CN107818261A - 一种计算机信息安全储存系统 - Google Patents

Abstract

本发明公开了一种计算机信息安全储存系统,包括人机交互模块、多个安全储存空间、操作状态录制模块、计算机安全监测模块、数据转移模块、网络切断模块、USB接口切断模块、应急通道模块和中央处理器。本发明通过生物特征数据、一级随机加密和二级密文加密相结合的方式，实现了计算机信息的加密储存和操作权限的划分，从而大大提高了数据的安全性；通过计算机监测模块的设计实现了用户操作状态以及计算机安全情况的实时监测，并自带数据转移功能，进一步保证了信息的安全性。

Description

一种计算机信息安全储存系统

技术领域

本发明涉及数据安全技术领域，具体涉及一种计算机信息安全保护系统。

背景技术

随着信息技术的发展，越来越多的企事业单位采用电子技术来处理日常事务，越来越多的文件以电子文档方式的存在。采用电子文档方式存储数据具有效率高、成本低、转移方便等优点。但同时，使用电子文档方式储存数据增大了信息被滥用的风险，例如员工跳槽、商业间谍等。

面对此类风险，企事业单位可以在内网内通过技术或制度手段来管理台式机器，比如封闭USB端口、内外网隔离、使用加密软件强制加密等。由于笔记本携带方便、移动办公方便的特点，决定了其在公司内部存在的必要性，但这也给内网管理带来了极为不便的方面：如果采用类似台式电脑的管理方法，此时不存在信息流失的风险，但极大地限制了笔记本电脑的使用功能，扼杀了笔记本电脑存在的必要性；如果针对笔记本电脑采用安装加密软件来进行强制加密，员工只能用来处理公司事务，那么笔记本的娱乐功能就丧失了而且员工不能用来处理私人事务；如果对笔记本电脑安装加密软件并进行强制加密，如果用户在外使用时间超过其预设时间，那么用户不能够正常使用加密文件，此时也不能够正常获得新的授权(必须通过第三方工具等)；如果采用只在公司内部加密而携带出去不加密(通过在内网环境中与管理中心的认证来实现)，此时又不方面员工使用加密文件，不便于员工在公司外面进行加班或操作。

因此，如何保证计算机信息的安全性成为了一个亟待解决的问题。

发明内容

为解决上述问题，本发明提供了一种计算机信息安全保护系统，通过生物特征数据、一级随机加密和二级密文加密相结合的方式，实现了计算机信息的加密储存和操作权限的划分，从而大大提高了数据的安全性；通过计算机监测模块的设计实现了用户操作状态以及计算机安全情况的实时监测，并自带数据转移功能，进一步保证了信息的安全性；计算机监测模块以静态jar包的形式部署于监测对象上，从而能够实现了对测试服务器资源的零消耗，提高了资源监测结果的准确性。

为实现上述目的，本发明采取的技术方案为：

一种计算机信息安全储存系统,包括

人机交互模块，用于用户的注册，并输入用于验证其身份的生物特征数据；还用于输入数据以及数据的控制、调用命令；

多个安全储存空间，用于进行数据的存储，并通过生物特征数据以及特定的加密算法控制所述安全储存空间的访问权限，每两个安全储存空间之间均存在应急数据传输通道，用于数据的应急转移传输；内设加密模块，用于数据的加密，还设有一解密模块，用于根据人机交互模块输入的密文进行相应的数据的解密，并将解密后的数据发送到显示屏进行显示；

操作状态录制模块，用于通过脚本录制方式录制用户的操作状态，实时监控当前用户的操作状态，并将录制的操作状态数据发送到计算机安全监测模块完成数据的监测；

计算机安全监测模块，以静态jar包的形式部署于计算机上，用于进行计算机安全的监测，并输出对应的监测结果和防御决策；

数据转移模块，用于根据计算机安全监测模块得出的评估结果进行数据的转移操作，若接收到的评估结果为危险，则立即将对应的数据打包通过应急传输通道转移至另一个安全储存空间内，并清除对应的安全储存空间中的数据；

