CN101795261B - 基于移动数据安全的信息保护系统及方法 - Google Patents
基于移动数据安全的信息保护系统及方法 Download PDFInfo
- Publication number
- CN101795261B CN101795261B CN2009102145574A CN200910214557A CN101795261B CN 101795261 B CN101795261 B CN 101795261B CN 2009102145574 A CN2009102145574 A CN 2009102145574A CN 200910214557 A CN200910214557 A CN 200910214557A CN 101795261 B CN101795261 B CN 101795261B
- Authority
- CN
- China
- Prior art keywords
- mobile device
- intranet
- access
- way authentication
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本文提出了一种基于移动数据安全的信息保护系统和方法,其主要包括下面几个功能:防病毒摆渡功能、移动设备与系统双向认证功能、信息智能销毁功能、防非法内外联功能和安全审计功能。在建立移动数据安全保护的过程,完成移动设备在内网从购入登记、使用到销毁的整个过程的管理与监控,研究及开发一套符合信息网络或主机使用的移动数据安全保护系统。本发明主要克服传统移动设备易被病毒传染的致命缺陷,保证政府或企业的移动数据安全,解决移动设备在政府、企业、教育、银行等行业内网环境中使用的安全问题。
Description
技术领域
本发明涉及移动设备的安全管理技术,具体涉及一种基于移动数据安全的信息保护系统及方法。
背景技术
随着计算机存储技术的不断发展,移动设备的使用灵活、方便的优点使它在政府和企业信息化的过程中迅速得到普及,越来越多的敏感信息、秘密数据和档案资料被存储在移动设备里。国内越来越重视对移动设备等高新技术设备的保密管理和使用安全问题,也随着电子政务系统的推广,从1998年起到2008年,各省和相关单位都制定了本部门内的移动设备保密管理规定或相关办法。针对移动设备容易丢失、数据信息容易被非授权获取等问题,国内外相关设备厂商采用安全芯片、防盗报警、指纹识别、智能卡识别、数据加密等安全技术,相继推出了各类加密移动设备。
目前,国际上移动设备保密管理的主流是采用软件解决方案。比如CheckPoint软件技术有限公司的Check Point Media Encryption,GIF公司的EndPointSecurity,SmartLine公司的DeviceLock,以及Centennial公司的DeviceWall等产品。它们都是纯软件的移动设备安全防护解决方案,不依赖于特定的移动设备,可以防止任何移动设备如智能手机、个人数字助理、iPod音乐播放器等通过USB或其他外设端口接入受保护的系统以窃取数据。在介质级全盘加密的基础上,通过有效结合端口管理、内容过滤、集中审核和设备管理,对企业移动设备的使用进行全面的安全防护。
总的来说,跟全移动设备相关的安全保护方法,目前主要有两种类型:纯软件、纯硬件。使用纯软件的方法是将防杀病毒功能捆绑到移动设备中,在移动设备中内嵌防杀病毒,从而实现了移动设备的移动安全,其目的主要是利用优异的防杀病毒功能及多项实用创新技术随时随地保护移动设备的安全,同时又实现了安全存储,解决移动设备不安全的实际问题。例如赛门铁克、瑞星、金山等厂商推出的杀毒U盘。使用纯硬件方法的典型代表如中软可信移动设备管理系统(如硬件芯片加密技术)。
但是,上述纯软件和纯硬件方法都有各自的局限性。纯软件存在的局限性主要是:捆绑的防杀病毒软件存在更新不及时、导致对新型木马、新型病毒无法查杀等等。纯硬件存在的局限性主要是:由于指纹多样性的特点,通常指纹加密只能作为用户身份认证的手段,难以利用指纹作为密钥对移动设备中的数据信息进行加密,比较容易通过技术或非技术手段绕过指纹身份认证获得移动设备内部的数据。
发明内容
本发明的目的在于克服上述现有技术存在的问题,提供一种基于移动数据安全的信息保护系统,本发明有效运用了软硬件结合的安全保护方法,既有芯片级的数据加密,同时也使用防杀病毒软件对移动设备进行管理,本发明方法相对于纯软件和纯硬件方式在安全保护上有很大的提高;经过特定的硬件处理,还可以实现防病毒摆渡功能,原理上防止病毒自动传播,提高了移动设备的安全性、可管理性。
