一種終端數據保護的方法及裝置的制造方法
【技術領域】
[0001]本申請屬于智能移動設備領域���,具體地說�����,涉及一種終端數據保護的方法及裝置�。
【背景技術】
[0002]隨著智能終端的成熟與普及����,以手機����、平板電腦為代表的個人智能終端設備逐漸進入企業(yè)領域��。眾多企業(yè)已經開始支持員工在個人移動設備上使用企業(yè)應用程序����,員工使用個人智能終端設備辦公已經成為一種無法逆轉的潮流。這類被稱為BY0D(Bring YourOwn Device,自帶設備辦公)的現象為企業(yè)帶來了全新的機遇����。但是,機遇常伴隨著風險��。移動設備由于其便攜性極易丟失�,每年有7000萬部手機丟失,其中60%的手機包含敏感信息�����,而移動設備中所保存的企業(yè)敏感數據也因此面臨泄密風險���。Varonis在2013年發(fā)布的關于企業(yè)中BYOD的趨勢調查報告顯示����,50 %的受訪企業(yè)表示曾經丟失過儲存企業(yè)重要數據的設備,其中23%的企業(yè)遭遇了數據安全事故���。設備丟失不但意味著敏感商業(yè)信息的泄漏���,所丟失的設備也可能會變成黑客攻擊企業(yè)網絡的跳板。根據調查���,盡管85%的企業(yè)采取了保密措施�����,但仍有23 %的企業(yè)發(fā)生過泄密事件��,員工的主要泄密途徑除了拍照泄漏、存儲在手機中進而外泄外����,還有離職員工拷貝企業(yè)重要信息,從而出賣資料�。員工的這些行為,導致企業(yè)重要信息無意或有意泄密��,不僅為企業(yè)帶來財產損失����,影響企業(yè)的業(yè)務運營����,還帶來了商譽受損等問題���。
[0003]因此����,一種終端數據保護的方法亟待提出����。
【發(fā)明內容】
[0004]有鑒于此,本申請所要解決的技術問題是提供一種終端數據保護的方法及裝置��。
[0005]本申請開了一種終端數據保護的方法�����,位于硬件層執(zhí)行����,主要包括如下步驟:
[0006]在終端中建立用于存儲企業(yè)數據的工作區(qū);
[0007]根據預設的加密算法在所述終端的TF卡對所述工作區(qū)存儲數據進行加密;
[0008]當檢測到數據訪問請求時���,獲取所述數據訪問請求的身份認證信息���;
[0009 ]當判定所述身份認證信息通過認證,則接受所述數據訪問請求�。
[0010]其中,根據預設的加密算法對存儲數據進行加密�,具體包括:
[0011]根據終端用戶的設置選擇相應的加密算法,調用TF卡的軟件開發(fā)工具包對所述終端保存的數據進行加密運算�����。
[0012]其中�����,獲取所述數據訪問請求的身份認證信息��,所述身份認證信息包括:所述終端的TF卡標識�、S頂卡標識���、終端的設備識別號以及網絡狀態(tài)���。
[0013]其中�����,當判定所述身份認證信息通過認證��,則接受所述數據訪問請求��,進一步包括:
[0014]當檢測到通話的主叫方以及被叫方電話號碼存儲在所述工作區(qū)的數據庫中時�,對所述通話過程進行加密處理�����。
[0015]其中��,當判定所述身份認證信息通過認證���,則接受所述數據訪問請求��,進一步包括:
[0016]當檢測到短信的發(fā)件人以及收件人的電話號碼存儲在所述工作區(qū)的數據庫中時���,從密鑰管理服務器獲取收件人的公鑰并使用TF卡對明文短信內容進行加密運算得到加密短信,以使收件人通過私鑰在TF卡中進行加密短信的解密運算從而獲得明文短信����。
[0017]—種終端數據保護的方法��,位于應用層執(zhí)行���,進一步包括:
[0018]對終端的系統(tǒng)事件進行監(jiān)測,判斷所述系統(tǒng)事件是否符合預設的工作區(qū)規(guī)則�;其中,所述系統(tǒng)事件包括:通話事件和短信事件��;
[0019]當所述系統(tǒng)事件符合所述工作區(qū)規(guī)則時���,在工作區(qū)空間內執(zhí)行與所述系統(tǒng)事件對應的操作�����,將與所述操作相對應的數據加密并存儲在所述工作區(qū)空間的數據庫中��。
[0020]具體地�����,當判斷所述通話的主叫方或被叫方電話號碼��、或短信的發(fā)件人或收件人的電話號碼存儲在工作區(qū)空間的數據庫中時,對所述通話記錄或短信加密,將此通話記錄或短信存儲在所述工作區(qū)空間的數據庫中��,并在所述終端的通話記錄或短消息記錄中將此通話記錄或短消息刪除;其中����,當所述通話事件為去電事件時,在所述終端的來電記錄中將此通話記錄刪除�����;提供通話選項界面�,由用戶選擇當來電的主叫方或被叫方電話號碼存儲在工作區(qū)空間的數據庫中時,是否刪除所述終端的通話記錄��。
[0021]具體地���,提供郵件規(guī)則選項界面��,由用戶設置只能在工作區(qū)或使用工作區(qū)應用接收的郵箱賬號�,并將所述郵箱賬號存儲在所述工作區(qū)空間的數據庫中�����;
[0022]當判斷所述系統(tǒng)事件為接收郵件���、并且發(fā)件人的郵箱賬號存儲在工作區(qū)空間的數據庫中時�����,將郵件內容以及下載的郵件附件加密�,并將郵件內容以及下載的郵件的附件存儲在所述工作區(qū)空間的數據庫中。
[0023]—種終端數據保護的方法�,位于操作系統(tǒng)層執(zhí)行,進一步包括:
[0024]接收針對應用自由安裝列表中列出的應用程序發(fā)起的安裝請求���,所述應用自由安裝列表從服務器獲??;
[0025]當確認配置有應用黑名單時,判斷待安裝的應用程序是否在所述應用黑名單中�����,如果是��,則禁止所述應用程序的安裝�����,否則�����,對所述應用程序進行安裝;
[0026]當確認配置有應用白名單時��,判斷待安裝的應用程序是否在所述應用白名單中���,如果是,則對所述應用程序進行安裝�,否則,禁止所述應用軟件的安裝;其中�����,所述應用黑名單或應用白名單由服務器配置���。
[0027]其中����,所述對所述應用程序進行安裝����,具體包括:
[0028]根據所述安裝請求從服務器處下載所述應用程序的安裝包;修改所述安裝包的Manifest文件�,將應用程序的入口強制變更至工作區(qū)���。
[0029]其中,接收到所述服務器配置的應用黑名單時���,根據應用黑名單中列出的應用程序的名稱及版本號檢測個人區(qū)內存空間中是否安裝有所述應用黑名單中列出的應用程序��,并針對檢測到的應用程序發(fā)出所述應用程序禁止安裝的告警信息���;
[0030]接收到所述服務器配置的應用白名單時,根據應用白名單中列出的應用程序的名稱及版本號檢測個人區(qū)內存空間中是否安裝有所述應用白名單中未列出的應用程序;并針對檢測到的應用程序發(fā)出所述應用程序禁止安裝的告警信息���。
[0031]所述方法還包括:在所述應用程序的安裝包中添加卸載監(jiān)聽代碼���,用以所述終端監(jiān)聽到所述數據保護方法對應的裝置卸載后,清除所述工作區(qū)內目標的應用程序的數據���。
[0032]所述方法還包括:在所述應用程序的安裝包中添加與服務器通信代碼�����,用以所述終端在接收到由服務器端發(fā)送的數據清除命令時�,清除所述工作區(qū)內相應的應用程序的數據�。
[0033]所述方法還包括:在所述應用程序的安裝包中添加解密與加密代碼�����,用以所述終端對工作區(qū)讀寫的數據進行加密以及解密���。
[0034]所述方法還包括:在所述應用程序的安裝包中隔離代碼,用以所述終端攔截工作區(qū)內應用程序的開啟行為���,并將開啟請求發(fā)送至服務器,由服務器判斷應用程序的開啟方式���。
[0035]—種終端數據保護的方法��,位于應用層執(zhí)行�����,所述方法進一步包括:
[0036]接收服務器下發(fā)的所述移動端對應的基于地理位置的安全策略信息����;其中���,所述安全策略包括:在指定的地理區(qū)域范圍內�,關閉終端中至少一個特定的系統(tǒng)功能;在指定的地理區(qū)域范圍內,禁止終端中至少一個特定的應用程序的啟動和運行�。
[0037]周期性查看自身是否在所述基于地理位置的安全策略信息指定的地理區(qū)域范圍內;
[0038]若在�,則執(zhí)行所述安全策略。
[0039]其中�,當所述安全策略為:
[0040]在指定的區(qū)域內,禁止終端中至少一個特定的應用程序的啟動和運行時��,所述安全策略包括:指定的地理區(qū)范圍信息����、允許和不允許啟動和運行的應用的安全類別信息;所述執(zhí)行所述安全策略,具體包括:
[0041 ]向服務器發(fā)送查詢本地所有應用的私有屬性信息和公有屬性信息����;
[0042]并從獲取到的各應用的私有屬性信息和公有屬性信息中分別查找對應的安全類別?目息;
[0043]將查找到的每個應用私有屬性信息和公有屬性信息中的安全類別信息的組合,作為該應用的安全類別信息���;
[0044]根據每個應用的安全類別信息����,確定在所述指定區(qū)域內�����,是否允許該應用的啟動和運行。
[0045]—種終端數據保護的方法�,位于通信層執(zhí)行,進一步包括:
[0046]采用VPN建立專用網絡��,當所述工作區(qū)的應用程序進行網絡訪問時�,將VPN服務器和移動端之間的通訊數據進行加密處理;和/或
[0047]當所述工作區(qū)的應用程序訪問外網時,對所述外網的URL進行檢測���;
[0048]當判定所述外網的URL存在訪問風險�,則禁止應用程序訪問�,并將所述外網URL添加至風險列表以用于后續(xù)判斷����。
[0049]本申請開了一種終端數據保護的裝置,所述裝置位于硬件層�,主要包括如下模塊:
[0050]建立模塊,用于在終端中建立用于存儲企業(yè)數據的工作區(qū)��;
[0051 ]加密模塊���,用于根據預設的加密算法在所述終端的TF卡對所述工作區(qū)存儲數據進行加密�����;
[0052]認證模塊����,用于當檢測到數據訪問請求時,獲取所述數據訪問請求的身份認證信息;
[0053]訪問控制模塊����,用于當判定所述身份認證信息通過認證,則接受所述數據訪問請求�����。
[0054]其中���,所述加密模塊�,具體用于:根據終端用戶的設置選擇相應的加密算法����,調用TF卡的軟件開發(fā)工具包對所述終端保存的數據進行加密運算。
[0055]所述身份認證信息包括:所述終端的TF卡標識��、S頂卡標識��、終端的設備識別號以及網絡狀態(tài)。
[0056]所述訪問控制模塊進一步用于:當檢測到通話的主叫方以及被叫方電話號碼存儲在所述工作區(qū)的數據庫中時�����,對所述通話過程進行加密處理�����。
[0057]所述訪問控制模塊進一步用于:
[0058]當檢測到短信的發(fā)件人以及收件人的電話號碼存儲在所述工作區(qū)的數據庫中時�����,從密鑰管理服務器獲取收件人的公鑰并使用TF卡對明文短信內容進行加密運算得到加密短信�����,以使收件人通過私鑰在TF卡中進行加密短信的解密運算從而獲得明文短信����。
[0059]—種終端數據保護的裝置����,所述裝置位于應用層,進一步包括:
[0060]監(jiān)測模塊��,用于對終端的系統(tǒng)事件進行監(jiān)測,判斷所述系統(tǒng)事件是否符合預設的工作區(qū)規(guī)則;其中�,所述系統(tǒng)事件包括:通話事件和短信事件;
[0061]執(zhí)行模塊�,用于當所述系統(tǒng)事件符合所述工作區(qū)規(guī)則時,在工作區(qū)空間內執(zhí)行與所述系統(tǒng)事件對應的操作�,將與所述操作相對應的數據加密并存儲在所述工作區(qū)空間的數據庫中。
[0062]其中�,所述執(zhí)行模塊進一步包括通話和短信執(zhí)行模塊,所述通話和短信執(zhí)行模塊用于:
[0063]當判斷所述通話的主叫方或被叫方電話號碼��、或短信的發(fā)件人或收件人的電話號碼存儲在工作區(qū)空間的數據庫中時���,對所述通話記錄或短信加密���,將此通話記錄或短信存儲在所述工作區(qū)空間的數據庫中,并在所述終端的通話記錄或短消息記錄中將此通話記錄或短消息刪除;其中�,當所述通話事件為去電事件時,在所述終端的來電記錄中將此通話記錄刪除�����;提供通話選項界面�,由用戶選擇當來電的主叫方或被叫方電話號碼存儲在工作區(qū)空間的數據庫中時,是否刪除所述終端的通話記錄���。
[0064]其中����,所述執(zhí)行模塊進一步包括用戶選項模塊和郵件執(zhí)行模塊,所述用戶選項模塊用于提供郵件規(guī)則選項界面�����,由用戶設置只能在工作區(qū)或使用工作區(qū)應用接收的郵箱賬號�����,并將所述郵箱賬號存儲在所述工作區(qū)空間的數據庫中���;
[0065]所述郵件執(zhí)行模塊用于當判斷所述系統(tǒng)事件為接收郵件�����、并且發(fā)件人的郵箱賬號存儲在工作區(qū)空間的數據庫中時���,將郵件內容以及下載