CN101009699A - 透明本地安全环境系统及其实现方法 - Google Patents

透明本地安全环境系统及其实现方法 Download PDF

Info

Publication number
CN101009699A
CN101009699A CN 200610042317 CN200610042317A CN101009699A CN 101009699 A CN101009699 A CN 101009699A CN 200610042317 CN200610042317 CN 200610042317 CN 200610042317 A CN200610042317 A CN 200610042317A CN 101009699 A CN101009699 A CN 101009699A
Authority
CN
China
Prior art keywords
module
monitored
local security
security environment
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 200610042317
Other languages
English (en)
Other versions
CN101009699B (zh
Inventor
姜斌斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsense Info Tech Co ltd
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN2006100423177A priority Critical patent/CN101009699B/zh
Publication of CN101009699A publication Critical patent/CN101009699A/zh
Application granted granted Critical
Publication of CN101009699B publication Critical patent/CN101009699B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明所述的透明本地安全环境系统及其实现方法,提供一种透明本地安全环境,客户端在本地安全环境下可以实现就监控进程透明化的操作。在本地安全环境中所有应用进程及其产生的文件均进行加密,但对于加入到本地安全环境中的被监控用户进程来说,则以明文显示和使用。从而保证在本地安全环境中被监控进程读取的文件一直以明文显示。非监控应用进程在读取被监控应用进程保存的文件时,则显示乱码。由此被监控应用进程之间可以进行任意操作,而非监控应用进程和被监控应用进程之间则不能相互复制、剪切或粘贴,既可始终保证本地安全环境之内一直是明文,而环境之外是密文,同时杜绝从安全环境之外到安全环境之内的安全隐患。

