移动存储介质文件管控方法、装置、系统及电子设备与流程

本发明涉及计算机安全技术领域，尤其涉及一种移动存储介质文件管控方法、装置、系统及电子设备。

背景技术

目前，u盘泄漏文件是很常见的事情。由于各类管理疏忽，人员在离职前有意无意的大量拷贝走核心资料，这些核心资料往往涉及重要商业信息，成为竞争对手的重要武器；由于对信息安全重要性的认识不足，存在部分涉密人员在无意中泄露保密数据的情况，而部分不良分子，肆意将机密信息公之于众，甚至发布到网上任人浏览；类似事件可能带来非常严重的后果。

在实现本发明的过程中，发明人发现目前没有有效的能够管控移动存储介质复制保密计算机上文件的方案。

技术实现要素：

有鉴于此，本发明实施例提供一种移动存储介质文件管控方法、装置、系统及电子设备，方便在文件泄露时进行追溯，从而较为有效地管控移动存储介质复制保密计算机上的文件。

第一方面，本发明实施例提供一种移动存储介质文件管控方法，用于客户端，包括：

当监测到数据传输接口有已注册移动存储介质接入时，通过病毒查杀方式扫描所述已注册移动存储介质，获取所述已注册移动存储介质上存储的文件的标识信息；

将扫描信息发送给所述远程监控中心；所述扫描信息包括所述已注册移动存储介质的标识信息及其上存储的文件的标识信息。

结合第一方面，在第一方面的第一种实施方式中，在将扫描信息发送给所述远程监控中心之后，还包括：

当收到往所述已注册移动存储介质中拷贝文件的请求时，将待拷贝文件的标识信息发送给远程监控中心；

接收所述远程监控中心发来的匹配到所述待拷贝文件的标识信息的通知；

获取所述已注册移动存储介质的标识信息并发送给所述远程监控中心；

接收所述远程监控中心发来的所述已注册移动存储介质对所述待拷贝文件的操作权限信息；

根据所述操作权限信息，允许或阻止往所述已注册移动存储介质中拷贝所述待拷贝文件。

结合第一方面的第一种实施方式，在第一方面的第二种实施方式中，在将待拷贝文件的标识信息发送给远程监控中心之后，还包括：

接收所述远程监控中心发来的未匹配到所述待拷贝文件的标识信息的通知；

阻止往所述已注册移动存储介质中拷贝所述待拷贝文件。

结合第一方面的第二种实施方式，在第一方面的第三种实施方式中，在根据所述操作权限信息，允许或阻止往所述已注册移动存储介质中拷贝所述待拷贝文件之后，还包括：

将本次操作信息发送给所述远程监控中心；所述本次操作信息包括所述已注册移动存储介质的标识信息、本次已/欲拷贝的文件的标识信息和操作记录。

结合第一方面，在第一方面的第四种实施方式中，所述当监测到数据传输接口有已注册移动存储介质接入时，通过病毒查杀方式扫描所述已注册移动存储介质，包括：

当监测到数据传输接口有移动存储介质接入时，将所述移动存储介质的标识信息发送给所述远程监控中心；

接收所述远程监控中心发来的所述移动存储介质的注册结果信息；所述注册结果信息包括已注册或未注册两种结果；

当所述移动存储介质为未注册移动存储介质时，提示用户对所述未注册移动存储介质进行注册；

接收用户对所述未注册移动存储介质进行注册的注册请求；

根据所述注册请求，获取所述未注册移动存储介质的标识信息作为注册信息发送给所述远程监控中心；

当所述移动存储介质为已注册移动存储介质或收到所述远程监控中心发来的注册成功消息时，通过病毒查杀方式扫描所述已注册移动存储介质；若用户放弃对所述未注册移动存储介质进行注册或收到所述远程监控中心发来的注册失败消息时，将所述未注册移动存储介质移出数据传输接口。

