方電話號碼��、或短信的發(fā)件人或收件人的電話號碼存儲在工作區(qū)空間的數(shù)據(jù)庫中時����,對所述通話記錄或短信加密,將此通話記錄或短信存儲在所述工作區(qū)空間的數(shù)據(jù)庫中��,并在所述終端的通話記錄或短消息記錄中將此通話記錄或短消息刪除;其中�����,當(dāng)所述通話事件為去電事件時��,在所述終端的來電記錄中將此通話記錄刪除�;提供通話選項界面��,由用戶選擇當(dāng)來電的主叫方或被叫方電話號碼存儲在工作區(qū)空間的數(shù)據(jù)庫中時��,是否刪除所述終端的通話記錄�����。
[0064]其中����,所述執(zhí)行模塊進(jìn)一步包括用戶選項模塊和郵件執(zhí)行模塊���,所述用戶選項模塊用于提供郵件規(guī)則選項界面��,由用戶設(shè)置只能在工作區(qū)或使用工作區(qū)應(yīng)用接收的郵箱賬號���,并將所述郵箱賬號存儲在所述工作區(qū)空間的數(shù)據(jù)庫中;
[0065]所述郵件執(zhí)行模塊用于當(dāng)判斷所述系統(tǒng)事件為接收郵件����、并且發(fā)件人的郵箱賬號存儲在工作區(qū)空間的數(shù)據(jù)庫中時,將郵件內(nèi)容以及下載