CN102789563A - 网站后台程序信息安全保护系统及其保护方法 - Google Patents

Abstract

本发明提供一种网站后台程序信息安全保护系统及其保护方法，适用于加密保护网站后台程序内容以防止外人窥知。本发明的网站后台程序信息安全保护系统包括网站后台程序、数据存储中心、安全管理中心、设置于网站后台程序中的加密认证单元、使用时与网站后台程序连接的安全身份验证工具。本发明提出的网站后台程序信息安全保护系统及方法，既能方便程序员、网站前台正常编译、使用网站后台程序文件，又能防止外围违法偷窥、窃取程序文件内容的功能。

Description

网站后台程序信息安全保护系统及其保护方法

技术领域

本发明属于信息安全技术领域，涉及一种网站后台程序信息安全保护系统及其保护方法。

背景技术

随着信息技术以及网络的普及，越来越多的企事业单位开始采用宣传网站的形式来进行企业的宣传，更随着电子商务交易模式的崛起，越来越多的B2C、C2C等形式的网站开始普及，其回报的效益是相当客观的。但同时，越来越多的非法人员看到其利益所在，开始实行各种攻击、潜入、种植木马病毒等方式窃取网站程序以及网站所存储的数据信息，给各个网站的使用者造成了或多或少的影响，例如主页被黑事件、员工跳槽带走开发程序、数据库信息等。

面对此类风险，企事业单位可以在内网内通过技术或制度手段来管理机器，如封闭USB端口、使用行为设备监控等。但由于网站后台程序是网站展示的重要组成部分，必须在联网状态下才能发挥其作用，故内部的管理防御手段存在着不小的局限性。

如果采用全部后台程序文件进行加密的管理方法，能够防御的只是在公司内部，现有加密手段无法保证在未解密的同时让网站前台正常显示其内容，如果在解密后展示，又存在了其丢失的可能性。

如果手动给前台展示页面进行解密展示，其操作不仅繁杂影响到了工作效率，并会有可能造成解密错误等一系列不可预料的错误。

发明内容

本发明的目的在于提供一种网站后台程序信息安全保护系统，能方便程序员在内部进行网站程序的编辑，同时也能保证前台输出明文，并保证此过程为后台自动进行，不改变管理、使用者的正常习惯。

同时本发明还提供了一种网站后台程序信息安全保护方法，既能方便员工在联网或脱离网络状态下正常工作，同时在一定的条件下又能够正常的使用电脑处理私人事务或者享受休闲娱乐功能。

本发明的技术方案如下：

本发明提供一种网站后台程序信息安全保护系统，所述系统包括网站后台程序、数据存储中心、安全管理中心、设置于所述网站后台程序中的防窥探加密认证单元、使用时与所述网站后台程序连接的安全身份验证工具；

1）数据存储中心

所述数据存储中心用以存储所述网站后台程序中的各项数据信息，包括：

1-1）用户身份信息保存模块，用以保存通过安全管理中心、安全身份验证工具获取到的各个用户的身份信息，进行客户端的用户身份判定，实现客户端与数据存储中心的对应；

1-2）安全策略信息保存模块，用以保存通过安全管理中心获取到的系统的安全策略信息，以保证安全身份验证工具以及客户端的安全策略匹配；

1-3）网站后台程序信息保存模块，用以保存所述网站后台程序与安全管理中心、安全身份验证工具连接的数据信息，以实现安全管理中心、安全身份验证工具、客户端与所述网站后台程序的相互连接；

2）安全管理中心

所述安全管理中心用以设定各用户的安全身份验证工具的使用权限，并将使用权限写入相对应的安全身份验证工具中，包括：

2-1）用户管理模块，用以针对用户或用户组进行不同的安全信息设置，通过集中式管理供系统管理员制定实时、差异化的安全信息和安全策略；

2-2）用户身份识别模块，用以通过在线搜集用户信息，校验用户身份并将策略信息发送到制定的用户客户端和数据存储中心；

2-3）安全身份验证工具管理模块，针对用户设置安全身份验证工具的使用权限，使用权限包括使用时间、次数、自动区别转化加解密区域、加解密、设定身份策略，并可将设置导出为结果文件；

