CN107295005A - 一种防数据泄漏的企业共享云盘登录器 - Google Patents
一种防数据泄漏的企业共享云盘登录器 Download PDFInfo
- Publication number
- CN107295005A CN107295005A CN201710626948.1A CN201710626948A CN107295005A CN 107295005 A CN107295005 A CN 107295005A CN 201710626948 A CN201710626948 A CN 201710626948A CN 107295005 A CN107295005 A CN 107295005A
- Authority
- CN
- China
- Prior art keywords
- enterprise
- cloud disk
- shared
- isolation
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种防数据泄漏的企业共享云盘登录器,是一个含有加密存储芯片的硬件Key,内嵌了防数据泄漏系统软件,加密存储芯片里保存了用户身份认证信息和安全策略参数;所述企业共享云盘专为企业用户设计的,一个云盘可以由多个用户共享使用,达到协同工作的目的;所述防数据泄漏系统采用的技术方案是在计算机操作系统的基础上,运用网络隔离、存储隔离、应用隔离和外设隔离等驱动层隔离技术,构建出一个与系统桌面完全隔离的安全桌面,用来打开企业共享云盘。本发明的有益效果在于:在开放性网络环境下保护企业共享云盘数据不泄漏。
Description
技术领域
本发明属于计算机领域,涉及一种具有数据泄漏防护功能的企业共享云盘登录器。
背景技术
随着互联网技术的飞速发展,云盘的使用越来越广泛,有的企业使用云盘来实现互联网协同办公,优点是不受时间和地点限制,只要能上网,就可以随时随地办公,但在享受极大便利性的同时,也带来一个难题是:如何保护云盘数据不泄漏。这里的“数据不泄漏”包含两层含义:一是文档出不去,二是文档即使出去了也打不开或者打开是乱码;在目前的技术、产品和解决方案中,还不能很好地解决企业共享云盘数据泄漏防护的难题。
发明内容
本发明的目的是为了提供一种防数据泄漏的企业共享云盘登录器,由一个含有加密存储芯片的硬件Key和内嵌的防数据泄漏系统软件构成,实现了在开放性网络环境下保护企业共享云盘数据不泄漏的目标。
一种防数据泄漏的企业共享云盘登录器,采用的技术方案是用Key作为企业共享云盘登录器,Key里内嵌一套防数据泄漏系统,Key里的加密存储芯片保存了用户身份认证信息和安全策略参数;所述防数据泄漏系统是在计算机操作系统的基础上,运用网络隔离、存储隔离、应用隔离和外设隔离等驱动层隔离技术,构建出一个与系统桌面完全隔离的安全桌面,用来打开企业共享云盘,使得文档“出不去”;采用文件透明加密技术,对企业共享云盘的文件自动加密,使得文档即使出去了也打不开或打开是乱码。
所述防数据泄漏系统包括创建企业共享云盘模块、用户分控模块、桌面切换模块、登录控制模块、安全桌面模块、网络隔离模块、存储隔离模块、应用隔离模块、外设隔离模块、文件透明加密模块、文件导入导出模块。
为了达到上述目的,本发明是采用以下技术手段实现的:
1、采用含有加密存储芯片的硬件Key作为企业共享云盘登录器,Key里内嵌一套防数据泄漏系统,Key里的加密存储芯片保存了用户身份认证信息和安全策略参数;
2、创建企业共享云盘模块,由企业共享云盘系统管理员,登录企业共享云盘服务器,申请注册一个企业共享云盘,并将登录密码存储到登录器的加密存储芯片里,同时加密保存到安全策略服务器里;
3、用户分控模块,为企业共享云盘设置不同权限的用户:超级用户、审计用户、普通用户和只读用户,超级用户用于最高权限,审计用户只涉及日志,普通用户只编辑文件,只读用户只浏览文件,未经超级用户许可,审计用户、普通用户和只读用户无法从企业共享云盘获取数据;
4、桌面切换模块,用于系统桌面与安全桌面之间来回切换;
5、登录控制模块,从登录器或安全策略服务器获取身份认证信息,接收用户输入的企业共享云盘的登录信息,若身份认证通过,则打开企业共享云盘,否则不能打开;
6、安全桌面模块,用于创建一个安全的人机交互界面即安全桌面,并用安全桌面来打开企业共享云盘,安全桌面与系统桌面之间完全隔离,安全桌面的呈现形式与系统桌面一样;
7、文件透明加密模块,采用文件透明加密技术,对企业共享云盘里的数据进行透明加密,即使文件泄漏出去了,也不能被打开或打开是乱码;
8、网络隔离模块,采用网络通讯底层驱动技术,对网络通讯命令进行控制,对网络数据包进行过滤,除了特例放行企业共享云盘服务器通讯外,隔离所有其它网络,无法通过网络将企业共享云盘的数据泄漏出去;
9、存储隔离模块,采用存储内核驱动技术,实现安全桌面与系统桌面之间存储设备的隔离,在系统桌面里,本地盘可见可读写,而企业共享云盘不可见且禁止访问;在安全桌面里,企业共享云盘可见可读写,而本地盘不可见且访问受限制;
10、应用隔离模块,采用进程监控驱动技术,拦截进程启动,监控进程行为,以安全桌面为标识,实现两个桌面之间的进程隔离,企业共享云盘只能由安全桌面的进程访问,系统桌面的进程不能访问企业共享云盘;
