[发明专利]一种内网信息保护方法与系统

说明书

技术领域

本发明涉及内网信息保护控制系统，具体地说是一种防止内网计算机网络信息泄露的方法，尤其针对电力、国防、政府等高安全要求行业内部网络的一种信息保护防护方法。

背景技术

近年来ICT技术的高速发展给工作与生活凭借技术动力变得更加便利，包括电力、国防、政府在内的安全敏感行业应用越来越依赖于计算机网络，网络安全问题日益严峻。防火墙、安全隔离、入侵检测、安全U盘等安全措施为保障系统安全提供了一定的技术手段。在自主知识产权的操作系统方面，我国也取得了一定的进展。

目前，安全敏感行业的计算机网络系统，大多采取了双网方案，即内部网络/外部网络/物理隔离的模式，在一定意义上，阻断了内部信息网络泄露的渠道。另一方面，Windows操作系统的技术地位及其易用性，在行业办公的桌面操作系统具有绝对份额，目前主要包括Windows XP、Windows7等版本。不可以忽视的现状是由于智能手机等移动终端的便利性及Windows操作系统的自动连接机制，不经意间的智能手机充电、Wifi功能，都会造成内部网络计算机与公网的连接。

因此，本发明提供了一种内网信息保护方法与系统，可以通过技术手段降低信息泄露风险，增强内网桌面计算机的信息安全。

发明内容

针对现有技术中存在的上述不足之处，本发明是一种内网信息保护方法与系统，通过对桌面计算机进行安全加固，控制仅允许内网特定网段的网络通信，屏蔽该桌面计算机对公网的一切访问，实现内网信息保护。

本发明为实现上述目的所采用的技术方案是：一种内网信息保护方法与系统，包括以下步骤：

规范内网的网络地址，形成一定规则，并在系统软件编译时固化到映像文件中；

在内核引擎初始化时启动防范组件，对内核引擎的注册表及映像文件进行保护；

通过内核引擎对内网的网络流量进行认证和过滤，对于符合规则的内网流量直接放行，对于不符合规则的非内网流量进行丢弃阻断。

所述过滤采用操作系统内核驱动的方式。

所述丢弃阻断的信息记录到管理日志中用于管理分析。

所述过滤由过滤规则判断。

所述规则判断不超过5条，在方案设计时确定，在软件编译阶段固化到映像文件中，且无法直接修改。

所述防范组件启动时，打开并锁定内核驱动服务的注册表项，直到计算机关闭时，才释放锁定资源。

所述防范组件启动时，将映像文件以独占方式载入内存，使得非防范组件的程序无法获得映像文件句柄而无法获得操作权限，实现映像文件的保护。

所述通过内核引擎对内网的网络流量进行认证，具体为：采用分布式架构的接入认证接口，通过服务协议与接入认证服务器进行通信，与网络交换机端口接入管理的互动。

一种内网信息保护系统，包括：

内核引擎模块，用于对进出系统的所有网络数据包进行监控，根据固化规则模块存储的过滤规则进行过滤，并予以放行或丢弃阻断；自动运行防范组件模块，对内核服务进行保护，防止非法修改或停止服务；

防范组件模块，在系统启动时首先起效；在内核引擎模块中运行，以组件形式，通过内存映像锁定；通过独占锁定注册表项，实现对服务的保护，防止非授权的服务卸载或删除；

固化规则模块，存储用于网络过滤的过滤规则；

接入认证模块，用于分布式架构的接入认证接口，通过接入认证服务器与网络交换机端口管理互动；

管理日志模块，用于对在保护期间发现的外网数据包进行记录，直接以文件形式进行本地记录，并可以根据部署环境，将各类记录及引擎启动情况进行日志上传。

所述过滤规则包括：（1）允许内网特定网段之间的网络通信；（2）默认禁止所有网络通信。

本发明具有以下优点及有益效果：

1.本发明采用分布式的系统加固方式，实现内网信息保护，对内网的网络拓扑没有要求和直接影响，网络适应性强。

2.本发明采用固化规则，防止检查规则的修改，由于检查规则要求少于5条，系统资源占用少，检查效率高。

3.本发明以内核驱动形式，从系统底层对网络流量进行检查阻断，与具体的网络连接方式无关，可以同时防范以太网、无线Wifi、智能手机拨号、蓝牙网络等网络连接，有效防止内网计算机网络信息泄露。

附图说明

图1为本发明内网信息保护系统架构图；

图2为本发明系统启动流程图。