CN104537310A - 移动存储设备的管理方法及客户端 - Google Patents
移动存储设备的管理方法及客户端 Download PDFInfo
- Publication number
- CN104537310A CN104537310A CN201410827449.5A CN201410827449A CN104537310A CN 104537310 A CN104537310 A CN 104537310A CN 201410827449 A CN201410827449 A CN 201410827449A CN 104537310 A CN104537310 A CN 104537310A
- Authority
- CN
- China
- Prior art keywords
- storage device
- exception
- movable storage
- pid
- exception process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 409
- 230000008569 process Effects 0.000 claims abstract description 366
- 238000007726 management method Methods 0.000 claims description 48
- 230000006870 function Effects 0.000 description 33
- 230000000875 corresponding effect Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 7
- 238000012550 audit Methods 0.000 description 6
- 230000000717 retained effect Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000011900 installation process Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种移动存储设备的管理方法及客户端,涉及互联网安全技术领域,能够解决安全U盘在接入安全终端时无法正常使用其自带的安全管理工具的问题。本发明主要的技术方案为:检测是否有移动存储设备接入;若有移动存储设备接入,则对移动存储设备中的对象进程进行识别,获得对象进程的进程标识;在预设的例外进程列表中查找对象进程的进程标识;若查找到对象进程的进程标识,则将对象进程确定为例外进程;放行例外进程的操作,并对非例外进程进行拦截。本发明主要用于对移动存储设备的控制管理。
Description
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种移动存储设备的管理方法及客户端。
背景技术
随着信息时代的到来,计算机已经全面进入了人们的生活和工作中,由于计算机的普及,移动存储介质已经成为人们日常工作中不可缺少的信息传输工具,但是随之而来引发的安全问题却也成为了人们更为关注的事项。为了解决移动存储设备的使用安全问题,目前所采用的方法一个是使用安全U盘,另一个是使用安全终端。动存储管理应用来实现对移动存储设备的安全管理。
安全U盘,是一种采用授权管理、访问控制数据加解密系统的移动存储设备,能够实现U盘数据的全盘数据加密保护和安全区数据开启的口令控制。其自带的网络监控系统还可以随时监测U盘所在网络的状态,实现了外网阻断。可以有效防止U盘交叉使用,阻止U盘木马和病毒危害。从根本上杜绝了U盘泄密的途径,净化了U盘的使用环境。而安全终端是安装有移动存储管理应用的终端,该移动存储管理应用是可以对接入该终端上的所有移动存储设备进行集中的安全管理,通过标准的使用规范,达到遏制外来病毒入侵,防止内部重要信息泄露的目的。
然而,当用户使用安全U盘接入到安全终端上时,就会出现安全终端对该安全U盘直接进行管理控制,导致其内部自带的管理系统或管理工具无法正常使用的问题。
发明内容
鉴于上述问题,本发明提出了一种移动存储设备的管理方法及客户端,能够解决安全U盘在接入安全终端时无法正常使用其自带的安全管理工具的问题。
依据本发明一个方面,提出了一种移动存储设备的管理方法,该方法包括:
检测是否有移动存储设备接入;
若有移动存储设备接入,则对所述移动存储设备中的对象进程进行识别,获得对象进程的进程标识;
在预设的例外进程列表中查找所述对象进程的进程标识;
若查找到所述对象进程的进程标识,则将所述对象进程确定为例外进程;
放行所述例外进程的操作,并对非例外进程进行拦截。
依据本发明的另一个方面,还提出了一种客户端,该客户端包括:
检测单元,用于检测是否有移动存储设备接入;
识别单元,用于当检测单元检测到有移动存储设备接入时,对所述移动存储设备中的对象进程进行识别,获得对象进程的进程标识;
查找单元,用于在预设的例外进程列表中查找由识别单元获得的所述对象进程的进程标识;
确定单元,用于当查找单元查找到所述对象进程的进程标识时,将所述对象进程确定为例外进程;
执行单元,用于放行确定单元确定的所述例外进程的操作,并对非例外进程进行拦截。
借由上述技术方案,本发明提供的移动存储设备的管理方法及客户端,通过对移动存储设备中的对象进程进行识别,并在客户端内的例外进程列表中查找比对,当该进程的进程标识存在时,就认为该进程为例外进程,可以允许该进程继续运行,而不被安全终端所拦截。与现有技术相比,采用本方案的终端设备不仅可以通过客户端对普通U盘进行安全管理,还可以对安全U盘进行管理,尤其是对于安全U盘的管理还能够保留安全U盘中的安全管理功能,并且是由用户自主进行有选择的保留安全U盘中的安全管理功能,避免了安全U盘接入安全终端后,其自带安全管理工具无法正常使用的问题。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提出的一种移动存储设备的管理方法流程图;
图2示出了本发明实施例提出的另一种移动存储设备的管理方法流程图;
图3示出了本发明实施例提出的一种例外进程列表的设置页面示意图;
图4示出了本发明实施例提出的一种客户端结构示意图;
图5示出了本发明实施例提出的另一种客户端结构示意图;
图6示出了本发明实施例提出的另一种客户端结构示意图;
图7示出了本发明实施例提出的另一种客户端结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种移动存储设备的管理方法,如图1所示,该方法用于带有操作系统的终端上,包括台式电脑、笔记本电脑、平板电脑等,具体包括:
101、检测是否有移动存储设备接入。
当前移动存储设备接入终端的方式主要是通过终端的USB(通用串行总线)接口进程连接通信的。由于USB接口所接入的设备不只是移动存储设备,还包括有其他的应用设备,如鼠标、键盘、无线网卡等等。因此,对移动存储设备的接入,终端需要通过两步进行判断,第一步是要判断USB接口是否有设备接入,这步可以由终端向USB接口提供的+5V电源来进行判断,当有USB设备接入USB接口时,终端的+5V电源加载到USB设备上,使USB接口的电路导通构成回路,从而是终端内USB接口电源控制芯片的电平产生变化,这时终端就会接受到有USB设备接入的信息;第二步是对接入USB设备的识别,主要是在USB设备接入时会向终端发送数据,包括设备自身的名称以及型号等相关参数,终端再根据这些参数信息调用对应的驱动程序来实现对该设备的识别,例如,接入的是鼠标,终端就会将其识别USB人体学输入设备,完成对鼠标的识别,而如果接入的是U盘,终端就会将其识别为存储设备,并识别其存储空间的大小以及其中的内容。
102、若有移动存储设备接入,则对所述移动存储设备中的对象进程进行识别,获得对象进程的进程标识。
根据101的检测,如果有移动存储设备接入,终端会识别该移动存储设备是否存在有对象进程。其中,进程是操作系统结构的基础,是一次程序的执行,而对象进程是指在移动存储设备上程序的执行。对于一般的移动存储设备,是不会有自动启动程序的,因此对于一般的移动存储设备也就不会检测到对象进程,而对于具有安全管理功能的移动存储设备而言,由于其需要对设备内的数据进行保护,因此,在接入终端时,这类移动存储设备就会自动启动一些数据保护程序,而这些程序所对应生成的进程就是对象进程。
终端在识别到有对象进程时,还会同时获取该对象进程的进程标识。其中,进程标识包括了进程文件的名称、版本以及MD5值等信息,通过这些信息内容,终端就可以将一个进程准确描述并与其他进程做以区分,其中,进程文件的名称显示了该进程所对应的应用程序的名称;进程文件的版本显示了所对应应用程序的版本号;而进程文件的MD5值,也是可以用于识别区分进程的,MD5是对一段信息(Message)产生信息摘要(Message-Digest),以防止被篡改,MD5可以将整个文件当作一个大文本信息,通过其不可逆的字符串变换算法,产生了这个唯一的MD5信息摘要,因此,一个进程的MD5值是固定唯一的。
103、在预设的例外进程列表中查找所述对象进程的进程标识。
其中,例外进程列表是一个类似于进程黑名单的进程名单列表,与被列入进程黑名单中的进程要被禁止执行不同,被列入该表的进程可以通过相关的检测而不被拦截,因此称其为例外进程列表。该列表中记录有进程的标识信息,包括有进程的名称、版本信息以及进程的MD5值等。
终端在102中获取对象进程的进程标识后,会以该进程标识为基准,与例外进程列表中进程标识进行逐一比对,判断获取到的对象进程是否为例外进程列表中所列出的进程。
需要说明的是,例外进程列表是可以根据需要进行自定义设置的,可以根据用户或者管理员的需要预先进行设置,包括对列表中进程标识的增加、修改、删除等操作,以此来满足对移动存储设备中不同对象进程的管理控制需要。
104、若查找到所述对象进程的进程标识,则将所述对象进程确定为例外进程。
在例外进程列表中如果存在对象进程的进程标识,就将该对象进程确定为例外进程,即该对象进程可以在终端上执行而不被拦截。
105、放行所述例外进程的操作,并对非例外进程进行拦截。
终端在识别到移动存储设备内有对象进程执行时,就会以104的判断为依据,对确定为例外进程的对象进程执行放行的操作,允许该对象进程继续执行,而对于不是例外进程的对象进程将会进行拦截,阻止其继续执行。
本发明实施例所提供的移动存储设备的管理方法及客户端,通过对移动存储设备中的对象进程进行识别,并在客户端内的例外进程列表中查找比对,当该进程的进程标识存在时,就认为该进程为例外进程,可以允许该进程继续运行,而不被安全终端所拦截。与现有技术相比,采用本方案的终端设备不仅可以通过客户端对普通U盘进行安全管理,还可以对安全U盘进行管理,尤其是对于安全U盘的管理还能够保留安全U盘中的安全管理功能,并且是由用户自主进行有选择的保留安全U盘中的安全管理功能,避免了安全U盘接入安全终端后,其自带安全管理工具无法正常使用的问题。