11、外设隔离模块,采用设备驱动技术,实现两个桌面之间的外设隔离,即在安全桌面里,除了企业共享云盘外,其它外部设备一律不可见;
12、文件导入导出模块,用于将系统桌面的数据导入到安全桌面里的企业共享云盘内,企业共享云盘内的数据导出到系统桌面。
本发明采取了上述方案以后,具备以下积极效果:
对企业共享云盘实施双重保护,一是安全桌面保护,使得文档出不去;二是文档透明加密保护,使得文档即使泄漏出去了,也打不开或者打开是乱码;实现了在开放性网络环境下保护企业共享云盘数据不泄漏的目标。
下面结合附图对本发明进行详细的描述,其中:
图1是本发明的系统结构示意图;
图2是本发明的实施例的系统流程示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
请参阅图1,本发明提供一种防数据泄漏的企业共享云盘登录器,是由一个含有加密存储芯片的硬件Key和内嵌的防数据泄漏系统构成。所述防数据泄漏系统包括企业共享云盘创建模块、桌面切换模块、登录控制模块、安全桌面模块、网络隔离模块、存储隔离模块、应用隔离模块、外设隔离模块、文件透明加密模块、文件导入导出模块。
请参阅图2,具体来说,一种防数据泄漏的企业共享云盘登录器,包括:
1、采用含有加密存储芯片的硬件Key作为企业共享云盘登录器,Key里内嵌一套防数据泄漏系统,Key里的加密存储芯片保存了身份认证信息和安全策略参数。
2、双击运行登录器软件S0,判断企业共享云盘是否已经创建,若企业共享云盘未创建,则进入下一步S10,若企业共享云盘已创建,则进入下一步S2。
3、由企业共享云盘系统管理员,登录企业共享云盘服务器,申请注册一个企业共享云盘,并并将登录密码存储到登录器的加密存储芯片里,同时加密保存到安全策略服务器里。创建完成后会在桌面生成一个软件快捷图标,进入下一步S2。
4、登录控制和用户分控S2,从登录器或安全策略服务器获取身份认证信息,接收用户输入的企业共享云盘账户密码,若身份认证通过,则执行用户分控模块,鉴别用户属性,赋予不同权限,进入下一步S3;若身份认证未通过,则程序结束。
5、加载各驱动模块S3。驱动模块包括网络过滤驱动模块、存储过滤驱动模块、进程过滤驱动模块、设备过滤驱动模块、文件透明加密驱动模块等。若某驱动模块加载失败,表明驱动控制功能异常,结束并返回系统桌面S1;若各驱动模块都加载成功,表明驱动控制功能正常,则进入下一步S4。
6、实施网络隔离策略S4。对网络通讯命令进行控制,对网络数据包进行过滤,除了特例放行企业共享云盘服务器通讯外,隔离所有其它网络,无法通过网络将企业共享云盘的数据泄漏出去;若实施网络隔离策略失败,则结束并返回系统桌面;若实施网络隔离策略成功,则进入下一步S5。
7、实施存储隔离策略S5。实现安全桌面与系统桌面之间存储设备的隔离,在系统桌面里,本地盘可见可读写,而企业共享云盘不可见且禁止访问;在安全桌面里,企业共享云盘可见可读写,而本地盘不可见且访问受限制。若实施存储隔离策略失败,则结束并返回系统桌面;若实施存储隔离策略成功,则进入下一步S6。
8、实施应用隔离策略S6。拦截进程启动,监控进程行为,以安全桌面为标识,实现两个桌面之间的进程隔离,企业共享云盘只能由安全桌面的进程访问,系统桌面的进程不能访问企业共享云盘。若实施应用隔离策略失败,则结束并返回系统桌面;若实施应用隔离策略成功,则进入下一步S7。
9、实施外设隔离策略S7。实现两个桌面之间的外设隔离,即在安全桌面里,除了企业共享云盘外,其它外部设备一律不可见。若实施外设隔离策略失败,则结束并返回系统桌面;若实施外设隔离策略成功,则进入下一步S8。
10、挂载企业共享云盘S8。加载所述企业共享云盘的盘符于系统盘符目录中。若挂载失败,则结束并返回系统桌面;若挂载成功,表明可以正常使用企业共享云盘了,则进入下一步S9。
11、登录安全桌面S9。在这个安全桌面环境中,用户对企业共享云盘的所有操作都是在用户所对应的安全策略的控制之中。在安全桌面里本地盘不可见,数据只能存企业共享云盘,文件无法另存、复制、粘贴、拷贝或移动到本地磁盘;由于安全桌面是与外网隔离的,因此文件是无法外发出去的;由于安全桌面是与内网隔离的,因此文件是无法通过共享拷贝出去的;由于安全桌面是与外设隔离的,因此无法将文件输出到外部设备;由于安全桌面是与系统桌面隔离的,即使使用录屏软件将内容录制下来、或用拷屏和截屏的操作将内容保存下来,也无法从安全桌面出去;从而实现了企业共享云盘数据泄漏防护的功能。
12、桌面切换。可以在系统桌面和安全桌面之间方便地来回切换,系统桌面,不限制功能,可以上外网,用于非密工作;安全桌面,为企业共享云盘环境,与外网隔离,用于企业办公。
13、数据导入/导出。由于安全桌面是一个“封闭”的环境,是与系统桌面“完全隔离”的,因此外部数据要导入到企业共享云盘,须借助专用的数据导入根据且经过授权许可;企业共享云盘的数据要导出到外部,也须借助专用的数据导出工具且经过授权许可。
14、退出安全桌面。退出安全桌面之前,首先要做如下处理:撤销安全控制策略、卸载各驱动模块、清除缓存及残余文件、关闭企业共享云盘,最后再关闭安全桌面,结束并返回系统桌面S1。
