CN112202811A - 信息通信系统数据安全传输方法及其系统 - Google Patents
信息通信系统数据安全传输方法及其系统 Download PDFInfo
- Publication number
- CN112202811A CN112202811A CN202011156560.8A CN202011156560A CN112202811A CN 112202811 A CN112202811 A CN 112202811A CN 202011156560 A CN202011156560 A CN 202011156560A CN 112202811 A CN112202811 A CN 112202811A
- Authority
- CN
- China
- Prior art keywords
- client
- information
- server
- data
- desktop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000005540 biological transmission Effects 0.000 title claims abstract description 18
- 238000004891 communication Methods 0.000 title claims abstract description 18
- 230000000875 corresponding effect Effects 0.000 claims abstract description 12
- 238000012544 monitoring process Methods 0.000 claims description 32
- 238000003860 storage Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 9
- 230000003993 interaction Effects 0.000 claims description 4
- 238000012806 monitoring device Methods 0.000 claims description 4
- 230000009471 action Effects 0.000 abstract description 8
- 238000005516 engineering process Methods 0.000 description 14
- 238000007726 management method Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 11
- 238000013461 design Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000011160 research Methods 0.000 description 8
- 238000011161 development Methods 0.000 description 5
- 238000007639 printing Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000005728 strengthening Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005286 illumination Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000036632 reaction speed Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/14—Digital output to display device ; Cooperation and interconnection of the display device with other functional units
- G06F3/1454—Digital output to display device ; Cooperation and interconnection of the display device with other functional units involving copying of the display data of a local workstation or window to a remote workstation or window so that an actual copy of the data is displayed simultaneously on two or more displays, e.g. teledisplay
