CN109196509A - 用于防止由受保护系统的节点进行的文件访问的装置和方法 - Google Patents
用于防止由受保护系统的节点进行的文件访问的装置和方法 Download PDFInfo
- Publication number
- CN109196509A CN109196509A CN201780034372.8A CN201780034372A CN109196509A CN 109196509 A CN109196509 A CN 109196509A CN 201780034372 A CN201780034372 A CN 201780034372A CN 109196509 A CN109196509 A CN 109196509A
- Authority
- CN
- China
- Prior art keywords
- storage equipment
- file
- smx
- equipment
- protected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 98
- 238000003860 storage Methods 0.000 claims abstract description 295
- 230000004044 response Effects 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims description 25
- 230000000694 effects Effects 0.000 claims description 15
- 238000001514 detection method Methods 0.000 claims description 8
- 230000002265 prevention Effects 0.000 claims description 2
- 230000000903 blocking effect Effects 0.000 abstract 1
- 238000012550 audit Methods 0.000 description 37
- 238000004458 analytical method Methods 0.000 description 36
- 230000008569 process Effects 0.000 description 29
- 230000006870 function Effects 0.000 description 27
- 238000004891 communication Methods 0.000 description 20
- 230000005540 biological transmission Effects 0.000 description 19
- 230000007246 mechanism Effects 0.000 description 17
- 238000013475 authorization Methods 0.000 description 16
- 238000007726 management method Methods 0.000 description 12
- 238000012986 modification Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 11
- 230000002155 anti-virotic effect Effects 0.000 description 9
- 238000004519 manufacturing process Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 7
- 230000008878 coupling Effects 0.000 description 6
- 238000010168 coupling process Methods 0.000 description 6
- 238000005859 coupling reaction Methods 0.000 description 6
- 238000003780 insertion Methods 0.000 description 6
- 230000037431 insertion Effects 0.000 description 6
- 230000002093 peripheral effect Effects 0.000 description 6
- 238000005259 measurement Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 230000009471 action Effects 0.000 description 4
- 244000035744 Hura crepitans Species 0.000 description 3
- 238000000429 assembly Methods 0.000 description 3
- 230000000712 assembly Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000000151 deposition Methods 0.000 description 3
- 230000036541 health Effects 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000003472 neutralizing effect Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 241000196324 Embryophyta Species 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002045 lasting effect Effects 0.000 description 2
- 238000013439 planning Methods 0.000 description 2
- 238000004886 process control Methods 0.000 description 2
- 230000001737 promoting effect Effects 0.000 description 2
- 241000272525 Anas platyrhynchos Species 0.000 description 1
- 102100040160 Rabankyrin-5 Human genes 0.000 description 1
- 101710086049 Rabankyrin-5 Proteins 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013474 audit trail Methods 0.000 description 1
- 230000003796 beauty Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 206010022000 influenza Diseases 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
一种方法包括检测(1002)受保护节点(102,102a‑102n)处的存储设备(402)并确定(1004)该存储设备是否已被签入以供至少与受保护节点一起使用。该方法还包括响应于确定存储设备已被签入以供至少与受保护节点一起使用而准许(1008)对存储设备的访问。该方法还包括响应于确定存储设备尚未被签入以供至少与受保护节点一起使用而阻止(1010)对存储设备的访问。该方法还可以包括确定(1014)存储设备上的文件是否已被签入以供至少与受保护节点一起使用。响应于确定文件已被签入或尚未被签入以供至少与受保护节点一起使用,准许(1016)或阻止对文件的有意义访问。
Description
对相关申请的交叉引用和优先权声明
本申请根据35 U.S.C.§119(e)要求以下美国临时专利申请的优先权:
• 2016年6月3日提交的并且题为“SYSTEM AND METHOD FOR PROVIDING COMMAND ANDCONTROL PARAMETERS, configuration data, AND OTHER DATA TO NODES OF APROTECTED SYSTEM USING SECURE MEDIA”的美国临时专利申请号62/345,601;
• 2016年6月3日提交的并且题为“SYSTEM AND METHOD FOR BRIDGING CYBER-SECURITY THREAT INTELLIGENCE INTO A PROTECTED SYSTEM USING SECURE MEDIA”的美国临时专利申请号62/345,637;
• 2016年6月3日提交的并且题为“SYSTEM AND METHOD FOR AUDITING FILE ACCESSTO SECURE MEDIA BY NODES OF A PROTECTED SYSTEM”的美国临时专利申请号62/345,683;
• 2016年6月3日提交的并且题为“APPARATUS AND METHOD FOR DEVICE WHITELISTINGAND BLACKLISTING TO OVERRIDE PROTECTIONS FOR ALLOWED MEDIA AT NODES OF APROTECTED SYSTEM”的美国临时专利申请号62/345,729;
• 2016年6月3日提交的并且题为“APPARATUS AND METHOD FOR LOCKING ANDUNLOCKING REMOVABLE MEDIA FOR USE INSIDE AND OUTSIDE PROTECTED SYSTEMS”的美国临时专利申请号62/345,731;
• 2016年6月3日提交的并且题为“SYSTEM AND METHOD SUPPORTING SECURE DATATRANSFER INTO AND OUT OF PROTECTED SYSTEMS USING REMOVABLE MEDIA”的美国临时专利申请号62/345,733;以及
• 2016年6月3日提交的并且题为“APPARATUS AND METHOD FOR PREVENTING FILEACCESS BY NODES OF A PROTECTED SYSTEM”的美国临时专利申请号62/345,735。
所有这些临时专利申请据此被通过引用整体地结合。
技术领域
本公开一般地涉及计算和网络安全。更具体地,本公开涉及用于防止由受保护系统的节点进行的文件访问的装置和方法。
背景技术
许多组织具有支持某种类型的访问控制或其它网络安全控制以限制网络访问的私有计算网络。这在诸如工业控制系统、制造工厂或其它设施、医院或其它医疗保健设施以及分类的网络区域之类的受保护环境中是非常必要的。向安全网络中和从安全网络中向外传送信息的需要导致诸如便携式通用串行总线(USB)驱动器之类的可移除介质的增加的使用。可移除介质常常用于向安全网络中或从安全网络向外移动信息或文件(诸如应用补丁、诊断应用或文档)。不幸的是,可移除介质为到受保护系统中的网络攻击提供了新的载体。在许多实例中,可移除介质代表病毒和其它恶意软件可通过其进入安全网络的主要入站载体中的一个。
发明内容
本公开提供了一种用于防止由受保护系统的节点进行的文件访问的装置和方法。
在第一实施例中,一种装置包括至少一个接口,所述至少一个接口被配置成耦合到存储设备。该装置还包括至少一个处理设备,所述至少一个处理设备被配置成检测存储设备并确定该存储设备是否已被签入以供至少与该装置一起使用。所述至少一个处理设备还被配置成响应于确定存储设备已被签入以供至少与该装置一起使用而准许对存储设备的访问。所述至少一个处理设备还被配置成响应于确定存储设备尚未被签入以供至少与该装置一起使用而阻止对存储设备的访问。
在第二实施例中,一种方法包括检测受保护节点处的存储设备并确定该存储设备是否已被签入以供至少与受保护节点一起使用。该方法还包括响应于确定存储设备已被签入以供至少与受保护节点一起使用而准许对存储设备的访问。该方法还包括响应于确定存储设备尚未被签入以供至少与受保护节点一起使用而阻止对存储设备的访问。
在第三实施例中,一种非暂时性计算机可读介质包含当被至少一个处理设备执行时使得所述至少一个处理设备检测受保护节点处的存储设备并确定该存储设备是否已被签入以供至少与受保护节点一起使用的指令。该介质还包含当被所述至少一个处理设备执行时使得所述至少一个处理设备响应于确定存储设备已被签入以供至少与受保护节点一起使用而准许对存储设备的访问的指令。该介质还包含当被所述至少一个处理设备执行时使得所述至少一个处理设备响应于确定存储设备尚未被签入以供至少与受保护节点一起使用而阻止对存储设备的访问的指令。
根据以下各图、描述和权利要求书,其它技术特征对于本领域技术人员而言可以容易是显而易见的。
附图说明
为了更彻底地理解本公开,现在参考结合附图采取的以下描述,在附图中:
图1图示了根据本公开的支持使用可移除介质的安全数据传送的示例系统;
图2图示了根据本公开的可以在其中使用可移除介质的示例工业过程控制和自动化系统;
图3图示了根据本公开的支持使用可移除介质的安全数据传送的示例设备;
图4至7B图示了根据本公开的处置可移除介质以支持向受保护系统中和从受保护系统中向外的安全数据传送的示例;
图8至11图示了根据本公开的支持使用可移除介质向受保护系统中和从受保护系统中向外的安全数据传送的示例方法;以及
图12和13图示了根据本公开的支持涉及使用可移除介质向受保护系统中和从受保护系统中向外的安全数据传送的应用的示例方法。
具体实施方式
以下讨论的图1至13以及本专利文档中用于描述本发明的原理的各种实施例仅作为说明,并且不应以任何方式解释成限制本发明的范围。本领域技术人员将理解,可以在任何类型的经适当地布置的设备或系统中实现本发明的原理。
