一种基于操作系统虚拟化原理的数据防泄漏方法技术方案

本发明专利技术为一种计算机应用技术领域的基于操作系统虚拟化原理的数据防泄漏方法，其特征在于：基于操作系统虚拟化原理，在计算机的宿主操作系统中增加虚拟隔离层和虚拟存储区；以虚拟隔离层及虚拟存储区为基础、结合虚拟桌面技术构建一到多个虚拟隔离环境；每个虚拟隔离环境中所储存的、包括文件和注册表在内的数据资源，均受到完善地隔离保护，能够确保环境中产生的数据不被泄漏到环境之外，从而防止主动或被动的数据泄露行为；本发明专利技术利用操作系统虚拟化原理的先天优势，极大地提高了数据防泄漏系统的运行效率；降低了应用数据防泄漏方案的难度；提高了数据防泄漏系统的易用性和工作效率。

【技术实现步骤摘要】

本专利技术涉及的是一种计算机应用
的方法，特别是一种基于操作系统虚 拟化原理的数据防泄漏方法。
技术介绍
随着信息化在我国的蓬勃发展，电子化数据的应用日益广泛，在极大地提高了生 产工作效率的同时，电子化数据也日益成为各行各业乃至普通大众的重要资产。电子化数 据的保密性、完整性和可用性逐渐关系到国家的安全、企业的核心竞争力、个人的隐私。因 此，数据安全问题——即数据的防泄露、防丢失、防滥用的问题，已经成为信息安全领域中 的热点问题，越来越受到大家的关注。在数据安全的各个分支领域中，数据防泄漏又具有尤 其重要的地位。根据国家信息安全测评认证中心的调查结果表明在众多的攻击行为和事 件中，信息泄漏事件是最主要的安全事件之一。为了解决数据防泄漏问题，信息安全业内先 后提出了多种技术方案，试图从不同的角度来解决数据防泄漏问题。目前主流的防泄漏技 术可以分为控制类、加密类及过滤类三大类技术，这些技术的出发点是在数据的存储和流 转环节中实施保护措施，但从这些技术的应用现状来看，这些技术虽然能够解决一些典型 的数据泄漏问题，但因为不能在数据的整个生命周期中对数据实施保护，所以其应用效果 并不理想。伴随着虚拟化技术的逐步普及，一种较新的思路是基于虚拟化原理实现数据防 泄漏解决方案，由于虚拟化技术从实现原理上就具备资源隔离的特性，所以能够确保电子 化数据被局限在某一存储区域内，从而防止主动或被动的数据泄露行为的发生。经对现有技术的文献检索发现，武汉大学的王丽娜等在2009年09月02日公开了 名为《基于虚拟机的数据防泄漏系统及其方法》的专利申请(申请号200910061564，申请日 2009年04月10日，公开日2009年09月02日)。该文中虽然提出了一种基于虚拟机实现 数据防泄漏系统的方法，但由于该方法中所采用的虚拟机是基于硬件抽象层虚拟化原理来 构建数据隔离环境的，因此在实际应用中存在一些问题。首先，基于硬件抽象层虚拟化原理 实现的虚拟机，在工作时必须在内存中运行完整的客户操作系统实例，并且需要模拟包括 CPU及内存在内的多种硬件设备，而这些行为本身需要占用大量的系统资源，因此会导致该 方法在真实使用场景下的效能损耗极大；其次，由于虚拟机软件的使用具备一定的复杂性， 要求使用者必须具备一定的计算机系统知识，甚至需要对客户虚拟机上的操作系统及应用 软件环境进行全面的配置，所以增大了应用该系统的难度；最后，在真实使用环境下，使用 者经常需要在虚拟机提供的隔离环境内引用一些宿主机上原有的文件或者需要使用宿主 机上的现有程序。但是限于虚拟机软件的实现机制，使用者无法在虚拟机上的隔离环境中 直接读取宿主计算机上的数据文件，除非进行数据导入或者重新安装软件等操作，这就进 一步降低了系统的易用性和工作效率。
技术实现思路
本专利技术的目的是针对现有技术的不足，提供。与基于硬件抽象层虚拟化原理实现的虚拟机相比，操作系统虚拟化技术将虚 拟隔离层实现在操作系统之上，其构建的虚拟环境之间共享同一个操作系统内核，因此可 以直接使用操作系统提供的硬件资源，无须虚拟CPU、内存等硬件设备，这就将虚拟环境本 身对系统资源的消耗降到了最低，从而极大地提高了系统的运行效率；同时，基于操作系统 虚拟化原理实现出的虚拟环境具备与宿主操作系统完全相同的使用模式，仅是在系统中增 加了一个新的用户桌面，使用者无须学习就可快速的使用虚拟环境，降低了应用数据防泄 漏方案的难度；另外，基于操作系统虚拟化原理，可以实现宿主计算机上的资源到隔离环境 内的透明单向传输，实现在隔离环境内自动映射宿主机上的应用程序，减少了用户的操作 环节，进一步提高了系统的易用性和工作效率。