CN109857587A - 移动存储设备的控制方法、装置和存储介质 - Google Patents
移动存储设备的控制方法、装置和存储介质 Download PDFInfo
- Publication number
- CN109857587A CN109857587A CN201711243953.0A CN201711243953A CN109857587A CN 109857587 A CN109857587 A CN 109857587A CN 201711243953 A CN201711243953 A CN 201711243953A CN 109857587 A CN109857587 A CN 109857587A
- Authority
- CN
- China
- Prior art keywords
- storage device
- movable storage
- file
- image file
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003860 storage Methods 0.000 title claims abstract description 396
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000001514 detection method Methods 0.000 claims abstract description 11
- 230000004044 response Effects 0.000 claims abstract description 9
- 238000007726 management method Methods 0.000 claims description 82
- 241000700605 Viruses Species 0.000 claims description 55
- 238000012545 processing Methods 0.000 claims description 37
- 230000033001 locomotion Effects 0.000 claims description 12
- 230000002155 anti-virotic effect Effects 0.000 abstract description 16
- 230000014599 transmission of virus Effects 0.000 abstract description 11
- 238000005516 engineering process Methods 0.000 abstract description 8
- 230000008569 process Effects 0.000 description 13
- 230000009385 viral infection Effects 0.000 description 7
- 238000004519 manufacturing process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 201000010099 disease Diseases 0.000 description 3
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 3
- 238000011835 investigation Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 239000002574 poison Substances 0.000 description 3
- 231100000614 poison Toxicity 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 241000208340 Araliaceae Species 0.000 description 2
- 241000255789 Bombyx mori Species 0.000 description 2
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 2
