安全隔离桌面的方法及系统 【技术领域】
本发明涉及计算机资源共享技术领域,特别涉及一种安全隔离桌面的方法及系统。 背景技术 随着互联网的发展和电子商务的普及,象出差员工、家庭办公等多种类型的远 程访问企业内部资源和应用的需要变得十分的迫切。 要既可以实现远程员工、合作伙伴 乃至客户对企业内部网络资源的安全访问,而又不会为企业网络带来新的安全风险,那 么客户端的安全问题变得至关重要。 如果客户端能访问企业内网并能从内网下载资源, 不对这些资源进行隔离限制的话,很可能导致内网资源的外泄。
传统的安全桌面的安全措施对客户端的限制不够充分,安全桌面所作的保护只 能保证在退出时不留下内网资源的痕迹,但并不能够保证客户端与外界的隔离性,这样 在客户端上就可以进行一些与外界的通信,导致内网资源传递的不可控,同样存在内网 资源外泄的可能。
发明内容 ( 一 ) 要解决的技术问题
本发明要解决的技术问题是如何在分享资料的同时,保证操作界面与外界的完 全隔离,增加安全性。
( 二 ) 技术方案
为解决上述技术问题,本发明提供了一种安全隔离桌面的方法,包括以下步 骤:
S1 :对当前计算机终端进行安全性检测,若通过,则执行步骤 S2,若不通过, 则终止安全隔离桌面方法 ;
S2 :创建隔离桌面,从当前计算机终端真实桌面切换至所述隔离桌面 ;
S3 :挂钩所述隔离桌面的文件操作函数,监控所述隔离桌面的文件操作 ;
S4 :判断是否新建或修改了隔离桌面中的文件,若是,则将打开、新建或修改 的文件重新定向到当前计算机终端上的指定位置,并加密储存,再执行步骤 S5,若否, 则执行步骤 S5 ;
S5 :判断是否需要退出隔离桌面,若是,则执行步骤 S6,若否,则执行步骤 S4 ;
S6 :将隔离桌面在当前计算机终端中存储的文件删除,并切换回当前计算机终 端真实桌面。
其中,步骤 S3 中包括步骤 :
S11 :挂钩所述隔离桌面的网络连接函数,监控所述隔离桌面的网络连接,若所 述隔离桌面请求网络连接,则拒绝。
其中,步骤 S3 中包括步骤 :
S12 :挂钩所述隔离桌面的设备操作函数,监控所述隔离桌面的设备操作,若所 述隔离桌面请求设备操作,则拒绝。
其中,步骤 S3 中包括步骤 :
S13 :挂钩所述隔离桌面的进程通信函数,监控所述隔离桌面的进程间通信,若 所述隔离桌面请求与当前计算机终端真实桌面通信,则拒绝。
本发明提供了一种安全隔离桌面的系统,包括 :
所述安全检测模块,用于对当前计算机终端进行安全性检测,若通过则执行所 述桌面切换模块,若不通过则退出安全隔离桌面系统 ;
所述桌面切换模块,用于创建隔离桌面,从当前计算机终端真实桌面切换至所 述隔离桌面 ;
所述挂钩监控模块,用于挂钩所述隔离桌面的文件操作函数,监控所述隔离桌 面的文件操作 ;
所述加密存储模块,用于判断是否打开、新建或修改了隔离桌面中的文件,若 是,则将打开、新建或修改的文件重新定向到当前计算机终端上的指定位置,并加密储 存,再执行所述退出判断模块,若否,则执行所述退出判断模块 ;
所述退出判断模块,用于判断是否需要退出隔离桌面,若是,则执行所述文件 删除模块,若否,则执行所述加密存储模块 ;
所述文件删除模块,用于将隔离桌面在当前计算机终端中存储的文件删除,并 切换回当前计算机终端真实桌面。
其中,所述挂钩监控模块中包括 :
连接监控子模块,用于挂钩所述隔离桌面的网络连接函数,监控所述隔离桌面 的网络连接,若所述隔离桌面请求网络连接,则拒绝。
其中,所述挂钩监控模块中包括 :
设备监控子模块,用于挂钩所述隔离桌面的设备操作函数,监控所述隔离桌面 的设备操作,若所述隔离桌面请求设备操作,则拒绝。
其中,所述挂钩监控模块中包括 :
进程监控子模块,用于挂钩所述隔离桌面的进程通信函数,监控所述隔离桌面 的进程间通信,若所述隔离桌面请求与当前计算机终端真实桌面通信,则拒绝。
( 三 ) 有益效果
本发明通过对文件操作函数的监控,实现了在分享资料的同时,保证操作界面 与外界的完全隔离,并增加安全性。 附图说明
图 1 是按照本发明一种实施方式的安全隔离桌面的方法的流程图 ;
图 2 是按照本发明一种实施方式的安全隔离桌面的系统的结构示意图。 具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。 以下实施例用于说明本发明,但不用来限制本发明的范围。
