一種企業計算機終端信息保護系統的制作方法

專利名稱：一種企業計算機終端信息保護系統的制作方法
技術領域：
本實用新型涉及一種企業計算機終端信息保護系統。
背景技術：
2010年，國內爆發了幾起較大的企業信息安全事件，波及面之廣、影響之惡劣前所未有。近年來，隨著企業計算機應用的普及，尋找一種有效，可行的企業內部計算機終端信息保護手段成為當前亟待解決的問題。當前企業內部信息保護的控制存在幾個問題，一是對磁盤缺乏訪問控制，移動磁盤、機器外出送修，易導致用戶文件泄露；二是依靠軟、硬的加密方式的文件控制，系統依賴程度較高，對用戶不透明，實施難度較大，可靠性較低；三是缺乏基于用戶的控制管理，缺乏基于企業內外網的訪問控制機制，應用領域較窄。所以，企業必須要對各種終端計算機用戶文件的使用與傳播進行相應保護和管理。另一方面，企業也應考慮到文件在員工及相關方的易傳播與易用性。為此，企業亟需一種信息安全保護系統在控制磁盤和文件訪問的同時也兼顧文件的易傳播性與易用性。

實用新型內容本實用新型所要解決的技術問題是提出一種企業計算機終端信息保護系統，該企業計算機終端信息保護系統為磁盤和文件提供可靠保護，并且在控制文件機密性的同時也兼顧了易傳播性與易用性。本實用新型的技術解決方案如下—種企業計算機終端信息保護系統，包括受保護客戶端、微軟域控管理服務器、文檔權限管理模塊、企業證書服務器、內網域名管理服務器、防火墻和外網客戶端；微軟域控管理服務器、文檔權限管理模塊、企業證書服務器、內網域名管理服務器均與受保護客戶端連接，微軟域控管理服務器、防火墻均與文檔權限管理模塊連接，外網客戶端通過互聯網連接防火墻。文檔權限管理模塊為由多個文檔權限管理模塊組成的文檔權限管理群集。文檔權限管理群集由第一文檔權限管理模塊和第二文檔權限管理模塊組成，第一文檔權限管理模塊與第二文檔權限管理模塊連接。本實用新型實現對用戶磁盤和文件的保護。企業內部多個用戶登錄同一受保護客戶端的情況下，登陸用戶不能訪問磁盤上其他用戶創建的文件。文檔權限管理模塊可以保護企業內的重要MS OFFICE文件，授權特定用戶以特定權限訪問這些文件，并將這些受保護文件帶到外網也按同樣的授權規則訪問。本實用新型提供了一套較完整的企業終端計算機信息的保護服務，保障了計算機磁盤和文件數據的安全。微軟域控管理服務器的功能是對受保護控制端下發EFS指令；并對文檔權限管理模塊的授權用戶進行認證。企業證書服務器的功能是為受保護客戶端統一頒發證書，并將該證書進行保存。[0014]內網域名管理服務器的功能是受保護的MS OFFICE文件內保存的認證地址是 URL,域名服務器進行地址解析，并對文檔權限管理模塊進行域名負載均衡。文檔權限管理模塊是一個包含多個程序服務的硬件模塊它包括數據庫、應用中間件、ASP. Net和消息隊列等服務組件，同時文檔權限管理模塊注冊完成后還需要到微軟域控管理服務器注冊它的服務器連接點(ServiceCormectionPoint，SCP)，確保授權用戶認證。有益效果本實用新型能實現對受保護終端磁盤的訪問控制受保護客戶端與微軟域控管理服務器、企業證書服務器構成連接，對受保護客戶端的磁盤進行基于用戶證書的EFS加密， 實現對多用戶登錄同一受保護客戶端后不能訪問磁盤上其他用戶創建的文件的功能。某受保護客戶端在多用戶登陸的情況下，將為登陸用戶生成授權文件夾，該文件夾只對該用戶開放，必須在該用戶合法登陸操作系統的情況下才可訪問，同時該登陸用戶訪問其他用戶的授權文件夾將被限制。優點是1、完全透明。授權用戶打開、修改、刪除文件與日常操作完全一致。2、保護方式牢固。無論用戶重裝系統，將磁盤介質移出計算機外掛等方式，未合法登陸的用戶始終無法打開受保護文件夾中的文檔。3、覆蓋面較廣，可行性較高，無需其他軟、硬件支撐，Windows 2000及以上Windows版本操作系統，磁盤格式為NTFS 即可實現。本實用新型實現對企業MS OFFICE文件的保護第一文檔權限管理模塊、第二文檔權限管理模塊進行連接，通過連接兩模塊形成群集，減少單點故障，提高文檔授權訪問系統的穩定性；微軟域控管理服務器、防火墻與第一文檔權限管理模塊、第二文檔權限管理模塊構成連接；受保護客戶端分別與第一文檔權限管理模塊、第二文檔權限管理模塊、內網域名管理服務器進行連接；外網客戶端通過互聯網與防火墻進行連接；為企業受保護客戶端和外網客戶端提供重要文件保護，授權特定用戶才能訪問這些文件。這些MS OFFICE文件按照文檔權限管理模塊制定的規則進行文件訪問，確保該文檔按照授權的用戶和權限(瀏覽、修改、復制，時間期限等)進行訪問。同時這些受保護文檔在外網同樣可接受訪問控制，實現企業文檔文件跨越內外網的統一管理和保護。文檔權限管理模塊進行群集配置，受保護客戶端、外網客戶端通過域名負載均衡，保證了訪問控制的高可靠性。

圖1為企業計算機終端信息保護系統總體結構示意圖。
具體實施方式
以下將結合附圖和具體實施例對本實用新型做進一步詳細說明實施例1 如圖1，一種企業終端信息保護系統，其由微軟域控管理服務器、企業證書服務器、 內網域名管理服務器、第一文檔權限管理模塊、第二文檔權限管理模塊、受保護客戶端、防火墻、外網客戶端組成。其中第一文檔權限管理模塊、第二文檔權限管理模塊連接形成群集，群集中兩個文檔權限管理模塊共享相同的配置，相同的數據，相同的服務連接管道URL。其中第一文檔權限管理模塊、第二文檔權限管理模塊與微軟域控管理服務器連接，對文檔授權用戶進行認證。由于加入到群集中的兩個模塊默認狀態基于無狀態的請求過程，并不能自動負載均衡，所以需要部署負載均衡器。負載均衡的設計與配置過程在內網域名管理服務器中為兩個文檔權限管理模塊的IP地址配置同一個域名，因而查詢這個域名的受保護客戶端將隨機得到其中一個地址，從而使不同的客戶訪問不同的服務器，達到負載均衡的目的。受保護客戶端與該群集、內網域名管理服務器連接，進行文件的訪問授權許可，由于形成群集，單一文檔權限管理模塊故障不會影響MS OFFICE文檔的訪問，避免單點失敗，這樣的結構實現了高可靠性。第一文檔權限管理模塊、第二文檔權限管理模塊與防火墻形成連接，為外網客戶端提供文檔授權認證，防火墻把文檔權限管理群集的URL外網認證地址發布到公網供外部用戶訪問，用戶通過公網域名解析找到公網IP，直接路由到監聽的防火墻，防火墻轉發到文檔權限管理群集，這樣即實現了內外網的統一認證授權保護。內網用戶對一個MS OFFICE文件進行授權保護的流程受保護客戶端首先連接文檔權限管理模塊，通過內網域名管理服務器的域名解析，得到一個文檔權限管理模塊IP 地址，受保護客戶端將文檔的授權用戶對象和訪問權限信息發送到指定的文檔權限管理模塊，群集生成加密的授權對象和權限發布許可證書返回至受保護客戶端，客戶端將發布許可合并到受保護文檔內容中。受保護客戶端對受保護的文檔的訪問流程受保護客戶端通過URL地址，到內網域名管理服務器進行域名解析，得到一個文檔權限管理模塊IP地址，受保護客戶端將該受保護文檔的授權對象和權限發布許可證書提交到指定的文檔權限管理模塊，文檔權限管理模塊將授權用戶信息到微軟域控管理服務器進行認證，進行用戶身份確認，之后文檔權限管理模塊簽署使用許可，再返回給客戶端，客戶端獲得這個使用許可證，就能按賦予的權限訪問受保護文件的內容了。外網客戶端對受保護的文檔的訪問流程與受保護客戶端的訪問流程類似，用戶在創建受保護文件時會在文檔權限管理模塊找到兩個URL認證地址(內網和外網)加入到MS OFFICE文件里。在外網環境下，客戶端無法聯系到內網地址就會使用外網地址進行授權申請，通過公網域名服務器解析外網URL到防火墻端口，防火墻再將服務請求遞交到文檔權限管理模塊。受保護客戶端與微軟域控管理服務器連接，實現本地操作系統接受域控管理服務器的管理。受保護客戶端與企業證書服務器構成連接，接受EFS證書的統一頒發和管理。 1、在用戶第一次登陸操作系統后，域控服務器將下發EFS(Encrypting File System，加密文件系統)指令，在受保護客戶端的NTFS磁盤生產EFS加密的用戶文件夾，同時企業證書服務器為該用戶頒發一個證書(非對稱)；2、EFS也會隨機產生一個FEK(文件加密密鑰， 對稱)；3、EFS會用第1步產生的證書的公鑰對FEK進行加密；4、EFS會將加密后的FEK存儲在DDF (數據壓縮區)。5、企業證書服務器對第1步產生的證書進行統一管理，確保證書頒發的一致性，同時將證書進行備份，那么在用戶證書丟失后，企業證書服務器可進行磁盤 EFS證書還原，保證了證書的統一性和可靠性。這樣受保護客戶端實現了在多用戶情況下， 一個用戶登錄受保護客戶端后不能訪問磁盤上其他用戶創建的文件。
權利要求1.一種企業計算機終端信息保護系統，其特征在于，包括受保護客戶端、微軟域控管理服務器、文檔權限管理模塊、企業證書服務器、內網域名管理服務器、防火墻和外網客戶端；微軟域控管理服務器、文檔權限管理模塊、企業證書服務器、內網域名管理服務器均與受保護客戶端連接，微軟域控管理服務器、防火墻均與文檔權限管理模塊連接，外網客戶端通過互聯網連接防火墻。
2.根據權利要求1所述的企業計算機終端信息保護系統，其特征在于，文檔權限管理模塊為由多個文檔權限管理模塊組成的文檔權限管理群集。
3.根據權利要求2所述的企業計算機終端信息保護系統，其特征在于，文檔權限管理群集由第一文檔權限管理模塊和第二文檔權限管理模塊組成，第一文檔權限管理模塊與第二文檔權限管理模塊連接。
專利摘要本實用新型公開了一種企業計算機終端信息保護系統，包括受保護客戶端、微軟域控管理服務器、文檔權限管理模塊、企業證書服務器、內網域名管理服務器、防火墻和外網客戶端；微軟域控管理服務器、文檔權限管理模塊、企業證書服務器、內網域名管理服務器均與受保護客戶端相連，微軟域控管理服務器、防火墻均與文檔權限管理模塊連接，外網客戶端通過互聯網連接防火墻。該企業計算機終端信息保護系統能為磁盤和文件提供可靠保護，并且在控制文件機密性的同時也兼顧了易傳播性和易用性。
文檔編號H04L29/06GK202059438SQ201120157989
公開日2011年11月30日 申請日期2011年5月18日 優先權日2011年5月18日
發明者彭俊 申請人:湖南省煙草公司長沙市公司