面向移动智能终端的DLP系统设计与实现

摘要

随着移动终端设备功能的日益强大，越来越多的企业员工即将摆脱办公室的约束，通过移动终端设备来处理日常工作事务。然而，企业关键数据向移动终端设备延伸，使得移动终端数据泄漏成为企业面临的一个新的问题。
　　本文针对移动终端数据泄漏问题，设计与实现了一套面向移动智能终端的数据防泄漏DLP(Data Leakage Prevention)系统。系统在实现透明加密、虚拟远程桌面和公私域隔离框架的同时，对接入移动终端实现安全准入控制、终端设备管控、行为安全审计等有效保护，确保办公移动终端数据存储、传输、使用的全面安全防护。
　　本论文的主要工作如下:
　　1、利用基于Xposed框架Hook技术完成文件系统透明加解密功能，并在此基础上嵌入预解密思想，解决了移动终端传统透明加密技术安全性缺陷问题，并且提升了透明加密性能，节约了文件系统操作过程的开销;
　　2、利用进程通信监管机制技术，将移动终端分为办公、私人两块独立的安全空间，在移动终端上建立独立的工作区，将企业关键数据存储在隔离工作区内，实现了公私环境的隔离;
　　3、利用瘦客户端与移动终端数据防泄漏相融合的思想，借助基于libfreerdp-android.so动态链接库，设计与实现了移动终端虚拟远程桌面办公模式，避免了企业关键数据通过网络传输造成泄露的情况;
　　4、在以上基础上，设计与实现了一个移动终端数据防泄露系统，对接入移动终端实现了数据加密、终端设备管控、行为安全审计等有效保护，确保移动终端数据存储、传输、使用的安全，能有效的预防企业关键数据泄露。

目录

声明

摘要

图表目录

1．绪论

1．1 研究背景

1．1．1 移动办公趋势

1．1．2 移动办公的威胁

1．2 研究现状

1．2．1 传统数据防泄漏技术

1．2．2 移动数据防泄漏发展

1．2．3 移动数据防泄漏需求分析

1．2．4 移动数据防泄漏研究难点

1．3 主要研究内容

1．4 论文组织结构

1．5 本章小结

2．预备知识

2．1 Android沙箱机制

2．2 透明加密技术

2．3 虚拟远程桌面技术

2．3．1 RDP远程控制协议

2．3．2 SPCIE桌面虚拟化传输协议

2．4 本章小结

3．移动数据防泄漏系统设计

3．1 系统总体设计

3．2 移动端详细设计

3．3 服务端详细设计

3．4 本章小结

4．移动数据防泄漏系统实现

4．1 移动端实现

4．1．1 丢失防泄密模块

4．1．2 安全检测模块

4．1．3 预解密透明加密模块

4．1．4 区域隔离模块

4．1．5 虚拟远程桌面模块

4．2 服务端实现

4．2．1 过滤驱动加密模块

4．2．2 终端审计模块

4．2．3 权限管控模块

4．3 本章小结

5．测试与结果分析

5．1 丢失防泄密模块分析

5．1．1 功能测试

5．1．2 性能分析

5．2 安全检测模块分析

5．2．1 功能测试

5．2．2 性能分析

5．3 预解密透明加密分析

5．3．1 功能测试

5．3．2 性能分析

5．3．3 安全性分析

5．4 区域隔离分析

5．4．1 功能测试

5．4．2 性能分析

5．4．3 安全性分析

5．5 虚拟远程桌面分析

5．5．1 功能测试

5．5．2 性能分析

5．6 系统评估与测试

5．7 本章小结

6．总结与展望

6．1 论文总结

6．2 前景展望

致谢

参考文献

攻读硕士学位期间发表的论文和出版著作情况