CN104361291A - 数据处理方法和装置 - Google Patents
数据处理方法和装置 Download PDFInfo
- Publication number
- CN104361291A CN104361291A CN201410545895.7A CN201410545895A CN104361291A CN 104361291 A CN104361291 A CN 104361291A CN 201410545895 A CN201410545895 A CN 201410545895A CN 104361291 A CN104361291 A CN 104361291A
- Authority
- CN
- China
- Prior art keywords
- data
- area
- visited
- operating position
- accessing operation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种数据处理方法和装置。其中,该方法包括:获取通过数据安全系统接收到的请求访问待访问数据的访问请求,其中,访问请求中携带有对待访问数据执行访问操作的操作位置;判断操作位置是否位于第一区域;在操作位置位于第一区域的情况下,在第一区域内对待访问数据执行访问操作,其中,在退出数据安全系统时各个第一区域内存储的第一数据保存在终端的系统盘上;在操作位置不位于第一区域的情况下,在第二区域内对待访问数据执行访问操作,其中,在退出数据安全系统时删除第二区域内存储的第二数据。通过本发明,解决了现有技术中业务数据存储的安全性差、业务数据的便携性差的问题,提高了业务数据存储的安全性和业务数据的便捷性。
Description
技术领域
本发明涉及数据安全领域,具体而言,涉及一种数据处理方法和装置。
背景技术
随着远程办公在各行各业的大规模普及,越来越多的用户需要能够随时随地使用任何终端电脑访问以前只能在办公内网才能访问的业务服务器。在远程(通过各种VPN技术实现)访问业务服务器中存储的业务数据时,用户有两方面的典型需求:一方面,用户有存储数据以备后续使用的需求;另一方面,用户也有防止数据泄露的需求。
其中,VPN技术为Virtual Private Network,即虚拟专用网络,其功能是在公用网络上建立专用网络,进行加密通讯,VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
图1所示是上述现有技术中的远程办公场景。
如图1所示,终端电脑10’可以通过互联网、安全网关30’以及企业内网访问业务服务器50’。
上述的终端电脑有可能是不可信的,通过该终端电脑访问业务服务器可能导致数据泄露。
在现有技术中,数据防泄密的解决方案的基本原理是对访问业务系统的终端电脑进行预先授权和绑定,只允许符合特定条件的终端电脑访问业务系统并通过业务系统访问业务服务器。该方案需要在终端电脑上安装大量的终端管控软件,并通过集中的准入服务器对终端电脑进行管控,用户使用企业内网业务系统必须在指定的安装了终端管控软件的终端电脑上进行,同时,现有技术中的解决方案一般还会禁用移动磁盘等外部设备,但一般不会对终端电脑本身的存储设备(如,硬盘)进行控制。
上述数据防泄密的解决方案存在如下缺点:
1、需要事先对允许访问业务系统的终端电脑进行授权和绑定,即,需要在终端电脑上安装大量的管控软件,且只允许这些安装了管控软件的电脑访问业务系统。对于需要使用公共电脑访问业务系统的用户来说,在公共电脑(如网吧电脑)上安装这些管控软件是不切实际的,大大限制了用户的使用场景。
2、对外部设备的控制一般是完全禁止方式,即直接禁止使用移动硬盘等外部设备,如果用户需要将存储在移动硬盘上的数据导入业务系统,或者将业务系统的数据安全存储在终端电脑并利用移动硬盘带走,该解决方案无法实现。
3、即便在授权的终端电脑上访问业务系统,业务系统中的业务数据也可能会被有意(如保存业务数据以供用户在本地处理)或无意(如系统缓存)的存储在终端电脑上。其他未授权用户在访问该终端电脑时,也能访问到上述存储在该终端电脑上的业务数据。上述方案虽然可以将业务数据存储在本地以供用户在本地进行处理,但其他未授权用户在访问该终端电脑时也可以访问该业务数据,导致业务数据可能泄露。为了解决该问题,现有技术还提供了一种远程访问数据防泄密的方案,该方案禁止在本地存储任何数据,该方案虽然保证了业务数据不被泄露,但是该方案不能满足用户需要将业务数据保存在本地并在本地进行处理的需求。
针对现有技术中业务数据存储的安全性差、业务数据便携性差的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中业务数据存储的安全性差、业务数据便携性差的问题,目前尚未提出有效的解决方案,为此,本发明的主要目的在于提供一种数据处理方法和装置,以解决上述问题。
为了实现上述目的,根据本发明的一个方面,提供了一种数据处理方法,该方法包括:获取通过数据安全系统接收到的请求访问待访问数据的访问请求,其中,访问请求中携带有对待访问数据执行访问操作的操作位置;判断操作位置是否位于第一区域,其中,数据安全系统所在的终端上包括一个或多个第一区域;在操作位置位于第一区域的情况下,在第一区域内对待访问数据执行访问操作,其中,在退出数据安全系统时各个第一区域内存储的第一数据保存在终端的系统盘上;在操作位置不位于第一区域的情况下,在第二区域内对待访问数据执行访问操作,其中,在退出数据安全系统时删除第二区域内存储的第二数据。
进一步地,访问操作为数据读取操作,在第二区域内对待访问数据执行访问操作包括:判断操作位置是否位于第二区域;在操作位置位于第二区域的情况下,在第二区域内对待访问数据执行数据读取操作;在操作位置不位于第二区域的情况下,将操作位置定位至第三区域,并从第三区域读取系统数据,其中,第三区域为终端上的除第一区域和第二区域之外的存储区域。