本发明的再一目的是提供一种基于移动数据安全的信息保护方法。
本发明目的通过下述技术方案实现:一种基于移动数据安全的信息保护系统,包括:
安装在移动设备的防病毒摆渡模块,用于判断对移动设备进行操作的软件是否是移动设备自带的操作文件,是则允许其对移动设备中的数据进行读/写操作,否则拒绝其对移动设备中的数据进行任何操作;
安装在移动设备的密码保护模块,用于对移动设备的各个分区设置密码以及允许密码出错的最高次数,当连续输入的密码达到所述最高次数时,采用随机回写技术来覆盖对应分区的数据;
安装在移动设备的反拆销毁模块,包括用于在外壳被拆开时接通纽扣电池与升压电路的感应开关、纽扣电池和升压电路,所述纽扣电池与感应开关、升压电路依次连接后,与移动设备中的存储芯片数据总线相连接;
接入内网的安全管理平台,用于对要接入内网的移动设备进行注册和双向认证,对被允许访问内网的移动设备进行注册,对已注册的移动设备进行双向认证,允许双向认证成功后的移动设备接入内网,拒绝没有注册和双向认证失败的移动设备接入内网;安装在移动设备的双向认证模块,用于将移动设备向内网的安全管理平台进行注册和与内网的安全管理平台进行双向认证,对已在内网注册的移动设备进行双向认证,双向认证成功后允许移动设备接入内网,没有在内网注册或者双向认证失败时拒绝移动设备接入内网。采用上述双向认证技术方案,可保证存储介质无法在其它单位的客户端或网络中使用,其它单位的存储介质也无法在本单位的主机或网络中使用。
本发明基于移动数据安全的信息保护系统,还可以包括:
设置在内网中并且存储有预先定义的告警事件的监控中心,用于对内网网络、内网外联以及接入内网的主机进行实时监控,以及读取服务器;
设置在内网中的服务器;
设置在内网主机上的客户端,当移动设备接入内网时,记录移动设备接入内网时的内网接入事件并发送给服务器,以及记录内网对移动设备的操作事件并发送给服务器;
设置在客户端的防火墙,用于限制所属客户端的主机只能访问内网;
设置在移动设备的审计数据专区,用于存储用户对移动设备的操作事件;
安装在移动设备的离线审计模块,在移动设备离开内网的状态下,将用户对移动设备的操作事件直接记录到审计数据专区,禁止客户端获取或查看审计数据专区中记录的操作事件,当移动设备接入内网时,将审计数据专区中记录的操作事件上传到服务器,由监控中心进行读取。
一种基于移动数据安全的信息保护方法,包括防病毒摆渡方法、密码保护方法、反拆销毁方法和双向认证方法,其中,
防病毒摆渡方法具体为:安装在移动设备的防病毒摆渡模块判断对移动设备进行操作的软件是否是移动设备自带的操作文件,是则允许其对移动设备中的数据进行读/写操作,否则拒绝其对移动设备中的数据进行任何操作;
密码保护方法为:安装在移动设备的密码保护模块对移动设备的各个分区设置密码以及允许密码出错的最高次数,当连续输入的密码达到所述最高次数时,采用随机回写技术来覆盖对应分区的数据;
反拆销毁方法为:当移动设备的外壳被拆开时,感应开关接通纽扣电池与升压电路,纽扣电池的电压经过升压后接入存储芯片数据总线,使存储芯片烧毁;
双向认证方法为:移动设备预先与所属内网的安全管理平台注册和双向认证;当移动设备要接入具体网络时,双向认证模块判断该移动设备是否已在该内网注册,如已注册则与该内网进行双向认证,双向认证成功后允许移动设备接入该内网,没有在内网注册或者双向认证失败时拒绝移动设备接入内网。
上述双向认证方法中,移动设备预先与所属内网的安全管理平台注册和双向认证的具体方法为:
安全管理平台获取移动设备的硬件信息,如设备序列号、型号和生产商等,检测该获取的硬件信息是否有效,如无效则拒绝注册,如有效则生成该移动设备对应的网络标识和随机产生的加密序号,记录后发送给该移动设备进行存储。所述网络标识是作为双向认证的私钥固化在移动设备中,而所述加密序号存储在移动设备的加密区,用于识别发送该加密序号的具体内网。
对应于上述注册的具体方法,双向认证方法所述的双向认证模块与要接入具体网络进行注册和双向认证,其方法具体为:
1.1安全管理平台读取该移动设备的硬件信息,如设备序列号、型号和生产商等,以检验该设备是否已注册登记;如果没有注册则拒绝该移动设备接入内网,如果已注册,则安全管理平台向其发送所记录的,并与所读取的移动设备的硬件信息关联的网络标识;
1.2移动设备接收到网络标识后,对比该网络标识与注册时所存储的网络标识是否相同,如果相同将向安全管理平台发送注册时所存储的加密序号,然后执行步骤1.3操作;否则,不发送加密序号,至此,双向认证失败,安全管理平台拒绝移动设备接入内网;