- 235000003140 Panax quinquefolius Nutrition 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 235000008434 ginseng Nutrition 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 2
- 239000010902 straw Substances 0.000 description 2
- 241000196324 Embryophyta Species 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- LGZXYFMMLRYXLK-UHFFFAOYSA-N mercury(2+);sulfide Chemical compound [S-2].[Hg+2] LGZXYFMMLRYXLK-UHFFFAOYSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 235000015170 shellfish Nutrition 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000009885 systemic effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/10—Program control for peripheral devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Abstract
本发明涉及信息安全技术领域,尤其涉及移动存储设备的控制方法、装置和系统,以有效防范移动存储设备的使用带来的安全风险。该装置包括:移动存储设备接口;存储器,被配置为用于存储设备管理程序;处理器,被配置为用于调用设备管理程序,检测移动存储设备接口是否连接了一个移动存储设备,并在检测到移动存储设备接口连接了一个移动存储设备之后,破坏连接的移动存储设备上的文件系统;响应于一个文件拷贝指令,生成包含目标文件的移动存储设备的文件系统的一个第一镜像文件;用第一镜像文件恢复移动存储设备的文件系统。由于设备管理装置用镜像文件恢复移动存储设备的文件系统,可有效避免杀毒过程中移动存储设备被拔出而造成的病毒传播。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种移动存储设备的控制方法、装置和系统。
背景技术
诸如通用串行总线(Universal Serial Bus,USB)等移动存储设备极大地方便了文件存储。但同时也带来病毒传播、网络攻击等安全风险。
目前,通常使用防病毒软件对移动存储设备进行扫描,以达到查毒、杀毒的目的。防病毒软件的使用需要预先知道病毒的特征,无法有效应对新出现的病毒。
如何对移动存储设备进行控制,以有效防范安全风险是目前亟待解决的问题。
发明内容
有鉴于此,本发明提供一种移动存储设备的控制方法、装置和系统,用以有效防范由于移动存储设备的使用带来的安全风险。
第一方面,提供一种设备管理方法。该方法中,一个设备管理装置在检测到一个移动存储设备连接至所述设备管理装置提供的一个移动存储设备接口之后,执行如下设备管理步骤:破坏所述移动存储设备上的文件系统;接收一个文件拷贝指令,所述文件拷贝指令指示将一个目标文件拷贝到所述移动存储设备上;响应于所述文件拷贝指令,生成所述移动存储设备的文件系统的一个第一镜像文件,所述第一镜像文件中包含所述目标文件;用所述第一镜像文件恢复所述移动存储设备的文件系统。
如果直接将所述文件拷贝到U盘上,然后再杀病毒,也可以达到查杀病毒的目的,但却无法避免以下的操作:即文件拷贝完毕后,在杀病毒的过程中,若移动存储设备被拔出移动存储设备接口,则该移动存储设备可以被正常使用进行文件拷贝,若文件中携带病毒,则可能导致病毒传播。该方法中,设备管理装置用镜像文件恢复移动存储设备的文件系统,可有效避免杀毒过程中移动存储设备被拔出而造成的病毒传播。
该方法中,可选地,在破坏所述移动存储设备上的文件系统之前,获取第一参数,所述第一参数为恢复所述移动存储设备的文件系统所需要的参数;在生成所述第一镜像文件时,根据所述第一参数以及所述目标文件生成所述第一镜像文件。或者,可选地,该在破坏所述移动存储设备上的文件系统之前,生成所述移动存储设备上存储内容为空时,所述移动存储设备的文件系统的一个第二镜像文件;在生成所述第一镜像文件时,将所述目标文件写入所述第二镜像文件中,以生成所述第一镜像文件。
以上提供了恢复获取移动存储设备的文件系统的方法。
可选地,在生成所述第一镜像文件之前,检查所述目标文件是否包含病毒,若所述目标文件不包含病毒,则生成所述第一镜像文件;或者在用所述第一镜像文件恢复所述移动存储设备的文件系统之前,检查所述第一镜像文件是否包含病毒;若所述第一镜像文件不包含病毒,则用所述第一镜像文件恢复所述移动存储设备的文件系统。
这样,可有效避免目标文件携带病毒感染后续设备。
可选地,在破坏所述移动存储设备上的文件系统之前,格式化所述移动存储设备的文件系统。
这样,可避免移动存储设备自身携带病毒的传播。
可选地,在检测到所述移动存储设备连接至所述移动存储设备接口之后,执行所述设备管理步骤之前,判断所述移动存储设备是否被允许通过所述移动存储设备接口进行文件拷贝;若被允许通过所述移动存储设备接口进行文件拷贝,则执行所述设备管理步骤;若被禁止通过所述移动存储设备接口进行文件拷贝,则发出告警。
这样,实现了移动存储设备与移动存储设备接口的绑定,未被授权的移动存储设备禁止通过接口进行文件拷贝,进一步防范恶意攻击,也可有效避免无意中感染的病毒的传播。
可选地,若所述移动存储设备被允许通过所述移动存储设备接口进行文件拷贝,则给出第一提示信息,所述第一提示信息用于指示所述移动存储设备被允许通过所述移动存储设备接口进行文件拷贝。
可选地,在用所述第一镜像文件恢复所述移动存储设备的文件系统之后,给出第二提示信息,所述第二提示信息用于指示所述移动存储设备的文件拷贝结束。
可选地,若用所述第一镜像文件恢复所述移动存储设备的文件系统的过程中断,则给出第三提示信息,所述第三提示信息用于指示所述移动存储设备的文件拷贝中断。
这样,通过提示信息直观地向移动存储设备的使用者进行信息提示。
第二方面,提供一种设备管理装置,包括:一个接口检测模块,被配置为用于一个移动存储设备接口是否连接了一个移动存储设备;一个设备处理模块,被配置为用于在所述检测模块检测到所述移动存储设备接口连接了一个移动存储设备之后,执行如下设备管理步骤:破坏所述移动存储设备上的文件系统;接收一个文件拷贝指令,所述文件拷贝指令指示将一个目标文件拷贝到所述移动存储设备上;响应于所述文件拷贝指令,生成所述移动存储设备的文件系统的一个第一镜像文件,所述第一镜像文件中包含所述目标文件;用所述第一镜像文件恢复所述移动存储设备的文件系统。
如果直接将所述文件拷贝到U盘上,然后再杀病毒,也可以达到查杀病毒的目的,但却无法避免以下的操作:即文件拷贝完毕后,在杀病毒的过程中,若移动存储设备被拔出移动存储设备接口,则该移动存储设备可以被正常使用进行文件拷贝,若文件中携带病毒,则可能导致病毒传播。该设备管理装置用镜像文件恢复移动存储设备的文件系统,可有效避免杀毒过程中移动存储设备被拔出而造成的病毒传播。
可选地,所述设备处理模块,还被配置为用于在破坏所述移动存储设备上的文件系统之前,获取第一参数,所述第一参数为恢复所述移动存储设备的文件系统所需要的参数;所述设备处理模块在生成所述第一镜像文件时具体被配置为适用于:根据所述第一参数以及所述目标文件生成所述第一镜像文件。
或者,所述设备处理模块,还被配置为用于在破坏所述移动存储设备上的文件系统之前,生成所述移动存储设备上存储内容为空时,所述移动存储设备的文件系统的一个第二镜像文件;所述设备处理模块在生成所述第一镜像文件时具体被配置为适用于:将所述目标文件写入所述第二镜像文件中,以生成所述第一镜像文件。
以上提供了恢复获取移动存储设备的文件系统的可选方案。
可选地,所述设备处理模块,还被配置为用于在生成所述第一镜像文件之前,检查所述目标文件是否包含病毒;所述设备处理模块在生成所述第一镜像文件时具体被配置为适用于:若所述目标文件不包含病毒,则生成所述第一镜像文件;或者
所述设备处理模块,还被配置为用于在用所述第一镜像文件恢复所述移动存储设备的文件系统之前,检查所述第一镜像文件是否包含病毒;所述设备处理模块在用所述第一镜像文件恢复所述移动存储设备的文件系统时,具体被配置为适用于:若所述第一镜像文件不包含病毒,则用所述第一镜像文件恢复所述移动存储设备的文件系统。
这样,可有效避免目标文件携带病毒感染后续设备。
可选地,所述设备处理模块还用于:在破坏所述移动存储设备上的文件系统之前,格式化所述移动存储设备的文件系统。
