CN116827668A - 一种基于零信任架构的数据防泄漏系统及方法 - Google Patents

一种基于零信任架构的数据防泄漏系统及方法 Download PDF

Info

Publication number
CN116827668A
CN116827668A CN202310958469.5A CN202310958469A CN116827668A CN 116827668 A CN116827668 A CN 116827668A CN 202310958469 A CN202310958469 A CN 202310958469A CN 116827668 A CN116827668 A CN 116827668A
Authority
CN
China
Prior art keywords
remote virtual
virtual browser
zero
trust
container
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310958469.5A
Other languages
English (en)
Other versions
CN116827668B (zh
Inventor
请求不公布姓名
陈夕
杨望星
刘涛
李津
戴向春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Yunyong Electronic Technology Co ltd
Original Assignee
Jiangsu Yunyong Electronic Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Yunyong Electronic Technology Co ltd filed Critical Jiangsu Yunyong Electronic Technology Co ltd
Priority to CN202310958469.5A priority Critical patent/CN116827668B/zh
Publication of CN116827668A publication Critical patent/CN116827668A/zh
Application granted granted Critical
Publication of CN116827668B publication Critical patent/CN116827668B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及信息安全技术领域,具体涉及一种基于零信任架构的数据防泄漏系统,包括零信任访问控制系统和远程浏览器隔离控制系统,所述零信任访问控制系统包括至少一零信任客户端、零信任控制中心和零信任接入网关,所述远程浏览器隔离控制系统包括远程虚拟浏览器容器管理服务单元和至少一远程虚拟浏览器容器。本发明基于零信任安全架构设计技术,通过远程虚拟浏览器容器远程代理访问业务数据,并将所访问的数据通过像素流返回给零信任客户端,这样零信任客户端就无法将真实数据下载到本地,从而防止数据被非法下载。同时,通过在远程的浏览器中加注水印信息,可以有效防止将页面数据被非法拍照分发出去,也能实现事后追溯。

