本发明专利技术公开了一种基于文件集中存储及隔离技术的数据防泄漏系统及其方法,包括客户端和服务器端;通过操作系统桌面登录安全桌面,向用户提供操作第二应用程序的入口;安全桌面还包括文件传输模块,用以通过文件传输协议向服务器端的集中存储模块进行文件传输,并通过所述集中存储模块对文件进行集中存储和管理;系统接口解释层,用于截获并识别第二应用程序发起的进程;操作系统层包含进程监控模块,用以监控第二应用程序发起的进程,并对所述的进程进行操作监控,以监视或拦截可能造成文件内容外泄的操作。采用本发明专利技术,能够使应用程序对文件的访问在安全的环境中进行,防止应用程序泄露文件内容,从而保障了文件的存储和应用的安全。
【技术实现步骤摘要】
基于文件集中存储及隔离技术的数据防泄漏系统及其方法
本专利技术涉及信息安全和数据防护技术,尤其涉及一种基于文件集中存储及隔离技术的数据防泄漏系统及其方法。
技术介绍
信息化建设在带来一系列工作便利的同时,也带来了前所未有的安全隐患,依靠传统的网络防护、主机访问和应用层安全防护以及服务器层安全防护的理念已难以应对日益增长的电子数据的安全防护要求,因此数据的防泄漏已经成为信息安全领域中的重要热点问题。概括地讲,数据的泄露威胁主要来自三个方面:数据存储、数据传输和数据使用过程中的泄露。目前主流的防泄漏技术主要分为“身份认证”、“访问控制”、“加密”和“审计”四类,这些技术单独或组合的解决了一些典型的数据泄露问题,但却无法在数据的整个生命周期中进行有效的保护。随着虚拟化技术的出现和不断发展,借助虚拟化原理建立隔离环境来保护数据,成为了数据防泄漏的一种有效方式。一般解决方案的做法是:建立虚拟桌面,将需保护的文件加密存储于虚拟桌面下的虚拟磁盘映射的原始磁盘中。但这种方式可能造成如下问题:其一,文件依然存储于本地磁盘,存在分散存储难于共享的问题;其二,缺乏全程的进程监控机制,存在通过虚拟桌面中的应用拷贝粘贴文件内容至外部应用的漏洞;其三,对文件的读写操作于本地保留有痕迹,存在较大的泄漏风险。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种基于文件集中存储及隔离技术的数据防泄漏系统及其方法,利用文件集中存储、应用隔离、进程监控等方式,在服务器端进行文件集中存储管理和在客户端建立安全桌面环境,使得应用程序对文件的访问在完全隔离和安全的环境中进行,防止了安全桌面环境以外的应用程序访问文件,从而保障电子文件的存储和应用的安全。为达到上述目的,本专利技术的技术方案是这样实现的:一种基于文件集中存储及隔离技术的数据防泄漏系统,包括客户端和服务器端;所述客户端包括安全桌面、系统接口解释层和操作系统层;所述服务器端包括集中存储模块;其中,所述安全桌面通过操作系统桌面登录,用以向用户提供操作第二应用程序的入口;所述安全桌面还包括文件传输模块,用以通过文件传输协议向服务器端的集中存储模块进行文件传输,并通过所述集中存储模块对文件进行集中存储和管理;所述系统接口解释层,用于截获并识别第二应用程序发起的进程;所述操作系统层包含进程监控模块,用以监控第二应用程序发起的进程,并对所述的进程进行操作监控,以监视或拦截可能造成文件内容外泄的操作。其中,该系统还包括硬件层,所述硬件层进一步包括本地加密存储模块和文件同步模块;其中,本地加密存储模块,用以无网络连接时,通过安全桌面环境调用第二应用程序所需要存储的文件进行加密后保存;文件同步模块,用于恢复网络连接时,通过文件同步协议将所述加密后的文件从本地加密存储模块传送到服务器端的集中存储模块。通过所述操作系统桌面能够对多个第一应用程序进行操作。所述多个第一应用程序包含第二应用程序。一种基于文件集中存储及隔离技术的数据防泄漏方法,包括如下步骤:A、启动安全桌面环境进行初始化过程,客户端发起文件操作请求,并判断应用类型和网络连接状况,如果客户端与服务器端存在网络连接,则执行步骤B,否则,执行步骤C;B、系统接口解释层接收由安全桌面环境中的应用程序发起的请求后,启动虚拟文件系统驱动,将虚拟网络磁盘挂载至虚拟盘符,并通过文件传输模块对服务器端的集中存储模块的文件进行读写操作;C、系统接口解释层接收由安全桌面环境中的应用程序发起的请求后,将虚拟本地磁盘挂载至虚拟盘符,针对读文件操作,将存储在本地加密存储模块中的文件解密后,供虚拟应用使用;针对写文件操作,将文件加密后保存在本地加密存储模块中。步骤C进一步包括:待客户端与服务器端恢复网络连接时,将加密后保存在本地加密存储模块中的文件利用文件同步模块传送到所述服务器端的集中存储模块中保存。本专利技术所提供的基于文件集中存储及隔离技术的数据防泄漏系统及其方法,具有以下优点:本专利技术通过将文件集中存储在服务器端,在客户端建立安全桌面环境,截获并识别应用类型,并根据客户端当前的网络连接情况,采取不同的虚拟磁盘设备挂载方式,能够有效实现数据的防泄露保护。附图说明图1为本专利技术基于文件集中存储及隔离技术的数据防泄漏系统示意图;图2为本专利技术实施例的基于文件集中存储及隔离技术的数据防泄漏方法流程图。