[发明专利]一种基于单向传输的电子文档输出管控系统及方法

说明书

技术领域

本发明属于网络信息安全技术领域，具体涉及一种基于单向传输的电子文档输出管控系统及方法。

背景技术

在现代企业办公环境中，存在数量众多和种类繁杂的电子文档，其中，电子文档指依赖计算机系统存取并可在通信网络上传输的文档，包括：电子文书、电子信件、电子报表、电子图纸、纸质文本文档的电子版本等等。由于工作需要，将电子文档输出的需求非常普遍，此处，电子文档输出包括两类：(1)通过打印机将电子文档打印为纸件文档：例如，将电子文档打印为纸件文档，然后，将打印出的纸件文档交给领导指示或直接存档；(2)将电子文档从计算机输出到光盘或U盘等移动存储介质。例如，将电子文档刻录成光盘后，将光盘交给合作单位，或者，将电子文档存储到U盘后，将U盘交给合作单位等。

现有电子文档输出方式主要为：每一个员工配置一台办公用的终端计算机，员工直接通过终端计算机配置的各种外设接口输出电子文档，该种输出方式的主要问题为：(1)输出行为不可控：无法监控员工输出电子文档的输出行为，一旦出现泄密事件，无法追踪追溯；(2)输出内容不可控：无法监控员工所输出电子文档的电子文档内容，易造成信息泄漏；(3)输出设备不可控：市面上的打印机等输出设备具有自主芯片，存在主动访问和攻击企业内部网络，进而窃取企业信息的风险；例如：打印机设备可以通过扫描终端计算机获取企业内部网络的敏感信息，并通过打印机设置内置的无线模块发送出去，导致信息泄露。

由此可见，尤其对于敏感办公网络或涉密办公网络，不受控的电子文档输出对企业运营带来极大的安全风险，如何对电子文档的输出进行管控，保证电子文档输出的安全性，具有重要意义。

发明内容

针对现有技术存在的缺陷，本发明提供一种基于单向传输的电子文档输出管控系统及方法，可全方面有效管控电子文档的输出行为，保证电子文档输出的安全性。

本发明采用的技术方案如下：

本发明提供一种基于单向传输的电子文档输出管控系统，包括：终端代理模块、集中管理中心模块及外发隔离模块，所述终端代理模块与所述集中管理中心模块双向通信连接；所述集中管理中心模块与所述外发隔离模块双向通信连接；

所述终端代理模块嵌入到内部网络的终端计算机上，包括：

电子文档外发子模块，用于设置电子文档外发类型，以及与每一种电子文档外发类型对应的电子文档外发接口；

身份鉴别子模块，用于当所述电子文档外发子模块接收到对某一电子文档输出的指令时，对需要输出电子文档的账户进行合法性身份鉴别；

策略存储子模块，用于存储所述集中管理中心模块所下发的内容检查、外设控制等策略；

内容检查子模块，用于读取所述策略存储子模块所存储的内容检查策略，基于该内容检查策略，对经过身份鉴别的电子文档进行内容检查；

通讯子模块，用于将通过所述内容检查子模块进行的内容检查的电子文档加密发送到集中管理中心模块；

外设接口控制子模块，用于对所述终端计算机的外设接口进行控制，使所述终端计算机的外设接口处于封堵状态；

所述集中管理中心模块嵌入到内部网络的服务器上，包括：

终端管理子模块，用于对各个终端计算机进行集中管理；

用户管理子模块，用于对终端用户进行集中管理；

策略配置子模块，用于以已注册终端计算机和/或已注册终端用户为配置对象，配置与已注册终端计算机和/或已注册终端用户对应的内容检查策略、外设控制等，并将所配置的安全策略下发到各个终端计算机；

人工审核子模块，用于对接收到的来自终端代理模块的电子文档进行人工审核；

审计管理子模块，用于采集各个终端计算机和外发隔离模块的日志，并对采集到的日志进行统计分析；

终端发送子模块，用于将通过所述人工审核子模块审核后的电子文档发送到所述外发隔离模块；

所述外发隔离模块包括内端机、单向光传输部件和外端机；其中，所述内端机通过所述单向光传输部件与所述外端机通信连接；

所述内端机包括第一处理器、第一网络接口、第一通信接口、读卡器、第一显示设备和第一输入接口；

所述第一网络接口用于接收所述集中管理中心模块通过所述终端发送子模块所下发的电子文档，并将该电子文档发送到所述第一处理器；

所述第一通信接口或所述读卡器用于接收身份认证请求，其中，所述身份认证请求中携带有需要被认证的身份信息；并将该身份认证请求发送到所述第一处理器；