[发明专利]移动办公中基于细粒度集中式策略的强制终端监控系统

说明书

技术领域

本发明涉及计算机桌面监控系统，特别是涉及移动办公中对计算机终端用户操作和进程的监控系统。

背景技术

移动办公的一个重要特点是将原来的内部办公系统直接拓展到互联网，由于办公桌面环境直接面临公网，带来的安全威胁变得更加复杂与严重。保障桌面安全，对移动办公进行安全监控变得非常重要。一方面，需要有效并及时制止一些越权操作，另一方面，需要通过强大的操作监控功能，为系统的安全状况包括病毒、恶意软件等进行跟踪追查提供有效的事实依据。

目前移动办公安全平台主要是基于VPN技术实现网络传输的安全，该技术解决了移动用户和应用服务器之间的通信保密问题，但没有解决移动用户本身的桌面操作控制问题。

发明内容

本发明目的是针对现有的移动办公技术不能对移动用户进行桌面行为控制的问题，提供一种移动办公中基于细粒度集中式策略的强制终端监控系统，对移动用户的网页浏览、拷贝等操作和进程进行监控。

移动办公中基于细粒度集中式策略的强制终端监控系统，由管理服务器和强制终端控制器构成，管理服务器用于配置终端用户权限，强制终端控制器用于监视用户操作行为和进程，若行为或进程满足用户权限，执行操作或进程，否则终止操作或进程。

所述操作行为包括：页面保存、屏幕拷贝、文字拷贝和内容打印。

本发明的技术效果体现在：采用了基于强制终端控制的移动办公安全平台后，由于采用了细粒度的操作权限控制，用户的桌面行为收到了监控和约束，显著提高了现有办公自动化应用系统的安全性。本系统不需要对原来的信息系统重新编译，独立于原来的信息系统，对用户透明，极大方便用户维护与使用。

附图说明

图1为本发明系统结构示意图。

具体实施方式

移动办公中基于细粒度集中式策略强制终端监控系统包括两大功能，一是安全策略的实施，对业务系统操作进行安全控制；二是操作环境的记录与跟踪，系统结构如图1所示。

管理服务器根据登录的用户权限以及当前的业务系统敏感程序进行分级配置，对于敏感信息较多的业务系统，可以配置成监控级别较高，而对于没有商业机密的业务系统，则可以配置成低级别的安全监控，从而减少服务器系统存储容量以及客户端操作性能影响。

强制终端控制器主要根据安全配置(如：哪些页面需要安全控制，哪些页面允许保存等)实施用户的操作控制，包括对页面保存控制，文字拷贝/剪贴板控制，内容打印以及屏幕拷贝控制，最大程度防止业务系统商业机密泄漏。

强制终端控制器还实施对用户操作系统进程监控。如果业务系统出现异常，比如：在外网工作容易导致病毒、木马程序感染，这个时候可以通过进程监控对所有移动办公桌面进行集中检查，以发现哪些移动用户感染了病毒。另外，如果业务系统出现商业机密泄漏，可以通过分析各个移动用户在操作业务系统时候有没有打开另外的窃取机密信息的窗口或是进程。从而提高整个系统的可控性与可追究能力。

根据系统的安全配置，一旦发现浏览器目前正在访问规定的敏感页面，则启动页面保存禁止功能。实现该方法的关键技术是BHO技术。BHO(Browser Help Objects)，是实现特定接口的COM组件。开发好的BHO插件在注册表特定的位置注册好后，每当微软的浏览器启动，BHO实例就会被创建。在浏览器工作的工程中，BHO会接收到很多事件，比如浏览器浏览新的地址、前进或后退、生成新的窗口、浏览器退出等等；BHO可以在这些事件的响应中实现与浏览器的交互。

BHO是COM组件，而且一定实现了IObjectWithSite接口。这些组件除了在注册表中注册为COM Server外，还必须将它们的CLSID在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects下注册为子键。微软在设计浏览器的时候，已经给这些组件预留了空间。每当浏览器启动时，浏览器会首先在上述注册表位置查看是否有注册的BHO CLSID；如果有则分别创建一个实例，并对BHO实例进行初始化，建立交互连接。

文字拷贝主要是实现当用户在操作敏感业务系统时候，需要禁止用户通过拷贝方式将重要数据保存下来。其关键技术是对剪贴板的监控。如果发现剪贴板在用户操作过程中发现变化，则说明用户已经实施了拷贝行为。