本发明专利技术公开一种基于虚拟化技术的数据保护方法,该方法包括:在一台物理机中创建两台虚拟机:数据传输机和数据保护机;在数据传输机和数据保护机间建立一条专用数据传输通道;外部数据通过数据传输机,经专用数据传输通道,被传送至数据保护机。另外,本发明专利技术还公开一种应用该数据保护方法的系统,该系统包括数据传输机、专用数据传输通道和数据保护机。通过本发明专利技术的方法和系统,不仅可以提高数据隔离保存、数据保存环境的安全性,还可以控制存储数据的输出,实现数据的安全保护。
【技术实现步骤摘要】
一种基于虚拟化技术的数据保护方法和系统
本专利技术涉及数据保护领域,尤其涉及一种基于虚拟化技术的数据保护方法和系统。
技术介绍
在计算机领域中,数据一般通过两种途径进行传输:一是通过外设接口如USB接口、光驱等;二是通过网络接口。若数据直接复制或下载存储到物理机时,很可能携带木马、病毒而植入到计算机的操作系统和存储空间中,而传染计算机中其他已有数据,导致数据不能正常使用。因此要对需要存储的数据进行一定的筛选过滤,保护已有数据。目前,为了保护数据不被入侵,通常选择使用两台计算机:一台计算机检测所传输的数据是否安全,另一台计算机中则用来存储数据,只有当检测到的数据符合安全要求,才会继续传输至另一台计算机。然而,这种方法需要使用到两台计算机,过程较繁琐且成本也较高。随着虚拟化技术在数据安全防护领域的广泛应用,我们提出了一种基于虚拟化技术的数据保护方法,不仅可以提高数据隔离保存、数据保存环境的安全性,还可以控制存储数据的输出,有效地实现数据的安全保护。
技术实现思路
本专利技术要解决的技术问题是提供一种新的数据保护方法和系统,通过在一台物理机中引用虚拟化技术,创建两台虚拟机以及建立一个专用数据传输通道,控制数据的传输、保护数据的安全性。本专利技术提供了一种基于虚拟化技术的数据保护方法,该方法包括:S101:在一台物理机中创建两台虚拟机:数据传输机和数据保护机;S102:在数据传输机和数据保护机间建立一条专用数据传输通道;S103:外部数据通过数据传输机接收,经专用数据传输通道,被传送至数据保护机。进一步地,所述数据传输机为常规的虚拟机,具有病毒、恶意代码防护能力,用于接收所述外部数据并对所述外部数据进行安全检测。所述数据保护机为定制化的虚拟机,通过在虚拟化层面的定制去除网络功能和外设输入输出功能,用于数据处理和存储。其中,网络包括网卡、蓝牙控制器等;外设输入输出包括USB传输设备,打印机以及刻录机等设备等。进一步地,所述专用数据传输通道用于数据在数据传输机和数据保护机之间的传输,并对所述数据执行基于安全策略的访问控制,只有符合所述安全策略的数据才允许通行。进一步地,所述安全策略包括基于文件类型的安全策略和基于文件内容的安全策略。如果是基于文件类型的安全策略,如禁止可执行文件传输,则可阻止恶意软件的入侵;如果是基于文件内容的安全策略,则可阻止含有特定关键字的文件从数据保护机中输出。进一步地,上述数据保护方法还包括数据保护机中要输出的数据,需经专用数据传输通道,传送至数据传输机,由数据传输机向外部输出。另外,本专利技术还提供了一种基于虚拟化技术的数据保护系统,所述系统包括:数据传输机:用于提供外部数据输入和内部数据输出的接口,并对外部数据进行安全检测;专用数据传输通道:用于数据在数据传输机和数据保护机之间的传输,只允许符合安全策略的数据通行;数据保护机:去除网络功能和外设输入输出功能,用于存储由所述专用数据传输通道传来的外部数据,以及处理存储在数据保护机中的内部数据。进一步地,所述专用数据传输通道包括:传输模块:用于在所述数据传输机和所述数据保护机之间进行数据传输;策略模块:用于配置安全策略,所述安全策略包括基于文件类型的安全策略和基于文件内容的安全策略;访问控制模块:用于对所述传输模块中的数据执行基于安全策略的访问控制,只有符合所述安全策略的数据才允许通行。通过本专利技术提供的方法和系统,用户可以根据需求选择基于文件类型的策略和基于文件内容的策略(如含有特定关键字的数据文件),从而使得外部数据的存储以及数据从数据保护机中的输出具有一定的可控性,实现数据的安全保护。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种基于虚拟化技术的数据保护方法流程示意图;图2为本专利技术具体实施例一提供的一种基于虚拟化技术的数据保护方法流程示意图;图3为本专利技术具体实施例二提供的一种基于虚拟化技术的数据保护方法流程示意图;图4为本专利技术提供的一种基于虚拟化技术的数据保护系统结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,需要指出的是,所描述的实施例仅仅是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为本专利技术提供的一种基于虚拟化技术的数据保护方法流程示意图,该方法包括:步骤S101:在一台物理机中创建两台虚拟机:数据传输机和数据保护机。