结合第一方面至第一方面的第四种中任一种实施方式，在第一方面的第五种可能的实现方式中，所述移动存储介质的标识信息包括移动存储介质的出产序列号及使用者信息。

结合第一方面至第一方面的第四种中任一种实施方式，在第一方面的第六种可能的实现方式中，所述文件的标识信息为文件的哈希hash值。

第二方面，本发明实施例提供一种移动存储介质文件管控方法，用于远程监控中心，包括：

保存客户端发来的扫描信息；其中，所述扫描信息包括已注册移动存储介质的标识信息及其上存储的文件的标识信息。

结合第二方面，在第二方面的第一种实施方式中，在保存客户端发来的扫描信息之后，还包括：

接收客户端发来的待拷贝文件的标识信息；

根据本地知识库中预先存储的涉密文件的标识信息，判断在所述知识库中是否能匹配到所述待拷贝文件的标识信息；

向所述客户端发送匹配到/未匹配到所述待拷贝文件的标识信息的通知；

接收客户端发来的请求拷贝所述待拷贝文件的已注册移动存储介质的标识信息；

根据预定管控策略确定所述已注册移动存储介质对所述待拷贝文件的操作权限，并向所述客户端发送操作权限信息；其中，所述管控策略记录有移动存储介质操作涉密文件的权限。

结合第二方面的第一种实施方式，在第二方面的第二种实施方式中，在向所述客户端发送操作权限信息之后，还包括：

接收并存储所述客户端发来的本次操作信息；所述本次操作信息包括所述已注册移动存储介质的标识信息、本次已/欲拷贝的文件的标识信息和操作记录。

结合第二方面的第二种实施方式，在第二方面的第三种实施方式中，在保存客户端发来的扫描信息之后，还包括：

接收文件泄露查询指令；

获取所述文件泄露查询指令所指泄露文件的标识信息；

在已存储的扫描信息和操作信息中获取所述泄露文件的标识信息对应的已注册移动存储介质的标识信息。

结合第二方面，在第二方面的第四种实施方式中，在保存客户端发来的扫描信息之前，还包括：

接收并判断所述客户端发来的移动存储介质的标识信息对应的移动存储介质是否已注册；

将所述移动存储介质的注册结果信息发送给所述客户端；所述注册结果信息包括已注册或未注册两种结果；

接收所述客户端发来的注册信息，同意或禁止所述注册信息对应的未注册移动存储介质进行注册；所述注册信息包括移动存储介质的标识信息；

若禁止所述注册信息对应的未注册移动存储介质进行注册，则向所述客户端发送注册失败消息；若同意所述注册信息对应的未注册移动存储介质进行注册，则保存所述注册信息并向所述客户端发送注册成功消息。

结合第二方面的第一种实施方式，在第二方面的第五种实施方式中，所述管控策略包括：移动存储介质的标识信息与允许的操作类型和/或允许操作的文件类型和/或允许操作的文件保密等级之间的对应关系；

所述知识库中预先存储的涉密文件包括文件类型和文件保密等级属性。

结合第二方面至第二方面的第五种中任一种实施方式，在第二方面的第六种实施方式中，所述移动存储介质的标识信息的标识信息包括移动存储介质的出产序列号及使用者信息。

结合第二方面至第二方面的第五种中任一种实施方式，在第二方面的第七种实施方式中，所述文件的标识信息为文件的哈希hash值。

第三方面，本发明实施例提供一种移动存储介质文件管控装置，用于客户端，包括：

扫描模块，用于在监测到数据传输接口有已注册移动存储介质接入时，通过病毒查杀方式扫描所述已注册移动存储介质，获取所述已注册移动存储介质上存储的文件的标识信息；

第一发送模块，用于将扫描信息发送给所述远程监控中心；所述扫描信息包括所述已注册移动存储介质的标识信息及其上存储的文件的标识信息。

结合第三方面，在第三方面的第一种实施方式中，所述移动存储介质文件管控装置还包括：

第一接收模块，用于在收到往所述已注册移动存储介质中拷贝文件的请求时，将待拷贝文件的标识信息发送给远程监控中心；还用于接收所述远程监控中心发来的匹配到所述待拷贝文件的标识信息的通知；还用于接收所述远程监控中心发来的所述已注册移动存储介质对所述待拷贝文件的操作权限信息；

第一获取模块，用于根据所述第一接收模块收到的匹配到所述待拷贝文件的标识信息的通知，获取所述已注册移动存储介质的标识信息并发送给所述远程监控中心；

操作控制模块，用于根据所述第一接收模块收到的所述操作权限信息，允许或阻止往所述已注册移动存储介质中拷贝所述待拷贝文件。

结合第三方面的第一种实施方式，在第三方面的第二种实施方式中，所述第一接收模块，还用于接收所述远程监控中心发来的未匹配到所述待拷贝文件的标识信息的通知；

所述操作控制模块，还用于根据所述第一接收模块收到的所述未匹配到所述待拷贝文件的标识信息的通知，阻止往所述已注册移动存储介质中拷贝所述待拷贝文件。

结合第三方面的第二种实施方式，在第三方面的第三种实施方式中，所述操作控制模块，还用于通过所述第一发送模块将本次操作信息发送给所述远程监控中心；所述本次操作信息包括所述已注册移动存储介质的标识信息、本次已/欲拷贝的文件的标识信息和操作记录。

结合第三方面，在第三方面的第四种实施方式中，所述第一接收模块，还用于接收所述远程监控中心发来的所述移动存储介质的注册结果信息；所述注册结果信息包括已注册或未注册两种结果；

所述扫描模块，包括：

监测子模块，用于在监测到数据传输接口有移动存储介质接入时，将所述移动存储介质的标识信息发送给所述远程监控中心；

提示子模块，用于当所述第一接收模块接收的注册结果信息中记录移动存储介质为未注册移动存储介质时，提示用户对所述未注册移动存储介质进行注册；

注册子模块，用于接收用户对所述未注册移动存储介质进行注册的注册请求；

获取子模块，用于根据所述注册子模块接收的注册请求，获取所述未注册移动存储介质的标识信息作为注册信息发送给所述远程监控中心；

扫描子模块，用于当所述第一接收模块接收的注册结果信息中记录移动存储介质为已注册移动存储介质或收到所述远程监控中心发来的注册成功消息时，通过病毒查杀方式扫描所述已注册移动存储介质，获取所述已注册移动存储介质上存储的文件的标识信息；

