技術領域

本發明涉及計算機安全領域，尤其涉及一種單機版數據黑洞處理方法及計算設備。

背景技術

現有的電子信息安全領域包括系統安全、數據安全和設備安全三個子領域。

在數據安全領域內，一般采用下面三種技術確保數據安全：

(1)數據內容安全技術，包括數據加密解密技術和端到端數據加密技術，保障數據在存儲和傳輸過程中內容不被非法讀取；

(2)數據安全轉移技術，包括防止非法拷貝、打印或其它輸出，保障數據在使用和轉移過程中的安全；

(3)網絡阻斷技術，包括網絡物理阻斷和設置網絡屏障等技術。

根據相關分析，目前針對計算機的所有危害總有效偵測能力最多在50％左右；由于上述技術在應對計算機內核病毒、木馬、操作系統漏洞、系統后門以及人為泄密時能力不足，事實上任何計算設備(包括例如計算機、筆記本電腦、手持通信設備等)都可能存在惡意代碼。

一旦惡意代碼進入終端系統，上述的加密技術、防拷貝技術以及網絡阻斷技術都將失去作用。現有的黑客技術可以利用系統漏洞或系統后門穿透上述安全技術并植入惡意代碼，并利用惡意代碼取得用戶數據。上述技術更無法防范涉密人員的主動或被動泄密，例如，內部人員可以攜帶存儲設備，從內部網絡或終端上下載所需的資料并帶走存儲設備，導致內部泄密；又例如，內部人員可以直接將計算設備帶走。

綜上，防拷貝技術無法保證涉密信息在終端不被非法存儲。基于網絡過濾無法確保涉密信息不丟失。涉密人員可通過惡意代碼或惡意工具造成泄密，還可能因涉密設備或存儲介質失控造成泄密。

發明內容

本發明的目的是提供一種單機版數據黑洞處理方法及計算設備，提高數據安全性。

根據本發明一個方面，提供一種單機版數據黑洞處理方法，包括：在計算設備部署數據黑洞系統，使之成為數據黑洞終端；數據黑洞系統是指將計算設備運行過程中的過程數據和運行結果存儲至特定存儲位置并且能夠確保計算設備正常運行的系統；建立數據黑洞空間，包括在計算設備本地開辟的數據存儲區域，該數據存儲區只能由數據黑洞系統訪問，不能被操作系統或應用層軟件訪問；為計算設備的用戶與數據黑洞空間或數據黑洞空間的一部分建立對應關系；將用戶在數據黑洞終端操作所產生的數據寫重定向到與該用戶對應的數據黑洞空間；阻止對于黑洞存儲區外的本地存儲設備的數據持久化操作，并且阻止通過本地端口對非數據黑洞終端的數據輸出，從而保證進入數據黑洞終端或者數據黑洞空間的數據只在數據黑洞空間存在。

根據本發明另一個方面，提供一種計算設備，包括：單機版數據安全存取單元，位于計算設備中的相互獨立的本地存儲空間和安全存儲空間，其中，安全存儲空間對于操作系統及操作系統之上的軟件是不可用的，只能由單機版數據安全存取單元訪問；其中，單機版數據安全存取單元包括：接收單元，適于接收硬件指令；指令分析單元，適于判斷所述硬件指令是否為存儲或讀取指令，產生判斷信號；指令修改單元，根據判斷信號，適于當所述硬件指令為存儲指令時，將所述存儲指令中的目標地址修改為對應的在安全存儲空間內的存儲地址；還適于當所述硬件指令為讀取指令時，查找映射位圖，并根據映射位圖的數據修改所述讀取指令中的讀取地址，其中，所述映射位圖用于表示本地存儲空間的地址的數據是否轉儲到所述安全存儲空間；發送單元，適于將修改后的讀取或存儲指令發送到硬件層執行。

上述方法和設備提高了數據的安全性。具體的，黑洞空間與用戶對應，當黑客通過漏洞、后門、木馬等惡意代碼取得數據權限后將可以對數據進行復制、轉儲、發送、截留。但所有向外部設備、端口、用戶、終端轉發出的數據將被重定向到數據黑洞空間(與用戶對應的黑洞空間)中，并在數據黑洞空間(與用戶對應的黑洞空間)內完成。因此所有的數據竊取、截留、輸出等作業都被在數據黑洞空間內實現。當涉密(有數據權限)人員試圖將數據私自留存、私自備份、發送、輸出時，所有的數據處理作業都在數據黑洞空間(與用戶對應的黑洞空間)內完成，使惡意操作無法泄密。

附圖說明

圖1是現有技術中計算設備的系統層次示意圖；

圖2是本發明一個實施例中提供的運行時指令重組方法的流程圖；

圖3是本發明一個實施例中提供的重組指令片段的生成過程示意圖；

圖4是本發明另一個實施例中提供的圖2中步驟S102的流程圖；

圖5是本發明另一個實施例中提供的運行時指令重組方法的流程圖，利用地址對應表保存已經重組過的指令片段；

圖6是本發明另一個實施例中提供的運行時指令重組方法的流程圖，單獨開辟存儲位置保存第一程序轉移指令的目標地址；