本发明专利技术公开了一种多网络环境隔离方法及终端,其中方法包括以下步骤:在终端操作系统中创建多个虚拟环境,多个虚拟环境彼此隔离,且多个虚拟环境与该终端操作系统中的原始环境也相互隔离;为多个虚拟环境设置访问不同网络的访问权限。本发明专利技术在不同的虚拟桌面中实现了安全的网络访问控制及数据隔离功能,达到防病毒和防止数据泄漏的目的,且实现方案具有成本低、部署简单、使用安全方便、维护容易等特点。
【技术实现步骤摘要】
本专利技术涉及计算机虚拟环境领域,尤其涉及一种多网络环境隔离方法及终端。
技术介绍
在企业内部,一般存在这样三个工作环境一是普通办公环境,用户在该环境进行个人的文档编辑、使用PC外围设备等操作;二是互联网环境,用户在该环境中连接互联网进行网络交互;三是企业内部业务办公环境,用户需要在该环境下处理机密数据等。面对这些环境,企业要做到数据安全、防病毒木马,一般会有以下几种解决方案一是限制使用互联网,从管理上限制使用外围设备,在用户的个人PC上只允许处理与企业内部业务相关工作,但这对用户的限制太大,没有互联网,有时也不利于办公。二是在物理上进行隔离,即普通办公环境与互联网环境使用一台PC,而企业内部业务办公环境使用另一台PC,这种方案除了增加硬件和维护成本外,更重要的是用户需要操作两台PC,使用上不具便利性。三是使用远程应用的解决方案,但此种方案存在成本高、使用不灵活、维护难的缺点。上述几种方案都不能很好的解决三个工作环境下的细分控制,保障数据安全且使用便利的问题。
技术实现思路
本专利技术要解决的技术问题在于针对现有技术中不能很好地解决终端在多个工作环境下的数据安全,以及使用便利的问题,提供一种便于用户在终端不同的工作环境中进行安全操作的多网络环境隔离方法及系统。本专利技术解决其技术问题所采用的技术方案是提供一种多网络环境隔离方法,包括以下步骤在终端操作系统中创建多个虚拟环境,所述多个虚拟环境彼此隔离,且所述多个虚拟环境与该终端操作系统中的原始环境也相互隔离; 为所述多个虚拟环境设置访问不同网络的访问权限。本专利技术所述的方法中,所述多个虚拟环境包括互联网虚拟环境和组织内部业务办公虚拟环境;所述为所述多个虚拟环境设置访问不同网络的访问权限具体包括为所述互联网虚拟环境设置可访问互联网的权限;为所述组织内部业务办公虚拟环境设置可访问组织内网的权限。本专利技术所述的方法中,还包括以下步骤接收用户访问虚拟环境的请求,进入相应的虚拟环境;接收用户的操作请求,根据所述访问权限执行相应操作;在执行相应操作过程中,对所有文件操作以及注册表操作均进行重定向处理,并生成相应的重定向文件,所述重定向文件在其他虚拟环境以及所述终端操作系统的原始环境中均不可见。本专利技术所述的方法中,在执行相应操作过程中,还包括步骤在所述互联网虚拟环境下,禁止用户的部分服务请求,所述部分服务请求包括安装插件或者软件。本专利技术所述的方法中,所述为所述多个虚拟环境设置不同的网络访问权限具体为通过对应用层或网络层的设置控制不同虚拟环境所允许访问的网络。本专利技术所述的方法中,根据所述用户的操作请求执行相应操作时通过挂钩函数对相应操作的应用程序进程进行控制。 本专利技术解决其技术问题所采用的另一技术方案是提供一种具有相隔离的多网络环境的终端,所述终端通过安全网关与互联网和内网服务器连接,该终端包括虚拟环境创建单元,用于在终端操作系统中创建多个虚拟环境,所述多个虚拟环境彼此隔离,且所述多个虚拟环境与该终端操作系统中的原始环境也相互隔离;网络访问设置单元,用于为所述多个虚拟环境设置访问不同网络的访问权限。本专利技术所述的终端中,所述多个虚拟环境包括互联网虚拟环境和组织内部业务办公虚拟环境;所述网络访问设置单元还用于为所述互联网虚拟环境设置可访问互联网的权限,为所述组织内部业务办公虚拟环境设置可访问组织内网的权限。本专利技术所述的终端中,该终端还包括访问请求执行单元,用于接收用户访问虚拟环境的请求,进入相应虚拟环境;操作请求执行单元,用于接收用户的操作请求,根据所述访问权限执行相应操作;重定向单元,用于在执行相应操作过程中,对所执行的应用程序中的所有文件操作以及注册表操作均进行重定向处理,并生成相应的重定向文件,所述重定向文件在所述终端操作系统的其他虚拟环境以及原始环境中均不可见。本专利技术所述的终端中,该终端还包括用户请求控制单元,用于在所述互联网虚拟环境下,禁止用户的部分服务请求,所述部分服务请求包括安装插件或者软件。本专利技术所述的终端中,所述网络访问设置单元具体用于通过对应用层或网络层的设置来控制不同虚拟环境所允许访问的网络。本专利技术所述的终端中,所述操作请求执行单元进一步用于在根据所述用户的操作请求执行相应操作时,通过挂钩函数对相应操作的应用程序进程进行控制。