如以上所描述的,诸如便携式通用串行总线(USB)驱动器之类的可移除介质代表病毒和其它恶意软件可通过其进入安全网络的主要入站载体中的一个。本公开提供了用来控制如何使用可移除介质向安全网络中和从安全网络向外移动文件的技术。特别地,本公开描述了如何使用“签入”和“签出(check-out)”过程来支持存储设备(诸如USB驱动器或其它可移除介质)的使用。当存储设备被“签入”时,存储设备可以与安全网络的受保护节点一起使用但不可以与未受保护节点一起使用。当存储设备被“签出”时,存储设备可以与未受保护节点一起使用但不可以与安全网络的受保护节点一起使用。默认情况下,存储设备在其经历签入程序之前被认为已签出。
图1图示了根据本公开的支持使用可移除介质的安全数据传送的示例系统100。如图1中所示,系统100包括一个或多个受保护系统节点102a-102n。每一个受保护系统节点102a-102n表示形成受保护系统的一部分的计算或联网设备。每一个受保护系统节点102a-102n可以执行受保护系统内的任何期望的一个或多个功能。例如,受保护系统节点102a-102n可以用于执行与工业过程控制相关的功能,诸如用于控制制造工厂或其他制造设施的功能。受保护系统节点102a-102n还可以用于存储诸如在医院或其它医疗保健设施中或在分类的网络区域中的机密数据。每一个受保护系统节点102a-102n包括支持任何期望的(多个)功能的任何合适的计算或联网设备,诸如运行任何合适的操作系统的个人计算机、膝上型计算机或服务器计算机。
该示例中的每一个受保护系统节点102a-102n包括安全介质交换或“SMX”代理103。每一个SMX代理103控制或管理可移除介质关于相关联的受保护系统节点102a-102n的使用。如以下更详细地描述的,每一个SMX代理103可以通过检查存储设备的内容或存储设备本身来确定存储设备是否已被“签入”。如果存储设备已被签入,则SMX代理103允许相关联的受保护系统节点102a-102n访问和使用存储设备。如果存储设备尚未被签入,则SMX代理103阻止相关联的受保护系统节点102a-102n对存储设备的使用。以下还描述SMX代理103的各种操作。可以以任何合适的方式,诸如通过使用由相关联的受保护系统节点102a-102n执行的一个或多个软件或固件例程,来实现每一个SMX代理103。
系统100还包括一个或多个SMX自助服务终端104。每一个SMX自助服务终端104用于支持针对存储设备的“签入”和“签出”过程。例如,当用户将USB驱动器或其它存储设备插入SMX自助服务终端104的合适接口中时,用户可以启动签入程序。签入程序的示例功能可以包括SMX自助服务终端104扫描存储设备上的任何文件并且确定存储设备上是否存在病毒或其它恶意软件。签入程序的示例功能还可以包括SMX自助服务终端104隔离任何检测到的恶意软件,在存储设备上存储各种数据(诸如数字签名或审计日志),可能加密存储设备上的干净文件,以及锁定存储设备的文件系统。此时,存储设备被认为是签入的并且因此是“受信任的”,因此存储设备可以与受保护系统节点102a-102n中的一个、一些或全部一起使用,但是不与任何不受信任节点一起使用。
当用户将签入的USB驱动器或其它存储设备插入SMX自助服务终端104的合适接口中时,用户还可以启动签出程序。签出程序的示例功能可以包括SMX自助服务终端104扫描存储设备上的任何新文件并且确定存储设备上是否存在病毒或其它恶意软件。签出程序的示例功能还可以包括SMX自助服务终端104隔离任何检测到的恶意软件,从存储设备中移除各种数据(诸如数字签名或审计日志),解密存储设备上的各种加密元素,以及解锁存储设备的文件系统。那时,存储设备被认为是签出的并且因此是“不受信任的”,因此存储设备可以与不受信任节点一起使用但不可以与受保护系统节点102a-102n一起使用。
每一个SMX自助服务终端104包括用于签入和签出可移除介质的任何合适的设备或系统。每一个SMX自助服务终端104可以例如表示具有至少一个用于耦合到可移除介质的接口的台式计算机、膝上型计算机、服务器计算机或平板计算机。该示例中的每一个SMX自助服务终端104包括SMX服务器105。每一个SMX服务器105可以执行以上描述并且在下面更加详细地描述的签入和签出程序。下面还描述SMX服务器105的各种操作。可以以任何合适的方式,诸如通过使用由相关联的SMX自助服务终端104执行的一个或多个软件或固件例程,来实现每一个SMX服务器105。
共同地,SMX代理103和SMX服务器105提供了一种创新方法,用于帮助确保存储在可移除介质上的信息是授权的、安全的并且未被更改的。例如,SMX代理103阻止可能用于连接到存储设备的受保护系统节点102a-102n的USB接口或其它外围设备接口的正常操作,除非存储设备首先由SMX服务器105中的一个授权。一旦授权,就使得存储设备通过SMX代理103对受保护系统节点102a-102n可访问。此外,SMX服务器105可以授权单个文件以便允许安全文件或文件类型被带入受保护的系统中,同时阻止恶意的或不想要的文件或文件类型。这可以再次由SMX代理103强制执行,SMX代理103在受保护系统节点102a-102n处阻止未授权文件或文件类型。
系统100使用“签入”和“签出”机制(mechanism)来授权可移除介质或可移除介质上的特定文件或文件类型。希望在受保护系统中使用存储设备的最终用户首先允许SMX服务器105扫描和授权存储设备,此时存储设备被锁定以防止存储设备的其它使用。一旦被锁定,存储设备仅可用在具有经适当地配置和授权的SMX代理103的受保护系统节点102a-102n上。当用户完成他或她的任务时,可以使用SMX服务器105签出存储设备,从而将存储设备恢复到其正常功能性并且防止存储设备与受保护系统节点102a-102n一起使用。
SMX服务器105的签入和签出机制以及SMX代理103的操作能够维持对去往和来自存储设备的文件传送的审计跟踪。SMX服务器105的签入和签出机制以及SMX代理103的操作还能够在受保护系统节点102a-102n与未受保护的网络之间传递配置参数、事件日志或其它数据而不妨碍网络安全的“区段和管道(zone and conduit)”模型的租户,意味着受保护和未受保护的网络之间不存在直接的网络连接。可能被传递给受保护系统节点102a-102n上的SMX代理103的配置参数的一个示例包括文件、文件类型或介质类型的白名单和黑名单,SMX代理103将会或将不会绕过正常的防御行为准许对它们的访问。
注意,SMX服务器105可以使用多种恶意软件检测方法或与多种恶意软件检测软件包一起工作。还注意,SMX服务器105可以接收管理员输入以控制SMX服务器105如何决定哪些文件、文件类型或介质类型被授权用于在受保护系统内使用。一般而言,任何合适的技术可以用于标识SMX代理103允许访问的文件、文件类型或介质类型。
在该示例中,多个网络106a-106b存在于系统100中。网络106a支持受保护系统节点102a-102n之间的通信,而网络106b支持去往和来自SMX自助服务终端104的通信。在此,不同网络106a-106b的使用允许SMX自助服务终端104驻留在(至少由受保护系统节点102a-102n和网络106a形成的)受保护系统外部。然而,受保护系统节点102a-102n和SMX自助服务终端104可以替代地通过(多个)相同网络进行通信。每一个网络106a-106b包括任何合适的网络或网络的组合。
系统100还可选地包括至少一个安全管理器108和由(多个)安全管理器108使用或以其它方式与(多个)安全管理器108相关联的至少一个数据库110。每一个安全管理器108表示支持对来自诸如SMX代理103或SMX服务器105之类的信息源的网络安全数据的分析的系统。例如,安全管理器108可以分析由SMX代理103或连接到网络106a的其它源生成和支持的威胁情报数据和审计日志。注意,每一个安全管理器108可以连接到网络106a或网络106b,但不可以连接到二者,因为网络106a可能需要保持与网络106b隔离。来自SMX代理103的数据可以直接从SMX代理103获得,或者诸如经由物理地将数据从SMX服务器105或耦合到网络106b的其它组件输送到网络106a中的存储设备间接地获得。间接地将数据输送到安全管理器108的能力可以允许将宽范围的数据安全地提供到受保护的网络中。
安全管理器108分析(可能包括可能以其它方式不可获得的来自未受保护的网络的数据的)收集到的数据以生成标识系统100中的各种网络安全威胁的指示符(indicator)。收集到的威胁情报数据、审计日志或其它信息可以存储在数据库110中。每一个安全管理器108包括用于分析网络安全相关数据的任何合适的结构,所述数据诸如是威胁数据、漏洞数据、网络统计、诊断、维护信息和性能数据。作为特定示例,每一个安全管理器108可以表示霍尼韦尔风险管理器。每一个数据库110包括用于存储和检索数据的任何合适的结构。
系统100还可选地包括至少一个威胁分析服务器112和由(多个)威胁分析服务器112使用或以其它方式与(多个)威胁分析服务器112相关联的至少一个数据库114。每一个威胁分析服务器112表示支持数据分析以标识与系统100相关联的威胁的系统。例如,威胁分析服务器112可以表示支持沙盒化、代码分析、信誉分析和行为分析以便标识恶意软件的新形式的基于云的或其它的计算平台。当SMX服务器105不能确定存储设备上的代码是否包括恶意软件时,SMX服务器105可以将代码提供给威胁分析服务器112以用于评估。如果用户或威胁分析服务器112确定代码是恶意的,则威胁分析服务器112可以用新的威胁信息更新SMX服务器105。威胁分析服务器112还可以从其它源获得标识新的网络安全威胁(诸如新的恶意软件签名)的信息,并且将威胁信息提供给SMX服务器105。威胁分析服务器112还可以获得定义由SMX服务器105中的一些标识的网络安全威胁的信息,并且将该信息提供给其它SMX服务器105。因此,总体系统可以随时间的过去“学习”新威胁并且相应地进行适配。理想地,随时间的过去更新SMX服务器105以累积关于已知和未知(零日)攻击的情报。
数据库114用于存储关于网络安全威胁或系统100的其它方面的各种信息。例如,数据库114可以用于存储关于已知的网络安全攻击、当前被网络安全攻击作为目标的行业和系统、以及设备或系统已经被破解(compromise)的指示符的信息。数据库114还可以用于存储关于威胁模式和高级威胁战役的信息。数据库114还可以用于存储从SMX自助服务终端104收集到的审计日志或其它信息。每一个数据库114包括用于存储和检索数据的任何合适的结构。
注意,虽然威胁分析服务器112和数据库114在此示出为形成系统的一部分,但是这些组件可以驻留在系统100外部并且与系统100结合使用。这可以允许威胁分析服务器112的操作被提供作为对同一组织或多个组织中的许多用户的服务。作为特定示例,威胁分析服务器112可以用于生成详细的威胁报告,作为对系统100的操作员和其它受保护系统的操作员的服务。
以下提供关于SMX代理103和SMX服务器105的操作的附加细节。SMX代理103和SMX服务器105可以用在存在至少一个受保护系统节点102a-102n的任何合适的系统中。如以上所指出的,这些可以包括工业控制系统、制造工厂或其它设施、医院或其它医疗保健设施以及分类的网络区域。
尽管图1图示了支持使用可移除介质的安全数据传送的系统100的一个示例,但是可以对图1做出各种改变。例如,系统100可以包括任意数目的受保护系统节点、SMX自助服务终端、网络、安全管理器、威胁分析服务器、数据库和其它组件。
图2图示了根据本公开的可以在其中使用可移除介质的示例工业过程控制和自动化系统200。控制和自动化系统200表示系统的一个示例类型,其中可以实现以上所描述的SMX代理103和SMX服务器105。
如图2中所示,系统200包括促进生产或处理至少一种产品或其它材料的各种组件。例如,系统200在此用于促进对一个或多个工厂201a-201n中的组件的控制。每一个工厂201a-201n代表一个或多个处理设施(或其一个或多个部分),诸如用于生产至少一种产品或其它材料的一个或多个制造设施。一般而言,每一个工厂201a-201n可以实现一个或多个过程,并且可以单独地或共同地被称为过程系统。过程系统一般代表被配置成以某种方式处理一种或多种产品或其它材料的任何系统或其部分。
在图2中,使用过程控制的普渡模型来实现系统200。在普渡模型中,“级别0”可以包括一个或多个传感器202a和一个或多个致动器202b。传感器202a和致动器202b代表可以执行多种多样的功能中的任何功能的过程系统中的组件。例如,传感器202a可以测量过程系统中的多种多样的特性,诸如温度、压力或流速。而且,致动器202b可以更改过程系统中的多种多样的特性。传感器202a和致动器202b可以代表任何合适的过程系统中的任何其它或附加的组件。传感器202a中的每一个包括用于测量过程系统中的一个或多个特性的任何合适的结构。致动器202b中的每一个包括用于对过程系统中的一个或多个条件起作用或影响过程系统中的一个或多个条件的任何合适的结构。
一个或多个网络204耦合到传感器202a和致动器202b。网络204促进与传感器202a和致动器202b的交互。例如,网络204可以输送来自传感器202a的测量数据并且将控制信号提供给致动器202b。网络204可以代表任何合适的网络或网络的组合。作为特定示例,网络204可以代表以太网网络、电信号网络(诸如HART或基金会现场总线网络)、气动控制信号网络、或者任何其它或附加的(多个)类型的(多个)网络。
在普渡模型中,“级别1”包括一个或多个控制器206,所述控制器206耦合到网络204。除了别的之外,每一个控制器206可以使用来自一个或多个传感器202a的测量结果来控制一个或多个致动器202b的操作。每一个控制器206包括用于控制过程系统的一个或多个方面的任何合适的结构。作为特定示例,每一个控制器206可以代表运行实时操作系统的计算设备。
冗余网络208耦合到控制器206。网络208诸如通过向控制器206输送数据和从控制器206输送数据而促进与控制器206的交互。网络208可以代表任何合适的冗余网络。作为特定示例,网络208可以代表一对以太网网络或一对冗余的以太网网络,诸如来自霍尼韦尔国际公司的容错以太网(FTE)网络。
至少一个交换机/防火墙210将网络208耦合到两个网络212。交换机/防火墙210可以将业务(traffic)从一个网络输送到另一个网络。交换机/防火墙210还可以阻止一个网络上的业务到达另一个网络。交换机/防火墙210包括用于提供网络之间的通信的任何合适的结构,诸如霍尼韦尔控制防火墙(CF9)设备。网络212可以代表任何合适的网络,诸如一对以太网网络或FTE网络。