具体实施方式下面结合附图及本专利技术的实施例对本专利技术基于文件集中存储及隔离技术的数据防泄漏系统及其方法作进一步详细的说明。图1为本专利技术基于文件集中存储及隔离技术的数据防泄漏系统示意图。如图1所示,该系统分为客户端和服务器端两部分。客户端的架构从底层到高层依次分为硬件层、操作系统层、系统接口解释层和应用层。其中:所述应用层进一步分为操作系统桌面和安全桌面。所述安全桌面建立于操作系统桌面之上,用以向用户提供操作内部程序的入口。所述操作系统桌面包括第一应用程序(为外部应用,可以有多个),所述的安全桌面下包括第二应用程序(为内部应用,亦可有多个)和文件传输模块。所述操作系统桌面和安全桌面的区别在于,进入安全桌面打开所述的第二应用程序之前需通过操作系统桌面登录。在操作系统桌面环境下,可对安装有该数据防泄漏系统的计算机进行正常操作,只是在有数据防泄漏的需求时才通过登录安全桌面环境进行操作,并将产生的文件保存在集中存储模块中。所述的第一应用程序包括第二应用程序。所述系统接口解释层,用于截获并识别第二应用程序发起的进程。所述操作系统层还包括进程监控模块,通过该进程监控模块,可以监控进程,并对安全桌面环境中的进程进行操作监控,以监视或拦截拷贝、粘贴等可能造成文件内容外泄的操作。该数据防泄漏系统通过文件传输模块对设置在服务器端的集中存储模块对文件进行集中存储和管理。在客户端的硬件层设置本地加密存储模块和文件同步模块,通过所述的安全桌面环境可访问所述本地加密存储模块,以应对客户端与服务器端之间无网络连接的情况。此时,通过安全桌面调用第二应用程序,将需要存储的文件进行加密后存储在所述本地加密存储模块中,待有网络连接时,通过所述文件同步模块将该文件传送到服务器端的集中存储模块中。此外,通过安全桌面调用第二应用程序进行读文件操作时,还可以将存储在本地加密存储模块中的文件解密后,供第二应用程序使用。本专利技术的数据防泄漏系统通过在服务器端设置的所述集中存储模块对文件进行集中存储和管理。通过在客户端设置的安全桌面,在服务器端与安全桌面环境之间通过文件传输模块建立通信链路和进行文件传输。这样,服务器端通过集中存储模块,将文件集中存储在服务器端进行统一管理,既可以改变以往客户端分散存储文件的现状,又解决了将文件分散存储带来的文件操作不可控等问题。在保持网络连接的情况下,安全桌面环境中的第二应用程序对文件的操作则直接作用于服务器端集中存储模块中的文件本身。此外,在客户端建立的安全桌面环境,除了安全桌面、系统接口解释层、本地加密存储模块之外,还包括虚拟内核资源、虚拟文件系统、虚拟本地磁盘和虚拟网络磁盘等资源。所有对集中存储文件的操作都必须通过安全桌面环境中的第二应用程序发起才有效。在安全桌面环境和服务器端之间进行数据通信,需要通过文件通信协议,所述文件通信协议包括文件传输协议和文件同步协议。其中,通过文件传输协议可实现虚拟网络磁盘本文档来自技高网...
【技术保护点】
一种基于文件集中存储及隔离技术的数据防泄漏系统,其特征在于,包括客户端和服务器端;所述客户端包括安全桌面、系统接口解释层和操作系统层;所述服务器端包括集中存储模块;其中,所述安全桌面通过操作系统桌面登录,用以向用户提供操作第二应用程序的入口;所述安全桌面还包括文件传输模块,用以通过文件传输协议向服务器端的集中存储模块进行文件传输,并通过所述集中存储模块对文件进行集中存储和管理;所述系统接口解释层,用于截获并识别第二应用程序发起的进程;所述操作系统层包含进程监控模块,用以监控第二应用程序发起的进程,并对所述的进程进行操作监控,以监视或拦截可能造成文件内容外泄的操作。
【技术特征摘要】
1.一种基于文件集中存储及隔离技术的数据防泄漏系统,其特征在于,包括客户端和服务器端;所述客户端包括操作系统桌面、安全桌面、系统接口解释层和操作系统层;所述服务器端包括集中存储模块;其中,所述安全桌面通过所述操作系统桌面登录,用以向用户提供操作第二应用程序的入口;所述安全桌面还包括文件传输模块,用以通过文件传输协议向服务器端的集中存储模块进行文件传输,并通过所述集中存储模块对文件进行集中存储和管理;所述系统接口解释层,用于截获并识别第二应用程序发起的进程;所述操作系统层包含进程监控模块,用以监控第二应用程序发起的进程,并对所述的进程进行操作监控,以监视或拦截可能造成文件内容外泄的操作;所述基于文件集中存储及隔离技术的数据防泄漏系统还包括硬件层,所述硬件层进一步包括本地加密存储模块和文件同步模块;其中,本地加密存储模块,用以无网络连接时,通过安全桌面环境调用第二应用程序所需要存储的文件进行加密后保存;文件同步模块,用于恢复网络连接时,通过文件同步协议将所述加密后的文件从本地加密存储模块传送到服务器端的集中存储模块。2.根据权利要求1所述基于文件集中存储及隔离技术的数据防泄漏系统,其特征在于,通过所述...
【专利技术属性】
技术研发人员:唐威,廖巍,景奕昕,韩敏,余鹏飞,罗秀玲,
申请(专利权)人:武汉华工安鼎信息技术有限责任公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。