【技术实现步骤摘要】
本专利技术涉及电子信息领域,具体涉及一种保护电子数据的访问控制方法。
技术介绍
随着手机、计算机等各种电子设备,各种电子外设包括移动存储设备,以及互联网的发展,出现了大量的电子信息数据,简称为数据,其中分为重要数据和非重要数据两类。重要数据包括对于个人、组织、社会甚至国家的隐私、财产、商业机密、电子资产、安全信息等数据。重要数据很容易通过各种访问方式泄密流失。如何防止重要数据泄密成为一个问题。目前,电子设备(简称为设备)通常包括一操作系统,数据在设备的存储设备中结构化存储,其形式通常包括数据库系统,文件系统等(数据库在存储设备中的存储也往往表现为一个或若干文件的形式)。管理数据的文件系统或数据库系统通常采用针对用户的访问权限控制机制,控制到访问、读、写、删除等操作的权限。而用户一旦拥有了这些权限,则可以不受限制地传播和复制数据,带来主动泄密的可能性。目前针对数据的访问控制,已经研究形成了一些解决方法,按其采用的核心技术大致可分为以下几类:外部设备及网络协议控制。俗称“防水墙”,在设备上安装终端代理系统,在设备级别监控并禁用设备的U盘、刻录机、红外、蓝牙以及1394等外部设备,并且对网络进行严格的访问控制,从“堵口”的角度防止数据外泄。其缺点是:须一直封堵所有的外部设备出口和网络出口,在堵的同时也造成了用户无法正常使用设备,牺牲了可用性。针对文件系统的进行文件格式转换的控制。在设备上由文件作者将文件手动加密成指定的文件格式,同时向文件添加相应的访问权限标识,并-->上传到指定的网络文件服务器上与组织内其它用户共享。用户将文件再下载到本地,利用专用的阅读器读 ...
【技术保护点】
一种数据访问控制方法,有一系统,有若干进程,有一数据存储区域,有若干数据进出口管道,其特征在于包括: 数据存储区域分为受控制访问区和非受控制访问区; 系统具有一进程访问管理器; 系统具有一进程访问管理列表,在进程访问管理列 表中的进程为受监控进程,不在进程访问管理列表中的进程为非受监控进程; 系统还具有一访问规则列表,包括若干访问规则; 进程访问管理器根据进程访问管理列表的受监控进程和非受监控进程,以及根据访问规则列表的规则,管理进程对数据存储区域 的受控制访问区和非受控制访问区数据读、写访问,以及管理进程对数据进出口管道的数据读、写访问。
【技术特征摘要】
1、一种数据访问控制方法,有一系统,有若干进程,有一数据存储区域,有若干数据进出口管道,其特征在于包括:数据存储区域分为受控制访问区和非受控制访问区;系统具有一进程访问管理器;系统具有一进程访问管理列表,在进程访问管理列表中的进程为受监控进程,不在进程访问管理列表中的进程为非受监控进程;系统还具有一访问规则列表,包括若干访问规则;进程访问管理器根据进程访问管理列表的受监控进程和非受监控进程,以及根据访问规则列表的规则,管理进程对数据存储区域的受控制访问区和非受控制访问区数据读、写访问,以及管理进程对数据进出口管道的数据读、写访问。2、如权利要求1所述的方法,其中,系统的进程访问管理器监控进程对数据存储区域的访问请求;当进程访问受控制访问区,系统自动将该进程在进程访问管理列表中注册成为受监控进程;当该进程结束时,系统自动将该进程从进程访问管理列表中注销;根据系统的访问规则列表中的访问规则,系统的进程访问管理器管理进程对数据存储区域和数据进出口管道的数据读、写访问。3、如权利要求1或2所述,其中数据存储区域中的数据根据数据访问索引目录进行存储管理;受控制访问区为系统数据访问索引目录中一子集所管理的数据存储区;非受控制访问区为除受控制访问区之外的其他的数据存储区;当进程访问的数据的索引标识在受控制访问区的系统数据访问索引目录中,则进程访问受控制访问区。4、如权利要求3所述,其中数据访问索引目录为文件目录;数据的索引标识为一个或多个包括目录的文件名。5、如权利要求1或2所述,其中系统的访问规则列表的规则包括,进程访问管理器允许受监控进程对受控制访问区进行数据读访问、数据写访问。6、如权利要求1或2所述,其中系统的访问规则列表的规则包括,进程访问管理器允许受监控进程对非受控制访问区进行数据读访问。7、如权利要求1或2所述,其中系统的访问规则列表的规则包括,进程访问管理器禁止受监控进程对非受控制访问区进行数据写访问。8、如权利要求1或2所述,其中系统的访问规则列表的规则包括,进程访问管理器允许受监控进程对进出口管道进行数据读访问。9、如权利要求1或2所述,其中系统的访问规则列表的规则包括,进程访问管理器禁止受监控进程对进出口管道进行数据写访问。10、如权利要求1或2所述,其中系统的访问规则列表的规则包括,进程访问管理器允许非受监控进程对非受控制访问区进行数据读访问、数据写访问。11、如权利要求1或2所述,其中系统的访问规则列表的规则包括,进程访问管理器允许非受监控进程对受控制访问区进行数据读访问、数据写访问;访问后,系统自动将该非受监控进程在进程访问管理列表中注册成为受监控进程。12、如权利要求1或2所述,其中系统的访问规则列表的规则包括,进程访问管理器允许非受监控进程对进出口管道进行数据读访问、数据写访问。13、如权利要求1所述的方法,其中,进程访问管理列表为一预定义的受监控进程列表,进程访问管理器根据进程访问管理列表中预定义的受监控进程,管理系统中的进程对受控制访问区和非受控制访问区的数据读、写访问;14、如权利要求1或13所述的方法,其中系统还具有访问受控状态和访问非受控状态。15、如权利要求1、13或14所述,其中系统的访问规则列表的规则包括,在访问受控状态下:在进程访问管理列表中的受监控进程可以对受控制访问区进行数据读访问、数据写访问;在进程访问管理列表中的受监控进程可以对非受控制访问区进行数据读访问,不可以进行数据写访问;在进程访问管理列表中的受监控进程可以对进出口管道进行数据读访问,不可以对进出口管道进行数据写访问。16、如权利要求1、13或14所述,其中系统的访问规则列表的规则包括,在访问受控状态下:不在进程访问管理列表中的非受监控进程不可以对受控制访问区进行数据读访问、数据写访问;不在进程访问管理列表中的非受监控进程可以对非受控制访问区进行数据读访问、数据写访问;不在进程访问管理列表中的非受监控进程可以对进出口管道进行数据读访问、数据写访问。17、如权利要求1、13或14所述,其中系统的访问规则列表的规则包括,在访问非受控状态下:所有进程都被禁止对受控制访问区进行数据读访问;所有进程都被允许对非受控制访问区进行数据读访问、数据写访问;所有进程都被允许对进出口管道进行数据读访问、数据写访问。18、如权利要求14所述,其中系统的访问受...
【专利技术属性】
技术研发人员:林翔,俞峥,李晓飞,杨佃春,周海军,赵贵荣,唐金明,
申请(专利权)人:北京安高科技有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。