本發(fā)明屬于數(shù)據(jù)資產(chǎn)保護(hù)，具體涉及一種數(shù)字資產(chǎn)保護(hù)系統(tǒng)及方法。

背景技術(shù)：

1、在傳統(tǒng)云服務(wù)中，存儲(chǔ)服務(wù)器主要用于保存應(yīng)用系統(tǒng)中的各種素材、圖片、視頻等電子數(shù)據(jù)；而傳統(tǒng)云盤服務(wù)則常用于存儲(chǔ)那些超出物理硬盤容量限制的數(shù)據(jù)。然而，隨著近年來(lái)網(wǎng)絡(luò)黑客技術(shù)的不斷進(jìn)步，云環(huán)境中的服務(wù)器和云盤頻繁發(fā)生數(shù)據(jù)泄露事件，例如百度云盤數(shù)據(jù)泄露事件等。一旦財(cái)務(wù)記錄、私人照片、重要文檔等敏感數(shù)據(jù)遭到泄露，不僅可能導(dǎo)致經(jīng)濟(jì)損失，還可能引發(fā)身份盜竊、名譽(yù)損害等嚴(yán)重問(wèn)題。此外，企業(yè)在使用云盤存儲(chǔ)商業(yè)機(jī)密或客戶數(shù)據(jù)時(shí)，數(shù)據(jù)泄露可能帶來(lái)嚴(yán)重的法律后果和信任危機(jī)。路由存儲(chǔ)設(shè)備是一種常見(jiàn)的解決方案，用于大量、集中地存儲(chǔ)圖片、視頻、文檔等電子數(shù)據(jù)。這種設(shè)備集成了路由器和存儲(chǔ)功能，允許用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)存儲(chǔ)在服務(wù)器上的數(shù)據(jù)。這類產(chǎn)品主要依賴于幾個(gè)關(guān)鍵技術(shù)組件：集成式路由器與存儲(chǔ)設(shè)備、云管理平臺(tái)、遠(yuǎn)程訪問(wèn)客戶端以及多用戶權(quán)限管理。通過(guò)這些技術(shù)組件的組合，可以迅速構(gòu)建一套硬件設(shè)備部署在家中，實(shí)現(xiàn)隨時(shí)隨地訪問(wèn)的存儲(chǔ)服務(wù)。盡管這類設(shè)備將存儲(chǔ)硬件化，但網(wǎng)絡(luò)連接部分仍然存在被暴露和強(qiáng)制破解的風(fēng)險(xiǎn)。

2、傳統(tǒng)云存儲(chǔ)和物理存儲(chǔ)服務(wù)器通常采用國(guó)際密碼算法來(lái)保護(hù)數(shù)據(jù)的存儲(chǔ)和傳輸，但隨著越來(lái)越多的國(guó)際加密算法被破解，加密數(shù)據(jù)的安全性正逐漸受到威脅。此外，許多應(yīng)用已經(jīng)內(nèi)置了云存儲(chǔ)或物理存儲(chǔ)功能，如何在現(xiàn)有基礎(chǔ)上進(jìn)行安全升級(jí)變成一個(gè)棘手的問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、為解決現(xiàn)有技術(shù)中存在的上述問(wèn)題，本發(fā)明提供了一種數(shù)字資產(chǎn)保護(hù)系統(tǒng)及方法，本發(fā)明的目的可以通過(guò)以下技術(shù)方案實(shí)現(xiàn)：

2、一種數(shù)字資產(chǎn)保護(hù)系統(tǒng)，包括：數(shù)據(jù)存儲(chǔ)加密單元、網(wǎng)絡(luò)通信保護(hù)單元和遠(yuǎn)程桌面控制單元；

3、所述數(shù)據(jù)存儲(chǔ)加密單元包括密鑰管理模塊、存儲(chǔ)管理模塊、策略管理模塊以及數(shù)據(jù)加解密模塊；所述密鑰管理模塊通過(guò)向國(guó)密安全設(shè)備獲取sm4密鑰并加密存儲(chǔ)于系統(tǒng)中，用于對(duì)電子數(shù)據(jù)進(jìn)行加解密；所述存儲(chǔ)管理模塊用于獲取用戶數(shù)據(jù)管理保護(hù)信息，根據(jù)所述用戶數(shù)據(jù)管理保護(hù)信息提取對(duì)應(yīng)的存儲(chǔ)保護(hù)數(shù)據(jù)并進(jìn)行存儲(chǔ)管理；所述策略管理模塊用于對(duì)所述存儲(chǔ)保護(hù)數(shù)據(jù)配置數(shù)據(jù)保護(hù)密鑰和加解密策略，所述存儲(chǔ)保護(hù)數(shù)據(jù)在配置完成后被執(zhí)行讀寫操作時(shí)自動(dòng)進(jìn)行加密和解密；

