[发明专利]基于涉密数据流向加密的本地数据防泄密系统及方法

说明书

技术领域

本发明属于信息安全技术领域，涉及一种本地数据防泄密系统，尤其涉及一种基于涉密数据流向加密的本地数据防泄密系统；同时，本发明还涉及上述本地数据防泄密系统的防泄密方法。

背景技术

随着整个社会的信息化，所有信息资料都转变成了计算机所能识别的方式——数据，数据是整个信息实体的唯一存在形式。信息化创造了巨大的经济效益和社会财富，各行各业已经离不开信息技术，有些行业甚至完全依赖于信息技术。然而，事物的以展总是两方面的，信息技术同样也是双刃剑，高度信息化的社会给信息安全带来了空前的挑战。人们发现传统的保密方法在信息社会里都失灵了，数据的可复制和快速传输的特性同样为信息资料的泄密大开方便之门。这样防信息泄密就成为了当务之急，而且企业比较流行的是透明加密技术，这种技术不影响使用者的习惯来自动、强制完成加密，甚至感觉不到它的存在。

但是目前的透明加密技术都是依据监控系统的进程来完成，这样就必须对所使用的软件进行限制，需要根据用户使用的软件的升级不断进行更新，对不支持的软件、进程无法实现数据加密，引起软件的兼容性问题，特别是对源代码的编辑调试软件种类繁杂，更加难以兼容。

发明内容

本发明所要解决的技术问题是：提供一种基于涉密数据流向加密的本地数据防泄密系统，可保护组织内部的重要数据，防止泄密。

此外，本发明还提供一种上述本地数据防泄密系统的防泄密方法，可保护组织内部的重要数据，防止泄密。

为解决上述技术问题，本发明采用如下技术方案：

一种基于涉密数据流向加密的本地数据防泄密系统，所述系统包括：

实时加密模块，用于加密实时数据，并为已经加密的数据增加被加密标识字段；

加密数据判断模块，用于数据打开前判断是否已经被加密；

实时解密模块，用于解密被加密数据，送往涉密数据安全区域；

涉密数据安全区域，用于存储解密模块送到的明文，以及相关程序文件，保证涉密数据转换来的明文的存储安全；

系统监控模块，用于监控涉密和非涉密进程，监控进程的I/O操作，将涉密进程的I/O映射在涉密数据安全区域；

剪切板监控模块，用于监控剪切板内容的流向；

活动窗口监控模块，用于监控桌面活动的涉密进程窗口和非涉密进程窗口；

磁盘文件写入缓冲区，用于暂存所述涉密数据安全区域输出的明文数据，确保数据安全；

磁盘文件监控模块，用于监控磁盘文件，对比磁盘文件写入缓冲区的数据是否与目标目录原数据的属性相同。

作为本发明的一种优选方案，涉密数据安全区域的数据只有系统监控模块可以调用，系统监控模块将所有涉密进程的I/O强制映射在涉密数据安全区域。

作为本发明的一种优选方案，所述磁盘文件监控模块用于监控磁盘文件，通过mafic number来过滤磁盘写入缓冲区文件，对比磁盘缓冲区数据是否与目标目录原数据的属性相同，此处的属性包括文件的存储位置、hash函数值。

作为本发明的一种优选方案，通过所述磁盘文件监控模块对比磁盘文件写入缓冲区的数据是否与目标目录原数据的属性相同，智能判断写入磁盘的文件是否需要加密。

作为本发明的一种优选方案，所述系统不禁止电子设备的截屏功能，所有包括有涉密内容的截图都是被强制加密的，而没有涉密内容的截屏是不加密的。

作为本发明的一种优选方案，通过对涉密进程活动窗口的监控，智能判断截屏内容是否需要加密。

一种上述本地数据防泄密系统的防泄密方法，该方法包括如下步骤：

A：系统管理员将系统中认为需要防止外泄的文件认定为涉密信息，进行手动加密；

B：打开加密文件，强制关闭所有网络服务的上行输出，防止网络服务向网络输出数据；

C：将打开加密文件的软件认定为涉密环境，所述系统监控模块对涉密环境的I/O进行控制，只允许涉密环境的输入输出经过涉密数据安全区域；

D：从涉密环境中输出的文件放入磁盘文件写入缓冲区，经磁盘文件写入缓冲区与目标磁盘位置的原文件进行属性对比；如果没有发生变化，则将磁盘写入缓冲区的明文清除，如果发生变化，则将缓冲区的明文加密写入磁盘位置，写入的为新创建文件都输入为密文；

E：对屏幕进行截屏，如果涉密进程展开活动在桌面，则截屏保存的文件为加密文件；如果涉密软件最小化在任务栏，则截屏保存的文件为普通文件；

F：将密文全部或者部分复制进另外一个文件中，则复制进密文的文件被加密。