本发明提出了一种利用在计算机终端上隔离系统桌面的方法来保证资源共享的 安全,通过将计算机终端限制于一个逻辑隔离的虚拟空间,与真实桌面完全独立开,保 证共享的资源只存在于隔离的虚拟空间中,并不能从隔离桌面通过设备、网络或进程间 通信的方法泄露出去,防止机密数据的外泄,同时又不影响正常工作需要。
图 1 是按照本发明一种实施方式的安全隔离桌面的方法的流程图,包括以下步 骤:
S101 :对当前计算机终端进行安全性检测,若通过则执行步骤 S103,若不通过 则执行步骤 S102,所述安全性检测包括检查当前计算机终端是否存在恶意程序,如键盘 记录器 ;
S102 :终止安全隔离桌面方法 ;
S103 :创建隔离桌面,从当前计算机终端真实桌面切换至所述隔离桌面,所 述隔离桌面通过调用系统创建桌面的函数生成,与当前计算机终端真实桌面界面完全相 同;
S104 :挂钩所述隔离桌面的文件操作函数,监控所述隔离桌面的文件操作, S104 中还包括步骤 : S1041 :挂钩所述隔离桌面的网络连接函数,监控所述隔离桌面的网络连接,若 所述隔离桌面请求网络连接,则拒绝,所述请求网络连接为 :除需访问的企业服务器外 的所有网络连接请求,例如,访问因特网、网络硬盘、局域网通信 ( 局域网内,两台计 算机终端的数据交互 ) 等 ;
S1042 :挂钩所述隔离桌面的设备操作函数,监控所述隔离桌面的设备操作, 若所述隔离桌面请求设备操作,则拒绝,所述请求设备操作包括 :使用打印机、串行端 口、存储设备、刻录机等 ;
S1043 :挂钩所述隔离桌面的进程通信函数,监控所述隔离桌面的进程间通信, 若所述隔离桌面请求与当前计算机终端真实桌面通信,则拒绝,所述进程间通信包括 : 隔离桌面和当前计算机终端桌面的进程使用套接字 (socket)、命名管道、邮槽、剪切板、 共享内存等 ;
S105 :判断是否打开、新建或修改了隔离桌面中的文件,若是,则执行步骤 S106,若否,则执行步骤 S107 ;
S106 :将打开 ( 打开文件所生成的缓存文件 )、新建或修改的文件重新定向到当 前计算机终端上的指定位置,并加密储存,再执行步骤 S107,所述加密采用加密隧道, 防止数据被窃听 ;
S107 :判断是否需要退出隔离桌面,若是,则执行步骤 S108,若否,则执行步 骤 S105 ;
S108 :将隔离桌面在当前计算机终端中存储的文件删除 ( 删除用户在隔离桌面 中留下的全部痕迹,使得在终端上不留下资源的任何痕迹 ),并切换回当前计算机终端真 实桌面。
本发明还公开了一种安全隔离桌面的系统,如图 2 所示,包括 :依次连接的安 全检测模块、桌面切换模块、挂钩监控模块、加密存储模块、退出判断模块、文件删除
模块,所述退出判断模块和所述加密存储模块连接,
所述安全检测模块,用于对当前计算机终端进行安全性检测,若通过则执行桌 面切换模块,若不通过则退出安全隔离桌面系统 ;
所述桌面切换模块,用于创建隔离桌面,从当前计算机终端真实桌面切换至所 述隔离桌面 ;
所述挂钩监控模块,用于挂钩所述隔离桌面的文件操作函数,监控所述隔离桌 面的文件操作 ;
所述加密存储模块,用于判断是否打开、新建或修改了隔离桌面中的文件,若 是,则将打开、新建或修改的文件重新定向到当前计算机终端上的指定位置,并加密储 存,再执行所述退出判断模块,若否,则执行所述退出判断模块 ;
所述退出判断模块,用于判断是否需要退出隔离桌面,若是,则执行所述文件 删除模块,若否,则执行所述加密存储模块 ;
所述文件删除模块,用于将隔离桌面在当前计算机终端中存储的文件删除,并 切换回当前计算机终端真实桌面。
所述挂钩监控模块中包括 : 连接监控子模块,用于挂钩所述隔离桌面的网络连接函数,监控所述隔离桌面 的网络连接,若所述隔离桌面请求网络连接,则拒绝。
设备监控子模块,用于挂钩所述隔离桌面的设备操作函数,监控所述隔离桌面 的设备操作,若所述隔离桌面请求设备操作,则拒绝。
进程监控子模块,用于挂钩所述隔离桌面的进程通信函数,监控所述隔离桌面 的进程间通信,若所述隔离桌面请求与当前计算机终端真实桌面通信,则拒绝。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普 通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因 此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限 定。