CN107679421A - 一种移动存储设备监控防护方法及系统 - Google Patents
一种移动存储设备监控防护方法及系统 Download PDFInfo
- Publication number
- CN107679421A CN107679421A CN201710994259.6A CN201710994259A CN107679421A CN 107679421 A CN107679421 A CN 107679421A CN 201710994259 A CN201710994259 A CN 201710994259A CN 107679421 A CN107679421 A CN 107679421A
- Authority
- CN
- China
- Prior art keywords
- storage device
- movable storage
- rule
- access
- movable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Databases & Information Systems (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种移动存储设备监控防护方法及系统,属于计算机数据安全领域,本发明引入强制访问控制功能,限制移动存储设备的使用权限;在每次使用移动存储设备的时候,识别该设备是否曾经授权使用;根据移动存储设备在该系统里的唯一识别标识,对比强制访问控制模块驱动中存储的规则,执行允许的操作,限制不允许的操作。起到防止恶意的传入病毒或者恶意程序,防止内部数据被随意考出的事件发生。
Description
技术领域
本发明涉及计算机数据安全技术,尤其涉及一种移动存储设备监控防护方法及系统。
背景技术
移动存储设备在现在的工作生活中使用越来越频繁,它的便携性,易用性也被广大的使用者所接受。在移动存储设备带来便利性的同时也给数据安全带来更大的风险。例如:数据中心终端用户在使用移动存储设备传输数据时,就会有意或者无意的带入病毒或恶意程序;或者终端用户可以将数据中心的保密信息恶意的保存到移动存储设备中并带走。
发明内容
为了解决以上技术问题,本发明提出了一种移动存储设备监控防护方法。可以有效的通过限制终端接入设备,限制接入设备的工作权限和行为,起到防止恶意的传入病毒或者恶意程序,防止内部数据被随意考出的事件发生。
本发明引入强制访问控制功能,限制移动存储设备的使用权限;在每次使用移动存储设备的时候,识别该设备是否曾经授权使用。根据移动存储设备在该系统里的唯一识别标识,对比强制访问控制模块驱动中存储的规则,执行允许的操作,限制不允许的操作。
本发明通过调用系统的API接口设置移动存储设备对应的注册表项:HKEY_LOCAL_MACHIN/SYSTEM/Currentcntrolset/services/USBSTOR相关键值,设定start键值来限定是否允许终端系统接入移动存储设备;通过设置Enum下的相关属性值来进一步更加详细的限定是否使用指定的某个移动终端设备;并可以设置更详细的权限值来限定指定移动存储设备的使用行为,比如:允许读取或者允许读取写入等。对于允许在终端使用的设备根据接入之后磁盘标识,采用路径匹配的原则,对磁盘路径自动生成相应的强制访问规则,进一步根据细粒度的移动存储设备权限限制,限制其行为。比如:允许读取的移动存储设备就通过强制访问控制策略严格限制写入操作,保证终端内的数据不被拷贝进移动存储设备,并被带离保密环境。当移动存储设备在被使用的时候,也会根据用户的操作行为生成相应的行为日志,记录针对该设备用户读取了哪些文件、写入的哪些文件,便于后续的安全审计发现高危行为。
本发明还提出了一种移动存储设备监控防护系统,
包括移动存储设备监控模块,用于监控是否有移动存储设备接入终端设备;注册表监控模块,通过查询注册表中对应的注册表项的内容,确定插入的移动存储设备对应的操作权限;防护规则自动生成模块,针对首次新接入的移动存储设备,根据管理员设置的移动存储使用权限自动生成对应的强制访问规则,并将规则推送到强制访问控制模块;强制访问控制模块,用于保存对应的强制访问规则,以及侦测监听移动存储设备对应的操作行为,并与存储的规则相匹配,判定行为是否允许;日志记录反馈模块,记录之前模块所有侦测到的行为,并反馈给管理员做审计处理。