阻止子模块，用于在用户放弃对所述未注册移动存储介质进行注册或收到所述远程监控中心发来的注册失败消息时，将所述未注册移动存储介质移出数据传输接口。

第四方面，本发明实施例提供一种移动存储介质文件管控装置，用于远程监控中心，包括：

存储模块，用于保存客户端发来的扫描信息；其中，所述扫描信息包括已注册移动存储介质的标识信息及其上存储的文件的标识信息。

结合第四方面，在第四方面的第一种实施方式中，所述移动存储介质文件管控装置还包括：

第二接收模块，用于接收客户端发来的待拷贝文件的标识信息；还用于接收客户端发来的请求拷贝所述待拷贝文件的已注册移动存储介质的标识信息；

匹配模块，用于根据本地知识库中预先存储的涉密文件的标识信息，判断在所述知识库中是否能匹配到所述第二接收模块接收的待拷贝文件的标识信息；

第一通知模块，用于向所述客户端发送所述匹配模块匹配到/未匹配到所述待拷贝文件的标识信息的通知；

权限确定模块，用于根据预定管控策略确定所述第二接收模块接收的标识信息对应的已注册移动存储介质对所述待拷贝文件的操作权限，并向所述客户端发送操作权限信息；其中，所述管控策略记录有移动存储介质操作涉密文件的权限。

结合第四方面的第一种实施方式，在第四方面的第二种实施方式中，所述第二接收模块，还用于接收所述客户端发来的本次操作信息并将其存储至所述存储模块中；所述本次操作信息包括所述已注册移动存储介质的标识信息、本次已/欲拷贝的文件的标识信息和操作记录。

结合第四方面的第二种实施方式，在第四方面的第三种实施方式中，所述移动存储介质文件管控装置还包括：

第三接收模块，用于接收文件泄露查询指令；

第二获取模块，用于获取所述文件泄露查询指令所指泄露文件的标识信息；

查询模块，用于在所述存储模块已存储的扫描信息和操作信息中获取所述泄露文件的标识信息对应的已注册移动存储介质的标识信息。

结合第四方面，在第四方面的第四种实施方式中，所述移动存储介质文件管控装置，还包括：

判断模块，用于接收并判断所述客户端发来的移动存储介质的标识信息对应的移动存储介质是否已注册；

第二发送模块，用于将所述判断模块得到的所述移动存储介质的注册结果信息发送给所述客户端；所述注册结果信息包括已注册或未注册两种结果；

注册模块，用于接收所述客户端发来的注册信息，同意或禁止所述注册信息对应的未注册移动存储介质进行注册；所述注册信息包括移动存储介质的标识信息；

第二通知模块，用于在所述注册模块禁止所述注册信息对应的未注册移动存储介质进行注册时，向所述客户端发送注册失败消息；或者用于在所述注册模块同意所述注册信息对应的未注册移动存储介质进行注册时，保存所述注册信息并向所述客户端发送注册成功消息。

第五方面，本发明实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为所述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的用于客户端的移动存储介质文件管控方法。

第六方面，本发明实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为所述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的用于远程监控中心的移动存储介质文件管控方法。

第七方面，本发明实施例提供一种移动存储介质文件管控系统，包括远程监控中心和至少一个客户端，所述客户端包括前述任一实施例所述的移动存储介质文件管控装置，所述远程监控中心包括前述任一实施例所述的移动存储介质文件管控装置。

本发明实施例提供的一种移动存储介质文件管控方法、装置、系统及电子设备，当监测到数据传输接口有已注册移动存储介质接入时，通过病毒查杀方式扫描所述已注册移动存储介质，获取所述已注册移动存储介质上存储的文件的标识信息，将扫描信息发送给所述远程监控中心，这样方便在文件泄露时进行追溯，从而较为有效地管控移动存储介质复制保密计算机上的文件。此外，通过对移动存储介质的病毒查杀过程扫描并获取移动存储介质上文件的标识信息(如文件哈希值)，既减少了再次获取文件信息的时间，又降低了计算机资源的花费，而且为事后文件泄漏追溯提供数据来源。此方法既可清除移动存储介质的病毒文件，保护系统安全，又可以在文件泄漏时，感知出处。本发明利用病毒查杀过程，避免二次获取文件信息所耗费的时间与系统资源，提高了文件管控效率。并且利用远程监控中心进行统一管控，能够有效阻止文件通过移动存储介质泄漏。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明一种用于客户端的移动存储介质文件管控方法实施例一的流程图；

图2为本发明一种用于客户端的移动存储介质文件管控方法实施例二的流程图；

图3为客户端对接入的移动存储介质的注册确认流程图；

图4为本发明一种用于远程监控中心的移动存储介质文件管控方法实施例一的流程图；

图5为本发明一种用于远程监控中心的移动存储介质文件管控方法实施例二的流程图；

图6为远程监控中心对客户端接入的移动存储介质的注册认证方法流程图；

图7为本发明一种用于客户端的移动存储介质文件管控装置实施例一的结构示意图；

图8为本发明一种用于客户端的移动存储介质文件管控装置实施例二的结构示意图；

图9为本发明一种用于客户端的移动存储介质文件管控装置实施例三的结构示意图；

图10为本发明一种用于远程监控中心的移动存储介质文件管控装置实施例一的结构示意图；

图11为本发明一种用于远程监控中心的移动存储介质文件管控装置实施例二的结构示意图；

图12为本发明一种用于远程监控中心的移动存储介质文件管控装置实施例三的结构示意图；

图13为本发明一种用于远程监控中心的移动存储介质文件管控装置实施例四的结构示意图；

图14为本发明电子设备一个实施例的结构示意图；

图15为本发明另一种电子设备一个实施例的结构示意图。

具体实施方式

传统方法针对u盘中的文件进行扫描仅仅只限于发现病毒，清理病毒，没有很好的利用文件扫描这一过程所获得的有用数据信息。而计算机安全技术人员关心的恰恰是优盘中的文件信息。如果在文件扫描时，没有及时记录这些信息，当需要时再获取，既浪费时间也耗费计算机资源。本发明利用病毒查杀时对移动存储介质上的文件扫描的过程，获取文件标识信息并存储，为事后发现文件泄密时提供数据来源。下面结合附图对本发明实施例一种移动存储介质文件管控方法和装置进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明一种用于客户端的移动存储介质文件管控方法实施例一的流程图，如图1所示，本实施例的方法可以包括：

步骤101、当监测到数据传输接口有已注册移动存储介质接入时，通过病毒查杀方式扫描所述已注册移动存储介质，获取所述已注册移动存储介质上存储的文件的标识信息。

优选地，获取的文件的标识信息为文件的哈希hash值。

步骤102、将扫描信息发送给所述远程监控中心存储。

其中，所述扫描信息包括所述已注册移动存储介质的标识信息及其上存储的文件的标识信息。

优选地，移动存储介质的标识信息包括移动存储介质的出产序列号及使用者(如用户名称)信息。

本实施例，在移动存储介质插入数据传输接口时，若该移动存储介质为已注册设备，则对其进行病毒查杀的同时获取文件的hash值，并上传到远程监控中心进行存储，则当文件泄密时候，可以根据存储的扫描信息获知该文件在哪个移动存储介质上存在过，方便文件泄密的追溯，从而较为有效地管控移动存储介质复制保密计算机上的文件。此方法既可清除优盘病毒文件，保护系统安全，又可以在文件泄漏时，感知出处，利用病毒查杀过程，避免二次获取文件信息所耗费的时间与系统资源，提高了文件管控效率。

图2为本发明一种用于客户端的移动存储介质文件管控方法实施例二的流程图，如图2所示，本实施例的方法可以包括：

步骤201、当监测到数据传输接口有已注册移动存储介质接入时，通过病毒查杀方式扫描所述已注册移动存储介质，获取所述已注册移动存储介质上存储的文件的标识信息。

步骤202、将扫描信息发送给所述远程监控中心存储。

本实施例中，步骤201-202的过程和上述方法实施例的步骤101-102类似，此处不再赘述。

步骤203、当收到往所述已注册移动存储介质中拷贝文件的请求时，将待拷贝文件的标识信息发送给远程监控中心。

步骤204、判断远程监控中心是否匹配到所述待拷贝文件的标识信息，若是，则执行步骤205，否则，执行步骤208。

本实施例中，若远程监控中心在预先设置的知识库中预先存储的涉密文件的标识信息，当用户在客户端请求往已注册移动存储介质中拷贝文件时，远程监控中心在知识库中匹配所述待拷贝文件的标识信息，若匹配到，则向客户端发送匹配到待拷贝文件的标识信息的通知，客户端的此步骤判断结果为是，执行步骤205，若客户端收到远程监控中心发来的未匹配到所述待拷贝文件的标识信息的通知，则此步骤的判断结果为否，跳转执行步骤208。

步骤205、获取所述已注册移动存储介质的标识信息并发送给所述远程监控中心。

步骤206、接收远程监控中心发来的已注册移动存储介质对待拷贝文件的操作权限信息。

本实施例中，远程监控中心根据客户端上发的已注册移动存储介质的标识信息和之前匹配到的待拷贝文件的标识信息，根据预定管控策略确定当前已注册移动存储介质对所述待拷贝文件的操作权限并将操作权限信息发送给客户端。

步骤207、根据所述操作权限信息，允许或阻止往已注册移动存储介质中拷贝待拷贝文件。

例如：若远程监控中心发来的操作权限信息中规定当前已注册移动存储介质具有对待拷贝文件的复制权限，则允许往所述已注册移动存储介质中拷贝所述待拷贝文件，若远程监控中心发来的操作权限信息中规定当前已注册移动存储介质只具有对待拷贝文件的浏览权限或者禁止该移动存储介质对该文件进行任何操作，则阻止该已注册移动存储介质中拷贝所述待拷贝文件。

步骤208、阻止往已注册移动存储介质中拷贝待拷贝文件。

本实施例中，若在远程监控中心的知识库中匹配不到待拷贝文件的标识信息，则不确定该文件是否为机密文件，因此阻止当前已注册移动存储介质往所述已注册移动存储介质中拷贝所述待拷贝文件。进一步地，还可以阻止当前已注册移动存储介质对该文件进行其他操作。

本实施例，通过预先在远程监控中心设置用于存储涉密文件标识信息的知识库，已经预先设置已注册移动存储介质对各涉密文件的操作权限，可以在已注册存储介质想要复制当前客户端上的任一文件时，先判断当前用于欲操作的文件是否是涉密文件以及当前移动存储介质是否具有对该文件的复制操作权限，并根据得到的操作权限允许或阻止当前移动存储介质对该文件进行拷贝操作，能够有效防止无权限的移动存储介质复制涉密文件，从而较为有效地管控移动存储介质复制保密计算机上的文件，进一步提高计算机资料安全度。

优选地，在步骤207或步骤208之后，还可将本次操作信息发送给所述远程监控中心；其中，本次操作信息包括所述已注册移动存储介质的标识信息、本次已/欲拷贝的文件的标识信息和操作记录。即不管是否允许当前移动存储介质拷贝文件，都需要将当前移动存储介质的标识信息以及已拷贝/欲拷贝文件的标识信息等一系列数据传入远程监控中心存储，以便事后追溯是什么人什么设备对什么文件或想要对什么文件进行操作。

优选地，在客户端监测到数据传输接口有移动存储介质接入时，需要首先进行移动存储介质的注册确认步骤，如图3中所示，上述步骤101或201可以具体包括：

步骤301、当监测到数据传输接口有移动存储介质接入时，将所述移动存储介质的标识信息发送给所述远程监控中心。

本实施例中，当监测到数据传输接口有移动存储介质接入时，获取该移动移动存储介质的标识信息(如出厂序列号)发送给所述远程监控中心。

步骤302、接收所述远程监控中心发来的所述移动存储介质的注册结果信息。

其中，所述注册结果信息包括已注册或未注册两种结果。

本实施例中，远程监控中心预先保存有已注册移动存储介质的标识信息，因此，每次可根据当前接入的移动存储介质的标识信息从远程监控中心获取到该移动存储介质的注册结果。

步骤303、判断注册结果信息中是否记录所述移动存储介质为已注册移动存储介质，若是，则直接执行步骤308；否则，所述移动存储介质为未注册移动存储介质，执行步骤304。

步骤304、提示用户对所述未注册移动存储介质进行注册。

本实施例中，若当前接入的移动存储介质为未注册设备，则提示用户对其进行注册，例如，可通过当前客户端的显示屏向用户提供一请求注册的注册按钮。

步骤305、是否收到用户对所述未注册移动存储介质进行注册的注册请求，若是，则执行步骤306，否则，代表用户放弃对所述未注册移动存储介质进行注册，执行步骤309。

例如，通过当前客户端的显示屏向用户提供一请求注册的注册按钮，用户若点击该注册按钮，则视为发起注册请求。

步骤306、根据所述注册请求，获取未注册移动存储介质的标识信息作为注册信息发送给远程监控中心。

本实施例中，当用户发起移动存储介质的注册请求后，可以通过向用户提供一些信息填写框以供用户输入当前移动存储介质的基本信息，例如移动存储介质的使用者姓名等信息，并获取当前移动存储介质的出厂序列号等信息一同作为该移动存储介质的标识信息发送给远程监控中心。

步骤307、接收远程监控中心发来的注册成功消息或注册失败消息。

本实施例中，若收到远程监控中心发来的注册成功消息，则执行步骤308，若收到注册失败消息，则执行步骤309。

步骤308、通过病毒查杀方式扫描所述已注册移动存储介质，获取已注册移动存储介质上存储的文件的标识信息。

本实施例中，若当前接入的移动存储介质为已注册设备或者在本次接入后请求注册成功了，说明该移动存储介质具有了初步的接入权限，则通过病毒查杀方式扫描所述已注册移动存储介质，在杀毒的同时获取该已注册移动存储介质上存储的文件的标识信息。

步骤309、将所述未注册移动存储介质移出数据传输接口。

本实施例中，若当前接入的移动存储介质为未注册移动存储介质且用户为请求对其进行注册认证，则直接将该移动存储介质移出数据传输接口，直接拒绝其接入。

本实施例中，在移动存储介质接入时，先对其进行注册认证，检查该移动存储介质是否是已经注册设备，此处已注册表示该移动存储介质的唯一标识与所有者都记录到远程监控中心，以用于文件泄漏检测以及后续的管控策略权限分配。只有已注册移动存储介质具有最初的接入权限，接入后再根据图1或图2所述方案对其进行操作权限确认，进一步提高了计算机资料的安全性能，防止无权限设备接入就可对当前客户端资料进行操作的情况发生。

对应于本发明实施例提供的用于客户端的移动存储介质文件管控方法，本发明实施例还提供一种用于远程监控中心的移动存储介质文件管控方法，该方法包括步骤：保存客户端发来的扫描信息；其中，所述扫描信息包括已注册移动存储介质的标识信息及其上存储的文件的标识信息。即，当客户端每次有已注册移动存储介质接入时，通过病毒查杀方式扫描其上所有文件并获取文件的标识信息，例如文件的hash值，并将扫描信息上发至远程监控中心存储。这样，远程监控中心存储了所有其监控的客户端上接入的全部已注册移动存储介质上的文件的标识信息，方便文件泄密时进行快速核实泄密途径。

图4为本发明一种用于远程监控中心的移动存储介质文件管控方法实施例一的流程图，如图4所示，本实施例的方法可以包括：

步骤401、保存客户端发来的扫描信息；其中，所述扫描信息包括已注册移动存储介质的标识信息及其上存储的文件的标识信息。

优选地，移动存储介质的标识信息的标识信息包括移动存储介质的出产序列号及使用者信息。

步骤402、接收客户端发来的待拷贝文件的标识信息。

步骤403、根据本地知识库中预先存储的涉密文件的标识信息，判断在知识库中是否能匹配到所述待拷贝文件的标识信息。

本实施例中，预先将公司机密文件的标识信息例如文件的hash值批量录入知识库中。

步骤404、向所述客户端发送匹配到/未匹配到所述待拷贝文件的标识信息的通知。

本实施例中，客户端将当前已注册移动存储介质待拷贝文件的标识信息上发至远程监控中心，远程监控中心在本地知识库中查找是否有所述待拷贝文件的标识信息，如果查找到，则证明所述待拷贝文件为涉密文件并告知客户端，以使客户端进一步提供当前接入的已注册移动存储介质的标识信息以对其进行操作权限认证。

步骤405、接收客户端发来的请求拷贝所述待拷贝文件的已注册移动存储介质的标识信息。

步骤406、根据预定管控策略确定所述已注册移动存储介质对所述待拷贝文件的操作权限，并向所述客户端发送操作权限信息。

其中，所述管控策略记录有移动存储介质操作涉密文件的权限，例如记录有移动存储介质的标识和其能够操作的涉密文件的标识之间的对应关系。

管控策略可以设置文件类型的防护，比如：针对office文件进行管控，其他文件不管控等策略；还可以设置用户权限，比如：不同职能的使用者，可以有不同文件的操作权限；还可以设置重要文件等级操作权限，比如：不重要的文件，可以供一般人员使用，重要文件，只有特殊人员才可以使用。管控策略可以结合使用场景进行增加、删除、修改。

优选地，预定管控策略包括：移动存储介质的标识信息与允许的操作类型和/或允许操作的文件类型和/或允许操作的文件保密等级之间的对应关系；所述知识库中预先存储的涉密文件包括文件类型和文件保密等级属性。例如管控策略可存储为下表1所示：

表1

例如，若当前接入的已注册移动存储介质为上表1中的移动存储介质1，允许其对保密二级的word、excel进行复制操作，若本地知识库中记录的当前待拷贝文件的格式为word文件格式，但是该文件的保密等级为保密一级，假设保密等级数越小，保密性越高，即保密一级文件的保密性要求高于保密二级文件，则确定该移动存储介质1不具有对该待拷贝文件的进行复制操作的权限，向客户端发送不允许当前移动存储介质1拷贝所述待拷贝文件的操作权限信息。

优选地，图4所示实施例中，在步骤406之后，还可包括步骤：接收并存储所述客户端发来的本次操作信息；所述本次操作信息包括所述已注册移动存储介质的标识信息、本次已/欲拷贝的文件的标识信息和操作记录。即不管是否允许当前移动存储介质拷贝文件，保存客户端发来的当前移动存储介质的标识信息以及已拷贝/欲拷贝文件的标识信息等一系列数据，针对允许操作，如果以后发现该文件泄漏，根据扫描信息和操作信息进行分析哪些移动存储介质，哪些人员，操作使用了该文件；针对阻止操作，可以潜在发现哪些移动存储介质，哪些人，想要获取文件，从而及时处理，防患于未然。

图5为本发明一种用于远程监控中心的移动存储介质文件管控方法实施例二的流程图，本实施例在图4所示方法实施例的基础上，还包括文件泄露后如何获取可能的泄露途径的步骤，如图5所示，本实施例的方法可以包括：

步骤501、保存客户端发来的扫描信息。

其中，所述扫描信息包括已注册移动存储介质的标识信息及其上存储的文件的标识信息。

步骤502、接收客户端发来的待拷贝文件的标识信息。

步骤503、根据本地知识库中预先存储的涉密文件的标识信息，判断在所述知识库中是否能匹配到所述待拷贝文件的标识信息。

步骤504、向所述客户端发送匹配到/未匹配到所述待拷贝文件的标识信息的通知。

步骤505、接收客户端发来的请求拷贝待拷贝文件的已注册移动存储介质的标识信息。

步骤506、根据预定管控策略确定所述已注册移动存储介质对所述待拷贝文件的操作权限，并向所述客户端发送操作权限信息。

步骤507、接收并存储客户端发来的本次操作信息。

其中，本次操作信息包括当前已注册移动存储介质的标识信息、本次已/欲拷贝的文件的标识信息和操作记录。

步骤508、接收文件泄露查询指令。

本实施例中，当文件泄露时，可直接在远程监控中心输入已泄露的文件的信息(例如文件名称)进行查询。

步骤509、获取所述文件泄露查询指令所指泄露文件的标识信息。

本实施例中，根据输入的已泄露的文件的信息，获取泄露文件的标识信息，例如可以预先在每次保存文件的hash值时候，对应存储相应文件的名称、文件格式和大小等属性信息，以方便泄露查询时候快速获取相应文件的标识信息。

步骤510、在已存储的扫描信息和操作信息中获取所述泄露文件的标识信息对应的已注册移动存储介质的标识信息。

由于每次存储的扫描信息中对应存储有已注册移动存储介质的标识信息及其上存储的文件的标识信息，操作信息中也存储有已注册移动存储介质的标识信息、本次已/欲拷贝的文件的标识信息和操作记录，因此，可以通过已泄露文件的标识信息，在扫描信息和操作信息中获取到曾经存储过和/或想要拷贝这份文件的已注册移动存储介质的标识信息，从而根据查询到的已注册移动存储介质的标识信息(包括出产序列号及使用者姓名等)快速锁定移动存储设备的持有嫌疑人。

对应于图3所示实施例，在上述步骤401/501之前，还可包括客户端接入的移动存储介质的注册认证步骤，如图6所示，包括以下步骤：

步骤601、接收并判断客户端发来的移动存储介质的标识信息对应的移动存储介质是否已注册。

步骤602、将移动存储介质的注册结果信息发送给客户端。

其中，所述注册结果信息包括已注册或未注册两种结果；

步骤603、接收客户端发来的注册信息，同意或禁止所述注册信息对应的未注册移动存储介质进行注册。

其中，所述注册信息包括移动存储介质的标识信息。

此步骤中，若同意所述注册信息对应的未注册移动存储介质进行注册，则执行步骤604，若禁止所述注册信息对应的未注册移动存储介质进行注册，，则执行步骤605，例如对于以前泄露过信息的移动存储介质，将其预先加入黑名单，禁止其再次注册。，

步骤604、保存所述注册信息并向客户端发送注册成功消息。

步骤605、向客户端发送注册失败消息。

本实施例中，可根据需要在远程监控中心预先设置允许注册的移动存储介质，直接管控移动存储介质在客户端的接入权限，进一步提高了计算机资料的安全性能。

例如：采用本发明提供的移动存储介质文件管控方法，公司内部员工使用u盘接入电脑时，既进行了病毒查杀，保护系统安全，又可以在文件泄漏时，感知到是从何处泄漏的。预先将公司内部机密文件录入到远程监控中心的知识库中，针对员工职能给予权限，既不影响员工的正常操作文件，也阻止了无权操作导致的文件泄漏。

对应于本发明提供的用于客户端的移动存储介质文件管控方法，本发明实施例还提供一种用于客户端的移动存储介质文件管控装置。图7为本发明一种用于客户端的移动存储介质文件管控装置实施例一的结构示意图，如图7所示，本实施例的装置可以包括：扫描模块11和第一发送模块12；其中，扫描模块11，用于在监测到数据传输接口有已注册移动存储介质接入时，通过病毒查杀方式扫描所述已注册移动存储介质，获取所述已注册移动存储介质上存储的文件的标识信息；第一发送模块12，用于将扫描信息发送给所述远程监控中心；所述扫描信息包括所述已注册移动存储介质的标识信息及其上存储的文件的标识信息。

本实施例的装置，可以用于执行图1所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图8为本发明一种用于客户端的移动存储介质文件管控装置实施例二的结构示意图，如图8所示，本实施例的装置在图7所示装置结构的基础上，还包括：第一接收模块13、第一获取模块14和操作控制模块15；其中，第一接收模块13，用于在收到往所述已注册移动存储介质中拷贝文件的请求时，将待拷贝文件的标识信息发送给远程监控中心；还用于接收所述远程监控中心发来的匹配到所述待拷贝文件的标识信息的通知；还用于接收所述远程监控中心发来的所述已注册移动存储介质对所述待拷贝文件的操作权限信息；第一获取模块14，用于根据第一接收模块13收到的匹配到所述待拷贝文件的标识信息的通知，获取所述已注册移动存储介质的标识信息并发送给所述远程监控中心；操作控制模块15，用于根据第一接收模块13收到的所述操作权限信息，允许或阻止往所述已注册移动存储介质中拷贝所述待拷贝文件。

本实施例的装置，可以用于执行图1或图2所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

优选地，图8中，第一接收模块13，还用于接收所述远程监控中心发来的未匹配到所述待拷贝文件的标识信息的通知；操作控制模块15，还用于根据第一接收模块13收到的所述未匹配到所述待拷贝文件的标识信息的通知，阻止往所述已注册移动存储介质中拷贝所述待拷贝文件。

优选地，如图8中所示，操作控制模块15，还用于通过第一发送模块12将本次操作信息发送给所述远程监控中心；所述本次操作信息包括所述已注册移动存储介质的标识信息、本次已/欲拷贝的文件的标识信息和操作记录。

图9为本发明一种用于客户端的移动存储介质文件管控装置实施例三的结构示意图，如图9所示，本实施例的装置在图7所示装置结构的基础上，进一步地，第一接收模块13，还用于接收所述远程监控中心发来的所述移动存储介质的注册结果信息；所述注册结果信息包括已注册或未注册两种结果。扫描模块11可以包括：监测子模块111、提示子模块112、注册子模块113、获取子模块114、扫描子模块115和阻止子模块116；其中，监测子模块111，用于在监测到数据传输接口有移动存储介质接入时，将所述移动存储介质的标识信息发送给所述远程监控中心；提示子模块112，用于当第一接收模块13接收的注册结果信息中记录移动存储介质为未注册移动存储介质时，提示用户对所述未注册移动存储介质进行注册；注册子模块113，用于接收用户对所述未注册移动存储介质进行注册的注册请求；获取子模块114，用于根据注册子模块113接收的注册请求，获取所述未注册移动存储介质的标识信息作为注册信息发送给所述远程监控中心；扫描子模块114，用于当第一接收模块13接收的注册结果信息中记录移动存储介质为已注册移动存储介质或收到所述远程监控中心发来的注册成功消息时，通过病毒查杀方式扫描所述已注册移动存储介质，获取所述已注册移动存储介质上存储的文件的标识信息；阻止子模块115，用于在用户放弃对所述未注册移动存储介质进行注册或收到所述远程监控中心发来的注册失败消息时，将所述未注册移动存储介质移出数据传输接口。

本实施例的装置，可以用于执行图3所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

对应于本发明提供的用于远程监控中心的移动存储介质文件管控方法，本发明实施例还提供一种用于远程监控中心的移动存储介质文件管控装置。图10为本发明一种用于远程监控中心的移动存储介质文件管控装置实施例一的结构示意图，如图10所示，本实施例的装置可以包括：存储模块201，用于保存客户端发来的扫描信息；其中，所述扫描信息包括已注册移动存储介质的标识信息及其上存储的文件的标识信息。

图11为本发明一种用于远程监控中心的移动存储介质文件管控装置实施例二的结构示意图，如图11所示，本实施例的装置在图10所示装置结构的基础上，进一步地，还包括：第二接收模块202、匹配模块203、第一通知模块204和权限确定模块205；其中，第二接收模块202，用于接收客户端发来的待拷贝文件的标识信息；还用于接收客户端发来的请求拷贝所述待拷贝文件的已注册移动存储介质的标识信息；匹配模块203，用于根据本地知识库中预先存储的涉密文件的标识信息，判断在所述知识库中是否能匹配到第二接收模块202接收的待拷贝文件的标识信息；第一通知模块204，用于向所述客户端发送匹配模块203匹配到/未匹配到所述待拷贝文件的标识信息的通知；权限确定模块205，用于根据预定管控策略确定第二接收模块202接收的标识信息对应的已注册移动存储介质对所述待拷贝文件的操作权限，并向所述客户端发送操作权限信息；其中，所述管控策略记录有移动存储介质操作涉密文件的权限。

本实施例的装置，可以用于执行图4所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

优选地，第二接收模块202，还用于接收所述客户端发来的本次操作信息并将其存储至存储模块201中；所述本次操作信息包括所述已注册移动存储介质的标识信息、本次已/欲拷贝的文件的标识信息和操作记录。

图12为本发明一种用于远程监控中心的移动存储介质文件管控装置实施例三的结构示意图，如图12所示，本实施例的装置在图11所示装置结构的基础上，进一步地，还包括：第三接收模块206、第二获取模块207和查询模块208；其中，第三接收模块206，用于接收文件泄露查询指令；第二获取模块207，用于获取所述文件泄露查询指令所指泄露文件的标识信息；查询模块208，用于在存储模块201已存储的扫描信息和操作信息中获取所述泄露文件的标识信息对应的已注册移动存储介质的标识信息。

本实施例的装置，可以用于执行图5所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图13为本发明一种用于远程监控中心的移动存储介质文件管控装置实施例四的结构示意图，如图13所示，本实施例的装置在图10所示装置结构的基础上，进一步地，还包括：判断模块209、第二发送模块210、注册模块211和第二通知模块212；其中，判断模块209，用于接收并判断所述客户端发来的移动存储介质的标识信息对应的移动存储介质是否已注册；第二发送模块210，用于将判断模块209得到的所述移动存储介质的注册结果信息发送给所述客户端；其中，所述注册结果信息包括已注册或未注册两种结果；注册模块211，用于接收所述客户端发来的注册信息，同意或禁止所述注册信息对应的未注册移动存储介质进行注册；所述注册信息包括移动存储介质的标识信息；第二通知模块212，用于在注册模块211禁止所述注册信息对应的未注册移动存储介质进行注册时，向所述客户端发送注册失败消息；或者用于在注册模块211同意所述注册信息对应的未注册移动存储介质进行注册时，保存所述注册信息并向所述客户端发送注册成功消息。

本实施例的装置，可以用于执行图6所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

本发明实施例还提供一种电子设备。图14为本发明电子设备一个实施例的结构示意图，可以实现本发明提供的用于客户端的移动存储介质文件管控方法实施例的流程，如图14所示，上述电子设备可以包括：壳体31、处理器32、存储器33、电路板34和电源电路35，其中，电路板34安置在壳体31围成的空间内部，处理器32和存储器33设置在电路板34上；电源电路35，用于为上述电子设备的各个电路或器件供电；存储器33用于存储可执行程序代码；处理器32通过读取存储器33中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的用于客户端的移动存储介质文件管控方法。

本发明还提供一种移动存储介质文件管控系统，该系统包括客户端和远程监控中心，所述客户端可以包括上述任一种用户客户端的移动存储介质文件管控装置，所述远程监控中心可以包括上述任一种用于远程监控中心的文件管控装置，此处不再赘述。

本发明实施例还提供另一种电子设备。图15为本发明另一种电子设备一个实施例的结构示意图，可以实现本发明提供的用于远程监控中心的移动存储介质文件管控方法实施例的流程，如图15所示，上述电子设备可以包括：壳体41、处理器42、存储器43、电路板44和电源电路45，其中，电路板44安置在壳体41围成的空间内部，处理器42和存储器43设置在电路板44上；电源电路45，用于为上述电子设备的各个电路或器件供电；存储器43用于存储可执行程序代码；处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的用于远程监控中心的移动存储介质文件管控方法。

上述电子设备以多种形式存在，包括但不限于：

(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。

(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放模块(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子设备。

优选地，本发明的上述任一实施例所述的移动存储介质为u盘。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。