專利名稱:一種內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)的制作方法
技術領域:
本實用新型涉及信息安全領域��,尤其涉及一種內(nèi)網(wǎng)信息安全管理系統(tǒng)。
背景技術:
隨著信息化程度的不斷提高和自動化辦公的不斷普及�����,涉密文件由傳統(tǒng)的紙質(zhì) 文件越來越多的向電子化文檔轉(zhuǎn)換�,而這些涉密文檔零散的存儲在各計算機中,雖然根 據(jù)保密規(guī)定這些涉密計算機必須進行相應的安全防護�����,但是防護的重點多偏向于監(jiān)控計 算機設備以及計算機使用者的操作���,對于真正重要的涉密信息本身的防護卻很有限�����。大 多數(shù)的涉密單位都有自己的數(shù)據(jù)安全管理策略和管理流程�����,但在人員培訓����、策略執(zhí)行和 監(jiān)控等多個方面存在很大的缺陷��,增加了數(shù)據(jù)泄漏的風險��。其次�,許多單位的業(yè)務流程已不再是狹窄孤立的,而是具有動態(tài)性�����、協(xié)作性和 廣泛性的合作過程���。例如�,在日常辦公過程中�����,可能需要單位內(nèi)外的人員通過演示文 稿��、電子表格或文檔的形式來共享涉密文件等信息�����,當然每個人都擔任不同的角色�,從 而對機密數(shù)據(jù)也就有不同的訪問和使用權限。這就給涉密數(shù)據(jù)的泄漏造成了巨大的威 脅����。防火墻�����、訪問控制����、網(wǎng)關過濾等技術�,能夠控制用戶準許或拒絕訪問涉密信 息,但這些傳統(tǒng)信息安全技術對用戶不能提供更加細分化的策略權限控制����,也就是說這 些技術更關注外部入侵或外部破壞導致的數(shù)據(jù)破壞和泄漏,但對于網(wǎng)絡內(nèi)部的信息泄漏 卻沒有引起足夠的重視��,如內(nèi)部人員泄密或其他未授權人員直接接入內(nèi)部網(wǎng)絡導致的泄 密等����。然而,內(nèi)部網(wǎng)絡泄密的事件帶來的損失是巨大的��,據(jù)統(tǒng)計�����,80%的泄密事件來自 于內(nèi)部,因此�����,與網(wǎng)絡黑客和惡意程序相比��,這種來自內(nèi)部的惡意泄露更具有針對性���, 隱蔽性,造成的損失也更大�����。因此如何加強內(nèi)網(wǎng)計算機的管理�����、介質(zhì)使用情況的管理�����、接入認證的管理���、非 法外聯(lián)的管理等管理手段�,對硬件設備的使用狀況和使用者的操作行為進行監(jiān)控,成為 防止內(nèi)部泄密事件發(fā)生的關鍵�����。
發(fā)明內(nèi)容本實用新型的目的在于提供一種內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)�����,能更好的解決涉 密文件內(nèi)部泄漏的問題����。本實用新型提出的一種內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)包括交換機或集線器,還包 括存儲內(nèi)網(wǎng)所有涉密文檔的文件集中存儲服務器�����;經(jīng)由所述交換機或集線器連接所述文件集中存儲服務器的多個客戶終端�����,用于 根據(jù)各自的使用權限訪問和使用所述文件集中存儲服務器中存儲的涉密文檔���;經(jīng)由所述交換機或集線器連接所述文件集中存儲服務器和所述多個客戶終端的 安全管理中心�����,用于為所述客戶終端分配各自的使用權限���,并管理所述文件集中存儲服務器�����。所述內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)還包括連接在所述交換機或集線器與所述文件集中存儲服務器之間的安全認證網(wǎng)關, 用于對所述客戶終端訪問所述文件集中存儲服務器的使用權限進行認證����;連接所述安全認證網(wǎng)關的證書服務器,用于為所述安全認證網(wǎng)關提供用來認證 使用權限的安全認證證書�����。其中����,客戶終端包括對所述涉密文檔進行操作的安全虛擬平臺模塊、對所述安 全虛擬平臺模塊處理后的殘留涉密文檔進行數(shù)據(jù)清除的數(shù)據(jù)清除模塊��、對所述安全虛擬 平臺模塊處理的涉密文檔進行加密的數(shù)據(jù)加密模塊���、對來自所述文件集中存儲服務器的 已加密的涉密文檔進行解密的數(shù)據(jù)解密模塊���,以及用于驗證用戶身份的USB密鑰驗證模 塊�����。與現(xiàn)有技術相比較�����,本實用新型的有益效果在于本實用新型通過對涉密文檔 集中管控和對用戶權限的控制����,有效管控內(nèi)網(wǎng)涉密文件����,切斷內(nèi)部人員泄漏涉密信息的 途徑,防止內(nèi)部泄密事件的發(fā)生���。