这样,可避免移动存储设备自身携带病毒的传播。
可选地,所述设备处理模块,还被配置为用于:在检测到所述移动存储设备接口连接了一个移动存储设备之后,执行所述设备管理步骤之前,判断所述移动存储设备是否被允许通过所述移动存储设备接口进行文件拷贝;若被允许通过所述移动存储设备接口进行文件拷贝,则执行所述设备管理步骤;若被禁止通过所述移动存储设备接口进行文件拷贝,则发出告警。
这样,实现了移动存储设备与移动存储设备接口的绑定,未被授权的移动存储设备禁止通过接口进行文件拷贝,进一步防范恶意攻击,也可有效避免无意中感染的病毒的传播。
可选地,所述设备处理模块,还被配置为用于执行下列操作中的至少一项:
若所述移动存储设备被允许通过所述移动存储设备接口进行文件拷贝,则给出第一提示信息,所述第一提示信息用于指示所述移动存储设备被允许通过所述移动存储设备接口进行文件拷贝;
在用所述第一镜像文件恢复所述移动存储设备的文件系统之后,给出第二提示信息,所述第二提示信息用于指示所述移动存储设备的文件拷贝结束;
若用所述第一镜像文件恢复所述移动存储设备的文件系统的过程中断,给出第三提示信息,所述第三提示信息用于指示所述移动存储设备的文件拷贝结束。
这样,通过提示信息直观地向移动存储设备的使用者进行信息提示。
第三方面,提供一种设备管理装置,包括:一个移动存储设备接口,被配置为用于连接一个移动存储设备;一个存储器,被配置为用于存储一个设备管理程序;一个处理器,被配置为用于调用所述设备管理程序,检测所述移动存储设备接口是否连接了一个移动存储设备,并在检测到所述移动存储设备接口连接了一个移动存储设备之后,执行如下设备管理步骤:破坏连接的移动存储设备上的文件系统;接收一个文件拷贝指令,所述文件拷贝指令指示将一个目标文件拷贝到连接的移动存储设备上;响应于所述文件拷贝指令,生成所述移动存储设备的文件系统的一个第一镜像文件,所述第一镜像文件中包含所述目标文件;用所述第一镜像文件恢复连接的移动存储设备的文件系统。
如果直接将所述文件拷贝到U盘上,然后再杀病毒,也可以达到查杀病毒的目的,但却无法避免以下的操作:即文件拷贝完毕后,在杀病毒的过程中,若移动存储设备被拔出移动存储设备接口,则该移动存储设备可以被正常使用进行文件拷贝,若文件中携带病毒,则可能导致病毒传播。该设备管理装置用镜像文件恢复移动存储设备的文件系统,可有效避免杀毒过程中移动存储设备被拔出而造成的病毒传播。
可选地,所述存储器还用于存储一个操作系统,所述设备管理程序运行在所述操作系统之上,所述操作系统经过定制,使得连接的移动存储设备的用户只能通过所述设备管理程序提供的用户界面进行文件拷贝操作。
这样,可避免可能发生的绕过本发明实施例提供的设备管理方法,而直接访问操作系统进行文件拷贝的恶意行为。
可选地,所述设备管理装置还包括一个显示屏,所述显示屏用于显示所述移动存储设备接口的如下状态中的至少一个:所述移动存储设备接口连接了一个移动存储设备;所述移动存储设备接口连接的移动存储设备被允许通过所述移动存储设备进行文件拷贝;所述移动存储设备接口连接的移动存储设备被禁止通过所述移动存储设备进行文件拷贝;所述移动存储设备接口连接的移动存储设备文件拷贝结束;所述移动存储设备接口连接的移动存储设备正在使用;所述移动存储设备接口连接的移动存储设备在与所述移动存储设备接口断开连接后,未在预设的时长内重新连接至所述移动存储设备接口。
这样,移动存储设备的使用者可通过观察显示屏,清楚容易地获知移动存储设备的状态。
可选地,所述装置与一个文件服务器之间通过安全通道连接,所述文件服务器上存储所述目标文件。
第四方面,提供一种存储介质,所述存储介质包含一个设备管理程序,所述设备管理程序在被一个处理器调用时,执行如第一方面或第一方面的任一种可能的实现方式所提供的方法。
附图说明
图1、图2为本发明实施例提供的一种设备管理装置的结构示意图。
图3为本发明实施例提供的一种移动存储设备控制方法的流程图。
图4为本发明实施例提供的一种设备管理装置的另一示意图。
附图标记列表:
具体实施方式
如前所述,移动存储设备的使用带来了信息安全的风险。特别是一个运营技术(Operational Technology,OT)系统。传统的OT系统采用封闭式设计,网络攻击很难对其造成威胁。但是随着自动化制造、过程控制技术的发展,OT系统广泛采用了IT技术,已不是一个封闭的系统,但目前的OT系统还缺少完备的安全防范机制,并且由于其运行时间长,因此更容易受到外部的网络攻击。