Description

一种基于零信任架构的数据防泄漏系统及方法
技术领域
本发明涉及零信任技术领域,具体是一种基于零信任架构的数据防泄漏系统及方法。
背景技术
根据统计,2020年最具影响力和赏金最高的十大漏洞类型:跨站脚本攻击(XSS)、不当访问控制、信息泄露、服务器端伪造请求(SSRF)、不安全的直接对象引用(IDOR)、权限提升、SQL注入、错误身份验证、代码注入及跨站点请求伪造(CSRF)。这些漏洞大部分都与Web应用相关,其中网络攻击基本是通过终端浏览器发起的,企业很难在客户电脑上保证用户的浏览器没有被木马等病毒污染,也很难限制用户去访问一些不安全的钓鱼网站。对于一些重要企业数据,通过浏览器下载页面或者屏幕拍照后可以轻易的分享出去,从而造成企业重大的数据泄漏事故,因此,浏览器已成为黑客获取企业数据的重要手段。
发明内容
本发明的目的在于克服以上存在的技术问题,提供一种基于零信任架构的数据防泄漏系统。
为实现上述目的,本发明采用如下的技术方案:
一种基于零信任架构的数据防泄漏系统,包括零信任访问控制系统和远程浏览器隔离控制系统;
所述零信任访问控制系统包括至少一零信任客户端、零信任控制中心和零信任接入网关,用户通过所述零信任客户端向所述零信任控制中心发起身份验证请求,所述零信任控制中心接收到所述身份验证请求后,验证所述用户的身份合法性,验证通过后,所述零信任控制中心将验证结果发送给所述零信任接入网关,用户使用所述零信任客户端接入所述零信任接入网关,通过所述零信任接入网关向所述远程浏览器隔离控制系统发送访问请求业务;
所述远程浏览器隔离控制系统包括远程虚拟浏览器容器管理服务单元和至少一远程虚拟浏览器容器;
所述远程虚拟浏览器容器管理服务单元用于接收所述零信任客户端的访问请求,并将所述访问请求发送给所述远程虚拟浏览器容器,并对所述远程虚拟浏览器容器进行全生命周期的管理;
所述远程虚拟浏览器容器是定制的静态操作系统和浏览器镜像,具备防止非法植入代码侵入的能力,用于接收到所述访问请求问后去实际代理执行访问操作任务,并将访问的数据通过像素流传输给所述零信任客户端。
进一步地,所述远程虚拟浏览器容器管理服务单元对所述远程虚拟浏览器容器进行全生命周期的管理包括初始化、服务开通及销毁。
进一步地,所述远程虚拟浏览器容器具备防止非法植入代码侵入的能力包括防止木马和病毒加载、钓鱼网站访问、跨站攻击、OS注入的一种或多种。
进一步地,所述远程虚拟浏览器容器包括远程虚拟浏览器像素服务模块和容器访问监控服务模块;
所述远程虚拟浏览器像素服务模块为基于像素流的远程帧缓冲RFB协议,将所述访问的数据通过像素流传输给所述零信任客户端;
所述容器访问监控服务模块用以持续监控所述远程虚拟浏览器像素服务模块的像素访问情况并计算空闲时长,当超过指定空闲时长时,其所述远程虚拟浏览器容器将会自动销毁。
进一步地,所述远程虚拟浏览器容器还包括水印模块,用于将所述远程虚拟浏览器像素服务模块传输给所述零信任客户端的数据加注水印信息。
进一步地,所述水印信息是访问用户的身份信息、时间信息的一种或组合。
本发明还提供了一种基于零信任架构的数据防泄漏方法,包括以下步骤:
S1:用户的身份通过零信任访问控制系统验证通过后,通过零信任客户端并经零信任接入网关向远程虚拟浏览器容器管理服务单元发送业务访问请求;
S2:所述远程虚拟浏览器容器管理服务单元收到所述业务访问请求后,查询当前是否有待机状态的远程虚拟浏览器容器,
如果有,则从中随机获取一个未被占用的所述远程虚拟浏览器容器,并将其开通并与所述用户绑定,从而所述用户获得与其所绑定的远程虚拟浏览器容器的访问权限;
如果无,则创建开通一个全新的远程虚拟浏览器容器,并将其与所述用户绑定,从而所述用户获得与其所绑定的远程虚拟浏览器容器的访问权限;
之后,将所述业务访问请求发送给所述远程虚拟浏览器容器;