本专利技术产生的有益效果是通过在同一终端操作系统中创建多个虚拟环境,且多个虚拟环境彼此隔离,不同虚拟环境可访问不同的网络,从而在不同的虚拟桌面中实现安全的网络访问控制及数据隔离功能,达到防病毒和防止数据泄漏的目的,以满足终端访问不同安全等级业务系统的安全隔离需求。另外,本专利技术的实现方案具有成本低、部署简单、使用安全方便、维护容易等特点。进一步地,在终端中设置两个虚拟环境,包括互联网虚拟环境和组织内部业务办公虚拟环境,其中在互联网虚拟环境中可以访问互联网,在组织内部业务办公虚拟环境中可以访问组织内网,而在终端操作系统的原始环境中无法访问互联网和组织内网,且互联网虚拟环境、组织内部业务办公虚拟环境以及所述终端操作系统的原始环境之间互相隔离,用户根据需要可以在不同的环境中进行自由切换,从而很好地满足了组织内部在多网络环境下的安全性需求。附图说明下面将结合附图及实施例对本专利技术作进一步说明,附图中图I是本专利技术实施例多网络环境隔离方法的流程图;图2是本专利技术实施例在同一 PC系统中三个工作环境的不意图;图3是本专利技术实施例在单一虚拟桌面下对进程进行控制的示意图; 图4是本专利技术实施例中虚拟桌面与电脑桌面所对应可访问资源的示意图;图5是本专利技术实施例中终端所在的网络布置结构示意图;图6是本专利技术实施例具有相隔离的多网络环境的终端的结构示意图。具体实施例方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。本专利技术实施例通过在同一终端中设置相互隔离的多个虚拟环境,且不同虚拟环境所连接的网络不同,从而有效保障了多网络环境下的数据安全性,且便于用户的使用,降低实现成本。本专利技术实施例中的终端既可以是个人PC,也可以为如手提电脑、智能手机等移动终端,以下实施例以个人PC终端为例。本专利技术实施例多网络环境隔离方法,如图I所示,包括以下步骤S101、在终端操作系统中创建多个虚拟环境,多个虚拟环境彼此隔离,且多个虚拟环境与该终端操作系统中的原始环境也相互隔离;可以利用沙盒的虚拟化技术创建虚拟环境,既可以为Windows平台的虚拟桌面技术,也可以为Linux平台的多桌面技术等,具体的虚拟环境的创建可根据实际情况采用不同的方式实现,不限于本专利技术实施例所列举的方法。虚拟环境个数的设定需要根据实际情形满足不同的需求确定,可以理解的是,创建越多的虚拟环境,就需要更多的系统资源,对硬件有更高的要求。一般在组织内部的PC需要有三个工作环境,包括普通办公环境、互联网环境和企业内部业务办公环境,据此,在本专利技术的一个实施例中可以创建两个虚拟环境,包括互联网虚拟环境和组织内部业务办公虚拟环境,与PC系统的原始环境一起构成三个工作环境,如图2所示,这三个工作环境也可以对应称为互联网虚拟桌面、办公网虚拟桌面和电脑桌面。在虚拟环境中的所进行的一切操作对用户来说与在原始环境(即电脑桌面)中几乎没本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多网络环境隔离方法,其特征在于,包括以下步骤 在终端操作系统中创建多个虚拟环境,所述多个虚拟环境彼此隔离,且所述多个虚拟环境与该终端操作系统中的原始环境也相互隔离; 为所述多个虚拟环境设置访问不同网络的访问权限。2.根据权利要求I所述的方法,其特征在于,所述多个虚拟环境包括互联网虚拟环境和组织内部业务办公虚拟环境; 所述为所述多个虚拟环境设置访问不同网络的访问权限具体包括 为所述互联网虚拟环境内设置可访问互联网的权限; 为所述组织内部业务办公虚拟环境设置可访问组织内网的权限。3.根据权利要求2所述的方法,其特征在于,还包括以下步骤 接收用户访问虚拟环境的请求,进入相应的虚拟环境; 接收用户的操作请求,根据所述访问权限执行相应操作; 在执行相应操作过程中,对所有文件操作以及注册表操作均进行重定向处理,并生成相应的重定向文件,所述重定向文件在其他虚拟环境以及所述终端操作系统的原始环境中均不可见。4.根据权利要求3所述的方法,其特征在于,在执行相应操作过程中,还包括步骤在所述互联网虚拟环境下,禁止用户的部分服务请求,所述部分服务请求包括安装插件或者软件。5.根据权利要求4所述的方法,其特征在于,所述为所述多个虚拟环境设置不同的网络访问权限具体为通过对应用层或网络层的设置控制不同虚拟环境所允许访问的网络。6.根据权利要求4所述的方法,其特征在于,根据所述用户的操作请求执行相应操作时通过挂钩函数对相应操作的应用程序进程进行控制。7.一种具有相隔离的多网络环境的终端,所述终端通过安全网关与互联网和内网服务器连接...
【专利技术属性】
技术研发人员:陈楚明,胡斌,林彦,
申请(专利权)人:深信服网络科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。