CN112347434B

CN112347434B - 一种实现自适应屏幕水印的方法

Info

Publication number: CN112347434B
Application number: CN202011260029.5A
Authority: CN
Inventors: 吕卿
Original assignee: Bank Of Shanghai Co ltd
Current assignee: Bank Of Shanghai Co ltd
Priority date: 2020-11-12
Filing date: 2020-11-12
Publication date: 2024-03-26
Anticipated expiration: 2040-11-12
Also published as: CN112347434A

Abstract

本发明涉及一种实现自适应屏幕水印的方法，包括以下步骤：步骤1：将能够生成屏幕水印的软件代码编译成可执行文件，并将所述可执行文件放入专用文件夹；步骤2：在AD服务器中新建共享目录，AD域内终端计算机能访问所述共享目录；步骤3：将所述专用文件夹保存在所述共享目录；步骤4：编写批处理脚本，用于将共享目录内的专用文件夹下发至AD域内所有终端计算机；步骤5：AD域内所有终端计算机自动运行所述专用文件夹内的可执行文件，开启屏幕水印。本发明中使用方只需要使用已有的AD服务器，无需单独部署专用中心侧服务器，显著降低了软硬件资源成本，增强了部署效率和效果，克服了现有技术的不足之处。

Description

一种实现自适应屏幕水印的方法

技术领域

本发明涉及信息安全技术领域，特别涉及一种实现自适应屏幕水印的方法。

背景技术

在数据安全和信息防泄漏领域，为应对使用人操作高密系统(文件)时通过拍照或截屏等手段泄露信息的情况，可以使用水印技术。水印是一种基于内容的、非密码机制的计算机信息隐藏技术。它将标识信息(如使用人账号、登录IP以及登录时间等)直接或间接嵌入信息载体中，不影响原信息载体的使用价值，不容易被探知和修改，但可以被识别和辨认，以达到确认内容创建者、购买者、操作者和传送隐秘信息者或者判断信息载体是否被篡改等目的。

常见的水印实现方式有文件水印和屏幕水印两种。文件水印需要与特定的文件相结合，当使用人打开该文件时，会将数字标识信息显示在文件UI界面上。屏幕水印则是持续地将数字标识信息显示在计算机桌面上，不论使用人何时操作计算机、打开的是何种文件、登录的是何种系统，都要被屏幕水印所覆盖和保护。相比起文件水印，屏幕水印的保护范围更广，保护效果更好。在企业级信息安全领域，屏幕水印能更好地解决拍照和截屏等泄露问题，也是对数据安全整体防御体系的有效补充。

目前，现有技术中屏幕水印通常是采用C/S架构设计从而实现。中心侧需要独立部署服务器，以实现Agent管理、水印下发和水印更新等功能。为了考虑性能、高可用等，该中心侧服务器往往需要两台以上高配服务器，并随着Agent数量的增加，会不断投入新的硬件资源，导致实现屏幕水印的成本昂贵。而在客户端侧，屏幕水印依托于专用的Agent软件(往往和DLP、虚拟化和终端安全等终端管理产品相结合)，这使得使用方需要根据Agent数量支付费用，随着网络规模扩大，软件投入成本也会水涨船高。此外，使用方还需要花费大量的人力成本和实施成本先解决Agent软件的安装和部署问题，即便如此，也难以确保所有需要开启屏幕水印的终端计算机都能安装Agent软件，而当网络规模扩大时，也难以做到新增的终端计算机能立即安装上Agent软件。

因此，有必要提供一种实现自适应屏幕水印的方法，以解决现有技术中由于依赖中心侧服务器和Agent管理导致实现屏幕水印成本昂贵和难以全面安装部署的问题。

发明内容

本发明的目的在于提供一种实现自适应屏幕水印的方法，以解决现有技术中由于依赖中心侧服务器和Agent管理导致实现屏幕水印成本昂贵和难以全面安装部署的问题。

为了解决现有技术中存在的问题，本发明提供了一种实现自适应屏幕水印的方法，包括以下步骤：

步骤1：将能够生成屏幕水印的软件代码编译成可执行文件，并将所述可执行文件放入专用文件夹；

步骤2：在AD服务器中新建共享目录，AD域内终端计算机能访问所述共享目录；

步骤3：将所述专用文件夹保存在所述共享目录；

步骤4：编写批处理脚本，用于将共享目录内的专用文件夹下发至AD域内所有终端计算机；

步骤5：AD域内所有终端计算机自动运行所述专用文件夹内的可执行文件，开启屏幕水印。

可选的，在所述实现自适应屏幕水印的方法中，所述批处理脚本还用于判断AD域内各终端计算机上是否存在共享目录内的可执行文件：

若不存在，则将共享目录内的专用文件夹下发至当前终端计算机；

若存在，则进一步判断当前终端计算机上的可执行文件版本和共享目录中的可执行文件版本是否一致，若不一致，则自动删除当前终端计算机上的可执行文件和专用文件夹，并自动将AD服务器中共享目录内的专用文件夹下发至当前终端计算机，若一致则执行步骤5。