2-4）日志查询模块，查询管理员的系统设置和用户管理操作、管理员授权操作，以及策略信息下发操作；

2-5）管理中心系统模块，供根管理员进行对安全管理中心本身的系统设定、撤销或授权给相对应用户管理员信息、是否接纳客户端访问连接、是否接纳所述网站后台程序连接、是否允许其他管理员管理数据存储中心的操作；

3）安全身份验证工具

所述安全身份验证工具包含用户身份信息、使用权限信息、安全保护信息、自动条件匹配转换信息；

3-1）用户身份信息，通过口令、密码、指纹、声音、视网膜的方式来保证系统和用户之间的相互认证；

3-2）使用权限信息，用户使用系统的权限，判断能否解密、能否使用自动条件匹配转换工具；

3-3）安全保护信息，以设定文件进行加密方式为何种形式；

3-4）自动条件匹配转换信息，判断是否具备使用自动条件匹配转换功能的权限；

4）防窥探加密认证单元

所述防窥探加密认证单元包括：

4-1）文件加密模块，用于强制执行文件加密操作，针对设定文件进行加密保护；

4-2）文件解密模块，用于通过后台自动将文件解密到内存，不影响文件在磁盘上的加密状态；

4-3）内部认证模块，用于向安全管理中心或安全身份验证工具发送请求并获取命令，允许具有使用权限的用户使用加密文件；若无使用权限，则无法使用加密文件，但可以使用非加密的文件；

4-4）自动判定划分模块，用于向内部认证模块提出请求，由安全管理中心下发划分权限后，后台自动划分加解密文件区域。

4-5）前台明文输出模块，用于将需要前台页面展示的文件解密成明文供网站使用，自动生成网站所需的明文文件。

其进一步的技术方案为：

所述网站后台程序连接所述数据存储中心时，数据存储中心请求由安全管理中心与网站后台程序连接，从而进行系统信息的存储处理；

所述网站后台程序未与所述数据存储中心连接时，将判断是否有有效的安全身份验证工具连接；若有，则通过安全身份验证工具验证其访问权限，通过验证则连接网站后台程序；如果无法通过验证或者没有安全身份验证工具，则无法使用加密文件以及数据存储的访问权限。

其进一步的技术方案为：

所述网站后台程序连接所述安全管理中心时，通过安全管理中心判断数据存储中心是否已经与网站后台程序连接；若有，则进行数据存储中心系统数据与所述系统现有数据进行对比，如果所述系统的系统数据比之数据存储中心的新，则更新信息到数据存储中心，如果所述系统数据和数据存储中心相同，则不更新；若系统存储中心并未与网站后台程序连接则让安全管理中心设定数据存储中心的身份信息，让其通过安全身份验证工具的身份验证从而连接网站后台程序；

所述网站后台程序未与所述安全管理中心连接时，则无法使用加密文件以及数据存储的访问权限。

本发明还提供一种网站后台程序信息安全保护方法，包括如下步骤：

a.数据存储步骤：根据安全管理中心以及安全身份验证工具所设置的各项保存信息采取强制保存策略；

b.文件自动判定划分步骤：防窥探加密认证单元的自动判定划分模块根据安全管理中心或安全身份验证工具所设置的各项判定信息，把文件分划开交给文件加密模块、文件解密模块或者前台明文输出模块；

c.文件加解密步骤：文件加密模块强制执行文件加密操作，针对设定文件进行加密保护；文件解密模块通过后台自动将文件解密到内存，不影响文件在磁盘上的加密状态；前台明文输出模块通过从自动判定划分出的相对应的需前台显示的文件进行解密明文状态，并保存在固定的区域，为网站前台展示用途；

d.权限设定步骤：安全管理中心设定各用户安全身份验证工具的使用权限，并将使用权限写入相应的安全身份验证工具并同步存储到数据存储中心；当网站后台程序连接安全管理中心时，通过安全管理中心集中控制系统的防窥探加密认证单元；当网站后台程序未与安全管理中心连接时，判断是否有有效的安全身份验证工具连接；若有，则通过安全身份验证工具控制防窥探加密认证单元，允许其对应用户使用加解密文件；若无，则无法控制防窥探加密认证单元，无法正常使用加密文件，但可使用非加密文件。

