本发明专利技术公布了一种企业管理软件安全解决方法,属于信息安全领域。本发明专利技术提出的方法能够在完全不影响企业管理软件应用流程的基础上保证企业机密信息的数据安全。该方法通过对存储了企业核心机密资料的数据库文件进行存储加密,防止因拷贝数据库文件造成泄密;同时对数据库服务器进行准入控制,只允许特定的终端经过认证后才允许访问数据库服务器,防止因口令泄密造成网络攻击;对企业管理软件系统客户进行全方面智能防护,所有输出文件进行加密,在使用管理软件过程中,内容拷贝、打印、截屏等可能发生泄密的操作进行严格控制。
【技术实现步骤摘要】
本专利技术属于信息安全领域,具体涉及一种保障企业管理软件数据安全性以及机密性的方法。技术背景目前,绝大部分企事业单位均采用安全性和机密性较低的国产管理软件来处理企业财务、进销存、人事、工资等业务流程,涉及到企业核心机密资料。这些管理软件的主流产品采用C/S(Client/Server,客户端/数据库服务器)架构,其中,数据库服务器采用通用的DBMS(Database Management System,关系数据库,如SQL-Server、Mysql、Oracle等),通过数据库的通讯服务端口对外提供服务(如SQL-Server为1433端口);客户端则通过标准ODBC(OpenDatabase Connectivity,开放数据库互连)引擎与上述数据库服务器建立连接。上述企业管理软件在使用过程中具有严重的安全隐患,其主要隐患列举如下:一:数据库服务器明文存储引起的泄密隐患上述企业管理软件使用的DBMS数据库服务器中,所有的数据文件和日志文件全部以明文方式存储,包括基础数据、人事信息、财务信息、客户信息等等。一旦这些明文数据文件和日志文件被窃取, 可以在其他安装了同类型的DBMS数据库的机器上轻易导入,将直接导致企业核心机密信息的外泄。二:客户端软件造成的泄密隐患在使用企业管理软件客户端过程中,基本每个界面、每个报表均具备数据导出功能,可以将当前报表导出成自定义报表格式、Excel等格式,造成泄密;基本每个报表均可以直接打印输出,造成泄密;甚至可以直接通过截屏工具将当前屏幕保存并发送出去,从而造成企业核心机密信息泄密。三:因口令丢失造成的网络攻击一方面是因为企业管理软件用户账号的失窃。管理软件客户端的鉴权方式为简单的用户名、密码验证,一旦普通员工窃取了部门主管的登录口令,即可在任意一台安装有企业管理软件客户端软件的计算机上登录企业管理软件,从而越权查看涉密信息,造成企业机密信息泄密。另一方面是对DBMS数据库远程非法入侵。企业管理软件使用的DBMS数据库服务器通过默认通讯服务端口对网内所有主机提供服务,DBMS数据库的超级管理员甚至没有设置任何密码。在同一个局域网内任意计算机只要安装一个同类型的DBMS数据库客户端工具即可直接连接到远程DBMS数据库服务器,然后备份明文数据库,从而造成企业机密信息泄密。综上所述,为加强企事业单位管理软件的数据安全,杜绝最终用户企业机密信息的泄密,提供一种安全的、通用性强的企业管理软件 数据安全保护方法具有重大而紧迫的现实意义。-->
技术实现思路
针对以上提到的几种安全隐患,本专利技术的目的在于提供一种专业的企业管理软件数据安全保护方法,主要目标是:1、对数据库服务器指定实例的数据文件和日志文件进行存储加密,防止因拷贝明文数据库文件造成泄密,但不影响数据库正常功能的使用2、实现数据库的准入控制。只允许安装了防护终端的计算机经授权后才允许访问后台数据库服务器,否则一律拒绝服务,防止因口令泄密造成网络攻击3、对安装了企业管理软件客户端的计算机进行加密防护,所有通过客户端软件导出的目标文件将全部加密;在使用客户端软件过程中,所有可能泄密的操作,如打印、截屏、内容复制等,将受到严格限制。以下用详细流程说明本专利技术采用技术方案:一:数据库文件的存储加密本专利技术主要使用虚拟磁盘驱动、文件过滤驱动和文件重定向技术实现数据库文件的存储加密,具体步骤如下:步骤1:利用虚拟磁盘驱动创建一个能够容纳指定数据库实例的数据文件和日志文件的虚拟磁盘文件,隐藏保存在任意磁盘分区。步骤2:利用虚拟磁盘驱动安装步骤1创建的磁盘文件成一个隐藏的虚拟磁盘分区(在本专利技术中分区盘符为#:),同时利用进程防护 技术防止非授权进程访问该虚拟磁盘分区(盘符#:)。步骤3:停止数据库服务进程,拷贝指定数据库实例的数据文件和日志文件到虚拟磁盘分区(盘符#:),然后对原始的数据文件和日志文件进行加密,或直接删除;步骤4:加载文件过滤驱动,该驱动可以拦截操作系统中所有进程的启动;步骤5:启动数据库服务进程,此时文件过滤驱动将拦截数据库服务进程的启动,注入文件重定向功能代码到数据库服务进程;步骤6:上述文件重定向功能代码通过拦截数据库服务进程对数据文件和日志文件的读、写操作,全部重定向到虚拟磁盘分区(盘符#:)中对应的文件,完全不影响数据库服务的使用;步骤7:虚拟磁盘驱动将截获数据库服务进程对虚拟磁盘分区(盘符#:)的读、写操作,实现保存时自动加密,读取时自动解密。以上流程能在不影响数据库服务器正常工作情况下,实现数据文件和日志文件以加密方式存储在虚拟磁盘文件中。二:实现数据库的准入控制本专利技术从数据库服务器端和企业管理软件客户端两部分出发,结合LSP(Layered Service Provider,分层服务提供程序,可以监视系统网络通讯情况)的网络应用层过滤和TDI(Transport Driver Interface,传输驱动接口)的网络驱动层过滤,实现数据库的准入控制,具体步骤如下:服务器端准入控制:主要功能:实现对数据库服务器的通讯服务端口监听,只允许指定的IP连接。-->步骤1:在数据库服务器所在计算机安装LSP网络应用过滤器,监视并拦截当前系统的所有网络通讯情况;步骤2:利用LSP网络应用过滤器监听数据库服务器进程的通讯服务端口,一旦发现有远程客户端连接到该端口,从该连接中分析客户端的IP和端口,进入步骤3;步骤3:LSP网络应用过滤器根据权限分配表(本专利技术的方法中维护的允许哪些客户端IP访问数据库的权限表),检索当前连接客户端的权限,如果判断允许连接则放行该连接,此时该客户端可以正常连接到数据库服务器;如果判断无此权限,则立即断开该连接,此时该客户端无法连接到数据库服务器。客户端准入控制:主要功能:基于TDI的网络驱动层过滤,只允许授权客户端的指定进程在规定时间段内连接数据库服务器。步骤1:在企业管理软件客户端所在计算机安装TDI网络驱动,监视并拦截当前系统的所有连接到指定数据库服务器的通讯服务端口的网络通讯情况;步骤2:TDI网络驱动一旦监听到试图连接到数据库服务器的通讯服务端口的通讯,从该通讯连接中分析当前建立连接的进程信息,进入步骤3;步骤3:TDI网络驱动根据预定义的权限分配表(本专利技术的方法 中维护的允许客户端哪些进程访问数据库的权限表),检索当前进程是否有权限连接到数据库服务器,如果判断允许连接则放行该连接,此时该进程可以正常连接到数据库服务器;如果判断无此权限,则直接返回,此时该进程提示连接数据库服务器失败。以上流程通过服务器端的LSP的网络应用层过滤和客户端的TDI的网络驱动过滤,实现数据库服务器的准入控制。三:实现企业管理软件客户端的加密防护本专利技术主要使用文件过滤驱动和API HOOK(一种用于改变API执行结果的技术,Microsoft自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等)技术实现企业管理软件客户端的输出文件加密和应用安全防护,具体步骤如下:步骤1:在企业管理软件客户端所在计算机安装文件过滤驱动和API HOOK。文件过滤驱动负责对企业管理软件客户端的输出文件自动加密,API HOOK负责过滤和拦截企业管理软件客户端可能发生的泄密行为。步骤2:加本文档来自技高网...
【技术保护点】
一种企业管理软件的数据安全保护方法,通过对企业管理软件的数据库和客户端进行处理,实现对企业管理软件数据的安全保护,具体为:(1)对数据库文件进行存储加密,防止数据库服务器泄密;(2)对数据库服务器进行准入控制,只允许安装了防护终端的计算机经授权后才允许访问后台数据库服务器,防止非授权的终端入侵;(3)对企业管理软件客户端的输出进行加密和应用防护,即对所有通过客户端软件导出的目标文件加密,防止通过客户端软件发生泄密。
【技术特征摘要】
1.一种企业管理软件的数据安全保护方法,通过对企业管理软件的数据库和客户端进行处理,实现对企业管理软件数据的安全保护,具体为:(1)对数据库文件进行存储加密,防止数据库服务器泄密;(2)对数据库服务器进行准入控制,只允许安装了防护终端的计算机经授权后才允许访问后台数据库服务器,防止非授权的终端入侵;(3)对企业管理软件客户端的输出进行加密和应用防护,即对所有通过客户端软件导出的目标文件加密,防止通过客户端软件发生泄密。2.根据权利要求1所述的一种企业管理软件的数据安全保护方法,其特征在于,所述的对数据库文件的存储加密具体步骤为:(2.1)创建一个虚拟磁盘文件,利用虚拟磁盘驱动安装该虚拟磁盘文件成一个隐藏的虚拟磁盘分区,然后停止数据库服务进程,拷贝待保护数据文件和日志文件到所述虚拟磁盘分区,原始数据文件和日志文件进行加密或删除处理;(2.2)使用文件过滤驱动拦截操作系统中所有进程的启动,当判断到数据库服务进程启动后,则注入文件重定向功能代码,以拦截数据库服务进程的读、写文件操作;(2.3)利用文件重定向将数据库服务进程所有的数据读、写操作重定向到所述虚拟磁盘分区中,虚拟磁盘驱动将截获数据库服务进程对所述虚拟磁盘分区的读、写操作,实现保存时自动加密,读取时自动解密。3.根据权利要求1或2所述的一种企业管理软件的数据安全保护方法,其特征在于,所述的对数据库服务器的准入控制通过从数据库服务器...
【专利技术属性】
技术研发人员:熊彩辉,
申请(专利权)人:武汉天喻信息产业股份有限公司,
类型:发明
国别省市:83[中国|武汉]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。