在普渡模型中,“级别2”可以包括耦合到网络212的一个或多个机器级控制器214。机器级控制器214执行各种功能以支持操作和控制控制器206、传感器202a和致动器202b,其可以与一件特定的工业装备(诸如锅炉或其它机器)相关联。例如,机器级控制器214可以对由控制器206收集或生成的信息进行日志记录,所述信息诸如是来自传感器202a的测量数据或用于致动器202b的控制信号。机器级控制器214还可以执行控制控制器206的操作的应用,从而控制致动器202b的操作。此外,机器级控制器214可以提供对控制器206的安全访问。机器级控制器214中的每一个包括用于提供对机器或其它单件装备的访问、控制或者与机器或其它单件装备相关的操作的任何合适的结构。机器级控制器214中的每一个可以例如代表运行MICROSOFT WINDOWS操作系统的服务器计算设备。尽管未示出,但是不同的机器级控制器214可用于控制过程系统中的不同件装备(其中每件装备与一个或多个控制器206、传感器202a和致动器202b相关联)。
一个或多个操作员站216耦合到网络212。操作员站216代表提供对机器级控制器214的用户访问的计算或通信设备,所述计算或通信设备然后可以提供对控制器206(并且可能对传感器202a和致动器202b)的用户访问。作为特定示例,操作员站216可以允许用户使用由控制器206和/或机器级控制器214收集的信息来回顾传感器202a和致动器202b的操作历史。操作员站216还可以允许用户调整传感器202a、致动器202b、控制器206或机器级控制器214的操作。此外,操作员站216可以接收和显示由控制器206或机器级控制器214生成的警告、警报或者其它消息或显示。操作员站216中的每一个包括用于支持用户访问和控制系统200中的一个或多个组件的任何合适的结构。操作员站216的每一个可以例如代表运行MICROSOFT WINDOWS操作系统的计算设备。
至少一个路由器/防火墙218将网络212耦合到两个网络220。路由器/防火墙218包括用于提供网络之间的通信的任何合适的结构,诸如安全路由器或组合路由器/防火墙。网络220可以代表任何合适的网络,诸如一对以太网网络或FTE网络。
在普渡模型中,“级别3”可以包括耦合到网络220的一个或多个单元级控制器222。每一个单元级控制器222典型地与处理系统中的单元相关联,该单元代表一起操作以实现过程的至少部分的不同机器的集合。单元级控制器222执行各种功能以支持较低级别中的组件的操作和控制。例如,单元级控制器222可以日志记录由较低级别中的组件收集或生成的信息,执行控制较低级别中的组件的应用,并且提供对较低级别中的组件的安全访问。单元级控制器222中的每一个包括用于提供对处理单元中的一个或多个机器或其它件装备的访问、控制或与处理单元中的一个或多个机器或其它件装备相关的操作的任何合适的结构。单元级控制器222中的每一个可以例如代表运行MICROSOFT WINDOWS操作系统的服务器计算设备。尽管未示出,但是不同的单元级控制器222可用于控制过程系统中的不同单元(其中每一个单元与一个或多个机器级控制器214、控制器206、传感器202a和致动器202b相关联)。
可以由一个或多个操作员站224提供对单元级控制器222的访问。操作员站224中的每一个包括用于支持系统200中的一个或多个组件的用户访问和控制的任何合适的结构。操作员站224中的每一个可以例如代表运行MICROSOFT WINDOWS操作系统的计算设备。
至少一个路由器/防火墙226将网络220耦合到两个网络228。路由器/防火墙226包括用于提供网络之间的通信的任何合适的结构,诸如安全路由器或组合路由器/防火墙。网络228可以代表任何合适的网络,诸如一对以太网网络或FTE网络。
在普渡模型中,“级别4”可以包括耦合到网络228的一个或多个工厂级控制器230。每一个工厂级控制器230典型地与工厂201a-201n中的一个相关联,所述工厂201a-201n可以包括实现相同、类似或不同过程的一个或多个过程单元。工厂级控制器230执行各种功能以支持较低级别中的组件的操作和控制。作为特定示例,工厂级控制器230可以执行一个或多个制造执行系统(MES)应用、调度应用、或者其它或附加的工厂或过程控制应用。工厂级控制器230中的每一个包括用于提供对过程工厂中的一个或多个过程单元的访问、控制或与过程工厂中的一个或多个过程单元相关的操作的任何合适的结构。工厂级控制器230中的每一个可以例如代表运行MICROSOFT WINDOWS操作系统的服务器计算设备。
可以由一个或多个操作员站232提供对工厂级控制器230的访问。操作员站232中的每一个包括用于支持系统200中的一个或多个组件的用户访问和控制的任何合适的结构。操作员站232中的每一个可以例如代表运行MICROSOFT WINDOWS操作系统的计算设备。
至少一个路由器/防火墙234将网络228耦合到一个或多个网络236。路由器/防火墙234包括用于提供网络之间的通信的任何合适的结构,诸如安全路由器或组合路由器/防火墙。网络236可以代表任何合适的网络,诸如企业范围的以太网或其它网络,或者更大网络(诸如因特网)的全部或一部分。
在普渡模型中,“级别5”可以包括耦合到网络236的一个或多个企业级控制器238。每一个企业级控制器238典型地能够执行用于多个工厂201a-201n的规划操作并且控制工厂201a-201n的各个方面。企业级控制器238还可以执行各种功能以支持工厂201a-201n中的组件的操作和控制。作为特定示例,企业级控制器238可以执行一个或多个订单处理应用、企业资源规划(ERP)应用、高级规划和调度(APS)应用、或任何其他或附加的企业控制应用。企业级控制器238中的每一个包括用于提供对一个或多个工厂的访问、控制或与对一个或多个工厂的控制相关的操作的任何合适的结构。企业级控制器238中的每一个可以例如代表运行MICROSOFT WINDOWS操作系统的服务器计算设备。在本文档中,术语“企业”是指具有要管理的一个或多个工厂或其它处理设施的组织。注意,如果要管理单个工厂201a,则企业级控制器238的功能性可以被结合到工厂级控制器230中。
可以由一个或多个操作员站240提供对企业级控制器238的访问。操作员站240中的每一个包括用于支持系统200中的一个或多个组件的用户访问和控制的任何合适的结构。操作员站240中的每一个可以例如代表运行MICROSOFT WINDOWS操作系统的计算设备。
在该示例中,历史记录器(historian)242也耦合到网络236。历史记录器242可以代表存储关于系统200的各种信息的组件。历史记录器242可以例如存储在生产调度和优化期间使用的信息。历史记录器242代表用于存储信息并促进信息检索的任何合适的结构。尽管示出为耦合到网络236的单个集中式组件,但是历史记录器242可以位于系统200中的别的地方,或者多个历史记录器可以分布在系统200中的不同位置中。
在一些实施例中,系统200中的在“级别3”中或之下的各种组件可以表示执行以上所描述的SMX代理103的受保护系统节点。而且,一个或多个SMX服务器105可以在系统200中实现,诸如在系统200中的“级别4”或更高级别处实现。因此,如以上所描述的,可以限制具有那些组件的可移除介质的使用。通过SMX代理103和SMX服务器105的使用,可以显著减少通过可移除介质的使用所发起的工业控制系统或“ICS”攻击。在特定实施例中,系统200中的各种组件可以表示ICS网络安全特定的监视和分析系统,诸如霍尼韦尔风险管理器,其可能与SMX代理103交互以检测导致网络安全威胁的潜在风险指示符。
尽管图2图示了可以在其中使用可移除介质的工业过程控制和自动化系统200中的一个示例,但是可以对图2做出各种改变。例如,工业控制和自动化系统以多种多样的配置出现。图2中所示的系统200有意说明在其中可以使用某些功能性的一个示例操作环境。然而,图2不将本公开限制于任何特定配置或操作环境。
图3图示了根据本公开的支持使用可移除介质的安全数据传送的示例设备300。例如,图3中所示的设备300可以表示以上关于图1的系统100描述的受保护系统节点102a-102n中的任何受保护系统节点或SMX自助服务终端104中的任何SMX自助服务终端。图3中所示的设备300也可以表示以上关于图2的系统200描述的受保护设备中的任何受保护设备。
如图3中所示,设备300包括至少一个处理器302、至少一个存储设备304、至少一个通信单元306、至少一个输入/输出(I/O)单元308和至少一个可移除介质接口310。每一个处理器302可以执行指令,诸如可以加载到存储器312中的那些指令。每一个处理器302表示任何合适的处理设备,诸如一个或多个微处理器、微控制器、数字信号处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或分立电路。
存储器312和持久贮存器314是存储设备304的示例,其代表能够存储信息(诸如在临时或永久基础上的数据、程序代码和/或其它合适的信息)并促进对所述信息的检索的任何(多个)结构。存储器312可以代表随机存取存储器或(多个)任何其它合适的易失性或非易失性存储设备。持久贮存器314可以包含支持数据的较长期存储的一个或多个组件或设备,诸如只读存储器、硬盘驱动器、闪速存储器或光盘。
通信单元306支持与其它系统或设备的通信。例如,通信单元306可以包括网络接口卡或无线收发器,其促进通过有线或无线网络(诸如网络106b)的通信。通信单元306可以支持通过(多个)任何合适的物理或无线通信链路的通信。
I/O单元308允许数据的输入和输出。例如,I/O单元308可以通过键盘、鼠标、小键盘、触摸屏或其它合适的输入设备为用户输入提供连接。I/O单元308还可以将输出发送到显示器、打印机或其它合适的输出设备。
每一个可移除介质接口310表示存储设备可以耦合到的结构。例如,设备300可以包括一个或多个USB插槽、安全数字高容量(SDHC)或其他闪速存储器插槽、或用于耦合到存储设备的其它接口。取决于实现,设备300可以包括单个可移除介质接口310或者相同类型或不同类型的多个可移除介质接口310。
当设备300实现SMX自助服务终端104时,(多个)处理器302可以执行实现SMX服务器105的指令。例如,当存储设备插入到可移除介质接口310中或以其它方式耦合到可移除介质接口310时,(多个)处理器302可以执行用于签入或签出存储设备的指令。(多个)处理器302还可以执行用于与安全管理器108、威胁分析服务器112或其它外部系统交互的指令。
当设备300实现受保护系统节点102a-102n或其它受保护设备时,(多个)处理器302可以执行实现SMX代理103的指令。例如,当存储设备插入到可移除介质接口310中或以其它方式耦合到可移除介质接口310时,(多个)处理器302可以执行用于确定存储设备是否已经被签入的指令。如果这样,则(多个)处理器302可以执行允许访问和使用存储设备的指令。如果否,则(多个)处理器302可以执行阻止存储设备的使用的指令。
尽管图3图示了支持使用可移除介质的安全数据传送的设备300的一个示例,但是可以对图3做出各种改变。例如,图3中的各种组件可以被组合、进一步细分或省略,并且可以根据特定需要添加附加组件。而且,计算设备可以以多种多样的配置出现,并且图3不将本公开限制于计算设备的任何特定配置。
图4至7B图示了根据本公开的处置可移除介质以支持向受保护系统中和从受保护系统中向外的安全数据传送的示例。为了解释的容易,关于图1的系统100来描述图4至7B中所示的过程。然而,图4至7B中所示的过程可以用在任何其它合适的系统(诸如图2的系统200)中。
如图4中所示,存储设备402被插入到SMX自助服务终端104的插槽中或以其它方式耦合到SMX自助服务终端104,并且可以在SMX自助服务终端104的显示器上(或使用另一输入机制)选择签入过程。然后,SMX自助服务终端104的SMX服务器105执行签入程序。签入程序可以包括诸如扫描存储设备402以查找恶意软件、数字签名和可能加密存储设备402上的干净文件、以及隔离存储设备402上被标识为具有恶意软件的任何文件(其中被隔离的文件不被签名或加密)之类的功能。签入程序还可以包括诸如授权存储设备402(诸如通过对存储设备402本身进行数字签名)以得到连通性和锁定存储设备402的文件系统以使得仅SMX代理103可以访问存储设备402(以防止受保护系统外部的使用)之类的功能。签入程序还可以包括诸如创建文件清单以包含扫描结果、活动日志、消息以及与系统100的操作有关的其他信息之类的功能。
签入程序还可以可选地包括诸如在文件清单内将一个或多个配置参数或其它数据添加到存储设备402。此数据可以存储在经加密和签名的配置文件或其它文件中。如以下所描述的,配置参数或其它数据可用于更新SMX代理103。此外,可以在经加密和签名的审计文件(称为审计日志)中将恶意软件扫描的结果、时间戳、活动用户、配置选项或其它信息存储在存储设备402上,并且审计日志可以被报告给安全管理器108或威胁分析服务器112。
注意,可以以任何合适的方式,诸如通过使用第三方反病毒或反恶意软件的软件包、预定义的配置文件或手动配置,来完成文件的扫描和哪些文件被认为是“干净的”的确定。此外,扫描和确定可以不仅包括扫描存储设备402上的文件,还可以包括标识存储设备402本身的类型以及确定存储设备402是否是允许类型的外围设备。另外,存储设备402本身和存储设备402上的单独文件可以被以任何合适的方式签名。例如,SMX服务器105可以通过在存储设备402上存储散列来对存储设备402本身进行数字签名,并且SMX服务器105可以通过在存储设备402上(可能在文件清单内)存储针对每一个文件的散列来对每一个文件进行数字签名。可以使用强散列生成算法以便防止散列签名的逆向工程或“破裂(cracking)”。未经授权的文件未被签名,诸如在没有为该文件提供散列时。此外,可以以任何合适的方式,诸如通过使用任何合适的加密方法和本地存储的证书或私钥来更改文件系统的关键组分(key component),来锁定存储设备402的文件系统。
如图5A和5B中所示,“签入”存储设备402可以与受保护系统节点102一起使用。例如,受保护系统节点102上的SMX代理103可以配置有适当的(多个)安全证书和(多个)参数,所述证书和参数允许SMX代理103验证经签名的存储设备和文件,可能解密经加密的文件,访问存储设备的经更改的文件系统,读取经加密的配置参数或其它数据(如果存在的话),以及读取和写入到一个或多个经加密的审计日志(如果存在的话)。在此可以将数据从存储设备402传送到受保护节点102上和/或从受保护节点102传送到存储设备402上。
在一些实施例中,SMX代理103可以作为内核级驱动进行操作或在内核模式中操作,使得SMX代理103仅在验证和可能解密某些文件或元素时才允许访问受保护节点的文件系统。因此,SMX代理103可以在驱动级别处拦截连接存储设备402的尝试。SMX代理103拦截连接尝试并且(除了别的之外还)检查存储设备402的签名或文件系统。如果存储设备402被允许(签入),则其已经被数字签名,利用修改的文件系统结构,并且可以包括兼容的文件清单。SMX代理103能够读取由SMX服务器105签入的存储设备402的文件系统,并且SMX代理103能够(诸如通过使用共享证书或私钥)验证授权的存储设备402的数字签名。