Description

透明本地安全环境系统及其实现方法
技术领域
本发明是一种基于计算机网络安全认证管理的本地安全监控系统及其实现方法。
背景技术
随着商务办公用计算机的普及和互联网络的广泛应用,在改变办公方式、提高工作效率和实现“无纸化”办公的同时,也同时产生诸多网络安全隐患和计算机软件的版权问题。
如现有企、事业单位的电子化技术文档,能够以较为便捷的手段被带出或泄漏出去,从而影响到单位技术资料的保密、以及版权保护方面的工作难度。如何保护和预防这些重要的技术资料不经审查地被泄漏出去,已经成为每个单位在应用计算机和互联网络时必然提及的安全防患要求。特别地,对于IT行业的技术开发部门,所从事和产生的技术成果基于是以电子文档形式保存的程序源代码。因此,程序源代码和技术文档是一旦丢失或外泄,将直接关系和影响到技术开发部门的市场效益和竞争力。
为了预防程序源代码内容的外泄,现有的网络安全措施一般是在每个PC主机上安装一客户端监控软件,以实现禁止或监控网络连接、禁止或监控移动设备(如移动硬盘、MP3等)、禁止使用USB端口、串口、并口、红外端子、以及禁止打印、实时监控本地安装或卸载软件等。针对客户端的上述监控方法对于用户操作设置了多项限制,使得操作丧失了方便性。而且,如果把计算机的硬盘拆下安装到其他主机上,则同样会造成技术资料的外泄。另外,在移动办公和远程协作日益流行的今天,上述监控方案显然无法保证网络安全。
发明内容
本发明所述的透明本地安全环境系统及其实现方法,其发明目的在于解决上述现有技术的缺陷和不足而提供一种透明本地安全环境,即客户端在本地安全环境下可以实现就监控进程透明化的操作。即在本地安全环境中所有应用进程及其产生的文件均进行加密,但对于加入到本地安全环境中的被监控用户进程来说,则以明文显示和使用。从而保证在本地安全环境中被监控进程读取的文件一直以明文显示。非监控应用进程在读取被监控应用进程保存的文件时,则显示乱码。由此实现被监控应用进程之间可以进行任意操作,如相互复制、剪切或粘贴;而非监控应用进程和被监控应用进程之间则不能相互复制、剪切或粘贴,既可始终保证本地安全环境之内一直是明文,而环境之外是密文,同时杜绝从安全环境之外到安全环境之内的安全隐患,防止被监控应用进程通过网络、或输出端口向外部输出明文。
为实现上述发明目的,所述透明本地安全环境系统包括应用程序模块和底层过滤/加密驱动模块;
应用程序模块,包括被监控应用进程模块、日志显示模块和系统守护程序模块;
应用程序模块向用户界面提供接口,用户通过该接口可向本地安全环境中增加、删除或修改被监控进程,以及查看日志,同时启动底层过滤/加密驱动模块;
底层过滤/加密驱动模块,包括文件监控驱动模块,复制、剪切、粘贴监控驱动模块和SOCKET监控模块(Socket,套接字,网络通信的底层机制);
底层过滤/加密驱动模块,在内核模式下设置于最底层文件驱动和上层应用抽象层之间,对加入到本地安全环境的被监控应用进程进行监控,拦截被监控应用进程的所有请求,对请求操作实施处理后,再把请求转发给下一层作进一步处理,同时把日志信息通知给应用程序模块。
所述透明本地安全环境的实现方法,是通过IE浏览器启动所述的本地安全环境系统;
在本地安全环境启动后,被增加到本地安全环境中的应用进程被完全监控,包括该应用进程派生的子进程;
被监控应用进程,在底层写文件到存储介质时,不论任何文件均建立加密标志并同时进行加密;在从存储介质读文件时,先识别是否有加密标志,如果有则解密;如果没有,则对于支持应用进程本身的静态库、动态库、驱动程序或文件进行明文读取。
应用上述本地安全环境系统,所述应用程序模块的控制流程是:
打开用户界面,即启动系统守护程序模块;
系统守护程序模块将文件监控模块加载到本地安全环境系统中;
用户通过用户界面,启动被监控应用进程,并且获得被监控应有的进程ID,即标示符,并把进程ID传递给系统守护程序模块;
系统守护程序模块获取到被监控应用的进程ID,将该进程ID传递给文件监控驱动模块;
系统守护程序模块,将所述的复制、剪切、粘贴监控驱动模块挂接到新创建的被监控应用的进程中;
系统将网络监控模块挂接到新创建的被监控应用的进程中;
被监控应用进程受到完全地实时监控。
应用上述方案内容的透明本地安全环境的实现方法,在本地安全环境内被监控进程所读取的文件一直是以明文显示。相对地,非监控应用进程在读取被监控应用进程保存的文件时,由于文件被加密而显示乱码。
