本发明专利技术公开了一种磁盘资安系统,包含:处理模块,协调系统组件间的运算资源与运作;位锁磁盘管理模块,管理位锁磁盘与涉密文件;位锁磁盘驱动模块,耦接上述的位锁磁盘管理模块,将位锁磁盘耦接于处理模块,使涉密文件得被处理模块所存取;防护驱动模块,耦接位锁磁盘驱动模块,防止未经允许存取储存于位锁磁盘之中的涉密文件;以及,位锁磁盘认证模块,耦接位锁磁盘管理模块,于位锁磁盘启动或存取涉密文件时,认证位锁磁盘,或涉密文件的保护权限。
【技术实现步骤摘要】
磁盘资安系统
本专利技术涉及一种资安系统,更详而言之,为一种通过将档案储存于位锁磁盘,并在存取时须通过软、硬件加密认证,以避免档案遭到非法备份、破坏,或旁道攻击的资安防护系统。
技术介绍
随着计算机科技的发展,现代人不管在工作、学习、科研或其他应用皆采用计算机,或各种终端机为作业工具,尤其在企业、政府单位、金融机构、军事单位,均无时无刻在产生大量的电子档案。然而,在信息化时代,只要牵涉到重要的,具有无论商务、策略、军事、智慧创作等等具重大价值的电子档案,即存在因组织内部管理不慎而泄漏,或遭到外部攻击的可能,例如从组织内部非法备份、破坏电子档案,或是物理上将装有电子档案的储存设备夹带至外部,再到由外部终端机通过网络攻击或窃取,一再使得企业或组织承受利益上的损失。此外,由于现代计算机的操作系统多可容纳多组用户账号,亦或网络服务器的分享,因此在多位使用者同时共享下,就必须对各种不同机密程度的文件加以区分。在过往的信息安全系统架构中,例如中国专利CN102708335,其公开了一种涉密文件的保护系统。在该系统架构中,其揭示了以一沙盘程序(SandBox)为基础,客户端将储存于服务器端的涉密文件下载于该沙盘程序中,进行处理的应用。客户端通过和服务器端联机后,将涉密文件下载至一与实体磁体有所隔离的沙盘程序中进行有限度编辑,例如,依照权限设定可存取的动作,例如:写入、读取、拷贝、删除,使其具有防止客户端将涉密文件流出至外部终端机的效能,在信息安全确实了提高的组织或企业的资安防护程度。然而,如同前述,该系统并未具有辨识加密档案所属的服务器端以及客户端的技术特征,这导致了在客户端中可能具有安全性的漏洞,例如,在物理上将安装有客户端系统的终端机中的储存设备卸下(如直接拆下计算机中,客户端所在的硬盘),并将储存设备在他地安装在另一终端机上(如将所拆下的硬盘装于另一台计算机),但此涉密文件依然可在客户端与服务端联机后,于第三方的客户端上进行使用;再例如,该系统并未针对第三方终端机的远端联机做出限制,这使得虽然客户端在编辑涉密文件时,虽然的确因沙盘程序中的限制机制,无法做出将涉密文件备份至远端联机至客户端的第三方终端机,但第三终端机仍有机会利用本身的屏幕截图功能,将涉密文件中的内容记录下来(如,利用第三方终端机通过TeamViewer、Anydesk、ShowMyPC、UltraVNC,或Splashtop等软件,甚或操作系统的后门做远端联机时,以第三方终端机屏幕截图的功能,而非由客户端直接拷贝,来纪录涉密文件内容,藉以规避客户端于沙盘程序中的限制机制)。对于信息安全来说,一些应用程序,例如加密装置应用程序(EncryptedDeviceApplication,EDA),可以将一个特定的档案空间进行加密,且将加密档案储存于隔离磁盘。隔离磁盘可以使用不同的加密算法来保存用户的信息,以避免病毒或是黑客的恶意攻击。现有技术中,在建立加密档案的过程中,加密装置应用程序依据用户设定的密码来对于档案进行加密。在处理加密档案的过程中,加密装置应用程序亦判断密码是否正确来决定是否将加密档案设为隔离磁盘。由于档案仅依据用户设定的单一密码进行加密。密码极有可能被其他人破解,使得加密档案可以被其他人使用。另外,由于现有的隔离磁盘不具有任何的控管机制,无法提供不同用户的存取弹性。此外,由于隔离磁盘的管理机制中并无法辨识加密档案所属的主机,加密档案亦可能被复制到其他的主机上使用。因此,于现时时点上,对于现有基于隔离磁盘于信息安全上的应用,仍有进一步改进的必要,以避免隔离磁盘中的档案,通过物理上,将储存设备加以移动,或透过来源不明的远端联机以隔离磁盘当作跳板,以窃取隔离磁盘中的档案数据,造成企业或组织的损失。
技术实现思路
为解决上述问题,本专利技术的目的在于提供一种磁盘资安系统,通过企业或组织中所订的防护政策(保护权限),建立位锁(Bitlocker)磁盘,使储存于位锁磁盘中的涉密文件无法被不具有本专利技术系统的终端机所存取,其涉密文件,可能包含例如word、excel、autocad、VB档案等等。举例而言,若将E磁盘设定为第一位锁磁盘,则依照可能的防护政策,E磁盘中的涉密文件无法被储存于其他磁盘,如C磁盘或D磁盘中,亦无法写入其他内容或删除。为达到上述目的,本专利技术采用以下技术方案:一种磁盘资安系统,其系统架构包含:处理模块,处理系统运算资源,及系统组件间的协调与运作;位锁磁盘管理模块,启动位锁的认证,管理储存于位锁磁盘中的涉密文件,与管理位锁磁盘的数量和位锁磁盘的建立;位锁磁盘驱动模块,耦接上述的位锁磁盘管理模块,将位锁磁盘耦接于处理模块,使涉密文件得被处理模块所存取;防护驱动模块,耦接位锁磁盘驱动模块,防止储存于位锁磁盘之中的涉密文件存入到位锁磁盘之外的磁盘,或防止档案总管或其他应用程序将未经允许的文件与程序存入所述的位锁磁盘中,或将未经允许的拷贝、预览、删除、打印,并在涉密文件关闭一预定的时间后删除内存中关于涉密文件的内容;以及,位锁磁盘认证模块,耦接位锁磁盘管理模块,在位锁磁盘存取涉密文件时,认证所述位锁磁盘或涉密文件的保护权限,其中,所述的位锁,包含了位锁磁盘密钥,与硬件金钥,并可依照应用的需要,于加密涉密文件时选择使用上述两者之一进行加密,或两者同时使用以进行加密。此外,每个位锁磁盘,可包含数个涉密文件,使位锁磁盘可依保护权限的态样,对不同的涉密文件进行保护。根据本
技术实现思路
,磁盘资安系统包含一公共函数公式库模块,耦接防护驱动模块,储存涉密文件于位锁磁盘中的路径地址(例如,E:\A.PPTX、E:\B.PPTX、E:\C.PPTX),以供位锁磁盘管理模块存取储存于位锁磁盘中的涉密文件;以及,防护驱动模块运作的函数公式档案。其中,上述的公共函数公式库模块中的文件格式,可为一动态链接函数公式库(Dynamic-LinkLibrary,DLL),提高位锁磁盘资安系统的兼容性。根据本专利技术的一实施例,上述的位锁磁盘认证模块,包含位锁磁盘认证单元,储存位锁磁盘密钥,其长度可为一32位、64位、128位、256位,或512位的用户端识别码(PINCode),以依应用的环境调整位锁磁盘密钥的安全等级。根据本
技术实现思路
,上述的位锁磁盘认证模块,包含硬件认证单元,储存硬件金钥,以认证位锁磁盘资安系统中,所对应的特定的位锁磁盘,以避免位锁磁盘所在的实体储存设备以物理的方式卸下,并将其装设上不具硬件认证单元的计算机装置,存取位锁磁盘中的涉密文件内容,其中,上述位锁磁盘密钥的认证方式,可为一基于位锁(BitLocker)的认证方式。根据本专利技术的一实施例,上述的硬件认证单元可为一可信赖平台模块(TrustedPlatformModule,TPM),其位锁磁盘密钥的加密算法,可为一非对称算法,或对称算法,使储存涉密文件的储存设备即便流出企业或组织外部,涉密文件的内容亦无法为未部署磁盘资安系统的终端机所存取。根据本
技术实现思路
,磁盘资安系统包含一保护权限模块,耦接防护驱动模块,以设定防护驱动模块的保护权限范围,包含:是否允许储存于位锁磁盘本文档来自技高网...
【技术保护点】
1.一种位锁磁盘管理系统,其特征在于,包含:/n一位锁磁盘管理模块,管理储存于至少一位锁磁盘的涉密文件;/n一位锁磁盘驱动模块,耦接该位锁磁盘管理模块,使涉密文件得被处理模块所存取;/n一防护驱动模块,耦接该位锁磁盘驱动模块,防止未经允许而存取储存于该至少一位锁磁盘之中的涉密文件;以及,/n一位锁磁盘认证模块,耦接该位锁磁盘管理模块,于存取该至少一位锁磁盘,或涉密文件时,认证该至少一位锁磁盘,或涉密文件的保护权限。/n
【技术特征摘要】
1.一种位锁磁盘管理系统,其特征在于,包含:
一位锁磁盘管理模块,管理储存于至少一位锁磁盘的涉密文件;
一位锁磁盘驱动模块,耦接该位锁磁盘管理模块,使涉密文件得被处理模块所存取;
一防护驱动模块,耦接该位锁磁盘驱动模块,防止未经允许而存取储存于该至少一位锁磁盘之中的涉密文件;以及,
一位锁磁盘认证模块,耦接该位锁磁盘管理模块,于存取该至少一位锁磁盘,或涉密文件时,认证该至少一位锁磁盘,或涉密文件的保护权限。
2.如权利要求1所述的位锁磁盘管理系统,其特征在于,更包含一保护权限模块,耦接该防护驱动模块,设定该防护驱动模块对涉密文件的保护权限范围,包含读取、预览、打印、删除、写入、拷贝、内存中存在的时间,或以上保护权限的任意组合。
3.如权利要求2所述的位锁磁盘管理系统,其特征在于,更包含一公共函数公式库模块,耦接该防护驱动模块,储存涉密文件于该至少一位锁磁盘中的路径地址,使该位锁磁盘管理模块可以存取储存于该至少一位锁磁盘中的涉密文件。
4.如权利要求3所述的位锁磁盘管理系统,其特征在于,该公共函数公式库模块中的文件格式,为动态链接函数公式库(Dynamic-LinkLibrary,DLL),以提高磁...
【专利技术属性】
技术研发人员:刘雨芊,黄文昌,
申请(专利权)人:精品科技股份有限公司,
类型:发明
国别省市:中国台湾;71
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。