综上所述,本发明的目的是为了提供一种防数据泄漏的企业共享云盘登录器,是由一个含有加密存储芯片的硬件Key和内嵌的防数据泄漏系统构成,对企业共享云盘实施双重保护,一是安全桌面保护,使得文档出不去;二是文档透明加密保护,使得文档即使出去了也打不开或者打开是乱码;实现了在开放性网络环境下保护企业共享云盘的数据不泄漏的目标。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种防数据泄漏的企业共享云盘登录器,其特征在于:
一种防数据泄漏的企业共享云盘登录器是一个含有加密存储芯片的硬件Key,内嵌了防数据泄漏系统软件,加密存储芯片里保存了用户身份认证信息和安全策略参数。
2.根据权利要求1所述的一种防数据泄漏的企业共享云盘登录器,其特征在于:
所述企业共享云盘专为企业用户设计的,一个云盘可以由多个用户共享使用,达到协同工作的目的。
3.根据权利要求1所述的一种防数据泄漏的企业共享云盘登录器,其特征在于:
所述企业共享云盘的登录账户密码,保存在登录器的加密存储芯片里,登录器软件运行时从加密存储芯片里读取,无需使用者输入。
4.根据权利要求1所述的一种防数据泄漏的企业共享云盘登录器,其特征在于:
所述防数据泄漏系统包括创建企业共享云盘模块、用户分控模块,桌面切换模块、登录控制模块、安全桌面模块、网络隔离模块、存储隔离模块、应用隔离模块、外设隔离模块、文件透明加密模块、文件导入导出模块。
5.根据权利要求1所述的一种防数据泄漏的企业共享云盘登录器,其特征在于:
所述防数据泄漏系统采用的技术方案是在计算机操作系统的基础上,运用网络隔离、存储隔离、应用隔离和外设隔离等驱动层隔离技术,构建出一个与系统桌面完全隔离的安全桌面,用来打开企业共享云盘,以达到保护企业共享云盘的数据不泄漏的目的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710626948.1A CN107295005A (zh) | 2017-07-28 | 2017-07-28 | 一种防数据泄漏的企业共享云盘登录器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710626948.1A CN107295005A (zh) | 2017-07-28 | 2017-07-28 | 一种防数据泄漏的企业共享云盘登录器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107295005A true CN107295005A (zh) | 2017-10-24 |
Family
ID=60103534
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710626948.1A Pending CN107295005A (zh) | 2017-07-28 | 2017-07-28 | 一种防数据泄漏的企业共享云盘登录器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107295005A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110399425A (zh) * | 2019-07-07 | 2019-11-01 | 上海鸿翼软件技术股份有限公司 | 一种智能网盘微服务系统 |
CN113961970A (zh) * | 2021-12-23 | 2022-01-21 | 天津联想协同科技有限公司 | 跨网段网盘登录身份验证方法、装置、网盘及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120159607A1 (en) * | 2010-06-30 | 2012-06-21 | Juniper Networks, Inc. | Multi-service vpn network client for mobile device |
CN104077244A (zh) * | 2014-07-20 | 2014-10-01 | 湖南蓝途方鼎科技有限公司 | 基于进程隔离加密机制的安全保密盘模型及其生成方法 |
CN104318179A (zh) * | 2014-10-30 | 2015-01-28 | 成都卫士通信息产业股份有限公司 | 基于文件重定向技术的虚拟化安全桌面 |
CN105808238A (zh) * | 2016-02-26 | 2016-07-27 | 四川效率源信息安全技术股份有限公司 | 一种安全Dock及其应用方法 |
-
2017
- 2017-07-28 CN CN201710626948.1A patent/CN107295005A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120159607A1 (en) * | 2010-06-30 | 2012-06-21 | Juniper Networks, Inc. | Multi-service vpn network client for mobile device |
CN104077244A (zh) * | 2014-07-20 | 2014-10-01 | 湖南蓝途方鼎科技有限公司 | 基于进程隔离加密机制的安全保密盘模型及其生成方法 |