其进一步的技术方案为：当所述网站后台程序工作状态为内部编译阶段时，连接安全管理中心，只能执行强制加密操作，用户在编译处理加密文件，必须经过强制加密处理；所述安全管理中心设置在服务器中；其步骤如下：

a.所述网站后台程序通过合法的方式接入到设定的网络，确保能够正常与服务器连通；

b.所述防窥探加密认证单元向安全管理中心或安全身份验证工具发送验证信息；

c.如果编译使用网站后台程序的用户能够通过验证，此时能够正常的编译使用网内的各项加密文件，如果不能通过，则不能编译使用该网内的加密文件；

d.每位用户进行的各项操作，在保存文件时文件会同时留下用户在设定网络内操作文件的日志。

其进一步的技术方案为：所述数据存储中心设定划分为如下几个部分：

A、身份验证信息存储区域，用于保存用户各项身份信息，并设置常规使用区域给予系统用户正常使用，设置隐藏备份区域，用于系统管理员查看系统之前的用户备份信息；

B、系统设置数据存储区域，用于保存网站后台程序信息安全保护系统的各项系统设置数据信息，设置常规使用区域、隐藏备份信息和多版本状态信息区域，

其进一步的技术方案为：管理员登录安全管理中心的控制中心对需要进行授权的用户进行授权，其具体步骤如下：

a.管理员登录安全管理中心，系统验证管理员身份的正确性和其授权的操作权限范围；

b.管理员选取需要授权的用户，设定其使用时间、次数和操作权限；

c.系统判定其用户是否正在使用安全身份验证工具，如果安全身份验证工具尚未过期则将设置信息导出为结果文件；如果安全身份验证工具过期或者用户未使用安全身份验证工具，则提示管理员接入安全身份验证工具并将设置信息写入到身份验证工具中；

d.管理员将结果文件或者安全身份验证工具发送给网站后台程序的编译使用者并留下授权的详细记录日志。

其进一步的技术方案为：当用户携带编译网站后台程序的设备外出编译使用时，系统判断其预期操作目标并下发相应的权限，其具体操作如下：

a.用户携带的外出编译设备正常打开加密软件客户端程序；

b.客户端判断编译设备上是否有正常使用的安全身份验证工具，如有则读取响应的信息；若无则不允许用户使用编译加密文件，并保证其操作的文件不被加密保护；

c.客户端根据读取的安全身份验证工具信息进行判断，如其周期的权限在允许的范围内，则运行用户正常读取和操作加密文件；若不在其范围内，则提示用户向管理员更新授权并无法编译使用加密文件的模式；

d.当用户进入加密文件编译使用模式时，系统将自动记录其操作保存为特殊隐藏日志文件，待后期与安全管理中心相连接时，自动将日志文件更新至安全管理中心和数据存储中心。

本发明的有益技术效果是：

本发明能够方便程序员在内部进行网站程序的编辑，同时也能保证前台输出明文，并保证此过程为后台自动进行，不改变管理、使用者的正常习惯。既能方便员工在联网或脱离网络状态下正常工作，同时在一定的条件下又能够正常的使用电脑处理私人事务或者享受休闲娱乐功能。

附图说明

图1是本发明网站后台程序信息安全保护系统的方框图。

图2是数据存储中心的方框图。

图3是安全管理中心的方框图。

图4是安全身份验证工具的方框图。

图5是防窥探加密认证单元的方框图。

图6是安全管理中心控制内置身份验证工具操作客户端的工作流程图。

图7是脱离安全管理中心控制的内置身份验证工具，使用外置安全身份验证工具操作客户端的工作流程图。

具体实施方式

下面结合附图对本发明的具体实施方式做进一步说明。

如图1所示，本发明提供一种网站后台程序信息安全保护系统，包括网站后台程序0、数据存储中心1、安全管理中心2、设置于网站后台程序0中的防窥探加密认证单元4，以及使用时与网站后台程序0连接的安全身份验证工具3。

如图2所示，数据存储中心1用以存储网站后台程序0中的各项数据信息。数据存储中心1包括：

用户身份信息保存模块11，用以保存通过安全管理中心、安全身份验证工具获取到的各个用户的身份信息，从而进行客户端的用户身份判定，实现客户端与数据存储中心的一一对应。

