[发明专利]一种防止数据泄密的综合控制方法

说明书

技术领域

本发明的目的在于采用包括对网络、主机、数据存储和数据交换等的综合 控制技术，实现通用的防止单位内部信息网络数据泄密的目标。主要用于计算 机信息安全领域。

背景技术

在信息系统中防止数据泄密已经成为一个关注的焦点，也是企事业单位进 行数字知识产权保护需要采取的必要手段。现有的防止数据泄密的技术，分为 主动防泄密和强制防泄密两种。主动防止数据泄密由于从个人主观意愿出发， 实现起来比较容易，采用简单的数据加密等手段即可实现。

强制防泄密技术从单位管理者的角度出发，要防止单位内部任何能够接触 到涉密数据的人员有意或者无意泄密数据行为的发生，从而实现对单位数字知 识产权的保护和保密。

现有的强制防止泄密技术，都仅单一采用了部分技术措施，难以实现全面 的强制防止数据泄密的效果。典型的包括对设备输出端口进行控制，但是从网 络发送数据就没有办法控制；还有通过网络协议内容过滤的方式防止数据泄密， 但是如果数据经过加密/压缩等简单处理，则无法防止；再有就是对特点类型文 件采用加密措施，但是无法防止文件格式转换和内存数据复制带来的数据泄密 漏洞。

专利发明内容

本发明以数据分类为基础，通过定义不同的模式，结合服务器访问控制、 网络数据加密、网络访问控制、本地数据存储加密、应用程序授权和外设输出 设备授权等综合技术手段，实现对单位信息网络中核心数据的保密，从而防止 数据泄密。

本发明实现的时候，需要用户对数据进行分类，即需要确定在特定的模式 下，可以访问的数据服务器以及数据共享的范围，数据共享范围主要以计算机 终端和用户身份来划分。在模式下的数据，不管是存储在服务器还是终端计算 机上，都只能在该模式定义允许的范围内共享和流通，未经特殊授权，不能通 过网络、存储设备或者外设输出到模式定义共享范围之外的设备上。

本发明采用的综合控制技术，将以管理策略的形式来表现，根据每个具体 模式的需要，管理者可以进行灵活的定义。

本发明服务器访问控制技术的核心是网络数据包过滤加密技术和访问端验 证技术。系统在服务器和访问端设置了安全网关，执行访问控制的服务器通过 IP网络连接方式放置在安全网关后面，当访问端访问服务器时，必须先通过安 全网关的过滤。访问端发出的数据包是否可以通过安全网关的过滤，是由该访 问端是否定义为允许访问的服务器决定的。

网络数据包过滤加密技术可以通过加密技术的密钥管理来实现，通过此技 术给服务器加了道安全屏障，保证了服务器的安全访问，加密客户端以及授权 允许访问服务器的机器发出的数据包受到加密技术的保护，而非保密客户端不 受保护，故无法通过验证。

访问端验证技术基于IP包的源地址和目标地址两个要素来实现判断，当此 IP包的原地址通过了安全网关的验证，此时源地址与目标地址相匹配，客户端 通过安全网关验证访问服务器。

本发明磁盘数据隐藏技术的核心是磁盘驱动技术。系统将磁盘分成若干分 区，管理员运用磁盘驱动技术将其中的一个或若干个分区做成工作盘，并自动 划分一个固定的区域作为缓存区。客户端在使用的过程中将数据写入工作盘， 其他用户无法看到工作盘的内容，也无法对工作盘做写入或修改等操作。工作 盘的用户在对非工作盘操作时，表象上写入了工作盘，但低层上是写入了事先 划分好的缓存区，故重新再进入系统时写在非工作区的数据丢失，根本原因是 缓存区的数据是不保存而造成的，这样用户就无法在非工作盘工作。

磁盘驱动技术是在磁盘扇区加解密信息。通过磁盘驱动技术，使磁盘数据 隐藏有效实现，工作盘用户只能在工作盘工作，在非工作盘的工作成果将被删 除，实现了工作区数据的保密不可外泄。非工作盘用户对工作盘的内容是不可 见更不可操作的，这就使磁盘数据无法外泄的同时也不可破坏。

本发明存储空间隔离技术的核心是文件驱动技术。系统把磁盘分区划分成 多个工作盘，管理员运用文件驱动技术使这些工作盘针对不同用户，即每个用 户只能在分配好的工作盘上工作，而其他的工作盘是被隐藏的，使工作盘在物 理上实现隔离效果。

通过文件驱动技术，使用户在特定的权限下使用特定的工作区，在工作区 对文件进行各种操作，其中用户的权限是由管理员设置，实现了存储空间的隔 离，这种隔离是有针对性的，也是极有实际意义的，存储空间在实现物理地址 上的隔离的同时实现了针对用户的特定隔离，使访问磁盘时有了针对性的保密 措施。