另一方面,USB设备等移动存储设备在数字化工厂等OT系统中广泛使用极大地增加了安全风险。比如:使用一个USB设备从企业的IT网络的一个文件服务器处复制固件(firmware)或软件,并拷贝到工厂生产线上的一个或多个工作站中。一旦USB设备感染了病毒,病毒就有可能通过该拷贝的操作传播的到工作站中,进而可能进一步传播到关键的控制设备,比如可编程逻辑控制器(Programmable Logic Controller,PLC),最终导致整个OT系统的瘫痪。
本发明实施例提供了一种移动存储设备的控制方法、装置和系统,当应用于OT系统时,可有效防范USB设备等移动存储设备的使用而造成的安全威胁。需要说明书的是,本发明实施例不仅适用于OT系统,还适用于任何使用移动存储设备的系统。
本发明实施例中,当一个移动存储设备插入到一个设备管理装置提供的一个移动存储设备接口之后,该设备管理装置破坏该移动存储设备上的文件系统,并在收到一个文件拷贝指令之后,生成移动存储设备的文件系统的一个镜像文件,第一镜像文件中包含该文件拷贝指令欲拷贝到移动存储设备上的一个目标文件,之后,该设备管理装置用该镜像文件恢复移动存储设备的文件系统。如果直接将所述文件拷贝到U盘上,然后再杀病毒,也可以达到查杀病毒的目的,但却无法避免以下的操作:即文件拷贝完毕后,在杀病毒的过程中,若移动存储设备被拔出移动存储设备接口,则该移动存储设备可以被正常使用进行文件拷贝,若文件中携带病毒,则可能导致病毒传播。本发明实施例中设备管理装置用镜像文件恢复移动存储设备的文件系统,可有效避免杀毒过程中移动存储设备被拔出而造成的病毒传播。
下面,对本发明实施例中涉及的一些描述加以解释。需要说明的是,这些解释是为了便于对本发明实施例的理解,不应视为对本发明保护范围的限定。
1、移动存储设备
相对于固定存储设备而言,可在不同设备之间进行文件拷贝、存储的设备。可包括但不限于:
●USB设备,又可称为移动闪存设备;
●相变式可重复擦写光盘驱动器(Phase Change Rewritable Optical DiskDrive,PD)设备;
●磁光(Magneto Optical,MO)驱动设备;
●移动硬盘;
●软驱(Floppy Drive,FD)设备;
●闪存(Flash Memory)设备,比如:智能媒介(Smart Media,SM)卡、压缩闪存(Compact Flash,CF)卡、多媒体卡(Multi Media Card)、安全数字(Secure Digital,SD)卡、记忆棒(Memory Stick)和TF卡等。
2、OT系统
按照Gartner公司的定义,运营技术OT利用硬件和软件,通过直接的监视和或控制一个企业中的物理设备(physical device)、过程和事件而实现检测或控制。一个OT系统使用计算机来监视或改变一个系统的物理状态。工业控制系统(Industrial ControlSystem)可使用OT系统的一个例子。ICS基于计算机实现,用于远程监视和/或控制诸如一个工厂内的关键过程和物理功能。OT系统的例子有:数据采集与监视控制(SupervisoryControl And Data Acquisition,SCADA)系统、分布式控制系统(Distributed ControlSystem,DCS)、计算机数字控制(Computer Numerical Control,CNC)系统(包括计算机化的机械工具),以及科学设备(比如:数字示波器)。
3、由于移动存储设备的使用而使OT系统受到网络攻击的几个场景
·场景一、一个恶意软件在一个USB设备连接到一个公司的IT环境下的一个文件服务器时,使得该USB设备感染病毒,而该USB设备连接到工厂的一台工业主机上。而工业主机通常需要持续运行,无法重启,因此无法及时安装安全补丁,进而更容易感染病毒。
●场景二、维护人员或工程师将USB设备带回家,在家中的个人电脑上使用该USB设备,使得USB设备感染病毒,再将其带回一个工厂的生产线上使用。
●员工违反公司规定,故意使得USB设备感染病毒,并用感染了病毒的USB设备替换生产线上使用的外观相同的USB设备。
类似的恶意攻击或无意中USB设备感染病毒的场景有很多,这里不一一列举。一旦OT系统感染了病毒,可能会影响关键生产过程,甚至导致整个OT系统瘫痪。
下面,结合附图对本发明各实施例进行详细说明。
图1为本发明实施例提供的一种设备管理装置10的示意图。如图1所示,该装置可包括:
至少一个移动存储设备接口101,每一个移动存储设备接口101用于连接一个移动存储设备20。
可选地,每一个移动存储设备接口101通过一个接口控制卡102与设备管理装置10的处理器103连接。
处理器103,被配置为用于调用存储器106中存储的设备管理程序1062,执行本发明实施例提供的设备管理方法。
存储器106,其中存储有操作系统1061和运行在操作系统1061之上的设备管理程序1062。其中,可选地,操作系统1061可经过定制,使得移动存储设备20的用户70只能通过设备管理程序1062提供的用户界面进行文件拷贝操作,避免可能发生的绕过本发明实施例提供的设备管理方法,而直接访问操作系统进行文件拷贝的恶意行为。此外,存储器106内还存储移动存储设备20的第一镜像文件31或第二镜像文件32。
显示屏104,可用于显示用户界面。移动存储设备20的用户70可通过该用户界面发送文件拷贝指令40,查看移动存储设备20的文件拷贝状态等。可选地,该显示屏104为触控屏,用户70通过该触控屏完成在用户界面上的操作。
网络接口105,可用于与文件服务器60连接,文件服务器60上可存储有待拷贝的目标文件50。当本发明实施例应用在OT系统时,该文件服务器60可为其他安全域,比如办公网内的文件服务器,不与OT系统相连,所以有可能会被病毒感染。或者,本发明实施例中,目标文件50可位于另一个移动存储设备20,该另一个移动存储设备20连接至另一个移动存储设备接口101。
可选地,设备管理装置10还可对用户70的身份进行验证。只有通过身份验证的用户才能够通过设备管理装置10进行文件拷贝。身份验证的方式有多种,比如:用户70输入用户名和密码,设备管理装置10对用户名和密码进行验证。或者设备管理装置10提供一个读卡器,用户70将员工卡插入读卡器,对用户70的身份进行验证。可选地,还可对应于每一个移动存储设备接口101,可安装有机械的锁定装置,若用户70未通过身份验证,则锁定装置将连接到该移动存储设备接口101上的移动存储设备20锁定,用户70无法将其从接口中拔出。
本发明实施例提供的设备管理装置10可与文件服务器60通过安全信道连接,比如:虚拟专用网络(Virtual Private Network,VPN)连接。
此外,存储器106中还可运行有杀毒程序1063,处理器103调用杀毒程序1063对待拷贝的目标文件查毒和/或杀毒。其中,可选地,杀毒程序1063可包括多种不同的杀毒软件,用不同的软件对待拷贝的目标文件50进行查毒和杀毒,以避免单一软件杀毒不全面的问题。
如图1所示,本发明实施例提供的设备管理装置10可由一台主机实现,该主机不外接键盘和鼠标,键盘和鼠标的接口可通过物理装置被锁死,必须用钥匙开锁才能使用键盘和/或鼠标进行系统维护。设备管理装置10中的各个部件可通过总线相互连接,总线包括但不限于:数据总线、地址总线和控制总线。各部件的连接也可不采用总线的方式,处理器103与其他各部件直接连接。
可选地,各个移动存储设备接口101可采用接口阵列的方式实现。该接口阵列可包括数十个接口,移动存储设备20与接口绑定,即只有与一个接口绑定的移动存储设备接口101才能通过该接口进行文件拷贝,未绑定的移动存储设备20不能通过该接口进行文件拷贝。一种可选的实现方式是,一个接口仅绑定一个移动存储设备20,以保证一个移动存储设备(20)仅能通过与其绑定的接口进行文件拷贝。以U盘为例,U盘具有一个通用识别唯一码(Universally Unique Identifier,UUID)。本发明实施例提供的设备管理装置10记录每一个移动存储设备接口101所绑定的U盘的UUID。当一个移动存储设备接口101被插入U盘,设备管理装置10读取该U盘的UUID并与记录的该接口绑定的U盘的UUID进行比较,一致,则确定插入的U盘与该接口绑定,否则确定插入的U盘并未与该接口绑定。此外,也可在移动存储设备20的文件系统中设置标记,设备管理装置10记录该设置的标记与一个移动存储设备接口101的绑定关系,当一个移动存储设备20插入一个接口时,对绑定关系进行检查。
可选地,可通过显示屏104显示各个移动存储设备接口101的状态,以及可选地,还可以在异常情况下发出告警。比如:当与一个移动存储设备接口101绑定的移动存储设备20插入该接口时,处理器103可通过调用设备管理程序1062,控制显示屏104显示该接口的状态为“已连接设备且正常”。再比如:当一个移动存储设备20插入一个未绑定的移动存储设备接口101时,显示屏104在控制下可显示该接口的状态为“连接异常”,并可发出声音告警,文件拷贝等后续操作被禁止。通过将移动存储设备20与移动存储设备接口101进行绑定,可有效防止未绑定的移动存储设备20插入接口进行文件拷贝的操作。