可选的，在所述实现自适应屏幕水印的方法中，AD域内所有终端计算机均设置有预设路径，共享目录内的专用文件夹下发至AD域内各终端计算机的预设路径内。

可选的，在所述实现自适应屏幕水印的方法中，预设路径仅由AD服务器管理员所属账号进行设置、修改和删除。

可选的，在所述实现自适应屏幕水印的方法中，可执行文件采用Python编程语言编写生成。

可选的，在所述实现自适应屏幕水印的方法中，Python编程语言包含Tkinter库，Tkinter库为用于图形化界面编程的平台；

Tkinter库具有标准Tk GUI工具包的接口。

可选的，在所述实现自适应屏幕水印的方法中，

下发前还包括以下步骤：在AD服务器上正确地配置OU组织架构和组策略，将终端计算机纳入OU组织架构中；

在进行下发步骤时，在所有需要开启屏幕水印的终端计算机所在OU组织架构上通过组策略完成下发。

可选的，在所述实现自适应屏幕水印的方法中，在所述专用文件夹内还设置有记录更新记事本。

可选的，在所述实现自适应屏幕水印的方法中，

当更新可执行文件后，AD服务器管理员手动更新记录更新记事本中的可执行文件版本编号。

可选的，在所述实现自适应屏幕水印的方法中，

在判断当前终端计算机上的可执行文件版本时，采用当前终端计算机上的可执行文件版本编号与记录更新记事本中的可执行文件版本编号进行比对。

本发明相对于现有技术，具有以下优点：

(1)硬件成本低：屏幕水印的生成、下发、更新、运行等依赖于Windows AD服务器的既有功能，因此无需单独部署中心测服务器，降低了硬件资源投入成本；

(2)软件成本低：在客户端侧，只需要推送并运行屏幕水印的可执行文件，无需依托于DLP、虚拟化和终端安全等终端管理产品，没有Agent License许可限制，使用方无需根据Agent数量支付费用，并且在未来网络规模扩大的情况下，也无需额外支付软件费用；

(3)终端自适应安装和部署：可执行文件的安装和部署依赖于Windows AD服务器的既有OU组织架构和组策略，使用方无需投入人力用于解决客户端软件的部署，并且在网络规模扩大以及终端计算机数量增加的情况下，只要将增量终端计算机纳入正确的OU组织架构中，便能自动地、静默地完成安装和部署。

附图说明

图1为本发明实施例提供的实现自适应屏幕水印方法的流程图；

图2为本发明实施例提供的可执行文件版本的判断流程图。

具体实施方式

下面将结合示意图对本发明的具体实施方式进行更详细的描述。根据下列描述，本发明的优点和特征将更清楚。需说明的是，附图均采用非常简化的形式且均使用非精准的比例，仅用以方便、明晰地辅助说明本发明实施例的目的。

在下文中，如果本文所述的方法包括一系列步骤，则本文所呈现的这些步骤的顺序并非必须是可执行这些步骤的唯一顺序，且一些所述的步骤可被省略和/或一些本文未描述的其他步骤可被添加到该方法中。

现有技术中屏幕水印通常是采用C/S架构设计从而实现。而通过C/S架构设计实现屏幕水印通常具有成本昂贵和难以全面安装部署的问题。

因此有必要提供一种实现自适应屏幕水印的方法，如图1所示，图1为本发明实施例提供的实现自适应屏幕水印方法的流程图，所述方法包括以下步骤：

步骤1：将能够生成屏幕水印的软件代码编译成可执行文件(即exe文件)，并将所述可执行文件放入专用文件夹；

步骤3：将所述专用文件夹保存在所述共享目录，进而AD域内的终端计算机都能访问所述专用文件夹及所述专用文件夹内的所有文件；

本发明中利用既有的OU组织架构、组策略和批处理脚本语言，实现入域终端计算机能即时、自适应地获取并开启屏幕水印，而在此过程中，使用方只需要使用已有的AD服务器，无需单独部署专用中心侧服务器，显著降低了软硬件资源成本，增强了部署效率和效果，克服了现有技术的不足之处。

优选的，如图2所示，图2为本发明实施例提供的可执行文件版本的判断流程图，所述批处理脚本还用于在使用人登录需要开启屏幕水印的各终端计算机时，判断AD域内这些终端计算机上是否存在共享目录内的可执行文件或所述专用文件夹：

若不存在，则将共享目录内的专用文件夹下发至当前终端计算机，此时所述专用文件夹中包含有最新版本的可执行文件；

若存在，则进一步判断当前终端计算机上的可执行文件版本和共享目录中的可执行文件版本是否一致，若不一致，则自动删除当前终端计算机上的可执行文件和专用文件夹，并自动将AD服务器中共享目录内的专用文件夹下发至当前终端计算机，此时所述专用文件夹中包含有最新版本的可执行文件，若一致则执行步骤5。

