一种基于Windows操作系统的USB设备的管控方法与流程

本发明属于数据及网络安全领域，涉及一种基于windows操作系统的usb设备的管控方法。

背景技术：

随着全球信息化进程不断推进，数据及网络安全问题已经成为抑制全球信息化进程发展的重大障碍。各级政府部门及企事业单位在多年的信息化建设过程中，通过采用防火墙、入侵检测、杀毒软件、桌面管理系统等传统的安全技术和手段，在网络边界层防范外来攻击方面起到一定程度的安全防范作用。但随着信息化需求的不断增长，网络应用的不断扩展，现有的网络基础设施和信息系统安全措施逐渐暴露出了诸多问题，各类业务应用系统的运行环境依然面临着很多安全威胁，受到攻击时依然显得十分脆弱、不堪一击。主要的安全风险和潜在威胁表现为：

一、外部攻击

面对天天变种、层出不穷的新型病毒，蠕虫，木马等恶意代码的攻击，服务器安装的杀毒软件无能为力；利用各种系统漏洞、应用程序漏洞进行攻击防不胜防，服务器管理员的“补丁”永远打不完。

二、内部破坏

面对内部的恶意攻击和破坏，服务器上敏感信息泄密，重要数据失窃，造成的影响和损失难以估计。

三、其他问题

由于安全管理体系的缺陷，人员安全意识薄弱造成的操作失误、设备配置不当，权限过于集中，给服务器带来安全隐患难以控制。

由于usb设备的广泛使用加之所携带电脑病毒的可能，上述安全风险和潜在威胁在主机连接usb设备的时候尤其严重，成为了长期存在无法根本解决的问题，究其原因是因为防火墙、杀毒软件、入侵检测、桌面管理系统等技术手段均属于基础传统的边缘层安全防护措施，由于其技术实现的局限性使得安全防护手段受制于病毒库、特征库、木马库等的更新滞后性，信息安全“头痛医头、脚痛医脚”的现象无法改变。而随着信息化持续发展，数据及网络安全需求也随之动态发展变化，“道高一尺、魔高一丈”，安全威胁层出不穷，传统的安全防护手段只能疲于应付，通过“围追堵截”的被动方式实现局部分散的安全补救措施。因此，只有将传统的被动补救方式转变成主动防御模式，从数据及网络安全的根本和源头入手进行安全防护体系建设，才能从根本上扭转被动局面，构建信息安全的主动式体系化防御体系。

现有技术中，尚无一种简单实用、无需额外费用、无需添加额外软硬件的、基于windows操作系统的usb设备的管控方法。

技术实现要素：

针对现有技术的不足，本发明提供了一种基于windows操作系统的usb设备的管控方法，通过预先设置的可信任usb设备的白名单及windows自带的两个函数实现usb设备的管控。本发明申请包括以下步骤：

s100：设置服务器运行环境：服务器端运行https网页服务，用以提供与客户端通信的操作接口；

s200：在客户端安装主机加固软件并设置服务器的ip地址及服务器的端口号，验证客户端和服务器端之间网络连接正常，其中，所述主机加固软件包括ioattachdevicetodevicestack函数及iogetcurrentirpstacklocation函数；

s300：服务器端将预先设置的可信任usb设备的白名单发送至客户端；

s400：客户端根据所述白名单识别外接usb设备，对所述白名单中未包含的usb设备进行相应操作，包括以下步骤：

s401：当前usb设备连接至客户端，客户端获取当前usb设备的设备名：客户端驱动程序调用ioattachdevicetodevicestack函数，用以拦截i/o管理器发送至硬件设备驱动的输入输出请求包，根据输入输出请求包的信息获取当前usb设备的设备名；

s402：采用hash算法生成摘要并在所述白名单中查找当前摘要；

s403：判断是否查找到当前摘要，如果是，执行步骤s404，否则执行步骤405；

s404：客户端驱动程序将输入输出请求包发送至硬件设备驱动，验证当前usb设备正常工作并对当前usb设备进行操作，结束流程；

s405：客户端驱动程序丢弃当前输入输出请求包；

s406：判断是否向服务器发送申请，如果是，执行步骤s407，否则，结束流程，其中，所述申请为客户端将当前usb设备添加至所述白名单的请求；

s407：服务器端确认当前申请所对应的当前usb设备的安全性，并确认是否允许对当前usb设备访问，如果是，执行步骤s408，否则执行步骤s409；

s408：服务器端设置当前usb设备的读写权限并发送允许消息至客户端，客户端将当前usb设备添加至所述白名单并访问当前usb设备，结束流程；

s409：服务器端发送拒绝消息至客户端，客户端拒绝访问当前usb设备，结束流程。

优选地，所述服务器的端口号为443。

优选地，采用djbhash算法生成所述白名单。

优选地，采用djbhash算法生成摘要。

附图说明

图1为本发明所提供的方法的总流程图；

图2为本发明中对未包含在白名单的usb设备进行相应操作的具体流程图。

具体实施方式

图1示出了本发明所提供的方法的总流程图。如图1所示，包括以下步骤：

s100：设置服务器运行环境：服务器端运行https网页服务，用以提供与客户端通信的操作接口；

s200：首先，在客户端安装主机加固软件并设置服务器的ip地址及服务器的端口号，值得注意的是，服务器的端口号默认为443；

其次，验证客户端和服务器端之间网络连接正常，其中，主机加固软件包括ioattachdevicetodevicestack函数及iogetcurrentirpstacklocation函数；

s300：服务器端将预先设置的可信任usb设备的白名单发送至客户端。本实施例采用djbhash算法生成白名单；

s400：客户端根据白名单识别外接usb设备，对白名单中未包含的usb设备进行相应操作。

图2示出了本发明中对未包含在白名单的usb设备进行相应操作的具体流程图。如图2所示，包括以下步骤：

s401：当前usb设备连接至客户端，客户端获取当前usb设备的设备名：客户端驱动程序调用ioattachdevicetodevicestack函数，用以拦截i/o管理器发送至硬件设备驱动的输入输出请求包(i/orequestpackage)，即irp，以下简称irp。根据irp的信息获取当前usb设备的设备名；

s402：采用hash算法生成摘要并在白名单中查找当前摘要，本实施例中，采用djbhash算法生成摘要；

s403：判断是否查找到当前摘要，如果是，执行步骤s404，否则执行步骤405；

s404：客户端驱动程序将irp发送至硬件设备驱动，验证当前usb设备正常工作并对当前usb设备进行操作，结束流程；

s405：客户端驱动程序丢弃当前irp；

s406：判断是否向服务器发送申请，如果是，执行步骤s407，否则，结束流程，其中，申请为客户端将当前usb设备添加至白名单的请求；

s407：服务器端确认当前申请所对应的当前usb设备的安全性，并确认是否允许对当前usb设备访问，如果是，执行步骤s408，否则执行步骤s409；

s408：服务器端设置当前usb设备的读写权限并发送允许消息至客户端，客户端将当前usb设备添加至白名单并访问当前usb设备，结束流程；

s409：服务器端发送拒绝消息至客户端，客户端拒绝访问当前usb设备，结束流程。

通过本发明提供的方法，解决了现有技术中尚无一种基于windows操作系统的usb设备的管控方法的技术问题。

应当理解的是，本发明不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，所有这些改进和变换都应属于本发明所附权利要求的保护范围。