如上所述,所述透明本地安全环境系统及其实现方法的优点是,在本地安全环境内,被监控进程所读取的文件一直是以明文显示,而环境之外则是密文,因而可杜绝从安全环境之外到安全环境之内的安全隐患,程序源代码等技术资料可防止外泄出去,从而提供彻底的网络安全。另外,在底层写文件到存储介质时,不论任何文件均建立加密标志并同时进行加密,所以应用上述实现方法也可以对串口、并口、打印端口、红外端口、以及其他网络连接进行监控,可防止被监控应用进程通过网络输出明文形式的技术资料。
附图说明
图1是所述透明本地安全环境系统的结构框架图;
图2是所述实现方法的系统守护程序模块的数据流程图;
图3是所述实现方法的底层过滤/加密驱动模块的数据流程图;
图4是所述实现方法的文件监控驱动模块的控制流程图;
图5是所述实现方法的复制、剪切、粘贴驱动程序模块的控制流程图;
图6是所述实现方法的Socket监控驱动模块的控制流程图。
具体实施方式
实施例1,如图1所示,所述透明本地安全环境系统包括应用程序模块和底层过滤/加密驱动模块。
应用程序模块,包括被监控应用进程模块、日志显示模块和系统守护程序模块并负责加载、运行驱动程序。
应用程序模块向用户界面提供接口,用户通过该接口可向本地安全环境中增加、删除或修改被监控进程,以及查看日志,同时启动底层过滤/加密驱动模块;
其中,用户界面,用于显示日志信息,增删改被监控进程等;
日志显示模块,实时地显示底层过滤/加密驱动模块产生的日志信息;
被监控应用进程模块,负责从配置文件中读取配置信息,并将解析的进程链表传递给底层过滤/加密驱动模块。
底层过滤/加密驱动模块,包括文件监控驱动模块,复制、剪切、粘贴监控驱动模块和SOCKET监控模块(Socket,套接字,网络通信的底层机制);
其中,系统底层驱动模块向系统提供文件驱动及API函数。
底层过滤/加密驱动模块,在内核模式下设置于最底层文件驱动和上层应用抽象层之间,对加入到本地安全环境的被监控应用进程进行监控,拦截被监控应用进程的所有请求,对请求操作实施处理后,再把请求转发给下一层作进一步处理,同时把日志信息通知给应用程序模块。
在本实施例中,用户界面被设置为一个java Applet程序,该Applet提供了图形用户接口供用户使用,用户可以通过该Applet打开需要使用的被监控应用进程,如VC,Eclipse等。
也可以通过该接口增删被监控应用,使用Windows上的本地语言开发,因此生成的都是汇编代码,而Java Applet是字节码,为了实现Java程序对本地代码的访问,系统中采用Java本地接口(JNI)技术进行实现。
如图2所示,所述系统守护程序模块的控制流程是,
首先启动驱动模块,如果没有启动成功就直接退出;如果启动成功,则等待用户的输入(关于被监控应用进程);
然后,修改相关进程的被监控列表,并应用到驱动。
所述的文件监控驱动模块,复制、剪切、粘贴监控驱动模块和SOCKET监控模块,均按图3所示的底层过滤/加密驱动模块的控制流程执行,即,
驱动启动后,首先获取被监控进程列表;
然后,实时监控并拦截被监控进程发起的所有请求和API(ApplicationProgram Interface,应用程序接口);
再次,根据不同请求和API进行相应的处理后,重新转发给系统底层驱动,同时发送日志给上层应用模块。
如图4所示,所述文件监控驱动模块的控制机制是,任何进程的写文件,都是通过向底层发出写请求,通过拦截写请求,进行加密处理后,再重新转发给底层驱动做进一步的处理。
任何进程读文件时,都是向底层发读请求,通过拦截读请求,进行解密处理后,再重新转发给对应的应用进程。
如图5所示,所述复制、剪切、粘贴驱动程序模块的控制机制是,剪贴板是系统的一块缓冲区,当用户要进行“复制”或“粘贴”操作时,系统会触发调用  SetClipboardData(),GetClipboardData()两个windowsapi。
通过拦截windows api,重定向windows api到自行定义的函数中。当用户进行“复制”,“粘贴”操作时,实际上是执行所重定义的函数,即可对剪贴板的数据进行“加密”、“解密”等控制操作。
剪贴板数据经过控制操作制后,返回给用户的数据已经是经过修改的加密的数据,从而达到全面监控剪贴板的目的。
如图6所示,所述Socket监控驱动模块的控制机制是,通过重定向网络传输的api到自行定义的函数中。当网络发送、接受网络数据包时,执行重定义的函数。
即数据在发送、接受之前,已经经过了“加密”、“解密”处理,通过这种方法达到实时监控网络数据包的目的。
以上即是本发明所述透明本地安全环境系统及其实现方法的基本内容。