网络切断模块，用于根据计算机安全监测模块得出的评估结果进行计算机网接网络的切断；

USB接口切断模块，用于根据计算机安全监测模块得出的评估结果进行计算机USB接口功能的启闭；

应急通道模块，用于提示被攻陷计算机的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

中央处理器，用于根据人机交互模块输入的生物特征数据完成用户身份的识别，并根据识别结果通过预设的算法进行安全储存空间内数据权限的开闭，权限开放后方可进行解密密文的输入；用于接收人机交互模块输入的数据，按照预设的算法对数据的类型进行识别，并按照识别后的数据类型选择相应的加密算法进行加密，并根据识别后的数据类型完成数据的储存；用于接收人机交互模块输入的控制命令，并安装预设的算法以及其对应的权限将这些控制命令发送到对应的模块，若所接收到的控制命令不在该用户的操作权限内，则以弹出对话框的形式进行提醒；用于根据计算机安全监测模块得出的评估结果进行数据操作权限的启闭。

优选地，所述计算机安全监测模块包括

异常行为评估模块，用于接收操作状态录制模块发送的操作状态，并将其与异常行为数据库内的行为数据进行相似度对比，将对比结果发送到网络切断模块和USB接口切断模块，并通过短信编辑模块发送到指定的移动终端进行显示；

定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒隔离模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到计算机显示屏和网络异常评估模块；

病毒模拟隔离模块，用于利用模拟服务与产生异常流量的计算机通信，提取攻击指纹特征，充实病毒特征库；

病毒特征匹配模块，用于计算被监控计算机通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到计算机显示屏进行显示；

累计流量计算模块，利用原始数据包报文头部信息进行流量统计，以计算机对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；

网络异常评估模块，用于通过建立的多态响应网络异常评估模型进行网络异常情况的评估，并将评估结果发送到防御决策生成模块；

防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至计算机显示屏；

防御决策执行模块，用于根据人机交互模块输入的控制命令进行相应的防御决策的执行。

优选地，该系统还包括一加密算法数据库，内设有多个基本加密算法储存模块，每个基本加密储存模块内均设有多种加密算法，加密算法的调用先采用根据数据类型选择对应的加密算法储存模块，然后在该模块内采用随机的方式调用加密算法完成数据的加密。

优选地，所述加密模块采用客户预设密文加密的方式完成数据的加密。

优选地，所述生物特征数据采用声纹数据；该声纹数据为从录入的用户朗读指定验证文本的语音中获取的用户的声纹特征和唇动间隔时间数据。

优选地，所述病毒模拟隔离模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

优选地，所述安全储存空间与中央处理器之间设置有相互独立的双通道连接模块，在任意一个通道进行通讯时，另一个备用通道进行密钥更新。

本发明具有以下有益效果：

通过生物特征数据、一级随机加密和二级密文加密相结合的方式，实现了计算机信息的加密储存和操作权限的划分，从而大大提高了数据的安全性；通过计算机监测模块的设计实现了用户操作状态以及计算机安全情况的实时监测，并自带数据转移功能，进一步保证了信息的安全性；计算机监测模块以静态jar包的形式部署于监测对象上，从而能够实现了对测试服务器资源的零消耗，提高了资源监测结果的准确性。

附图说明

图1为本发明实施例一种计算机信息安全储存系统的系统框图。

具体实施方式

为了使本发明的目的及优点更加清楚明白，以下结合实施例对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明实施例提供了一种计算机信息安全储存系统,包括

人机交互模块，用于用户的注册，并输入用于验证其身份的生物特征数据；还用于输入数据以及数据的控制、调用命令；所述生物特征数据采用声纹数据；该声纹数据为从录入的用户朗读指定验证文本的语音中获取的用户的声纹特征和唇动间隔时间数据。