1.3安全管理平台对比所接收到的加密序号是否与设备注册登记时所记录的该移动设备的加密序号相同;如果相同,则双向认证成功,允许移动设备接入内网;否则,拒绝移动设备接入内网。
本发明基于移动数据安全的信息保护方法还包括防非法内、外联方法,具体为:
防火墙对所属主机进行实时检测,如发现该主机访问外网时进行阻断;
监控中心对接入内网的主机进行实时监控,若检测到主机未装客户端,则发出报警信息到该主机进行报警,并阻断该主机与内网其他主机之间的通信和禁止该主机外联;
监控中心监控内网的交换机端口,若发现外网主机通过交换机接入内网时,记录该外网主机所连接的交换机端口和该外网主机信息存储到服务器;
监控中心监控内网中的主机连接外网操作,如发现则阻断该连接,并对通过内、外网之间传输的文件或数据进行阻断和审计。
上述密码保护方法中,所述密码保护模块采用随机回写技术来覆盖对应分区的数据。优先为清除移动设备中的重要区域(如分区表、目录信息等);然后对整个移动设备进行随机回写,覆盖原来分区的重要数据,确保移动设备上的信息不恢复。
本发明基于移动数据安全的信息保护方法还包括安全审计方法,具体为:
当移动设备接入内网时,设置在移动设备所接入的内网主机上的客户端,记录移动设备接入内网时的内网接入事件并发送给服务器,以及记录用户在内网对移动设备的操作事件并发送给服务器;监控中心实时检测记录用户在内网对移动设备的操作事件,如发现该操作事件与监控中心预先设定的告警事件匹配时,发出报警信息到该主机进行报警,并将该报警信息存储到服务器中;
在移动设备离开内网的状态下,安装在移动设备的离线审计模块将用户对移动设备的操作事件直接记录到审计数据专区,禁止客户端获取或查看审计数据专区中记录的操作事件,当移动设备接入内网时,将审计数据专区中记录的操作事件上传到服务器,由监控中心进行读取,如发现该操作事件与监控中心预先设定的告警事件匹配时,发出报警信息到该移动设备所接内网主机进行报警,并将该报警信息存储到服务器中。
本发明相对于现有技术具有以下优点:
(1)本发明的系统采用软硬结合的方式进行研究与开发,既有芯片级的数据加密,同时也使用防杀病毒软件对移动设备进行管理。这种方式相对于纯硬件和纯软件两种方式在安全性上有很大的提高;经过特定的硬件处理,还可以实现防病毒摆渡功能,原理上防止病毒自动传播,提高了移动设备的安全性、可管理性。
(2)本发明的系统与其他公司的系统一样,都围绕移动设备的数据存储和信息交换的安全需求,针对移动数据全生命周期各个环节潜在的安全隐患,综合运用各种安全技术和手段,进行有效全程防护。但是本项目的产品在数据安全考虑更加周密,比其他厂商更是走在前头:在密钥管理方面,我们采用了密钥分离方法;在断网情况下,文件日志缓冲存储;建立了一个更安全的数据智能保护模型;整个项目水平处于国内领先,具有较强的市场竞争力,同类产品与技术相比较,提高了产品的安全性及数据加密解密效率。
(3)本发明引入智能销毁和安全审计功能进行技术创新,通过设置秘密保护和防拆自毁功能,确保移动数据资料不被非法手段获取,通过支持在线审计与离线审计策略,保证移动数据在任何时候都受到监管。
(4)本发明综合应用防病毒摆渡、移动设备与主机双项认证及灵活的加密技术为一体,建立移动数据安全容器。实现移动数据安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、走不脱;从源头上避免收到病毒感染和传播,并且有效地保护了移动设备在整个使用周期中的数据安全。
附图说明
图1为本发明防病毒摆渡的工作流程图;
图2为本发明移动设备与系统双向认证的工作流程图;
图3为本发明密码保护的工作流程图;
图4为本发明防非法内、外联的工作流程图;
图5为本发明安全审计的工作流程图。
具体实施方式
下面结合实施例及附图,对本发明作进一步详细说明,但本发明的实施方式不限于此。
实施例
一种基于移动数据安全的信息保护系统,包括:
安装在移动设备的防病毒摆渡模块,用于判断对移动设备进行操作的软件是否是移动设备自带的操作文件,是则允许其对移动设备中的数据进行读/写操作,否则拒绝其对移动设备中的数据进行任何操作。这样就保证即使主机中了病毒,病毒也无法感染U盘或直接将带毒文件、涉密信息文件自动写入U盘上,从而从源头上避免受到病毒感染和传播。
安装在移动设备的密码保护模块,用于对移动设备的各个分区设置密码以及允许密码出错的最高次数,当连续输入的密码达到所述最高次数时,采用随机回写技术来覆盖对应分区的数据;
安装在移动设备的反拆销毁模块,包括用于在外壳被拆开时接通纽扣电池与升压电路的感应开关、纽扣电池和升压电路,所述纽扣电池与感应开关、升压电路依次连接后,与移动设备中的存储芯片数据总线相连接;
接入内网的安全管理平台,用于对要接入内网的移动设备进行注册和双向认证,对被允许访问内网的移动设备进行注册,对已注册的移动设备进行双向认证,允许双向认证成功后的移动设备接入内网,拒绝没有注册和双向认证失败的移动设备接入内网;安装在移动设备的双向认证模块,用于将移动设备向内网的安全管理平台进行注册和与内网的安全管理平台进行双向认证,对已在内网注册的移动设备进行双向认证,双向认证成功后允许移动设备接入内网,没有在内网注册或者双向认证失败时拒绝移动设备接入内网。采用上述双向认证技术方案,可保证存储介质无法在其它单位的客户端或网络中使用,其它单位的存储介质也无法在本单位的主机或网络中使用。
本发明基于移动数据安全的信息保护系统,还可以包括:
设置在内网中并且存储有预先定义的告警事件的监控中心,用于对内网网络、内网外联以及接入内网的主机进行实时监控,以及读取服务器;
设置在内网中的服务器;
设置在内网主机上的客户端,当移动设备接入内网时,记录移动设备接入内网时的内网接入事件并发送给服务器,以及记录内网对移动设备的操作事件并发送给服务器;
设置在客户端的防火墙,用于限制所属客户端的主机只能访问内网;
设置在移动设备的审计数据专区,用于存储用户对移动设备的操作事件;
安装在移动设备的离线审计模块,在移动设备离开内网的状态下,将用户对移动设备的操作事件直接记录到审计数据专区,禁止客户端获取或查看审计数据专区中记录的操作事件,当移动设备接入内网时,将审计数据专区中记录的操作事件上传到服务器,由监控中心进行读取。
一种基于移动数据安全的信息保护方法,包括防病毒摆渡方法、密码保护方法、反拆销毁方法和双向认证方法,其中,
如图1所示,防病毒摆渡方法具体为:安装在移动设备的防病毒摆渡模块判断对移动设备进行操作的软件是否是移动设备自带的操作文件,是则允许其对移动设备中的数据进行读/写操作,否则拒绝其对移动设备中的数据进行任何操作;
如图3所示,密码保护方法为:安装在移动设备的密码保护模块对移动设备的各个分区设置密码以及允许密码出错的最高次数,当连续输入的密码达到所述最高次数时,采用随机回写技术来覆盖对应分区的数据;
反拆销毁方法为:当移动设备的外壳被拆开时,感应开关接通纽扣电池与升压电路,纽扣电池的电压经过升压(一般为16V)后接入存储芯片数据总线,使存储芯片烧毁。
由本发明通过采用上述密码保护方法和反拆销毁方法,使移动设备具备了信息智能销毁功能。
双向认证方法为:移动设备预先与所属内网的安全管理平台注册和双向认证;当移动设备要接入具体网络时,双向认证模块判断该移动设备是否已在该内网注册,如已注册则与该内网进行双向认证,双向认证成功后允许移动设备接入该内网,没有在内网注册或者双向认证失败时拒绝移动设备接入内网。
上述双向认证方法中,移动设备预先与所属内网的安全管理平台注册和双向认证的具体方法为:
安全管理平台获取移动设备的硬件信息,如设备序列号、型号和生产商等,检测该获取的硬件信息是否有效,如无效则拒绝注册,如有效则生成该移动设备对应的网络标识和随机产生的加密序号,记录后发送给该移动设备进行存储。所述网络标识是作为双向认证的私钥固化在移动设备中,而所述加密序号存储在移动设备的加密区,用于识别发送该加密序号的具体内网。
如图2所示,对应于上述注册的具体方法,双向认证方法所述的双向认证模块与要接入具体网络进行注册和双向认证,其方法具体为:
1.1安全管理平台读取该移动设备的硬件信息,如设备序列号、型号和生产商等,以检验该设备是否已注册登记;如果没有注册则拒绝该移动设备接入内网,如果已注册,则安全管理平台向其发送所记录的,并与所读取的移动设备的硬件信息关联的网络标识;
1.2移动设备接收到网络标识后,对比该网络标识与注册时所存储的网络标识是否相同,如果相同将向安全管理平台发送注册时所存储的加密序号,然后执行步骤1.3操作;否则,不发送加密序号,至此,双向认证失败,安全管理平台拒绝移动设备接入内网;
1.3安全管理平台对比所接收到的加密序号是否与设备注册登记时所记录的该移动设备的加密序号相同;如果相同,则双向认证成功,允许移动设备接入内网;否则,拒绝移动设备接入内网。
如图4所示,本发明基于移动数据安全的信息保护方法还包括防非法内、外联方法,具体为:
防火墙对所属主机进行实时检测,如发现该主机访问外网时进行阻断;
监控中心对接入内网的主机进行实时监控,若检测到主机未装客户端,则发出(通过消息、email等方式进行报警,至少包括记录)报警信息到该主机进行报警,并阻断该主机与内网其她主机之间的通信和禁止该主机外联;识别非法复制ip、mac地址的内网主机,和通过同一交换机端口上网的内网主机,并发出报警信息到该主机进行报警。
监控中心监控内网的交换机端口(如监控中心监控Modem拨号、GPRS无线拨号和CDMA无线拨号等方式进行连接),若发现外网主机通过交换机接入内网时,记录该外网主机所连接的交换机端口和该外网主机信息存储到服务器;
监控中心监控内网中的主机连接外网操作,如发现则阻断该连接,并对通过内、外网之间传输的文件或数据进行阻断和审计。
本发明基于移动数据安全的信息保护方法还包括安全审计方法,具体为:
当移动设备接入内网时,设置在移动设备所接入的内网主机上的客户端,记录移动设备接入内网时的内网接入事件(具体包括接入的时间、设备编号等)并发送给服务器,以及记录用户在内网对移动设备的操作事件,如用户在内网将内网数据导入/导出文件时,记录文件的概要信息(如设备编号、文件名、大小和时间等)或完整信息(导入导出的副本),然后发送给服务器;监控中心实时检测记录用户在内网对移动设备的操作事件,如发现该操作事件与监控中心预先设定的告警事件匹配时,发出报警信息到该主机进行报警,并将该报警信息存储到服务器中,
如图5所示,在移动设备离开内网的状态下,安装在移动设备的离线审计模块将用户对移动设备的操作事件直接记录到审计数据专区,禁止客户端获取或查看审计数据专区中记录的操作事件,具体包括时间、主机信息(主机名及IP地址)、用户信息、浏览的文件/文件夹、导入导出文件记录等。,当移动设备接入内网时,将审计数据专区中记录的操作事件上传到服务器,由监控中心进行读取,如发现该操作事件与监控中心预先设定的告警事件匹配时,发出报警信息到该移动设备所接内网主机进行报警,并将该报警信息存储到服务器中。
上述实施例为本发明典型的实施方式,但本发明的实施方式并不受所述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (5)
1.一种基于移动数据安全的信息保护系统,其特征在于,包括:
安装在移动设备的防病毒摆渡模块,用于判断对移动设备进行操作的软件是否是移动设备自带的操作文件,是则允许其对移动设备中的数据进行读/写操作,否则拒绝其对移动设备中的数据进行任何操作;
安装在移动设备的密码保护模块,用于对移动设备的各个分区设置密码以及允许密码出错的最高次数,当连续输入的密码达到所述最高次数时,采用随机回写技术来覆盖对应分区的数据;
安装在移动设备的反拆销毁模块,包括用于在外壳被拆开时接通纽扣电池与升压电路的感应开关、纽扣电池和升压电路,所述纽扣电池与感应开关、升压电路依次连接后,与移动设备中的存储芯片数据总线相连接;
接入内网的安全管理平台,用于对要接入内网的移动设备进行注册和双向认证,对被允许访问内网的移动设备进行注册,对已注册的移动设备进行双向认证,允许双向认证成功后的移动设备接入内网,拒绝没有注册和双向认证失败的移动设备接入内网;安装在移动设备的双向认证模块,用于将移动设备向内网的安全管理平台进行注册和与内网的安全管理平台进行双向认证,对已在内网注册的移动设备进行双向认证,双向认证成功后允许移动设备接入内网,没有在内网注册或者双向认证失败时拒绝移动设备接入内网;
设置在内网中并且存储有预先定义的告警事件的监控中心,用于对内网网络、内网外联以及接入内网的主机进行实时监控,以及读取服务器;
设置在内网中的服务器;
设置在内网主机上的客户端,当移动设备接入内网时,记录移动设备接入内网时的内网接入事件并发送给服务器,以及记录内网对移动设备的操作事件并发送给服务器;
设置在客户端的防火墙,用于限制所属客户端的主机只能访问内网;
设置在移动设备的审计数据专区,用于存储用户对移动设备的操作事件;
安装在移动设备的离线审计模块,在移动设备离开内网的状态下,将用户对移动设备的操作事件直接记录到审计数据专区,禁止客户端获取或查看审计数据专区中记录的操作事件,当移动设备接入内网时,将审计数据专区中记录的操作事件上传到服务器,由监控中心进行读取。
2.一种基于移动数据安全的信息保护方法,其特征在于:包括防病毒摆渡方法、密码保护方法、反拆销毁方法、双向认证方法、防非法内、外联方法和安全审计方法,其中,
防病毒摆渡方法具体为:安装在移动设备的防病毒摆渡模块判断对移动设备进行操作的软件是否是移动设备自带的操作文件,是则允许其对移动设备中的数据进行读/写操作,否则拒绝其对移动设备中的数据进行任何操作;
密码保护方法为:安装在移动设备的密码保护模块对移动设备的各个分区设置密码以及允许密码出错的最高次数,当连续输入的密码达到所述最高次数时,采用随机回写技术来覆盖对应分区的数据;
反拆销毁方法为:当移动设备的外壳被拆开时,感应开关接通纽扣电池与升压电路,纽扣电池的电压经过升压后接入存储芯片数据总线,使存储芯片烧毁;
双向认证方法为:移动设备预先与所属内网的安全管理平台注册和双向认证;当移动设备要接入具体网络时,双向认证模块判断该移动设备是否已在该内网注册,如已注册则与该内网进行双向认证,双向认证成功后允许移动设备接入该内网,没有在内网注册或者双向认证失败时拒绝移动设备接入内网;
防非法内、外联方法:防火墙对所属主机进行实时检测,如发现该主机访问外网时进行阻断;监控中心对接入内网的主机进行实时监控,若检测到主机未装客户端,则发出报警信息到该主机进行报警,并阻断该主机与内网其它主机之间的通信和禁止该主机外联;监控中心监控内网的交换机端口,若发现外网主机通过交换机接入内网时,记录该外网主机所连接的交换机端口和该外网主机信息存储到服务器;监控中心监控内网中的主机连接外网操作,如发现则阻断该连接,并对通过内、外网之间传输的文件或数据进行阻断和审计;
安全审计方法:当移动设备接入内网时,设置在移动设备所接入的内网主机上的客户端,记录移动设备接入内网时的内网接入事件并发送给服务器,以及记录用户在内网对移动设备的操作事件并发送给服务器;监控中心实时检测记录用户在内网对移动设备的操作事件,如发现该操作事件与监控中心预先设定的告警事件匹配时,发出报警信息到该主机进行报警,并将该报警信息存储到服务器中;在移动设备离开内网的状态下,安装在移动设备的离线审计模块将用户对移动设备的操作事件直接记录到审计数据专区,禁止客户端获取或查看审计数据专区中记录的操作事件,当移动设备接入内网时,将审计数据专区中记录的操作事件上传到服务器,由监控中心进行读取,如发现该操作事件与监控中心预先设定的告警事件匹配时,发出报警信息到该移动设备所接内网主机进行报警,并将该报警信息存储到服务器中。
3.根据权利要求2所述的一种基于移动数据安全的信息保护方法,其特征在于,所述双向认证方法中,移动设备预先与所属内网的安全管理平台注册和双向认证的具体方法为:
安全管理平台获取移动设备的硬件信息,检测该获取的硬件信息是否有效,如无效则拒绝注册,如有效则生成该移动设备对应的网络标识和随机产生的加密序号,记录后发送给该移动设备进行存储;所述网络标识是作为双向认证的私钥固化在移动设备中,而所述加密序号存储在移动设备的加密区,用于识别发送该加密序号的具体内网。
4.根据权利要求3所述的一种基于移动数据安全的信息保护方法,其特征在于:双向认证方法所述的双向认证模块与要接入具体网络进行注册和双向认证,其方法具体为:
1.1安全管理平台读取该移动设备的硬件信息,包括设备序列号、型号和生产商,以检验该设备是否已注册登记;如果没有注册则拒绝该移动设备接入内网,如果已注册,则安全管理平台向其发送所记录的,并与所读取的移动设备的硬件信息关联的网络标识;
1.2移动设备接收到网络标识后,对比该网络标识与注册时所存储的网络标识是否相同,如果相同将向安全管理平台发送注册时所存储的加密序号,然后执行步骤1.3操作;否则,不发送加密序号,至此,双向认证失败,安全管理平台拒绝移动设备接入内网;
1.3安全管理平台对比所接收到的加密序号是否与设备注册登记时所记录的该移动设备的加密序号相同;如果相同,则双向认证成功,允许移动设备接入内网;否则,拒绝移动设备接入内网。
5.根据权利要求2所述的一种基于移动数据安全的信息保护方法,其特征在于:上述密码保护方法中,所述密码保护模块采用随机回写技术来覆盖对应分区的数据:优先为清除移动设备中的重要区域,包括分区表、目录信息;然后对整个移动设备进行随机回写,覆盖原来分区的重要数据,确保移动设备上的信息不恢复。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102145574A CN101795261B (zh) | 2009-12-31 | 2009-12-31 | 基于移动数据安全的信息保护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102145574A CN101795261B (zh) | 2009-12-31 | 2009-12-31 | 基于移动数据安全的信息保护系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101795261A CN101795261A (zh) | 2010-08-04 |
