本发明涉及计算机安全技术领域,尤其涉及一种设备管控系统及方法。
背景技术:
随着计算机制造技术和应用技术的不断发展,移动硬盘、u盘等移动存储设备购置成本不断降低,使用更为方便,由于其体积小、携带方便、海量存储、不易损坏,移动硬盘、u盘等成为人们进行办公信息处理的首选存储设备,得到了广泛的应用。大量的敏感信息、秘密数据和档案资料被存储在这些移动存储设备中。同时,移动存储设备的“移动”特性也为当前政府、军事、金融以及企事业等单位的保密工作带来了新的风险,因此,移动设备的安全性越来越受到人们的广泛关注,因此迫切需要加强对存储涉密信息的计算机及移动存储介质的安全管控。
现有技术中,基于cgroup的设备管控为对某一类型的所有设备基于不同用户进行权限访问控制,设备权限设置要即时生效,设备权限设置策略持久化,重启后依然生效。
具体操作步骤为:
1、配置/etc/cgconfig.conf,该配置文件用来创建cgroup,其被devices子系统影响,启动服务servicecgconfigstart;chkconfigcgconfigon,后面一个命令是用来开启开机启动。
2、配置/etc/cgrule.conf,该配置文件用来设置具体用户是受那些cgroup控制,启动服务servicecgredstart;chkconfigcgredon,作用与步骤1一样。
3、设置设备映射配置文件。
4、设置设备管控映射文件。
5、运行设备管控程序,将步骤3及步骤4设置的内容作用到cgroup中。以上即完成了所有的操作。该部分将要将设备管控程序加到开机启动程序列表中/etc/rc.d/rc.local文件中,当设备管控即时生效时要主动运行该程序。
然而,现有技术存在如下缺点:
1、对于某些不具有设备文件的设备,例如网络设备,通过cgroup无法做到对这类设备的管控。
2、虽然基于cgroup的设备管控可以对任何具体设备进行管控,但管控操作比较简单。
3、基于cgroup的设备管控是对分类的设备类型进行管控,可以做到对不同用户有不同权限的访问策略,但如果sysfs文件系统将某种设备禁用,基于cgroup的设备管控策略也是不起效的。
技术实现要素:
为解决现有技术的不足,本发明提供了一种设备管控系统,包括:
设备管理器;
设备管控监控模块,用于与设备管理器及设备连接,并用于监听设备管理器的设备热拔插事件,以便在有设备热拔插事件发生的情况下重新扫描设备并对设备进行管控;
设备管控设置应用模块,用于与设备连接并控制设备;
sysfs文件系统模块,用于与设备连接,并用于对设备的内核对象进行访问控制;
设备驱动模块,与sysfs文件系统模块及设备管理器连接。
其中,所述设备管理监控模块还包括持久化管控策略模块,该持久化管控策略模块与设备管控设置应用模块连接,用于对新加入的设备进行管控,并使设备管控设置应用模块将管控的策略持久化到磁盘。
其中,所述设备管控设置应用模块对设备的控制包括对设备进行禁用、启用或卸载操作。
其中,所述设备管控监控模块在有外接存储设备加入的情况下,通过读取/sys/bus/usb/drivers/usb-storage/文件下的外接存储设备驱动号,查看/sys/bus/usb/devices/文件下外接存储设备的idproduct、idvendor及serial。
其中,所述设备管控监控模块在有外接存储设备加入的情况下,将读取的外接存储设备的idproduct、idvendor及serial与白名单进行匹配,如果匹配成功则继续使用外接存储设备,如果匹配不成功则提示报警。
其中,所述设备管控监控模块在有外接存储设备加入且与白名单不匹配的情况下,将匹配不成功的外接存储设备的热插拔时间、本机的ip、和设备的idproduct、idvendor及serial发送至服务器,并将外接存储设备卸载。
本发明另外提供了一种设备管控方法,包括如下步骤:
s1:监听设备管理器的设备热拔插事件;
s2:在有外接存储设备加入的情况下,读取外接存储设备的信息;
s3:将读取的外接存储设备的信息与白名单进行匹配,如果匹配成功则继续使用外接存储设备,如果匹配不成功则提示报警;
s4:在有外接存储设备加入且与白名单不匹配的情况下,将匹配不成功的外接存储设备的信息发送至服务器,并将外接存储设备卸载。
其中,所述步骤s2中,所读取的外接存储设备的信息包括idproduct、idvendor及serial。
其中,所述步骤s4中,匹配不成功的外接存储设备的信息包括热插拔时间、本机的ip以及设备的唯一标识即:idproduct、idvendor和serial。
本发明中,所谓的“sysfs”,是一种虚拟文件系统。这个文件系统不仅可以把设备(devices)和驱动程序(drivers)的信息从内核输出到用户空间,也可以用来对设备和驱动程序做设置。
本发明提供的设备管控系统及方法,可对未经允许的外部设备进行管控,从而达到信息安全、防止出现泄密情况的目的,使用户可安全放心地使用设备。
附图说明
图1:本发明的设备管控系统的结构示意图;
图2:本发明的设备管控方法的某一实施例的操作流程图。
附图标记说明
10设备管理器
11设备管控监控模块
111持久化管控策略模块
12设备
13设备管控设置应用模块
14sysfs文件系统模块
15设备驱动模块
具体实施方式
为了对本发明的技术方案及有益效果有更进一步的了解,下面配合附图详细说明本发明的技术方案及其产生的有益效果。
图1为本发明提供的设备管控系统的结构示意图,如图1所示,为了对未经允许的外部设备进行管控,并把设备的详细信息传入服务器数据库,本发明提供了一种设备管控系统,包括:
设备管理器10;
设备管控监控模块11,用于与设备管理器10及设备12连接,并用于监听设备管理器10的设备热拔插事件,以便在有设备热拔插事件发生的情况下重新扫描设备12并结合其内的持久化管控策略111,对新加入的设备12进行管控;
设备管控设置应用模块13,用于与设备12连接,通过扫描设备12,对用户显示设备12的详细信息,并通过控制设备12,对设备12进行禁用、启动或卸载等操作,同时将管控的策略持久化到磁盘。
sysfs文件系统模块14,用于与设备12连接,并用于对设备12的内核对象进行访问控制;
设备驱动模块15,与sysfs文件系统模块14及设备管理器10连接。
由于sysfs文件系统体现了设备内核对象在用户空间的体现,通过对设备内核对象属性的控制,间接地对设备内核对象进行访问控制。同样,设备内核对象也可以通过sysfs文件系统来进行管理。一般一个设备内核基本都有remove和driver两个内核对象属性。通过对remove和driver进行操作操作,可以实现对设备启用、禁用、卸载的管控操作。
本发明提供的设备管控系统,以软件包安装的方式实现外设管控的功能,可适用于linux操作系统,同时又达到了设备安全的目的,解决了移动存储介质在使用中存在的安全问题。
本发明提供的设备管控系统,具体实施时,可通过下述方法实现对设备的管控:
s1:设备管控监控模块11监听设备管理器10的设备热拔插事件;一旦有事件发生,其设备管控监控服务将会重新扫描设备12,发现有新的设备加入,结合持久化管控策略,对新加入的设备进行管控。
s2:在有外接存储设备加入的情况下,通过读取/sys/bus/usb/drivers/usb-storage/文件下的外接存储设备驱动号,查看/sys/bus/usb/devices/文件下外接存储设备的唯一标识即:idproduct、idvendor及serial信息;
s3:将读取外接存储设备的idproduct、idvendor、serial与白名单进行匹配,如果匹配成功则继续使用外接存储设备,如果匹配不成功则提示报警;
s4:在有外接存储设备加入且与白名单不匹配的情况下,将匹配不成功的外接存储设备的热插拔时间、本机的ip、和设备的idproduct、idvendor、serial发送至服务器,并将外接存储设备(u盘)卸载。
因此,本发明提供的设备管控系统及方法,除了对未经允许的外部设备进行管控,还可将设备的详细信息传入服务器数据库。
图2为本发明的设备管控方法的某一实施例的操作流程图,如图2所示,本发明提供的设备管控方法可包括如下步骤:
步骤201:扫描设备,获取设备信息;
步骤202:根据步骤201提取的设备信息,判断该设备是否是违规外联,如果否,则继续使用,如果是,则执行步骤203;
步骤203:提示该设备违规外联;
步骤204:将设备的信息和时间地址发送到服务器数据库;
步骤205:将该设备的驱动卸载以禁用该设备。
本发明所能实现的有益效果是:
1、通过设置设备管控设置应用模块,基于sysfs文件系统,能够根据具体设备的情况,对设备进行禁用、启动、卸载操作。
2、通过设置持久化管控策略模块,使对设备的管控策略能够即时生效。
3、通过设置设备管控监控模块监听设备管理器的设备热拔插事件,通过sysfs系统可以读取和操作外联设备,可防止出现使用违规设备的违例情况。
4、通过在扫描到违规设备信息后,将设备信息及地址发送到服务器数据库,最后通过管控策略卸载该设备,达到了保证信息安全,防止出现泄密的情况,使用户安全放心的使用该设备的目的。
5、相比较现有的可以对任何具体设备进行管控的基于cgroup的设备管控技术,本发明的基于sysfs文件系统的设备管控则可以从根源上控制设备,即,本发明基于sysfs文件系统的设备管控是管控的根本,而cgroup是sysfs的补充。
虽然本发明已利用上述较佳实施例进行说明,然其并非用以限定本发明的保护范围,任何本领域技术人员在不脱离本发明的精神和范围之内,相对上述实施例进行各种变动与修改仍属本发明所保护的范围,因此本发明的保护范围以权利要求书所界定的为准。