进一步地,将一个第一区域中存储的第一数据转换为一个加密文件。
进一步地,在退出数据安全系统之后,数据处理方法还包括;接收用户输入的认证信息,其中,认证信息中携带有用户访问第一区域内的第一数据的访问权限;重新加载第一区域中符合访问权限的第一数据。
进一步地,数据处理方法还包括:按照预设的配置文件禁用终端的外部设备和网络。
进一步地,访问操作为数据写入操作,在第一区域内对待访问数据执行访问操作包括:对待访问数据进行加密处理,将加密后的待访问数据存储至第一区域,得到第一数据;访问操作为数据写入操作,在第二区域内对待访问数据执行访问操作包括:对待访问数据进行加密处理,将加密后的待访问数据存储至第二区域,得到第二数据;访问操作为数据读取操作,在第一区域内对待访问数据执行访问操作还包括:对待访问数据进行解密处理,将解密后的待访问数据存储至第一区域,得到第一数据;访问操作为数据读取操作,在第二区域内对待访问数据执行访问操作还包括:对待访问数据进行解密处理,将解密后的待访问数据存储至第二区域,得到第二数据。
为了实现上述目的,根据本发明的另一方面,提供了一种数据处理装置,该装置包括:获取模块,用于获取通过数据安全系统接收到的请求访问待访问数据的访问请求,其中,访问请求中携带有对待访问数据执行访问操作的操作位置;第一判断模块,用于判断操作位置是否位于第一区域,其中,数据安全系统所在的终端上包括一个或多个第一区域;第一执行模块,用于在操作位置位于第一区域的情况下,在第一区域内对待访问数据执行访问操作,其中,在退出数据安全系统时各个第一区域内存储的第一数据保存在终端的系统盘上;第二执行模块,用于在操作位置不位于第一区域的情况下,在第二区域内对待访问数据执行访问操作,其中,在退出数据安全系统时删除第二区域内存储的第二数据。
进一步地,访问操作为数据读取操作,第二执行模块包括:第二判断模块,用于判断操作位置是否位于第二区域;第一读取模块,用于在操作位置位于第二区域的情况下,在第二区域内对待访问数据执行数据读取操作;第二读取模块,用于在操作位置不位于第二区域的情况下,将操作位置定位至第三区域,并从第三区域读取系统数据,其中,第三区域为终端上的除第一区域和第二区域之外的存储区域。
进一步地,数据处理装置还包括:转换模块,用于将一个第一区域中存储的第一数据转换为一个加密文件。
进一步地,在退出数据安全系统之后,数据处理装置还包括;接收模块,用于接收用户输入的认证信息,其中,认证信息中携带有用户访问第一区域内的第一数据的访问权限;加载模块,用于重新加载第一区域中符合访问权限的第一数据。
进一步地,数据处理装置还包括:控制模块,用于按照预设的配置文件禁用终端的外部设备和网络。
进一步地,访问操作为数据写入操作,第一执行模块包括:第一加密模块,用于对待访问数据进行加密处理,将加密后的待访问数据存储至第一区域,得到第一数据;访问操作为数据写入操作,第二执行模块包括:第二加密模块,用于对待访问数据进行加密处理,将加密后的待访问数据存储至第二区域,得到第二数据;访问操作为数据读取操作,第一执行模块还包括:第一解密模块,用于对待访问数据进行解密处理,将解密后的待访问数据存储至第一区域,得到第一数据;访问操作为数据读取操作,第二执行模块还包括:第二解密模块,用于对待访问数据进行解密处理,将解密后的待访问数据存储至第二区域,得到第二数据。
采用本发明实施例,通过数据安全系统对待访问数据的访问操作的操作位置进行了定向处理,在访问远程业务服务器的过程中,将需要存储至终端之后待执行访问操作的所有业务数据保存至第一区域,并在该第一区域内执行上述访问操作,在退出数据安全系统之后,第一区域内存储的第一数据将继续保存在终端的系统盘上,利用移动存储设备能方便地复制和携带该第一数据,提高了数据的便携性;将访问远程业务服务器过程中产生的所有临时数据定向至第二区域进行存储,并在该第二区域内对临时数据执行上述访问操作,第二区域内的所有数据在退出数据安全系统时将被永久删除,避免了业务数据的泄露,提高了业务数据存储的安全性。通过本发明实施例,解决了现有技术中业务数据存储的安全性差、业务数据的便携性差的问题,提高了业务数据存储的安全性和业务数据的便捷性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据现有技术的远程办公场景的示意图;
图2是根据本发明实施例的数据处理方法的流程图;
图3是根据本发明实施例的一种可选的数据处理方法的流程图;以及
图4是根据本发明实施例的数据处理装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图2是根据本发明实施例的数据处理方法的流程图,如图2所示该方法包括如下步骤:
步骤S202,获取通过数据安全系统接收到的请求访问待访问数据的访问请求。
其中,访问请求中携带有对待访问数据执行访问操作的操作位置。
步骤S204,判断操作位置是否位于第一区域。
其中,数据安全系统所在的终端上包括一个或多个第一区域。
步骤S206,在操作位置位于第一区域的情况下,在第一区域内对待访问数据执行访问操作。
其中,在退出数据安全系统时各个第一区域内存储的第一数据保存在终端的系统盘上。
步骤S208,在操作位置不位于第一区域的情况下,在第二区域内对待访问数据执行访问操作。
其中,在退出数据安全系统时删除第二区域内存储的第二数据。
在上述实施例中,待访问数据可以包括远程访问业务服务器时获取的业务数据;数据安全系统将加密执行访问请求所请求的所有操作;终端可以包括个人电脑、公共电脑、笔记本等。
