一種移動(dòng)終端信息安全防護(hù)系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全技術(shù)領(lǐng)域,尤其涉及一種移動(dòng)終端信息安全防護(hù)系統(tǒng)和方法。
【背景技術(shù)】
[0002]隨著企業(yè)信息化的不斷發(fā)展,企業(yè)通過(guò)構(gòu)建信息化系統(tǒng),方便地為企業(yè)用戶提供大量的信息數(shù)據(jù),其中不乏有企業(yè)合同信息、企業(yè)客戶信息等敏感的信息數(shù)據(jù)。在使用這些信息化系統(tǒng)時(shí),用戶通過(guò)計(jì)算機(jī)或智能移動(dòng)終端(包括智能手機(jī)和平板電腦)接入信息化系統(tǒng),并獲取信息數(shù)據(jù)。信息化系統(tǒng)能夠在系統(tǒng)內(nèi)部通過(guò)用戶帳戶管理、用戶權(quán)限管理,防范信息的泄漏;然而這些信息一旦到達(dá)用戶訪問(wèn)終端(計(jì)算機(jī)或智能移動(dòng)終端),則不再受控于信息化系統(tǒng)的保護(hù),例如用戶可通過(guò)屏幕復(fù)制獲取顯示在訪問(wèn)終端屏幕上的信息數(shù)據(jù),用戶可以通過(guò)合法的數(shù)據(jù)下載功能,將信息數(shù)據(jù)下載至訪問(wèn)終端上存儲(chǔ),等等。因此由于訪問(wèn)終端的接入所引發(fā)的信息泄露事件頻頻發(fā)生。對(duì)于計(jì)算機(jī)上的信息泄露防護(hù)目前已比較成熟,然而在智能移動(dòng)終端上仍無(wú)有效地防護(hù)手段和方法。
[0003]現(xiàn)有的手機(jī)安全軟件,都是基于數(shù)據(jù)存儲(chǔ)安全實(shí)現(xiàn),對(duì)于訪問(wèn)信息化系統(tǒng)所面臨的信息泄露問(wèn)題,存在如下嚴(yán)重缺失:
[0004]1、對(duì)訪問(wèn)信息化系統(tǒng)時(shí)的操作無(wú)法進(jìn)行管理。智能移動(dòng)終端在訪問(wèn)信息化系統(tǒng)時(shí),信息數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸?shù)街悄芤苿?dòng)終端后,并不以文件方式存儲(chǔ),而是直接通過(guò)應(yīng)用軟件顯示到屏幕上,此時(shí)用戶可進(jìn)行例如屏幕拷貝、內(nèi)容的復(fù)制粘貼等手段將信息數(shù)據(jù)獲取。
[0005]2、對(duì)從信息化系統(tǒng)中下載、或?qū)С龅臄?shù)據(jù)文件僅進(jìn)行加密處理,能夠有效地防止因丟失造成的信息泄露。然而,因?yàn)闊o(wú)法配合信息系統(tǒng)中的權(quán)限管理,不能有效地限制下載者的使用權(quán)限,可能會(huì)造成下載者的越權(quán)使用所導(dǎo)致的信息泄露。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于提供一種移動(dòng)終端信息安全防護(hù)系統(tǒng)和方法,旨在基于企業(yè)信息化系統(tǒng)在移動(dòng)終端上應(yīng)用時(shí),通過(guò)加解密技術(shù)和訪問(wèn)控制技術(shù),可實(shí)現(xiàn)對(duì)信息化系統(tǒng)中信息數(shù)據(jù)的防護(hù),以避免通過(guò)移動(dòng)終端進(jìn)行信息泄露的可能的問(wèn)題。
[0007]本發(fā)明是這樣實(shí)現(xiàn)的,一種移動(dòng)終端信息安全防護(hù)系統(tǒng),所述移動(dòng)終端信息安全防護(hù)系統(tǒng)運(yùn)行在移動(dòng)操作系統(tǒng)上,為在移動(dòng)終端上訪問(wèn)信息系統(tǒng)時(shí)提供安全保護(hù);具體包括:
[0008]監(jiān)控模塊,用于實(shí)時(shí)監(jiān)控移動(dòng)終端系統(tǒng)訪問(wèn)信息系統(tǒng)時(shí)的操作,并根據(jù)操作類型向下層的文件加密模塊、文件解密模塊或信息訪問(wèn)控制模塊發(fā)送指令;
[0009]文件加密模塊,與所述監(jiān)控模塊連接,用于在接收到監(jiān)控模塊或文件訪問(wèn)控制模塊發(fā)送的指令后,將從信息系統(tǒng)中保存出來(lái)的文件進(jìn)行加密處理,并通知日志記錄模塊將文件加密保存操作記錄至日志文件中;
[0010]文件解密模塊,與所述監(jiān)控模塊連接,根據(jù)所述監(jiān)控模塊傳送的指令,對(duì)指令中指定的文件解密操作,成功解密并打開文件后,通知文件訪問(wèn)控制模塊,并通知日志記錄模塊將解密操作記錄至日志文件中;
[0011 ]信息訪問(wèn)控制模塊位于移動(dòng)操作系統(tǒng)的內(nèi)核層,與所述監(jiān)控模塊連接,通過(guò)接收從所述監(jiān)控模塊傳送的指令,實(shí)現(xiàn)對(duì)移動(dòng)終端訪問(wèn)信息系統(tǒng)時(shí)的操作進(jìn)行控制,并將通知日志記錄模塊將操作記錄至日志文件中;
[0012]文件訪問(wèn)控制模塊位于移動(dòng)操作系統(tǒng)的內(nèi)核層,與所述監(jiān)控模塊連接,通過(guò)接收從所述文件解密模塊傳送的指令,實(shí)現(xiàn)對(duì)解密后的文件對(duì)象的訪問(wèn)操作進(jìn)行權(quán)限控制,當(dāng)監(jiān)控到文件關(guān)閉操作時(shí),文件訪問(wèn)控制模塊將文件信息通知給文件加密模塊,并將通知日志記錄模塊將文件對(duì)象的訪問(wèn)操作記錄至日志文件中;
[0013]日志記錄模塊,與所述文件加密模塊、文件解密模塊、信息訪問(wèn)控制模塊和文件訪問(wèn)控制模塊連接,根據(jù)所述文件加密模塊、文件解密模塊、文件訪問(wèn)控制模塊和信息訪問(wèn)控制模塊發(fā)來(lái)的指令,實(shí)現(xiàn)對(duì)所有操作進(jìn)行日志記錄。
[0014]進(jìn)一步,所述的日志記錄模塊內(nèi)安裝有防破解系統(tǒng),該防破解系統(tǒng)包括:云端數(shù)據(jù)庫(kù)、云端服務(wù)器、移動(dòng)終端、安全策略設(shè)定模塊;
[0015]云端數(shù)據(jù)庫(kù)與所述云端服務(wù)器連接,移動(dòng)終端通過(guò)無(wú)線網(wǎng)絡(luò)與云端服務(wù)器雙向進(jìn)行信息交換,安全策略設(shè)定模塊與移動(dòng)終端連接;移動(dòng)終端將數(shù)據(jù)、指令傳遞給安全策略設(shè)定模塊,并將安全策略設(shè)定模塊的狀態(tài)進(jìn)行上報(bào);所述云端數(shù)據(jù)庫(kù)包括:用戶信息存儲(chǔ)模塊、用戶密鑰存儲(chǔ)模塊、日志文件存儲(chǔ)模塊、用戶信息存儲(chǔ)模塊,且云端數(shù)據(jù)庫(kù)有自己完全的保護(hù)系統(tǒng)和隱私防護(hù)系統(tǒng);所述安全策略設(shè)定模塊包括:文件訪問(wèn)模塊、文件訪問(wèn)日志記錄模塊和動(dòng)態(tài)加解密模塊;安全策略設(shè)定模塊可根據(jù)移動(dòng)終端傳送的指令,設(shè)定安全策略;并根據(jù)安全策略的描述,向文件訪問(wèn)模塊、文件訪問(wèn)日志記錄模塊和動(dòng)態(tài)加解密模塊發(fā)送指令;并查詢文件訪問(wèn)模塊、文件訪問(wèn)日志記錄模塊和動(dòng)態(tài)加解密模塊的狀態(tài)并上報(bào)移動(dòng)終端。
[0016]進(jìn)一步,所述文件訪問(wèn)模塊通過(guò)接收安全策略設(shè)定模塊發(fā)來(lái)的指令,實(shí)現(xiàn)對(duì)移動(dòng)終端中文件對(duì)象的訪問(wèn)操作進(jìn)行權(quán)限控制;文件訪問(wèn)日志記錄模塊通過(guò)接收安全策略設(shè)定模塊發(fā)來(lái)的指令,實(shí)現(xiàn)對(duì)文件的所有操作進(jìn)行記錄;動(dòng)態(tài)加解密模塊位于移動(dòng)操作系統(tǒng)的內(nèi)核層,通過(guò)接收安全策略設(shè)定模塊發(fā)來(lái)的指令,自動(dòng)實(shí)現(xiàn)對(duì)文件的加解密處理。
[0017]所述移動(dòng)終端使用過(guò)程中,用戶在使用應(yīng)用程序時(shí),移動(dòng)終端運(yùn)行相關(guān)模塊計(jì)算該程序的MD5值提交云端服務(wù)器作對(duì)比,對(duì)比成功用戶正常使用,對(duì)比不成功無(wú)法使用該程序,防止應(yīng)用程序被病毒篡改。
[0018]本發(fā)明的另一目的在于提供一種防破解系統(tǒng)的防護(hù)方法,該防破解方法包括以下步驟:
[0019]步驟一:動(dòng)態(tài)加解密模塊實(shí)現(xiàn)自動(dòng)加解密包括當(dāng)合法應(yīng)用程序讀取被加密的數(shù)據(jù)時(shí),動(dòng)態(tài)加解密模塊進(jìn)行解密操作,合法應(yīng)用程序則可正常使用數(shù)據(jù);
[0020]步驟二:當(dāng)合法應(yīng)用程序?qū)ξ募M(jìn)行寫操作時(shí),動(dòng)態(tài)加解密模塊進(jìn)行加密操作,合法應(yīng)用程序保存的文件為加密后的文件;
[0021]步驟三:當(dāng)非法應(yīng)用程序讀取被加密的數(shù)據(jù)時(shí),動(dòng)態(tài)加解密模塊不進(jìn)行解密操作,非法應(yīng)用程序則無(wú)法正常使用數(shù)據(jù);
[0022]步驟四:當(dāng)非法應(yīng)用程序?qū)ξ募M(jìn)行寫操作時(shí),動(dòng)態(tài)加解密模塊不進(jìn)行加解密操作。
[0023 ]進(jìn)一步,該移動(dòng)終端信息安全防護(hù)系統(tǒng)隨著移動(dòng)終端系統(tǒng)啟動(dòng)時(shí)自動(dòng)啟動(dòng)。
[0024]進(jìn)一步,該系統(tǒng)隨著移動(dòng)終端系統(tǒng)啟動(dòng)時(shí)自動(dòng)啟動(dòng)。
[0025]進(jìn)一步,監(jiān)控模塊實(shí)時(shí)監(jiān)控的操作類型包括:保存文件操作、打開文件操作、復(fù)制粘貼操作、屏幕拷貝操作和打印操作。當(dāng)保存文件操作發(fā)生時(shí),監(jiān)控模塊將通知文件加密模塊;當(dāng)復(fù)制粘貼操作、屏幕拷貝操作和打印操作發(fā)生時(shí),監(jiān)控模塊將通知信息訪問(wèn)控制模塊;當(dāng)訪問(wèn)該系統(tǒng)所加密的文件時(shí),監(jiān)控模塊將通知文件解密模塊。
[0026]進(jìn)一步,信息訪問(wèn)控制模塊所控制的操作包括對(duì)訪問(wèn)到的信息數(shù)據(jù)進(jìn)行屏幕復(fù)制、內(nèi)容復(fù)制粘貼、內(nèi)容打印操作。
[0027]進(jìn)一步,文件訪問(wèn)控制模塊所控制的訪問(wèn)操作包括對(duì)文件對(duì)象的打開、創(chuàng)建、刪除、改名、復(fù)制、移動(dòng)、保存、屬性設(shè)置操作。
[0028]進(jìn)一步,文件訪問(wèn)控制模塊對(duì)文件進(jìn)行權(quán)限控制包括只讀、隱藏、禁止刪除、禁止打開、禁止拷貝、禁止非法應(yīng)用程序訪問(wèn)一個(gè)已經(jīng)被合法應(yīng)用程序打開的文件。
[0029]本發(fā)明的另一目的在于提供一種移動(dòng)終端信息安全護(hù)方法,所述移動(dòng)終端信息安全護(hù)方法包括:
[0030]監(jiān)控移動(dòng)終端系統(tǒng)訪問(wèn)信息系統(tǒng)時(shí)的保存文件操作、復(fù)制粘貼操作、屏幕拷貝操作和打印