[发明专利]一种基于虚拟化技术的数据保护方法和系统

说明书

本发明公开一种基于虚拟化技术的数据保护方法，该方法包括：在一台物理机中创建两台虚拟机：数据传输机和数据保护机；在数据传输机和数据保护机间建立一条专用数据传输通道；外部数据通过数据传输机，经专用数据传输通道，被传送至数据保护机。另外，本发明还公开一种应用该数据保护方法的系统，该系统包括数据传输机、专用数据传输通道和数据保护机。通过本发明的方法和系统，不仅可以提高数据隔离保存、数据保存环境的安全性，还可以控制存储数据的输出，实现数据的安全保护。

技术领域

本发明涉及数据保护领域，尤其涉及一种基于虚拟化技术的数据保护方法和系统。

背景技术

在计算机领域中，数据一般通过两种途径进行传输：一是通过外设接口如USB接口、光驱等；二是通过网络接口。若数据直接复制或下载存储到物理机时，很可能携带木马、病毒而植入到计算机的操作系统和存储空间中，而传染计算机中其他已有数据，导致数据不能正常使用。因此要对需要存储的数据进行一定的筛选过滤，保护已有数据。

目前，为了保护数据不被入侵，通常选择使用两台计算机：一台计算机检测所传输的数据是否安全，另一台计算机中则用来存储数据，只有当检测到的数据符合安全要求，才会继续传输至另一台计算机。然而，这种方法需要使用到两台计算机，过程较繁琐且成本也较高。

随着虚拟化技术在数据安全防护领域的广泛应用，我们提出了一种基于虚拟化技术的数据保护方法，不仅可以提高数据隔离保存、数据保存环境的安全性，还可以控制存储数据的输出，有效地实现数据的安全保护。

发明内容

本发明要解决的技术问题是提供一种新的数据保护方法和系统，通过在一台物理机中引用虚拟化技术，创建两台虚拟机以及建立一个专用数据传输通道，控制数据的传输、保护数据的安全性。

本发明提供了一种基于虚拟化技术的数据保护方法，该方法包括：

S101：在一台物理机中创建两台虚拟机：数据传输机和数据保护机；

S102：在数据传输机和数据保护机间建立一条专用数据传输通道；

S103：外部数据通过数据传输机接收，经专用数据传输通道，被传送至数据保护机。

进一步地，所述数据传输机为常规的虚拟机，具有病毒、恶意代码防护能力，用于接收所述外部数据并对所述外部数据进行安全检测。

所述数据保护机为定制化的虚拟机，通过在虚拟化层面的定制去除网络功能和外设输入输出功能，用于数据处理和存储。

其中，网络包括网卡、蓝牙控制器等；外设输入输出包括USB传输设备，打印机以及刻录机等设备等。

进一步地，所述专用数据传输通道用于数据在数据传输机和数据保护机之间的传输，并对所述数据执行基于安全策略的访问控制，只有符合所述安全策略的数据才允许通行。

进一步地，所述安全策略包括基于文件类型的安全策略和基于文件内容的安全策略。如果是基于文件类型的安全策略，如禁止可执行文件传输，则可阻止恶意软件的入侵；如果是基于文件内容的安全策略，则可阻止含有特定关键字的文件从数据保护机中输出。

进一步地，上述数据保护方法还包括数据保护机中要输出的数据，需经专用数据传输通道，传送至数据传输机，由数据传输机向外部输出。

另外，本发明还提供了一种基于虚拟化技术的数据保护系统，所述系统包括：

数据传输机：用于提供外部数据输入和内部数据输出的接口，并对外部数据进行安全检测；

专用数据传输通道：用于数据在数据传输机和数据保护机之间的传输，只允许符合安全策略的数据通行；