圖1是本實用新型提供的內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)的原理框圖�����;圖2是本實用新型實施例提供的內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)結構示意圖��;圖3是本實用新型實施例提供的客戶終端內(nèi)部結構示意圖���。
具體實施方式
以下結合附圖對本實用新型的優(yōu)選實施例進行詳細說明�,應當理解��,以下所說 明的優(yōu)選實施例僅用于說明和解釋本實用新型�����,并不用于限制本實用新型��。圖1顯示了本實用新型提供的內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)的原理框圖���,如圖1所 示一種內(nèi)網(wǎng)電子信息管理平臺系統(tǒng),包括文件集中存儲服務器1�����、多個客戶終端 2��、安全管理中心3�、交換機或集線器4。所述文件集中存儲服務器1用于存儲內(nèi)網(wǎng)所有涉密文檔���;所述多個客戶終端2����,經(jīng)由所述交換機或集線器4連接所述文件集中存儲服務器 1,用于根據(jù)各自的使用權限訪問和使用所述文件集中存儲服務器中存儲的涉密文檔���;所述安全管理中心3����,經(jīng)由所述交換機或集線器4連接所述文件集中存儲服務器 1和所述多個客戶終端2�����,用于為所述客戶終端2分配各自的使用權限�����,并管理所述文件 集中存儲服務器�;所述交換機或集線器4,連接所述文件集中存儲服務器1�����、所述客戶終端2和所 述安全管理中心3�。所述內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)的工作原理是所述安全管理中心3通過所述交換機或集線器4為多個客戶終端2分配各自的使 用權限��;用戶使用某一個客戶終端2���,并根據(jù)使用權限,訪問和使用所述文件集中存儲服務器1中存儲的涉密文檔�����,并且�,在所述文件集中存儲服務器1中保存用戶訪問和使用涉 密文檔的日志,為安全管理中心查詢和分析所述日志提供審計依據(jù)�。所述日志用于記錄 客戶端所有的文件操作,包括文件新建�����、打開�����、關閉��,文件復制��、重命名����、刪除、傳輸 等行為�,記錄內(nèi)容包括所操作的文件名、時間����、路徑等;用戶可以對讀取的涉密文檔進行共享或流轉(zhuǎn)����,并在所述文件集中存儲服務器1 中保存共享或流轉(zhuǎn)文件日志;涉密文檔處理完成后���,客戶終端2刪除殘留的涉密文檔和使用痕跡����,保證在客 戶終端2上不保存����、不殘留任何涉密文檔及其使用痕跡,即客戶終端2不留密����;安全管理中心3可以通過交換機或集線器4查看所述文件集中存儲服務器1上保 存的日志���。圖2顯示了本實用新型實施例提供的內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)結構示意圖, 圖3顯示了本實用新型實施例提供的客戶終端內(nèi)部結構示意圖����,以下結合圖2和圖3對本 實用新型做進一步說明如圖2所示,所述內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)��,包括文件集中存儲服務器1�����、多 個客戶終端2�、安全管理中心3、交換機或集線器4�����、安全認證網(wǎng)關5和證書服務器6��。所述文件集中存儲服務器1���,用于存儲內(nèi)網(wǎng)所有涉密文檔,并提供支持系統(tǒng)運行 的數(shù)據(jù)庫服務�;所述多個客戶終端2����,經(jīng)由所述交換機或集線器4連接所述文件集中存儲服務 器����,用于根據(jù)各自的使用權限訪問所述文件集中存儲服務器1中存儲的涉密文檔,并通 過執(zhí)行安全管理中心3設置的各種安全管理策略�����,實現(xiàn)對涉密文檔的安全使用和管理���;所述安全管理中心3�����,經(jīng)由所述交換機或集線器4連接所述文件集中存儲服務器 1和所述多個客戶終端2����,是系統(tǒng)管理和維護的平臺���,用于完成客戶終端2的管理和文件 集中存儲服務器1的管理�,包括用戶管理����、策略配置���、策略應用、日志管理���、系統(tǒng)設置 等功能的配置及維護工作�����。所述安全認證網(wǎng)關5���,連接在所述交換機或集線器4與所述文件集中存儲服務器 1之間,用于對所述客戶終端2訪問所述文件集中存儲服務器1的使用權限進行認證��;所述證書服務器6����,連接所述安全認證網(wǎng)關5,用于為所述安全認證網(wǎng)關5提供 用來認證使用權限的安全認證證書����。如圖3所示�����,所述客戶終端2包括CPU27,以及與所述CPU27相連的網(wǎng)卡模塊 21�����、安全虛擬平臺模塊22�����、USB密鑰驗證模塊23��、數(shù)據(jù)清除模塊24���、數(shù)據(jù)加密模塊25���、 數(shù)據(jù)解密模塊26。所述網(wǎng)卡模塊21�,連接交換機或集線器4;所述安全虛擬平臺模塊22,用于使用戶對所述涉密文檔進行操作�;所述USB密鑰驗證模塊23,用于驗證用戶身份����;所述數(shù)據(jù)清除模塊24��,用于對所述安全虛擬平臺模塊22處理后的殘留涉密文檔 及其使用痕跡進行數(shù)據(jù)清除��;所述數(shù)據(jù)加密模塊25�,用于對所述安全虛擬平臺模塊22處理的涉密文檔進行加 密��;所述數(shù)據(jù)解密模塊26����,用于對來自文件集中存儲服務器1的已加密的涉密文檔進行解密。所述內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)的工作原理是所述安全管理中心3通過所述交換機或集線器4為多個客戶終端2分配各自的 使用權限��,并對涉密文檔的使用權限細分為“只讀”����、“只讀可打印”、“只讀可復 制”�����、“刪除”��、“完全控制”�、“訪問日期限制”和“訪問時間限制”;用戶在所述USB密鑰驗證模塊23上插入身份認證KEY,對用戶的身份進行驗 證�����;身份驗證成功后輸入相應的安全認證信息��,并通過安全認證網(wǎng)關5認證成功 后���,用戶具有操作文件集中存儲服務器1中相應的涉密文件的權限;用戶通過基于文件名����、關鍵字、摘要和全文的檢索將文件集中存儲服務器1中 存儲的用戶需要的涉密文檔讀入安全虛擬平臺模塊22����,通過CPU27控制數(shù)據(jù)解密模塊26 對所述涉密文檔進行解密,對于具有“完全控制”權限的涉密文檔�����,用戶可以在安全管 理中心1的應用策略下共享和流轉(zhuǎn)涉密文檔�,其中,用戶對涉密文檔的操作形成日志并 保存在所述述文件集中存儲服務器1中���; 涉密文檔處理完成后����,通過CPU27控制數(shù)據(jù)加密模塊25對安全虛擬平臺模塊22 上的涉密文檔進行加密,并將加密后的涉密文檔保存到文件集中存儲服務器1中�;數(shù)據(jù)清除模塊24刪除在客戶終端2上殘留的涉密文檔和使用痕跡,保證在客戶 終端2上不保存���、不殘留任何涉密文檔及其使用痕跡���,即客戶終端2不留密;安全管理中心3通過交換機或集線器4查看所述文件集中存儲服務器1上保存的 日志o其中��,上述安全認證信息用于使客戶終端2運行于安全的環(huán)境���,避免偽裝進程 的運行和惡意程序篡改進程�����,從而保證涉密文件處理的安全性���。綜上所述,本實用新型具有以下技術效果1�、本實用新型通過把涉密文檔集中存儲在文件集中管理服務器1���,實現(xiàn)涉密文 檔的安全保護,提高了涉密行業(yè)對涉及國家秘密的信息的安全防護����。2、本實用新型通過在客戶終端2上使用安全虛擬平臺模塊22���,實現(xiàn)對涉密文檔 的安全使用和管理。3����、本實用新型通過在客戶終端2上使用數(shù)據(jù)清除模塊24,保證了客戶終端2不 殘留任何涉密文檔及使用痕跡���,有效切斷內(nèi)部人員泄漏涉密信息的途徑��,防止內(nèi)部竊密 事件的發(fā)生���。4、本實用新型通過控制用戶的訪問權限以及對涉密文檔使用權限的細分�����,保證 指定用戶訪問指定涉密文檔,保證了涉密文檔的安全性���。5����、本實用新型通過把用戶訪問和使用涉密文檔的信息形成日志�����,提高對涉密文 檔的安全管理�。上述具體實施例用于更詳細的描述本實用新型所述的技術,不用于限制本實用 新型�����,因此���,凡在本實用新型的基礎上所做的任何修改���、改進和替換,都包含在本實用 新型的保護范圍之內(nèi)����。
