[发明专利]一种基于云服务的文件安全管理系统

说明书

技术领域

本发明属于电子信息安全保护领域，特别是一种基于云服务的文件安全管理系统。

背景技术

当前网络信息技术快速发展，企事业内部网络日益庞大，网络拓扑结构越来越复杂，信息交流越来越快捷，信息量越来越大，在给企事业带来方便性的同时，内部文件和外发文件的安全管理业变得越发重要。随着企事业规模的扩大，各地分支机构，外出办公的情况越来越多，对于企事业电脑的文件安全管理与监控也不仅仅限于内部局域网，已经扩展到了全网范围。而现在的文件安全管理系统仅限于局域网范围，必须要连接局域网的情况下才能对主机进行文件操作管理和监控，并且无法对外发到客户的文件安全进行相关管理，已经不能完全满足现在企业的需求。

发明内容

本发明提供的一种基于云服务的文件安全管理系统，通过VPN(虚拟专网)技术将脱离局域网范围的客户端主机强制纳入监控被控主机的范围内，采用操作监控策略来确保文件内部操作的安全，通过云服务器的在线证书验证来保证外发文件的安全操作，系统中所述文件均以加密方式保存，授权用户打开文件时会自动解密，保存时会自动加密，很好地解决了企事业单位全网范围内的文件内部操作和外发文件管理的安全性问题。

为了实现上述目的，本发明采用如下技术方案：

一种基于云服务的文件安全管理系统，其中，所述系统包括：

云服务器端的认证管理单元：包括证书认证模块、日志模块和外发文件追踪模块。其中，证书认证模块功能为在线认证表明用户身份的数字证书；日志模块的功能为接受从企事业控制中心的用户管理单元上传的日志整理和外发文件的操作记录并存储；外发文件追踪模块功能为对存储的日志中关于外发文件的部分进行处理，实时追踪外发文件的操作状态并通知企事业控制中心。

企事业控制中心的用户管理单元：包括用户管理模块、证书管理模块、安全策略模块、日志管理模块、VPN(虚拟专网)管理模块、文件存储模块和文件加密模块。其中，用户管理模块的功能为创建和删除用户账户，对用户进行权限控制；证书管理模块的功能为发放证书给客户端和将本地的证书与云服务器上的证书进行同步；安全策略模块的功能为配置文件操作安全策略并将其下发到客户端；日志管理模块的功能为接收从客户端发来的日志，对其进行整理后并上传到云服务器备份；VPN管理模块的功能为管理VPN接入和被管理客户端的用户名和密码；文件存储模块的功能为接收客户端上传的备份文件并存储；文件加密模块功能为对本地文件进行透明加密和解密操作。

客户端的文件管理单元：包括VPN登录模块、操作控制模块、证书认证模块、外发文件制作模块、文件加密模块、文件备份模块和日志模块。其中，VPN登录模块的功能为系统运行后自动强制进行VPN连接；操作控制模块功能为接收并实施企事业控制中心下发的安全策略，控制用户对文件的操作行为；证书认证模块的功能为发送认证请求到云服务器或企事业控制中心进行证书认证；外发文件制作模块的功能为向企事业控制中心请求外发文件证书，根据获得的证书、待授权文件和外发程序制作成外发文件包(自解压的可执行文件)；文件加密模块的功能为向授权用户提供文件的透明加密和解密处理；文件备份模块的功能为根据用户的需要将文件备份到企事业控制中心；日志模块的功能为记录客户端的文件操作信息并上传到企事业控制中心。

所述系统中的透明加密技术为当授权用户打开企业提供的授权文件时，客户端程序对授权文件进行自动解密，保存时对授权文件进行自动加密，整个过程对用户透明；当为授权用户打开文件进行操作时将得不到明文。

所述用户管理单元的用户管理模块中的用户分为：管理员(创建和删除用户、管理用户证书和为用户分配权限)、普通用户(根据安全策略和权限范围进行文件操作)和客户用户(企事业的客户，仅能对外发文件进行安全策略内的操作)三种。

所述用户管理单元的安全策略模块的策略配置如下：安全系统中的文件在存盘时会自动加密，在授权客户端打开时会自动解密，未经授权用户打开文件时显示为乱码；控制常用的截图软件，不允许截图操作。

所述用户管理单元的日志管理模块的日志整理方法为根据不同用户权限、日期进行分类整理。

所述文件管理单元在第一次启动时会自动运行证书认证模块进行在线认证，如通过，则可以得到文件明文并在操控控制的范围内执行相关操作，反之，不可；在无互联网络连接的情况下，也可以登录到企事业的内部网络内，通过用户管理单元进行证书认证。

所述文件管理单元在运行后会自动运行VPN登录模块。