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N19/00—Methods or arrangements for coding, decoding, compressing or decompressing digital video signals
- H04N19/46—Embedding additional information in the video signal during the compression process
- H04N19/467—Embedding additional information in the video signal during the compression process characterised by the embedded information being invisible, e.g. watermarking
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Multimedia (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种信息通信系统数据安全传输方法及其系统,包括服务器接收客户机的登入请求,查询客户机的关联数据库,运行客户机的操作系统,生成操作界面,并发送操作界面图像至客户机;服务器接收客户机在操作界面上的操作请求,根据操作请求,在操作系统中执行相应的动作,更新操作界面,同步发送操作界面图像至客户机上显示。本发明具有的优点是客户机形成的操作界面仅仅是服务器发送的显示桌面,呈图像形式,客户机上无任何数据,用户在客户机上进行操作时,客户机会将用户的操作动作实时发送给服务器,服务器快速模拟,操作后的界面,并将该界面发送至客户机,整个工作流程放在服务器完成,客户机上没有任何文件产生,保证了信息无法泄露。
Description
技术领域
本发明涉及信息安全领域,具体涉及信息通信系统数据安全传输方法及其系统。
背景技术
根据信息安全发展的“三阶段说”,信息安全发展可分为通信保密、计算机系统安全和网络信息系统安全三个阶段。由于我国信息安全管理的特殊性,所以其过程只划分为两个阶段:通信保密管理阶段和计算机与网络信息系统安全管理阶段。由于国内对此方面理论研究较少,整理成书的更少,只能在报刊杂志上找到一些相关的资料。
(1)通信保密阶段(1978 年-1993 年)。这个时期我国计算机及网络尚处在萌芽状态,互联网局限于初始的研究试验阶段,仅有少数高等院校、研究机构应用网络,主要功能是收发电子邮件,所以这个阶段的信息安全保密管理是以传统通信保密管理为主。
(2)计算机与网络信息系统安全管理阶段(1994 年-至今)。1994年颁布了《计算机信息系统安全保护条例》,标志着我国信息安全管理发展到计算机与网络信息系统安全管理阶段。比较有代表性的法律法规文件有2001实施的《计算机信息系统安全保护等级划分准则》,是我国第一部关于计算机信息系统安全等级划分的标准;2003下发了《关于加强信息安全保障工作的意见》,该《意见》是指导我国信息安全工作的纲领性文件;2006年颁布了《2006一2020年国家信息化发展战略》;2007年7月,下发了《中共中央关于加强新形势下密码工作的决定》;2010年4月修订通过了《中华人民共和国保守国家秘密法》。
随着信息化建议的快速推进,很多企业利用网络与信息系统实现了人、财、物集约化、扁平化管控;同时,数据已成为企业的战略核心资产,各类数据在企业生产运行、经营管理、客户服务等领域发挥重要作用。企业各类信息通信系统众多,涉密信息数据相对集中,一旦发生失泄密事件,后果将极其严重。一方面,信息通信系统数据量大、分布面广、利用价值高、数据采集点多、发布渠道多样化,各类数据泄露的风险大幅提升,数据安全防护面临严峻挑战。另一方面,目前拍照、拷贝是造成数据泄密的主要途径,信息携带量巨大,且隐蔽,目前传统的保密手段难以有效防。
信息系统现阶段还无法达到完全的自动化和智能化运行。因此需要各级技术人员对信息系统进行运行和维护。在整个信息系统运行的过程中,起主导作用的仍然是人,是各级管理员。设备的作用仍然仅仅停留在执行层面。因此信息系统的稳定运行的决定因素始终都在于人员的操作。
发明内容
本发明的一个目的是解决至少上述问题,并提供至少后面将说明的优点。
本发明的目的在于提供信息通信系统数据安全传输方法及其系统,为解决现有企业的信息容易泄露的问题。
为了实现根据本发明的这些目的和其它优点:
公开第一方面,信息通信系统数据安全传输方法,包括:
服务器接收客户机的登入请求,在数据库中查询客户机是否有登入权限,如客户机具有权限,再查询客户机的关联数据库,运行客户机的操作系统,生成客户机的操作界面,并发送操作界面图像至客户机上进行显示;
服务器接收客户机在操作界面上的操作请求,根据操作请求,在操作系统中执行相应的动作,更新操作界面,同步发送操作界面图像至客户机上显示。
在一个可能的设计中,上述的操作请求包括开启应用、在应用中编辑信息以及关闭应用。
在一个可能的设计中,上述服务器接收到客户机的登入请求时,还发送启动命令到与客户机关联的监控设备,监控设备将实时监控信息发送至服务器,服务器将实时监控信息存储到对应的客户数据库中。
在一个可能的设计中,上述服务器接收到实时监控信息后,对监控画面中的人员进行人脸识别,所述客户数据库中存储有与客户机关联的操作人员信息,服务器不断将监控画面中的人员与关联的操作人员信息进行比对,如有非关联操作人员时,即发出警报。
在一个可能的设计中,上述客户机登入成功后,启动数据传输接口监控,客户机将与外部设备进行的数据交互形成记录,并发送至服务器。
在一个可能的设计中,上述服务器发送操作界面至客户机时,还在操作界面上增加数字水印。
在一个可能的设计中,上述服务器的数据接收和数据发送都经过安全网关,所述安全网关获取所有客户机的地址,并赋予客户机唯一编号,方便对客户机进行监控,安全网关可对客户机进行开启或禁止数据传输设置。
在一个可能的设计中,上述客户机在退出登入时,客户机对从服务器处接收到的数据进行清除。
第二方面,信息通信系统数据安全传输系统,包括:
服务器,设置存储模块存储所有用户的信息;设置处理模块,用于模拟用户桌面,形成用户桌面信息;设置数据收发模块,用于发送桌面信息到用户,以及接收用户传输的信息;
客户机,包括显示模块,用于显示桌面信息;操作模块,用于在桌面上进行操作;采集模块,用于采集用户的操作信息,并通过信息收发模块实时发送至服务器。
在一个可能的设计中,上述服务器上设置有安全网关,数据收发模块接收到数据后,将数据发送至安全网关,进行甄别后传送至处理模块。
本发明至少包括以下有益效果:(1)客户机形成的操作界面仅仅是服务器发送的显示桌面,呈图像形式,客户机上无任何数据,用户在客户机上进行操作时,客户机会将用户的操作动作实时发送给服务器,服务器快速模拟,操作后的界面,并将该界面发送至客户机,整个工作流程放在服务器完成,客户机上没有任何文件产生,保证了信息无法泄露;
(2)客户机处设置监控设备,当客户机登入到服务器后,监控设备监控周围人群,进行人脸识别,当出现与该客户机非关联人员时,即进行报警;
(3)客户机上的模拟桌面的图像中会插入水印,避免被人侵犯权益;
(4)服务器的数据输入输出端口处设置有一个网关,对接收的数据进行监控,避免攻击型的数据传输到服务器,也方便监控人员检查客户机使用情况。
本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
附图说明
图1 为本发明的运行流程图;
图2 为本发明的系统结构图;
图3 为本发明中增设安全网关的系统结构图。
具体实施方式
下面结合附图对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及
附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例 中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所 附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
第一方面,如图1,信息通信系统数据安全传输方法,包括:
S101.服务器接收客户机的登入请求,在数据库中查询客户机是否有登入权限,如客户机具有权限,再查询客户机的关联数据库,运行客户机的操作系统,生成客户机的操作界面,并发送操作界面图像至客户机上进行显示;
S102.服务器接收客户机在操作界面上的操作请求,根据操作请求,在操作系统中执行相应的动作,更新操作界面,同步发送操作界面图像至客户机上显示。
本发明中,客户机上安装一个客户端,该客户端有登入登出功能,显示服务器发送的图像功能,以及监控用户任何操作并进行记录,然后发送给服务器的功能。客户机可以是电脑、平板、手机等。
设计服务器统筹管理客户机的操作,用户在客户机上登入后,服务器会查询客户的数据库,客户数据中保存有自己的操作系统,该操作系统关联用户的所有文件、应用,会像如电脑一样形成的系统,用户可以在操作系统上进行操作,从而编辑数据,当然手机和平板也一样;服务器将操作桌面形成图形发送到客户机上,客户机即登入至桌面,类似与现有电脑、平板、手机等的桌面。