安全策略信息保存模块12，用以保存通过安全管理中心获取到的系统的安全策略信息，以保证安全身份验证工具以及客户端的安全策略匹配。

网站后台程序信息保存模块13，用以保存网站后台程序与安全管理中心、安全身份验证工具连接的数据信息，以实现安全管理中心、安全身份验证工具、客户端与网站后台程序的相互连接。

如图3所示，安全管理中心2用以设定各用户的安全身份验证工具的使用权限，并将使用权限写入相对应的安全身份验证工具中。安全管理中心2包括：

用户管理模块21，用以针对用户或用户组进行不同的安全信息设置，通过集中式管理方便系统管理员制定实时、差异化的安全信息和安全策略。

用户身份识别模块22，用以通过在线搜集用户信息，用于校验用户身份并将策略信息发送到制定的用户客户端和数据存储中心。

安全身份验证工具管理模块23，针对用户设置安全身份验证工具的使用权限，使用权限包括使用时间、次数、自动区别转化加解密区域、加解密、设定身份策略，并可将设置导出为结果文件。

日志查询模块24，查询管理员的系统设置和用户管理操作、管理员授权操作，以及策略信息下发操作。

管理中心系统模块25，供根管理员进行对安全管理中心本身的系统设定、撤销或授权给相对应用户管理员信息、是否接纳客户端访问连接、是否接纳网站后台程序连接、是否允许其他管理员管理数据存储中心等操作。

如图4所示，安全身份验证工具3包含用户身份信息、使用权限信息、安全保护信息、自动条件匹配转换信息。

用户身份信息31，通过口令、密码等以及指纹、声音、视网膜等生物认证的方式来保证系统和用户之间的相互认证。

使用权限信息32，包含了用户使用系统的权限，如能否解密、能否使用自动条件匹配转换工具等。

安全保护信息33，以设定文件进行加密方式为何种形式。

自动条件匹配转换信息34，是否具备使用自动条件匹配转换功能的权限。

如图5所示，防窥探加密认证单元4包括：

文件加密模块41，用于强制执行文件加密操作，针对设定文件进行加密保护.

文件解密模块42，用于通过后台自动将文件解密到内存，不影响文件在磁盘上的加密状态。

内部认证模块43，用于向安全管理中心或安全身份验证工具发送请求并获取命令，允许具有使用权限的用户使用加密文件；若无使用权限，则无法使用加密文件，但可以使用非加密的文件。

自动判定划分模块44，用于向内部认证模块提出请求，由安全管理中心下发划分权限后，后台自动划分加解密文件区域。

前台明文输出模块45，用于将需要前台页面展示的文件解密成明文供网站使用，其模块主要作用为自动生成网站所需的明文文件。

本发明中，网站后台程序连接数据存储中心时，数据存储中心请求由安全管理中心进行网站后台程序与安全管理中心相连，从而进行系统信息的存储处理。网站后台程序未与数据存储中心连接时，网站后台程序信息安全保护系统将判断是否有有效的安全身份验证工具连接；若有，则通过安全身份验证工具验证其访问权限，通过验证则连接网站后台程序；如果无法通过验证或者没有安全身份验证工具，则无法使用加密文件以及数据存储的访问权限。

本发明中，网站后台程序连接安全管理中心时，通过安全管理中心判断数据存储中心是否已经与网站后台程序连接；若有，则进行数据存储中心系统数据与所述系统现有数据进行对比，如果所述系统的系统数据比之数据存储中心的新，则更新信息到数据存储中心，如果所述系统数据和数据存储中心相同，则不更新；若系统存储中心并未与网站后台程序连接则让安全管理中心设定数据存储中心的身份信息，让其通过安全身份验证工具的身份验证从而连接网站后台程序。网站后台程序未与安全管理中心连接时，则无法使用加密文件以及数据存储的访问权限。

基于上述系统，本发明所提供的网站后台程序信息安全保护方法包括如下步骤（结合图6、图7）：

a.数据存储步骤：根据安全管理中心以及安全身份验证工具所设置的各项保存信息采取强制保存策略。

b.文件自动判定划分步骤：防窥探加密认证单元的自动判定划分模块根据安全管理中心或安全身份验证工具所设置的各项判定信息，把文件分划开交给文件加密模块、文件解密模块或者前台明文输出模块。

c.文件加解密步骤：文件加密模块强制执行文件加密操作，针对设定文件进行加密保护；文件解密模块通过后台自动将文件解密到内存，不影响文件在磁盘上的加密状态；前台明文输出模块通过从自动判定划分出的相对应的需前台显示的文件进行解密明文状态，并保存在固定的区域，为网站前台展示用途。

d.权限设定步骤：安全管理中心设定各用户安全身份验证工具的使用权限，并将使用权限写入相应的安全身份验证工具并同步存储到数据存储中心。当网站后台程序连接安全管理中心时，通过安全管理中心集中控制系统的防窥探加密认证单元。当网站后台程序未与安全管理中心连接时，网站后台程序信息安全保护系统判断是否有有效的安全身份验证工具连接；若有，则通过安全身份验证工具控制防窥探加密认证单元，允许其对应用户使用加解密文件；若无，则无法控制防窥探加密认证单元，无法正常使用加密文件，但可使用非加密文件。

本发明中，当网站后台程序工作状态为内部编译阶段时，连接安全管理中心，只能执行强制加密操作，用户在编译处理加密文件，必须经过强制加密处理；安全管理中心设置在服务器中；其步骤如下：a.网站后台程序通过合法的方式接入到设定的网络，确保能够正常与服务器连通。b.防窥探加密认证单元向安全管理中心或安全身份验证工具发送验证信息。c.如果编译使用网站后台程序的用户能够通过验证，此时能够正常的编译使用网内的各项加密文件，如果不能通过，则不能编译使用该网内的加密文件。d.每位用户进行的各项操作，在保存文件时文件会同时留下用户在设定网络内操作文件的日志。

本发明中，数据存储中心设定划分为如下几个部分：A、身份验证信息存储区域，用于保存用户各项身份信息，并设置常规使用区域给予系统用户正常使用，设置隐藏备份区域，用于系统管理员查看系统之前的用户备份信息。B、系统设置数据存储区域，用于保存网站后台程序信息安全保护系统的各项系统设置数据信息，设置常规使用区域、隐藏备份信息和多版本状态信息区域。

本发明中，管理员登录安全管理中心的控制中心对需要进行授权的用户进行授权，其具体步骤如下：a.管理员登录安全管理中心，系统验证管理员身份的正确性和其授权的操作权限范围。b.管理员选取需要授权的用户，设定其使用时间、次数和操作权限。c.系统判定其用户是否正在使用安全身份验证工具，如果安全身份验证工具尚未过期则将设置信息导出为结果文件；如果安全身份验证工具过期或者用户未使用安全身份验证工具，则提示管理员接入安全身份验证工具并将设置信息写入到身份验证工具中。d.管理员将结果文件或者安全身份验证工具发送给网站后台程序的编译使用者并留下授权的详细记录日志。

本发明中，当用户携带编译网站后台程序的设备外出编译使用时，系统判断其预期操作目标并下发相应的权限，其具体操作如下：a.用户携带的外出编译设备正常打开加密软件客户端程序。b.客户端判断编译设备上是否有正常使用的安全身份验证工具，如有则读取响应的信息；若无则不允许用户使用编译加密文件，并保证其操作的文件不被加密保护。c.客户端根据读取的安全身份验证工具信息进行判断，如其周期的权限在允许的范围内，则运行用户正常读取和操作加密文件；若不在其范围内，则提示用户向管理员更新授权并无法编译使用加密文件的模式。d.当用户进入加密文件编译使用模式时，系统将自动记录其操作保存为特殊隐藏日志文件，待后期与安全管理中心相连接时，自动将日志文件更新至安全管理中心和数据存储中心。

以上所述的仅是本发明的优选实施方式，本发明不限于以上实施例。可以理解，本领域技术人员在不脱离本发明的基本构思的前提下直接导出或联想到的其他改进和变化，均应认为包含在本发明的保护范围之内。

Claims (8)

1.一种网站后台程序信息安全保护系统，其特征在于：所述系统包括网站后台程序、数据存储中心、安全管理中心、设置于所述网站后台程序中的防窥探加密认证单元、使用时与所述网站后台程序连接的安全身份验证工具；

1）数据存储中心

所述数据存储中心用以存储所述网站后台程序中的各项数据信息，包括：

1-1）用户身份信息保存模块，用以保存通过安全管理中心、安全身份验证工具获取到的各个用户的身份信息，进行客户端的用户身份判定，实现客户端与数据存储中心的对应；

1-2）安全策略信息保存模块，用以保存通过安全管理中心获取到的系统的安全策略信息，以保证安全身份验证工具以及客户端的安全策略匹配；

1-3）网站后台程序信息保存模块，用以保存所述网站后台程序与安全管理中心、安全身份验证工具连接的数据信息，以实现安全管理中心、安全身份验证工具、客户端与所述网站后台程序的相互连接；

2）安全管理中心

所述安全管理中心用以设定各用户的安全身份验证工具的使用权限，并将使用权限写入相对应的安全身份验证工具中，包括：

2-1）用户管理模块，用以针对用户或用户组进行不同的安全信息设置，通过集中式管理供系统管理员制定实时、差异化的安全信息和安全策略；

2-2）用户身份识别模块，用以通过在线搜集用户信息，校验用户身份并将策略信息发送到制定的用户客户端和数据存储中心；

2-3）安全身份验证工具管理模块，针对用户设置安全身份验证工具的使用权限，使用权限包括使用时间、次数、自动区别转化加解密区域、加解密、设定身份策略，并可将设置导出为结果文件；

2-4）日志查询模块，查询管理员的系统设置和用户管理操作、管理员授权操作，以及策略信息下发操作；

2-5）管理中心系统模块，供根管理员进行对安全管理中心本身的系统设定、撤销或授权给相对应用户管理员信息、是否接纳客户端访问连接、是否接纳所述网站后台程序连接、是否允许其他管理员管理数据存储中心的操作；

3）安全身份验证工具 

所述安全身份验证工具包含用户身份信息、使用权限信息、安全保护信息、自动条件匹配转换信息；

3-1）用户身份信息，通过口令、密码、指纹、声音、视网膜的方式来保证系统和用户之间的相互认证；

3-2）使用权限信息，用户使用系统的权限，判断能否解密、能否使用自动条件匹配转换工具；

3-3）安全保护信息，以设定文件进行加密方式为何种形式；

3-4）自动条件匹配转换信息，判断是否具备使用自动条件匹配转换功能的权限；

4）防窥探加密认证单元

所述防窥探加密认证单元包括：

4-1）文件加密模块，用于强制执行文件加密操作，针对设定文件进行加密保护；

4-2）文件解密模块，用于通过后台自动将文件解密到内存，不影响文件在磁盘上的加密状态；

4-3）内部认证模块，用于向安全管理中心或安全身份验证工具发送请求并获取命令，允许具有使用权限的用户使用加密文件；若无使用权限，则无法使用加密文件，但可以使用非加密的文件；

4-4）自动判定划分模块，用于向内部认证模块提出请求，由安全管理中心下发划分权限后，后台自动划分加解密文件区域。

4-5）前台明文输出模块，用于将需要前台页面展示的文件解密成明文供网站使用，自动生成网站所需的明文文件。

2.根据权利要求1所述网站后台程序信息安全保护系统，其特征在于：

所述网站后台程序连接所述数据存储中心时，数据存储中心请求由安全管理中心与网站后台程序连接，从而进行系统信息的存储处理；

所述网站后台程序未与所述数据存储中心连接时，将判断是否有有效的安全身份验证工具连接；若有，则通过安全身份验证工具验证其访问权限，通过验证则连接网站后台程序；如果无法通过验证或者没有安全身份验证工具，则无法使用加密文件以及数据存储的访问权限。

3.根据权利要求1所述网站后台程序信息安全保护系统，其特征在于：

所述网站后台程序连接所述安全管理中心时，通过安全管理中心判断数据 存储中心是否已经与网站后台程序连接；若有，则进行数据存储中心系统数据与所述系统现有数据进行对比，如果所述系统的系统数据比之数据存储中心的新，则更新信息到数据存储中心，如果所述系统数据和数据存储中心相同，则不更新；若系统存储中心并未与网站后台程序连接则让安全管理中心设定数据存储中心的身份信息，让其通过安全身份验证工具的身份验证从而连接网站后台程序；

所述网站后台程序未与所述安全管理中心连接时，则无法使用加密文件以及数据存储的访问权限。

4.一种基于权利要求1～3中任意一项权利要求所述网站后台程序信息安全保护系统的保护方法，其特征在于包括如下步骤：

a.数据存储步骤：根据安全管理中心以及安全身份验证工具所设置的各项保存信息采取强制保存策略；

b.文件自动判定划分步骤：防窥探加密认证单元的自动判定划分模块根据安全管理中心或安全身份验证工具所设置的各项判定信息，把文件分划开交给文件加密模块、文件解密模块或者前台明文输出模块；

c.文件加解密步骤：文件加密模块强制执行文件加密操作，针对设定文件进行加密保护；文件解密模块通过后台自动将文件解密到内存，不影响文件在磁盘上的加密状态；前台明文输出模块通过从自动判定划分出的相对应的需前台显示的文件进行解密明文状态，并保存在固定的区域，为网站前台展示用途；

d.权限设定步骤：安全管理中心设定各用户安全身份验证工具的使用权限，并将使用权限写入相应的安全身份验证工具并同步存储到数据存储中心；当网站后台程序连接安全管理中心时，通过安全管理中心集中控制系统的防窥探加密认证单元；当网站后台程序未与安全管理中心连接时，判断是否有有效的安全身份验证工具连接；若有，则通过安全身份验证工具控制防窥探加密认证单元，允许其对应用户使用加解密文件；若无，则无法控制防窥探加密认证单元，无法正常使用加密文件，但可使用非加密文件。

5.根据权利要求4所述网站后台程序信息安全保护方法，其特征在于：当所述网站后台程序工作状态为内部编译阶段时，连接安全管理中心，只能执行强制加密操作，用户在编译处理加密文件，必须经过强制加密处理；所述安全管理中心设置在服务器中；其步骤如下：

a.所述网站后台程序通过合法的方式接入到设定的网络，确保能够正常与 服务器连通；

b.所述防窥探加密认证单元向安全管理中心或安全身份验证工具发送验证信息；

c.如果编译使用网站后台程序的用户能够通过验证，此时能够正常的编译使用网内的各项加密文件，如果不能通过，则不能编译使用该网内的加密文件；

d.每位用户进行的各项操作，在保存文件时文件会同时留下用户在设定网络内操作文件的日志。

6.根据权利要求4所述网站后台程序信息安全保护方法，其特征在于：

所述数据存储中心设定划分为如下几个部分：

A、身份验证信息存储区域，用于保存用户各项身份信息，并设置常规使用区域给予系统用户正常使用，设置隐藏备份区域，用于系统管理员查看系统之前的用户备份信息；

B、系统设置数据存储区域，用于保存网站后台程序信息安全保护系统的各项系统设置数据信息，设置常规使用区域、隐藏备份信息和多版本状态信息区域。

7.根据权利要求4所述网站后台程序信息安全保护方法，其特征在于：管理员登录安全管理中心的控制中心对需要进行授权的用户进行授权，其具体步骤如下：

a.管理员登录安全管理中心，系统验证管理员身份的正确性和其授权的操作权限范围；

b.管理员选取需要授权的用户，设定其使用时间、次数和操作权限；

c.系统判定其用户是否正在使用安全身份验证工具，如果安全身份验证工具尚未过期则将设置信息导出为结果文件；如果安全身份验证工具过期或者用户未使用安全身份验证工具，则提示管理员接入安全身份验证工具并将设置信息写入到身份验证工具中；

d.管理员将结果文件或者安全身份验证工具发送给网站后台程序的编译使用者并留下授权的详细记录日志。

8.根据权利要求4所述网站后台程序信息安全保护方法，其特征在于：当用户携带编译网站后台程序的设备外出编译使用时，系统判断其预期操作目标并下发相应的权限，其具体操作如下：

a.用户携带的外出编译设备正常打开加密软件客户端程序； 

b.客户端判断编译设备上是否有正常使用的安全身份验证工具，如有则读取响应的信息；若无则不允许用户使用编译加密文件，并保证其操作的文件不被加密保护；

c.客户端根据读取的安全身份验证工具信息进行判断，如其周期的权限在允许的范围内，则运行用户正常读取和操作加密文件；若不在其范围内，则提示用户向管理员更新授权并无法编译使用加密文件的模式；

d.当用户进入加密文件编译使用模式时，系统将自动记录其操作保存为特殊隐藏日志文件，待后期与安全管理中心相连接时，自动将日志文件更新至安全管理中心和数据存储中心。 

Images