一旦验证了存储设备402,SMX代理103就对着由SMX服务器105为每一个文件提供的唯一数字签名(诸如散列)分析该文件,该唯一数字签名被使用共享证书或私钥验证。如果存储设备402和文件被成功验证,则文件可由受保护节点102的本地文件系统自由地访问(因此可以将其从可移除存储设备402复制到本地文件系统)。如果存储设备402或文件未被成功验证,则存储设备402或文件被SMX代理103阻止,并且不可访问以得到对受保护节点102的本地文件系统的任何有意义的访问。在此期间,可以由SMX代理103更新存储设备402上的(多个)审计日志,以标识用户以及使用存储设备402尝试或执行的操作类型。注意,在此,“有意义的”访问包括读取、写入流、文件、目录(directory)或卷,或者删除针对流、文件、目录或卷的访问(当设备402未被签入时可以防止“有意义的”访问)。当设备402未被签入时,仍然可以允许其它功能,诸如操作系统可能需要的那些或几乎没有风险的那些(诸如查询或改变标准属性、执行目录枚举或访问用于设备充电的USB电源系统)。
这有助于防止在系统中使用未经授权的存储设备和文件。来自存储设备402的文件可以被复制到受保护系统节点102上,并且只有在已经签入并检查了存储设备402之后,才可以将来自受保护系统节点102的文件复制到存储设备402上。
如图6中所示,存储设备402被插入到SMX自助服务终端104的插槽中或以其它方式耦合到SMX自助服务终端104,并且可以在SMX自助服务终端104的显示器上(或使用另一输入机制)选择签出过程。然后,SMX自助服务终端104的SMX服务器105执行签出程序。签出程序可以包括诸如扫描存储设备402以在任何新文件中查找恶意软件(以停止出站感染)和解锁存储设备402的文件系统以使得存储设备402可以在受保护系统外部使用之类的功能。签出程序还可以包括诸如针对连通性取消授权存储设备402以及复制和移除存储设备402上的所有数字签名、配置参数、日志文件或文件清单之类的功能。
签出的存储设备402已经回复到其原始状态,这意味着已经移除了数字签名,已经解密了加密的元素,已经恢复了正常的文件系统操作,并且已经移除了配置文件。可以通过SMX服务器105在签出过程期间收集存储设备402上的审计日志文件,并且然后将其从存储设备402中移除。注意,取决于系统的配置,在签入时复制到存储设备402上的任何新文件可能会或可能不会保留在存储设备402上。
因为SMX代理103可以在受保护节点102上在内核模式中操作,所以SMX代理103可以知道被复制到存储设备402或从存储设备402复制的所有文件。SMX代理103还可以知道诸如由于存在未经授权的文件(比如恶意软件)或将文件从受保护节点102保存到存储设备402上的尝试而被阻止的所有文件活动。SMX代理103可以类似地知道何时未经授权的存储设备连接到受保护节点102,并且所述尝试可以被日志记录在受保护节点102上的本地加密日志文件中。
SMX代理103可以将与所有这些事件或其它事件相关的信息保存在授权的存储设备402上的审计日志文件中。例如,当授权的存储设备402连接到受保护节点102时,本地存储在受保护节点102上的任何或所有可用日志文件可以被复制到授权的存储设备402。如果文件被从授权的存储设备402复制到受保护节点102,则SMX代理103可以将文件活动的细节附加到存储设备402上的日志文件。如果文件被从受保护节点102复制到存储设备402,则SMX代理103可以再次将文件活动的细节附加到存储设备402上的日志文件。如果SMX代理103阻止了尝试的去往或来自存储设备402的文件传送,则SMX代理103可以将文件活动的细节附加到存储设备402上的日志文件。
任何合适的信息可以被包括在受保护节点102上或存储设备402上的审计日志文件中。可以被包括在针对文件活动的审计日志文件中的示例细节可以包括源节点或设备标识符,目标节点或设备标识符,源和目标节点的参数,比如因特网协议(IP)地址和介质访问控制(MAC)地址,文件名,文件大小,文件类型,文件许可,活动用户以及文件活动是否是允许的、阻止的或成功的。然而,注意,任何其它或附加信息都可以根据需要或期望而存储在审计日志文件中。审计日志文件可以被诸如通过使用证书或本地存储的私钥加密。
当具有审计日志文件的存储设备402连接到SMX服务器105(诸如为了签出)时,SMX服务器105可以从存储设备402复制审计日志文件(诸如到SMX服务器105上存储的本地日志)。该文件可以被诸如通过使用本地存储的证书或私钥解密,并且可以对SMX服务器105或其它工具可访问。可以以各种方式,诸如通过生成审计报告或将审计信息传递到比如安全管理器108或威胁分析服务器112之类的其它系统,使用审计日志。
除了别的之外,对在存储设备402上使用审计日志的支持允许总体系统经由可移除介质跟踪哪些文件被引入受保护系统内的哪些受保护节点。审计日志中包含的细节可能包括文件输入/输出(I/O)的相关细节,诸如活动用户、日期、时间、源文件以及与文件传送相关的目标系统信息。目标节点上可用的常规本地文件系统日志典型地缺少关于文件授权或完整性的信息,并且对于驻留在受保护系统外部的管理或监视系统不可用。因为存储设备402上的审计日志可以由SMX服务器105检索和转发,所以SMX代理103和SMX服务器105可以收集对更有效地审计受保护系统中可移除介质的使用而言有用的大量信息。
如图7A中所示,当存储设备402被签入时,存储设备402不能与受保护系统外部的未受保护节点702(缺少SMX代理103的节点)一起使用。例如,存储设备402对于不理解已经发生的文件系统修改并且不拥有解密文件系统元素以使文件系统再次完全起作用所必需的私钥的计算系统而言可能是不可识别的。因此,如果签入的存储设备402连接到未受保护节点702,则存储设备402可能被视为不可读并且将不会被安装(mount),并且用户可能被提示将存储设备402格式化以使其可用。如果采取该动作,则存储设备402上的所有文件都将被销毁,因此可选的配置参数可以允许SMX服务器105在签入时创建存储设备的内容的加密备份,以便在这发生时提供恢复机制。例如,恢复机制可以允许SMX服务器105将备份的内容恢复到存储设备402。
相反,如图7B中所示,如果存储设备402未被签入,则存储设备402不能与受保护系统内的受保护系统节点102一起使用。在一些实施例中,SMX代理103向受保护系统节点102提供的保护在内核级处被强制执行。
如果病毒或其它恶意软件被引入到存储设备402上,则SMX服务器105不对包含恶意软件的文件进行签名。受保护系统节点102不能访问该文件,从而阻碍恶意软件的功能性。如果尝试将签入的存储设备402附连到不受信任节点以便在存储设备402被SMX服务器105扫描之后添加恶意软件,则该尝试会由于对存储设备的文件系统的修改而失败。如果尝试从受保护系统节点102(其中安装了SMX代理103)复制文件,则取决于SMX代理的配置,驱动可能允许或拒绝文件副本,并且该活动被写入到(多个)审计日志以使得可以防止或管理文件漏出尝试。
注意,在一些实施例中,可以禁用由SMX自助服务终端104显示的控件,直到存储设备402被插入或以其它方式耦合到该自助服务终端104。一旦被附连,SMX服务器105就可以确定存储设备402是否已被签入。如果否,则可以启用“签入”选项,同时可以禁用“签出”选项。如果这样,则可以启用“签出”选项,同时可以禁用“签入”选项。使用自助服务终端SMX104的特权或管理模式,附加的用户界面控件可以是可访问的。
尽管图4至7B图示了处置可移除介质以支持向受保护系统中和从受保护系统中向外的安全数据传送的示例,但是可以对图4至7B做出各种改变。例如,任何合适的输入机制可以与SMX自助服务终端104一起使用。而且,虽然在此将存储设备402示为USB驱动器,但是可以使用任何其它合适的存储设备。此外,自助服务终端和节点的形状因子仅用于说明。
图8至11图示了根据本公开的支持使用可移除介质向受保护系统中和从受保护系统中向外的安全数据传送的示例方法。为了解释的容易,关于图1的系统100来描述图8至11中所示的方法。然而,图8至11中所示的方法可以用在任何其它合适的系统(诸如图2的系统200)中。
图8图示了支持用于可移除介质的签入过程的示例方法800。方法800可以例如由在SMX自助服务终端104的处理器302上执行的SMX服务器105实行。签入过程允许可移除介质用在受保护环境中,所述受保护环境诸如是其中受保护节点102a-102n执行SMX代理103的环境。
如图8中所示,在步骤802处检测不受信任的存储设备。这可以包括例如SMX服务器105检测存储设备402在SMX自助服务终端104的可移除介质接口310中的插入或者到SMX自助服务终端104的可移除介质接口310的耦合。这还可以包括SMX服务器105检查存储设备402并确定存储设备402缺少签入设备的内容(诸如指定的数字签名或修改的文件系统)。存储设备402可以表示用于存储数据的任何合适的设备,诸如USB设备、SDHC或其它闪速存储器设备、或其它便携式存储设备。
对不受信任的存储设备的扫描发生在步骤804处。这可以包括例如SMX服务器105启动对存储设备402的反病毒或反恶意软件扫描。SMX服务器105可以使用多种反病毒或反恶意软件软件包、预定义配置文件或手动配置来确定哪些文件是干净的。
在步骤806处确定是否已经检测到任何恶意软件。对于确定干净(缺少任何恶意软件)的任何文件,在步骤808处对干净文件进行数字签名并且可能进行加密。这可以包括例如 SMX服务器105计算每一个干净文件的散列,以及可能使用对SMX代理103已知的加密密钥来加密每一个干净文件。对于确定被感染(包含恶意软件)的任何文件,在步骤810处隔离被感染的文件并且日志记录该事件。这可以包括例如SMX服务器105使用反病毒或反恶意软件工具来隔离每一个被感染的文件。这还可以包括SMX服务器105更新SMX自助服务终端104上或存储设备402上的日志文件以标识恶意软件或被感染的文件。不对任何被感染的文件进行数字签名或加密。
对于任何“未知的”文件(其中不能确定该文件是干净的或肯定包含恶意软件),在步骤812处将文件发送到外部目的地用于分析。这可以包括例如SMX服务器105将文件提供给安全管理器108或威胁分析服务器112用于分析。作为特定示例,这可以包括SMX服务器105将文件提供给威胁分析服务器112用于沙盒化、代码分析、信誉分析和行为分析。理想地,安全管理器108或威胁分析服务器112返回该文件包含或不包含恶意软件的指示,并且SMX服务器105依靠由安全管理器108或威胁分析服务器112做出的确定对该文件执行步骤808或810。这还可以包括SMX服务器105的本地管理员手动地授权否则将不被SMX服务器105授权并且因此将被SMX代理103阻止的设备或文件(该管理覆写可以被日志记录到存储设备402的审计日志)。
注意,在此,只有干净的文件被签名并且可能被加密,因此只有被认为干净的那些文件将被SMX代理103可访问。对于任何未知文件,SMX服务器105可以在判定文件是否包含恶意软件时从外部源获得信息。在一些实施例中,如果不能肯定地确定文件是干净的,则可以不对文件进行签名或加密,以便保护受保护系统的节点。然而,也可以使用其它方法。
在步骤814处,将一个或多个隐藏文件存储在存储设备上。这可以包括例如SMX服务器105将一个或多个审计日志文件、一个或多个配置、或者一个或多个事件日志存储在存储设备402上,诸如在文件清单中。在步骤816处锁定存储设备的文件系统。这可以包括例如SMX服务器105以可由SMX代理103识别但不可由未受保护节点识别的方式修改存储设备402的文件系统。可以以任何合适的方式,诸如通过使用证书或私钥来更改文件系统的关键组分,来锁定存储设备402的文件系统。可以在步骤818处对设备本身进行签名。这可以包括例如SMX服务器105诸如通过在存储设备402上存储散列来对存储设备402本身进行数字签名。
此时,在步骤820处允许移除存储设备(现在是受信任设备)。这可以包括例如SMX服务器105通知用户:存储设备402已经被签入并且可以从SMX自助服务终端104的可移除介质接口310中安全地移除。受信任设备现在可以与一个或多个受保护节点102a-102n一起使用,并且不受信任节点不能使用受信任设备的内容。因此,例如,当存储设备402被签入时,未受保护节点702不能有意或无意地将恶意软件放置到存储设备402上。
注意,这代表用于签入存储设备的一个示例程序,并且在方法800期间可以根据需要或期望发生附加操作。例如,如上面指出的,在受保护的系统中只可以允许某些类型的存储设备。在一些实施例中,SMX服务器105可以诸如在扫描存储设备402以查找恶意软件之前确定存储设备402的类型。在这些类型的实施例中,只有在存储设备402是可允许类型的设备时才可以执行恶意软件扫描或者可以对设备本身进行签名。作为另一示例,可以给予用户在签入期间创建存储设备402的内容的经加密或其它的备份副本的选项。如果用户非故意地允许未受保护节点格式化存储设备402,则可以稍后使用备份来恢复存储设备402。可以存储备份直到存储设备402被签出或达任何其它时间长度。
图9图示了支持用于可移除介质的签出过程的示例方法900。方法900可以例如由在SMX自助服务终端104的处理器302上执行的SMX服务器105实行。签出过程允许可移除介质用在未受保护环境中,所述环境诸如是其中节点不受SMX代理103保护的环境。签出的可移除介质不能用在受保护环境中。
如图9中所示,在步骤902处检测受信任的存储设备。这可以包括例如SMX服务器105检测存储设备402在SMX自助服务终端104的可移除介质接口310中的插入或者到SMX自助服务终端104的可移除介质接口310的耦合。这还可以包括SMX服务器105检查存储设备402并且确定存储设备402包含签入设备的内容(诸如指定的数字签名或修改的文件系统)。
在步骤904处发生对受信任的存储设备的扫描。这可以包括例如SMX服务器105针对自存储设备402被签入以来添加到存储设备402的任何新文件启动反病毒或反恶意软件扫描。SMX服务器105还可以针对存储设备402上先前存在的文件执行反病毒或反恶意软件扫描,所述文件诸如是自存储设备被签入以来所修改的那些文件或存储设备402上的所有文件。SMX服务器105可以使用多种反病毒或反恶意软件软件包、预定义的配置文件或手动配置来确定哪些文件是干净的。