如图2所示,本发明实施例提供的设备管理装置10或者还可由一台便携式电子设备实现,比如一台平板电脑、笔记本电脑、设置一部智能手机等。该便携式电子设备内置接口,可连接移动存储设备20,可选地,还可通过网卡连接外部的文件服务器60,与文件服务器60之间也可建立VPN连接,以保证通信的安全。图2所示的便携式电子设备的内部实现也可如图1所示。采用图2所示的实现方式,用户操作方便,开发者仅需开发设备管理程序1062,无需对现有设备进行硬件改造,实现更容易。
以上介绍了本发明实施例提供的设备管理装置10。该装置通过控制各个移动存储设备接口101,从而实现了对移动存储设备20的存储操作的管理。下面,结合图3说明该装置管理移动存储设备的具体流程。如图3所示,该流程可包括如下步骤:
S301:设备管理装置10检测到一个移动存储设备20插入一个移动存储设备接口101。设备管理装置10可实时监视各个移动存储设备接口101的状态,判断是否有移动存储设备20插入一个接口。
S302:判断该移动存储设备20是否与该接口绑定,即该移动存储设备20是否被允许通过该接口进行文件拷贝。若该移动存储设备20与该接口绑定,则执行步骤S304;否则,执行步骤S303。
S303:在显示屏104上显示该接口状态为“连接异常”,比如显示该接口的颜色为“红色”,可选地,还可发出声音告警,禁止文件拷贝的操作。
S304:在显示屏104上显示该接口状态为“已连接设备且正常”,比如可显示该接口的颜色为“绿色”。
S305:对移动存储设备20进行预处理。
本发明实施例在对移动存储设备20进行预处理时有多种可选实现方式:
方式一、
获取恢复移动存储设备20的文件系统所需要的参数,比如:移动存储设备20的存储空间大小以及移动存储设备20的文件系统的格式、文件系统的数据块或蔟的大小、数量等,以及将数据块组织为文件和目录的结构,并记录哪些数据块被分配给了哪个文件,以及哪些数据块未被使用等等,以便于后续生成移动存储设备20的文件系统的第一镜像文件31。一种可能的情况是,移动存储设备20中并没有存储文件,此时,获取恢复移动存储设备20的文件系统所需要的参数也包括数据块的相关信息,以及文件与目录(此时可能只有一个根目录和相应的系统目录)的结构。该第一镜像文件31中包含待拷贝的目标文件50。可选地,在预处理过程中,还可对移动存储设备20进行格式化。
方式二、
生成移动存储设备20上存储内容为空时,移动存储设备20的文件系统的一个第二镜像文件32。比如:先将移动存储设备20格式化,之后生成第二镜像文件32并存储至硬盘102中。
S306:在步骤S305对移动存储设备20进行了预处理后,破坏移动存储设备20上的文件系统。一般,一个文件系统起始部分对应的区域用于存放该文件系统的属性,比如:数据块或蔟的大小、数量等,此外,还可记录将数据块组织为文件和目录的结构,并记录哪些数据块被分配给了哪个文件,以及哪些数据块未被使用等等。因此,可通过将移动存储设备20上定位文件系统起始部分的区域全部清零即可破坏该文件系统,或者也可将整个文件系统全部清零来破坏该文件系统。
由于移动存储设备20的文件系统被破坏后不可用,因此此时如果从移动存储设备接口101中拔出移动存储设备20,则该移动存储设备20不可用,可选地,还可发出告警,被配置为用于提示错误操作正在进行。
S307:接收来自一个用户70的文件拷贝指令40。比如:用户70在图2所示的便携式电子设备的触控屏上选中欲拷贝的目标文件50,并确定要将该目标文件50拷贝到移动存储设备20中。
S308:响应于该文件拷贝指令40,生成移动存储设备20的文件系统的一个第一镜像文件31。
如果步骤S305采用方式一进行预处理,则步骤S308中,设备管理装置10根据步骤S305中获取的获取移动存储设备20的存储空间大小以及移动存储设备20的文件系统的格式,生成移动存储设备20的文件系统的第一镜像文件31,其中,该第一镜像文件31中包含目标文件50。
如果步骤S305采用方式二进行预处理,则步骤S308中,设备管理装置10将目标文件50写入第二镜像文件32中,以生成第一镜像文件31。