4、所述網(wǎng)絡(luò)通信保護(hù)單元包括國(guó)密ssl?vpn模塊、安全認(rèn)證模塊、流量監(jiān)控保護(hù)模塊；所述國(guó)密ssl?vpn模塊用于在國(guó)密安全設(shè)備的基礎(chǔ)上，為用戶在公網(wǎng)中訪問(wèn)家中數(shù)據(jù)提供安全的數(shù)據(jù)傳輸保護(hù)和防篡改的能力；所述安全認(rèn)證模塊基于國(guó)密pki技術(shù)和動(dòng)態(tài)口令技術(shù)對(duì)用戶進(jìn)行身份鑒權(quán)；所述流量監(jiān)控保護(hù)模塊基于安全策略對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)聽(tīng)，自動(dòng)攔截有風(fēng)險(xiǎn)的或異常的連接請(qǐng)求和數(shù)據(jù)，并在發(fā)現(xiàn)異常時(shí)向用戶發(fā)出告警消息；

5、所述遠(yuǎn)程桌面控制單元包括客戶端、遠(yuǎn)程桌面服務(wù)中心、國(guó)密密鑰協(xié)商模塊、用戶身份多因子認(rèn)證模塊；所述客戶端通過(guò)內(nèi)置的所述國(guó)密sslvpn模塊的撥號(hào)功能與所述遠(yuǎn)程桌面服務(wù)中心相連，用于加密傳輸和訪問(wèn)存儲(chǔ)的數(shù)據(jù)；所述遠(yuǎn)程桌面服務(wù)中心對(duì)用戶的應(yīng)用權(quán)限和數(shù)據(jù)權(quán)限進(jìn)行分級(jí)權(quán)限管理；所述國(guó)密密鑰協(xié)商模塊用于向所述客戶端和所述遠(yuǎn)程桌面服務(wù)中心的數(shù)據(jù)傳輸中加密數(shù)據(jù)的加密密鑰；所述用戶身份多因子認(rèn)證模塊用于控制用戶根據(jù)系統(tǒng)簽發(fā)的個(gè)人數(shù)字證書和動(dòng)態(tài)令牌登錄所述客戶端。

6、具體地，所述策略管理模塊的加解密策略是基于客戶端、數(shù)據(jù)存儲(chǔ)加密單元、數(shù)據(jù)存儲(chǔ)區(qū)域的數(shù)據(jù)傳輸信息采用對(duì)稱加密算法進(jìn)行加解密處理。

7、具體地，所述安全認(rèn)證模塊的身份鑒權(quán)方法為：通過(guò)系統(tǒng)下發(fā)給用戶的數(shù)字證書將用戶的身份信息與公鑰進(jìn)行綁定，并用認(rèn)證中心驗(yàn)證所述數(shù)字證書的數(shù)字簽名，若驗(yàn)證通過(guò)則系統(tǒng)通過(guò)動(dòng)態(tài)口令技術(shù)向用戶發(fā)送隨機(jī)字符串信息，用戶通過(guò)用戶私鑰對(duì)所述隨機(jī)字符串信息進(jìn)行簽名處理后發(fā)回身份鑒權(quán)信息，系統(tǒng)根據(jù)所述身份鑒權(quán)信息對(duì)用戶進(jìn)行身份識(shí)別解析。

8、具體地，所述流量監(jiān)控保護(hù)模塊的安全策略為對(duì)網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)出入口的關(guān)鍵節(jié)點(diǎn)的流量數(shù)據(jù)基于規(guī)則庫(kù)進(jìn)行匹配分析，所述規(guī)則庫(kù)包括正常流量基線規(guī)則、安全策略規(guī)則、異常監(jiān)測(cè)規(guī)則、設(shè)備和應(yīng)用規(guī)則；所述正常流量基線規(guī)則用于定義正常情況下的流量速率、協(xié)議類型、數(shù)據(jù)包大?。凰霭踩呗砸?guī)則包含組織的安全策略，用于允許和拒絕特定端口和協(xié)議的規(guī)則；所述異常監(jiān)測(cè)規(guī)則結(jié)合入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)的規(guī)則識(shí)別已知攻擊的特征；所述設(shè)備和應(yīng)用規(guī)則用于對(duì)應(yīng)用層協(xié)議的流量進(jìn)行深入分析。

9、一種數(shù)字資產(chǎn)保護(hù)方法，包括：

10、用戶通過(guò)客戶端發(fā)起遠(yuǎn)程桌面連接請(qǐng)求，客戶端通過(guò)內(nèi)置的國(guó)密ssl?vpn模塊撥號(hào)功能與遠(yuǎn)程桌面服務(wù)中心建立加密連接；

11、遠(yuǎn)程桌面服務(wù)中心接收到連接請(qǐng)求后，根據(jù)用戶的身份信息和權(quán)限級(jí)別，對(duì)用戶的應(yīng)用權(quán)限和數(shù)據(jù)權(quán)限進(jìn)行分級(jí)權(quán)限管理，確保用戶只能訪問(wèn)授權(quán)的數(shù)據(jù)和應(yīng)用；

12、在用戶成功登錄后，國(guó)密密鑰協(xié)商模塊介入，與客戶端和遠(yuǎn)程桌面服務(wù)中心協(xié)商出一個(gè)用于本次數(shù)據(jù)傳輸?shù)募用苊荑€；同時(shí)用戶身份多因子認(rèn)證模塊要求用戶使用系統(tǒng)簽發(fā)的個(gè)人數(shù)字證書和動(dòng)態(tài)令牌進(jìn)行登錄驗(yàn)證，確保用戶身份的合法性；

13、用戶開(kāi)始操作遠(yuǎn)程桌面，進(jìn)行數(shù)據(jù)的讀寫操作時(shí)，存儲(chǔ)管理模塊根據(jù)策略管理模塊配置的加解密策略，自動(dòng)對(duì)數(shù)據(jù)進(jìn)行加密和解密處理，確保數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的安全性；

14、網(wǎng)絡(luò)通信保護(hù)單元中的流量監(jiān)控保護(hù)模塊實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量，對(duì)網(wǎng)絡(luò)邊界和出入口的關(guān)鍵節(jié)點(diǎn)進(jìn)行流量數(shù)據(jù)匹配分析，一旦發(fā)現(xiàn)異常流量或攻擊行為，立即啟動(dòng)安全策略進(jìn)行攔截，并向用戶發(fā)出告警消息；

15、在用戶完成操作并斷開(kāi)遠(yuǎn)程桌面連接后，系統(tǒng)記錄本次操作日志，供后續(xù)審計(jì)和分析使用。

16、本發(fā)明的有益效果為：

17、通過(guò)國(guó)密密鑰協(xié)商模塊的介入，確保了每次數(shù)據(jù)傳輸都使用了獨(dú)一無(wú)二的加密密鑰，極大地提高了數(shù)據(jù)傳輸過(guò)程中的安全性。這種動(dòng)態(tài)密鑰協(xié)商機(jī)制有效防止了密鑰泄露的風(fēng)險(xiǎn)，即使在密鑰被截獲的情況下，由于密鑰的時(shí)效性，攻擊者也無(wú)法利用截獲的密鑰進(jìn)行數(shù)據(jù)解密。用戶身份多因子認(rèn)證模塊的引入，不僅要求用戶輸入密碼，還必須使用個(gè)人數(shù)字證書和動(dòng)態(tài)令牌，這種多重認(rèn)證方式大幅提升了用戶身份驗(yàn)證的安全性。即使密碼被破解，沒(méi)有相應(yīng)的數(shù)字證書和動(dòng)態(tài)令牌，攻擊者也無(wú)法通過(guò)認(rèn)證，從而保護(hù)了用戶的賬戶安全。在數(shù)據(jù)操作方面，存儲(chǔ)管理模塊根據(jù)策略管理模塊配置的加解密策略，自動(dòng)對(duì)數(shù)據(jù)進(jìn)行加密和解密處理，確保了數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的機(jī)密性和完整性。這種自動(dòng)化處理減少了人為操作的錯(cuò)誤和疏漏，同時(shí)避免了因操作不當(dāng)導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

18、系統(tǒng)可以解決一個(gè)用戶中所有人對(duì)于電子數(shù)據(jù)存儲(chǔ)安全、敏感信息安全、異地訪問(wèn)安全性的問(wèn)題。本發(fā)明所述系統(tǒng)能夠在已有的路由存儲(chǔ)設(shè)備基礎(chǔ)上進(jìn)行搭建，只需要補(bǔ)充相應(yīng)的國(guó)密安全設(shè)備和本系統(tǒng)，在經(jīng)濟(jì)性層面降低了用戶的開(kāi)銷，同時(shí)還能夠兼容多種存儲(chǔ)設(shè)備及網(wǎng)絡(luò)環(huán)境，有較高的適配性，大幅度降低了電子數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

技術(shù)特征：

1.一種數(shù)字資產(chǎn)保護(hù)系統(tǒng)，其特征在于，包括：數(shù)據(jù)存儲(chǔ)加密單元、網(wǎng)絡(luò)通信保護(hù)單元和遠(yuǎn)程桌面控制單元；

2.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，所述數(shù)據(jù)存儲(chǔ)加密單元包括密鑰管理模塊、存儲(chǔ)管理模塊、策略管理模塊以及數(shù)據(jù)加解密模塊；所述密鑰管理模塊通過(guò)向國(guó)密安全設(shè)備獲取sm4密鑰并加密存儲(chǔ)于系統(tǒng)中，用于對(duì)電子數(shù)據(jù)進(jìn)行加解密；所述存儲(chǔ)管理模塊用于獲取用戶數(shù)據(jù)管理保護(hù)信息，根據(jù)所述用戶數(shù)據(jù)管理保護(hù)信息提取對(duì)應(yīng)的存儲(chǔ)保護(hù)數(shù)據(jù)并進(jìn)行存儲(chǔ)管理；所述策略管理模塊用于對(duì)所述存儲(chǔ)保護(hù)數(shù)據(jù)配置數(shù)據(jù)保護(hù)密鑰和加解密策略，所述存儲(chǔ)保護(hù)數(shù)據(jù)在配置完成后被執(zhí)行讀寫操作時(shí)自動(dòng)進(jìn)行加密和解密。

3.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，所述網(wǎng)絡(luò)通信保護(hù)單元包括國(guó)密ssl?vpn模塊、安全認(rèn)證模塊、流量監(jiān)控保護(hù)模塊；所述國(guó)密ssl?vpn模塊用于在國(guó)密安全設(shè)備的基礎(chǔ)上，為用戶在公網(wǎng)中訪問(wèn)家中數(shù)據(jù)提供安全的數(shù)據(jù)傳輸保護(hù)和防篡改的能力；所述安全認(rèn)證模塊基于國(guó)密pki技術(shù)和動(dòng)態(tài)口令技術(shù)對(duì)用戶進(jìn)行身份鑒權(quán)；所述流量監(jiān)控保護(hù)模塊基于安全策略對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)聽(tīng)，自動(dòng)攔截有風(fēng)險(xiǎn)的或異常的連接請(qǐng)求和數(shù)據(jù)，并在發(fā)現(xiàn)異常時(shí)向用戶發(fā)出告警消息。

4.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，所述遠(yuǎn)程桌面控制單元包括客戶端、遠(yuǎn)程桌面服務(wù)中心、國(guó)密密鑰協(xié)商模塊、用戶身份多因子認(rèn)證模塊；所述客戶端通過(guò)內(nèi)置的所述國(guó)密sslvpn模塊的撥號(hào)功能與所述遠(yuǎn)程桌面服務(wù)中心相連，用于加密傳輸和訪問(wèn)存儲(chǔ)的數(shù)據(jù)；所述遠(yuǎn)程桌面服務(wù)中心對(duì)用戶的應(yīng)用權(quán)限和數(shù)據(jù)權(quán)限進(jìn)行分級(jí)權(quán)限管理；所述國(guó)密密鑰協(xié)商模塊用于向所述客戶端和所述遠(yuǎn)程桌面服務(wù)中心的數(shù)據(jù)傳輸中加密數(shù)據(jù)的加密密鑰；所述用戶身份多因子認(rèn)證模塊用于控制用戶根據(jù)系統(tǒng)簽發(fā)的個(gè)人數(shù)字證書和動(dòng)態(tài)令牌登錄所述客戶端。

5.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，所述策略管理模塊的加解密策略是基于客戶端、數(shù)據(jù)存儲(chǔ)加密單元、數(shù)據(jù)存儲(chǔ)區(qū)域的數(shù)據(jù)傳輸信息采用對(duì)稱加密算法進(jìn)行加解密處理。

6.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，所述安全認(rèn)證模塊的身份鑒權(quán)方法為：通過(guò)系統(tǒng)下發(fā)給用戶的數(shù)字證書將用戶的身份信息與公鑰進(jìn)行綁定，并用認(rèn)證中心驗(yàn)證所述數(shù)字證書的數(shù)字簽名，若驗(yàn)證通過(guò)則系統(tǒng)通過(guò)動(dòng)態(tài)口令技術(shù)向用戶發(fā)送隨機(jī)字符串信息，用戶通過(guò)用戶私鑰對(duì)所述隨機(jī)字符串信息進(jìn)行簽名處理后發(fā)回身份鑒權(quán)信息，系統(tǒng)根據(jù)所述身份鑒權(quán)信息對(duì)用戶進(jìn)行身份識(shí)別解析。

7.根據(jù)權(quán)利要求1所述的系統(tǒng)，其特征在于，所述流量監(jiān)控保護(hù)模塊的安全策略為對(duì)網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)出入口的關(guān)鍵節(jié)點(diǎn)的流量數(shù)據(jù)基于規(guī)則庫(kù)進(jìn)行匹配分析。

8.根據(jù)權(quán)利要求7所述的系統(tǒng)，其特征在于，所述規(guī)則庫(kù)包括正常流量基線規(guī)則、安全策略規(guī)則、異常監(jiān)測(cè)規(guī)則、設(shè)備和應(yīng)用規(guī)則。

9.根據(jù)權(quán)利要求8所述的系統(tǒng)，其特征在于，所述規(guī)則庫(kù)包括正常流量基線規(guī)則、安全策略規(guī)則、異常監(jiān)測(cè)規(guī)則、設(shè)備和應(yīng)用規(guī)則；所述正常流量基線規(guī)則用于定義正常情況下的流量速率、協(xié)議類型、數(shù)據(jù)包大??；所述安全策略規(guī)則包含組織的安全策略，用于允許和拒絕特定端口和協(xié)議的規(guī)則；所述異常監(jiān)測(cè)規(guī)則結(jié)合入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)的規(guī)則識(shí)別已知攻擊的特征；所述設(shè)備和應(yīng)用規(guī)則用于對(duì)應(yīng)用層協(xié)議的流量進(jìn)行深入分析。

10.一種應(yīng)用于權(quán)利要求1-9任一項(xiàng)所述數(shù)字資產(chǎn)保護(hù)系統(tǒng)的數(shù)字資產(chǎn)保護(hù)方法，其特征在于，包括：

技術(shù)總結(jié)
本發(fā)明涉及一種數(shù)字資產(chǎn)保護(hù)系統(tǒng)及方法，屬于數(shù)據(jù)資產(chǎn)保護(hù)技術(shù)領(lǐng)域。其中，該系統(tǒng)包括數(shù)據(jù)存儲(chǔ)加密單元、網(wǎng)絡(luò)通信保護(hù)單元和遠(yuǎn)程桌面控制單元；數(shù)據(jù)存儲(chǔ)加密單元對(duì)電子數(shù)據(jù)進(jìn)行加解密并進(jìn)行存儲(chǔ)管理，對(duì)存儲(chǔ)保護(hù)數(shù)據(jù)配置數(shù)據(jù)保護(hù)密鑰和加解密策略，配置完成后數(shù)據(jù)在執(zhí)行讀寫操作時(shí)自動(dòng)進(jìn)行加密和解密；網(wǎng)絡(luò)通信保護(hù)單元用于對(duì)用戶進(jìn)行身份鑒權(quán)和安全認(rèn)證；遠(yuǎn)程桌面控制單元負(fù)責(zé)對(duì)遠(yuǎn)程桌面進(jìn)行安全控制，確保只有授權(quán)用戶能夠訪問(wèn)和操作遠(yuǎn)程桌面。形成一個(gè)多層次、全方位的數(shù)字資產(chǎn)保護(hù)體系，確保數(shù)據(jù)在存儲(chǔ)過(guò)程、傳輸過(guò)程、數(shù)據(jù)的使用過(guò)程中的安全，能夠有效地保護(hù)數(shù)字資產(chǎn)，防止數(shù)據(jù)泄露和非法訪問(wèn)。

技術(shù)研發(fā)人員：李高健,陸林,李嘉樂(lè)
受保護(hù)的技術(shù)使用者：上海信昊信息科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/5/15