權利要求1.一種內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)���,包括交換機或集線器(4),其特征在于����,還包括存儲內(nèi)網(wǎng)所有涉密文檔的文件集中存儲服務器(1);經(jīng)由所述交換機或集線器(4)連接所述文件集中存儲服務器的多個客戶終端(2)����,用 于根據(jù)各自的使用權限訪問和使用所述文件集中存儲服務器中存儲的涉密文檔;經(jīng)由所述交換機或集線器(4)連接所述文件集中存儲服務器(1)和所述多個客戶終端 (2)的安全管理中心(3)�,用于為所述客戶終端(2)分配各自的使用權限�,并管理所述文 件集中存儲服務器。
2.根據(jù)權利要求1所述的內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)�,其特征在于,還包括 連接在所述交換機或集線器(4)與所述文件集中存儲服務器(1)之間的安全認證網(wǎng)關(5)���,用于對所述客戶終端(2)訪問所述文件集中存儲服務器(1)的使用權限進行認證�;連接所述安全認證網(wǎng)關(5)的證書服務器(6)�����,用于為所述安全認證網(wǎng)關(5)提供用 來認證使用權限的安全認證證書�。
3.根據(jù)權利要求1所述的內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)��,其特征在于�����,所述客戶終端 (2)包括對所述涉密文檔進行操作的安全虛擬平臺模塊(22)��。
4.根據(jù)權利要求3所述的內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)����,其特征在于����,所述客戶端(2) 還包括對所述安全虛擬平臺模塊(22)處理后的殘留涉密文檔進行數(shù)據(jù)清除的數(shù)據(jù)清除模 塊(24)。
5.根據(jù)權利要求4所述的內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)�����,其特征在于��,所述客戶端(2) 還包括對所述安全虛擬平臺模塊(22)處理的涉密文檔進行加密的數(shù)據(jù)加密模塊(25)��。
6.根據(jù)權利要求5所述的內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)����,其特征在于�,所述客戶端 (2)還包括對來自文件集中存儲服務器(1)的已加密的涉密文檔進行解密的數(shù)據(jù)解密模塊 (26)
7.根據(jù)權利要求6所述的內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)�����,其特征在于����,所述客戶端(2) 還包括用于驗證用戶身份的USB密鑰驗證模塊(23)。
專利摘要本實用新型提供了一種內(nèi)網(wǎng)電子信息管理平臺系統(tǒng)���,包括交換機或集線器�����;存儲內(nèi)網(wǎng)所有涉密文檔的文件集中存儲服務器���;經(jīng)由所述交換機或集線器連接所述文件集中存儲服務器的多個客戶終端����,用于根據(jù)各自的使用權限訪問和使用所述文件集中存儲服務器中存儲的涉密文檔;經(jīng)由所述交換機或集線器連接所述文件集中存儲服務器和所述多個客戶終端的安全管理中心���,用于為所述客戶終端分配各自的使用權限�����,并管理所述文件集中存儲服務器�。本實用新型通過集中管理控制涉密文檔和所述涉密文檔的使用權限,提高涉密行業(yè)對涉及國家秘密的信息的安全防護��,有效切斷內(nèi)部人員泄漏涉密信息的途徑��,防止內(nèi)部竊密事件的發(fā)生��。
文檔編號H04L29/06GK201805447SQ20102028856
公開日2011年4月20日 申請日期2010年8月11日 優(yōu)先權日2010年8月11日
發(fā)明者于晴, 王海洋 申請人:北京鼎普科技股份有限公司