CN102024110A - 安全隔离桌面的方法及系统 - Google Patents
安全隔离桌面的方法及系统 Download PDFInfo
- Publication number
- CN102024110A CN102024110A CN2010105869566A CN201010586956A CN102024110A CN 102024110 A CN102024110 A CN 102024110A CN 2010105869566 A CN2010105869566 A CN 2010105869566A CN 201010586956 A CN201010586956 A CN 201010586956A CN 102024110 A CN102024110 A CN 102024110A
- Authority
- CN
- China
- Prior art keywords
- desktop
- isolation
- described isolation
- computer terminal
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全隔离桌面的方法,包括:S1:对当前计算机终端进行安全性检测,若通过,则执行步骤S2,若不通过,则退出程序;S2:创建隔离桌面,从当前计算机终端真实桌面切换至隔离桌面;S3:挂钩隔离桌面的文件操作函数,监控隔离桌面的文件操作;S4:判断是否打开、新建或修改了隔离桌面中的文件,若是,则将打开、新建或修改的文件重新定向到预定区域,并加密储存,再执行步骤S5,若否,则执行步骤S5;S5:判断是否需要退出隔离桌面,若是,则执行步骤S6,若否,则执行步骤S4;S6:将隔离桌面在当前计算机终端中存储的文件删除,并切换回当前计算机终端真实桌面,实现了在分享资料的同时,保证操作界面与外界的完全隔离,并增加安全性。
Description
技术领域
本发明涉及计算机资源共享技术领域,特别涉及一种安全隔离桌面的方法及系统。
背景技术
随着互联网的发展和电子商务的普及,象出差员工、家庭办公等多种类型的远程访问企业内部资源和应用的需要变得十分的迫切。要既可以实现远程员工、合作伙伴乃至客户对企业内部网络资源的安全访问,而又不会为企业网络带来新的安全风险,那么客户端的安全问题变得至关重要。如果客户端能访问企业内网并能从内网下载资源,不对这些资源进行隔离限制的话,很可能导致内网资源的外泄。
传统的安全桌面的安全措施对客户端的限制不够充分,安全桌面所作的保护只能保证在退出时不留下内网资源的痕迹,但并不能够保证客户端与外界的隔离性,这样在客户端上就可以进行一些与外界的通信,导致内网资源传递的不可控,同样存在内网资源外泄的可能。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是如何在分享资料的同时,保证操作界面与外界的完全隔离,增加安全性。
(二)技术方案
为解决上述技术问题,本发明提供了一种安全隔离桌面的方法,包括以下步骤:
S1:对当前计算机终端进行安全性检测,若通过,则执行步骤S2,若不通过,则终止安全隔离桌面方法;
S2:创建隔离桌面,从当前计算机终端真实桌面切换至所述隔离桌面;
S3:挂钩所述隔离桌面的文件操作函数,监控所述隔离桌面的文件操作;
S4:判断是否新建或修改了隔离桌面中的文件,若是,则将打开、新建或修改的文件重新定向到当前计算机终端上的指定位置,并加密储存,再执行步骤S5,若否,则执行步骤S5;
S5:判断是否需要退出隔离桌面,若是,则执行步骤S6,若否,则执行步骤S4;
S6:将隔离桌面在当前计算机终端中存储的文件删除,并切换回当前计算机终端真实桌面。
其中,步骤S3中包括步骤:
S11:挂钩所述隔离桌面的网络连接函数,监控所述隔离桌面的网络连接,若所述隔离桌面请求网络连接,则拒绝。
其中,步骤S3中包括步骤:
S12:挂钩所述隔离桌面的设备操作函数,监控所述隔离桌面的设备操作,若所述隔离桌面请求设备操作,则拒绝。
其中,步骤S3中包括步骤:
S13:挂钩所述隔离桌面的进程通信函数,监控所述隔离桌面的进程间通信,若所述隔离桌面请求与当前计算机终端真实桌面通信,则拒绝。
本发明提供了一种安全隔离桌面的系统,包括:
所述安全检测模块,用于对当前计算机终端进行安全性检测,若通过则执行所述桌面切换模块,若不通过则退出安全隔离桌面系统;
所述桌面切换模块,用于创建隔离桌面,从当前计算机终端真实桌面切换至所述隔离桌面;
所述挂钩监控模块,用于挂钩所述隔离桌面的文件操作函数,监控所述隔离桌面的文件操作;
所述加密存储模块,用于判断是否打开、新建或修改了隔离桌面中的文件,若是,则将打开、新建或修改的文件重新定向到当前计算机终端上的指定位置,并加密储存,再执行所述退出判断模块,若否,则执行所述退出判断模块;
所述退出判断模块,用于判断是否需要退出隔离桌面,若是,则执行所述文件删除模块,若否,则执行所述加密存储模块;
所述文件删除模块,用于将隔离桌面在当前计算机终端中存储的文件删除,并切换回当前计算机终端真实桌面。
其中,所述挂钩监控模块中包括:
连接监控子模块,用于挂钩所述隔离桌面的网络连接函数,监控所述隔离桌面的网络连接,若所述隔离桌面请求网络连接,则拒绝。
其中,所述挂钩监控模块中包括:
设备监控子模块,用于挂钩所述隔离桌面的设备操作函数,监控所述隔离桌面的设备操作,若所述隔离桌面请求设备操作,则拒绝。
其中,所述挂钩监控模块中包括:
进程监控子模块,用于挂钩所述隔离桌面的进程通信函数,监控所述隔离桌面的进程间通信,若所述隔离桌面请求与当前计算机终端真实桌面通信,则拒绝。
(三)有益效果
本发明通过对文件操作函数的监控,实现了在分享资料的同时,保证操作界面与外界的完全隔离,并增加安全性。
附图说明
图1是按照本发明一种实施方式的安全隔离桌面的方法的流程图;
图2是按照本发明一种实施方式的安全隔离桌面的系统的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本发明提出了一种利用在计算机终端上隔离系统桌面的方法来保证资源共享的安全,通过将计算机终端限制于一个逻辑隔离的虚拟空间,与真实桌面完全独立开,保证共享的资源只存在于隔离的虚拟空间中,并不能从隔离桌面通过设备、网络或进程间通信的方法泄露出去,防止机密数据的外泄,同时又不影响正常工作需要。
图1是按照本发明一种实施方式的安全隔离桌面的方法的流程图,包括以下步骤:
S101:对当前计算机终端进行安全性检测,若通过则执行步骤S103,若不通过则执行步骤S102,所述安全性检测包括检查当前计算机终端是否存在恶意程序,如键盘记录器;
S102:终止安全隔离桌面方法;
S103:创建隔离桌面,从当前计算机终端真实桌面切换至所述隔离桌面,所述隔离桌面通过调用系统创建桌面的函数生成,与当前计算机终端真实桌面界面完全相同;
S104:挂钩所述隔离桌面的文件操作函数,监控所述隔离桌面的文件操作,S104中还包括步骤:
S1041:挂钩所述隔离桌面的网络连接函数,监控所述隔离桌面的网络连接,若所述隔离桌面请求网络连接,则拒绝,所述请求网络连接为:除需访问的企业服务器外的所有网络连接请求,例如,访问因特网、网络硬盘、局域网通信(局域网内,两台计算机终端的数据交互)等;
S1042:挂钩所述隔离桌面的设备操作函数,监控所述隔离桌面的设备操作,若所述隔离桌面请求设备操作,则拒绝,所述请求设备操作包括:使用打印机、串行端口、存储设备、刻录机等;
S1043:挂钩所述隔离桌面的进程通信函数,监控所述隔离桌面的进程间通信,若所述隔离桌面请求与当前计算机终端真实桌面通信,则拒绝,所述进程间通信包括:隔离桌面和当前计算机终端桌面的进程使用套接字(socket)、命名管道、邮槽、剪切板、共享内存等;
S105:判断是否打开、新建或修改了隔离桌面中的文件,若是,则执行步骤S106,若否,则执行步骤S107;
S106:将打开(打开文件所生成的缓存文件)、新建或修改的文件重新定向到当前计算机终端上的指定位置,并加密储存,再执行步骤S107,所述加密采用加密隧道,防止数据被窃听;
S107:判断是否需要退出隔离桌面,若是,则执行步骤S108,若否,则执行步骤S105;
S108:将隔离桌面在当前计算机终端中存储的文件删除(删除用户在隔离桌面中留下的全部痕迹,使得在终端上不留下资源的任何痕迹),并切换回当前计算机终端真实桌面。
本发明还公开了一种安全隔离桌面的系统,如图2所示,包括:依次连接的安全检测模块、桌面切换模块、挂钩监控模块、加密存储模块、退出判断模块、文件删除模块,所述退出判断模块和所述加密存储模块连接,
所述安全检测模块,用于对当前计算机终端进行安全性检测,若通过则执行桌面切换模块,若不通过则退出安全隔离桌面系统;
所述桌面切换模块,用于创建隔离桌面,从当前计算机终端真实桌面切换至所述隔离桌面;
所述挂钩监控模块,用于挂钩所述隔离桌面的文件操作函数,监控所述隔离桌面的文件操作;
所述加密存储模块,用于判断是否打开、新建或修改了隔离桌面中的文件,若是,则将打开、新建或修改的文件重新定向到当前计算机终端上的指定位置,并加密储存,再执行所述退出判断模块,若否,则执行所述退出判断模块;
所述退出判断模块,用于判断是否需要退出隔离桌面,若是,则执行所述文件删除模块,若否,则执行所述加密存储模块;