Claims (6)

1、一种透明本地安全环境系统,其特征在于:包括有应用程序模块和底层过滤/加密驱动模块;
应用程序模块,包括被监控应用进程模块、日志显示模块和系统守护程序模块;
应用程序模块向用户界面提供接口,用户通过该接口可向本地安全环境中增加、删除或修改被监控进程,以及查看日志,同时启动底层过滤/加密驱动模块;
底层过滤/加密驱动模块,包括文件监控驱动模块,复制、剪切、粘贴监控驱动模块和SOCKET监控模块;
底层过滤/加密驱动模块,在内核模式下设置于最底层文件驱动和上层应用抽象层之间,对加入到本地安全环境的被监控应用进程进行监控,拦截被监控应用进程的所有请求,对请求操作实施处理后,再把请求转发给下一层作进一步处理,同时把日志信息通知给应用程序模块。
2、一种透明本地安全环境的实现方法,其特征在于:通过IE浏览器启动所述的本地安全环境系统;
在本地安全环境启动后,被增加到本地安全环境中的应用进程被完全监控,包括该应用进程派生的子进程;
被监控应用进程,在底层写文件到存储介质时,不论任何文件均建立加密标志并同时进行加密;在从存储介质读文件时,先识别是否有加密标志,如果有则解密;如果没有,则对于支持应用进程本身的静态库、动态库、驱动程序或文件进行明文读取。
3、根据权利要求2所述的透明本地安全环境的实现方法,其特征在于:所述应用程序模块的控制流程是,
打开用户界面,即启动系统守护程序模块;
系统守护程序模块将文件监控模块加载到本地安全环境系统中;
用户通过用户界面,启动被监控应用进程,并且获得被监控应有的进程ID,并把进程ID传递给系统守护程序模块;
系统守护程序模块获取到被监控应用的进程ID,将该进程ID传递给文件监控驱动模块;
系统守护程序模块,将所述的复制、剪切、粘贴监控驱动模块挂接到新创建的被监控应用的进程中;
系统将网络监控模块挂接到新创建的被监控应用的进程中;
被监控应用进程受到完全地实时监控。
4、根据权利要求3所述的透明本地安全环境的实现方法,其特征在于:所述系统守护程序模块的控制流程是,
首先启动驱动模块,如果没有启动成功就直接退出;如果启动成功,则等待用户的输入;
然后,修改相关进程的被监控列表,并应用到驱动。
5、根据权利要求3或4所述的透明本地安全环境的实现方法,其特征在于:所述底层过滤/加密驱动模块的控制流程是
驱动启动后,首先获取被监控进程列表;
然后,实时监控并拦截被监控进程发起的所有请求和API;
再次,根据不同请求和API进行相应的处理后,重新转发给系统底层驱动,同时发送日志给上层应用模块。
6、根据权利要求5所述的透明本地安全环境的实现方法,其特征在于:所述文件监控驱动模块的控制机制是,任何进程的写文件,都是通过向底层发出写请求,通过拦截写请求,进行加密处理后,再重新转发给底层驱动做进一步的处理;
任何进程读文件时,都是向底层发读请求,通过拦截读请求,进行解密处理后,再重新转发给对应的应用进程。
CN2006100423177A 2006-01-25 2006-01-25 透明本地安全环境系统及其实现方法 Expired - Fee Related CN101009699B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2006100423177A CN101009699B (zh) 2006-01-25 2006-01-25 透明本地安全环境系统及其实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2006100423177A CN101009699B (zh) 2006-01-25 2006-01-25 透明本地安全环境系统及其实现方法

Publications (2)

Publication Number Publication Date
CN101009699A true CN101009699A (zh) 2007-08-01
CN101009699B CN101009699B (zh) 2010-09-08

Family

ID=38697827

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006100423177A Expired - Fee Related CN101009699B (zh) 2006-01-25 2006-01-25 透明本地安全环境系统及其实现方法

Country Status (1)

Country Link
CN (1) CN101009699B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102479147A (zh) * 2010-11-26 2012-05-30 航天信息股份有限公司 一种WinNT操作系统中截获端口数据的方法和系统
CN102479117A (zh) * 2010-11-26 2012-05-30 航天信息股份有限公司 一种Win9x操作系统中截获端口数据的方法和系统
CN103034811A (zh) * 2011-09-29 2013-04-10 北大方正集团有限公司 一种文件处理的方法、系统及装置
CN103092742A (zh) * 2011-10-31 2013-05-08 国际商业机器公司 程序日志记录优化方法和系统
CN103488949A (zh) * 2013-09-17 2014-01-01 上海颐东网络信息有限公司 一种电子文档安全保护系统
CN101958791B (zh) * 2009-07-16 2014-05-14 上海前沿计算机科技有限公司 模块加解密方法
CN104331644A (zh) * 2014-11-24 2015-02-04 北京邮电大学 一种智能终端文件的透明加解密方法
CN104331358A (zh) * 2014-10-30 2015-02-04 上海斐讯数据通信技术有限公司 一种测试管理系统及方法
CN105279433A (zh) * 2014-07-10 2016-01-27 腾讯科技(深圳)有限公司 一种应用程序的防护方法及装置
CN107306264A (zh) * 2016-04-25 2017-10-31 腾讯科技(深圳)有限公司 网络安全监控方法和装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1159649C (zh) * 2000-12-28 2004-07-28 中兴通讯股份有限公司 一种日志信息的自动循环存储方法
CN100471091C (zh) * 2003-10-10 2009-03-18 清华大学 基于fcp协议的san的双节点镜像集群的方法及系统

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101958791B (zh) * 2009-07-16 2014-05-14 上海前沿计算机科技有限公司 模块加解密方法
CN102479147B (zh) * 2010-11-26 2015-06-10 航天信息股份有限公司 一种WinNT操作系统中截获端口数据的方法和系统
CN102479117A (zh) * 2010-11-26 2012-05-30 航天信息股份有限公司 一种Win9x操作系统中截获端口数据的方法和系统
CN102479147A (zh) * 2010-11-26 2012-05-30 航天信息股份有限公司 一种WinNT操作系统中截获端口数据的方法和系统
CN103034811A (zh) * 2011-09-29 2013-04-10 北大方正集团有限公司 一种文件处理的方法、系统及装置
CN103034811B (zh) * 2011-09-29 2016-08-03 北大方正集团有限公司 一种文件处理的方法、系统及装置
CN103092742B (zh) * 2011-10-31 2015-08-19 国际商业机器公司 程序日志记录优化方法和系统
CN103092742A (zh) * 2011-10-31 2013-05-08 国际商业机器公司 程序日志记录优化方法和系统
CN103488949A (zh) * 2013-09-17 2014-01-01 上海颐东网络信息有限公司 一种电子文档安全保护系统
CN105279433A (zh) * 2014-07-10 2016-01-27 腾讯科技(深圳)有限公司 一种应用程序的防护方法及装置
CN104331358A (zh) * 2014-10-30 2015-02-04 上海斐讯数据通信技术有限公司 一种测试管理系统及方法
CN104331644A (zh) * 2014-11-24 2015-02-04 北京邮电大学 一种智能终端文件的透明加解密方法
CN104331644B (zh) * 2014-11-24 2017-08-04 北京邮电大学 一种智能终端文件的透明加解密方法
CN107306264A (zh) * 2016-04-25 2017-10-31 腾讯科技(深圳)有限公司 网络安全监控方法和装置
CN107306264B (zh) * 2016-04-25 2019-04-02 腾讯科技(深圳)有限公司 网络安全监控方法和装置

Also Published As

Publication number Publication date
CN101009699B (zh) 2010-09-08

Similar Documents

Publication Publication Date Title
CN101009699B (zh) 透明本地安全环境系统及其实现方法
US9069983B1 (en) Method and apparatus for protecting sensitive information from disclosure through virtual machines files
CN100362495C (zh) 信息泄漏防止装置及方法
CN100592313C (zh) 一种电子文档防泄密系统及实现方法
US10079835B1 (en) Systems and methods for data loss prevention of unidentifiable and unsupported object types
CN103488954B (zh) 一种文件加密系统
US20140247961A1 (en) Apparatus and method for displaying watermark on a screen
CN109471699B (zh) 基于Qcow2镜像文件的差异位图特性的虚拟机增量备份系统
WO2015050620A2 (en) Method and system for backing up and restoring a virtual file system
US20220046043A1 (en) Threat detection and security for edge devices
CN105786521B (zh) 一种文件外发保护方法和装置
CN105827574A (zh) 一种文件访问系统、方法及装置
CN105303074A (zh) 一种保护Web应用程序安全的方法
CN102129540A (zh) 文件动态透明加密解密方法
CN113486400A (zh) 一种数据防泄漏方法、装置、电子设备及可读存储介质
CN111339034B (zh) 一种密文存储明文访问的系统、密文存储和明文访问方法
CN113282560A (zh) 一种快应用平台下的日志管理系统、方法及移动终端
CN110807191B (zh) 一种应用程序的安全运行方法及装置
CN111158857A (zh) 数据加密方法、装置、设备及存储介质
CN109657490B (zh) 一种办公文件透明加解密方法及系统
CN100462993C (zh) 一种无痕化信息处理外置移动存储器
JP2016522489A (ja) データプロセシングシステムのセキュリティ装置とセキュリティ方法
CN104408376A (zh) 一种文档保护方法、设备以及系统
CN109065077B (zh) 加密光盘制作方法和装置
KR20140140876A (ko) 개인정보 관리 및 통제기능을 가지는 클라우드 컴퓨팅 기반의 전자문서 중앙 관리 시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: BEIJING TOPSENSE INFO-TECH CO., LTD.

Free format text: FORMER OWNER: JIANG BINBIN

Effective date: 20100712

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20100712

Address after: 100085, room 306, North building, rainbow building, No. 11 information road, Beijing, Haidian District

Applicant after: Beijing Topsense Info-Tech Co.,Ltd.

Address before: 100085, room 306, North building, rainbow building, No. 11 information road, Beijing, Haidian District

Applicant before: Jiang Binbin

C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: SUZHOU HIERSTAR LTD.

Free format text: FORMER OWNER: BEIJING TOPSENSE HIGH-TECH INFORMATION TECHNOLOGY CO., LTD.

Effective date: 20130607

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 100085 HAIDIAN, BEIJING TO: 215200 SUZHOU, JIANGSU PROVINCE

TR01 Transfer of patent right

Effective date of registration: 20130607

Address after: 215200, Jiangsu, Wujiang, Wujiang Economic Development Zone, south of Yang Lian Road, east of Changan Road (Science and Technology Pioneer Park), Suzhou

Patentee after: HIERSTAR (SUZHOU)., Ltd.

Address before: 100085, room 306, North building, rainbow building, No. 11 information road, Beijing, Haidian District

Patentee before: Beijing Topsense Info-Tech Co.,Ltd.

PP01 Preservation of patent right

Effective date of registration: 20160711

Granted publication date: 20100908

RINS Preservation of patent right or utility model and its discharge
PD01 Discharge of preservation of patent

Date of cancellation: 20170711

Granted publication date: 20100908

PD01 Discharge of preservation of patent
TR01 Transfer of patent right

Effective date of registration: 20170926

Address after: 100085, Beijing, Haidian District on the road No. 11 Rainbow Building on the third floor

Patentee after: Beijing Topsense Info-Tech Co.,Ltd.

Address before: 215200, Jiangsu, Wujiang, Wujiang Economic Development Zone, south of Yang Lian Road, east of Changan Road (Science and Technology Pioneer Park), Suzhou

Patentee before: HIERSTAR (SUZHOU)., Ltd.

TR01 Transfer of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100908

Termination date: 20220125

CF01 Termination of patent right due to non-payment of annual fee