一種移動終端信息安全防護系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全技術(shù)領(lǐng)域�,尤其涉及一種移動終端信息安全防護系統(tǒng)和方法。
【背景技術(shù)】
[0002]隨著企業(yè)信息化的不斷發(fā)展��,企業(yè)通過構(gòu)建信息化系統(tǒng)���,方便地為企業(yè)用戶提供大量的信息數(shù)據(jù)����,其中不乏有企業(yè)合同信息����、企業(yè)客戶信息等敏感的信息數(shù)據(jù)��。在使用這些信息化系統(tǒng)時�����,用戶通過計算機或智能移動終端(包括智能手機和平板電腦)接入信息化系統(tǒng)�����,并獲取信息數(shù)據(jù)����。信息化系統(tǒng)能夠在系統(tǒng)內(nèi)部通過用戶帳戶管理���、用戶權(quán)限管理���,防范信息的泄漏;然而這些信息一旦到達用戶訪問終端(計算機或智能移動終端)��,則不再受控于信息化系統(tǒng)的保護�,例如用戶可通過屏幕復(fù)制獲取顯示在訪問終端屏幕上的信息數(shù)據(jù),用戶可以通過合法的數(shù)據(jù)下載功能�,將信息數(shù)據(jù)下載至訪問終端上存儲����,等等�。因此由于訪問終端的接入所引發(fā)的信息泄露事件頻頻發(fā)生��。對于計算機上的信息泄露防護目前已比較成熟�����,然而在智能移動終端上仍無有效地防護手段和方法�。
[0003]現(xiàn)有的手機安全軟件,都是基于數(shù)據(jù)存儲安全實現(xiàn)����,對于訪問信息化系統(tǒng)所面臨的信息泄露問題,存在如下嚴重缺失:
[0004]1��、對訪問信息化系統(tǒng)時的操作無法進行管理�����。智能移動終端在訪問信息化系統(tǒng)時�,信息數(shù)據(jù)通過網(wǎng)絡(luò)傳輸?shù)街悄芤苿咏K端后,并不以文件方式存儲�,而是直接通過應(yīng)用軟件顯示到屏幕上����,此時用戶可進行例如屏幕拷貝�����、內(nèi)容的復(fù)制粘貼等手段將信息數(shù)據(jù)獲取�。
[0005]2、對從信息化系統(tǒng)中下載����、或?qū)С龅臄?shù)據(jù)文件僅進行加密處理,能夠有效地防止因丟失造成的信息泄露���。然而�����,因為無法配合信息系統(tǒng)中的權(quán)限管理���,不能有效地限制下載者的使用權(quán)限,可能會造成下載者的越權(quán)使用所導(dǎo)致的信息泄露����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于提供一種移動終端信息安全防護系統(tǒng)和方法�,旨在基于企業(yè)信息化系統(tǒng)在移動終端上應(yīng)用時���,通過加解密技術(shù)和訪問控制技術(shù)���,可實現(xiàn)對信息化系統(tǒng)中信息數(shù)據(jù)的防護,以避免通過移動終端進行信息泄露的可能的問題���。
[0007]本發(fā)明是這樣實現(xiàn)的,一種移動終端信息安全防護系統(tǒng)���,所述移動終端信息安全防護系統(tǒng)運行在移動操作系統(tǒng)上���,為在移動終端上訪問信息系統(tǒng)時提供安全保護;具體包括:
[0008]監(jiān)控模塊��,用于實時監(jiān)控移動終端系統(tǒng)訪問信息系統(tǒng)時的操作�,并根據(jù)操作類型向下層的文件加密模塊、文件解密模塊或信息訪問控制模塊發(fā)送指令���;
[0009]文件加密模塊���,與所述監(jiān)控模塊連接�����,用于在接收到監(jiān)控模塊或文件訪問控制模塊發(fā)送的指令后�,將從信息系統(tǒng)中保存出來的文件進行加密處理�,并通知日志記錄模塊將文件加密保存操作記錄至日志文件中;
[0010]文件解密模塊�,與所述監(jiān)控模塊連接,根據(jù)所述監(jiān)控模塊傳送的指令�����,對指令中指定的文件解密操作�,成功解密并打開文件后,通知文件訪問控制模塊�����,并通知日志記錄模塊將解密操作記錄至日志文件中�����;
[0011]信息訪問控制模塊位于移動操作系統(tǒng)的內(nèi)核層���,與所述監(jiān)控模塊連接����,通過接收從所述監(jiān)控模塊傳送的指令,實現(xiàn)對移動終端訪問信息系統(tǒng)時的操作進行控制�����,并將通知日志記錄模塊將操作記錄至日志文件中�;
[0012]文件訪問控制模塊位于移動操作系統(tǒng)的內(nèi)核層,與所述監(jiān)控模塊連接�����,通過接收從所述文件解密模塊傳送的指令�����,實現(xiàn)對解密后的文件對象的訪問操作進行權(quán)限控制�����,當(dāng)監(jiān)控到文件關(guān)閉操作時���,文件訪問控制模塊將文件信息通知給文件加密模塊,并將通知日志記錄模塊將文件對象的訪問操作記錄至日志文件中;
[0013]日志記錄模塊���,與所述文件加密模塊����、文件解密模塊�、信息訪問控制模塊和文件訪問控制模塊連接,根據(jù)所述文件加密模塊���、文件解密模塊���、文件訪問控制模塊和信息訪問控制模塊發(fā)來的指令,實現(xiàn)對所有操作進行日志記錄���。
[0014]進一步���,所述的日志記錄模塊內(nèi)安裝有防破解系統(tǒng),該防破解系統(tǒng)包括:云端數(shù)據(jù)庫��、云端服務(wù)器����、移動終端���、安全策略設(shè)定模塊;
[0015]云端數(shù)據(jù)庫與所述云端服務(wù)器連接�,移動終端通過無線網(wǎng)絡(luò)與云端服務(wù)器雙向進行信息交換,安全策略設(shè)定模塊與移動終端連接�;移動終端將數(shù)據(jù)、指令傳遞給安全策略設(shè)定模塊����,并將安全策略設(shè)定模塊的狀態(tài)進行上報;所述云端數(shù)據(jù)庫包括:用戶信息存儲模塊�����、用戶密鑰存儲模塊�����、日志文件存儲模塊���、用戶信息存儲模塊,且云端數(shù)據(jù)庫有自己完全的保護系統(tǒng)和隱私防護系統(tǒng)���;所述安全策略設(shè)定模塊包括:文件訪問模塊��、文件訪問日志記錄模塊和動態(tài)加解密模塊�����;安全策略設(shè)定模塊可根據(jù)移動終端傳送的指令����,設(shè)定安全策略;并根據(jù)安全策略的描述�����,向文件訪問模塊���、文件訪問日志記錄模塊和動態(tài)加解密模塊發(fā)送指令�����;并查詢文件訪問模塊�、文件訪問日志記錄模塊和動態(tài)加解密模塊的狀態(tài)并上報移動終端�����。
[0016]進一步���,所述文件訪問模塊通過接收安全策略設(shè)定模塊發(fā)來的指令�,實現(xiàn)對移動終端中文件對象的訪問操作進行權(quán)限控制;文件訪問日志記錄模塊通過接收安全策略設(shè)定模塊發(fā)來的指令��,實現(xiàn)對文件的所有操作進行記錄��;動態(tài)加解密模塊位于移動操作系統(tǒng)的內(nèi)核層����,通過接收安全策略設(shè)定模塊發(fā)來的指令,自動實現(xiàn)對文件的加解密處理����。
[0017]所述移動終端使用過程中,用戶在使用應(yīng)用程序時�,移動終端運行相關(guān)模塊計算該程序的MD5值提交云端服務(wù)器作對比,對比成功用戶正常使用�����,對比不成功無法使用該程序�����,防止應(yīng)用程序被病毒篡改�。
[0018]本發(fā)明的另一目的在于提供一種防破解系統(tǒng)的防護方法,該防破解方法包括以下步驟:
[0019]步驟一:動態(tài)加解密模塊實現(xiàn)自動加解密包括當(dāng)合法應(yīng)用程序讀取被加密的數(shù)據(jù)時����,動態(tài)加解密模塊進行解密操作,合法應(yīng)用程序則可正常使用數(shù)據(jù)����;
[0020]步驟二:當(dāng)合法應(yīng)用程序?qū)ξ募M行寫操作時,動態(tài)加解密模塊進行加密操作���,合法應(yīng)用程序保存的文件為加密后的文件�;
[0021]步驟三:當(dāng)非法應(yīng)用程序讀取被加密的數(shù)據(jù)時����,動態(tài)加解密模塊不進行解密操作,非法應(yīng)用程序則無法正常使用數(shù)據(jù)����;
[0022]步驟四:當(dāng)非法應(yīng)用程序?qū)ξ募M行寫操作時,動態(tài)加解密模塊不進行加解密操作��。
[0023]進一步�,該移動終端信息安全防護系統(tǒng)隨著移動終端系統(tǒng)啟動時自動啟動。
[0024]進一步�,該系統(tǒng)隨著移動終端系統(tǒng)啟動時自動啟動����。
[0025]進一步����,監(jiān)控模塊實時監(jiān)控的操作類型包括:保存文件操作、打開文件操作�����、復(fù)制粘貼操作����、屏幕拷貝操作和打印操作。當(dāng)保存文件操作發(fā)生時�,監(jiān)控模塊將通知文件加密模塊;當(dāng)復(fù)制粘貼操作���、屏幕拷貝操作和打印操作發(fā)生時�����,監(jiān)控模塊將通知信息訪問控制模塊����;當(dāng)訪問該系統(tǒng)所加密的文件時���,監(jiān)控模塊將通知文件解密模塊��。
[0026]進一步��,信息訪問控制模塊所控制的操作包括對訪問到的信息數(shù)據(jù)進行屏幕復(fù)制�、內(nèi)容復(fù)制粘貼�����、內(nèi)容打印操作���。
[0027]進一步�,文件訪問控制模塊所控制的訪問操作包括對文件對象的打開�����、創(chuàng)建�、刪除、改名���、復(fù)制����、移動、保存����、屬性設(shè)置操作。
[0028]進一步��,文件訪問控制模塊對文件進行權(quán)限控制包括只讀����、隱藏、禁止刪除�����、禁止打開�、禁止拷貝、禁止非法應(yīng)用程序訪問一個已經(jīng)被合法應(yīng)用程序打開的文件�����。
[0029]本發(fā)明的另一目的在于提供一種移動終端信息安全護方法�����,所述移動終端信息安全護方法包括:
[0030]監(jiān)控移動終端系統(tǒng)訪問信息系統(tǒng)時的保存文件操作、復(fù)制粘貼操作����、屏幕拷貝操作和打印操作���,當(dāng)保存