所述文件删除模块,用于将隔离桌面在当前计算机终端中存储的文件删除,并切换回当前计算机终端真实桌面。
所述挂钩监控模块中包括:
连接监控子模块,用于挂钩所述隔离桌面的网络连接函数,监控所述隔离桌面的网络连接,若所述隔离桌面请求网络连接,则拒绝。
设备监控子模块,用于挂钩所述隔离桌面的设备操作函数,监控所述隔离桌面的设备操作,若所述隔离桌面请求设备操作,则拒绝。
进程监控子模块,用于挂钩所述隔离桌面的进程通信函数,监控所述隔离桌面的进程间通信,若所述隔离桌面请求与当前计算机终端真实桌面通信,则拒绝。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (8)
1.一种安全隔离桌面的方法,其特征在于,包括以下步骤:
S1:对当前计算机终端进行安全性检测,若通过,则执行步骤S2,若不通过,则终止安全隔离桌面方法;
S2:创建隔离桌面,从当前计算机终端真实桌面切换至所述隔离桌面;
S3:挂钩所述隔离桌面的文件操作函数,监控所述隔离桌面的文件操作;
S4:判断是否打开、新建或修改了隔离桌面中的文件,若是,则将打开、新建或修改的文件重新定向到当前计算机终端上的指定位置,并加密储存,再执行步骤S5,若否,则执行步骤S5;
S5:判断是否需要退出隔离桌面,若是,则执行步骤S6,若否,则执行步骤S4;
S6:将隔离桌面在当前计算机终端中存储的文件删除,并切换回当前计算机终端真实桌面。
2.如权利要求1所述的安全隔离桌面的方法,其特征在于,步骤S3中包括步骤:
S11:挂钩所述隔离桌面的网络连接函数,监控所述隔离桌面的网络连接,若所述隔离桌面请求网络连接,则拒绝。
3.如权利要求1所述的安全隔离桌面的方法,其特征在于,步骤S3中包括步骤:
S12:挂钩所述隔离桌面的设备操作函数,监控所述隔离桌面的设备操作,若所述隔离桌面请求设备操作,则拒绝。
4.如权利要求1所述的安全隔离桌面的方法,其特征在于,步骤S3中包括步骤:
S13:挂钩所述隔离桌面的进程通信函数,监控所述隔离桌面的进程间通信,若所述隔离桌面请求与当前计算机终端真实桌面通信,则拒绝。
5.一种安全隔离桌面的系统,其特征在于,包括:
安全检测模块,用于对当前计算机终端进行安全性检测,若通过则执行所述桌面切换模块,若不通过则退出安全隔离桌面系统;
桌面切换模块,用于创建隔离桌面,从当前计算机终端真实桌面切换至所述隔离桌面;
挂钩监控模块,用于挂钩所述隔离桌面的文件操作函数,监控所述隔离桌面的文件操作;
加密存储模块,用于判断是否打开、新建或修改了隔离桌面中的文件,若是,则将打开、新建或修改的文件重新定向到当前计算机终端上的指定位置,并加密储存,再执行退出判断模块,若否,则执行退出判断模块;
退出判断模块,用于判断是否需要退出隔离桌面,若是,则执行文件删除模块,若否,则执行加密存储模块;
文件删除模块,用于将隔离桌面在当前计算机终端中存储的文件删除,并切换回当前计算机终端真实桌面。
6.如权利要求5所述的安全隔离桌面的系统,其特征在于,所述挂钩监控模块中包括:
连接监控子模块,用于挂钩所述隔离桌面的网络连接函数,监控所述隔离桌面的网络连接,若所述隔离桌面请求网络连接,则拒绝。
7.如权利要求5所述的安全隔离桌面的系统,其特征在于,所述挂钩监控模块中包括:
设备监控子模块,用于挂钩所述隔离桌面的设备操作函数,监控所述隔离桌面的设备操作,若所述隔离桌面请求设备操作,则拒绝。
8.如权利要求5所述的安全隔离桌面的系统,其特征在于,所述挂钩监控模块中包括:
进程监控子模块,用于挂钩所述隔离桌面的进程通信函数,监控所述隔离桌面的进程间通信,若所述隔离桌面请求与当前计算机终端真实桌面通信,则拒绝。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105869566A CN102024110A (zh) | 2010-12-14 | 2010-12-14 | 安全隔离桌面的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105869566A CN102024110A (zh) | 2010-12-14 | 2010-12-14 | 安全隔离桌面的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102024110A true CN102024110A (zh) | 2011-04-20 |
Family
ID=43865396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105869566A Pending CN102024110A (zh) | 2010-12-14 | 2010-12-14 | 安全隔离桌面的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102024110A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685136A (zh) * | 2012-05-18 | 2012-09-19 | 深信服网络科技(深圳)有限公司 | 一种多网络环境隔离方法及终端 |
| CN103106677A (zh) * | 2011-11-14 | 2013-05-15 | 北大方正集团有限公司 | 一种大样结果输出文件的处理方法及系统 |
| CN103428190A (zh) * | 2012-05-25 | 2013-12-04 | 阿里巴巴集团控股有限公司 | 一种远程桌面控制识别的方法和装置 |
| CN103428190B (zh) * | 2012-05-25 | 2016-11-30 | 阿里巴巴集团控股有限公司 | 一种远程桌面控制识别的方法和装置 |
| CN112269986A (zh) * | 2020-10-29 | 2021-01-26 | 深信服科技股份有限公司 | 进程管理方法、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1390326A (zh) * | 1999-12-15 | 2003-01-08 | 微软公司 | 在共享计算环境中提供多个并行的桌面和工作区的方法和装置 |
| CN101072102A (zh) * | 2007-03-23 | 2007-11-14 | 南京联创网络科技有限公司 | 网络环境下基于安全桌面的信息防泄漏技术 |
| CN101178761A (zh) * | 2007-12-05 | 2008-05-14 | 珠海金山软件股份有限公司 | 一种防止病毒动态攻击程序的装置和方法 |
| CN101398823A (zh) * | 2007-09-26 | 2009-04-01 | 新奥特硅谷视频技术有限责任公司 | 利用虚拟文件系统技术实现远程存储的方法及系统 |
| CN101453327A (zh) * | 2007-11-29 | 2009-06-10 | 北京鼎信高科信息技术有限公司 | 一种信息防泄密系统 |
-
2010
- 2010-12-14 CN CN2010105869566A patent/CN102024110A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1390326A (zh) * | 1999-12-15 | 2003-01-08 | 微软公司 | 在共享计算环境中提供多个并行的桌面和工作区的方法和装置 |
| CN101072102A (zh) * | 2007-03-23 | 2007-11-14 | 南京联创网络科技有限公司 | 网络环境下基于安全桌面的信息防泄漏技术 |
| CN101398823A (zh) * | 2007-09-26 | 2009-04-01 | 新奥特硅谷视频技术有限责任公司 | 利用虚拟文件系统技术实现远程存储的方法及系统 |
| CN101453327A (zh) * | 2007-11-29 | 2009-06-10 | 北京鼎信高科信息技术有限公司 | 一种信息防泄密系统 |
| CN101178761A (zh) * | 2007-12-05 | 2008-05-14 | 珠海金山软件股份有限公司 | 一种防止病毒动态攻击程序的装置和方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103106677A (zh) * | 2011-11-14 | 2013-05-15 | 北大方正集团有限公司 | 一种大样结果输出文件的处理方法及系统 |
| CN102685136A (zh) * | 2012-05-18 | 2012-09-19 | 深信服网络科技(深圳)有限公司 | 一种多网络环境隔离方法及终端 |
| CN103428190A (zh) * | 2012-05-25 | 2013-12-04 | 阿里巴巴集团控股有限公司 | 一种远程桌面控制识别的方法和装置 |
| CN103428190B (zh) * | 2012-05-25 | 2016-11-30 | 阿里巴巴集团控股有限公司 | 一种远程桌面控制识别的方法和装置 |
| CN112269986A (zh) * | 2020-10-29 | 2021-01-26 | 深信服科技股份有限公司 | 进程管理方法、装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200412733A1 (en) | System for processing data collected by iot devices | |
| US6584508B1 (en) | Advanced data guard having independently wrapped components | |
| US6684329B1 (en) | System and method for increasing the resiliency of firewall systems | |
| Tan et al. | The issues of cloud computing security in high-speed railway | |
| US9800560B1 (en) | Systems and methods for monitoring encrypted data transmission | |
| Sklyar et al. | ENISA documents in cybersecurity assurance for industry 4.0: IIoT threats and attacks scenarios | |
| US11374964B1 (en) | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints | |
| US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
| US11303673B1 (en) | System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network | |
| Kelbert et al. | Data usage control for distributed systems | |
| CN103268456A (zh) | 一种文件安全控制方法及装置 | |
| CN101764753A (zh) | 一种实现交换机端口mac地址防迁移的方法及装置 | |
| WO2006073883A2 (en) | System and method for preventing unauthorized access to computer devices | |
| US9607176B2 (en) | Secure copy and paste of mobile app data | |
| CN102024110A (zh) | 安全隔离桌面的方法及系统 | |
| Balinsky et al. | System call interception framework for data leak prevention | |
| CN102855432A (zh) | 一种文件、文件夹解锁和删除方法及系统 | |
| CN101739422B (zh) | 基于数据库协议代理的前置式数据库访问控制方法和系统 | |
| CN112583586A (zh) | 一种网络安全信息处理系统 | |
| US11122079B1 (en) | Obfuscation for high-performance computing systems | |
| Vidhani et al. | Security Challenges in 5G Network: A technical features survey and analysis | |
| CN111625843A (zh) | 一种适用于大数据平台的数据透明加解密系统 | |
| Ke et al. | Towards evolving security requirements of industrial internet: a layered security architecture solution based on data transfer techniques | |
| CN109873784A (zh) | 面向大数据的混合云安全存储管理系统 | |
| CN114710360A (zh) | 基于审计的从内到外数据安全传输方法、系统及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110420 |