S3:所述远程虚拟浏览器容器接收到所述业务访问请求问后去代理执行访问操作任务,并将访问的数据通过像素流传输给所述零信任客户端。
进一步地,所述远程虚拟浏览器容器包括远程虚拟浏览器像素服务模块和容器访问监控服务模块;
所述远程虚拟浏览器像素服务模块为基于像素流的远程帧缓冲RFB协议,将访问的数据通过像素流传输给所述零信任客户端;
所述容器访问监控服务模块用以持续监控所述远程虚拟浏览器像素服务模块的像素访问情况并计算空闲时长,当超过指定空闲时长时,其所述远程虚拟浏览器容器将会自动销毁。
进一步地,所述远程虚拟浏览器容器还包括水印模块,用于将所述远程虚拟浏览器像素服务模块传输给所述零信任客户端的数据加注水印信息。
进一步地,还包括步骤S4:当远程虚拟浏览器容器管理服务单元收到所述远程虚拟浏览器容器被销毁的消息后,所述远程虚拟浏览器容器管理服务单元将用户与所述远程虚拟浏览器容器解绑,从而所述用户无法访问所述远程虚拟浏览器容器,容器被销毁后,容器中的所有数据全部被清除,即使磁盘被盗也不会泄漏数据。
本发明基于零信任安全架构设计技术,通过远程虚拟浏览器容器远程代理访问业务数据,并将所访问的数据通过像素流返回给零信任客户端,这样零信任客户端就无法将数据下载到本地,从而防止数据被非法下载。同时,数据通过加注水印信息,可以有效防止将数据被非法拍照分发出去,也能实现事后追溯。
附图说明
图1:本发明基于零信任架构的数据防泄漏系统实施例1的系统架构示意图。
图2:本发明基于零信任架构的数据防泄漏系统实施例2的系统架构示意图。
图3:本发明基于零信任架构的数据防泄漏方法的访问流程示意图。
具体实施方式
下面结合附图及实施例对本发明进行详细说明。
实施例1:
如图1所示,一种基于零信任架构的数据防泄漏系统,包括零信任访问控制系统和远程浏览器隔离控制系统,整个系统采用零信任架构设计,安全性更高。
所述零信任访问控制系统包括至少一零信任客户端、零信任控制中心和零信任接入网关,用户通过所述零信任客户端向所述零信任控制中心发起身份验证请求,所述零信任控制中心接收到所述身份验证请求后,验证所述用户的身份合法性,验证通过后,所述零信任控制中心将验证结果发送给所述零信任接入网关,用户使用所述零信任客户端接入所述零信任接入网关,通过所述零信任接入网关向所述远程浏览器隔离控制系统发送访问请求业务;
优选地,所述零信任客户端可以是零信任浏览器、零信任云桌面等客户端。
所述远程浏览器隔离控制系统包括远程虚拟浏览器容器管理服务单元和至少一远程虚拟浏览器容器,远程虚拟浏览器容器管理服务单元和远程虚拟浏览器容器部署在同一个主机上。
所述远程虚拟浏览器容器管理服务单元用于接收所述零信任客户端的访问请求,并将所述访问请求发送给所述远程虚拟浏览器容器,并对所述远程虚拟浏览器容器进行全生命周期的管理,包括初始化、服务开通及销毁。
下面简要介绍下各个阶段生命周期的管理:
初始化:
当所述远程虚拟浏览器容器被所述远程虚拟浏览器容器管理服务单元启动后,所述远程虚拟浏览器容器的基础模块会先完成启动、加载,完成一个全新容器的初始化过程,此后该容器被置为“待机状态”,等待所述远程虚拟浏览器容器管理服务单元将其开通给特定用户。
服务开通:
当接收到零信任客户端发来的访问请求后,所述远程虚拟浏览器容器管理服务单元从“待机状态”的容器中随机获取一个远程虚拟浏览器容器,并将访问用户的信息设置到该远程虚拟浏览器容器中,同时,将该访问用户与远程虚拟浏览器容器进行一一绑定,为该用户开通访问所述远程虚拟浏览器容器的权限,用户获得该权限后,即可访问该所述远程虚拟浏览器容器。
销毁:
当远程虚拟浏览器容器管理服务单元接收到所述远程虚拟浏览器容器发来的已销毁的信息后,会将该用户所绑定的远程虚拟浏览器容器进行解绑,保证该用户下次能绑定新的远程虚拟浏览器容器。
所述远程虚拟浏览器容器是定制的静态操作系统和浏览器镜像,具备防止木马和病毒加载、钓鱼网站访问、跨站攻击、OS注入的能力。