在步骤906处确定是否已经检测到任何恶意软件。对于确定干净(缺少任何恶意软件)的任何新添加的文件或其它文件,可以在步骤908处可选地对干净文件进行解密(如果已加密的话)。对于确定被感染(包含恶意软件)的任何新添加的文件或其它文件,在步骤910处隔离被感染的文件并日志记录该事件。在一些实施例中,可以删除被感染的文件或不对其进行解密以便停止经由存储设备402的未受保护节点的出站感染。对于任何“未知的”新添加的文件或其它文件(其中不能确定该文件是干净的或肯定包含恶意软件),在步骤912处将该文件发送到外部目的地用于分析。
在步骤914处,从存储设备中复制一个或多个隐藏文件。这可以包括例如SMX服务器105从存储设备402中检索一个或多个文件散列、一个或多个审计日志文件、一个或多个配置、以及一个或多个事件日志,并且将所述数据存储在SMX自助服务终端104上。也可以将所述数据提供给安全管理器108或威胁分析服务器112或其它组件用于归档或分析。在步骤916处,从存储设备中移除各种内容。这可以包括例如SMX服务器105从存储设备402中删除数字签名、日志文件、配置和事件日志。
在步骤918处解锁存储设备的文件系统。这可以包括例如SMX服务器105以可由未受保护节点识别但不可由SMX代理103识别的方式修改存储设备402的文件系统。例如,SMX服务器105可以将USB驱动器或闪速存储器设备的文件系统返回到标准化文件系统格式,使得常规计算设备(但不是受保护节点)可以访问和使用USB驱动器或闪速存储器设备。
此时,在步骤920处允许移除存储设备(现在是不受信任设备)。这可以包括例如SMX服务器105通知用户:存储设备402已经被签出并且可以从SMX自助服务终端104的可移除介质接口310中安全地移除。不受信任设备不再能够与一个或多个受保护节点102a-102n一起使用,并且受保护节点102a-102n不能访问不受信任设备的内容。
图10图示了支持在受保护节点处使用可移除介质的示例方法1000。方法1000可以例如由在受保护系统节点102的处理器302上执行的SMX代理103实行。该过程支持在受保护环境中使用签入的可移除介质。
如图10中所示,在步骤1002处检测存储设备。这可以包括例如SMX服务器105检测存储设备402在受保护系统节点102的可移除介质接口310中的插入或者到受保护系统节点102的可移除介质接口310的耦合。在步骤1004处确定存储设备的状态。这可以包括例如SMX代理103检查存储设备402并且确定存储设备402是否包含签入设备的内容(诸如指定的数字签名或修改的文件系统)。这还可以包括SMX代理103确定存储设备402被列入白名单还是列入黑名单。以下提供了存储设备的列入白名单和列入黑名单的解释。
在步骤1006处确定存储设备是否不受信任(未签入)或被列入黑名单。例如,可能期望列入黑名单以防止使用某些设备或设备类型,即使被SMX服务器105签入。如果这样,则在步骤1010处阻止对存储设备的访问并且日志记录该事件,并且方法1000结束。在该情况下,SMX代理103防止存储设备402被受保护系统节点102使用,从而有助于保护节点102免受与存储设备402相关联的潜在网络安全威胁。
在步骤1008处确定存储设备是否被信任(签入)或列入白名单。例如,可能期望列入白名单以允许使用某些设备或设备类型(比如USB键盘、USB鼠标、生物识别设备、或安全密钥)而不需要签入。如果否,则在步骤1010处阻止对存储设备的访问并且日志记录该事件,并且方法1000结束。在该情况下,SMX代理103不能辨别存储设备402的状态,因此SMX代理103阻止存储设备402的使用。再次,这可以有助于防止存储设备402被受保护系统节点102使用以便保护节点102。在一些实施例中,系统可以被配置成默认禁用USB设备或其它设备以使攻击者使用诸如基于USB的微处理器(也被称为“橡皮鸭”)之类的意外设备类型绕过控制机制的能力减到最小。
如果存储设备被信任或列入白名单,则SMX代理103允许使用存储设备402,并且在步骤1012处检测尝试的文件活动。这可以包括例如SMX代理103检测到受保护系统节点102正在尝试访问或复制存储在存储设备402上的文件。如果这样,则SMX代理在步骤1014处确定文件是否是干净文件。这可以包括例如SMX代理103诸如通过核实文件是否具有与存储在隐藏文件中的先前散列值匹配的当前散列值而确定文件是否如预期那样被数字签名并且可能加密。如果否,则阻止对文件的访问,并且所请求的文件活动不发生并且可以被日志记录。如果这样,则允许对文件的访问,并且在步骤1016处发生所期望的文件活动。一旦发生文件活动或如果文件活动被阻止,在步骤1018处更新审计日志。这可以包括例如 SMX代理103利用与正在执行的(多个)动作相关的信息来更新存储设备402上的审计日志。
注意,当访问或复制存储设备402上的文件时和在将新文件添加到存储设备402时,可以执行步骤1012-1018任何次数。当存储设备402稍后耦合到SMX自助服务终端104用于签出时,存储设备402上的(多个)审计日志可以被SMX服务器105检索并且诸如经由一个或多个安全网络连接而发送到安全管理器108或者其它设备或系统。其它设备或系统的示例可以包括被设计用于在特定受保护系统内使用的日志收集和分析工具。一个具体示例可以包括将工业自动化和控制系统内的审计日志发送到霍尼韦尔风险管理器,其中通过日志提供的威胁情报和审计活动可以被转化成网络安全风险的指示符。
还注意,设备或设备类型的列入白名单和列入黑名单可以以任何合适的方式发生。例如,每一个SMX代理103可以支持在初始部署期间配置SMX代理的管理动作,以便标识设备类型、型号、供应商、品牌或(多个)其它标识参数。设备或设备类型可以被一般地定义(诸如“键盘”)或具体地定义(诸如通过特定的USB或其它设备标识符、供应商标识符、序列号或其它合适的标识符)。白名单或黑名单可以表示受保护节点上被加密、签名和安全地存储的结构化文件。SMX代理103还可以支持一种机制,通过该机制可以在(图11中描述的)初始部署之后给出管理覆写,从而允许根据需要或期望更改白名单或黑名单。
此外,注意,SMX代理103可以以各种方式使用白名单和黑名单以支持对外围设备的使用。例如,在一些实施例中,可以诸如例如散列值对白名单或黑名单进行加密和数字签名。SMX代理103可以验证散列值并解密白名单或黑名单,并且可以在成功验证和解密时将白名单或黑名单的内容加载到一个或多个过滤器中。当外围设备耦合到受保护节点102时,SMX代理103可以将来自外围设备的一个或多个设备参数与一个或多个过滤器中的设备参数进行比较,以便确定允许还是阻止外围设备。当然,也可以使用用于使用白名单和黑名单的其它方法。
取决于实现,可能期望或要求为由SMX代理103使用的白名单和黑名单提供某种代理侧管理。这可以允许例如管理员或其他用户授权SMX代理103对特定白名单或黑名单的使用。在一些实施例中,SMX代理103可以在允许对特定白名单或黑名单的使用之前向管理员或其他用户要求适当的授权。在特定实施例中,在接收到来自用户的适当授权之后,SMX代理103可以(诸如利用散列值)对特定白名单或黑名单进行数字签名。SMX代理103稍后可以在访问白名单或黑名单时使用数字签名来验证列表未被非法地修改。
图11图示了用于配置或更新SMX代理的示例方法1100。方法1100可以例如由SMX代理103在SMX代理103在步骤1008中确定存储设备402是受信任的或列入白名单的存储设备之后执行。该过程支持在SMX代理103已被部署在受保护环境中之后改变SMX代理103的操作。
如图11中所示,在步骤1102处,在受信任的存储设备上检测配置文件的存在。这可以包括例如SMX代理103确定经恰当地加密和签名的配置文件存在于受信任的存储设备402上,诸如在文件清单中。在步骤1104处,确定管理员或其他用户是否批准使用配置文件来更新或配置SMX代理。这可以包括例如SMX代理103在受保护节点102的屏幕上呈现提示。
假设管理员或其他用户批准,则在步骤1106处使用配置文件更新SMX代理。这可以包括例如SMX代理103使用配置文件的内容更新它自己的参数或操作特性中的一个或多个。作为特定示例,这可以包括SMX代理103更新一个或多个白名单、一个或多个黑名单、一个或多个证书或私钥、或SMX代理103使用的其他数据。在步骤1108处,更新存储设备上的审计日志。这可以包括例如SMX代理103更新存储设备402上的一个或多个审计日志,以标识SMX代理103实现的配置改变。
在此可以在SMX代理103的初始部署之后,使用配置文件覆写或更新SMX代理103的设置。例如,如果管理员想要将新设备或设备类型添加到白名单或黑名单,则可以使用配置文件来用新设备或设备类型更新SMX代理103的白名单或黑名单。这允许更新SMX代理103的操作而不必改变实现SMX代理103的实际驱动。注意,对SMX代理103的(多个)设置的覆写或更新可以永久地覆写或更新SMX代理103的(多个)设置,或者所述覆写或更新可以表示一次或其它有限时间的覆写或更新(诸如当仅针对该特定存储设备402发生覆写或更新时)。当然,也可以使用其它机制来覆写或更新SMX代理103。
注意,用于支持对SMX代理设置的覆写或更新的该方法可以支持本地受保护节点102处的附加安全机制,以便防止配置机制被用作攻击载体。例如,SMX代理103可以使用附加校验和来防止对白名单、黑名单或其它SMX代理设置的非法修改。
尽管图8至11图示了支持使用可移除介质向受保护系统中和从受保护系统中向外的安全数据传送的方法的示例,但是可以对图8至11做出各种改变。例如,每一个图中的各个步骤可以重叠、并行地发生、以不同的顺序发生或发生任何次数。
图12和13图示了根据本公开的支持涉及使用可移除介质向受保护系统中和从受保护系统中向外的安全数据传送的应用的示例方法。为了解释的容易,关于图1的系统100来描述图12和13中所示的方法。然而,图12和13中所示的方法可以用在任何其他合适的系统(诸如图2的系统200)中。
受保护系统常常遇到的一个问题是难以向受保护系统中和从受保护系统中向外移动有效数据或文件。例如,受保护系统常常与诸如因特网之类的外部网络隔离,这可能使得难以用应用补丁或其它信息更新受保护系统节点102a-102n执行的应用。作为特定示例,使受保护系统节点102a-102n 上的反病毒或反恶意软件应用与最新的威胁情报保持同步可能是非常困难的。
在诸如图1和2中所示的系统之类的系统中的存储设备402的一个示例使用涉及向受保护系统提供威胁情报(诸如信誉馈送、恶意软件签名更新和基于云的威胁沙盒化技术)。通常,威胁情报难以提供给受保护系统。威胁情报典型地取决于受保护系统常常不具有的连续因特网访问。
图12图示了用于使用可移除介质对威胁情报向受保护系统中的安全数据传送的示例方法1200。方法1200可以例如使用存储设备402连同SMX服务器105和SMX代理103来执行。该过程允许将威胁情报安全地提供给受保护环境中的受保护节点102a-102n。
如图12中所示,在步骤1202处使用SMX服务器获得威胁情报数据。这可以包括例如一个或多个SMX服务器105支持调度的或手动的下载以从一个或多个外部源获得所需的威胁情报。因为SMX服务器105可以位于受保护的系统外部,所以SMX服务器105可以直接连接到一个或多个威胁情报源,诸如霍尼韦尔的管理安全服务中心(MSSC)、霍尼韦尔的工业网络安全实验室、反病毒更新服务器、云威胁服务、或商业威胁情报馈源。使用诸如虚拟专用网络(VPN)连接之类的安全网络连接,SMX服务器105可以根据其具体配置来下载数据更新,并且将数据存储在其本地文件系统中的唯一目录中。
在步骤1204处,SMX服务器处理收集的威胁情报数据用于本地存储。这可以包括例如SMX服务器105执行一系列任务,诸如检查现有文件散列以确定文件是否受信任、扫描不受信任的文件以确保它们不是恶意的、以及(一旦被验证就)对文件进行签名以确保在其被扫描之后不会对其进行修改。该系列任务还可以包括在本地打包文件以保留空间、创建配置通知消息以更新SMX代理103、以及在本地跟踪对打包的更新文件的访问。在此,SMX服务器105可以使用本地文件扫描以及校验和来确保下载的信息本身没有被破坏或被恶意软件感染。此外,在此,SMX服务器105可以使用跟踪表或数据库来日志记录哪些文件可用、文件何时变得可用、文件何时被复制到受保护系统中、什么受保护节点接收了文件以及谁将文件复制到受保护节点。
在步骤1206处,通知管理员或其他人员关于威胁情报数据的可用性。这可以包括例如SMX服务器105通知管理员一个或多个更新是可用的。这可以以任何合适的方式(诸如经由电子邮件或文本消息)完成。SMX服务器105还可以经由插入到存储设备402上的通知消息来通知管理员。当该存储设备402连接到受保护系统节点102时,受保护系统节点102上的SMX代理103可以标识通知消息并向安全管理器108、威胁分析服务器112或(多个)其它目的地传输通知。所述通知可以标识更新的可用性。
不管怎样被通知,管理员或其他人员可以将存储设备连接到SMX服务器并获得对已验证的文件的访问,并且在步骤1208处检测存储设备。这可以包括例如SMX服务器105检测存储设备402在SMX自助服务终端104的可移除介质接口310中的插入或到SMX自助服务终端104的可移除介质接口310的耦合。假设在步骤1210处(诸如经由SMX自助服务终端104的显示器)批准对已验证的文件的复制,则在步骤1212处将威胁情报数据复制到存储设备上。这可以包括例如SMX服务器105将包含威胁情报数据的一个或多个已验证的文件复制到存储设备402上。可以对已验证的文件进行数字签名和加密,使得它们对SMX代理103表现为有效文件。
一旦存储设备被签入,就在步骤1214处,使用存储设备更新受保护节点或SMX代理。这可以包括例如人员将存储设备402安全地携带到受保护系统中。这还可以包括人员使用存储设备402更新受保护系统节点102的SMX代理103。可以以与图11中所示和以上所描述的方式相同或类似的方式用威胁情报数据更新SMX代理103。
在步骤1216处,使用SMX服务器和SMX代理对与更新相关联的数据进行日志记录。这可以包括例如使用SMX服务器105和SMX代理103的审计能力记录受保护系统内的受保护系统节点102的更新。例如,当包含威胁情报数据的存储设备402被签出时,SMX服务器105可以使用存储设备402的审计日志来标识哪些受保护节点被更新了。还可以以任何其它合适的方式使用此信息,诸如用于内部审计以支持依从性努力或用在更广泛的监视和分析平台(比如霍尼韦尔风险管理器)内。