当有移动存储设备接入终端系统时候,系统首先判断是否当前终端是否允许使用移动存储设备,如果不允许直接记录禁止使用的日志并反馈给用户以及管理员;如果允许使用,那么进一步根据之前的配置对比注册表项,判断该设备是否为新接入的,如果新设备提示管理员以及用户配置添加限制权限,否则拒绝移动硬盘进一步使用;添加权限时候,根据管理员设定的只读、读写等权限自动生成强制访问规则(规则采用路径匹配以及移动存储设备唯一标识相结合的方式,确保规则可以只对已设定权限的设备有效),并讲策略保存到强制访问模块驱动中。在正常应用移动存储设备时候,根据强制访问控制模块里面存储的规则匹配当前的操作行为,如果允许操作行为记录成功日志,如果不允许操作行为那么记录操作失败日志,确保任何操作行为都被记录下来。记录内容包括:某移动存储设备的某个文件被读取或者写入了某个文件等操作行为。
本发明的有益效果是:
可以有效的通过限制终端接入设备,限制接入设备的工作权限和行为,起到防止恶意的传入病毒或者恶意程序,防止内部数据被随意考出的事件发生。
附图说明
图1是移动存储设备防护功能结构图示意图;
图2是移动存储设备防护功能主体功能图。
具体实施方式
下面对本发明的内容进行更加详细的阐述:
结构图如图1所示。包括移动存储设备监控模块,用于监控是否有移动存储设备接入终端设备;注册表监控模块,通过查询注册表中对应的注册表项的内容,确定插入的移动存储设备对应的操作权限;防护规则自动生成模块,针对首次新接入的移动存储设备,根据管理员设置的移动存储使用权限自动生成对应的强制访问规则,并将规则推送到强制访问控制模块;强制访问控制模块,用于保存对应的强制访问规则,以及侦测监听移动存储设备对应的操作行为,并与存储的规则相匹配,判定行为是否允许;日志记录反馈模块,记录之前模块所有侦测到的行为,并反馈给管理员做审计处理。
本发明的具体工作流程,如图2所示。当有移动存储设备接入终端系统时候,系统首先判断是否当前终端是否允许使用移动存储设备,如果不允许直接记录禁止使用的日志并反馈给用户以及管理员;如果允许使用,那么进一步根据之前的配置对比注册表项,判断该设备是否为新接入的,如果新设备提示管理员以及用户配置添加限制权限,否则拒绝移动硬盘进一步使用;添加权限时候,根据管理员设定的只读、读写等权限自动生成强制访问规则(规则采用路径匹配以及移动存储设备唯一标识相结合的方式,确保规则可以只对已设定权限的设备有效),并讲策略保存到强制访问模块驱动中。在正常应用移动存储设备时候,根据强制访问控制模块里面存储的规则匹配当前的操作行为,如果允许操作行为记录成功日志,如果不允许操作行为那么记录操作失败日志,确保任何操作行为都被记录下来。记录内容包括:某移动存储设备的某个文件被读取或者写入了某个文件等操作行为。
本发明提出的一种移动存储设备监控防护方法,对比以往的移动存储介质防护功能,引入强制访问控制功能,限制移动存储设备的使用权限。在每次使用移动存储设备的时候,识别该设备是否曾经授权使用。根据移动存储设备在该系统里的唯一识别标识,对比强制访问控制模块驱动中存储的规则,执行允许的操作,限制不允许的操作。
Claims (4)
1.一种移动存储设备监控防护方法,其特征在于,
引入强制访问控制功能,限制移动存储设备的使用权限;在每次使用移动存储设备的时候,识别该设备是否曾经授权使用;根据移动存储设备在该系统里的唯一识别标识,对比强制访问控制模块驱动中存储的规则,执行允许的操作,限制不允许的操作。
2.根据权利要求1所述的方法,其特征在于,
通过调用系统的API接口设置移动存储设备对应的注册表项:HKEY_LOCAL_MACHIN/SYSTEM/Currentcntrolset/services/USBSTOR相关键值,设定start键值来限定是否允许终端系统接入移动存储设备;通过设置Enum下的相关属性值来进一步限定是否使用指定的移动终端设备;并设置权限值来限定指定移动存储设备的使用行为;对于允许在终端使用的设备根据接入之后磁盘标识,采用路径匹配的原则,对磁盘路径自动生成相应的强制访问规则,进一步根据细粒度的移动存储设备权限限制,限制其行为;当移动存储设备在被使用的时候,根据用户的操作行为生成相应的行为日志,记录针对该设备用户读取的文件、写入的文件,便于后续的安全审计发现高危行为。
3.一种移动存储设备监控防护系统,其特征在于,
包括
移动存储设备监控模块,用于监控是否有移动存储设备接入终端设备;
注册表监控模块,通过查询注册表中对应的注册表项的内容,确定插入的移动存储设备对应的操作权限;
防护规则自动生成模块,针对首次新接入的移动存储设备,根据管理员设置的移动存储使用权限自动生成对应的强制访问规则,并将规则推送到强制访问控制模块;
强制访问控制模块,用于保存对应的强制访问规则,以及侦测监听移动存储设备对应的操作行为,并与存储的规则相匹配,判定行为是否允许;
日志记录反馈模块,记录之前模块所有侦测到的行为,并反馈给管理员做审计处理。
4.根据权利要求3所述的系统,其特征在于,