基于上述图1的移动存储设备的管理方法,在具体实现的操作中,本发明实施例还提供一种移动存储设备的管理方法,如图2所示,具体步骤为:
201、根据提供的例外进程列表的设置页面,对例外进程进行登记。
关于例外进程列表的内容可参考上述103中的相关描述,此处不再赘述。
其中,由终端上的移动存储设备安全管理应用提供用于设置例外进程列表的页面,该应用具体的展示方式可以是通过Web页面的方式,也可以是通过客户端页面的方式进行显示。利用Web页面展示的好处在于其通用性高,可以直接在浏览器上显示具体的页面并进行操作,因此,使该应用的安装文件较小,安装过程简单;而使用客户端的方式相对于Web页面则可以相对独立的运行,还可以制作出较为复杂的展示页面,因此,其应用的运行稳定性和效率更高,对于具体的展示方式,本发明实施例不做限定。
对于例外进程的设置页面,能够显示移动存储设备的基本信息,以U盘为例,设置页面上会显示该U盘的类型(普通U盘或是安全U盘)、U盘的名称、存储空间的容量、可用空间的容量等。终端在获取到移动存储设备的基本信息后,通过该设置页面展示给终端的用户,以便用户确定所接入的设备为需要进行管理的移动存储设备。此外,在设置页面中,还提供有通用类功能的禁用选项,如图3所示,通用类功能就是指移动存储设备所共同拥有的功能,而不区分其类型是不是自带安全管理工具的移动存储设备,通用类功能一般包括:访问、修改、复制、删除、移动等功能。终端会根据用户的选择结果对移动存储设备的通用类功能进行禁用,例如,当用户页面上选择中一个U盘的访问功能后,这个U盘在接入该终端时,终端用户就不能查看该U盘中的数据内容而只能写入数据内容。
在例外进程列表的设置页面中,最主要的内容就在于对例外进程进行登记。其中,登记例外进程是指在设置页面提供的例外进程列表中进行进程标识的添加、修改、删除等操作。用户可以添加新的进程标识到该列表中,那么该进程标识所对应的进程就成为了例外进程,用户也可以对现有列表中的进程标识进行删除,删除后该进程标识所对应的进程就成为了普通进程,终端在扫描到该进程时就会对该进程进行拦截处理。在对例外进程进行登记时,终端需要首先获取移动终端设备中所有对象进程的进程标识,并将其显示在设置页面的例外进程列表中,再由用户进行选择确认,最后保留用户选中的进程标识作为例外进程标识,由此完成例外进程的登记流程。
由于进程标识的内容包括有进程的名称,MD5值等信息,因此,用户可以通过不同的进程标识内容来区分该进程标识所对应的进程,通过名称进行选择最为方便,但是由于进程的名称可以修改,因此该方式所选择的例外进程可能不唯一;相对于选择进程名称,MD5值是通过计算得到的进程标识,其与进程的对应关系也相对唯一,因此,采用此方式设置例外进程列表是可以准确对应到对象进程,并对该进程的执行状态加以控制的。
除了上述的两种登记例外进程的方式,终端还可以通过从注册表中查找例外进程的进程路径,将该进程路径下所有进程的进程标识添加到例外进程列表中。该方式可以快速、批量的导入例外进程的进程标识,可以大量减少重复性工作,因此,这种方式适合用于批量创建例外进程列表的情况,先导入所有例外进程的进程标识,再根据个别列表的具体需求进程调整。
202、检测是否有移动存储设备接入。
对移动存储设备的接入检测的具体方式可以参考101中的具体描述,此处不再赘述。
需要说明的是,在本发明实施例中,在例外进程列表的设置中,可以针对于指定的移动存储设备进行特定的例外进程登记。也就是说,终端对接入的不同移动存储终端分别进行例外进程的设置,这样就可以根据移动存储终端的需求等级进行分类控制。
203、若有移动存储设备接入,则对所述移动存储设备中的对象进程进行识别,获得对象进程的进程标识。
移动存储设备在接入终端后,有些具有数据保护功能的移动存储设备(如安全U盘)会自动启动一些安全工具对其内部的数据进行保护,相对应的就会在接入的终端上产生进程文件,此时,终端也会对由移动存储设备上产生的对象进程进行识别、检查,以判断该对象进程是否符合终端的安全要求。为此,终端会先获取该对象进程的进程标识。对于一个进程,一般存在有三种基本状态,即就绪状态、运行状态和阻塞状态。就绪状态(Ready):进程已获得除处理器外的所需资源,等待分配处理器资源(只要分配了处理器进程就可执行);运行状态(Running):进程占用处理器资源开始执行(处于此状态的进程的数目小于等于处理器的数目);阻塞状态(Blocked):由于进程等待某种条件(如I/O操作或进程同步),在条件满足之前无法继续执行。就本方面实施例来说,终端是在对象进程处在就绪状态前,即进程在向处理器申请所需资源时获取该对象进程的进程标识。
204、在预设的例外进程列表中查找所述对象进程的进程标识。
其中,对于预设例外进程列表的描述可参考上述201中关于例外进程列表的页面设置的相关内容,而在例外进程列表中查找对象进程的进程标识可参考上述103中的相关描述,此处不再赘述。
205、若查找到所述对象进程的进程标识,则将所述对象进程确定为例外进程。