采用本发明实施例,通过数据安全系统对待访问数据的访问操作的操作位置进行了定向处理,在访问远程业务服务器的过程中,将需要存储至终端之后待执行访问操作的所有业务数据保存至第一区域,并在该第一区域内执行上述访问操作,在退出数据安全系统之后,第一区域内存储的第一数据将继续保存在终端的系统盘上,利用移动存储设备能方便地复制和携带该第一数据,提高了数据的便携性;将访问远程业务服务器过程中产生的所有临时数据定向至第二区域进行存储,并在该第二区域内对临时数据执行上述访问操作,第二区域内的所有数据在退出数据安全系统时将被永久删除,避免了业务数据的泄露,提高了业务数据存储的安全性。通过本发明实施例,解决了现有技术中业务数据存储的安全性差、业务数据的便携性差的问题,提高了业务数据存储的安全性和业务数据的便捷性。
具体地,授权用户可通过数据安全系统加密处理所有操作,可以根据业务数据的类别(如,不同客户对应的业务数据)在终端的系统盘上创建一个或多个独立的第一区域以对业务数据进行分别存储,将远程业务服务器的访问过程中需要存储至终端以在本地执行访问操作的业务数据存储到第一区域,在退出数据安全系统之后,第一区域内的所有数据继续保存在终端的系统盘上,授权用户可以根据需要将第一数据传输至移动存储设备;访问业务服务器过程中产生的所有临时数据都被定向至第二区域,该第二区域内存储的第二数据在授权用户退出数据安全系统时将被不可恢复地完全删除。
其中,移动存储设备可以包括移动硬盘、USB闪存盘等。
下面结合图3详细介绍本发明上述实施例。如图3所示,当访问请求为数据写入请求时,待访问数据为待写入的数据,该实施例可以通过如下步骤实现:
步骤S301,接收数据写入请求。
具体地,可以通过接收单元20接收数据写入请求。
步骤S302,判断数据写入请求的操作目标是否是文件保险柜区。
在数据写入请求的操作目标是文件保险柜区的情况下,执行步骤S303;在数据写入请求的操作目标不是文件保险柜区的情况下,执行步骤S305。
此实施例中的文件保险柜区即为上述实施例中的第一区域。
步骤S303,加密待写入的数据,得到第一数据。
步骤S304,将第一数据写入文件保险柜区。
步骤S305,加密待写入的数据,得到第二数据。
步骤S306,将第二数据写入临时缓存区。
具体地,在接收单元20接收数据写入请求之后,安全总控单元40判断数据写入请求的操作目标是否是文件保险柜区;在数据写入请求的操作目标是文件保险柜区的情况下,由数据安全系统在文件保险柜区80内对待写入的数据进行加密处理,得到第一数据;最后由终端操作系统的文件系统100将第一数据写入文件保险柜区。
其中,终端操作系统的文件系统可以包括Windows操作系统自带的FAT和/或NTFS文件系统。其中,FAT文件系统为File Allocation Table,即文档分配表,是一种由微软发明并拥有部分专利的文档系统;NTFS文件系统为New Technology File System,即新技术文件系统,是Windows NT操作环境和Windows NT高级服务器网络操作系统环境的文件系统。
根据本发明上述实施例,基于Windows文件系统过滤驱动和虚拟磁盘驱动,将终端的硬盘从逻辑上分为三个区域:原始数据区(如终端操作系统的各个逻辑盘)、临时缓存区60(即上述实施例中的第二区域)和文件保险柜区。通过本发明上述实施例,对原始数据区的数据写入请求会重定向至临时缓存区,临时缓存区的第二数据在授权用户退出数据安全系统时将自动删除,文件保险柜区则将第一数据继续保存在终端上,用户在退出数据安全系统后,可以利用USB闪存盘、移动硬盘等移动存储设备将第一数据复制带走。
在本发明上述实施例中,任何尝试写入原始数据区的数据均将被Windows文件系统过滤驱动截获并被重定向至临时缓存区进行存储,临时缓存区是通过虚拟磁盘驱动虚拟得到的一个虚拟逻辑盘,任何对临时缓存区的访问都会经过虚拟磁盘驱动的处理模块进行处理,虚拟磁盘驱动的处理模块会对待写入的数据进行安全加密,任何非授权的用户、程序都无法访问到该临时缓存区。
其中,虚拟磁盘驱动的处理模块可以包括预设的加密函数。
具体地,授权用户访问已被重定向至临时缓存区的数据和访问原始数据区是一样的,授权用户和程序不会感知到数据已被重定向及被加密,Windows文件系统过滤驱动会透明的处理所有重定向操作。
例如,授权用户在使用数据安全系统时,如果将一个文件存放在终端系统c:\下,如c:\test.doc,该文件看上去确实存在于c:\下且可以正常读取,但实际上c:\test.doc已经被重定向并且安全的存放在临时缓存区了。当授权用户退出数据安全系统之后,c:\test.doc文件将被永久销毁,不能再以任何方式访问到。
如图3所示,当访问请求为数据读取请求时,待访问数据为待读取的数据,该实施例可以通过如下步骤实现:
步骤S307,接收数据读取请求。
步骤S308,判断数据读取请求的操作目标是否是文件保险柜区。
在数据读取请求的操作目标是文件保险柜区的情况下,执行步骤S309;在数据读取请求的操作目标不是文件保险柜区的情况下,执行步骤S311。
步骤S309,解密待读取的数据,得到第一数据。
此实施例中的待读取的数据即为上述实施例中的待访问数据。
步骤S310,从文件保险柜区读取第一数据。
具体地,在接收单元接收数据读取请求之后,安全总控单元判断数据读取请求的操作目标是否是文件保险柜区;在数据读取请求的操作目标是文件保险柜区的情况下,由数据安全系统在文件保险柜区内对待读取的数据进行解密,得到第一数据,其中,第一数据是文件保险柜区内存储的数据;最后由终端操作系统的文件系统从文件保险柜区读取第一数据;在数据读取请求的操作目标不是文件保险柜区的情况下,执行步骤S311。
通过本发明上述实施例,文件保险柜区会被透明加密,从终端操作系统的文件系统的角度来看,文件保险柜区内的数据都是密文,上述实施例中的第一数据对非授权用户是不可见的,保证了数据存储的安全性。
根据本发明上述实施例,访问操作为数据读取操作,在第二区域内对待访问数据执行访问操作可以包括:判断操作位置是否位于第二区域;在操作位置位于第二区域的情况下,在第二区域内对待访问数据执行数据读取操作;在操作位置不位于第二区域的情况下,将操作位置定位至第三区域,并从第三区域读取系统数据,其中,第三区域为终端上的除第一区域和第二区域之外的存储区域。