CN104318179A (zh) * | 2014-10-30 | 2015-01-28 | 成都卫士通信息产业股份有限公司 | 基于文件重定向技术的虚拟化安全桌面 |
CN105808238A (zh) * | 2016-02-26 | 2016-07-27 | 四川效率源信息安全技术股份有限公司 | 一种安全Dock及其应用方法 |
Non-Patent Citations (1)
Title |
---|
黄振涛: "面向移动智能终端的DLP系统设计与实现", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110399425A (zh) * | 2019-07-07 | 2019-11-01 | 上海鸿翼软件技术股份有限公司 | 一种智能网盘微服务系统 |
CN110399425B (zh) * | 2019-07-07 | 2020-07-28 | 上海鸿翼软件技术股份有限公司 | 一种智能网盘微服务系统 |
CN113961970A (zh) * | 2021-12-23 | 2022-01-21 | 天津联想协同科技有限公司 | 跨网段网盘登录身份验证方法、装置、网盘及存储介质 |
CN113961970B (zh) * | 2021-12-23 | 2022-03-15 | 天津联想协同科技有限公司 | 跨网段网盘登录身份验证方法、装置、网盘及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Smith | Elementary information security | |
CN101072102B (zh) | 网络环境下基于安全桌面的信息防泄漏技术 | |
CN102043927B (zh) | 一种用于计算机系统的数据泄密防护方法 | |
US20050114672A1 (en) | Data rights management of digital information in a portable software permission wrapper | |
GB2411988A (en) | Preventing programs from accessing communication channels withut user permission | |
CN101271497A (zh) | 一种电子文档防泄密系统及实现方法 | |
CN201682524U (zh) | 一种基于文件过滤驱动的文件流转权限控制系统 | |
CN107358097A (zh) | 一种在开放性环境中计算机信息安全防护的方法及系统 | |
CN107295005A (zh) | 一种防数据泄漏的企业共享云盘登录器 | |
CN103870761B (zh) | 基于本地虚拟环境的防泄密方法及装置 | |
CN104915597A (zh) | 一种物理隔离式usb接口防护系统及其防护方法 | |
CN108399341A (zh) | 一种基于移动端的Windows双重文件管控系统 | |
CN106790128A (zh) | 一种资源共享方法以及装置 | |
CN113626149B (zh) | 一种基于终端虚拟化的商业秘密保护方法及系统 | |
CN109033872A (zh) | 一种基于身份的安全运行环境构造方法 | |
CN107392062A (zh) | 一种为普通移动存储设备增加数据泄漏防护功能的方法、系统和装置 | |
CN204576522U (zh) | 一种物理隔离式usb接口防护系统 | |
Panek | Security fundamentals | |
Alkhalifah et al. | The role of Identity Management Systems in enhancing protection of user privacy | |
Арустамов et al. | Профессиональный иностранный язык для специалистов в области компьютерной безопасности: учебное пособие | |
Jang-Jaccard et al. | Cybersecurity threats in cloud computing | |
Vandesteeg | Technology and Legal Ethics | |
KUMAR | Bringing Enterprise Security Home. | |
Srivastav | Information Security Management System: A Case Study of Employee Management | |
Al Anani | Cloud Technology and Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20171024 |
|
WD01 | Invention patent application deemed withdrawn after publication |