本发明涉及计算机安全
技术领域:
,尤其涉及一种移动存储介质接入控制方法及装置。
背景技术:
在计算机技术高速发展的今天,移动存储介质方便了用户对计算机资料进行存储或转移,但是,使用移动存储介质保存或转移资料文件信息同时也会带来计算机资料泄密的安全隐患。企业或安全部门常常无法获知公司设备上的资料是否被复制,更无法得知移动存储介质使用人的信息,导致信息威胁发生时无法追溯到最终嫌疑人,这成为现今各个安全部门最头痛的一件事。目前,许多公司或安全部门为防止资料泄密,常常采用封锁计算机机箱切断互联网的方式来阻止资料泄密,在实现本发明的过程中,发明人发现对于笔记本电脑等无法采用封锁计算机机箱的方式,不能实现完全阻止文件资料的复制,此外,完全禁止涉密电脑上资料的复制的行为,也不利于具有权限人员对资料的复制等转移操作工作的实施。技术实现要素:有鉴于此,本发明实施例提供一种移动存储介质接入控制方法及装置,能够减少文件泄密的情况发生,在文件泄密后又便于追溯泄密者。第一方面,本发明实施例提供一种移动存储介质接入控制方法,用于加密计算机,包括:监控数据传输接口是否有移动存储介质接入;当监控到所述数据传输接口有移动存储介质接入时,获取所述移动存储介质的来源信息,并发送给服务器;接收服务器发来的所述移动存储介质的授权信息;其中,所述授权信息包括移动存储介质的设备授权情况;若所述授权信息中记录所述移动存储介质为授权设备,则允许所述移动存储介质操作,并记录操作信息后发送给所述服务器;若所述授权信息中记录所述移动存储介质为未授权设备,则拦截所述移动存储介质的所有操作,并将危险信息上传到所述服务器。结合第一方面,在第一方面的第一种实施方式中,所述授权信息还包括移动存储介质对各文件的访问权限;所述允许所述移动存储介质操作,包括:允许所述移动存储介质对具有访问权限的文件进行操作。结合第一方面,在第一方面的第二种实施方式中,所述当监控到所述数据传输接口有移动存储介质接入时,获取所述移动存储介质的来源信息,并发送给服务器,还包括:拍摄所述移动存储介质的使用者的人像信息;将所述人像信息发送给所述服务器。结合第一方面,在第一方面的第三种实施方式中,所述移动存储介质的来源信息至少包括所述移动存储介质的厂商、序列号、存储空间大小以及当前接入端口标识。结合第一方面,在第一方面的第四种实施方式中,所述将危险信息上传到所述服务器,还包括:以声/光/图像的形式在本地或远程进行报警。结合第一方面、第一方面的第一种至第四种中任一种实施方式,在第一方面的第五种实施方式中,所述移动存储介质为u盘。第二方面,本发明实施例提供一种移动存储介质接入控制方法,用于服务器,包括:接收加密计算机发来的移动存储介质的来源信息并存储;根据预先设置的授权信息表及所述移动存储介质的来源信息,获取所述移动存储介质的授权信息;其中,所述授权信息表记录有移动存储介质的来源信息与授权信息的对应关系;将所述移动存储介质的授权信息发送给所述加密计算机;接收所述加密计算机上传的操作信息或危险信息并存储。结合第二方面,在第二方面的第一种实施方式中,所述授权信息表还记录有移动存储介质的来源信息与加密计算机上各文件的访问权限的对应关系。结合第二方面,在第二方面的第二种实施方式中,所述接收所述加密计算机上传的操作信息或危险信息并存储,还包括:接收所述加密计算机上传的所述移动存储介质的使用者的人像信息并存储。结合第二方面、第二方面的第一种实施方案或第二方面的第二种实施方法,在第二方面的第三种实施中,在接收到所述加密计算机上传的危险信息后,还包括:生成报警日志并存储。第三方面,本发明实施例提供一种移动存储介质接入控制装置,用于加密计算机,包括:监控模块,用于监控数据传输接口是否有移动存储介质接入;信息获取模块,用于在所述监控模块监控到所述数据传输接口有移动存储介质接入时,获取所述移动存储介质的来源信息,并发送给服务器;第一接收模块,用于接收服务器发来的所述移动存储介质的授权信息;其中,所述授权信息包括移动存储介质的设备授权情况;控制模块,用于在所述授权信息中记录所述移动存储介质为授权设备时,允许所述移动存储介质操作,并记录操作信息后发送给所述服务器;或者在所述授权信息中记录所述移动存储介质为未授权设备时,拦截所述移动存储介质的所有操作,并将危险信息上传到所述服务器。