现在以企业中常用的电脑举例,用户在电脑上登入后,即得到一个类桌面,这个桌面是服务器在其处理中模拟,仅仅发送图像到用户电脑上显示。当用户执行动作时,举例1,如移动鼠标,也会发送操作请求到服务器,服务器在其模拟的操作桌面上相应的移动鼠标,其实这个速度非常快,基本无延时,这样用户就相当于在自己电脑上进行操作一样流畅;举例2,如点击文件,如Word文件,这时客户机立刻采集到动作信息,发送至服务器,在其操作桌面上打开该Word文件,该Word文件是存储在关联数据库中,该Word文件即在操作桌面上打开,整个过程也会无缝地发送图片到客户机上显示,该图片一般一秒24帧,即操作桌面上每秒连续拍摄24张图像至客户机上进行显示,保证用户的体验。
举例3,如编辑文件,如Word文件编辑字体,相应地操作桌面上也打开有输入法,用户如同在自己电脑上输入文字,所以会采集用户键盘信息;举例4,如打开公司内部的程序,如OA软件,发起一个请假流程,即点击该软件,服务器中模拟打开OA软件,用户操作填入信息后,点击申请后,服务器会模拟该操作,并且通过网络传送该请求到其上司,即另一个客户机,取名为第二个客户机,第二个客户机上用户如登入后,开启OA软件后,会弹出该消息,用户即可以处理。其他软件的情况也类似,这里主要说明通过操作桌面,是可以实现客户机之间的互动。
所以总结来说上述的操作请求包括开启应用、在应用中编辑信息以及关闭应用。文件和软件都可以统称为应用。需要开启应用,也说明了包括了鼠标动作采集,即包括鼠标的移动和点击。应用中编辑说明了包括了键盘动作采集。关闭应用,也是鼠标的移动和点击。
当有文件或软件内部发生变化时,客户机的关联数据库会相应地进行更新。并且其他客户机进行联动时,客户机的关联数据库也会相应更新。本服务器不采用如同现有软件,采用一个独立的数据库存储该软件所有用户信息,当用户登入后,才调动信息,本服务器将所有客户机的关联数据库合并后作为一个数据库,如用户在OA软件上发送请假流程后,请假信息会直接发送至其他客户机的关联数据库中直接进行更新,不会额外设计一个OA软件关于该客户机的专门数据库,第二个客户机打开请假流程时,不会再与专门数据库进行数据交互,减少交互流程,加快了反应速度。
桌面操作系统及应用都存储在服务器上运行,客户机只是一个输入输出设备,桌面计算几乎不消耗客户机的CPU、内存、显卡等资源。而PC机消耗的是本机的CPU、内存、显卡等资源。
系统将桌面PC的计算和存储资源(包括CPU、内存、硬盘)集中部署在数据中心机房,通过将物理资源转化,根据用户的需求将资源集成为不同规格和服务等级的安全桌面,向用户提供桌面服务。
服务提供者在服务器上运行用户所需的操作系统和应用软件,然后采用桌面显示协议将操作系统桌面视图以图像的方式传送到用户端设备上。同时,服务器将对用户端的输入进行处理,并随时更新桌面视图的内容。
安全桌面防护技术是数据中心化存储。桌面远程访问控制技术,它能够为用户提供远程的计算机桌面服务。服务提供者在数据中心服务器上运行用户所需的操作系统和应用软件,然后采用桌面显示协议将操作系统桌面视图以图像的方式传送到用户端设备上。同时,服务器将对用户端的输入进行处理,并随时更新桌面视图的内容。
上述服务器接收到客户机的登入请求时,还发送启动命令到与客户机关联的监控设备,监控设备将实时监控信息发送至服务器,服务器将实时监控信息存储到对应的客户数据库中。监控设备可以是客户机上的摄像头,也可以是客户机周围设置的摄像头,摄像头将监控画面传送至服务器进行存储。
上述服务器接收到实时监控信息后,对监控画面中的人员进行人脸识别,所述客户数据库中存储有与客户机关联的操作人员信息,服务器不断将监控画面中的人员与关联的操作人员信息进行比对,如有非关联操作人员时,即发出警报。服务器对监控画面进行解析,实时对画面中人员与数据库中人员进行人脸比对,主要是针对该客户机关联的操作人员,如企业中,某个人员的客户机可以面向所有企业在职人员,则该客户机关联所有在职人员,即所有在职人员经过时不报警。如某经理办公室的客户机,在打开后,只能有相应级别人员才能在办公室内,这些人员即是该客户机的关联人员。所以这样可以避免客户机中信息被人窥视。
通过全程摄像及人员自动识别、陌生人员闯入报警、黑/白名单布控等深度人员大数据应用,实现数据安全。
目前,人脸识别技术的应用场景大致可分为静态、动态、各种终端身份识别。静态人脸识别:人脸图像的来源是一幅静态图像。动态人脸识别:基于视频中的人脸照片进行远距离、快速、无接触式的重点人员布控预警系统,是人脸识别和智能视频监控相结合的产物;系统能够对视频图像进行采集、自动分析、抓取人脸实时比对,主动在监控场景中识别重点关注人员,可以应用于运维专区、保障场所等人群密集的信息化保密场所,实现重点人员的布控和识别。与简单的静态场景相比,动态场景中人脸识别受影响的因素更多(复杂光照变化、人脸姿态 变化以及多变的背景等)。而静态的人脸识别技术早已成熟,在公安行业也有 了很多成熟的应用,比如公安系统的大库比对、身份查重等。终端身份识别的难度居中,但这可以看做是一个受控的环境,用户配合度较高,极大降低了是别的难度,所以也有很多成功的应用,比如人脸识别门禁、人脸识别登录、人脸识别解锁等等。动态人脸识别是人脸识别和智能视频监控相结合的产物,所以要实现人脸识别的规模化部署,摄像机智能化是必须条件之一。