所述远程虚拟浏览器容器接收到所述访问请求后去实际代理执行访问操作任务,并将访问的数据通过像素流传输给所述零信任客户端。
优选地,所述远程虚拟浏览器容器包括远程虚拟浏览器像素服务模块和容器访问监控服务模块等基础模块。
所述远程虚拟浏览器像素服务模块为基于像素流的远程帧缓冲RFB协议,将所述访问的数据通过像素流传输给所述零信任客户端。
所述容器访问监控服务模块用以持续监控所述远程虚拟浏览器像素服务模块的像素访问情况并计算空闲时长,当超过指定空闲时长时,其所述远程虚拟浏览器容器将会自动销毁,所述远程虚拟浏览器容器销毁后将会销毁结果发送给所述远程虚拟浏览器容器管理服务单元。
本实施例通过远程虚拟浏览器容器远程代理访问业务数据,并将所访问的数据通过像素流返回给零信任客户端,这样零信任客户端就无法将数据下载到本地,从而防止数据被非法下载。
实施例2:
与实施例1的区别仅在于,如图2所示,所述远程虚拟浏览器容器还包括水印模块,所述水印模块用于将所述远程虚拟浏览器像素服务模块传输给所述零信任客户端的数据加注水印信息。
优选地,所述水印信息是用户姓名、手机号后4位、当前日期等信息。
本实施例将数据通过加注水印信息,可以有效防止将数据被非法拍照分发出去,也能实现事后追溯。
实施例3:
如图3所示,一种基于零信任架构的数据防泄漏方法,包括以下步骤:
S1:用户A、用户B、用户F的身份通过零信任控制中心验证通过后,分别使用零信任浏览器A、零信任浏览器B、零信任云桌面F经零信任接入网关向远程虚拟浏览器容器管理服务单元发送业务访问请求;零信任控制中心会将对用户A、用户B、用户F验证的结果发送零信任接入网关,只有身份通过验证后,零信任接入网关才允许接入。
向所述远程虚拟浏览器容器管理服务单元发送访问请求,具体是:
用户A通过零信任浏览器A经零信任接入网关向所述远程虚拟浏览器容器管理服务单元发送访问畅捷通服务器的请求;用户B通过零信任浏览器B经零信任接入网关向所述远程虚拟浏览器容器管理服务单元发送访问MES服务器的请求;用户F通过零信任云桌面F经零信任接入网关向所述远程虚拟浏览器容器管理服务单元发送访问OA服务器的请求。
S2:所述远程虚拟浏览器容器管理服务单元收到用户A、用户B和用户F发送的访问请求后,首先查询当前是否有待机状态的远程虚拟浏览器容器;
如果有,则从中随机获取三个未被占用的所述远程虚拟浏览器容器(如远程虚拟浏览器容器A、远程虚拟浏览器容器B、远程虚拟浏览器容器F),然后将其开通,并将用户A、用户B和用户F的信息分别注入到远程虚拟浏览器容器A、远程虚拟浏览器容器B和远程虚拟浏览器容器F中,实现用户A与远程虚拟浏览器容器A、用户B与远程虚拟浏览器容器B、用户F与远程虚拟浏览器容器F一一绑定,从而每个用户获得访问其所绑定的远程虚拟浏览器容器的权限;
如果无,则为每个用户创建开通一个全新的远程虚拟浏览器容器,并将其与用户一一绑定,具体如上述所述,从而用户获得与其所绑定的远程虚拟浏览器容器的访问权限;
之后,将用户A、用户B和用户F的访问请求分别发送给远程虚拟浏览器容器A、远程虚拟浏览器容器B和远程虚拟浏览器容器F。
当然需要说明的是,经查询待机状态里缺几个远程虚拟浏览器容器,则创建缺少数量的远程虚拟浏览器容器即可。如查询已有1个待机状态的远程虚拟浏览器容器,那本实施例只要创建2个全新的远程虚拟浏览器容器即可。
S3:所述远程虚拟浏览器容器A收到用户A访问畅捷通服务器的请求后,由其内部的远程虚拟浏览器像素服务模块A去远程访问畅捷通服务器,并通过水印服务模块A将访问获取加注用户姓名、手机号、当前日期等水印信息,由远程虚拟浏览器像素服务模块A以像素流的形式经零信任接入网关传输给零信任浏览器A。这样,用户A在使用过程中,表面上与打开普通网站是一样的使用体验与效果,实质上本地零信任浏览器A是与远程虚拟浏览器容器A通过远程虚拟浏览器像素服务模块A进行通讯,将远程虚拟浏览器容器A中的实际网页内容通过像素流推送到用户A本地零信任浏览器A中。因此,用户A只能通过零信任浏览器A在屏幕上看到访问的结果,不能将其下载到本地,从而防止数据被非法下载。同时,数据通过加注水印信息,可以有效防止将数据被非法拍照分发出去,也能实现事后追溯。
所述远程虚拟浏览器容器A的容器访问监控服务模块A会持续监控所述远程虚拟浏览器像素服务模块A的像素访问情况并计算空闲时长,当超过指定空闲时长时,其所述远程虚拟浏览器容器A将会自动销毁,并将销毁的消息发送给所述远程虚拟浏览器容器管理服务单元。
所述远程虚拟浏览器容器B收到用户B访问MES服务器的请求后,由其内部的远程虚拟浏览器像素服务模块B去远程访问MES服务器,并通过水印服务模块B将访问获取加注用户姓名、手机号、当前日期等水印信息,由远程虚拟浏览器像素服务模块B以像素流的形式经零信任接入网关传输给零信任浏览器B。这样,用户B在使用过程中,表面上与打开普通网站是一样的使用体验与效果,实质上本地零信任浏览器B是与远程虚拟浏览器容器B通过远程虚拟浏览器像素服务模块B进行通讯,将远程虚拟浏览器容器B中的实际网页内容通过像素流推送到用户B本地零信任浏览器B中。因此,用户B只能通过零信任浏览器B在屏幕上看到访问的结果,不能将其下载到本地,从而防止数据被非法下载。同时,数据通过加注水印信息,可以有效防止将数据被非法拍照分发出去,也能实现事后追溯。
所述远程虚拟浏览器容器B的容器访问监控服务模块B会持续监控所述远程虚拟浏览器像素服务模块B的像素访问情况并计算空闲时长,当超过指定空闲时长时,其所述远程虚拟浏览器容器B将会自动销毁,并将销毁的消息发送给所述远程虚拟浏览器容器管理服务单元。
所述远程虚拟浏览器容器F收到用户F访问OA服务器的请求后,由其内部的远程虚拟浏览器像素服务模块F去远程访问OA服务器,并通过水印服务模块F将访问获取加注用户姓名、手机号、当前日期等水印信息,由远程虚拟浏览器像素服务模块F以像素流的形式经零信任接入网关传输给零信任云桌面F。这样,用户F在使用过程中,表面上与打开普通网站是一样的使用体验与效果,实质上本地零信任云桌面F是与远程虚拟浏览器容器F通过远程虚拟浏览器像素服务模块F进行通讯,将远程虚拟浏览器容器F中的实际网页内容通过像素流推送到用户F本地零信任云桌面F中。因此,用户F只能通过零信任云桌面F在屏幕上看到访问的结果,不能将其下载到本地,从而防止数据被非法下载。同时,数据通过加注水印信息,可以有效防止将数据被非法拍照分发出去,也能实现事后追溯。
所述远程虚拟浏览器容器F的容器访问监控服务模块F会持续监控所述远程虚拟浏览器像素服务模块F的像素访问情况并计算空闲时长,当超过指定空闲时长时,其所述远程虚拟浏览器容器F将会自动销毁,并将销毁的消息发送给所述远程虚拟浏览器容器管理服务单元。
S4:所述远程虚拟浏览器容器管理服务单元收到所述远程虚拟浏览器容器A销毁的消息后,将所述远程虚拟浏览器容器A与用户A的身份绑定关系解除,即解除了用户A的访问权限。所述远程虚拟浏览器容器管理服务单元收到所述远程虚拟浏览器容器B销毁的消息后,将所述远程虚拟浏览器容器B与用户B的身份绑定关系解除,即解除了用户B的访问权限。所述远程虚拟浏览器容器管理服务单元收到所述远程虚拟浏览器容器F销毁的消息后,将所述远程虚拟浏览器容器F与用户F的身份绑定关系解除,即解除了用户F的访问权限。
最后应说明的是:以上实施例仅用以说明本发明而并非限制本发明所描述的技术方案;因此,尽管本说明书参照上述的各个实施例对本发明已进行了详细的说明,但是,本领域的普通技术人员应当理解,仍然可以对本发明进行修改或等同替换;而一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围中。