多个安全储存空间，用于进行数据的存储，并通过生物特征数据以及特定的加密算法控制所述安全储存空间的访问权限，每两个安全储存空间之间均存在应急数据传输通道，用于数据的应急转移传输；内设加密模块，用于数据的加密，还设有一解密模块，用于根据人机交互模块输入的密文进行相应的数据的解密，并将解密后的数据发送到显示屏进行显示；

操作状态录制模块，用于通过脚本录制方式录制用户的操作状态，实时监控当前用户的操作状态，并将录制的操作状态数据发送到计算机安全监测模块完成数据的监测；

计算机安全监测模块，以静态jar包的形式部署于计算机上，用于进行计算机安全的监测，并输出对应的监测结果和防御决策；

数据转移模块，用于根据计算机安全监测模块得出的评估结果进行数据的转移操作，若接收到的评估结果为危险，则立即将对应的数据打包通过应急传输通道转移至另一个安全储存空间内，并清除对应的安全储存空间中的数据；

网络切断模块，用于根据计算机安全监测模块得出的评估结果进行计算机网接网络的切断；

USB接口切断模块，用于根据计算机安全监测模块得出的评估结果进行计算机USB接口功能的启闭；

应急通道模块，用于提示被攻陷计算机的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

加密算法数据库，内设有多个基本加密算法储存模块，每个基本加密储存模块内均设有多种加密算法，加密算法的调用先采用根据数据类型选择对应的加密算法储存模块，然后在该模块内采用随机的方式调用加密算法完成数据的加密。

中央处理器，用于根据人机交互模块输入的生物特征数据完成用户身份的识别，并根据识别结果通过预设的算法进行安全储存空间内数据权限的开闭，权限开放后方可进行解密密文的输入；用于接收人机交互模块输入的数据，按照预设的算法对数据的类型进行识别，并按照识别后的数据类型选择相应的加密算法进行加密，并根据识别后的数据类型完成数据的储存；用于接收人机交互模块输入的控制命令，并安装预设的算法以及其对应的权限将这些控制命令发送到对应的模块，若所接收到的控制命令不在该用户的操作权限内，则以弹出对话框的形式进行提醒；用于根据计算机安全监测模块得出的评估结果进行数据操作权限的启闭。

所述安全储存空间与中央处理器之间设置有相互独立的双通道连接模块，在任意一个通道进行通讯时，另一个备用通道进行密钥更新，从而使得用户访问一次，密钥就自动更新一次，进一步保证了数据的安全性。

所述计算机安全监测模块包括

异常行为评估模块，用于接收操作状态录制模块发送的操作状态，并将其与异常行为数据库内的行为数据进行相似度对比，将对比结果发送到网络切断模块和USB接口切断模块，并通过短信编辑模块发送到指定的移动终端进行显示；

定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒隔离模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到计算机显示屏和网络异常评估模块；

病毒模拟隔离模块，用于利用模拟服务与产生异常流量的计算机通信，提取攻击指纹特征，充实病毒特征库；

病毒特征匹配模块，用于计算被监控计算机通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到计算机显示屏进行显示；

累计流量计算模块，利用原始数据包报文头部信息进行流量统计，以计算机对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；

网络异常评估模块，用于通过建立的多态响应网络异常评估模型进行网络异常情况的评估，并将评估结果发送到防御决策生成模块；

防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至计算机显示屏；

防御决策执行模块，用于根据人机交互模块输入的控制命令进行相应的防御决策的执行。

所述加密模块采用客户预设密文加密的方式完成数据的加密。

所述病毒模拟隔离模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (7)

1.一种计算机信息安全储存系统,其特征在于，包括

人机交互模块，用于用户的注册，并输入用于验证其身份的生物特征数据；还用于输入数据以及数据的控制、调用命令；

多个安全储存空间，用于进行数据的存储，并通过生物特征数据以及特定的加密算法控制所述安全储存空间的访问权限，每两个安全储存空间之间均存在应急数据传输通道，用于数据的应急转移传输；内设加密模块，用于数据的加密，还设有一解密模块，用于根据人机交互模块输入的密文进行相应的数据的解密，并将解密后的数据发送到显示屏进行显示；