当有移动存储设备接入终端系统时候,系统首先判断是否当前终端是否允许使用移动存储设备,如果不允许直接记录禁止使用的日志并反馈给用户以及管理员;如果允许使用,那么进一步根据之前的配置对比注册表项,判断该设备是否为新接入的,如果新设备提示管理员以及用户配置添加限制权限,否则拒绝移动硬盘进一步使用;添加权限时候,根据管理员设定的只读、读写权限自动生成强制访问规则,并讲策略保存到强制访问模块驱动中;在正常应用移动存储设备时候,根据强制访问控制模块里面存储的规则匹配当前的操作行为,如果允许操作行为记录成功日志,如果不允许操作行为那么记录操作失败日志,确保任何操作行为都被记录下来。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710994259.6A CN107679421A (zh) | 2017-10-23 | 2017-10-23 | 一种移动存储设备监控防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710994259.6A CN107679421A (zh) | 2017-10-23 | 2017-10-23 | 一种移动存储设备监控防护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107679421A true CN107679421A (zh) | 2018-02-09 |
Family
ID=61142113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710994259.6A Pending CN107679421A (zh) | 2017-10-23 | 2017-10-23 | 一种移动存储设备监控防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107679421A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149308A (zh) * | 2019-04-03 | 2019-08-20 | 特斯联(北京)科技有限公司 | 一种基于网络数据库的外接设备管理方法、装置及系统 |
| CN110162946A (zh) * | 2019-05-30 | 2019-08-23 | 北京奇安信科技有限公司 | 移动存储管控方法及装置 |
| CN110598428A (zh) * | 2019-08-22 | 2019-12-20 | 中国电子科技集团公司第二十八研究所 | 一种基于Linux用户空间的USB设备管控系统 |
| CN110750779A (zh) * | 2019-10-18 | 2020-02-04 | 北京浪潮数据技术有限公司 | 一种终端的维护管理方法、装置、设备及存储介质 |
| CN110851880A (zh) * | 2019-10-16 | 2020-02-28 | 昆明灵智科技有限公司 | 一种电脑数据安全控制系统 |
| CN111625876A (zh) * | 2020-05-29 | 2020-09-04 | 北京中超伟业信息安全技术股份有限公司 | 一种移动存储管理控制系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102622311A (zh) * | 2011-12-29 | 2012-08-01 | 北京神州绿盟信息安全科技股份有限公司 | Usb移动存储设备访问控制方法、装置及系统 |
| CN105141614A (zh) * | 2015-09-07 | 2015-12-09 | 北京北信源软件股份有限公司 | 一种移动存储设备的访问权限控制方法及装置 |
| CN105550598A (zh) * | 2015-12-25 | 2016-05-04 | 北京奇虎科技有限公司 | 一种移动存储设备的安全管理方法和装置 |
-
2017
- 2017-10-23 CN CN201710994259.6A patent/CN107679421A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102622311A (zh) * | 2011-12-29 | 2012-08-01 | 北京神州绿盟信息安全科技股份有限公司 | Usb移动存储设备访问控制方法、装置及系统 |
| CN105141614A (zh) * | 2015-09-07 | 2015-12-09 | 北京北信源软件股份有限公司 | 一种移动存储设备的访问权限控制方法及装置 |
