一种基于终端虚拟化的商业秘密保护方法及系统与流程

技术特征：
1.一种基于终端虚拟化的商业秘密保护方法，其特征在于，包括：将终端虚拟化为两个不同安全级别的环境；其中两个不同安全级别的环境为高密虚拟机、非密虚拟机；判断是否存在非密虚拟机中的数据导入到高密虚拟机，或者判断是否存在高密虚拟机中的商业秘密数据导出到非密虚拟机，若是，则通过虚拟机监控器的数据管道将数据导入或将商业秘密导出。2.根据权利要求1所述的一种基于终端虚拟化的商业秘密保护方法，其特征在于，所述高密虚拟机的构建方式为：a1.通过虚拟机监控器虚拟化终端的硬件资源，得到硬件资源，并将虚拟出的硬件资源提供给高密虚拟机；a2.高密虚拟机启动后，将终端的操作系统镜像启动，形成高密虚拟机的客户操作系统，并继承终端所有的应用环境；a3.将终端中的数据移植到高密虚拟机的虚拟硬盘中；a4.对高密虚拟机下载终端安全管控策略，并启动高密虚拟机，得到继承终端所有资源的高密虚拟机；其中，安全管控策略包括网络访问规则、外设访问权限以及数据交换权限。3.根据权利要求1所述的一种基于终端虚拟化的商业秘密保护方法，其特征在于，所述非密虚拟机的构建方式为：b1.虚拟机监控器创建新的虚拟机；其中新的虚拟机中包括内存、cpu和硬盘空间；b2.申请新的虚拟机的客户操作系统镜像导入，并引导新的虚拟机的客户操作系统启动；b3.申请新的虚拟机的安全策略，并将申请的安全策略在新的虚拟机的客户操作系统中启用，得到与高密虚拟机完全隔离、独立运行的非密虚拟机。4.根据权利要求1所述的一种基于终端虚拟化的商业秘密保护方法，其特征在于，所述虚拟机监控器的数据管道包括单向导入的方式、外发安全管控方式。5.根据权利要求4所述的一种基于终端虚拟化的商业秘密保护方法，其特征在于，所述判断是否存在非密虚拟机中的数据导入到高密虚拟机，若是，则使非密虚拟机中的数据通过单向导入的方式导入到高密虚拟机；所述判断是否存在高密虚拟机中的商业秘密数据导出到非密虚拟机，若是，则使高密虚拟机中的商业秘密数据通过外发安全管控方式导出到非密虚拟机。6.根据权利要求4所述的一种基于终端虚拟化的商业秘密保护方法，其特征在于，所述虚拟机监控器的数据管道是存储虚拟机、管理虚拟机实现的。7.根据权利要求6所述的一种基于终端虚拟化的商业秘密保护方法，其特征在于，所述通过虚拟机监控器的数据管道将数据导入或将商业秘密导出具体为：向管理虚拟机咨询操作是否合法，若合法，则在存储虚拟机中执行数据导入或将商业秘密导出。8.根据权利要求6所述的一种基于终端虚拟化的商业秘密保护方法，其特征在于，所述将数据导入或将商业秘密导出中的文件读写包括文件打开操作、文件读写操作、文件关闭操作。9.根据权利要求4所述的一种基于终端虚拟化的商业秘密保护方法，其特征在于，所述外发安全管控方式包括定密模板、外发模板、外发申请、外发审批。
10.一种基于终端虚拟化的商业秘密保护系统，其特征在于，包括：虚拟化模块，用于将终端虚拟化为两个不同安全级别的环境；其中两个不同安全级别的环境为高密虚拟机、非密虚拟机；判断模块，用于判断是否存在非密虚拟机中的数据导入到高密虚拟机，或者判断是否存在高密虚拟机中的商业秘密数据导出到非密虚拟机，若是，则通过虚拟机监控器的数据管道将数据导入或将商业秘密导出。

技术总结
本发明公开了一种基于终端虚拟化的商业秘密保护方法及系统，其中涉及的商业秘密保护方法，包括：将终端虚拟化为两个不同安全级别的环境；其中两个不同安全级别的环境为高密虚拟机、非密虚拟机；判断是否存在非密虚拟机中的数据导入到高密虚拟机，或者判断是否存在高密虚拟机中的商业秘密数据导出到非密虚拟机，若是，则通过虚拟机监控器的数据管道将数据导入或将商业秘密导出。本发明通过基于硬件虚拟化的终端虚拟机将员工的工作电脑虚拟成两台，一台是商密专用虚拟机，一台是非密虚拟机，使得商密的应用和非密的应用在两个不同的终端环境中运行，这样可以为商密应用和非密应用单独下达不同的安全策略，使得商密保护的安全策略可以有效执行。略可以有效执行。略可以有效执行。


技术研发人员：黄玉琪
受保护的技术使用者：浙江中电远为科技有限公司
技术研发日：2021.08.03
技术公布日：2021/11/8