本专利技术是通过以下技术方案实现的为了解决数据防泄漏问题，首先需要建立虚 拟隔离环境，该虚拟隔离环境由虚拟桌面、虚拟文件、虚拟注册表等资源组成。其中虚拟桌 面作为与使用者进行交互的界面，提供与宿主操作系统中的原生桌面完全一致的操作方 式。虚拟文件和虚拟注册表则作为虚拟数据资源，由嵌入到操作系统内核中的虚拟隔离层 进行维护。当使用者进入以虚拟桌面标识的虚拟隔离环境时，内核中的虚拟隔离层自动将 虚拟文件和虚拟注册表这些数据资源暴露给使用者；而当使用者离开虚拟隔离环境时，内 核中的虚拟隔离层则屏蔽系统中的其他程序访问虚拟数据资源的行为。虚拟数据的存取功 能以虚拟磁盘的形式提供，由虚拟磁盘驱动程序进行管理。数据在存入虚拟存储区时，以加 密存储的形式保存到计算机物理硬盘上的特殊区域中。由于采用了加密存储的方式，在未 进入虚拟隔离环境前，任何用户和程序均无法访问到其中的数据。所述的嵌入在操作系统内核中的虚拟隔离层，是实现数据隔离方法的核心。虚拟 隔离层的实现机制是对操作系统内核中的SSDT (系统服务描述表)进行控制，对其中用于 文件访问和注册表访问的关键例程进行钩子处理(Hook)，从而截获所有的文件、注册表访 问操作。在此基础上，虚拟隔离层就可以根据发起数据访问请求的进程的身份，实施相应的 数据隔离防护措施。对于在虚拟隔离环境外启动的进程，虚拟隔离层可以发现及阻止其访 问虚拟存储区域的行为，从而避免数据被非法程序窃取，造成数据泄露。而对于在虚拟隔离 环境中启动的进程，虚拟隔离层可以根据其唯一进程标识符(PID)判断出其所属的虚拟隔 离环境，并将进程的数据访问行为——包括各种试图将数据存储到非法存储区域中的数据 泄露行为，重定向到虚拟存储区域中，从而避免数据被主动泄露。虚拟隔离层对于文件访问 的隔离操作仅影响文件的物理存储位置，而不改变文件的逻辑存储位置，因此使用者和应 用程序都无须关心底层的存储细节，能够与未应用虚拟隔离防护措施时的使用方式保持一 致，无须作任何更改。另外，虚拟隔离层对虚拟隔离环境中的进程提供数据单向传输功能， 使其能够自由访问宿主操作系统中的数据文件，从而实现在虚拟隔离环境中，透明地使用 宿主操作系统中的应用程序和数据的功能。所述的虚拟隔离层及虚拟环境的工作流程具体如下(1)系统启动过程中，加载用于实现虚拟隔离层功能的驱动程序；(2)系统启动完成后，在系统中建立独立于系统原生桌面的虚拟桌面；(3)虚拟隔离层记录虚拟桌面程序的PID，以及由使用者在虚拟桌面中启动的所有子、 孙进程的PID ；(4)虚拟隔离层拦截系统中所有进程的数据访问请求——包括文件访问和注册表访问，并根据发起请求的进程的PID实施不同的数据隔离防护措施。如果是虚拟隔离环境中 的进程则跳转至(5)，否则跳转至(6)；(5)当进程执行写入操作时，虚拟隔离层将写入操作的物理写入位置重定向到虚拟存 储区域中，同时保持逻辑存储位置不变，因此进程无须关心底层存储细节。当进程执行读取 操作时，虚拟隔离层判断要读取的文件是否存储在虚拟存储区中，如是则读取虚拟存储区 中的文件，否则通过数据单向传输的方式直接映射数据到虚拟环境中，供进程读取；(6)虚拟隔离层判断进程的数据访问行为是否是在尝试访问虚拟存储区内部的文件， 如是则拒绝该请求，并告知进程，试图访问的文件不存在。所述的数据单向传输的工作流程具体如下(1)由虚拟隔离层判断发起数据访问请求的进程是否是虚拟隔离环境内的进程，如是 则对其提供数据单向传输的功能；(2)对于需要提供数据单向传输本文档来自技高网...

【技术保护点】
一种基于操作系统虚拟化原理的数据防泄漏方法，其特征在于：基于操作系统虚拟化原理，在计算机的宿主操作系统中增加虚拟隔离层和虚拟存储区；以虚拟隔离层及虚拟存储区为基础、结合虚拟桌面技术构建虚拟隔离环境；通过对系统中的所有进程实施数据隔离防护措施，将敏感数据保存在虚拟隔离环境之中，达到拒绝非法的数据泄露行为、避免发生主动或被动的数据泄漏的目的；在虚拟隔离环境中能够直接访问宿主操作系统中的数据，而在宿主操作系统中的原生桌面环境下无法访问虚拟隔离环境中的数据，能够实现宿主操作系统到虚拟隔离环境的数据单向传输。

【技术特征摘要】

【专利技术属性】
技术研发人员：聂伟国，金亮，
申请(专利权)人：上海安纵信息科技有限公司，
类型：发明
国别省市：31[中国|上海]