步骤S102:在数据传输机和数据保护机间建立一条专用数据传输通道。步骤S103:外部数据通过数据传输机接收,经专用数据传输通道,被传送至数据保护机。在上述步骤S103中,外部数据通过数据传输机时,数据传输机先检测所述外部数据是否含有病毒和恶意代码,然后再将所述外部数据发送至专用数据传输通道;同时,只有符合所述专用数据传输通道安全策略的数据才能被允许发送至数据保护机。所述安全策略包括基于文件类型的安全策略和基于文件内容的安全策略。如果是基于文件类型的安全策略,如禁止可执行文件传输,则可阻止恶意软件的入侵;如果是基于文件内容的安全策略,则可阻止含有特定关键字的文件从数据保护机中输出。反之,若所述数据传输机传送的数据不符合所述专用数据传输通道中的安全策略,则所述专用数据传输通道将隔离或阻断所述数据的传输,并发出传输失败的提示消息。图2为本专利技术具体实施例一提供的一种基于虚拟化技术的数据保护方法流程示意图,如图2所示,具体展示了外部文件A存储至数据保护机的方法流程示意图。该方法具体包括:步骤S201:将专用数据传输通道中的安全策略配置为禁止传输可执行的文件;步骤S202:从外设U盘中将文件A发送至数据传输机;步骤S203:数据传输机检测文件A是否有携带病毒或恶意代码,如果没有,再将文件A发送至专用数据传输通道;步骤S204:判断是否为可执行文件,专用数据传输通道根据文件A的文件类型,判断是否为可执行文件,若文件A是可执行文件,如“.exe文件”、“.sys文件”、“.com文件”等,则进入步骤S206,反之为非可执行的普通文件,则进入步骤S205;步骤S205:专用数据传输通道将文件A传输至数据数据保护机;步骤S206:专用数据传输通道阻止文件A的传输,并发出传输失败的提示信息。上述步骤S201中的安全策略是基于文件类型的安全策略,用户还可以配置基于文件内容的安全策略,比如文件中的关键词。在上述步骤S203中,若数据传输机检测到文件A携带了病毒或者恶意代码,则不会将文件A传送至专用数据传输通道,并提示文件A有危险的提示。图3为本专利技术具体实施例二提供的一种基于虚拟化技术的数据保护方法流程示意图,如图3所示,具体展示了从数据保护机中拷贝文件B到外设U盘的方法流程示意图。该方法具体包括:步骤S301:将专用数据传输通道的安全策略配置为禁止传输含有关键词“保密”的文件;步骤S302:在数据保护机中搜索到文件B,准备复制到外设U盘;步骤S303:将文件B发送至专用数据传输通道本文档来自技高网...
【技术保护点】
1.一种基于虚拟化技术的数据保护方法,其特征在于,所述方法包括:S101:在一台物理机中创建两台虚拟机:数据传输机和数据保护机;S102:在数据传输机和数据保护机间建立一条专用数据传输通道;S103:外部数据通过数据传输机接收,经专用数据传输通道,被传送至数据保护机。
【技术特征摘要】
2018.01.16 CN 20181003810921.一种基于虚拟化技术的数据保护方法,其特征在于,所述方法包括:S101:在一台物理机中创建两台虚拟机:数据传输机和数据保护机;S102:在数据传输机和数据保护机间建立一条专用数据传输通道;S103:外部数据通过数据传输机接收,经专用数据传输通道,被传送至数据保护机。2.如权利要求1所述的数据保护方法,其特征在于,所述数据传输机为常规的虚拟机,具有病毒、恶意代码防护能力,用于接收所述外部数据并对所述外部数据进行安全检测。3.如权利要求1所述的数据保护方法,其特征在于,所述数据保护机为定制化的虚拟机,通过在虚拟化层面的定制去除网络功能和外设输入输出功能,用于数据处理和存储。4.如权利要求1所述的数据保护方法,其特征在于,所述专用数据传输通道用于数据在数据传输机和数据保护机之间的传输,并对所述数据执行基于安全策略的访问控制,只有符合所述安全策略的数据才允许通行。5.如权利要求4所述的数据保护方法,其特征还在于...
【专利技术属性】
技术研发人员:林皓,阳晓宇,薛苗颖,冯艳,
申请(专利权)人:北京北信源信息安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。