下面结合图3详细介绍本发明上述实施例。
如图3所示,当访问请求为数据读取请求时,待访问数据为待读取的数据,该实施例还可以通过如下步骤实现:
步骤S311,判断数据读取请求的操作目标是否是临时缓存区。
在数据读取请求的操作目标是临时缓存区的情况下,执行步骤S312;在数据读取请求的操作目标不是临时缓存区的情况下,执行步骤S314。
步骤S312,解密待读取的数据,得到第二数据。
步骤S313,从临时缓存区读取第二数据。
步骤S314,从原始数据区读取明文数据。
其中,明文数据为终端上本地存储的未加密的数据。
具体地,如图3所示,在数据读取请求的操作目标不是文件保险柜区的情况下,安全总控单元判断数据读取请求的操作目标是否是临时缓存区;在数据读取请求的操作目标是临时缓存区的情况下,由数据安全系统在临时缓存区内对待读取的数据进行解密,得到第二数据,其中,第二数据是临时缓存区内存储的数据;最后由终端操作系统的文件系统从临时缓存区读取第二数据;在数据读取请求的操作目标不是临时缓存区的情况下,由终端操作系统的文件系统直接从原始数据区(即本发明上述实施例中的第三区域)读取明文数据。
通过本发明上述实施例,数据安全系统不仅可以在执行远程访问操作时保证业务数据存储的安全性,还能对终端上的本地数据(即上述实施例中的明文数据)进行读取操作。
根据本发明上述实施例,访问操作为数据写入操作,在第一区域内对待访问数据执行访问操作可以包括:对待访问数据进行加密处理,将加密后的待访问数据存储至第一区域,得到第一数据;访问操作为数据写入操作,在第二区域内对待访问数据执行访问操作可以包括:对待访问数据进行加密处理,将加密后的待访问数据存储至第二区域,得到第二数据;访问操作为数据读取操作,在第一区域内对待访问数据执行访问操作还可以包括:对待访问数据进行解密处理,将解密后的待访问数据存储至第一区域,得到第一数据;访问操作为数据读取操作,在第二区域内对待访问数据执行访问操作还可以包括:对待访问数据进行解密处理,将解密后的待访问数据存储至第二区域,得到第二数据。
通过本发明上述实施例,在执行访问操作的过程中,始终加密处理数据,在使用上述第一数据和第二数据时没有数据泄漏的风险,提高了数据处理过程的安全性。
如图3所示,当用户请求退出数据安全系统时,该实施例可以通过如下步骤实现:
步骤S315,接收用户请求退出数据安全系统的操作请求。
步骤S316,永久删除临时缓存区内存储的第二数据。
步骤S317,文件保险柜区访问入口关闭,文件保险柜区内的第一数据保持加密存储。
具体地,接收单元接收到用户请求退出数据安全系统的操作请求之后,临时缓存区内存储的第二数据将被永久删除,同时文件保险柜区的访问入口关闭,文件保险柜区内存储的第一数据保持加密存储在终端的系统盘上。
通过本发明上述实施例,授权用户停止使用数据安全系统时,虚拟磁盘驱动会将临时缓存区的所有数据销毁,不留痕迹,不可恢复;授权用户停止使用数据安全系统之后,文件保险柜区将对所有用户都不可访问,排除了数据可能泄漏的风险,保证了数据存储的安全性。
需要进一步说明的是,若授权用户需要将数据进行安全保存,那么就需要将该数据明确的保存至一个文件保险柜区内。当授权用户退出数据安全系统之后,文件保险柜区内的数据也不可见,非授权用户通过任何方式访问该数据都会失败。
其中,授权用户可以创建一个或多个文件保险柜区以分类保存不同数据,每个文件保险柜区在终端的操作系统中分别表现为一个逻辑盘。
通过本发明上述实施例,基于Windows文件系统过滤驱动和虚拟磁盘驱动,可以确保业务数据在退出数据安全系统之后能够被彻底删除;文件保险柜区能够安全的存储业务数据,在使用业务数据时没有数据泄露的风险,提高了业务数据存储的安全性。
在本发明上述实施例中,可以将一个第一区域中存储的第一数据转换为一个加密文件。
具体地,第一区域基于虚拟磁盘技术,在终端的操作系统中可以表现为一个加密文件。
通过本发明上述实施例,授权用户可以很方便的将该加密文件进行复制并携带,由于该加密文件只有授权用户加载后才能被访问,因此该过程不会带来数据泄露风险,并且该加密文件能方便复制和携带,提高了业务数据的便携性。
根据本发明上述实施例,在退出数据安全系统之后,数据处理方法还可以包括;接收用户输入的认证信息,其中,认证信息中携带有用户访问第一区域内的第一数据的访问权限;重新加载第一区域中符合访问权限的第一数据。
在本发明的上述实施例中,在退出数据安全系统之后,再次访问第一区域时需要进行认证,非授权用户无法访问该第一数据,但授权用户通过输入认证信息,可以重新加载并访问符合访问权限的第一区域内存储的第一数据,降低了数据泄漏的风险,保证了业务数据存储的安全性。
在本发明的上述实施例中,数据处理方法还可以包括:按照预设的配置文件禁用终端的外部设备和网络。
具体地,在使用数据安全系统时,通过设备过滤驱动对各种外部设备和网络进行控制,可以根据预设的配置文件禁用部分网络、串口、并口、光驱等,其中,该配置文件可以通过网关管理员预先进行配置,并强行发布至终端执行。
通过本发明上述实施例,可以对终端的外部设备和网络进行预设的安全控制,授权用户若要复制并携带业务数据,只能将业务数据加密存入第一区域进行安全存储,并复制第一区域内存储的加密数据,而不能通过其他方式(如互联网)进行扩散。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图4是根据本发明实施例的数据处理装置的示意图,如图4所示,该数据处理装置可以包括:获取模块10、第一判断模块30、第一执行模块50以及第二执行模块70。
其中,获取模块用于获取通过数据安全系统接收到的请求访问待访问数据的访问请求,其中,访问请求中携带有对待访问数据执行访问操作的操作位置;第一判断模块用于判断操作位置是否位于第一区域,其中,数据安全系统所在的终端上包括一个或多个第一区域;第一执行模块用于在操作位置位于第一区域的情况下,在第一区域内对待访问数据执行访问操作,其中,在退出数据安全系统时各个第一区域内存储的第一数据保存在终端的系统盘上;第二执行模块用于在操作位置不位于第一区域的情况下,在第二区域内对待访问数据执行访问操作,其中,在退出数据安全系统时删除第二区域内存储的第二数据。
在上述实施例中,待访问数据可以包括远程访问业务服务器时获取的业务数据;数据安全系统将加密执行访问请求所请求的所有操作;终端可以包括个人电脑、公共电脑、笔记本等。
采用本发明实施例,通过数据安全系统对获取模块获取到的待访问数据的访问操作的操作位置进行了定向处理,根据第一判断模块的判断结果,在访问远程业务服务器的过程中,将需要存储至终端之后待执行访问操作的所有业务数据保存至第一区域,并在该第一区域内通过第一执行模块执行上述访问操作,在退出数据安全系统之后,第一区域内存储的第一数据将继续保存在终端的系统盘上,利用移动存储设备能方便地复制和携带该第一数据,提高了数据的便携性;将访问远程业务服务器过程中产生的所有临时数据定向至第二区域进行存储,并在该第二区域内通过第二执行模块对临时数据执行上述访问操作,第二区域内的所有数据在退出数据安全系统时将被永久删除,避免了业务数据的泄露,提高了业务数据存储的安全性。通过本发明实施例,解决了现有技术中业务数据存储的安全性差、业务数据的便携性差的问题,提高了业务数据存储的安全性和业务数据的便捷性。
具体地,授权用户可通过数据安全系统加密处理所有操作,可以根据业务数据的类别(如,不同客户对应的业务数据)在终端的系统盘上创建一个或多个独立的第一区域以对业务数据进行分别存储,将远程业务服务器的访问过程中需要存储至终端以在本地执行访问操作的业务数据存储到第一区域,在退出数据安全系统之后,第一区域内的所有数据继续保存在终端的系统盘上,授权用户可以根据需要将第一数据传输至移动存储设备;访问业务服务器过程中产生的所有临时数据都被定向至第二区域,该第二区域内存储的第二数据在授权用户退出数据安全系统时将被不可恢复地完全删除。
其中,移动存储设备可以包括移动硬盘、USB闪存盘等。
根据本发明上述实施例,访问操作为数据读取操作,第二执行模块可以包括:第二判断模块,用于判断操作位置是否位于第二区域;第一读取模块,用于在操作位置位于第二区域的情况下,在第二区域内对待访问数据执行数据读取操作;第二读取模块,用于在操作位置不位于第二区域的情况下,将操作位置定位至第三区域,并从第三区域读取系统数据,其中,第三区域为终端上的除第一区域和第二区域之外的存储区域。
通过本发明上述实施例,数据安全系统不仅可以在执行远程访问操作时保证业务数据存储的安全性,还能对终端上的本地数据(即上述实施例中的明文数据)进行读取操作。
在本发明上述实施例中,数据处理装置还可以包括:转换模块,用于将一个第一区域中存储的第一数据转换为一个加密文件。
具体地,第一区域基于虚拟磁盘技术,在终端的操作系统中可以表现为一个加密文件。
通过本发明上述实施例,授权用户可以很方便的将该加密文件进行复制并携带,由于该加密文件只有授权用户加载后才能被访问,因此该过程不会带来数据泄露风险,并且该加密文件能方便复制和携带,提高了业务数据的便携性。
根据本发明上述实施例,在退出数据安全系统之后,数据处理装置还可以包括;接收模块,用于接收用户输入的认证信息,其中,认证信息中携带有用户访问第一区域内的第一数据的访问权限;重新加载模块,用于重新加载第一区域中符合访问权限的第一数据。
在本发明的上述实施例中,在退出数据安全系统之后,再次访问第一区域时需要进行认证,非授权用户无法访问该第一数据,但授权用户通过输入认证信息,可以重新加载并访问符合访问权限的第一区域内存储的第一数据,降低了数据泄漏的风险,保证了业务数据存储的安全性。
根据本发明上述实施例,数据处理装置还可以包括:控制模块,用于按照预设的配置文件禁用终端的外部设备和网络。
具体地,在使用数据安全系统时,通过设备过滤驱动对各种外部设备和网络进行控制,可以根据预设的配置文件禁用部分网络、串口、并口、光驱等,其中,该配置文件可以通过网关管理员预先进行配置,并强行发布至终端执行。
通过本发明上述实施例,可以对终端的外部设备和网络进行预设的安全控制,授权用户若要复制并携带业务数据,只能将业务数据加密存入第一区域进行安全存储,并复制第一区域内存储的加密数据,而不能通过其他方式(如互联网)进行扩散。
在本发明上述实施例中,访问操作为数据写入操作,第一执行模块可以包括:第一加密模块,用于对待访问数据进行加密处理,将加密后的待访问数据存储至第一区域,得到第一数据;访问操作为数据写入操作,第二执行模块可以包括:第二加密模块,用于对待访问数据进行加密处理,将加密后的待访问数据存储至第二区域,得到第二数据;访问操作为数据读取操作,第一执行模块还可以包括:第一解密模块,用于对待访问数据进行解密处理,将解密后的待访问数据存储至第一区域,得到第一数据;访问操作为数据读取操作,第二执行模块还可以包括:第二解密模块,用于对待访问数据进行解密处理,将解密后的待访问数据存储至第二区域,得到第二数据。
通过本发明上述实施例,在执行访问操作的过程中,始终加密处理数据,在使用上述第一数据和第二数据时没有数据泄漏的风险,提高了数据处理过程的安全性。
本实施例中所提供的各个模块与方法实施例对应步骤所提供的使用方法相同、应用场景也可以相同。当然,需要注意的是,上述模块涉及的方案可以不限于方法实施例中的内容和场景,且上述模块可以运行在计算机终端或移动终端,可以通过软件或硬件实现。
从以上的描述中,可以看出,本发明实现了如下技术效果:
采用本发明实施例,通过数据安全系统对待访问数据的访问操作的操作位置进行了定向处理,在访问远程业务服务器的过程中,将需要存储至终端之后待执行访问操作的所有业务数据保存至第一区域,并在该第一区域内执行上述访问操作,在退出数据安全系统之后,第一区域内存储的第一数据将继续保存在终端的系统盘上,利用移动存储设备能方便地复制和携带该第一数据,提高了数据的便携性;将访问远程业务服务器过程中产生的所有临时数据定向至第二区域进行存储,并在该第二区域内对临时数据执行上述访问操作,第二区域内的所有数据在退出数据安全系统时将被永久删除,避免了业务数据的泄露,提高了业务数据存储的安全性。通过本发明实施例,解决了现有技术中业务数据存储的安全性差、业务数据的便携性差的问题,提高了业务数据存储的安全性和业务数据的便捷性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种数据处理方法,其特征在于,包括:
获取通过数据安全系统接收到的请求访问待访问数据的访问请求,其中,所述访问请求中携带有对所述待访问数据执行访问操作的操作位置;
判断所述操作位置是否位于第一区域,其中,所述数据安全系统所在的终端上包括一个或多个所述第一区域;
在所述操作位置位于所述第一区域的情况下,在所述第一区域内对所述待访问数据执行所述访问操作,其中,在退出所述数据安全系统时各个所述第一区域内存储的第一数据保存在所述终端的系统盘上;
在所述操作位置不位于所述第一区域的情况下,在第二区域内对所述待访问数据执行所述访问操作,其中,在退出所述数据安全系统时删除所述第二区域内存储的第二数据。
2.根据权利要求1所述的数据处理方法,其特征在于,所述访问操作为数据读取操作,所述在第二区域内对所述待访问数据执行所述访问操作包括:
判断所述操作位置是否位于所述第二区域;
在所述操作位置位于所述第二区域的情况下,在所述第二区域内对所述待访问数据执行所述数据读取操作;
在所述操作位置不位于所述第二区域的情况下,将所述操作位置定位至第三区域,并从所述第三区域读取系统数据,其中,所述第三区域为所述终端上的除所述第一区域和所述第二区域之外的存储区域。
3.根据权利要求1所述的数据处理方法,其特征在于,将一个所述第一区域中存储的所述第一数据转换为一个加密文件。
4.根据权利要求3所述的数据处理方法,其特征在于,在退出所述数据安全系统之后,所述数据处理方法还包括;
接收用户输入的认证信息,其中,所述认证信息中携带有所述用户访问所述第一区域内的所述第一数据的访问权限;
重新加载所述第一区域中符合所述访问权限的所述第一数据。
5.根据权利要求1至4中任意一项所述的数据处理方法,其特征在于,所述数据处理方法还包括:
按照预设的配置文件禁用所述终端的外部设备和网络。
6.根据权利要求1至4中任意一项所述的数据处理方法,其特征在于,
所述访问操作为数据写入操作,在所述第一区域内对所述待访问数据执行所述访问操作包括:对所述待访问数据进行加密处理,将加密后的待访问数据存储至所述第一区域,得到所述第一数据;
所述访问操作为所述数据写入操作,在所述第二区域内对所述待访问数据执行所述访问操作包括:对所述待访问数据进行加密处理,将加密后的待访问数据存储至所述第二区域,得到所述第二数据;
所述访问操作为数据读取操作,在所述第一区域内对所述待访问数据执行所述访问操作还包括:对所述待访问数据进行解密处理,将解密后的待访问数据存储至所述第一区域,得到所述第一数据;
所述访问操作为所述数据读取操作,在所述第二区域内对所述待访问数据执行所述访问操作还包括:对所述待访问数据进行解密处理,将解密后的待访问数据存储至所述第二区域,得到所述第二数据。
7.一种数据处理装置,其特征在于,包括:
获取模块,用于获取通过数据安全系统接收到的请求访问待访问数据的访问请求,其中,所述访问请求中携带有对所述待访问数据执行访问操作的操作位置;
第一判断模块,用于判断所述操作位置是否位于第一区域,其中,所述数据安全系统所在的终端上包括一个或多个所述第一区域;
第一执行模块,用于在所述操作位置位于所述第一区域的情况下,在所述第一区域内对所述待访问数据执行所述访问操作,其中,在退出所述数据安全系统时各个所述第一区域内存储的第一数据保存在所述终端的系统盘上;
第二执行模块,用于在所述操作位置不位于所述第一区域的情况下,在第二区域内对所述待访问数据执行所述访问操作,其中,在退出所述数据安全系统时删除所述第二区域内存储的第二数据。
8.根据权利要求7所述的数据处理装置,其特征在于,所述访问操作为数据读取操作,所述第二执行模块包括:
第二判断模块,用于判断所述操作位置是否位于所述第二区域;
第一读取模块,用于在所述操作位置位于所述第二区域的情况下,在所述第二区域内对所述待访问数据执行所述数据读取操作;
第二读取模块,用于在所述操作位置不位于所述第二区域的情况下,将所述操作位置定位至第三区域,并从所述第三区域读取系统数据,其中,所述第三区域为所述终端上的除所述第一区域和所述第二区域之外的存储区域。
9.根据权利要求7所述的数据处理装置,其特征在于,所述数据处理装置还包括:
转换模块,用于将一个所述第一区域中存储的所述第一数据转换为一个加密文件。
10.根据权利要求9所述的数据处理装置,其特征在于,在退出所述数据安全系统之后,所述数据处理装置还包括;
接收模块,用于接收用户输入的认证信息,其中,所述认证信息中携带有所述用户访问所述第一区域内的所述第一数据的访问权限;
加载模块,用于重新加载所述第一区域中符合所述访问权限的所述第一数据。
11.根据权利要求7至10中任意一项所述的数据处理装置,其特征在于,所述数据处理装置还包括:
控制模块,用于按照预设的配置文件禁用所述终端的外部设备和网络。
12.根据权利要求7至10中任意一项所述的数据处理装置,其特征在于,
所述访问操作为数据写入操作,所述第一执行模块包括:第一加密模块,用于对所述待访问数据进行加密处理,将加密后的待访问数据存储至所述第一区域,得到所述第一数据;
所述访问操作为所述数据写入操作,所述第二执行模块包括:第二加密模块,用于对所述待访问数据进行加密处理,将加密后的待访问数据存储至所述第二区域,得到所述第二数据;
所述访问操作为数据读取操作,所述第一执行模块还包括:第一解密模块,用于对所述待访问数据进行解密处理,将解密后的待访问数据存储至所述第一区域,得到所述第一数据;
