CN102737193A - 一种数据安全防控中的设备屏蔽方法及装置 - Google Patents
一种数据安全防控中的设备屏蔽方法及装置 Download PDFInfo
- Publication number
- CN102737193A CN102737193A CN2011102858013A CN201110285801A CN102737193A CN 102737193 A CN102737193 A CN 102737193A CN 2011102858013 A CN2011102858013 A CN 2011102858013A CN 201110285801 A CN201110285801 A CN 201110285801A CN 102737193 A CN102737193 A CN 102737193A
- Authority
- CN
- China
- Prior art keywords
- access
- secure
- authority
- interface
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种数据安全防控中的设备屏蔽方法及装置,通过接收可接入设备接口的接入请求;判断所述可接入设备接口是否开放;当所述可接入设备接口开放时,将所述接入请求记载在系统服务描述符表SSDT中;判断所述接入请求对应的接入设备是否具有安全访问权限;若具有安全访问权限则将所述SSDT中的接入请求转发给应用程序编程接口API,对操作系统上层应用操作标记为可执行;若不具有安全访问权限,则将所述SSDT中的接入请求屏蔽并停止读取接入的数据设备,真正达到了数据设备安全防控的目的。
Description
技术领域
本发明涉及移动存储、数据安全等领域,特别涉及一种数据安全防控中的设备屏蔽方法及装置。
背景技术
移动存储设备越来越广泛的应用在各种领域,移动存储设备的类型也非常的丰富,在给工作和生活带来极大便利的同时,也带来了极大的安全隐患。
终端需要接入移动存储设备时,只需要具备移动存储设备的驱动及相关配置,有些移动设备甚至不需要驱动或该类驱动已经被集成在终端操作系统中,就可以对移动存储设备进行读/写操作。这就大大增加了移动存储设备被病毒或木马感染的机会。
现有技术中,各大计算机安全服务商和移动存储设备供应商采取了一些手段来对移动存储设备及其数据文件进行安全防控,对于移动存储设备的防控一般都采用在底层的BIOS(Basic Input Output System,基本输入输出系统)直接将设备屏蔽,使不需要的设备不能接入到本地终端。对于移动存储设备的数据文件一般采用在数据安全防控中只是利用现有的杀毒软件对数据文件进行扫描杀毒,并查找出病毒文件,以防止病毒袭击系统。
发明人在实施本发明的过程中,发现现有技术存在以下技术问题:
(1)对接入的移动存储设备只有采用扫描杀毒的形式进行安全防控;
(2)对于不可信任的设备还需要点击处理。
发明内容
本发明提供一种数据安全防控中的设备屏蔽方法及装置,对安全防控中的不可信任的设备采用屏蔽以及告警的方式,停止对其任何操作,达到真正的安全防控目的。
为达到上述目的,本发明提供一种数据安全防控中的设备屏蔽方法,包括:
接收可接入设备接口的接入请求;
判断所述可接入设备接口是否开放;
当所述可接入设备接口开放时,将所述接入请求记载在系统服务描述符表SSDT中;
判断所述接入请求对应的接入设备是否具有安全访问权限;
若具有安全访问权限则将所述SSDT中的接入请求转发给应用程序编程接口API,对操作系统上层应用操作标记为可执行;若不具有安全访问权限,则将所述SSDT中的接入请求屏蔽并停止读取接入的数据设备。
本发明还提供一种数据安全防控中的设备屏蔽装置,包括:
接收单元,用于接收可接入设备接口的接入请求;
接口开放判断单元,用于判断所述可接入设备接口是否开放;
访问权限判断单元,用于判断所述接入请求对应的接入设备是否具有安全访问权限;
记录单元,用于当所述可接入设备接口开放时,将所述接入请求记载在系统服务描述符表SSDT中;
屏蔽单元,用于将不具有安全访问权限得接入请求屏蔽;
与现有技术相比,本发明的实施例具有以下优点:
通过应用发明,通过对接入系统的移动存储设备,进行安全访问权限的判断,对于没有安全访问权限的设备,SSDT不通知API并直接屏蔽,停止读取接入的数据设备,真正达到安全防控的目的。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种数据安全防控中的设备屏蔽方法;
图2为本发明实施例二中一种数据安全防控中的设备屏蔽方法;
图3为本发明实施例中一种数据安全防控中的设备屏蔽装置的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,需要指出的是,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
移动存储设备接入windows系统的安全防控中一般涉及驱动层,SSDT(System Service Dispatch Table,系统服务描述符表)和API(ApplicationProgramming Interface,应用程序编程接口)三个层次,设备接入系统中通过驱动层识别后可直接将信息转发给API,API将设备信息显示,用户则可进行相关操作。
本发明实施例一中提供了一种数据安全防控中的设备屏蔽方法,当有设备接入相应的设备接口时,通过预先在SSDT列表中进一步判断设备接入的访问权限再通知API进行显示,并且将不具有安全访问权限的设备直接屏蔽,具体实现方法如图1所示,包括:
步骤S101:接收可接入设备接口的接入请求。一台终端一般都有能够接入数据移动存储设备的接口,当有设备接入可以接入设备接口的时候,SSDT就会接收到设备接入的请求。
步骤S102:判断所述可接入设备接口是否开放。终端中并不是所有的可接入设备接口都能识别接入的移动存储设备的,基本输入输出系统BIOS系统是可以屏蔽掉一些可接入设备接口的,当屏蔽掉所述可接入设备接口时这个接口就不能识别接入的设备,即不能对这个设备进行任何的操作;只有当BIOS系统将接口开放,移动存储设备才能真正被系统识别。
步骤S103:当所述可接入设备接口开放时,将所述接入请求记载在系统服务描述符表SSDT中。
步骤S104:判断所述接入请求对应的接入设备是否具有安全访问权限。进一步对接入请求的接入设备进行安全访问权限的认证相当于进行二次认证,使得只有安全访问权限的设备才能接入到本系统中。
步骤S105:根据所述判断安全访问权限的结果对接入设备进行处理。若具有安全访问权限则将所述SSDT中的接入请求转发给应用程序编程接口API,对操作系统上层应用操作标记为可执行;若不具有安全访问权限,则将所述SSDT中的接入请求屏蔽并停止读取接入的移动存储设备。
本发明实施例中,通过对接入系统的移动存储设备,在SSDT中进行进一步的安全访问权限的判断,对有访问权限的设备通知API,没有访问权限的设备直接屏蔽并不通知API的方法,保障了系统的安全,同时达到了移动存储设备数据安全防控的目的。
本发明实施例二将结合实际应用对实施例一中的数据安全防控中的设备屏蔽方法做更为详细的说明。当任何能够进行接口热插拔并具有存储数据的移动存储设备,比如U盘,蓝光卡,P2卡等接入到终端时,如果BIOS系统不能识别接入的设备并将其对应的接入设备接口设为未开发的设备接口时,直接将所述接入请求屏蔽,本实施例中以可接入设备接口为开放时并且接入设备可以接入系统的情况进行设备屏蔽的方法为例进行说明,当然并不引以为限,如图2所示:
步骤S201:接收可接入设备接口的设备接入请求并将所述接入请求记载在SSDT中。
步骤S202:判断所述接入请求对应的接入设备是否具有安全访问权限。
判断接入设备是否有安全访问权限的方法本发明中不进行限定,任何能够识别接入设备访问权限的方法都适用于本发明。本实施列中一方面可以采用根据接入设备本身自带的安全访问标识来判断是否具有访问权限。根据接入设备是否携带安全访问标识就能直接判断出所述接入设备是否具有安全访问权限,当接入设备携带安全访问标识时具有安全访问权限,不携带则无访问权限;
另一方面,还可以根据SSDT的设备访问列表进行判断所述接入设备是否具有安全访问权限,当所述设备访问列表中有所述接入设备类型时具有安全访问权限,否则不具有安全访问权限。本实例中涉及的设备访问列表可以是用户预先定义好并存储在SSDT中的允许访问的设备类型,也可以是同一类型的具有不同编码ID标识的设备信息。
步骤S203:根据所述判断安全访问权限的结果对接入设备进行安全授权或者屏蔽报警提示处理。若具有安全访问权限则将所述SSDT中的接入请求转发给应用程序编程接口API,并给以安全授权提示,在操作系统上层将应用操作标记为可执行;若不具有安全访问权限,则将所述SSDT中的接入请求屏蔽并停止读取接入的移动存储设备,对于屏蔽的接入设备可以给予直接报警提示。
本发明实施例中,通过对接入系统的移动存储设备,在SSDT中进行进一步的安全访问权限的判断,对有访问权限的设备通知API,没有访问权限的设备直接屏蔽并不通知API的方法,保障了系统的安全,同时达到了移动存储设备数据安全防控的目的。
本发明实施例三中提供了一种数据安全防控中的设备屏蔽装置,其构成如图3所示,包括:
接收单元30,用于接收可接入设备接口的接入请求;
接口开放判断单元31,用于判断所述可接入设备接口是否开放;
访问权限判断单元32,用于判断所述接入请求对应的接入设备是否具有安全访问权限;
记录单元33,用于当所述可接入设备接口开放时,将所述接入请求记载在系统服务描述符表SSDT中;
屏蔽单元34,用于将不具有安全访问权限得接入请求屏蔽。
上述数据安全防控中的设备屏蔽装置还可以包括:
转发单元35,用于将具有安全访问权限的SSDT中的接入请求转发给应用程序编程接口API;
标记单元36,用于将转发给API的接入请求标记为操作系统上层应用操作可执行;
提示单元37,用于对具有安全访问权限的接入请求给以安全授权提示,不具有安全访问权限的接入请求给以直接报警提示。
根据实际情况,上述访问权限判断单元32,还包括:
标识判断子单321,用于根据接入设备是否携带安全访问标识进行判断所述接入设备是否具有安全访问权限,当接入设备携带安全访问标识时具有安全访问权限,不携带则无访问权限;
访问列表判断子单元322,用于根据SSDT的设备访问列表进行判断所述接入设备是否具有安全访问权限,当所述设备访问列表中有所述接入设备类型时具有安全访问权限,否则不具有安全访问权限。
通过应用发明,通过对接入系统的移动存储设备,进行安全访问权限的判断,对于没有安全访问权限的设备,SSDT不通知API并直接屏蔽,停止读取接入的数据设备,真正达到安全防控的目的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过软件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的一个最佳具体实施例,但本发明的特征并不局限于此,任何熟悉该项技术的人在本发明领域内,可轻易想到的变化或修饰,都应涵盖在以下本发明的申请专利范围中。
Claims (8)
1.一种数据安全防控中的设备屏蔽方法,其特征在于,该方法包括:
接收可接入设备接口的接入请求;
判断所述可接入设备接口是否开放;
当所述可接入设备接口开放时,将所述接入请求记载在系统服务描述符表SSDT中;
判断所述接入请求对应的接入设备是否具有安全访问权限;
若具有安全访问权限则将所述SSDT中的接入请求转发给应用程序编程接口API,对操作系统上层应用操作标记为可执行;若不具有安全访问权限,则将所述SSDT中的接入请求屏蔽并停止读取接入的数据设备。
2.如权利要求1所述的数据安全防控中的设备屏蔽方法,其特征在于,所述判断所述可接入设备接口是否开放的方法具体为:
基本输入输出系统BIOS屏蔽所述可接入设备接口,则所述可接入设备接口为未开放的设备接口;
基本输入输出系统BIOS允许所述设备接口接入设备并能识别所述接入设备,则所述可接入设备接口是开放的。
3.如权利要求2所述的数据安全防控中的设备屏蔽方法,其特征在于,当所述BIOS系统不能识别接入的设备并将其对应的接入设备接口设为未开发的设备接口时,直接将所述接入请求屏蔽。
4.如权利要求1所述的数据安全防控中的设备屏蔽方法,其特征在于,所述判断接入设备是否具有安全访问权限的方法包括:
根据接入设备是否携带安全访问标识进行判断所述接入设备是否具有安全访问权限,当接入设备携带安全访问标识时具有安全访问权限,不携带则无访问权限;
根据SSDT的设备访问列表进行判断所述接入设备是否具有安全访问权限,当所述设备访问列表中有所述接入设备类型时具有安全访问权限,否则不具有安全访问权限。
5.如权利要求1所述的数据安全防控中的设备屏蔽方法,其特征在于,所述判断所述接入请求对应的接入设备是否具有安全访问权限后还包括:
具有安全访问权限的接入请求,给以安全授权提示;
不具有安全访问权限的接入请求,给以直接报警提示。
6.一种数据安全防控中的设备屏蔽装置,其特征在于,包括:
接收单元,用于接收可接入设备接口的接入请求;
接口开放判断单元,用于判断所述可接入设备接口是否开放;
访问权限判断单元,用于判断所述接入请求对应的接入设备是否具有安全访问权限;
记录单元,用于当所述可接入设备接口开放时,将所述接入请求记载在系统服务描述符表SSDT中;
屏蔽单元,用于将不具有安全访问权限得接入请求屏蔽。
7.如权利要求6所述的数据安全防控中的设备屏蔽装置,其特征在于,所述设备屏蔽装置还包括:
转发单元,用于将具有安全访问权限的SSDT中的接入请求转发给应用程序编程接口API;
标记单元,用于将转发给API的接入请求标记为操作系统上层应用操作可执行;
提示单元,用于对具有安全访问权限的接入请求给以安全授权提示,不具有安全访问权限的接入请求给以直接报警提示。
8.如权利要求6所述的数据安全防控中的设备屏蔽装置,其特征在于,所述访问权限判断单元还包括:
标识判断子单元,用于根据接入设备是否携带安全访问标识进行判断所述接入设备是否具有安全访问权限,当接入设备携带安全访问标识时具有安全访问权限,不携带则无访问权限;
访问列表判断子单元,用于根据SSDT的设备访问列表进行判断所述接入设备是否具有安全访问权限,当所述设备访问列表中有所述接入设备类型时具有安全访问权限,否则不具有安全访问权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102858013A CN102737193A (zh) | 2011-09-23 | 2011-09-23 | 一种数据安全防控中的设备屏蔽方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102858013A CN102737193A (zh) | 2011-09-23 | 2011-09-23 | 一种数据安全防控中的设备屏蔽方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102737193A true CN102737193A (zh) | 2012-10-17 |
Family
ID=46992680
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102858013A Pending CN102737193A (zh) | 2011-09-23 | 2011-09-23 | 一种数据安全防控中的设备屏蔽方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102737193A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103874064A (zh) * | 2012-12-17 | 2014-06-18 | 联想(北京)有限公司 | 一种位置信息防护方法及电子设备 |
| CN105262723A (zh) * | 2015-09-08 | 2016-01-20 | 北京元心科技有限公司 | 一种对终端设备安全进行双认证的方法及系统 |
| CN106203080A (zh) * | 2016-07-14 | 2016-12-07 | 北京元心科技有限公司 | 系统调用方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1731310A (zh) * | 2005-08-04 | 2006-02-08 | 西安交通大学 | Windows环境下的主机入侵检测方法 |
| CN101183418A (zh) * | 2007-12-25 | 2008-05-21 | 北京大学 | 一种Windows隐蔽性恶意软件检测方法 |
| CN101533452A (zh) * | 2009-04-17 | 2009-09-16 | 上海北大方正科技电脑系统有限公司 | 一种对usb接口进行密码保护的方法 |
| US20090327688A1 (en) * | 2008-06-28 | 2009-12-31 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and system for detecting a malicious code |
-
2011
- 2011-09-23 CN CN2011102858013A patent/CN102737193A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1731310A (zh) * | 2005-08-04 | 2006-02-08 | 西安交通大学 | Windows环境下的主机入侵检测方法 |
| CN101183418A (zh) * | 2007-12-25 | 2008-05-21 | 北京大学 | 一种Windows隐蔽性恶意软件检测方法 |
| US20090327688A1 (en) * | 2008-06-28 | 2009-12-31 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and system for detecting a malicious code |
| CN101533452A (zh) * | 2009-04-17 | 2009-09-16 | 上海北大方正科技电脑系统有限公司 | 一种对usb接口进行密码保护的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 陈宇: "北京电视台高清新闻网P2卡安全防护管理系统设计与实践", 《现代电视技术》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103874064A (zh) * | 2012-12-17 | 2014-06-18 | 联想(北京)有限公司 | 一种位置信息防护方法及电子设备 |
| CN105262723A (zh) * | 2015-09-08 | 2016-01-20 | 北京元心科技有限公司 | 一种对终端设备安全进行双认证的方法及系统 |
| CN105262723B (zh) * | 2015-09-08 | 2018-03-23 | 北京元心科技有限公司 | 一种对终端设备安全进行双认证的方法及系统 |
| CN106203080A (zh) * | 2016-07-14 | 2016-12-07 | 北京元心科技有限公司 | 系统调用方法和装置 |
| CN106203080B (zh) * | 2016-07-14 | 2019-02-15 | 北京元心科技有限公司 | 系统调用方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110310205B (zh) | 一种区块链数据监控方法、装置、设备和介质 | |
| CN106789964B (zh) | 云资源池数据安全检测方法及系统 | |
| CN104717223B (zh) | 数据访问方法及装置 | |
| CN110933103B (zh) | 反爬虫方法、装置、设备和介质 | |
| CN104917749A (zh) | 帐号注册方法及装置 | |
| CN104009977A (zh) | 一种信息保护的方法和系统 | |
| CN105683990A (zh) | 用于保护动态库的方法和装置 | |
| CN106503492A (zh) | 一种授权管理方法、服务器、客户设备和系统 | |
| CN107766728A (zh) | 移动应用安全管理装置、方法及移动作业安全防护系统 | |
| CN105453102A (zh) | 用于识别已泄漏的私有密钥的系统和方法 | |
| CN107872433A (zh) | 一种身份验证方法及其设备 | |
| CN104200153A (zh) | 一种启动验证方法和系统 | |
| CN110417718B (zh) | 处理网站中的风险数据的方法、装置、设备及存储介质 | |
| CN102346831A (zh) | Android操作系统的手持设备隐私加密保护方法 | |
| CN103020495B (zh) | 一种嵌入式软件防盗版加密方法 | |
| CN109344598A (zh) | 设备间的绑定及权限控制方法、装置、设备及存储介质 | |
| CN106657032A (zh) | 基于安全介质保密短信实现身份鉴别及数据认证的系统及方法 | |
| CN106296177A (zh) | 基于银行移动应用的数据处理方法和设备 | |
| CN105656945A (zh) | 一种工控主机安全存储验证方法及系统 | |
| CN106548097A (zh) | 网络设备软件的运行方法及装置 | |
| CN102737193A (zh) | 一种数据安全防控中的设备屏蔽方法及装置 | |
| CN107644165A (zh) | 安全防护平台以及安全防护方法和装置 | |
| CN1308882C (zh) | 开放式功能动态集成的智能卡系统 | |
| CN104462898B (zh) | 基于Android系统的目标文件保护方法及装置 | |
| CN103914665A (zh) | 一种保护移动存储设备数据安全的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121017 |