[发明专利]一种为普通移动存储设备增加数据泄漏防护功能的方法、系统和装置

说明书

技术领域

本发明属于计算机领域，涉及一种具备数据泄漏防护功能的保密移动存储设备。

背景技术

当前，移动存储设备使用十分普遍，由于移动存储设备丢失造成的重要文档外泄和个人隐私泄露的例子不胜枚举，这产生了保护移动存储设备数据的需求。

在现有的解决方案中，保密移动存储设备是一种常用的移动存储设备数据保护手段，在很大程度上杜绝了信息泄密，但保密移动存储设备通常是一种特殊移动存储设备，只能在一个授信的环境中使用，使用上有一定局限性；保密移动存储设备虽具备数据加密功能，但不具备数据泄漏防护功能，合法使用者将数据解密后，就能随意拷贝、另存和外发了，轻而易举获取保密移动存储设备的数据，无法满足企业知识资产保护的要求；另外，保密移动存储设备一旦使用，移动存储设备整个都加密了，而有一些文件确实不需要加密。

发明内容

本发明的目的是为了提供一种为普通移动存储设备增加数据泄漏防护功能的方法、系统和装置，可以将一个普通移动存储设备制作成一个具有数据泄漏防护功能的保密移动存储设备，且兼顾普通移动存储设备和保密移动存储设备的便利，用户可有选择地将文件存放在原有分区或保密分区，不会影响原有分区的使用；所述普通移动存储设备是指连接到计算机设备使用的各种外部存储设备，包括U盘、移动硬盘和各种电子存储卡等。

所采用的技术实现方案是在一个普通移动存储设备分区上创建一个加密的虚拟卷文件，进一步生成一个虚拟卷设备，用于存储保密数据；在计算机操作系统的基础上，运用网络隔离、存储隔离、应用隔离和外设隔离等驱动层隔离技术，构建出一个与系统桌面完全隔离的安全桌面，用来打开所述虚拟卷设备，虚拟卷设备里的数据无法以各种方式泄漏出去。

系统包括初始化单元、用户分控单元、桌面切换单元、登录控制单元、安全桌面单元、网络隔离单元、存储隔离单元、应用隔离单元、外设隔离单元、虚拟磁盘单元、磁盘透明加密单元、文件导入导出单元。

装置包括一个硬件Key以及内嵌的系统软件组成。

为了达到上述目的，本发明是采用以下技术手段实现的：

1、使用所述装置Key，运行Key中的制作工具软件，在普通移动存储设备分区上创建一个加密的虚拟卷文件并格式化，自动将系统软件植入到移动存储设备的普通分区里，制作完成具备数据泄漏防护功能的保密移动存储设备；

2、初始化单元，用于在普通的移动存储设备分区上生成一个虚拟卷文件，对虚拟卷文件进行格式化，并输入一密码对该虚拟卷文件进行加密；

3、用户分控单元，为保密移动存储设备设置不同权限的多个用户密码：超级用户密码、审计用户密码、普通用户密码和只读用户密码，超级用户用于最高权限，审计用户只涉及日志，普通用户只编辑文件，只读用户只浏览文件，未经超级用户许可，审计用户、普通用户和只读用户无法从保密移动存储设备获取数据；

4、桌面切换单元，用于系统桌面与安全桌面之间来回切换；

5、登录控制单元，用于接收用户输入的保密移动存储设备密码，若密码验证通过，加载所述卷设备的盘符于系统盘符目录中；

6、安全桌面单元，用于创建一个安全的人机交互界面即安全桌面，并用安全桌面来打开保密移动存储设备，安全桌面与系统桌面之间完全隔离，安全桌面的呈现形式与系统桌面一样；

7、虚拟磁盘单元，采用虚拟磁盘驱动技术，将普通移动存储设备分区上的虚拟卷文件展现为卷设备，为保密移动存储设备提供数据存储的功能；

8、磁盘透明加密单元，采用全盘加密技术，对虚拟磁盘里的数据实现透明加密和解密，加密和解密的过程是自动完成的，无需用户干预；

9、网络隔离单元，采用网络通讯底层驱动技术，对网络通讯命令进行控制，对网络数据包进行过滤，实现安全桌面与所有网络隔离，无法通过网络将保密移动存储设备的数据泄漏出去；

10、存储隔离单元，采用存储内核驱动技术，实现安全桌面与系统桌面之间存储设备的隔离，在系统桌面里，本地盘可见可读写，而保密移动存储设备不可见且禁止访问；在安全桌面里，保密移动存储设备可见可读写，而本地盘不可见且访问受限制；

11、应用隔离单元，采用进程监控驱动技术，拦截进程启动，监控进程行为，以安全桌面为标识，实现两个桌面之间的进程隔离，保密移动存储设备只能由安全桌面的进程访问，系统桌面的进程不能访问保密移动存储设备；

12、外设隔离单元，采用外设驱动技术，实现两个桌面之间的外设隔离，即在安全桌面里，除了保密移动存储设备外，其它外部设备一律不可见；