[实用新型]一种企业计算机终端信息保护系统

说明书

技术领域

本实用新型涉及一种企业计算机终端信息保护系统。

背景技术

2010年，国内爆发了几起较大的企业信息安全事件，波及面之广、影响之恶劣前所未有。近年来，随着企业计算机应用的普及，寻找一种有效，可行的企业内部计算机终端信息保护手段成为当前亟待解决的问题。

当前企业内部信息保护的控制存在几个问题，一是对磁盘缺乏访问控制，移动磁盘、机器外出送修，易导致用户文件泄露；二是依靠软、硬的加密方式的文件控制，系统依赖程度较高，对用户不透明，实施难度较大，可靠性较低；三是缺乏基于用户的控制管理，缺乏基于企业内外网的访问控制机制，应用领域较窄。

所以，企业必须要对各种终端计算机用户文件的使用与传播进行相应保护和管理。另一方面，企业也应考虑到文件在员工及相关方的易传播与易用性。为此，企业亟需一种信息安全保护系统在控制磁盘和文件访问的同时也兼顾文件的易传播性与易用性。

实用新型内容

本实用新型所要解决的技术问题是提出一种企业计算机终端信息保护系统，该企业计算机终端信息保护系统为磁盘和文件提供可靠保护，并且在控制文件机密性的同时也兼顾了易传播性与易用性。

本实用新型的技术解决方案如下：

一种企业计算机终端信息保护系统，包括受保护客户端、微软域控管理服务器、文档权限管理模块、企业证书服务器、内网域名管理服务器、防火墙和外网客户端；

微软域控管理服务器、文档权限管理模块、企业证书服务器、内网域名管理服务器均与受保护客户端连接，微软域控管理服务器、防火墙均与文档权限管理模块连接，外网客户端通过互联网连接防火墙。

文档权限管理模块为由多个文档权限管理模块组成的文档权限管理群集。

文档权限管理群集由第一文档权限管理模块和第二文档权限管理模块组成，第一文档权限管理模块与第二文档权限管理模块连接。

本实用新型实现对用户磁盘和文件的保护。企业内部多个用户登录同一受保护客户端的情况下，登陆用户不能访问磁盘上其他用户创建的文件。文档权限管理模块可以保护企业内的重要MS OFFICE文件，授权特定用户以特定权限访问这些文件，并将这些受保护文件带到外网也按同样的授权规则访问。本实用新型提供了一套较完整的企业终端计算机信息的保护服务，保障了计算机磁盘和文件数据的安全。

微软域控管理服务器的功能是对受保护控制端下发EFS指令；并对文档权限管理模块的授权用户进行认证。

企业证书服务器的功能是为受保护客户端统一颁发证书，并将该证书进行保存。

内网域名管理服务器的功能是：受保护的MS OFFICE文件内保存的认证地址是URL，域名服务器进行地址解析，并对文档权限管理模块进行域名负载均衡。

文档权限管理模块是一个包含多个程序服务的硬件模块：它包括数据库、应用中间件、ASP.Net和消息队列等服务组件，同时文档权限管理模块注册完成后还需要到微软域控管理服务器注册它的服务器连接点(ServiceConnectionPoint，SCP)，确保授权用户认证。

有益效果：

本实用新型能实现对受保护终端磁盘的访问控制：受保护客户端与微软域控管理服务器、企业证书服务器构成连接，对受保护客户端的磁盘进行基于用户证书的EFS加密，实现对多用户登录同一受保护客户端后不能访问磁盘上其他用户创建的文件的功能。

某受保护客户端在多用户登陆的情况下，将为登陆用户生成授权文件夹，该文件夹只对该用户开放，必须在该用户合法登陆操作系统的情况下才可访问，同时该登陆用户访问其他用户的授权文件夹将被限制。优点是：1、完全透明。授权用户打开、修改、删除文件与日常操作完全一致。2、保护方式牢固。无论用户重装系统，将磁盘介质移出计算机外挂等方式，未合法登陆的用户始终无法打开受保护文件夹中的文档。3、覆盖面较广，可行性较高，无需其他软、硬件支撑，Windows 2000及以上Windows版本操作系统，磁盘格式为NTFS即可实现。

本实用新型实现对企业MS OFFICE文件的保护：第一文档权限管理模块、第二文档权限管理模块进行连接，通过连接两模块形成群集，减少单点故障，提高文档授权访问系统的稳定性；微软域控管理服务器、防火墙与第一文档权限管理模块、第二文档权限管理模块构成连接；受保护客户端分别与第一文档权限管理模块、第二文档权限管理模块、内网域名管理服务器进行连接；外网客户端通过互联网与防火墙进行连接；为企业受保护客户端和外网客户端提供重要文件保护，授权特定用户才能访问这些文件。