The invention discloses a data leakage prevention system and method based on RDP, which comprises a safety management module, an identity authentication module, a data acquisition module, a protocol analysis module and an access control module. The invention can authenticate the RDP terminal for remote access to the data center, to ensure that legitimate use; little change to the original RDP terminal and data center, the implementation method and the framework of RDP remote virtualization technology; to prevent unauthorized data center to the RDP terminal flow; the data leakage prevention system on time RDP terminal authentication request to record, even if malicious access occurs, by querying the data leakage prevention system authentication request records can quickly locate malicious access to terminal RDP.
【技术实现步骤摘要】
本专利技术涉及远程虚拟化安全
,具体涉及一种基于RDP的数据防泄漏系统和方法。
技术介绍
现有的远程数据中心通常使用PC终端,并采用RDP协议进行数据交互,而RDP远程协议可以通过共享本地磁盘,外设等进行本地与数据中心的文件拷贝。这种协议交换安全性较弱,易将数据中心的受保护文件或数据在未经授权情况下就被拷贝外泄。同时,由于RDP远程连接配置通常是可以直接由用户选择的,存在恶意用户通过共享本地磁盘而获取到数据中心受保护数据的风险。
技术实现思路
本专利技术的目的在于,为解决上述技术问题,提供一种能有效防止受保护文件或数据未经授权情况下就被拷贝外泄的基于RDP的数据防泄漏系统和方法。为解决上述技术问题,本专利技术采用如下的技术方案:一种基于RDP的数据防泄漏系统,包括安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块,其中:安全管理模块,用于对所述数据防泄漏系统进行安全管理,录入合法的RDP终端用户并为其配置访问数据中心的授权信息;身份认证模块,用于对所述RDP终端用户的身份进行鉴别,根据用户输入的认证信息,判断用户是否为合法的RDP终端用户;数据采集模块,用于实时采集流经所述数据防泄漏系统的网络数据,获取RDP终端至数据防泄漏系统、RDP终端至数据中心之间的数据;协议分析模块,用于对采集的所述网络数据进行RDP协议解析,丢弃所述网络数据非RDP协议数据包,得到所述网络数据中的RDP登录、剪贴板和数据拷贝行为;访问控制模块,用于对RDP终端与数据中心之间的数据流进行访问控制,根据所述授权信息,判断所述RDP终端的操作行为是否合法,若操作行 ...
【技术保护点】
一种基于RDP的数据防泄漏系统,包括安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块,其特征在于:安全管理模块,用于对所述数据防泄漏系统进行安全管理,录入合法的RDP终端用户并为其配置访问数据中心的授权信息;身份认证模块,用于对所述RDP终端用户的身份进行鉴别,根据用户输入的认证信息,判断用户是否为合法的RDP终端用户;数据采集模块,用于实时采集流经所述数据防泄漏系统的网络数据,获取RDP终端至数据防泄漏系统、RDP终端至数据中心之间的数据;协议分析模块,用于对采集的所述网络数据进行RDP协议解析,丢弃所述网络数据非RDP协议数据包,得到所述网络数据中的RDP登录、剪贴板和数据拷贝行为;访问控制模块,用于对RDP终端与数据中心之间的数据流进行访问控制,根据所述授权信息,判断所述RDP终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
【技术特征摘要】
1.一种基于RDP的数据防泄漏系统,包括安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块,其特征在于:安全管理模块,用于对所述数据防泄漏系统进行安全管理,录入合法的RDP终端用户并为其配置访问数据中心的授权信息;身份认证模块,用于对所述RDP终端用户的身份进行鉴别,根据用户输入的认证信息,判断用户是否为合法的RDP终端用户;数据采集模块,用于实时采集流经所述数据防泄漏系统的网络数据,获取RDP终端至数据防泄漏系统、RDP终端至数据中心之间的数据;协议分析模块,用于对采集的所述网络数据进行RDP协议解析,丢弃所述网络数据非RDP协议数据包,得到所述网络数据中的RDP登录、剪贴板和数据拷贝行为;访问控制模块,用于对RDP终端与数据中心之间的数据流进行访问控制,根据所述授权信息,判断所述RDP终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。2.如权利要求1所述的基于RDP的数据防泄漏系统,其特征在于,所述认证信息包括用户名、口令密码和数字证书,所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。3.一种基于RDP的数据防泄漏方法,其特征在于,包括:S1、RDP终端访问数据防泄漏系统,数据防泄漏系统通过用户输入的认证信息,判断用户是否为合法的用户;S2、RDP终端通过数据防泄漏系统与数据中心进行远程连接;S3、在网桥网口上采集RDP终端与数据中心远程连接中的网络数据;S4、根据采集到的网络数据分析确认所述远程连接是否为RDP远程连接,并对采集的所述网络数据进行RDP协议解析,丢弃所述网络数据非RDP协议数据包,确认所述远程连接中管道信息对应的操作行为;S5、通过对操作行为进行分析,确认RDP终端是否存在数据传输拷贝行为;S6、对RDP终端与数据中心之间的数据流进行访问控制,根据认证信息与数据防泄漏系统中预先配置的授权信息进行匹...
【专利技术属性】
技术研发人员:高曦,牟永鹏,王斌,
申请(专利权)人:北京北信源软件股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。