Claims (10)

1.一种基于零信任架构的数据防泄漏系统,其特征在于:包括零信任访问控制系统和远程浏览器隔离控制系统;
所述零信任访问控制系统包括至少一零信任客户端、零信任控制中心和零信任接入网关,用户通过所述零信任客户端向所述零信任控制中心发起身份验证请求,所述零信任控制中心接收到所述身份验证请求后,验证所述用户的身份合法性,验证通过后,所述零信任控制中心将验证结果发送给所述零信任接入网关,用户使用所述零信任客户端接入所述零信任接入网关,通过所述零信任接入网关向所述远程浏览器隔离控制系统发送访问请求业务;
所述远程浏览器隔离控制系统包括远程虚拟浏览器容器管理服务单元和至少一远程虚拟浏览器容器;
所述远程虚拟浏览器容器管理服务单元用于接收所述零信任客户端的访问请求,并将所述访问请求发送给所述远程虚拟浏览器容器,并对所述远程虚拟浏览器容器进行全生命周期的管理;
所述远程虚拟浏览器容器是定制的静态操作系统和浏览器镜像,具备防止非法植入代码侵入的能力,用于接收到所述访问请求问后去实际代理执行访问操作任务,并将访问的数据通过像素流传输给所述零信任客户端。
2.根据权利要求1所述的基于零信任架构的数据防泄漏系统,其特征在于:所述远程虚拟浏览器容器管理服务单元对所述远程虚拟浏览器容器进行全生命周期的管理包括初始化、服务开通及销毁。
3.根据权利要求1所述的基于零信任架构的数据防泄漏系统,其特征在于:所述远程虚拟浏览器容器具备防止非法植入代码侵入的能力包括防止木马和病毒加载、钓鱼网站访问、跨站攻击、OS注入的一种或多种。
4.根据权利要求1所述的基于零信任架构的数据防泄漏系统,其特征在于:所述远程虚拟浏览器容器包括远程虚拟浏览器像素服务模块和容器访问监控服务模块;
所述远程虚拟浏览器像素服务模块为基于像素流的远程帧缓冲RFB协议,将所述访问的数据通过像素流传输给所述零信任客户端;
所述容器访问监控服务模块用以持续监控所述远程虚拟浏览器像素服务模块的像素访问情况并计算空闲时长,当超过指定空闲时长时,其所述远程虚拟浏览器容器将会自动销毁。
5.根据权利要求4所述的基于零信任架构的数据防泄漏系统,其特征在于:所述远程虚拟浏览器容器还包括水印模块,用于将所述远程虚拟浏览器像素服务模块传输给所述零信任客户端的数据加注水印信息。
6.根据权利要求5所述的基于零信任架构的数据防泄漏系统,其特征在于:所述水印信息是访问用户的身份信息、时间信息的一种或组合。
7.一种基于零信任架构的数据防泄漏方法,其特征在于,包括以下步骤:
S1:用户的身份通过零信任访问控制系统验证通过后,通过零信任客户端并经零信任接入网关向远程虚拟浏览器容器管理服务单元发送业务访问请求;
S2:所述远程虚拟浏览器容器管理服务单元收到所述业务访问请求后,查询当前是否有待机状态的远程虚拟浏览器容器,
如果有,则从中随机获取一个未被占用的所述远程虚拟浏览器容器,并将其开通并与所述用户绑定,从而所述用户获得与其所绑定的远程虚拟浏览器容器的访问权限;
如果无,则创建开通一个全新的远程虚拟浏览器容器,并将其与所述用户绑定,从而所述用户获得与其所绑定的远程虚拟浏览器容器的访问权限;
之后,将所述业务访问请求发送给所述远程虚拟浏览器容器;
S3:所述远程虚拟浏览器容器接收到所述业务访问请求问后去代理执行访问操作任务,并将访问的数据通过像素流传输给所述零信任客户端。
8.根据权利要求7所述的基于零信任架构的数据防泄漏方法,其特征在于:所述远程虚拟浏览器容器包括远程虚拟浏览器像素服务模块和容器访问监控服务模块;
所述远程虚拟浏览器像素服务模块为基于像素流的远程帧缓冲RFB协议,将访问的数据通过像素流传输给所述零信任客户端;
所述容器访问监控服务模块用以持续监控所述远程虚拟浏览器像素服务模块的像素访问情况并计算空闲时长,当超过指定空闲时长时,其所述远程虚拟浏览器容器将会自动销毁。
9.根据权利要求8所述的基于零信任架构的数据防泄漏方法,其特征在于:所述远程虚拟浏览器容器还包括水印模块,用于将所述远程虚拟浏览器像素服务模块传输给所述零信任客户端的数据加注水印信息。
10.根据权利要求7所述的基于零信任架构的数据防泄漏方法,其特征在于:还包括步骤S4:当远程虚拟浏览器容器管理服务单元收到所述远程虚拟浏览器容器被销毁的消息后,所述远程虚拟浏览器容器管理服务单元将用户与所述远程虚拟浏览器容器解绑,从而所述用户无法访问所述远程虚拟浏览器容器,容器被销毁后,容器中的所有数据全部被清除,即使磁盘被盗也不会泄漏数据。
CN202310958469.5A 2023-07-31 2023-07-31 一种基于零信任架构的数据防泄漏系统及方法 Active CN116827668B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310958469.5A CN116827668B (zh) 2023-07-31 2023-07-31 一种基于零信任架构的数据防泄漏系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310958469.5A CN116827668B (zh) 2023-07-31 2023-07-31 一种基于零信任架构的数据防泄漏系统及方法