对于移动存储设备上所产生的对象进程所对应的功能主要是对移动存储设备内的数据内容进行安全保护,包括有:授权管理、数据透明加解密、清除使用记录、违规外联阻断、安全审计、硬件信息设置及保护设置等功能。其中,授权管理是具有登陆认证和计算机终端使用认证的功能;数据透明加解密是通过采用专用智能控制与存储芯片,以及软硬件相结合的数据加密技术,将数据在写入与读出过程中实时进行加解密处理,并以密文形式存储在U盘上,该功能可有效的阻止非法用户对移动存储设备硬件的物理拆分解读;清除使用记录就是可以对移动存储设备当前的使用记录进行自动清除;违规外联阻断可以自动检测设备当前的网络状态,当设备处于外网环境时,可以自动切断网络并向监控服务器报警,而在退出时可恢复用户网络,该功能可以有效地防止数据的泄漏;安全审计是对移动存储设备的日志审计系统,并且该日志信息对用户不可见,用户进入加密盘的操作记录都被实时地记录下来,审计员可对该设备的日志进行查询,该功能能够有效防止用户失泄密事件的发生;硬件信息设置功能可以定制移动存储设备的硬件识别信息,包括该设备的密级、部门、编号、使用者等都可以自主设置,且用户无权更改;保护设置功能可以自主设置移动存储设备登录密码的错误尝试次数和该设备加密区无操作等待的时间。
对于上述的移动存储设备本身所带有的安全工具所生成对象进程,都可以根据终端的需要将其设置为例外进程,以起到终端与移动存储设备共同对该设备内的数据内容保护的目的。
206、放行所述例外进程的操作,并对非例外进程进行拦截。
其中,对非例外进程进行拦截是通过在驱动层进行对进程的拦截操作,这样做的好处是不会影响终端用户的操作连续性,并且保证了拦截的有效性。
207、记录移动存储设备的操作日志,并向服务器上报操作日志。
终端通过对移动存储设备在本地上的操作进行记录生成操作日志,可以记录下移动存储设备在该终端上所进行的具体操作以及终端对移动存储设备中产生的进程的处理结果。同时,终端还能够将该日志上报给服务器,由服务器统计在本地局域网内该移动存储设备的使用路径以及使用情况,可以记录该移动存储设备在什么时间接入到哪个终端,并进行了什么操作,通过这种跟踪记录可以进一步防止该移动存储设备内的数据内容泄露的风险。
作为对上述移动存储设备的管理方法的实现,本发明实施例还提供了一种客户端,如图4所示,该客户端包括:
检测单元41,用于检测是否有移动存储设备接入。
识别单元42,用于当检测单元41检测到有移动存储设备接入时,对所述移动存储设备中的对象进程进行识别,获得对象进程的进程标识。
查找单元43,用于在预设的例外进程列表中查找由识别单元42获得的所述对象进程的进程标识。
确定单元44,用于当查找单元43查找到所述对象进程的进程标识时,将所述对象进程确定为例外进程。
执行单元45,用于放行确定单元44确定的所述例外进程的操作,并对非例外进程进行拦截。
进一步的,如图5所示,所述客户端还包括:
设置单元46,用于识别单元42在所述对所述移动存储设备中的对象进程进行识别之前,提供所述例外进程列表的设置页面,对例外进程进行登记。
进一步的,如图6所示,所述客户端的设置单元46包括:
获取模块461,用于获取例外进程的进程标识。
添加模块462,用于将获取模块461所获取的例外进程的进程标识记录到所述例外进程列表中。
进一步的,如图6所示,所述客户端的设置单元还包括:
查找模块463,用于从注册表中查找例外进程的进程路径。
所述添加模块462还用于,将查找模块463所查找到进程路径下的所有进程的进程标识记录到所述例外进程列表中。
进一步的,如图6所示,所述客户端的设置单元46还包括:
所述获取模块461还用于获取所述移动存储设备的基本信息。
显示模块464,用于在所述设置页面中显示由获取模块461所获取的所述移动存储设备的基本信息。
进一步的,如图6所示,所述客户端的设置单元46包括:
输入模块465,用于在显示模块464显示的设置页面中提供通用类功能的禁用选项。
禁用模块466,用于根据用户通过输入模块465输入的选择结果对所述移动存储设备的通用类功能进行禁用。
进一步的,所述客户端的设置单元46还用于:
提供用于设置所述例外进程列表的Web页面;
或者,提供用于设置所述例外进程列表的客户端页面。
进一步的,所述客户端的执行单元45还用于对所述非例外进程进行驱动层拦截。
进一步的,如图7所示,所述客户端还包括:
记录单元47,用于根据执行单元45的操作记录所述移动存储设备的操作日志。
发送单元48,用于向服务器上报记录单元47所记录的操作日志,以便所述服务器对所述移动存储设备进行审计。
进一步的,所述客户端的确定单元44确定的例外进程对应的功能包括:
授权管理、数据透明加解密、清除使用记录、违规外联阻断、安全审计、硬件信息设置及保护设置。
综上所述,本发明实施例所提供的移动存储设备的管理方法及客户端,通过对移动存储设备中的对象进程进行识别,并在客户端内的例外进程列表中查找比对,当该进程的进程标识存在时,就认为该进程为例外进程,可以允许该进程继续运行,而不被安全终端所拦截。与现有技术相比,采用本方案的终端设备不仅可以通过客户端对普通U盘进行安全管理,还可以对安全U盘进行管理,尤其是对于安全U盘的管理还能够保留安全U盘中的安全管理功能,并且是由用户自主进行有选择的保留安全U盘中的安全管理功能,避免了安全U盘接入安全终端后,其自带安全管理工具无法正常使用的问题,同时还可以将安全U盘的操作日志进行记录并上报给服务器,由服务器进行综合的统计,可以进一步防止安全U盘内的数据内容泄露的风险。
本发明的实施例公开了:
A1、一种移动存储设备的管理方法,所述方法包括:
检测是否有移动存储设备接入;
若有移动存储设备接入,则对所述移动存储设备中的对象进程进行识别,获得对象进程的进程标识;
在预设的例外进程列表中查找所述对象进程的进程标识;
若查找到所述对象进程的进程标识,则将所述对象进程确定为例外进程;
放行所述例外进程的操作,并对非例外进程进行拦截。
A2、根据权利要求A1所述的方法,在所述对所述移动存储设备中的对象进程进行识别之前,所述方法进一步包括:
提供所述例外进程列表的设置页面,对例外进程进行登记。
A3、根据权利要求A2所述的方法,所述对例外进程进行登记,包括:
获取例外进程的进程标识,将所述例外进程的进程标识记录到所述例外进程列表中。
A4、根据权利要求A2所述的方法,所述对例外进程进行登记,包括:
从注册表中查找例外进程的进程路径;
将所述进程路径下所有进程的进程标识记录到所述例外进程列表中。
A5、根据权利要求A2所述的方法,所述方法进一步包括:
获取并在所述设置页面中显示所述移动存储设备的基本信息。
A6、根据权利要求A2所述的方法,所述方法进一步包括:
在所述设置页面中提供通用类功能的禁用选项;
根据用户的选择结果对所述移动存储设备的通用类功能进行禁用。
A7、根据权利要求A2至A6中任一项所述的方法,所述提供所述例外进程列表的设置页面,包括:
提供用于设置所述例外进程列表的Web页面;
或者,提供用于设置所述例外进程列表的客户端页面。
A8、根据权利要求A1所述的方法,所述对非例外进程进行拦截,包括:
对所述非例外进程进行驱动层拦截。
A9、根据权利要求A1所述的方法,所述方法进一步包括:
记录所述移动存储设备的操作日志;
向服务器上报所述操作日志,以便所述服务器对所述移动存储设备进行审计。
A10、根据权利要求A1、A2、A3、A4、A5、A6、A8及A9中任一项所述的方法,所述例外进程对应的功能包括:
授权管理、数据透明加解密、清除使用记录、违规外联阻断、安全审计、硬件信息设置及保护设置。
B11、一种客户端,包括:
检测单元,用于检测是否有移动存储设备接入;
识别单元,用于当检测单元检测到有移动存储设备接入时,对所述移动存储设备中的对象进程进行识别,获得对象进程的进程标识;
查找单元,用于在预设的例外进程列表中查找由识别单元获得的所述对象进程的进程标识;
确定单元,用于当查找单元查找到所述对象进程的进程标识时,将所述对象进程确定为例外进程;
执行单元,用于放行确定单元确定的所述例外进程的操作,并对非例外进程进行拦截。
B12、根据权利要求B11所述的客户端,所述客户端还包括:
设置单元,用于识别单元在所述对所述移动存储设备中的对象进程进行识别之前,提供所述例外进程列表的设置页面,对例外进程进行登记。
B13、根据权利要求B12所述的客户端,所述设置单元包括:
获取模块,用于获取例外进程的进程标识;
添加模块,用于将获取模块所获取的例外进程的进程标识记录到所述例外进程列表中。
B14、根据权利要求B12所述的客户端,所述设置单元包括:
查找模块,用于从注册表中查找例外进程的进程路径;
所述添加模块还用于,将查找模块所查找到进程路径下的所有进程的进程标识记录到所述例外进程列表中。
B15、根据权利要求B12所述的客户端,所述设置单元包括:
所述获取模块还用于获取所述移动存储设备的基本信息;
显示模块,用于在所述设置页面中显示由获取模块所获取的所述移动存储设备的基本信息。
B16、根据权利要求B12所述的客户端,所述设置单元包括:
输入模块,用于在显示模块所显示的设置页面中提供通用类功能的禁用选项。
禁用模块,用于根据用户通过输入模块输入的选择结果对所述移动存储设备的通用类功能进行禁用。
B17、根据权利要求B12至B16中任一项所述的客户端,所述设置单元还用于:
提供用于设置所述例外进程列表的Web页面;
或者,提供用于设置所述例外进程列表的客户端页面。
B18、根据权利要求B11所述的客户端,所述执行单元还用于对所述非例外进程进行驱动层拦截。
B19、根据权利要求B11所述的客户端,所述客户端还包括:
记录单元,用于根据执行单元的操作记录所述移动存储设备的操作日志;
发送单元,用于向服务器上报记录单元所记录的操作日志,以便所述服务器对所述移动存储设备进行审计。
B20、根据权利要求B11、B12、B13、B14、B15、B16、B18及B19中任一项所述的客户端,所述确定单元确定的例外进程对应的功能包括:
授权管理、数据透明加解密、清除使用记录、违规外联阻断、安全审计、硬件信息设置及保护设置。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种移动存储设备的管理方法,其特征在于,所述方法包括:
检测是否有移动存储设备接入;
若有移动存储设备接入,则对所述移动存储设备中的对象进程进行识别,获得对象进程的进程标识;
在预设的例外进程列表中查找所述对象进程的进程标识;
若查找到所述对象进程的进程标识,则将所述对象进程确定为例外进程;
放行所述例外进程的操作,并对非例外进程进行拦截。
2.根据权利要求1所述的方法,其特征在于,在所述对所述移动存储设备中的对象进程进行识别之前,所述方法进一步包括:
提供所述例外进程列表的设置页面,对例外进程进行登记。
3.根据权利要求2所述的方法,其特征在于,所述对例外进程进行登记,包括:
获取例外进程的进程标识,将所述例外进程的进程标识记录到所述例外进程列表中。
4.根据权利要求2所述的方法,其特征在于,所述对例外进程进行登记,包括:
从注册表中查找例外进程的进程路径;
将所述进程路径下所有进程的进程标识记录到所述例外进程列表中。
5.根据权利要求2所述的方法,其特征在于,所述方法进一步包括:
获取并在所述设置页面中显示所述移动存储设备的基本信息。
6.根据权利要求2所述的方法,其特征在于,所述方法进一步包括:
在所述设置页面中提供通用类功能的禁用选项;
根据用户的选择结果对所述移动存储设备的通用类功能进行禁用。
7.根据权利要求2至6中任一项所述的方法,其特征在于,所述提供所述例外进程列表的设置页面,包括:
提供用于设置所述例外进程列表的Web页面;
或者,提供用于设置所述例外进程列表的客户端页面。
8.根据权利要求1所述的方法,其特征在于,所述对非例外进程进行拦截,包括:
对所述非例外进程进行驱动层拦截。
9.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
记录所述移动存储设备的操作日志;
向服务器上报所述操作日志,以便所述服务器对所述移动存储设备进行审计。
10.一种客户端,其特征在于,包括:
检测单元,用于检测是否有移动存储设备接入;
识别单元,用于当检测单元检测到有移动存储设备接入时,对所述移动存储设备中的对象进程进行识别,获得对象进程的进程标识;
查找单元,用于在预设的例外进程列表中查找由识别单元获得的所述对象进程的进程标识;
确定单元,用于当查找单元查找到所述对象进程的进程标识时,将所述对象进程确定为例外进程;
执行单元,用于放行确定单元确定的所述例外进程的操作,并对非例外进程进行拦截。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410827449.5A CN104537310B (zh) | 2014-12-26 | 2014-12-26 | 移动存储设备的管理方法及客户端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410827449.5A CN104537310B (zh) | 2014-12-26 | 2014-12-26 | 移动存储设备的管理方法及客户端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104537310A true CN104537310A (zh) | 2015-04-22 |
| CN104537310B CN104537310B (zh) | 2016-08-24 |
Family
ID=52852832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410827449.5A Active CN104537310B (zh) | 2014-12-26 | 2014-12-26 | 移动存储设备的管理方法及客户端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104537310B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105069382A (zh) * | 2015-07-27 | 2015-11-18 | 浪潮软件集团有限公司 | 一种适用于普通u盘的安全应用系统 |
| CN105868640A (zh) * | 2016-04-04 | 2016-08-17 | 张曦 | 一种防范硬盘固件攻击的系统和方法 |
| CN106899584A (zh) * | 2017-02-17 | 2017-06-27 | 深圳怡化电脑股份有限公司 | 一种硬件设备接入的管理方法及其装置 |
| CN110162946A (zh) * | 2019-05-30 | 2019-08-23 | 北京奇安信科技有限公司 | 移动存储管控方法及装置 |
| CN110188079A (zh) * | 2019-04-03 | 2019-08-30 | 特斯联(北京)科技有限公司 | 一种基于分布式存储数据库的外接设备管理方法 |
| CN110392887A (zh) * | 2017-03-09 | 2019-10-29 | 西门子股份公司 | 具有防止网络犯罪威胁的安全措施的方法和计算机 |
| CN111007783A (zh) * | 2019-12-28 | 2020-04-14 | 广东电科院能源技术有限责任公司 | 一种安全管控系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101520831A (zh) * | 2009-03-27 | 2009-09-02 | 深圳市永达电子有限公司 | 安全终端系统及终端安全方法 |
| CN102722670A (zh) * | 2012-05-29 | 2012-10-10 | 中国联合网络通信集团有限公司 | 基于移动存储设备的文件保护方法、设备和系统 |
| CN102916943A (zh) * | 2012-09-20 | 2013-02-06 | 无锡华御信息技术有限公司 | 一种基于网络环境的移动存储设备的管理方法及系统 |
| CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
| US8856918B1 (en) * | 2010-01-07 | 2014-10-07 | Symantec Corporation | Host validation mechanism for preserving integrity of portable storage data |
| CN104156647A (zh) * | 2014-08-12 | 2014-11-19 | 国家电网公司 | 瘦终端的控制方法、控制装置及瘦终端 |
-
2014
- 2014-12-26 CN CN201410827449.5A patent/CN104537310B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101520831A (zh) * | 2009-03-27 | 2009-09-02 | 深圳市永达电子有限公司 | 安全终端系统及终端安全方法 |
| US8856918B1 (en) * | 2010-01-07 | 2014-10-07 | Symantec Corporation | Host validation mechanism for preserving integrity of portable storage data |
| CN102722670A (zh) * | 2012-05-29 | 2012-10-10 | 中国联合网络通信集团有限公司 | 基于移动存储设备的文件保护方法、设备和系统 |
| CN102916943A (zh) * | 2012-09-20 | 2013-02-06 | 无锡华御信息技术有限公司 | 一种基于网络环境的移动存储设备的管理方法及系统 |
| CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
| CN104156647A (zh) * | 2014-08-12 | 2014-11-19 | 国家电网公司 | 瘦终端的控制方法、控制装置及瘦终端 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105069382A (zh) * | 2015-07-27 | 2015-11-18 | 浪潮软件集团有限公司 | 一种适用于普通u盘的安全应用系统 |
| CN105868640A (zh) * | 2016-04-04 | 2016-08-17 | 张曦 | 一种防范硬盘固件攻击的系统和方法 |
| CN106899584A (zh) * | 2017-02-17 | 2017-06-27 | 深圳怡化电脑股份有限公司 | 一种硬件设备接入的管理方法及其装置 |
| CN110392887A (zh) * | 2017-03-09 | 2019-10-29 | 西门子股份公司 | 具有防止网络犯罪威胁的安全措施的方法和计算机 |
| CN110392887B (zh) * | 2017-03-09 | 2020-09-11 | 西门子股份公司 | 具有防止网络犯罪威胁的安全措施的方法和计算机 |
| CN110188079A (zh) * | 2019-04-03 | 2019-08-30 | 特斯联(北京)科技有限公司 | 一种基于分布式存储数据库的外接设备管理方法 |
| CN110162946A (zh) * | 2019-05-30 | 2019-08-23 | 北京奇安信科技有限公司 | 移动存储管控方法及装置 |
| CN111007783A (zh) * | 2019-12-28 | 2020-04-14 | 广东电科院能源技术有限责任公司 | 一种安全管控系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104537310B (zh) | 2016-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104537310A (zh) | 移动存储设备的管理方法及客户端 | |
| EP2071504B1 (en) | Sensitive information management | |
| US9195809B1 (en) | Automated vulnerability and error scanner for mobile applications | |
| CN111695156A (zh) | 业务平台的访问方法、装置、设备及存储介质 | |
| US20140173571A1 (en) | System and method for dynamic analysis bytecode injection for application dataflow | |
| US20150121533A1 (en) | Dynamic analysis interpreter modification for application dataflow | |
| US11750652B2 (en) | Generating false data for suspicious users | |
| CN103116722A (zh) | 一种通知栏消息的处理方法、装置和系统 | |
| CN105637800A (zh) | 密钥基础结构 | |
| US20240176875A1 (en) | Selective import/export address table filtering | |
| US11658996B2 (en) | Historic data breach detection | |
| CN105550598A (zh) | 一种移动存储设备的安全管理方法和装置 | |
| US9967263B2 (en) | File security management apparatus and management method for system protection | |
| US20230038774A1 (en) | System, Method, and Apparatus for Smart Whitelisting/Blacklisting | |
| CN105391591A (zh) | 一种终端安全设置管理方法和装置 | |
| CN109871327A (zh) | 可信执行环境安全存储安全性测试方法及装置 | |
| US11611570B2 (en) | Attack signature generation | |
| US11582248B2 (en) | Data breach protection | |
| CN105550597A (zh) | 一种基于信息扫描的终端管理方法和装置 | |
| CN110162974B (zh) | 数据库攻击防御方法及系统 | |
| US10747871B2 (en) | System and method for producing secure data management software | |
| US11750660B2 (en) | Dynamically updating rules for detecting compromised devices | |
| CN109891421A (zh) | 部署对信息资源上的内容元素的基于散列的动态限制的对策 | |
| Cuozzo | Critical infrastructure cyber-attack through firmware exploitation | |
| GB2569553A (en) | Historic data breach detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20161214 Address after: 100088 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Patentee after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Zhang Jiazhu Inventor after: Meng Jun Inventor after: Liu Xuezhong Inventor after: Cai Dongbin Inventor after: Zhi Yajun Inventor after: Han Yugang Inventor before: Zhang Jiazhu Inventor before: Cai Dongbin Inventor before: Zhi Yajun Inventor before: Han Yugang |
|
| CP03 | Change of name, title or address |
Address after: No. 32, Building 3, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Patentee after: QAX Technology Group Inc. Address before: Beijing Chaoyang District Jiuxianqiao Road 10, building 15, floor 17, layer 1701-26, 3 Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201228 Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee after: QAX Technology Group Inc. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: QAX Technology Group Inc. |
|
| TR01 | Transfer of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Patentee after: QAX Technology Group Inc. Address before: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee before: QAX Technology Group Inc. |
|
| CP01 | Change in the name or title of a patent holder |