结合第三方面,在第三方面的第一种实施方式中,所述第一接收模块接收的所述授权信息还包括移动存储介质对各文件的访问权限;所述控制模块,具体用于在所述授权信息中记录所述移动存储介质为授权设备时,允许所述移动存储介质对具有访问权限的文件进行操作。结合第三方面,在第三方面的第二种实施方式中,所述信息获取模块,还用于在所述监控模块监控到所述数据传输接口有移动存储介质接入时,拍摄所述移动存储介质的使用者的人像信息,并发送给所述服务器。结合第三方面,在第三方面的第三种实施方式中,所述信息获取模块获取的移动存储介质的来源信息至少包括所述移动存储介质的厂商、序列号、存储空间大小以及当前接入端口标识。结合第三方面,在第三方面的第四种实施方式中,所述移动存储介质接入控制装置还包括:报警模块,用于在所述控制模块将危险信息上传到所述服务器时,以声/光/图像的形式在本地或远程进行报警。第四方面,本发明实施例提供一种移动存储介质接入控制装置,用于服务器,包括:第二接收模块,用于接收加密计算机发来的移动存储介质的来源信息并存储,还用于接收所述加密计算机上传的操作信息或危险信息并存储;授权获取模块,用于根据本地预先设置的授权信息表及所述移动存储介质的来源信息,获取所述移动存储介质的授权信息;其中,所述授权信息表记录有移动存储介质的来源信息与授权信息的对应关系;发送模块,用于将所述授权获取模块获取的所述移动存储介质的授权信息发送给所述加密计算机。结合第四方面,在第四方面的第一种实施方式中,所述授权获取模块所使用的所述授权信息表还记录有移动存储介质的来源信息与加密计算机上各文件的访问权限的对应关系。结合第四方面,在第四方面的第二种实施方式中,所述第二接收模块,还用于接收所述加密计算机上传的所述移动存储介质的使用者的人像信息并存储。结合第四方面至第四方面的第二种中任一种实施方式,在第四方面的第三种可能的实现方式中,所述移动存储介质接入控制装置还包括:日志模块,用于在所述第二接收模块收到所述危险信息后,生成报警日志并存储。本发明实施例提供的一种移动存储介质接入控制方法及装置,在未知移动存储介质(如u盘)接入加密计算机终端时,所述终端能获取所述移动存储介质(如u盘)来源,并且上传给服务器,服务器根据预先设置的放行规则,给当前接入的移动存储介质授权/禁止操作,对于服务器端授权的设备,允许其操作并记录操作信息后发送给服务器存储,方便后期对移动存储介质的操作行为进行追溯,如果是非授权移动存储介质插入,则拦截该移动存储介质的所有操作,并将危险信息上传到服务器中,这样,能够减少文件泄密的情况发生,在文件泄密后又便于追溯泄密者。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1为本发明一种用于加密计算机的移动存储介质接入控制方法的流程图;图2为本发明一种用于服务器的移动存储介质接入控制方法的流程图;图3为本发明移动存储介质接入控制方法实施例一的流程图;图4为本发明提供的用于加密计算机的移动存储介质接入控制装置实施例一的结构示意图;图5为本发明提供的用于加密计算机的移动存储介质接入控制装置实施例二的结构示意图;图6为本发明提供的用于服务器的移动存储介质接入控制装置实施例一的结构示意图;图7为本发明提供的用于服务器的移动存储介质接入控制装置实施例二的结构示意图。具体实施方式下面结合附图对本发明实施例一种移动存储介质接入控制方法及装置进行详细描述。应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。图1为本发明一种用于加密计算机的移动存储介质接入控制方法的流程图,如图1所示,该方法可以包括步骤101-106:步骤101、监控数据传输接口是否有移动存储介质接入,是则执行步骤102;。本实施例中,加密计算机会对自身的数据传输接口进行实时监控,一旦数据传输接口有外部移动存储介质接入,则执行步骤102,此方法已是成熟技术,此处不再赘述。步骤102、获取所述移动存储介质的来源信息,并发送给服务器。优选地,采集的移动存储介质的来源信息至少包括所述移动存储介质的厂商、序列号、存储空间大小以及当前接入端口标识。本实施例中,当移动存储介质如u盘接入时,加密计算机采集u盘的厂商、序列号、存储空间大小以及接入端口标识信息作为来源信息发送给服务器。进一步优选地,此步骤中除了获取移动存储介质的来源信息,还可拍摄当前移动存储介质的使用者的人像信息,例如通过红外相机对当前移动存储介质的使用者进行多角度的人像图片采集,随后将所述人像信息发送给所述服务器存储。步骤103、接收服务器发来的所述移动存储介质的授权信息。其中,所述授权信息包括移动存储介质的设备授权情况。例如:移动存储介质为授权设备还是未授权设备,预先设置授权情况不同,则具有不同的接入权限。进一步地,授权信息还可包括移动存储介质对各文件的访问权限。步骤104、判断所述授权信息中记录所述移动存储介质是否为授权设备,是则执行步骤105;否则执行步骤106。步骤105、允许所述移动存储介质操作,并记录操作信息后发送给所述服务器。本实施例中,若当前移动存储介质为授权设备,则允许其在当前加密计算机上进行操作,例如对文件进行复制等操作。当授权信息还包括移动存储介质对各文件的访问权限时,此步骤105中仅允许所述移动存储介质对具有访问权限的文件进行操作。步骤106、拦截所述移动存储介质的所有操作,并将危险信息上传到所述服务器。本实施例中,若当前移动存储介质为未授权设备,则拦截所述移动存储介质的所有操作,并将危险信息上传到所述服务器,保证加密计算机的资料安全。优选地,步骤106中,将危险信息上传到所述服务器时,还可以声/光/图像的形式在本地或远程进行报警。本实施例中,对于接入数据传输接口的移动存储介质,分析其来源信息并上传给服务器,服务器根据预先设置的放行规则,给当前接入的移动存储介质授权/禁止操作,对于服务器端授权的设备,允许其操作并记录操作信息后发送给服务器存储,方便后期对移动存储介质的操作行为进行追溯,如果是非授权移动存储介质插入,则拦截该移动存储介质的所有操作,并将危险信息上传到服务器中,这样,能够减少文件泄密的情况发生,在文件泄密后又便于追溯泄密者,亦即能够实现未发生计算机泄密事故时预防事故发生,发生泄密事故时快速追溯到事故嫌疑人,提高了计算机的安全性能。图2为本发明一种用于服务器的移动存储介质接入控制方法的流程图,如图2所示,本实施例的方法可以包括:步骤201、接收加密计算机发来的移动存储介质的来源信息并存储。本实施例中,加密计算机监测到有移动存储介质接入数据传输接口时候,获取移动存储介质的来源信息并上传至服务器,服务器存储该来源信息以便事后发生泄密事故时候进行追溯。步骤202、根据预先设置的授权信息表及所述移动存储介质的来源信息,获取所述移动存储介质的授权信息。其中,所述授权信息表记录有移动存储介质的来源信息与授权信息的对应关系,或者进一步地,授权信息表还记录有移动存储介质的来源信息与加密计算机上各文件的访问权限的对应关系。例如下表1中所示:表1移动存储介质的来源信息授权信息移动存储介质1的序列号授权,允许操作所有文件移动存储介质2的序列号授权,允许操作一级涉密文件移动存储介质3的序列号授权,允许操作文件名为“xxx”的文件……其中,可以预先设置加密计算机的文件保密等级,并在授权信息表的授权信息中为移动存储介质授予不同的保密文件操作权限。若在授权信息表中匹配不到当前移动存储介质的来源信息,则确定该移动存储介质为未授权设备,显然,也可以在授权信息表中记录未授权设备的信息。表1中的移动存储介质的来源信息除了移动存储介质的序列号外,还可以包括移动存储介质的使用者名称、接入端口标识等,只要匹配上来源信息中的一项或多项都视为在匹配到授权信息表中匹配到移动存储介质的信息。步骤203、将所述移动存储介质的授权信息发送给所述加密计算机。本实施例中,服务器端对移动存储介质的授权情况进行统一管控,在每次移动存储介质接入时,将移动存储介质的授权信息(如“授权设备”或“未授权设备”)发送给所述加密计算机。步骤204、接收所述加密计算机上传的操作信息或危险信息并存储。本实施例中,服务器还存储授权移动存储介质在加密计算机上进行操作的相关记录供事后追溯,并记录加密计算机因未授权设备接入而发来的危险信息,以进行报警等警示工作,在收到加密计算机发来的危险信息后,服务器还可生成报警日志并存储,以供事后查看。优选地,步骤204还可包括:接收所述加密计算机上传的所述移动存储介质的使用者的人像信息并存储。如果一个潜在威胁的移动存储介质接入时,加密计算机会迅速通知服务端,并通过红外相机对使用人进行人像轮廓扫描,服务端马上产生报警日志,并保存人像信息以供事后追溯。本实施例,服务器根据移动存储介质的来源信息查询其授权情况,并将授权信息发送给相应的加密计算机,以使加密计算机根据授权信息允许或禁止移动存储介质对计算机上的文件进行操作,并存储加密计算机上发的移动存储介质的操作记录或危险信息,能够实现未发生计算机泄密事故时预防事故发生,发生泄密事故时快速追溯到事故嫌疑人,提高了计算机的安全性能。下面采用一个具体的实施例,对图1~图2中所示方法实施例的技术方案进行详细说明。图3为本发明移动存储介质接入控制方法实施例一的流程图,本实施例的适用场景可以是任一有保密需求的单位,如图5所示,具体的移动存储介质接入控制方法可以包括以下步骤:s301、加密计算机监控数据传输接口是否有移动存储介质接入,若是(即监控到所述数据传输接口有移动存储介质接入时),则执行步骤302。本实施例中,步骤s301的过程和上述方法实施例的步骤101类似,此处不再赘述。s302、加密计算机获取所述移动存储介质的来源信息,并发送给服务器。本实施例中,步骤s302的过程和上述方法实施例的步骤102类似,此处不再赘述。s303、服务器接收加密计算机发来的移动存储介质的来源信息并存储。本实施例中,步骤s303的过程和上述方法实施例的步骤201类似,此处不再赘述。s304、服务器根据预先设置的授权信息表及所述移动存储介质的来源信息,获取所述移动存储介质的授权信息。本实施例中,步骤s304的过程和上述方法实施例的步骤202类似,此处不再赘述。s305、服务器将所述移动存储介质的授权信息发送给所述加密计算机。本实施例中,步骤s305的过程和上述方法实施例的步骤203类似,此处不再赘述。s306、加密计算机接收服务器发来的所述移动存储介质的授权信息。本实施例中,步骤s306的过程和上述方法实施例的步骤103类似,此处不再赘述。s307、加密计算机判断所述授权信息中记录所述移动存储介质是否为授权设备,若是则执行步骤308,否则执行步骤309。本实施例中,步骤s307的过程和上述方法实施例的步骤104类似,此处不再赘述。s308、加密计算机允许所述移动存储介质操作,并记录操作信息后发送给所述服务器,随后执行步骤s310。本实施例中,步骤s308的过程和上述方法实施例的步骤105类似,此处不再赘述。s309、加密计算机拦截所述移动存储介质的所有操作,并将危险信息上传到所述服务器。本实施例中,步骤s309的过程和上述方法实施例的步骤106类似,此处不再赘述。s310、服务器接收所述加密计算机上传的操作信息或危险信息并存储。本实施例中,步骤s310的过程和上述方法实施例的步骤204类似,此处不再赘述。本实施例提供的一种移动存储介质接入控制方法,在移动存储介质接入加密计算机终端时,终端能智能分析所述移动存储介质来源,并且上传给服务器,服务器根据预先设置的放行规则,给当前接入的移动存储介质授权/禁止操作,对于服务器端授权的设备,允许其操作并记录操作信息后发送给服务器存储,方便后期对移动存储介质的操作行为进行追溯,如果是非授权移动存储介质插入,则拦截该移动存储介质的所有操作,并将危险信息上传到服务器中。例如:a国间谍潜伏在b国国防安全部门多年,一直以计算机维护人员的身份工作,某天该间谍接到上级的命令,采集改国防机密数据,并且用u盘带出,并返回酒店用卫星设备传送回国,当他将自己的u盘接入到国防安全计算机室,本发明提供的移动存储介质接入控制方案迅速识别该u盘非法,并且通过多角度的红外相机对该人进行人像采集后上传服务端报警。随后警方可通过服务器端存储的信息(该u盘的来源信息及操作记录等),进行追溯,发现该人平常多次使用所述u盘进行一些数据交换。案发后,通过人像识别,该间谍的资料迅速被警方掌握,当天落网。对应于本发明实施例提供的移动存储介质接入控制方法,本发明还提供一种移动存储介质接入控制装置。图4为本发明提供的用于加密计算机的移动存储介质接入控制装置实施例一的结构示意图,如图4所示,本实施例的装置可以包括:监控模块11、信息获取模块12、第一接收模块13和控制模块14;其中,监控模块11,用于监控数据传输接口是否有移动存储介质接入;信息获取模块12,用于在所述监控模块11监控到所述数据传输接口有移动存储介质接入时,获取所述移动存储介质的来源信息,并发送给服务器;第一接收模块13,用于接收服务器发来的所述移动存储介质的授权信息;所述授权信息包括移动存储介质的设备授权情况;控制模块14,用于在第一接收模块13接收的所述授权信息中记录所述移动存储介质为授权设备时,允许所述移动存储介质操作,并记录操作信息后发送给所述服务器;或者在所述授权信息中记录所述移动存储介质为未授权设备时,拦截所述移动存储介质的所有操作,并将危险信息上传到所述服务器。本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。优选地,第一接收模块13接收的所述授权信息还包括移动存储介质对各文件的访问权限;所述控制模块14,具体用于在所述授权信息中记录所述移动存储介质为授权设备时,允许所述移动存储介质对具有访问权限的文件进行操作。在一个可选实施例中,信息获取模块12,还用于在所述监控模块11监控到所述数据传输接口有移动存储介质接入时,拍摄所述移动存储介质的使用者的人像信息,并发送给所述服务器。优选地,信息获取模块12获取的移动存储介质的来源信息至少包括所述移动存储介质的厂商、序列号、存储空间大小以及当前接入端口标识。图5为本发明提供的用于加密计算机的移动存储介质接入控制装置实施例二的结构示意图,如图5所示,本实施例的装置在图4所示装置结构的基础上,进一步地,还包括:报警模块15,用于在所述控制模块14将危险信息上传到所述服务器时,以声/光/图像的形式在本地或远程进行报警。本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。图6为本发明提供的用于服务器的移动存储介质接入控制装置实施例一的结构示意图,如图6所示,本实施例的装置可以包括:第二接收模块21、授权获取模块22和发送模块23;其中,第二接收模块21,用于接收加密计算机发来的移动存储介质的来源信息并存储,还用于接收所述加密计算机上传的操作信息或危险信息并存储;授权获取模块22,用于根据本地预先设置的授权信息表及第二接收模块21接收的所述移动存储介质的来源信息,获取所述移动存储介质的授权信息;所述授权信息表记录有移动存储介质的来源信息与授权信息的对应关系;发送模块23,用于将所述授权获取模块22获取的所述移动存储介质的授权信息发送给所述加密计算机。本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。优选地,授权获取模块22所使用的所述授权信息表还记录有移动存储介质的来源信息与加密计算机上各文件的访问权限的对应关系。优选地,第二接收模块21,还用于接收所述加密计算机上传的所述移动存储介质的使用者的人像信息并存储。图7为本发明提供的用于服务器的移动存储介质接入控制装置实施例二的结构示意图,如图7所示,本实施例的装置在图6所示装置结构的基础上,进一步地,还包括:日志模块24,用于在所述第二接收模块21收到所述危险信息后,生成报警日志并存储。本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,rom)或随机存储记忆体(randomaccessmemory,ram)等。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本
技术领域:
的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。当前第1页12