[发明专利]基于涉密数据流向加密的本地数据防泄密系统及方法

权利要求书

1.一种基于涉密数据流向加密的本地数据防泄密系统，其特征在于，所述系统包括：

实时加密模块，用于加密实时数据，并为已经加密的数据增加被加密标识字段；

加密数据判断模块，用于数据打开前判断是否已经被加密；

实时解密模块，用于解密被加密数据，送往涉密数据安全区域；

涉密数据安全区域，用于存储解密模块送到的明文，以及相关程序文件，保证涉密数据转换来的明文的存储安全；

系统监控模块，用于监控涉密和非涉密进程，监控进程的I/O操作，将涉密进程的I/O映射在涉密数据安全区域；

剪切板监控模块，用于监控剪切板内容的流向；

活动窗口监控模块，用于监控桌面活动的涉密进程窗口和非涉密进程窗口；

磁盘文件写入缓冲区，用于暂存所述涉密数据安全区域输出的明文数据，确保数据安全；

磁盘文件监控模块，用于监控磁盘文件，对比磁盘文件写入缓冲区的数据是否与目标目录原数据的属性相同。

2.根据权利要求1所述的基于涉密数据流向加密的本地数据防泄密系统，其特征在于：

涉密数据安全区域的数据只有系统监控模块可以调用，系统监控模块将所有涉密进程的I/O强制映射在涉密数据安全区域。

3.根据权利要求1所述的基于涉密数据流向加密的本地数据防泄密系统，其特征在于：

所述磁盘文件监控模块用于监控磁盘文件，通过magic number来过滤磁盘写入缓冲区文件，对比磁盘缓冲区数据是否与目标目录原数据的属性相同，此处的属性包括文件的存储位置、hash函数值。

4.根据权利要求1所述的基于涉密数据流向加密的本地数据防泄密系统，其特征在于：

通过所述磁盘文件监控模块对比磁盘文件写入缓冲区的数据是否与目标目录原数据的属性相同，智能判断写入磁盘的文件是否需要加密。

5.根据权利要求1所述的基于涉密数据流向加密的本地数据防泄密系统，其特征在于：

所述系统不禁止电子设备的截屏功能，所有包括有涉密内容的截图都是被强制加密的，而没有涉密内容的截屏是不加密的；

通过对涉密进程活动窗口的监控，智能判断截屏内容是否需要加密。

6.一种权利要求1所述本地数据防泄密系统的防泄密方法，其特征在于，该方法包括如下步骤：

A：系统管理员将系统中认为需要防止外泄的文件认定为涉密信息，进行手动加密；

B：打开加密文件，强制关闭所有网络服务的上行输出，防止网络服务向网络输出数据；

C：将打开加密文件的软件认定为涉密环境，所述系统监控模块对涉密环境的I/O进行控制，只允许涉密环境的输入输出经过涉密数据安全区域；

D：从涉密环境中输出的文件放入磁盘文件写入缓冲区，经磁盘文件写入缓冲区与目标磁盘位置的原文件进行属性对比；如果没有发生变化，则将磁盘写入缓冲区的明文清除，如果发生变化，则将缓冲区的明文加密写入磁盘位置，写入的为新创建文件都输入为密文；

E：对屏幕进行截屏，如果涉密进程展开活动在桌面，则截屏保存的文件为加密文件；如果涉密软件最小化在任务栏，则截屏保存的文件为普通文件；

F：将密文全部或者部分复制进另外一个文件中，则复制进密文的文件被加密。

7.根据权利要求6所述的防泄密方法，其特征在于：

涉密数据安全区域的数据只有系统监控模块可以调用，系统监控模块将所有涉密进程的I/O强制映射在涉密数据安全区域。

8.根据权利要求6所述的防泄密方法，其特征在于：

通过所述磁盘文件监控模块对比磁盘文件写入缓冲区的数据是否与目标目录原数据的属性相同，智能判断写入磁盘的文件是否需要加密。

9.根据权利要求6所述的防泄密方法，其特征在于：

所述系统不禁止电子设备的截屏功能，所有包括有涉密内容的截图都是被强制加密的，而没有涉密内容的截屏是不加密的。

10.根据权利要求6所述的防泄密方法，其特征在于：

通过对涉密进程活动窗口的监控，智能判断截屏内容是否需要加密。