Publications (2)

Publication Number Publication Date
CN116827668A true CN116827668A (zh) 2023-09-29
CN116827668B CN116827668B (zh) 2024-02-23

Family

ID=88114683

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310958469.5A Active CN116827668B (zh) 2023-07-31 2023-07-31 一种基于零信任架构的数据防泄漏系统及方法

Country Status (1)

Country Link
CN (1) CN116827668B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763602A (zh) * 2016-01-29 2016-07-13 腾讯科技(深圳)有限公司 一种数据请求处理的方法、服务器及系统
CN113641934A (zh) * 2021-08-05 2021-11-12 吕波 一种用于网站安全访问的隔离防御系统
US20220210173A1 (en) * 2020-12-31 2022-06-30 Fortinet, Inc. Contextual zero trust network access (ztna) based on dynamic security posture insights
CN116260656A (zh) * 2023-05-09 2023-06-13 卓望数码技术(深圳)有限公司 基于区块链的零信任网络中主体可信认证方法和系统
CN116318859A (zh) * 2023-02-03 2023-06-23 深圳市联软科技股份有限公司 一种应用数据的安全访问系统及方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763602A (zh) * 2016-01-29 2016-07-13 腾讯科技(深圳)有限公司 一种数据请求处理的方法、服务器及系统
US20220210173A1 (en) * 2020-12-31 2022-06-30 Fortinet, Inc. Contextual zero trust network access (ztna) based on dynamic security posture insights
CN113641934A (zh) * 2021-08-05 2021-11-12 吕波 一种用于网站安全访问的隔离防御系统
CN116318859A (zh) * 2023-02-03 2023-06-23 深圳市联软科技股份有限公司 一种应用数据的安全访问系统及方法及系统
CN116260656A (zh) * 2023-05-09 2023-06-13 卓望数码技术(深圳)有限公司 基于区块链的零信任网络中主体可信认证方法和系统

Also Published As

Publication number Publication date
CN116827668B (zh) 2024-02-23

Similar Documents

Publication Publication Date Title
US9900346B2 (en) Identification of and countermeasures against forged websites
TWI592051B (zh) 網路輔助之詐欺偵測裝置及方法
Jackson et al. Forcehttps: protecting high-security web sites from network attacks
KR101359324B1 (ko) 이동 통신 장치상의 보안 정책 시행 방법
CN103944890B (zh) 基于客户端/服务器模式的虚拟交互系统及方法
US8561182B2 (en) Health-based access to network resources
US10778687B2 (en) Tracking and whitelisting third-party domains
WO2017192736A1 (en) Methods and apparatus for device authentication and secure data exchange between a server application and a device
US20180205720A1 (en) Enabling Setting Up A Secure Peer-To-Peer Connection
CN103117998B (zh) 一种基于JavaEE应用系统的安全加固方法
WO2000046677A1 (en) Methods, software, and apparatus for secure communication over a computer network
WO2017198740A1 (en) Server and method for providing secure access to web-based services
WO2013079113A1 (en) Secure cloud browsing client-server system and method of secure remote browsing using the same
CN107948235B (zh) 基于jar的云数据安全管理与审计装置
US20030089675A1 (en) Authenticating resource requests in a computer system
CN110968872A (zh) 文件漏洞的检测处理方法、装置、电子设备及存储介质
KR20020027702A (ko) 인터넷상에서 유해 사이트 접속을 차단하는 방법
CN116827668B (zh) 一种基于零信任架构的数据防泄漏系统及方法
KR101619928B1 (ko) 이동단말기의 원격제어시스템
CN108234399B (zh) 一种接口通信方法及终端
US20150332051A1 (en) Method for downloading at least one software component onto a computing device, and associated computer program product, computing device and computer system
CN112398791A (zh) 防护网站篡改的方法及装置、系统、存储介质、电子装置
O’Connor Attack surface analysis of Blackberry devices
JP5835022B2 (ja) 配信装置、配信処理方法及びプログラム、並びに情報処理装置、情報処理方法及びプログラム
JP5359292B2 (ja) アクセス制御システム、アクセス制御装置、アクセス制御方法及びプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant