CN103440465A - 一种移动存储介质安全控制方法 - Google Patents
一种移动存储介质安全控制方法 Download PDFInfo
- Publication number
- CN103440465A CN103440465A CN2013103821797A CN201310382179A CN103440465A CN 103440465 A CN103440465 A CN 103440465A CN 2013103821797 A CN2013103821797 A CN 2013103821797A CN 201310382179 A CN201310382179 A CN 201310382179A CN 103440465 A CN103440465 A CN 103440465A
- Authority
- CN
- China
- Prior art keywords
- mobile memory
- medium
- memory medium
- data
- write
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种移动存储介质安全控制方法。该方法以磁盘过滤驱动技术为核心,并结合了介质标签技术和和现有的数据加密技术共同实现。该方法通过移动存储介质植入介质标签信息,和对控制终端加入控制策略,通过介质标签信息和控制策略的对比匹配,有效安全控制,避免了使用过程中,在不受控的情况下被转移数据和传播病毒木马的安全隐患。
Description
技术领域
本发明涉及一种移动存储介质安全控制方法,特别是涉及一种适用于移动存储介质从创建、使用到销毁的全生命周期进行安全控制的方法。
背景技术
随着信息技术、尤其存储技术的发展,移动存储介质的容量及易用性都得到大幅度的改进,在给工作带来巨大便利的同时,也给企业的信息安全带来极大的安全隐患,尤其是便携性越来越好的海量移动存储介质,能轻松带走企业的海量数据,给企业信息安全、甚至国家安全带来巨大安全隐患。因此,如果在现有环境下管理好、使用好移动存储介质,是每一个企业都必须面对的问题。移动存储介质给企业来的安全隐患主要体现在以下几个方面:
(1)方面快捷的存储手段,使得企业的数据更容易在不受控的条件下被转移,从而造成企业敏感数据知悉范围的扩大。
(2)移动存储介质作为病毒载体传播病毒与木马,尤其是有部分别有用心的利用移动存储介质作为渡船,摆渡企业数据,给企业带来巨大损失。
(3)存储有数据的移动存储介质,由于其便携性,使得它容易被带到一些不受控的环境,甚至会造成介质遗失,导致数据被他人获取。
要保障企业数据的安全,对于移动存储介质,就必须解决好介质管理及数据访问的管理。
磁盘过滤驱动技术作为存储介质的保护方式,其应用越来越广泛。所谓过滤就是在本来已有的设备栈中加入一个自己的设备。由于Windows向任何一个设备发送IRP请求都会首先发送给这个设备所在设备栈的最上层设备,然后再依次传递下去,这就使得加入的设备在目标设备之前获取IRP请求成为可能,这时候就可以加入自己的处理流程。插入设备栈的用户设备叫做过滤设备,建立这个设备并使其具有特殊功能的驱动叫做过滤驱动。
过滤驱动分为设备过滤和类过滤两种,设备过滤是指建立一个过滤设备并将其绑定在一个有名字的设备上,此类过滤驱动对Windows中很多即插即用设备难以绑定;类过滤是指能够在某一类特定的设备建立时由Pnp Manager调用指定的过滤驱动代码,并允许用户在此时对这一类设备进行绑定。根据过滤驱动在整个设备栈的不同位置又可分为上层过滤和下层过滤。
如图1所示,系统中接入一个磁盘设备时都会加载磁盘驱动器驱动才能被操作系统所识别为一个磁盘设备,才能被操作系统使用,因此磁盘过滤驱动绑定在系统磁盘驱动器设备驱动之上,当系统加载磁盘驱动器设备驱动时也会被我们的磁盘过滤驱动所绑定。这样一来,在信息安全领域的应用中磁盘过滤驱动常常被用作磁盘保护、磁盘还原、磁盘加密的核心技术了。
在磁盘过滤驱动中,对所有磁盘(包括物理硬盘、移动存储介质中的移动硬盘、U盘...等)的加载、访问、数据读写,可以采用的处理方法几乎是无限制的:可以接受、可以拒绝、也可以修改。因此我们利用磁盘过滤驱动技术的这种特性可以拦截移动存储介质加载和数据读写,来实现对移动存储介质的管控。
发明内容
本发明要解决的技术问题是提供一种移动存储介质从创建、使用到销毁的全生命周期进行安全控制的方法。该方法以磁盘过滤驱动技术为核心,并结合了介质标签技术和和现有的数据加密技术共同实现。该方法通过移动存储介质植入介质标签信息,和对控制终端加入控制策略,通过介质标签信息和控制策略的对比匹配,有效安全控制,避免了使用过程中,在不受控的情况下被转移数据和传播病毒木马的安全隐患。
本发明采用的技术方案如下:一种移动存储介质安全控制方法,其具体方法步骤为:一、移动存储介质连入受控终端;二、受控终端通过磁盘过滤驱动拦截所有系统对移动存储介质的操作;三、磁盘过滤读取并解析移动存储介质中的介质标签信息;四、判断是否有介质标签信息并且与受控策略相符,是则执行下一步,否则拒绝移动存储介质接入并给出警告提示;五、允许移动存储介质接入受控终端;六、若移动存储介质执行的为数据读取操作处理,则将读取的介质扇区进行数据解密;若移动存储介质执行的为数据写入操作处理,则判断是否允许写入,是则执行下一步,否则拒绝写入操作;七、将数据加密后写入移动存储介质。
作为优选,所述磁盘过滤驱动采用的是上层过滤驱动。
作为优选,将介质标签信息写入移动存储介质的具体方法为:对移动存储介质的MBR区进行解析和修改,为介质划定一段隐藏扇区,将介质标签信息通过加密处理后写入其中,并将介质的DBR区和数据区进行加密处理。
作为优选,所述步骤还包括:当受控策略中禁止移动存储介质使用时,受控终端将禁止一切移动存储介质的接入,并将违规接入的移动存储介质记录在审计日志上,并上报服务端。
作为优选,所述步骤还包括:介质管理系统客户端对可信移动存储介质上的文件操作记录详细的审计日志。
与现有技术相比,本发明的有益效果是:移动存储介质管理方法采用移动存储介质标签技术和数据加密技术相结合,对企业内部使用的移动存储介质进行标签管理,在此过程中对标签移动存储介质从创建、到使用、再到销毁的全生命周期进行监管和控制,做到对移动存储介质的使用可知、可控。
附图说明
图1为磁盘驱动层级图。
图2为本发明实现移动存储介质控制方法的流程图。
图3为本发明其中一实施例的移动存储介质标签制作示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本说明书中公开的所有特征,除了互相排除的特征以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
如图2所示,一种移动存储介质安全控制方法,其具体方法步骤为:一、移动存储介质连入受控终端;二、受控终端通过磁盘过滤驱动拦截所有系统对移动存储介质的操作;三、磁盘过滤读取并解析移动存储介质中的介质标签信息;四、判断是否有介质标签信息并且与受控策略相符,是则执行下一步,否则拒绝移动存储介质接入并给出警告提示;五、允许移动存储介质接入受控终端;六、若移动存储介质执行的为数据读取操作处理,则将读取的介质扇区进行数据解密;若移动存储介质执行的为数据写入操作处理,则判断是否允许写入,是则执行下一步,否则拒绝写入操作;七、将数据加密后写入移动存储介质。
所述磁盘过滤驱动采用的是上层过滤驱动,位于磁盘驱动器设备驱动之上,这时过滤设备在设备栈上位于实际功能设备的上面,会首先获得Windows系统发下来的IRP请求,便于过滤设备的实现者进行处理。
所述介质标签信息包括移动存储介质的编号、所属单位、部门、责任人、使用范围、密级、加密算法和加密密钥等信息。
将介质标签信息写入移动存储介质的具体方法为:对移动存储介质的MBR区进行解析和修改,为介质划定一段隐藏扇区,将介质标签信息通过加密处理后写入其中,并将介质的DBR区和数据区进行加密处理。
首先管理员在服务端制作可信移动存储介质,通过可信移动存储介质制作页面,填入介质标签信息内容写入介质中,并对介质进行格式化和数据加密处理。
如图3所示,一个普通的移动存储介质由三个部分组成,主引导扇区(MBR)、分区引导扇区(DBR)和数据区(DATA),其中MBR和DBR之间会有一部分空白扇区,MBR和空白扇区都属于隐藏扇区,是系统不可见的,创建介质标签时,将空白扇区中植入自定义的介质标签信息。
通过对移动存储介质的MBR区进行解析和修改,为介质划定一段隐藏扇区,即从MBR扇区的后一扇区一直到第63扇区总共63个扇区划为隐藏扇区,将标签信息通过加密处理后写入其中,只有磁盘过滤驱动程序能解析和识别,所谓隐藏扇区就是为操作系统无法识别或无法读取的扇区,标签信息写入其中不会被操作系统所识别,普通格式化工具也无法移除该介质标签,由于隐藏扇区经过加密的处理,扇区中的内容无法被盗取和篡改,保证了标签信息的安全可靠,这样一旦介质被植入标签信息后,就如同为一个人做了一张身份证一样会跟其一生,进行全生命周期的控制。
所述步骤还包括:当受控策略中禁止移动存储介质使用时,受控终端将禁止一切移动存储介质的接入,并对违规接入的移动存储介质记录在审计日志上,并上报服务端。
在受控终端上安装介质管理系统,并注册到服务端。介质管理系统中包括客户端应用程序和磁盘过滤驱动控制程序两大部分,客户端应用程序接受来自服务器的控制策略和信息设置,管理员可以通过服务端对受控终端的单位、部门、责任人和终端密级信息进行设置,并下发相应的控制策略,当策略中禁止存储介质使用时,受控终端将禁止一切介质的接入并对违规接入的介质记录审计日志上报服务端;当策略中允许可信介质接入时,受控终端将允许可信介质(植入标签的加密介质)接入和使用,禁止非可信介质的接入。
所述步骤还包括:介质管理系统客户端对可信移动存储介质上的文件操作记录详细的审计日志。
可信介质接入受控终端使用时,磁盘过滤驱动会拦截介质的接入,并读取可信介质的标签信息,根据策略判断该介质是否能被接入或是否可读写。介质管理系统客户端还可以对可信介质上的文件操作记录详细的审计日志,供事后可追溯。
通过对介质全生命周期的监管和控制,为内网受控终端介质使用安全带来了极大的好处:
1、外部介质进不来。通过对介质的管控,在内部受控终端上避免了外来移动存储介质的非法接入并很方便的盗取内部数据的行为;同时也避免的外来移动存储介质携带病毒木马程序入侵内部终端,为内部终端的介质安全使用保驾护航。
2、内部数据出不去。通过对可信标签介质中数据的加密处理,在可信介质中存储的数据内容在外部机器或其他不可控的环境中无法读取,以保证即使可信介质的遗失或被盗,非法人员在外部环境中也无法获取可信介质中的内容,保证内部数据的安全。
3、介质使用可审查。通过介质标签技术标示了可信介质,每一个可信介质的标号是唯一的,而且每一个可信介质标签中也有相关的单位、部门和责任人信息,也就是可信介质的使用责任到人,每个介质的责任人可以设置介质的使用口令,只有介质的责任人才能真正使用该介质,当可信介质在受控终端上使用时都会记录详细的审计日志,以保证出现泄密事件后可事后追查,责任人不可抵赖。
4、介质使用可监管。可信介质的标签中含有使用范围和使用密级,即可信介质只能在策略允许范围内的受控终端上使用,有效避免可信介质内部交叉使用,扩大介质中敏感数据的知悉范围。
Claims (5)
1.一种移动存储介质安全控制方法,其具体方法步骤为:一、移动存储介质连入受控终端;二、受控终端通过磁盘过滤驱动拦截所有系统对移动存储介质的操作;三、磁盘过滤读取并解析移动存储介质中的介质标签信息;四、判断是否有介质标签信息并且与受控策略相符,是则执行下一步,否则拒绝移动存储介质接入并给出警告提示;五、允许移动存储介质接入受控终端;六、若移动存储介质执行的为数据读取操作处理,则将读取的介质扇区进行数据解密;若移动存储介质执行的为数据写入操作处理,则判断是否允许写入,是则执行下一步,否则拒绝写入操作;七、将数据加密后写入移动存储介质。
2.根据权利要求1所述的方法,所述磁盘过滤驱动采用的是上层过滤驱动。
3.根据权利要求1所述的方法,将介质标签信息写入移动存储介质的具体方法为:对移动存储介质的MBR区进行解析和修改,为介质划定一段隐藏扇区,将介质标签信息通过加密处理后写入其中,并将介质的DBR区和数据区进行加密处理。
4.根据权利要求1所述的方法,所述步骤还包括:当受控策略中禁止移动存储介质使用时,受控终端将禁止一切移动存储介质的接入,并将违规接入的移动存储介质记录在审计日志上,并上报服务端。
5.根据权利要求1到4之一所述的方法,所述步骤还包括:介质管理系统客户端对可信移动存储介质上的文件操作记录详细的审计日志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310382179.7A CN103440465B (zh) | 2013-08-29 | 2013-08-29 | 一种移动存储介质安全控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310382179.7A CN103440465B (zh) | 2013-08-29 | 2013-08-29 | 一种移动存储介质安全控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103440465A true CN103440465A (zh) | 2013-12-11 |
| CN103440465B CN103440465B (zh) | 2018-04-06 |
Family
ID=49694158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310382179.7A Active CN103440465B (zh) | 2013-08-29 | 2013-08-29 | 一种移动存储介质安全控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103440465B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108959903A (zh) * | 2018-06-11 | 2018-12-07 | 山东超越数控电子股份有限公司 | 一种移动存储设备安全管控方法及系统 |
| CN109934010A (zh) * | 2019-03-15 | 2019-06-25 | 温州职业技术学院 | 一种计算机信息安全储存系统 |
| CN111212041A (zh) * | 2019-12-24 | 2020-05-29 | 贵州航天计量测试技术研究所 | 一种移动存储介质违规外联报警系统及方法 |
| CN111367707A (zh) * | 2020-05-27 | 2020-07-03 | 成都易我科技开发有限责任公司 | 坏磁盘的访问管理方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1877549A (zh) * | 2006-07-05 | 2006-12-13 | 北京飞天诚信科技有限公司 | 利用过滤驱动程序结合智能密钥装置自动保护u盘的方法 |
| CN101452512A (zh) * | 2007-12-03 | 2009-06-10 | 联想(北京)有限公司 | 实现文件安全存储的方法、装置和文件读取装置 |
| CN102760104A (zh) * | 2012-06-25 | 2012-10-31 | 成都卫士通信息产业股份有限公司 | 一种usb设备控制方法 |
| CN102937907A (zh) * | 2012-11-05 | 2013-02-20 | 无敌科技(西安)有限公司 | 利用sd卡片进行授权软体安装更新使用的方法 |
| US20130132739A1 (en) * | 2011-11-19 | 2013-05-23 | International Business Machines Corporation | Storage device |
-
2013
- 2013-08-29 CN CN201310382179.7A patent/CN103440465B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1877549A (zh) * | 2006-07-05 | 2006-12-13 | 北京飞天诚信科技有限公司 | 利用过滤驱动程序结合智能密钥装置自动保护u盘的方法 |
| CN101452512A (zh) * | 2007-12-03 | 2009-06-10 | 联想(北京)有限公司 | 实现文件安全存储的方法、装置和文件读取装置 |
| US20130132739A1 (en) * | 2011-11-19 | 2013-05-23 | International Business Machines Corporation | Storage device |
| CN102760104A (zh) * | 2012-06-25 | 2012-10-31 | 成都卫士通信息产业股份有限公司 | 一种usb设备控制方法 |
| CN102937907A (zh) * | 2012-11-05 | 2013-02-20 | 无敌科技(西安)有限公司 | 利用sd卡片进行授权软体安装更新使用的方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108959903A (zh) * | 2018-06-11 | 2018-12-07 | 山东超越数控电子股份有限公司 | 一种移动存储设备安全管控方法及系统 |
| CN109934010A (zh) * | 2019-03-15 | 2019-06-25 | 温州职业技术学院 | 一种计算机信息安全储存系统 |
| CN111212041A (zh) * | 2019-12-24 | 2020-05-29 | 贵州航天计量测试技术研究所 | 一种移动存储介质违规外联报警系统及方法 |
| CN111212041B (zh) * | 2019-12-24 | 2022-05-20 | 贵州航天计量测试技术研究所 | 一种移动存储介质违规外联报警系统及方法 |
| CN111367707A (zh) * | 2020-05-27 | 2020-07-03 | 成都易我科技开发有限责任公司 | 坏磁盘的访问管理方法及系统 |
| CN111367707B (zh) * | 2020-05-27 | 2020-09-11 | 成都易我科技开发有限责任公司 | 坏磁盘的访问管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103440465B (zh) | 2018-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8281388B1 (en) | Hardware secured portable storage | |
| CN100449561C (zh) | 基于证书和透明加密的usb存储设备数据防泄密系统和方法 | |
| CN101795261B (zh) | 基于移动数据安全的信息保护系统及方法 | |
| CN102495982B (zh) | 一种基于进程线程的防拷贝系统和防拷贝存储介质 | |
| CN103065102A (zh) | 基于虚拟磁盘的数据加密移动存储管理方法 | |
| CN101923678A (zh) | 一种企业管理软件的数据安全保护方法 | |
| CN107729777B (zh) | 一种安全加密固态存储方法 | |
| CN109684866B (zh) | 一种支持多用户数据保护的安全优盘系统 | |
| CN102110201B (zh) | 光盘刻录监控与审计系统 | |
| CN101635018A (zh) | 一种u盘数据安全摆渡方法 | |
| TWI675311B (zh) | 資料庫中密文資料換密失敗的處理方法和裝置 | |
| CN201311635Y (zh) | 加密型防病毒移动存储装置 | |
| CN103440465A (zh) | 一种移动存储介质安全控制方法 | |
| CN101763225A (zh) | 一种保护虚拟磁盘文件的系统及方法 | |
| CN100419719C (zh) | 利用过滤驱动程序结合智能密钥装置自动保护u盘的方法 | |
| CN109214204B (zh) | 数据处理方法和存储设备 | |
| WO2022116747A1 (zh) | 一种加密锁的实现方法及加密锁 | |
| CN111539042B (zh) | 一种基于核心数据文件可信存储的安全操作方法 | |
| CN103473512A (zh) | 一种移动存储介质管理方法和装置 | |
| CN102012874B (zh) | 带有资源管理器的usb存储设备 | |
| CN107808676A (zh) | 光盘刻录的审计系统及方法 | |
| JP2008243172A (ja) | アクセス権限制御システム | |
| CN108154043B (zh) | 软件加密固态硬盘的安全防护方法 | |
| CN102073598A (zh) | 一种实现磁盘数据安全保护的方法及装置 | |
| CN102034040A (zh) | 一种加密卡内日志实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |