[发明专利]一种局域网数据安全防护方法及系统

说明书

技术领域

本发明涉及一种数据安全防护方法及系统，更具体的说是涉及一种局域网内的数据防护方法及系统。

背景技术

随着信息化的发展，单位越来越多的利用计算机进行日常办公操作，单位内部大量的数据信息及重要资料都是以电子文件的形式存在，如何能更好的保证单位内部重要数据信息及资料的安全性、保密性，防止重要资料被非法扩散造成信息泄密，又能使得这些电子文件被合法人员合理的高效的使用，是各单位比较关注的问题。

而对于大型单位来说，其网络环境复杂、基层单位多、分布广，办公环境差异大，电脑终端多。如何构建一种不影响工作效率的全方位防泄密环境是大型单位难解之题。而防泄密环境的构建一般需要同时完成网络数据安全建设和终端数据安全建设；网络数据安全建设现阶段技术已经趋于成熟，且针对网络层数据，对用户的工作效率几乎不影响。而终端是直接面向用户，在终端数据安全建设中对工作效率有很大影响。如何把终端建设的即安全又便捷是防泄密环境构建工作的重点。

针对以上问题，现有技术一般采用如下方法之一：

1.把视角集中在终端上的防护方法：以终端为防护点的主要特征是在各终端上安装管控软件，限制计算机终端上类外部接口的使用，如usb接口和光驱接口，极大的限制了计算机终端的便捷性，现有技术方法有：基于协同方式的内网安全管理方法(专利：201110323798.X)、单机安全防护系统(专利：201310356953.7)等。

2.把视角集中在电子文件上的防护方法：电子文件包括相关政策、法规、决议、筹划、计划、方案、报告、历年业务资料等，对于党政、军事、科研、商业、企业等领域而言，电子文件是最主要的敏感载体，也是发生泄密事件的主要途径。管住电子文件，即可实现终端数据安全。基于电子文件为防护点的主要特征是：对终端的电子文件进行加密，依据服务器分发的策略对电子文件进行解密访问等。加密文件在工作流转过程中所需的解密策略各不相同，需要花费大量时间定制不同的解密策略。主要的方法有：文件安全防范系统(专利-201310388918.3)。

3.把视角集中在用户上的防护方法：主要特征是采用权限控制技术，为用户分配角色及权限，符合条件的用户才能敏感的数据。防止非授权用户有意或无意对文件的操作导致文件的破坏。用户的角色和权限随人员的变化而变化。管理员需要时时跟踪人员的变化。

以上各种方式或各种方式的组合均会对用户使用计算机终端造成影响，对文件的使用习惯造成影响，严重影响工作效率。

发明内容

针对上述解决方案的弱点，本发明提出如下解决大型单位中接入特定网络环境下的终端数据安全的问题的思路与方法，同时保证工作效率不受影响：

在大型单位中，终端可能会处于不同的网络环境中，为了更全面、更有效的防护终端数据安全，不能单纯的以终端、文件、用户为中心，需要把防护的视角提高个层次，把计算机终端用户按照部门或业务类型的不同分为不同的局域网，以局域网为中心来集中防护终端数据安全，把终端的敏感数据转移到局域网中集中管理。

通过分配个人区方式把终端上敏感数据进行集中管理，通过存储加密、通道加密方式保证敏感数据在任何状态下都是安全的，个人区由用户自主操作控制，可以自主的利用多种权限方式共享敏感数据给其他人员，使得敏感文件均处于可控状态。通过备份模块备份敏感数据；通过usbkey保证访问者的物理身份与数字身份的一致性的同时，完成外带数据安全存储和安全使用。

敏感数据仅在显示时内存中的数据是明文，并对内存数据进行管控；在存储状态、传输状态，都是密文存在，确保了重要信息数据无论采取任何技术手段拿到的也只是加密后的乱码文件，没有合法的使用身份、访问权限、正确的安全通道，所有重要的文件都是密文状态，确保了数据无论在何时、何地、何种状态下都是安全的。在严密的防泄密环境下不影响用户的工作效率。

具体来说，本发明设置一种局域网数据安全防护的系统，包括计算机、局域网络，

所述系统设置集控存储设备，计算机通过局域网访问集控存储设备存储的涉密数据，本处所述的涉密数据主要是指涉及业务的数据，操作系统、通用软件等不属于涉密数据；

所述集控存储设备划分为个人用户区和群用户区，个人用户区供单个用户对数据进行操作，包括增、删、改、上传、下载、打印，共享，群用户区供多个用户对数据进行操作，包括增、删、改、上传、下载、打印；

用户将存储在所述集控存储设备中的数据复制至外部存储设备时，必须通过具有加密安全存储区的usbkey。

所述usbkey包括如下模块：