[发明专利]一种基于集中控管的防信息泄密系统

说明书

技术领域

本发明涉及一种防信息泄密方法，尤其是一种基于集中控管的防信息泄密系统，属于信息安全领域。

背景技术

计算机与网络的普及应用使得信息的生产、存储、获取、共享和传播更加方便，同时也增加了组织内部重要信息泄密的风险。来自Gartner的调查显示：有超过85％的安全威胁来自组织内部；各种安全漏洞造成的损失中，30％-40％是由电子文件泄露造成的；在Fortune排名前1000家的公司中，每次电子文件泄露所造成的损失平均是50万美元。尤其是近年来U盘、移动硬盘的存储容量迅速提升，笔记本电脑更加普及，就使得防泄密更加重要和急迫。

最原始的防止电脑泄密的手段是单机上锁、物理隔离，但由于存在散热困难、信息共享困难等问题而已基本淘汰。

后来出现的防水墙、终端安全管理、内网安全审计等产品则主要从“事中”和“事后”的角度来解决信息安全问题，但“事中”的监控即使通过对USB、网口等实行封堵也难以杜绝泄密，通过日志分析来实现的“事后审计”技术则更加被动，因为等到发现泄密事件时往往损失已经发生，只能是亡羊补牢。

文档安全管理类产品，如微软RMS，是由文档作者通过设置权限来实现文件的保护，但不能用来防止内部人员主动泄密，更不能防止文档作者本人的主动泄密。

发明内容

本发明的目的是克服现有技术中存在的不足，提供一种基于集中控管的防信息泄密系统，用于保护组织内部的重要数据，防止泄密。

按照本发明提供的技术方案，所述基于集中控管的防信息泄密系统如下：包括管理中心、控制台和客户端；所述管理中心进行客户端的合法性认证、安全策略的分发、密钥和数字证书的管理；控制台进行用户帐户管理、安全策略的配置与管理、文件审核与解密、日志审计管理、离线客户端授权管理；客户端按照从控制台下发的安全策略具体执行对文件的透明加解密，并对密文使用过程进行全程监控、全程保护；所述管理中心还可兼做集中备份时的文件安全服务器；所述客户端根据安全策略还可对文件进行自动备份和多版本恢复；

系统的管理权限采用分级分权的管理体系，根管理员为一级管理员，系统管理员、文件管理员和日志审计员为二级管理员，所述二级管理员由根管理员创建，并通过分发USB电子钥匙进行授权；

在所述管理中心、控制台和客户端上安装的外发文件安全管理软件模块包括外发文件管理中心、文件外发制作工具和以插件方式安装的绿色隐形客户端软件；

所述外发文件安全管理中心的功能有：企业用户在制作外发文件包时，需要得到系统管理中心的授权，创建证书；对客户端每次使用授权文件的权限进行认证，用户通过认证才能正常使用授权文件；负责证书的生成，用户认证通过后对证书的管理；查询、跟踪所有的企业员工打包制作日志、所有的客户远程验证日志、当前外发文件的状态管理；

所述外发文件制作工具的功能有：从认证服务器上获取证书，证书的信息与文件信息和企业名称信息绑定；将待外发的授权文件加密；将证书、客户端程序和加密后的授权文件进行处理，得到本系统可控制的外发文件；

所述隐形客户端的功能有：当客户第一次使用企业提供的授权文件时，客户端将在线进行证书认证。认证成功，则客户可以正常使用授权文件；以后的用户使用该文件均需要在线验证，通过后才可继续使用；当合法客户打开企业提供的授权文件时，客户端程序对授权文件进行自动解密，用户保存时对授权文件进行自动加密，整个过程对客户透明；当非法客户对此授权文件进行操作时将得不到文件明文；当合法客户在使用企业提供的授权文件时，客户端程序将全程监控。

所述根管理员的权限和职责是：对系统密钥进行管理，创建二级管理员并且通过USB电子钥匙为之授权；所述系统管理员的权限和职责是：创建用户组和用户帐号，为创建的用户组和用户帐号分配安全策略，员工外出授权；所述日志审计员的权限和职责是：对系统日志信息查询、审计和管理；所述文件管理员的权限和职责是：对客户端提交的需要解密的文件进行审核和解密。

所述员工外出授权的方法是：通过电子密钥为出差用户进行本地授权、远程授权；本地授权是对电子密钥实体进行授权；出差和加班用户可通过该电子密钥启动客户端，远程授权是当外发电子密钥过期时，补发电子密钥授权文件，延长电子密钥使用期限。

所述当合法客户在使用企业提供的授权文件时，客户端程序全程监控，使客户只能对本文件进行编辑，不可将文件粘贴、复制到其他文件。

所述管理中心有软件和硬件两种形式，软件版的管理中心可以安装在Windows操作系统平台下，硬件的管理中心采用基于Linux操作系统的工控机或嵌入式系统。