操作状态录制模块，用于通过脚本录制方式录制用户的操作状态，实时监控当前用户的操作状态，并将录制的操作状态数据发送到计算机安全监测模块完成数据的监测；

计算机安全监测模块，以静态jar包的形式部署于计算机上，用于进行计算机安全的监测，并输出对应的监测结果和防御决策；

数据转移模块，用于根据计算机安全监测模块得出的评估结果进行数据的转移操作，若接收到的评估结果为危险，则立即将对应的数据打包通过应急传输通道转移至另一个安全储存空间内，并清除对应的安全储存空间中的数据；

网络切断模块，用于根据计算机安全监测模块得出的评估结果进行计算机网接网络的切断；

USB接口切断模块，用于根据计算机安全监测模块得出的评估结果进行计算机USB接口功能的启闭；

应急通道模块，用于提示被攻陷计算机的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

中央处理器，用于根据人机交互模块输入的生物特征数据完成用户身份的识别，并根据识别结果通过预设的算法进行安全储存空间内数据权限的开闭，权限开放后方可进行解密密文的输入；用于接收人机交互模块输入的数据，按照预设的算法对数据的类型进行识别，并按照识别后的数据类型选择相应的加密算法进行加密，并根据识别后的数据类型完成数据的储存；用于接收人机交互模块输入的控制命令，并安装预设的算法以及其对应的权限将这些控制命令发送到对应的模块，若所接收到的控制命令不在该用户的操作权限内，则以弹出对话框的形式进行提醒；用于根据计算机安全监测模块得出的评估结果进行数据操作权限的启闭。

2.如权利要求1所述的一种计算机信息安全保护系统,其特征在于，所述计算机安全监测模块包括

异常行为评估模块，用于接收操作状态录制模块发送的操作状态，并将其与异常行为数据库内的行为数据进行相似度对比，将对比结果发送到网络切断模块和USB接口切断模块，并通过短信编辑模块发送到指定的移动终端进行显示；

定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒隔离模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到计算机显示屏和网络异常评估模块；

病毒模拟隔离模块，用于利用模拟服务与产生异常流量的计算机通信，提取攻击指纹特征，充实病毒特征库；

病毒特征匹配模块，用于计算被监控计算机通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到计算机显示屏进行显示；

累计流量计算模块，利用原始数据包报文头部信息进行流量统计，以计算机对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；

网络异常评估模块，用于通过建立的多态响应网络异常评估模型进行网络异常情况的评估，并将评估结果发送到防御决策生成模块；

防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至计算机显示屏；

防御决策执行模块，用于根据人机交互模块输入的控制命令进行相应的防御决策的执行。

3.如权利要求1所述的一种计算机信息安全保护系统,其特征在于，该系统还包括一加密算法数据库，内设有多个基本加密算法储存模块，每个基本加密储存模块内均设有多种加密算法，加密算法的调用先采用根据数据类型选择对应的加密算法储存模块，然后在该模块内采用随机的方式调用加密算法完成数据的加密。

4.如权利要求1所述的一种计算机信息安全保护系统,其特征在于，所述加密模块采用客户预设密文加密的方式完成数据的加密。

5.根据权利要求1所述的一种计算机信息安全保护系统,其特征在于，所述生物特征数据采用声纹数据；该声纹数据为从录入的用户朗读指定验证文本的语音中获取的用户的声纹特征和唇动间隔时间数据。

6.根据权利要求2所述的一种计算机信息安全保护系统,其特征在于，所述病毒模拟隔离模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

7.根据权利要求1所述的一种计算机信息安全保护系统,其特征在于，所述安全储存空间与中央处理器之间设置有相互独立的双通道连接模块，在任意一个通道进行通讯时，另一个备用通道进行密钥更新。