[发明专利]磁盘资安系统

说明书

本发明公开了一种磁盘资安系统，包含：处理模块，协调系统组件间的运算资源与运作；位锁磁盘管理模块，管理位锁磁盘与涉密文件；位锁磁盘驱动模块，耦接上述的位锁磁盘管理模块，将位锁磁盘耦接于处理模块，使涉密文件得被处理模块所存取；防护驱动模块，耦接位锁磁盘驱动模块，防止未经允许存取储存于位锁磁盘之中的涉密文件；以及，位锁磁盘认证模块，耦接位锁磁盘管理模块，于位锁磁盘启动或存取涉密文件时，认证位锁磁盘，或涉密文件的保护权限。

技术领域

本发明涉及一种资安系统，更详而言之，为一种通过将档案储存于位锁磁盘，并在存取时须通过软、硬件加密认证，以避免档案遭到非法备份、破坏，或旁道攻击的资安防护系统。

背景技术

随着计算机科技的发展，现代人不管在工作、学习、科研或其他应用皆采用计算机，或各种终端机为作业工具，尤其在企业、政府单位、金融机构、军事单位，均无时无刻在产生大量的电子档案。然而，在信息化时代，只要牵涉到重要的，具有无论商务、策略、军事、智慧创作等等具重大价值的电子档案，即存在因组织内部管理不慎而泄漏，或遭到外部攻击的可能，例如从组织内部非法备份、破坏电子档案，或是物理上将装有电子档案的储存设备夹带至外部，再到由外部终端机通过网络攻击或窃取，一再使得企业或组织承受利益上的损失。此外，由于现代计算机的操作系统多可容纳多组用户账号，亦或网络服务器的分享，因此在多位使用者同时共享下，就必须对各种不同机密程度的文件加以区分。

在过往的信息安全系统架构中，例如中国专利CN102708335，其公开了一种涉密文件的保护系统。在该系统架构中，其揭示了以一沙盘程序(SandBox)为基础，客户端将储存于服务器端的涉密文件下载于该沙盘程序中，进行处理的应用。客户端通过和服务器端联机后，将涉密文件下载至一与实体磁体有所隔离的沙盘程序中进行有限度编辑，例如，依照权限设定可存取的动作，例如：写入、读取、拷贝、删除，使其具有防止客户端将涉密文件流出至外部终端机的效能，在信息安全确实了提高的组织或企业的资安防护程度。然而，如同前述，该系统并未具有辨识加密档案所属的服务器端以及客户端的技术特征，这导致了在客户端中可能具有安全性的漏洞，例如，在物理上将安装有客户端系统的终端机中的储存设备卸下(如直接拆下计算机中，客户端所在的硬盘)，并将储存设备在他地安装在另一终端机上(如将所拆下的硬盘装于另一台计算机)，但此涉密文件依然可在客户端与服务端联机后，于第三方的客户端上进行使用；再例如，该系统并未针对第三方终端机的远端联机做出限制，这使得虽然客户端在编辑涉密文件时，虽然的确因沙盘程序中的限制机制，无法做出将涉密文件备份至远端联机至客户端的第三方终端机，但第三终端机仍有机会利用本身的屏幕截图功能，将涉密文件中的内容记录下来(如，利用第三方终端机通过TeamViewer、Anydesk、ShowMyPC、UltraVNC，或Splashtop等软件，甚或操作系统的后门做远端联机时，以第三方终端机屏幕截图的功能，而非由客户端直接拷贝，来纪录涉密文件内容，藉以规避客户端于沙盘程序中的限制机制)。

对于信息安全来说，一些应用程序，例如加密装置应用程序(Encrypted DeviceApplication，EDA)，可以将一个特定的档案空间进行加密，且将加密档案储存于隔离磁盘。隔离磁盘可以使用不同的加密算法来保存用户的信息，以避免病毒或是黑客的恶意攻击。现有技术中，在建立加密档案的过程中，加密装置应用程序依据用户设定的密码来对于档案进行加密。在处理加密档案的过程中，加密装置应用程序亦判断密码是否正确来决定是否将加密档案设为隔离磁盘。由于档案仅依据用户设定的单一密码进行加密。密码极有可能被其他人破解，使得加密档案可以被其他人使用。另外，由于现有的隔离磁盘不具有任何的控管机制，无法提供不同用户的存取弹性。此外，由于隔离磁盘的管理机制中并无法辨识加密档案所属的主机，加密档案亦可能被复制到其他的主机上使用。

因此，于现时时点上，对于现有基于隔离磁盘于信息安全上的应用，仍有进一步改进的必要，以避免隔离磁盘中的档案，通过物理上，将储存设备加以移动，或透过来源不明的远端联机以隔离磁盘当作跳板，以窃取隔离磁盘中的档案数据，造成企业或组织的损失。

发明内容