| CN105550598A (zh) * | 2015-12-25 | 2016-05-04 | 北京奇虎科技有限公司 | 一种移动存储设备的安全管理方法和装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149308A (zh) * | 2019-04-03 | 2019-08-20 | 特斯联(北京)科技有限公司 | 一种基于网络数据库的外接设备管理方法、装置及系统 |
| CN110162946A (zh) * | 2019-05-30 | 2019-08-23 | 北京奇安信科技有限公司 | 移动存储管控方法及装置 |
| CN110598428A (zh) * | 2019-08-22 | 2019-12-20 | 中国电子科技集团公司第二十八研究所 | 一种基于Linux用户空间的USB设备管控系统 |
| CN110598428B (zh) * | 2019-08-22 | 2021-08-06 | 中国电子科技集团公司第二十八研究所 | 一种基于Linux用户空间的USB设备管控系统 |
| CN110851880A (zh) * | 2019-10-16 | 2020-02-28 | 昆明灵智科技有限公司 | 一种电脑数据安全控制系统 |
| CN110750779A (zh) * | 2019-10-18 | 2020-02-04 | 北京浪潮数据技术有限公司 | 一种终端的维护管理方法、装置、设备及存储介质 |
| CN110750779B (zh) * | 2019-10-18 | 2021-09-17 | 北京浪潮数据技术有限公司 | 一种终端的维护管理方法、装置、设备及存储介质 |
| CN111625876A (zh) * | 2020-05-29 | 2020-09-04 | 北京中超伟业信息安全技术股份有限公司 | 一种移动存储管理控制系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107679421A (zh) | 一种移动存储设备监控防护方法及系统 | |
| CN102624699B (zh) | 一种保护数据的方法和系统 | |
| US8281388B1 (en) | Hardware secured portable storage | |
| EP2843979B1 (en) | Method and apparatus for preventing sound recording during the call | |
| CN109344598A (zh) | 设备间的绑定及权限控制方法、装置、设备及存储介质 | |
| CN102063583A (zh) | 移动储存介质的数据交换方法及其装置 | |
| CN101739361A (zh) | 访问控制方法、访问控制装置及终端设备 | |
| CN109766215B (zh) | 一种数据处理方法及装置 | |
| CN109190401A (zh) | 一种Qemu虚拟可信根的数据存储方法、装置及相关组件 | |
| CN107563192A (zh) | 一种勒索软件的防护方法、装置、电子设备及存储介质 | |
| JP5334739B2 (ja) | ログ監視プログラム、ログ監視システム | |
| CN109214204A (zh) | 数据处理方法和存储设备 | |
| CN103970540A (zh) | 关键函数安全调用方法及装置 | |
| CN101694683A (zh) | 一种防止木马通过移动存储器摆渡窃取文件的方法 | |
| CN103473512B (zh) | 一种移动存储介质管理方法和装置 | |
| CN101324913B (zh) | 计算机文件保护方法和装置 | |
| CN103440465B (zh) | 一种移动存储介质安全控制方法 | |
| CN110543775A (zh) | 一种基于超融合理念的数据安全防护方法及系统 | |
| CN111539042B (zh) | 一种基于核心数据文件可信存储的安全操作方法 | |
| CN105868625A (zh) | 一种拦截文件被重启删除的方法及装置 | |
| CN111259382A (zh) | 恶意行为识别方法、装置、系统和存储介质 | |
| CN101408919A (zh) | 计算机间谍行为的监测方法及系统 | |
| CN109871327B (zh) | 可信执行环境安全存储安全性测试方法及装置 | |
| KR102034678B1 (ko) | 데이터파일 접근 제어 기반의 악성 차단 시스템 및 악성 차단 방법 | |
| CN104866761B (zh) | 一种高安全性安卓智能终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180209 |