[发明专利]一种电子文档安全管理系统及方法

摘要

一种电子文档安全管理系统及方法，包括驱动层透明加解密模块、应用层安全控制及透明加解密模块、智能文件和进程特征识别模块、文件外发离线控制模块、文件屏幕水印及打印水印控制模块、安全策略管理模块、密钥管理模块；系统核心技术是在客户端的驱动管理，位于Windows操作系统的核心态运行，被I/O管理器为满足系统对文件系统的需求而调用；系统的数据加密平台将接管整个Windows操作系统的文件系统，负责为文件系统提供实时地透明加解密数据的服务。本发明提供一种电子文档安全管理系统及方法，通过改进电子文档安全保护措施，引入透明加解密方法，实现电子文档离线高的安全性和用户友好性。

主权项

一种电子文档安全管理系统，其特征在于：包括驱动层透明加解密模块、应用层安全控制及透明加解密模块、智能文件和进程特征识别模块、文件外发离线控制模块、文件屏幕水印及打印水印控制模块、安全策略管理模块、密钥管理模块；所述驱动层透明加解密模块：在网络层驱动判断策略下发的加密的目标地址，当用户访问某个应用系统时由驱动进行判断是否进行加密，在客户端对浏览器进行监测，一旦文件另保存或下载时则开始进行加密；对于文件采用写入磁盘多少加密多少、从磁盘读多少解密多少的加解密策略；当从本地递交文档上传到应用系统服务器时，由客户端进行判断和监测将文件解密上传到服务器，保障服务器明文存储；所述应用层安全控制及透明加解密模块：使用Windows的应用程序接口拦截技术实现对文件操作的拦截与监控，能够拦截复制、保存以及删除操作，同时根据不同要求对不同的操作进行拦截与放行，根据文档密级、用户权限进行安全控制和透明加解密；采用动态DLL替换方式，系统采用替换并修改操作系统底层动态链接库的方式截取所有文件读写操作，并根据文档密级、用户权限进行安全控制和透明加解密；利用操作消息拦截技术，根据文档密级、用户权限对操作，包括保存、修改、复制、剪贴、黏贴、打印、截屏，进行安全控制和透明加解密；智能文件和进程特征识别模块：在操作系统内核根据文件内容来识别文件类型，并由此确认该文件是否加密文件，并且每一个加密文件加入文件身份信息，记录文件属性信息，操作系统内核对受控进程进行识别；文件外发离线控制模块：不限制外发文件的类型，支持所有的应用程序的外发管理；对于密级度高的文档，控制外发文档在哪台计算机上使用多长时间，使用多少次；对于密级度低的文档，仅使用用户名和密码加以控制；对于外发文件的编辑、拷贝和另存进行控制，可选择性控制外部用户在访问加密文档时需要连接服务器进行强制身份认证，可随时收回用户的阅读权限；文件屏幕水印及打印水印控制模块：文档在被打开浏览编辑过程，系统自动在屏幕或打印内容中增加水印信息，水印信息包括用户信息、时间信息，用于用户在打开文档后拍照或打印文档内容非法扩散到外部时作为追查非法扩散的责任人；安全策略管理模块：负责对用户访问目标地址、文档密级、用户权限、用户操作控制、水印控制策略进行统一管理和下发，其他模块根据下发的安全策略进行相应的安全控制和透明加解密；密钥管理模块：负责对称、非对称密钥的生成、安全分发、安全存储、安全销毁全生命周期管理，为加解密模块提供所需的密钥。