[发明专利]一种应用于业务系统的保护方法及系统

说明书

技术领域

本发明涉及信息保护领域，尤其涉及一种业务系统保护方法及系统。

背景技术

随着计算机技术的广泛应用，为了提高工作效率，方便作业管理，商业数据分析等，在各行各业中，几乎都存在相对应的业务系统，比如OA，ERP，BI等。由于计算机一般都会与互联网连接，且具有磁盘驱动器和USB接口，通过拷贝、另存、下载等手段很容易把业务系统的数据通过互联网传送到其他计算机上，或者被拷贝到磁盘或U盘中，使存储在业务系统的重要数据、文档很容易被非法地泄露，使原数据所有者的利益受到威胁。

为了防止存储在业务系统的数据被非法访问和泄露，现有的技术中一般是通过账号的权限控制，来控制某些页面的访问。然而该方法只能粗狂的进行一刀切的管理，最后只能是能看或者不能看两种情况，无法达到既能看又能进行细分的权限控制和管理，在使用业务系统时非常不人性化，又没有有效的安全防范。

发明内容

本发明的目的是为了克服现有技术的不足，提供一种业务系统的保护方法及系统，其具有使用安全方便的特点。

本发明的的保护方法和系统可对业务系统进行加密和设置操作权限，进一步提高了业务系统的安全性，防止非授权用户进行非法操作。

附图说明

下面，参照附图，对于熟悉本技术领域的人员而言，从对本发明方法的详细描述中，本发明的上述和其他目的、特征和优点将显而易见。

图1是本发明的系统组成框图；

图2是本发明方法中准入控制的流程示意图；

图3是本发明方法中加解密过程的流程示意图；

图4是本发明方法中服务器设置的流程示意图；

图5是应用本发明方法的一个较佳实施例的流程示意图。

具体实施方式

为了更进一步阐述本发明为达成预定目的所采取的技术手段及功效，以下结合附图及较佳实施例，对依据发明提出的一种业务系统保护方法及系统，其具体实施方式、特征及其功效，说明如后。

请参见图1所示的本发明的保护业务系统的构成中，包括第一插件100、第二插件200和服务器300。

其中，第一插件100包括接收模块10，发送模块11，加密模块12，解密模块13，网络监控模块14，权限控制模块15，Activex控件模块16、文件系统监控模块17。第二插件200包括校验模块21、准入控制模块20。服务器300包括发送模块30、接收模块31、存储模块32、配置模块33。

具体而言，该系统中各模块的工作过程如下：

在第一插件100中，

接收模块10，接收服务器300发来的解密所需要的密钥、服务器300对第一插件100进行的相关策略配置，以及解密后所需要进行控制的相关权限信息。

发送模块11，向服务器300的接收模块31发送第一插件100的相关日志信息、发送第一插件100加密模块12产生的随机密钥。

加密模块12，产生随机密钥，并对业务系统800下载的数据进行加密，并发送密钥到服务器300端进行存储备份。

解密模块13，解密密钥，使用解密后的密钥对密文进行解密。

网络监控模块14，在网络tdi层进行网络数据包监控，当发现有匹配策略的url时，设置加密标志位。

权限控制模块15，利用钩子、进程注入等技术实现对解密后的数据进行相应权限控制。

Activex模块16，注册activex控件，目的是让第二插件200进行读取该控件并判断是否安装第一插件100并且是合法的。

文件系统监控模块17，利用内核级的钩子，对文件的读写操作进程拦截，修改加密缓存，达到透明加解密的目的。

在第二插件200中，

准入控制模块20，当有终端400访问业务系统800时，此模块对该终端400进行检测，通过Javascript语言获取第一插件100模块16的句柄，如果获取成功，再通过该句柄获取第一插件100的版本、校验码等信息并与第二插件200进行校验，如果校验通过，则准入控制模块放行，允许终端400访问业务系统800，否则禁止终端400访问业务系统800。

校验模块21，校验终端400第一插件100版本，校验终端400第一插件100认证信息。

在服务器300中，

发送模块30，根据终端400第一插件100发送过来的请求，进行解析，并把第一插件100需要的信息回送给第一插件100。

接收模块31，接收从第一插件100发过来的命令请求、日志信息。

存储模块32，存储策略信息。