事实上,人脸识别一般会分两个环节,一个是人脸的检测,一个是人脸的识别:人脸检测就是确认图像中有没有人脸,人脸识别就是确认这个人脸是谁。目前,已经实现了人脸检测与部分人脸识别功能的前置。但是人脸识别算法的复杂度很高,受限于现有前端摄像机的硬件条件,要在前端摄像机上集成更多得人脸识别功能尚无法实现,因此,通过研究图像识别分析系统,搭配人员智能摄像机使用,可识别出视频中人员目标的更多特征信息,并进行以图搜图、语义搜图、黑/白名单布控等深度人工智能的应用。
上述客户机登入成功后,启动数据传输接口监控,客户机将与外部设备进行的数据交互形成记录,并发送至服务器。
安全桌面的一个关键之处就是外部设备管理。PC机有USB口、串口、并口、1394接口、读卡器接口等多种本地接口,现有的操作系统与办公数据存储在本地硬盘。这些接口与设备都有可能成为数据失泄通道。接口的授权访问,如授权访问U盘读写、打印机、端口以及其他外围设备,必须确定外部设备如何在运维专区安全桌面环境中对这些设备进行支持。通过USB 标准按照分类代码对设备进行区分,进行集中授权,支持可靠的USB连接、打印机以及其他外设等。
安全桌面在使用USB设备时对使用会话进行监控,桌面会话被保留,用户每次登录时USB设备必然要经过检测、创建阶段并被重新配置。
在动作采集举例中,没有提到一些外部设备的连接,如打印机,在进行打印时,用户点击打印后,先发送请求到服务器,服务器存储打印记录,将文件发送至客户机进行打印,当打印完毕后,客户机会自动删除该文件。如U盘,则是客户机发送请求到服务器,服务器允许U盘接入后,该U盘连接到服务器,即在操作界面上可看到U盘,用户点击打开U盘,将U盘上数据导出,或将操作系统中的一些数据导入到U盘,该操作都会被记录在服务器。
上述服务器发送操作界面至客户机时,还在操作界面上增加数字水印。
在企业中,公司人员操作内容主要由计算机文件、计算机屏幕流信息组成。由于屏幕流信息是以图像的形式在用户的计算机屏幕上展现,未经授权的用户可能通过屏幕拷贝或屏幕录制的方式,得到屏幕流信息。因此,屏幕流信息的安全保护比较重要。目前,数字水印已成为一项关键技术和研究热点。数字水印分可见水印和不可见水印2类,同时嵌入可见水印和不可见水印称为双重数字水印。对于数字水印技术的大量研究,早期主要是基于时空域的、空间域数字水印技术,是在图像的空间域修改图像数据中不重要像素的值,以达到隐蔽数字水印的目的。变换域数字水印技术,是通过修改图像数据的变换域系数来进行数字水印信息的隐蔽。
数字水印广泛适用于音视频、图文信息等多媒体电子系统,而且关于图像的数字水印算法尤其繁多。随着网络技术的不断发展,安全防护保护越来越受到重视。随着信息隐蔽技术和数字水印技术研究的不断深入,数字水印技术已经成为数据安全保护的重要手段之一。本研究针对安全桌面屏幕水印问题,研究一种组合的数字水印算法。该算法将水印信息分成可见部分和不可见部分,根据屏幕流彩色图像中相关子块像素值取值特点,在空间域自适应地嵌入可见水印,以实现屏幕保护功能。通过在屏幕流彩色图像中嵌入包含可见水印和不可见水印的双重数字水印,以实现防止照相以及截屏功能。
上述服务器的数据接收和数据发送都经过安全网关,所述安全网关获取所有客户机的地址,并赋予客户机唯一编号,方便对客户机进行监控,安全网关可对客户机进行开启或禁止数据传输设置。
用户终端(客户机)与后端的安全桌面(服务器)之间的连接必须经过统一的安全访问管理,安全网关为服务器提供统一的远程访问入口,将用户合法外部地址随机动态映射到服务器资源池网络,在网络之间执行访问控制策略,对流经的连接数据进行分析,并能够过滤掉一些有攻击特征的数据,可以关闭不使用的端口,禁止特定端口的通信。同时,对远程访问账号行为进行记录和控制,使安全管理员可以集中监控安全桌面远程访问连接状态。实现认证授权、基于角色的访问控制、安全审计与告警、系统数据保护、桌面隔离等安全管理要求。
上述客户机在退出登入时,客户机对从服务器处接收到的数据进行清除。
内存残余数据清除,内存剩余信息保护的重点是,在释放内存前将内存中存储的信息删除,也即将内存清空或写入随机的无关信息。通常情况下,应用系统在使用完内存中信息后,是不会对其使用过的内存进行清理的,这些存储着信息的内存在程序退出后,仍然存储在内存中,如果攻击者对内存进行扫描就会得到存储在其中的信息。内存的动态分配对安全是个极大威胁,许多高等级的攻击极有可能利用剩余信息通过极其复杂的技术来获得其它用户的敏感信息,针对内存剩余信息引起的安全威胁,当安全桌面退出后将对相应内存资源进行回收,将对释放的内存做写“0”处理,从而保障在新启动的安全桌面中无法检测到有用信息。
通过以上内存清零操作,存储着信息的内存将被强制清空,完整的内存剩余信息保护保证了操作系统和用户数据的信息的清零,内存被释放或再分配给其他用户前得到完全清除。
磁盘残余数据动态清除,安全桌面删除后在磁盘存储空间被释放或再分配给其它用户前,对磁盘存储空间进行写零清除。在系统中,用户不再使用安全桌面时将对相应安全桌面资源进行回收,在回收过程中即会对剩余信息进行强制的销毁。删除安全桌面时,系统将首先确认磁盘对应的物理磁盘卷信息,并针对该桌面涉及到的每块磁盘先后进行按位随机数据写入与按位全“0”以及按位全“1”数据写入操作,通过随机数据与全“0”和全“1”数据的至少七轮强制操作,完成安全桌面磁盘的“清除”操作,实现对安全桌面磁盘剩余数据的保护。在完成磁盘剩余信息保护性“清除”销毁后,系统才删除安全桌面磁盘,并完成安全桌面数据删除。
在删除安全桌面操作时,首先对安全桌面磁盘内的数据进行强制删除操作,然后才删除安全桌面磁盘。其他用户被分配使用该块存储空间时,将获得一块“清空”的安全磁盘卷,无法通过技术手段获取任何“剩余信息”,有效的保障了用户的剩余信息安全。
第二方面,如图2,信息通信系统数据安全传输系统,包括:
服务器,设置存储模块存储所有用户的信息;设置处理模块,用于模拟用户桌面,形成用户桌面信息;设置数据收发模块,用于发送桌面信息到用户,以及接收用户传输的信息;
处理模块采用多台大型电脑集合,通过分布式连接,可分开单独运算,也可合并一起运算,存储模块则是集成在电脑中的存储器,也可以是额外的存储器阵列,通过线路连接处理模块,数据收发模块,则是一个网络中继,实现服务器与外部客户机的连接。
客户机,包括显示模块,用于显示桌面信息;操作模块,用于在桌面上进行操作;采集模块,用于采集用户的操作信息,并通过信息收发模块实时发送至服务器。
客户机采用个人电脑,在电脑中安装客户端,第一方面中已经阐述过该客户端的基本功能,这里不做赘述,所以显示模块则是显示器,操作模块则是指鼠标和键盘,采集模块是指安装在电脑中的客户端,可监控鼠标和键盘的操作,通过信息收发模块发送至服务器。
如图3,服务器上设置有安全网关,数据收发模块接收到数据后,将数据发送至安全网关,进行甄别后传送至处理模块。
安全网关其实是一个额外的中间点,即客户机发送的信息,先发送至安全网关,有安全网关核实后,在发送至服务器,用来保护服务器。安全网关是一种现有技术,其主要功能是过滤一些不安全的数据,这里不作赘述。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。
Claims (10)
1.信息通信系统数据安全传输方法,其特征在于,包括:
服务器接收客户机的登入请求,在数据库中查询客户机是否有登入权限,如客户机具有权限,再查询客户机的关联数据库,运行客户机的操作系统,生成客户机的操作界面,并发送操作界面图像至客户机上进行显示;
服务器接收客户机在操作界面上的操作请求,根据操作请求,在操作系统中执行相应的动作,更新操作界面,同步发送操作界面图像至客户机上显示。
2.如权利要求1所述的方法,其特征在于,所述的操作请求包括开启应用、在应用中编辑信息以及关闭应用。
3.如权利要求1所述的方法,其特征在于,所述服务器接收到客户机的登入请求时,还发送启动命令到与客户机关联的监控设备,监控设备将实时监控信息发送至服务器,服务器将实时监控信息存储到对应的客户数据库中。
4.如权利要求3所述的方法,其特征在于,所述服务器接收到实时监控信息后,对监控画面中的人员进行人脸识别,所述客户数据库中存储有与客户机关联的操作人员信息,服务器不断将监控画面中的人员与关联的操作人员信息进行比对,如有非关联操作人员时,即发出警报。
5.如权利要求1所述的方法,其特征在于,所述客户机登入成功后,启动数据传输接口监控,客户机将与外部设备进行的数据交互形成记录,并发送至服务器。
6.如权利要求1所述的方法,其特征在于,所述服务器发送操作界面至客户机时,还在操作界面上增加数字水印。
7.如权利要求1所述的方法,其特征在于,所述服务器的数据接收和数据发送都经过安全网关,所述安全网关获取所有客户机的地址,并赋予客户机唯一编号,方便对客户机进行监控,安全网关可对客户机进行开启或禁止数据传输设置。
8.如权利要求1所述的方法,其特征在于,所述客户机在退出登入时,客户机对从服务器处接收到的数据进行清除。
9.信息通信系统数据安全传输系统,其特征在于,包括:
服务器,设置存储模块存储所有用户的信息;设置处理模块,用于模拟用户桌面,形成用户桌面信息;设置数据收发模块,用于发送桌面信息到用户,以及接收用户传输的信息;
客户机,包括显示模块,用于显示桌面信息;操作模块,用于在桌面上进行操作;采集模块,用于采集用户的操作信息,并通过信息收发模块实时发送至服务器。
10.如权利要求9所述的系统,其特征在于,所述服务器上设置有安全网关,数据收发模块接收到数据后,将数据发送至安全网关,进行甄别后传送至处理模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011156560.8A CN112202811A (zh) | 2020-10-26 | 2020-10-26 | 信息通信系统数据安全传输方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011156560.8A CN112202811A (zh) | 2020-10-26 | 2020-10-26 | 信息通信系统数据安全传输方法及其系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112202811A true CN112202811A (zh) | 2021-01-08 |
Family
ID=74011416
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011156560.8A Pending CN112202811A (zh) | 2020-10-26 | 2020-10-26 | 信息通信系统数据安全传输方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112202811A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113923207A (zh) * | 2021-09-28 | 2022-01-11 | 广东女子职业技术学院 | 计算机网络监控方法和终端 |
CN114036489A (zh) * | 2021-11-11 | 2022-02-11 | 国网山东省电力公司 | 一种基于大数据的信息安全管理方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110107402A1 (en) * | 2009-10-29 | 2011-05-05 | Yoshinori Nagata | Client server system, client apparatus and server apparatus displaying contents of provided services |
CN103414605A (zh) * | 2013-08-14 | 2013-11-27 | 上海兆民云计算科技有限公司 | 基于交换网关的桌面云监控方法 |
CN103441986A (zh) * | 2013-07-29 | 2013-12-11 | 中国航天科工集团第二研究院七〇六所 | 一种瘦客户端模式的数据资源安全管控方法 |
CN105373718A (zh) * | 2014-08-25 | 2016-03-02 | 中兴通讯股份有限公司 | 虚拟机运行处理方法及装置 |
CN105704249A (zh) * | 2016-04-18 | 2016-06-22 | 广州优达信息科技有限公司 | 一种复合云桌面系统 |
-
2020
- 2020-10-26 CN CN202011156560.8A patent/CN112202811A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110107402A1 (en) * | 2009-10-29 | 2011-05-05 | Yoshinori Nagata | Client server system, client apparatus and server apparatus displaying contents of provided services |
CN103441986A (zh) * | 2013-07-29 | 2013-12-11 | 中国航天科工集团第二研究院七〇六所 | 一种瘦客户端模式的数据资源安全管控方法 |
CN103414605A (zh) * | 2013-08-14 | 2013-11-27 | 上海兆民云计算科技有限公司 | 基于交换网关的桌面云监控方法 |
CN105373718A (zh) * | 2014-08-25 | 2016-03-02 | 中兴通讯股份有限公司 | 虚拟机运行处理方法及装置 |
CN105704249A (zh) * | 2016-04-18 | 2016-06-22 | 广州优达信息科技有限公司 | 一种复合云桌面系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113923207A (zh) * | 2021-09-28 | 2022-01-11 | 广东女子职业技术学院 | 计算机网络监控方法和终端 |