以该方式,威胁情报数据可以被安全地存储在签入的存储设备402上,并且签入的存储设备402用于将威胁情报数据输送到至少一个受保护系统节点。由于存储设备402已经经历了签入程序,因此几乎没有存储设备402包含将感染所述至少一个受保护系统节点的恶意软件的风险。因此,可以以安全且可靠的方式将威胁情报数据提供给(多个)受保护系统节点。取决于SMX代理、受保护系统节点或受保护系统的实现,人员可能需要单独更新每一个受保护系统节点,或者可以更新受保护系统节点中的一个或子集,并且然后将更新数据提供给其它受保护系统节点。
可以使用相同的方法向受保护系统中的受保护节点提供任何合适的数据。例如,当正常的网络访问被高度控制时,难以维持位于受保护系统外部的应用和服务与位于受保护系统内部的那些应用和服务之间的管理通信。以上所描述的方法允许使用存储设备402以安全的方式传送命令、控制或配置参数或者其它数据。
图13图示了用于使用可移除介质对数据向受保护系统中的安全数据传送的示例方法1300。方法1300可以例如使用存储设备402连同SMX服务器105和SMX代理103来执行。该过程允许将命令、控制或配置参数或者其它数据安全地提供给受保护环境中的受保护节点102a-102n。
如图13中所示,在步骤1302处使用SMX服务器获得命令、控制或配置参数或者其它数据。这可以包括例如一个或多个SMX服务器105从任何合适的(多个)源自动地获得所述数据。诸如当管理员或其他人员经由存储设备402向SMX服务器105提供所述数据或者标识要从其获得所述数据的一个或多个网络位置时,也可以手动地获得所述数据。尽管在此未示出,但是SMX服务器105可以扫描所述数据以确保不存在恶意软件、对包含所述数据的数据文件进行数字签名、并执行诸如以上关于图12所描述的那些功能之类的其它功能。
管理员或其他人员可以将存储设备连接到SMX服务器,其在步骤1304处被检测到。这可以包括例如SMX服务器105检测到存储设备402在SMX自助服务终端104的可移除介质接口310中的插入或者到SMX自助服务终端104的可移除介质接口310的耦合。假设在步骤1306处(诸如经由SMX自助服务终端104的显示器)批准对所述数据的复制,则在步骤1308处将所述数据复制到存储设备402上。这可以包括例如SMX服务器105将包含所述数据的一个或多个数据文件复制到存储设备402上。可以对所述数据文件进行数字签名和加密,使得它们对SMX代理103表现为有效文件。
一旦存储设备被签入,就在步骤1310处使用存储设备更新受保护节点或SMX代理。这可以包括例如人员将存储设备402安全地携带到受保护系统中。这还可以包括人员使用存储设备402更新SMX代理103、其它应用或受保护系统节点102的其它组件。可以以与图11中所示和以上所描述的方式相同或类似的方式用所述数据更新SMX代理103、其它应用或其它组件。
在步骤1312处,使用SMX服务器和SMX代理对与更新相关联的数据进行日志记录。这可以包括例如使用SMX服务器105和SMX代理103的审计能力记录受保护系统内的受保护系统节点102的更新。例如,当存储设备402被签出时,SMX服务器105可以使用存储设备402的审计日志来标识哪些受保护节点接收了所述数据。还可以以任何其它合适的方式使用此信息,诸如用于内部审计以支持依从性努力或用在更广泛的监视和分析平台(比如霍尼韦尔风险管理器)内。
该方法不会引入新的安全威胁,并形成更大的安全信息传送系统的一部分。在存储设备402上输送的信息可以被强加密,使得它不能够被未授权的动作者容易地拦截和操纵。为了支持该传送,可以从SMX服务器105向具有SMX代理103的一个或多个受保护节点发送管理参数(诸如配置选项、命令或其它数据)或其它信息。这些组件支持使用受保护的可移除介质或修改的文件共享以在SMX服务器105和SMX代理103之间传送管理参数或其它信息。
尽管图12和13图示了支持涉及使用可移除介质向受保护系统中和从受保护系统中向外的安全数据传送的应用的方法的示例,但是可以对图12和13做出各种改变。例如,每一个图中的各个步骤可以重叠、并行地发生、以不同的顺序发生或发生任何次数。而且,图12和13代表其中可以使用可移除介质发生安全数据传送的两个示例应用。然而,本专利文档中描述的用于向受保护系统中和从受保护系统中向外的安全数据传送的机制可用于支持任何其它或附加的数据传送。
除了别的之外,本专利文档中描述的系统、设备和技术支持以下特征,所述特征可以被单独使用或以任何合适的组合使用:
• 用来控制如何通过可移除介质向受保护系统中和从受保护系统中向外移动文件以使得存在文件是“安全的”(未感染计算机病毒或其它恶意软件)并且被“授权”(允许和意图向安全网络中或从安全网络中向外传送)的一些保证的能力;
• 用来控制什么可移除介质被允许在受保护系统内并帮助确保该介质仅用于预期目的能力;
• 用来“签入”可移除介质以便(i)确保每一个都是授权的设备,(ii)确保每一个都是对利用SMX代理的计算机可访问的,以及(iii)确保每一个然后在其被“签出”的这样的时间之前都不被用于其它目的的能力;
• 用来控制哪些文件被确定“安全”并且因此被允许传送到受保护系统内的受保护节点的能力;
• 用来确保仅授权的文件被允许复制到受保护系统内的受保护节点上、由受保护系统内的受保护节点执行或以其它方式由受保护系统内的受保护节点使用的能力;
• 用来将某些设备或设备类型(诸如USB键盘、USB鼠标、生物识别设备或安全密钥)列入白名单以使得可在不需要签入的情况下使用这样的设备的能力;
• 用来将某些设备或设备类型列入黑名单以使得即使签入也不能使用这样的设备的能力;
• 用来使用安全存储设备将威胁情报更新引入到受保护系统中的能力;
• 用来以安全的方式在设备之间传送管理参数或其它数据的能力;以及
• 用来审计经由可移除介质将哪些文件引入到受保护系统内的哪些节点的能力,其包括文件I/O的相关细节(诸如活动用户、日期、时间、源文件和目标系统信息)。
在一些实施例中,本专利文档中描述的各种功能由计算机程序实现或支持,所述计算机程序由计算机可读程序代码形成并且体现在计算机可读介质中。短语“计算机可读程序代码”包括任何类型的计算机代码,包括源代码、目标代码和可执行代码。短语“计算机可读介质”包括能够被计算机访问的任何类型的介质,诸如只读存储器(ROM)、随机存取存储器(RAM)、硬盘驱动器、光盘(CD)、数字视频盘(DVD)或任何其它类型的存储器。“非暂时性”计算机可读介质排除输送暂时性电气或其它信号的有线、无线、光学或其它通信链路。非暂时性计算机可读介质包括其中数据可以被永久存储的介质和其中数据可以被存储并且稍后被盖写的介质,诸如可重写光盘或可擦除存储设备。
阐述贯穿本专利文档所使用的某些词语和短语的定义可以是有利的。术语“应用”和“程序”是指被适配用于以合适的计算机代码(包括源代码、目标代码或可执行代码)实现的一个或多个计算机程序、软件组件、指令集、程序、函数、对象、类、实例、相关数据或其一部分。术语“通信”及其派生词包含直接和间接的通信二者。术语“包括”和“包含”及其派生词意味着包括而没有限制。术语“或”是包括性的,意味着和/或。短语“与……相关联”及其派生词可以意味着包括、被包括在……内、与……互连、包含、被包含在……内、连接到或与……连接、耦合到或与……耦合、可与……通信、与……协作、交错、并列、接近于、绑定到或与……绑定、具有、具有……的属性、和或与……有关系等。在与项目列表一起使用时,短语“……中的至少一个”意味着可以使用所列出的项目中的一个或多个的不同组合,并且可能仅需要列表中的一个项目。例如,“A、B和C中的至少一个”包括以下组合中的任何:A、B、C、A和B、A和C、B和C以及A和B和C。
本申请中的描述不应被解读为暗示任何特定元素、步骤或功能是必须被包括在权利要求范围中的必需或关键元素。专利的主题的范围仅由所允许的权利要求限定。而且,除非在特定权利要求中明确使用确切的词语“用于……的部件”或“用于……的步骤”,随后是标识功能的分词短语,否则没有权利要求关于任何随附权利要求或权利要求元素而援引35U.S.C. § 112(f)。诸如(但不限于)“机构”、“模块”、“设备”、“单元”、“组件”、“元素”,“构件”、“装置”,“机器”、“系统”、“处理器”或“控制器”之类的术语在权利要求内的使用被理解成并且意图是指为相关领域中的技术人员已知的结构,如通过权利要求本身的特征进一步修饰或增强的,并且不意图援引35 U.S.C. § 112(f)。
虽然本公开已经描述了某些实施例和一般地相关联的方法,但是这些实施例和方法的更改和置换对于本领域技术人员将是显而易见的。因此,示例实施例的以上描述不限定或限制本公开。在不脱离如由以下权利要求限定的本公开的精神和范围的情况下,其它改变、替换和更改也是可能的。
Claims (15)
1. 一种装置,包括:
至少一个接口(310),其被配置成耦合到存储设备(402);以及
至少一个处理设备(302),其被配置成:
检测所述存储设备;
确定所述存储设备是否已被签入以供至少与所述装置一起使用;
响应于确定所述存储设备已被签入以供至少与所述装置一起使用,准许对所述存储设备的访问;以及
响应于确定所述存储设备尚未被签入以供至少与所述装置一起使用,阻止对所述存储设备的访问。
2.根据权利要求1所述的装置,其中,为了确定所述存储设备是否已被签入,所述至少一个处理设备被配置成进行以下步骤中的至少一个:
确定所述存储设备的文件系统是否已经被以预期的方式修改;以及
确定所述存储设备是否具有预期的数字签名。
3.根据权利要求1所述的装置,其中,所述至少一个处理设备还被配置成:
确定所述存储设备上的文件是否已被签入以供至少与所述装置一起使用;
响应于确定所述存储设备上的文件已被签入以供至少与所述装置一起使用,准许对所述文件的有意义访问;以及
响应于确定所述存储设备上的文件尚未被签入以供至少与所述装置一起使用,阻止对所述文件的有意义访问。
4.根据权利要求3所述的装置,其中,为了确定所述文件是否已被签入,所述至少一个处理设备被配置成进行以下步骤中的至少一个:
确定所述文件是否具有预期的数字签名;以及
确定所述文件是否被以预期的方式加密。
5.根据权利要求4所述的装置,其中,为了确定所述文件是否具有预期的数字签名,所述至少一个处理设备被配置成确定所述文件是否具有与预期散列值匹配的散列值。
6.根据权利要求1所述的装置,其中:
所述至少一个处理设备还被配置成将标识涉及所述存储设备的一个或多个活动的信息日志记录在所述存储设备上;以及
经日志记录的信息包括以下中的至少一个:关于所述存储设备上的一个或多个文件的信息以及关于涉及所述存储设备的一个或多个事件的信息。
7.根据权利要求1所述的装置,其中:
所述至少一个处理设备被配置成执行代理(103),所述代理(103)被配置成控制对所述存储设备的访问;以及
所述代理被配置成作为内核级驱动进行操作或在内核模式中操作,并被配置成拦截将所述存储设备连接到所述装置的尝试。
8.一种方法,包括:
检测(1002)受保护节点(102,102a-102n)处的存储设备(402);
确定(1004)所述存储设备是否已被签入以供至少与所述受保护节点一起使用;
响应于确定所述存储设备已被签入以供至少与所述受保护节点一起使用,准许(1008)对所述存储设备的访问;以及
响应于确定所述存储设备尚未被签入以供至少与所述受保护节点一起使用,阻止(1010)对所述存储设备的访问。
9.根据权利要求8所述的方法,其中确定所述存储设备是否已被签入包括以下步骤中的至少一个:
确定所述存储设备的文件系统是否已经被以预期的方式修改;以及
确定所述存储设备是否具有预期的数字签名。
10.根据权利要求8所述的方法,还包括:
确定(1014)所述存储设备上的文件是否已被签入以供至少与所述受保护节点一起使用;
响应于确定所述存储设备上的文件已被签入以供至少与所述受保护节点一起使用,准许(1016)对所述文件的有意义访问;以及
响应于确定所述存储设备上的文件尚未被签入以供至少与所述受保护节点一起使用,阻止对所述文件的有意义访问。
11.根据权利要求10所述的方法,其中确定所述文件是否已被签入包括以下步骤中的至少一个:
确定所述文件是否具有预期的数字签名;以及
确定所述文件是否被以预期的方式加密。
12.根据权利要求8所述的方法,还包括:
将标识涉及所述存储设备的一个或多个活动的信息日志记录(1018)在所述存储设备上;
其中经日志记录的信息包括以下中的至少一个:关于所述存储设备上的一个或多个文件的信息以及关于涉及所述存储设备的一个或多个事件的信息。
13.根据权利要求8所述的方法,其中:
所述检测、确定、准许和阻止由所述受保护节点执行的代理(103)实行,所述代理被配置成控制对所述存储设备的访问;以及
所述代理被配置成作为内核级驱动进行操作或在内核模式中操作,并被配置成拦截将所述存储设备连接到所述受保护节点的尝试。
14.根据权利要求8所述的方法,还包括:
通过所述受保护节点将一个或多个新文件存储(1016)在所述存储设备上;以及
将标识与所述一个或多个新文件相关联的文件活动的信息日志记录(1018)在所述存储设备上。
15.一种包含指令的非暂时性计算机可读介质,所述指令在被至少一个处理设备执行时使得所述至少一个处理设备(302)实行根据权利要求8-14中任一项所述的方法。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662345735P | 2016-06-03 | 2016-06-03 | |
| US62/345735 | 2016-06-03 | ||
| US15/469714 | 2017-03-27 | ||
| US15/469,714 US10205726B2 (en) | 2016-06-03 | 2017-03-27 | Apparatus and method for preventing file access by nodes of a protected system |
| PCT/US2017/033251 WO2017209967A2 (en) | 2016-06-03 | 2017-05-18 | Apparatus and method for preventing file access by nodes of a protected system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109196509A true CN109196509A (zh) | 2019-01-11 |
| CN109196509B CN109196509B (zh) | 2023-09-08 |
Family
ID=60477881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780034372.8A Active CN109196509B (zh) | 2016-06-03 | 2017-05-18 | 用于防止由受保护系统的节点进行的文件访问的装置和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10205726B2 (zh) |
| EP (1) | EP3465522A4 (zh) |
| CN (1) | CN109196509B (zh) |
| WO (1) | WO2017209967A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112997462A (zh) * | 2019-10-15 | 2021-06-18 | 谷歌有限责任公司 | 用于保护数据的系统和方法 |
| CN115380504A (zh) * | 2020-05-28 | 2022-11-22 | 西门子股份公司 | 一种信息泄露检测方法、装置和计算机可读介质 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10262135B1 (en) * | 2016-12-13 | 2019-04-16 | Symantec Corporation | Systems and methods for detecting and addressing suspicious file restore activities |
| US10289844B2 (en) | 2017-01-19 | 2019-05-14 | International Business Machines Corporation | Protecting backup files from malware |
| US11301548B2 (en) | 2017-06-16 | 2022-04-12 | Honeywell International Inc. | Apparatus and method for preventing unintended or unauthorized peripheral device connectivity by requiring authorized human response |
| CN110688647A (zh) * | 2018-07-06 | 2020-01-14 | 英研智能移动股份有限公司 | 计算机任务判行方法及适用所述方法的服务器系统 |
| US10904292B1 (en) * | 2018-09-25 | 2021-01-26 | Amazon Technologies, Inc. | Secure data transfer device |
| EP4131044A4 (en) * | 2020-04-30 | 2023-12-20 | Siemens Aktiengesellschaft | METHOD AND APPARATUS FOR CONTROLLING MOBILE STORAGE DEVICE AND COMPUTER READABLE MEDIUM |
| US11556636B2 (en) * | 2020-06-30 | 2023-01-17 | Microsoft Technology Licensing, Llc | Malicious enterprise behavior detection tool |
| US20220156375A1 (en) * | 2020-11-17 | 2022-05-19 | Saudi Arabian Oil Company | Detection of repeated security events related to removable media |
Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020073070A1 (en) * | 2000-10-12 | 2002-06-13 | Toshihiro Morita | Information processing apparatus and method, and program storing medium |
| CN1465010A (zh) * | 2001-06-18 | 2003-12-31 | 索尼公司 | 数据传送系统、数据传送设备、数据记录设备和数据传送方法 |
| US20070150956A1 (en) * | 2005-12-28 | 2007-06-28 | Sharma Rajesh K | Real time lockdown |
| CN101017525A (zh) * | 2007-03-05 | 2007-08-15 | 北京邮电大学 | 基于证书和透明加密的usb存储设备数据防泄密系统和方法 |
| US20080320317A1 (en) * | 2007-06-21 | 2008-12-25 | Sony Corporation | Electronic device and information processing method |
| CN101650964A (zh) * | 1999-12-17 | 2010-02-17 | 索尼公司 | 信息处理装置和方法 |
| US20100211792A1 (en) * | 2009-02-17 | 2010-08-19 | Microsoft Corporation | Communication channel access based on channel identifier and use policy |
| CN101855860A (zh) * | 2007-09-14 | 2010-10-06 | 安全第一公司 | 用于管理加密密钥的系统和方法 |
| US20110016298A1 (en) * | 2009-07-17 | 2011-01-20 | Mccollom William G | Configuration File |
| US20110087899A1 (en) * | 2006-05-17 | 2011-04-14 | Richard Fetik | Firewall plus storage apparatus, method and system |
| WO2011148224A1 (en) * | 2010-05-24 | 2011-12-01 | Privylink Private Limited | Method and system of secure computing environment having auditable control of data movement |
| US20130091575A1 (en) * | 2011-10-07 | 2013-04-11 | David Paul Duncan | Antivirus system and method for removable media devices |
| US20130291112A1 (en) * | 2012-04-27 | 2013-10-31 | Ut-Batelle, Llc | Architecture for removable media usb-arm |
| CN103390125A (zh) * | 2013-07-19 | 2013-11-13 | 丁贤根 | 用无线终端授权及加解密的安全移动存储控制器设计方法 |
| EP2672414A1 (en) * | 2012-06-08 | 2013-12-11 | Sodge IT GmbH | Method for transferring configuration data to controller devices, a system and a computer program product |
| CN103597775A (zh) * | 2012-04-25 | 2014-02-19 | 株式会社东芝 | 医用信息验证系统 |
| CN103678994A (zh) * | 2013-12-05 | 2014-03-26 | 中国科学院数据与通信保护研究教育中心 | 一种具有环境控制的usb加密存储系统及方法 |
| US9129138B1 (en) * | 2010-10-29 | 2015-09-08 | Western Digital Technologies, Inc. | Methods and systems for a portable data locker |
| WO2015162127A1 (en) * | 2014-04-22 | 2015-10-29 | Alstom Renewable Technologies | Method and system for securing electronic data exchange between an industrial programmable device and a portable programmable device |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6457017B2 (en) * | 1996-05-17 | 2002-09-24 | Softscape, Inc. | Computing system for information management |
| GB2371653B (en) * | 2000-02-21 | 2003-08-06 | Trek Technology | A portable data storage device |
| US7010647B1 (en) * | 2002-12-13 | 2006-03-07 | The United States Of America As Represented By The Secretary Of The Army | Computer system with removable data storage device and method |
| US8745409B2 (en) * | 2002-12-18 | 2014-06-03 | Sandisk Il Ltd. | System and method for securing portable data |
| US20060004974A1 (en) * | 2003-03-13 | 2006-01-05 | Paul Lin | Portable non-volatile memory device and method for preventing unauthorized access to data stored thereon |
| JP4140905B2 (ja) * | 2004-03-22 | 2008-08-27 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 記憶装置及びプログラム |
| US8015606B1 (en) | 2005-07-14 | 2011-09-06 | Ironkey, Inc. | Storage device with website trust indication |
| US7464219B2 (en) * | 2005-08-01 | 2008-12-09 | International Business Machines Corporation | Apparatus, system, and storage medium for data protection by a storage device |
| US20070118757A1 (en) * | 2005-11-07 | 2007-05-24 | Skinner David N | Method, apparatus, and system for securing data on a removable memory device |
| JP4787055B2 (ja) * | 2006-04-12 | 2011-10-05 | 富士通株式会社 | 情報分割記録機能を持つ情報処理装置 |
| US8011013B2 (en) * | 2006-07-19 | 2011-08-30 | Quickvault, Inc. | Method for securing and controlling USB ports |
| US20080083037A1 (en) * | 2006-10-03 | 2008-04-03 | Rmcl, Inc. | Data loss and theft protection method |
| JP2008234205A (ja) * | 2007-03-19 | 2008-10-02 | Ricoh Co Ltd | サーバ装置及びインストール情報作成方法 |
| US8555070B2 (en) * | 2007-04-10 | 2013-10-08 | Abbott Medical Optics Inc. | External interface access control for medical systems |
| US9164925B2 (en) * | 2008-01-15 | 2015-10-20 | Samsung Electronics Co., Ltd. | Method and apparatus for authorizing host to access portable storage device |
| US8335931B2 (en) | 2008-06-20 | 2012-12-18 | Imation Corp. | Interconnectable personal computer architectures that provide secure, portable, and persistent computing environments |
| US20100293374A1 (en) * | 2008-07-30 | 2010-11-18 | Bushby Donald P | Secure Portable Memory Storage Device |
| US9141381B2 (en) * | 2008-10-27 | 2015-09-22 | Vmware, Inc. | Version control environment for virtual machines |
| US7640589B1 (en) | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
| US9336375B1 (en) * | 2009-07-28 | 2016-05-10 | Sprint Communications Company L.P. | Restricting access to data on portable storage media based on access to a private intranet |
| US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
| WO2012053649A1 (ja) * | 2010-10-22 | 2012-04-26 | 富士通株式会社 | アクセス制限装置、アクセス制限プログラム及びアクセス制限方法 |
| KR101769370B1 (ko) | 2010-12-02 | 2017-08-30 | 엘지전자 주식회사 | Usb저장장치의 데이터 보안 방법 및 장치 |
| US8683232B2 (en) * | 2011-05-18 | 2014-03-25 | Cpo Technologies Corporation | Secure user/host authentication |
| CN103620612B (zh) | 2011-07-12 | 2016-04-13 | 惠普发展公司,有限责任合伙企业 | 包括端口和来宾域的计算设备 |
| US9495562B2 (en) * | 2011-07-25 | 2016-11-15 | Lenovo (Singapore) Pte. Ltd. | Removable storage device data protection |
| DE102011056191A1 (de) | 2011-12-08 | 2013-06-13 | Wincor Nixdorf International Gmbh | Vorrichtung zum Schutz von Sicherheitstoken gegen Malware |
| US9104893B2 (en) * | 2013-03-04 | 2015-08-11 | Microsoft Technology Licensing, Llc | Rule based access for removable storage |
| US9813405B2 (en) * | 2013-03-04 | 2017-11-07 | Wabtec Holding Corp. | System and method for protecting train event data |
| US9378616B2 (en) * | 2013-03-07 | 2016-06-28 | Igt | Device security in a gaming machine |
| US9514320B2 (en) * | 2013-04-12 | 2016-12-06 | Mediatek Inc. | Method for managing external portable storage device and related machine readable medium |
| KR101349849B1 (ko) | 2013-05-21 | 2014-01-10 | (주)세이퍼존 | 범용 보안 저장 장치 |
| EP3072061A4 (en) * | 2013-11-20 | 2017-05-10 | Hewlett-Packard Development Company, L.P. | Removable storage data hash |
| EP3284003B1 (en) * | 2015-04-14 | 2021-02-24 | Gigavation, Inc. | Paravirtualized security threat protection of a computer-driven system with networked devices |
| US10013570B2 (en) * | 2016-05-09 | 2018-07-03 | International Business Machines Corporation | Data management for a mass storage device |
-
2017
- 2017-03-27 US US15/469,714 patent/US10205726B2/en active Active
- 2017-05-18 WO PCT/US2017/033251 patent/WO2017209967A2/en unknown
- 2017-05-18 CN CN201780034372.8A patent/CN109196509B/zh active Active
- 2017-05-18 EP EP17807222.9A patent/EP3465522A4/en active Pending
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101650964A (zh) * | 1999-12-17 | 2010-02-17 | 索尼公司 | 信息处理装置和方法 |
| US20020073070A1 (en) * | 2000-10-12 | 2002-06-13 | Toshihiro Morita | Information processing apparatus and method, and program storing medium |
| CN1465010A (zh) * | 2001-06-18 | 2003-12-31 | 索尼公司 | 数据传送系统、数据传送设备、数据记录设备和数据传送方法 |
| US20070150956A1 (en) * | 2005-12-28 | 2007-06-28 | Sharma Rajesh K | Real time lockdown |
| US20110087899A1 (en) * | 2006-05-17 | 2011-04-14 | Richard Fetik | Firewall plus storage apparatus, method and system |
| CN101017525A (zh) * | 2007-03-05 | 2007-08-15 | 北京邮电大学 | 基于证书和透明加密的usb存储设备数据防泄密系统和方法 |
| US20080320317A1 (en) * | 2007-06-21 | 2008-12-25 | Sony Corporation | Electronic device and information processing method |
| CN101855860A (zh) * | 2007-09-14 | 2010-10-06 | 安全第一公司 | 用于管理加密密钥的系统和方法 |
| US20100211792A1 (en) * | 2009-02-17 | 2010-08-19 | Microsoft Corporation | Communication channel access based on channel identifier and use policy |
| US20110016298A1 (en) * | 2009-07-17 | 2011-01-20 | Mccollom William G | Configuration File |
| WO2011148224A1 (en) * | 2010-05-24 | 2011-12-01 | Privylink Private Limited | Method and system of secure computing environment having auditable control of data movement |
| US9129138B1 (en) * | 2010-10-29 | 2015-09-08 | Western Digital Technologies, Inc. | Methods and systems for a portable data locker |
| US20130091575A1 (en) * | 2011-10-07 | 2013-04-11 | David Paul Duncan | Antivirus system and method for removable media devices |
| CN103597775A (zh) * | 2012-04-25 | 2014-02-19 | 株式会社东芝 | 医用信息验证系统 |
| US20130291112A1 (en) * | 2012-04-27 | 2013-10-31 | Ut-Batelle, Llc | Architecture for removable media usb-arm |
| EP2672414A1 (en) * | 2012-06-08 | 2013-12-11 | Sodge IT GmbH | Method for transferring configuration data to controller devices, a system and a computer program product |
| CN103390125A (zh) * | 2013-07-19 | 2013-11-13 | 丁贤根 | 用无线终端授权及加解密的安全移动存储控制器设计方法 |
| CN103678994A (zh) * | 2013-12-05 | 2014-03-26 | 中国科学院数据与通信保护研究教育中心 | 一种具有环境控制的usb加密存储系统及方法 |
| WO2015162127A1 (en) * | 2014-04-22 | 2015-10-29 | Alstom Renewable Technologies | Method and system for securing electronic data exchange between an industrial programmable device and a portable programmable device |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112997462A (zh) * | 2019-10-15 | 2021-06-18 | 谷歌有限责任公司 | 用于保护数据的系统和方法 |
| CN112997462B (zh) * | 2019-10-15 | 2022-11-22 | 谷歌有限责任公司 | 用于保护数据的系统和方法 |
| CN115380504A (zh) * | 2020-05-28 | 2022-11-22 | 西门子股份公司 | 一种信息泄露检测方法、装置和计算机可读介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017209967A2 (en) | 2017-12-07 |
| US20170353460A1 (en) | 2017-12-07 |
| CN109196509B (zh) | 2023-09-08 |
| EP3465522A4 (en) | 2020-01-29 |
| EP3465522A2 (en) | 2019-04-10 |
| US10205726B2 (en) | 2019-02-12 |
| WO2017209967A3 (en) | 2018-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109196511A (zh) | 用于锁定和解锁可移除介质以供在受保护系统内部和外部使用的装置和方法 | |
| CN109196509A (zh) | 用于防止由受保护系统的节点进行的文件访问的装置和方法 | |
| US10402577B2 (en) | Apparatus and method for device whitelisting and blacklisting to override protections for allowed media at nodes of a protected system | |
| US11637840B2 (en) | Method and system for forensic data tracking | |
| US11720678B2 (en) | Systems and methods for ransomware detection and mitigation | |
| US10643007B2 (en) | System and method for auditing file access to secure media by nodes of a protected system | |
| US10402559B2 (en) | System and method supporting secure data transfer into and out of protected systems using removable media | |
| EP3465519B1 (en) | System and method for bridging cyber-security threat intelligence into a protected system using secure media | |
| EP3738064B1 (en) | System and method for implementing secure media exchange on a single board computer | |
| CN101895578A (zh) | 基于综合安全审计的文档监控管理系统 | |
| US20170353461A1 (en) | System and method for providing command and control parameters, configuration data, and other data to nodes of a protected system using secure media |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |