一種移動終端信息安全防護系統和方法

一種移動終端信息安全防護系統和方法
【技術領域】
[0001]本發明屬于信息安全技術領域，尤其涉及一種移動終端信息安全防護系統和方法。
【背景技術】
[0002]隨著企業信息化的不斷發展，企業通過構建信息化系統，方便地為企業用戶提供大量的信息數據，其中不乏有企業合同信息、企業客戶信息等敏感的信息數據。在使用這些信息化系統時，用戶通過計算機或智能移動終端(包括智能手機和平板電腦)接入信息化系統，并獲取信息數據。信息化系統能夠在系統內部通過用戶帳戶管理、用戶權限管理，防范信息的泄漏;然而這些信息一旦到達用戶訪問終端(計算機或智能移動終端)，則不再受控于信息化系統的保護，例如用戶可通過屏幕復制獲取顯示在訪問終端屏幕上的信息數據，用戶可以通過合法的數據下載功能，將信息數據下載至訪問終端上存儲，等等。因此由于訪問終端的接入所引發的信息泄露事件頻頻發生。對于計算機上的信息泄露防護目前已比較成熟，然而在智能移動終端上仍無有效地防護手段和方法。
[0003]現有的手機安全軟件，都是基于數據存儲安全實現，對于訪問信息化系統所面臨的信息泄露問題，存在如下嚴重缺失:
[0004]1、對訪問信息化系統時的操作無法進行管理。智能移動終端在訪問信息化系統時，信息數據通過網絡傳輸到智能移動終端后，并不以文件方式存儲，而是直接通過應用軟件顯示到屏幕上，此時用戶可進行例如屏幕拷貝、內容的復制粘貼等手段將信息數據獲取。
[0005]2、對從信息化系統中下載、或導出的數據文件僅進行加密處理，能夠有效地防止因丟失造成的信息泄露。然而，因為無法配合信息系統中的權限管理，不能有效地限制下載者的使用權限，可能會造成下載者的越權使用所導致的信息泄露。

【發明內容】

[0006]本發明的目的在于提供一種移動終端信息安全防護系統和方法，旨在基于企業信息化系統在移動終端上應用時，通過加解密技術和訪問控制技術，可實現對信息化系統中信息數據的防護，以避免通過移動終端進行信息泄露的可能的問題。
[0007]本發明是這樣實現的，一種移動終端信息安全防護系統，所述移動終端信息安全防護系統運行在移動操作系統上，為在移動終端上訪問信息系統時提供安全保護;具體包括:
[0008]監控模塊，用于實時監控移動終端系統訪問信息系統時的操作，并根據操作類型向下層的文件加密模塊、文件解密模塊或信息訪問控制模塊發送指令；
[0009]文件加密模塊，與所述監控模塊連接，用于在接收到監控模塊或文件訪問控制模塊發送的指令后，將從信息系統中保存出來的文件進行加密處理，并通知日志記錄模塊將文件加密保存操作記錄至日志文件中；
[0010]文件解密模塊，與所述監控模塊連接，根據所述監控模塊傳送的指令，對指令中指定的文件解密操作，成功解密并打開文件后，通知文件訪問控制模塊，并通知日志記錄模塊將解密操作記錄至日志文件中；
[0011 ]信息訪問控制模塊位于移動操作系統的內核層，與所述監控模塊連接，通過接收從所述監控模塊傳送的指令，實現對移動終端訪問信息系統時的操作進行控制，并將通知日志記錄模塊將操作記錄至日志文件中；
[0012]文件訪問控制模塊位于移動操作系統的內核層，與所述監控模塊連接，通過接收從所述文件解密模塊傳送的指令，實現對解密后的文件對象的訪問操作進行權限控制，當監控到文件關閉操作時，文件訪問控制模塊將文件信息通知給文件加密模塊，并將通知日志記錄模塊將文件對象的訪問操作記錄至日志文件中；
[0013]日志記錄模塊，與所述文件加密模塊、文件解密模塊、信息訪問控制模塊和文件訪問控制模塊連接，根據所述文件加密模塊、文件解密模塊、文件訪問控制模塊和信息訪問控制模塊發來的指令，實現對所有操作進行日志記錄。
[0014]進一步，所述的日志記錄模塊內安裝有防破解系統，該防破解系統包括:云端數據庫、云端服務器、移動終端、安全策略設定模塊；
[0015]云端數據庫與所述云端服務器連接，移動終端通過無線網絡與云端服務器雙向進行信息交換，安全策略設定模塊與移動終端連接;移動終端將數據、指令傳遞給安全策略設定模塊，并將安全策略設定模塊的狀態進行上報;所述云端數據庫包括:用戶信息存儲模塊、用戶密鑰存儲模塊、日志文件存儲模塊、用戶信息存儲模塊，且云端數據庫有自己完全的保護系統和隱私防護系統;所述安全策略設定模塊包括:文件訪問模塊、文件訪問日志記錄模塊和動態加解密模塊;安全策略設定模塊可根據移動終端傳送的指令，設定安全策略；并根據安全策略的描述，向文件訪問模塊、文件訪問日志記錄模塊和動態加解密模塊發送指令;并查詢文件訪問模塊、文件訪問日志記錄模塊和動態加解密模塊的狀態并上報移動終端。
[0016]進一步，所述文件訪問模塊通過接收安全策略設定模塊發來的指令，實現對移動終端中文件對象的訪問操作進行權限控制;文件訪問日志記錄模塊通過接收安全策略設定模塊發來的指令，實現對文件的所有操作進行記錄;動態加解密模塊位于移動操作系統的內核層，通過接收安全策略設定模塊發來的指令，自動實現對文件的加解密處理。
[0017]所述移動終端使用過程中，用戶在使用應用程序時，移動終端運行相關模塊計算該程序的MD5值提交云端服務器作對比，對比成功用戶正常使用，對比不成功無法使用該程序，防止應用程序被病毒篡改。
[0018]本發明的另一目的在于提供一種防破解系統的防護方法，該防破解方法包括以下步驟:
[0019]步驟一:動態加解密模塊實現自動加解密包括當合法應用程序讀取被加密的數據時，動態加解密模塊進行解密操作，合法應用程序則可正常使用數據；
[0020]步驟二:當合法應用程序對文件進行寫操作時，動態加解密模塊進行加密操作，合法應用程序保存的文件為加密后的文件；
[0021]步驟三:當非法應用程序讀取被加密的數據時，動態加解密模塊不進行解密操作，非法應用程序則無法正常使用數據；
[0022]步驟四:當非法應用程序對文件進行寫操作時，動態加解密模塊不進行加解密操作。
[0023 ]進一步，該移動終端信息安全防護系統隨著移動終端系統啟動時自動啟動。
[0024]進一步，該系統隨著移動終端系統啟動時自動啟動。
[0025]進一步，監控模塊實時監控的操作類型包括:保存文件操作、打開文件操作、復制粘貼操作、屏幕拷貝操作和打印操作。當保存文件操作發生時，監控模塊將通知文件加密模塊；當復制粘貼操作、屏幕拷貝操作和打印操作發生時，監控模塊將通知信息訪問控制模塊;當訪問該系統所加密的文件時，監控模塊將通知文件解密模塊。
[0026]進一步，信息訪問控制模塊所控制的操作包括對訪問到的信息數據進行屏幕復制、內容復制粘貼、內容打印操作。
[0027]進一步，文件訪問控制模塊所控制的訪問操作包括對文件對象的打開、創建、刪除、改名、復制、移動、保存、屬性設置操作。
[0028]進一步，文件訪問控制模塊對文件進行權限控制包括只讀、隱藏、禁止刪除、禁止打開、禁止拷貝、禁止非法應用程序訪問一個已經被合法應用程序打開的文件。
[0029]本發明的另一目的在于提供一種移動終端信息安全護方法，所述移動終端信息安全護方法包括:
[0030]監控移動終端系統訪問信息系統時的保存文件操作、復制粘貼操作、屏幕拷貝操作和打印