CN114036489A (zh) * | 2021-11-11 | 2022-02-11 | 国网山东省电力公司 | 一种基于大数据的信息安全管理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103441986B (zh) | 一种瘦客户端模式的数据资源安全管控方法 | |
US20190130081A1 (en) | Methods and systems for generating history data of system use and replay mode for identifying security events showing data and user bindings | |
Britz | Computer forensics and cyber crime: An introduction, 2/e | |
US20050066165A1 (en) | Method and system for protecting confidential information | |
JP4299249B2 (ja) | 複製防止装置、複製防止方法およびその方法をコンピュータに実行させるプログラム | |
CN101520831B (zh) | 安全终端系统及终端安全方法 | |
CN102999732B (zh) | 基于信息密级标识的多级域防护方法及系统 | |
US11693981B2 (en) | Methods and systems for data self-protection | |
CN103218575A (zh) | 一种主机文件安全监控方法 | |
CN112202811A (zh) | 信息通信系统数据安全传输方法及其系统 | |
Vuorinen et al. | The order machine–The ontology of information security | |
Gupta et al. | An insight review on multimedia forensics technology | |
Barlow et al. | Employee “spy” software: Should you use it? | |
CN114254269B (zh) | 基于区块链技术的生物数字资产确权系统和方法 | |
CN114218194A (zh) | 数据银行安全系统 | |
JP6729013B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
Gupta et al. | A Review on Data Leakage Detection for Secure Communication | |
Nanda et al. | Oracle Privacy Security Auditing: Includes Federal Law Compliance with HIPAA, Sarbanes Oxley and the Gramm Leach Bliley Act GLB | |
Aljawarneh | Cloud security engineering concept and vision: Concept and vision | |
JP4410185B2 (ja) | 情報処理装置及びその方法、プログラム | |
Chee | Steganographic techniques on social media: Investigation guidelines | |
da Silva | AI in the Era of Fakes and Deepfakes: Risk of Fabricated Photographs and Identities in Academic Publishing | |
CN115220665B (zh) | 分布式存储系统的访问方法及系统 | |
CN112417464B (zh) | 一种云计算数权保护方法及装置 | |
US20240114056A1 (en) | Defining a security perimeter using knowledge of user behavior within a content management system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210108 |
|
RJ01 | Rejection of invention patent application after publication |