所述访问操作为所述数据读取操作,所述第二执行模块还包括:第二解密模块,用于对所述待访问数据进行解密处理,将解密后的待访问数据存储至所述第二区域,得到所述第二数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410545895.7A CN104361291B (zh) | 2014-10-15 | 2014-10-15 | 数据处理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410545895.7A CN104361291B (zh) | 2014-10-15 | 2014-10-15 | 数据处理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104361291A true CN104361291A (zh) | 2015-02-18 |
| CN104361291B CN104361291B (zh) | 2020-02-21 |
Family
ID=52528550
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410545895.7A Active CN104361291B (zh) | 2014-10-15 | 2014-10-15 | 数据处理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104361291B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105095519A (zh) * | 2015-09-18 | 2015-11-25 | 北京金山安全软件有限公司 | 一种用户数据管理方法、装置及电子设备 |
| CN105516088A (zh) * | 2015-11-26 | 2016-04-20 | 北京那个网络科技有限公司 | 设备信息的访问方法及装置 |
| CN106657052A (zh) * | 2016-12-16 | 2017-05-10 | 湖南国科微电子股份有限公司 | 一种存储数据的访问管理方法及系统 |
| CN107315756A (zh) * | 2016-04-27 | 2017-11-03 | 中国移动通信集团安徽有限公司 | 一种日志处理方法及装置 |
| CN107577966A (zh) * | 2017-09-19 | 2018-01-12 | 中国南方电网有限责任公司超高压输电公司南宁监控中心 | 一种移动储存的防病毒方法及防病毒安全器 |
| CN109740360A (zh) * | 2018-12-29 | 2019-05-10 | 中国联合网络通信集团有限公司 | 一种文档授权装置、客户端和方法 |
| US20220327239A1 (en) * | 2021-04-09 | 2022-10-13 | VIQ Solutions Inc. | Securing and managing offline digital evidence with a smart data lease system |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103218573A (zh) * | 2013-05-07 | 2013-07-24 | 安徽海加网络科技有限公司 | 一种基于虚拟磁盘保护的无痕访问控制方法及装置 |
| CN103458101A (zh) * | 2013-05-23 | 2013-12-18 | 深圳市中易通网络技术有限公司 | 一种手机私密联系人的硬件加密存储方法及系统 |
| CN104077244A (zh) * | 2014-07-20 | 2014-10-01 | 湖南蓝途方鼎科技有限公司 | 基于进程隔离加密机制的安全保密盘模型及其生成方法 |
-
2014
- 2014-10-15 CN CN201410545895.7A patent/CN104361291B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103218573A (zh) * | 2013-05-07 | 2013-07-24 | 安徽海加网络科技有限公司 | 一种基于虚拟磁盘保护的无痕访问控制方法及装置 |
| CN103458101A (zh) * | 2013-05-23 | 2013-12-18 | 深圳市中易通网络技术有限公司 | 一种手机私密联系人的硬件加密存储方法及系统 |
| CN104077244A (zh) * | 2014-07-20 | 2014-10-01 | 湖南蓝途方鼎科技有限公司 | 基于进程隔离加密机制的安全保密盘模型及其生成方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105095519A (zh) * | 2015-09-18 | 2015-11-25 | 北京金山安全软件有限公司 | 一种用户数据管理方法、装置及电子设备 |
| CN105516088A (zh) * | 2015-11-26 | 2016-04-20 | 北京那个网络科技有限公司 | 设备信息的访问方法及装置 |
| CN105516088B (zh) * | 2015-11-26 | 2019-05-03 | 北京那个网络科技有限公司 | 设备信息的访问方法及装置 |
| CN107315756A (zh) * | 2016-04-27 | 2017-11-03 | 中国移动通信集团安徽有限公司 | 一种日志处理方法及装置 |
| CN107315756B (zh) * | 2016-04-27 | 2020-11-27 | 中国移动通信集团安徽有限公司 | 一种日志处理方法及装置 |
| CN106657052A (zh) * | 2016-12-16 | 2017-05-10 | 湖南国科微电子股份有限公司 | 一种存储数据的访问管理方法及系统 |
| CN107577966A (zh) * | 2017-09-19 | 2018-01-12 | 中国南方电网有限责任公司超高压输电公司南宁监控中心 | 一种移动储存的防病毒方法及防病毒安全器 |
| CN107577966B (zh) * | 2017-09-19 | 2023-09-29 | 中国南方电网有限责任公司超高压输电公司南宁监控中心 | 一种移动储存的防病毒方法及防病毒安全器 |
| CN109740360A (zh) * | 2018-12-29 | 2019-05-10 | 中国联合网络通信集团有限公司 | 一种文档授权装置、客户端和方法 |
| US20220327239A1 (en) * | 2021-04-09 | 2022-10-13 | VIQ Solutions Inc. | Securing and managing offline digital evidence with a smart data lease system |
| US11822701B2 (en) * | 2021-04-09 | 2023-11-21 | VIQ Solutions Inc. | Securing and managing offline digital evidence with a smart data lease system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104361291B (zh) | 2020-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104361291A (zh) | 数据处理方法和装置 | |
| CN101120352B (zh) | 用于保护存储在存储设备中的数据的方法和设备 | |
| CN101819612B (zh) | 具有分区的通用内容控制 | |
| US9805210B2 (en) | Encryption-based data access management | |
| US9225696B2 (en) | Method for different users to securely access their respective partitioned data in an electronic apparatus | |
| CN101120355B (zh) | 用于控制在存储器装置中存取的方法 | |
| CN103246850A (zh) | 文件处理方法和装置 | |
| US9177165B2 (en) | System and method for a secure environment that authenticates secure data handling to the user | |
| CN105653986B (zh) | 一种基于microSD卡的数据保护方法及装置 | |
| CN104903909A (zh) | 在应用之间计算机内受保护的通信 | |
| CN104904181A (zh) | 在计算机上的应用之间建立信任 | |
| CN103259651A (zh) | 一种对终端数据加解密的方法及系统 | |
| CN106452770A (zh) | 一种数据加密方法、解密方法、装置和系统 | |
| CN103268456A (zh) | 一种文件安全控制方法及装置 | |
| CN112383391A (zh) | 基于数据属性授权的数据安全保护方法、存储介质及终端 | |
| CN105160272B (zh) | 一种基于自主可控数据库的安全加密方法及系统 | |
| Chang et al. | User-friendly deniable storage for mobile devices | |
| CN111177773A (zh) | 一种基于网卡rom的全盘加解密方法及系统 | |
| CN103177224A (zh) | 用于终端的外接存储卡数据保护的方法及装置 | |
| CN102761559B (zh) | 基于私密数据的网络安全共享方法及通信终端 | |
| CN103207976A (zh) | 移动存储文件防泄密方法及基于该方法的保密u盘 | |
| CN106257858A (zh) | 一种远端存储设备的数据加密方法、装置及系统 | |
| KR101680536B1 (ko) | 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템 | |
| CN104955043A (zh) | 一种智能终端安全防护系统 | |
| CN105389319A (zh) | 数据库的操作方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 2nd Floor, Building 1, Yard 26, Xizhimenwai South Road, Xicheng District, Beijing, 100032 Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: 100085 1st floor, Section II, No.7 Kaifa Road, Shangdi Information Industry base, Haidian District, Beijing Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CP03 | Change of name, title or address |