较佳的，AD域内所有终端计算机均设置有预设路径，共享目录内的专用文件夹下发至AD域内各终端计算机的预设路径内。并且，利用NTFS基于用户账号的ACL机制，预设路径仅由AD服务器管理员所属账号进行设置、修改和删除，从而防止使用人通过删除、剪切或重命名等方式破坏屏幕水印的可执行文件。

进一步的，可执行文件优选采用Python编程语言编写生成，因为Python编程语言是当下最流行的编程语言之一，它拥有很强的跨平台支持性，还有非常活跃的开发者社区和持续更新的第三方模块。另外，Python编程语言默认包含Tkinter库，Tkinter库为用于图形化界面编程的平台；Tkinter库还具有标准Tk GUI工具包的接口，支持Tcl、Perl、Ruby、Python等多种语言，可以在Windows、Linux、Unix、MacOS等主流操作系统上运行。在本发明中，使用Tkinter库产生水印的原理是这样的：1)首先创建一个全屏控件；2)在控件上打上文字，内容就是水印信息；3)将控件设置为透明、置顶和不可操作等。

较佳的，从上述步骤可以看出，终端计算机是否能够获取、更新以及运行可执行文件的关键，在于下发专用文件夹前，还包括以下步骤：在AD服务器上正确地配置OU组织架构和组策略，将终端计算机纳入合理的OU组织架构中；进行下发步骤时，在所有需要开启屏幕水印的终端计算机所在OU组织架构上通过组策略完成下发。在此前提下，AD服务器管理员无需人工干预和手工操作，并且本发明所涉及的实现步骤，都依赖于Windows AD环境和其组策略功能，下发、更新和运行等动作通过网络层即可实现，不再需要单独的中心侧服务器。

进一步的，本发明中下发和判断等功能均通过批处理脚本实现，因此只要在AD服务器上正确地配置了OU组织架构和组策略，则所述批处理脚本和其所实现的功能将自动在所有存量和增量终端计算机上运行和生效，AD服务器管理员无需人工干预和手工操作，不论是存量终端计算机还是增量终端计算机都将自适应地接收和运行屏幕水印。

可选的，在所述实现自适应屏幕水印的方法中，在所述专用文件夹内还设置有记录更新记事本，例如为version.txt。当每次更新可执行文件后，AD服务器管理员需要手动更新记录更新记事本中的可执行文件版本编号。

进一步的，继续参考图2，在判断当前终端计算机上的可执行文件版本时，采用当前终端计算机上的可执行文件版本编号与记录更新记事本中的可执行文件版本编号进行比对。

综上，本发明相对于现有技术，具有以下优点：

上述仅为本发明的优选实施例而已，并不对本发明起到任何限制作用。任何所属技术领域的技术人员，在不脱离本发明的技术方案的范围内，对本发明揭露的技术方案和技术内容做任何形式的等同替换或修改等变动，均属未脱离本发明的技术方案的内容，仍属于本发明的保护范围之内。

Claims

1.一种实现自适应屏幕水印的方法，其特征在于，包括以下步骤：

步骤3：将所述专用文件夹保存在所述共享目录；

下发前还包括以下步骤：在AD服务器上正确地配置OU组织架构和组策略，将终端计算机纳入OU组织架构中；在进行下发步骤时，在所有需要开启屏幕水印的终端计算机所在OU组织架构上通过组策略完成下发；

2.如权利要求1所述的实现自适应屏幕水印的方法，其特征在于，所述批处理脚本还用于判断AD域内各终端计算机上是否存在共享目录内的可执行文件：

3.如权利要求1或2所述的实现自适应屏幕水印的方法，其特征在于，AD域内所有终端计算机均设置有预设路径，共享目录内的专用文件夹下发至AD域内各终端计算机的预设路径内。

4.如权利要求3所述的实现自适应屏幕水印的方法，其特征在于，预设路径仅由AD服务器管理员所属账号进行设置、修改和删除。

5.如权利要求1所述的实现自适应屏幕水印的方法，其特征在于，可执行文件采用Python编程语言编写生成。

6.如权利要求5所述的实现自适应屏幕水印的方法，其特征在于，Python编程语言包含Tkinter库，Tkinter库为用于图形化界面编程的平台；

Tkinter库具有标准Tk GUI工具包的接口。

7.如权利要求2所述的实现自适应屏幕水印的方法，其特征在于，在所述专用文件夹内还设置有记录更新记事本。

8.如权利要求7所述的实现自适应屏幕水印的方法，其特征在于，

9.如权利要求8所述的实现自适应屏幕水印的方法，其特征在于，