| CN101795261B true CN101795261B (zh) | 2013-01-02 |
Family
ID=42587686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102145574A Expired - Fee Related CN101795261B (zh) | 2009-12-31 | 2009-12-31 | 基于移动数据安全的信息保护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101795261B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457373B (zh) * | 2010-10-19 | 2016-09-07 | 鸿富锦精密工业(深圳)有限公司 | 手持设备双向验证系统及方法 |
| CN102170424A (zh) * | 2010-12-13 | 2011-08-31 | 沈晖 | 基于三级安全体系架构的移动介质安全防护系统 |
| CN102236764B (zh) * | 2011-06-30 | 2013-10-30 | 北京邮电大学 | 用于Android系统的抵御桌面信息攻击的方法和监控系统 |
| CN102916943A (zh) * | 2012-09-20 | 2013-02-06 | 无锡华御信息技术有限公司 | 一种基于网络环境的移动存储设备的管理方法及系统 |
| CN104866787B (zh) * | 2014-02-25 | 2018-10-23 | 中国银联股份有限公司 | 基于数据接口识别的移动设备 |
| CN104270346B (zh) * | 2014-09-12 | 2017-10-13 | 北京天行网安信息技术有限责任公司 | 双向认证的方法、装置和系统 |
| CN104702603A (zh) * | 2015-03-04 | 2015-06-10 | 南京邮电大学 | 面向移动互联网的多视角安全审计系统 |
| CN104866788A (zh) * | 2015-05-18 | 2015-08-26 | 天津市津能双鹤热力设备有限公司 | 一种自动识别接入设备且具备通信功能的机架 |
| CN105825136B (zh) * | 2016-03-24 | 2020-04-03 | 珠海泰坦软件系统有限公司 | 一种软硬件结合实现电子文件安全传递的方法及装置 |
| CN106060040B (zh) * | 2016-05-30 | 2019-11-22 | 北京琵琶行科技有限公司 | 企业网络访问控制方法及装置 |
| CN106789969B (zh) * | 2016-12-06 | 2019-09-20 | 福建升腾资讯有限公司 | 一种使用虚拟现实设备实现保密数据输入的方法及系统 |
| CN106844254A (zh) * | 2016-12-29 | 2017-06-13 | 武汉烽火众智数字技术有限责任公司 | 移动存储介质切换装置、数据摆渡系统及方法 |
| CN107517217A (zh) * | 2017-09-13 | 2017-12-26 | 北京理工大学 | 一种基于指纹识别的多因子无线密钥填充系统 |
| CN108989306A (zh) * | 2018-07-12 | 2018-12-11 | 王振达 | 一种移动终端安全管控系统及实现方法 |
| CN109361646A (zh) * | 2018-08-23 | 2019-02-19 | 广东电网有限责任公司信息中心 | 一种移动互联应用中的网络安全监测与感知方法 |
| CN109922146A (zh) * | 2019-03-04 | 2019-06-21 | 怀化学院 | 基于无线通信的智慧教育数据采集系统 |
| CN110704878B (zh) * | 2019-09-26 | 2021-03-02 | 北京计算机技术及应用研究所 | 一种安全计算机防拆系统 |
| CN114520745B (zh) * | 2022-04-15 | 2022-08-09 | 北京全路通信信号研究设计院集团有限公司 | 控制读写权限实现数据安全摆渡方法、系统及电子设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1798436A (zh) * | 2004-12-28 | 2006-07-05 | 华为技术有限公司 | 一种保证移动通信系统数据业务安全的方法及系统 |
-
2009
- 2009-12-31 CN CN2009102145574A patent/CN101795261B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1798436A (zh) * | 2004-12-28 | 2006-07-05 | 华为技术有限公司 | 一种保证移动通信系统数据业务安全的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101795261A (zh) | 2010-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101795261B (zh) | 基于移动数据安全的信息保护系统及方法 | |
| CN103946806B (zh) | 用于提供存储器访问控制的装置、系统和方法 | |
| CN100446024C (zh) | 一种电子文件保护方法及系统 | |
| US20130067534A1 (en) | Computer motherboard having peripheral security functions | |
| US20020069363A1 (en) | System and method for data recovery and protection | |
| CN202694329U (zh) | 一种无线存储设备 | |
| EP3074907B1 (en) | Controlled storage device access | |
| CN104657671A (zh) | 移动存储设备的接入权限管理方法和系统 | |
| EP1580663A1 (en) | A method for realizing security data storage and algorithm storage by means of semiconductor memory device | |
| CN101635018A (zh) | 一种u盘数据安全摆渡方法 | |
| CN201311635Y (zh) | 加密型防病毒移动存储装置 | |
| CN107832589A (zh) | 软件版权保护方法及其系统 | |
| CN102799539A (zh) | 一种安全优盘及其数据主动防护方法 | |
| WO2005116795A1 (ja) | 情報処理装置、耐タンパ方法、耐タンパプログラム | |
| CN101000583A (zh) | 一种智能卡与u盘复合设备及其非法访问企图超过阀值时自销毁的方法 | |
| JP3976638B2 (ja) | 電子機器及びその不正使用防止方法並びにその不正使用防止プログラム | |
| CN101196967B (zh) | 一种u盘安全管理方法 | |
| CN103839305A (zh) | 一种门禁系统及门禁系统权限管理的方法 | |
| CN104361298A (zh) | 信息安全保密的方法和装置 | |
| JP2023159083A (ja) | コンピュータへの不正操作の防止 | |
| CN108287988B (zh) | 用于移动终端文件的安全管理系统及方法 | |
| KR100676086B1 (ko) | 보안 데이터 저장 장치 및 그 장치의 접근 제어 방법 | |
| CN114357398A (zh) | 终端访问权限的处理方法、装置及电子设备 | |
| CN206594672U (zh) | 高可靠加密杀毒优盘 | |
| CN105828323A (zh) | 一种Android手机公共数据库隐私保护方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130102 Termination date: 20151231 |
|
| EXPY | Termination of patent right or utility model |