S309:设备管理装置10用所述第一镜像文件31恢复所述移动存储设备20的文件系统。可选地,在用第一镜像文件31成功恢复移动存储设备20的文件系统之后,可在显示屏104上显示该接口状态为“文件拷贝成功”,比如显示该接口的颜色为“黄色”,可选地,还可发出声音提示,提示用户70可从该接口中拔出该移动存储设备20。用户70即可从该接口中拔出该移动存储设备20。当本发明实施例应用于OT系统中时,用户70可将拷贝完成的固件或软件拷贝到OT系统中用于工业生产。可选地,若恢复文件系统的过程终端,比如用户70在恢复移动存储设备20的文件系统过程中将设备从接口中拔出,则设备管理装置10可发出告警。
可选地,设备管理装置10在生成第一镜像文件31之前,还可检查目标文件50是否包含病毒;若目标文件50不包含病毒,则生成第一镜像文件31。或者,设备管理装置10在用第一镜像文件31恢复移动存储设备20的文件系统之前,检查第一镜像文件31是否包含病毒;若第一镜像文件31不包含病毒,则用第一镜像文件31恢复移动存储设备20的文件系统。
S310:在用户70拔出该移动存储设备20,即移动存储设备20与移动存储设备接口101断开连接之后,设备管理装置10在显示屏104上显示该接口的状态为“设备在用”,比如:显示该接口的颜色为“橘红色”。
S311:判断移动存储设备20在拔出后是否在预设的时长内比如:12个小时内或者当天下班时间之前被插回与该移动存储设备20绑定的移动存储设备接口101中,即重新连接至于该移动存储设备20绑定的移动存储设备接口101中,若是,则返回步骤S301,否则执行步骤S312。
S312:设备管理装置10发出告警。
上述各步骤中,设备管理装置10可通过连接的扬声器发出声音来产生告警,也可通过连接的指示灯闪烁来产生告警,或者将告警信息发送至预先定义的用户终端上,比如系统管理员的手机上。
可选地,在步骤S301检测到一个移动存储设备20插入一个移动存储设备接口101后,对用户70的身份进行验证。若验证通过,则允许执行后续操作,否则禁止进一步的操作。可选地,还可记录用户70执行的操作,便于事后审计。
以上介绍了本发明实施例提供的移动存储设备管理方法的流程。图4示出了本发明实施例提供的另一个设备管理装置30的结构示意图。如图4所示,该装置可包括:
一个接口检测模块301,被配置为用于检测设备管理装置10的一个移动存储设备接口101是否插入一个移动存储设备20;
一个设备处理模块302,被配置为用于在检测模块302检测到移动存储设备接口101插入了一个移动存储设备20之后,执行如下设备管理步骤:破坏移动存储设备20上的文件系统;接收一个文件拷贝指令40,文件拷贝指令40指示将一个目标文件50拷贝到移动存储设备20上;响应于文件拷贝指令40,生成移动存储设备20的文件系统的一个第一镜像文件31,第一镜像文件31中包含目标文件50;用第一镜像文件31恢复移动存储设备20的文件系统。
可选地,设备处理模块302,还被配置为用于在破坏移动存储设备20上的文件系统之前,获取第一参数,第一参数包括移动存储设备20的存储空间大小以及移动存储设备20的文件系统的格式;设备处理模块302在生成第一镜像文件31时具体被配置为适用于:根据第一参数以及目标文件50生成第一镜像文件31。或者,设备处理模块302,还被配置为用于在破坏移动存储设备20上的文件系统之前,生成移动存储设备20上存储内容为空时,移动存储设备20的文件系统的一个第二镜像文件32;设备处理模块302在生成第一镜像文件31时具体被配置为适用于:将目标文件50写入第二镜像文件32中,以生成第一镜像文件31。
可选地,设备处理模块302,还被配置为用于在生成第一镜像文件31之前,检查目标文件50是否包含病毒;设备处理模块302在生成第一镜像文件31时具体被配置为适用于:若目标文件50不包含病毒,则生成第一镜像文件31;或者设备处理模块302,还被配置为用于在用第一镜像文件31恢复移动存储设备20的文件系统之前,检查第一镜像文件31是否包含病毒;设备处理模块302在用第一镜像文件31恢复移动存储设备20的文件系统时,具体被配置为适用于:若第一镜像文件31不包含病毒,则用第一镜像文件31恢复移动存储设备20的文件系统。
可选地,设备处理模块302还用于:在破坏移动存储设备20上的文件系统之前,格式化移动存储设备20的文件系统。
可选地,设备处理模块302,还被配置为用于:在检测到移动存储设备20插入移动存储设备接口101之后,执行设备管理步骤之前,判断移动存储设备20是否被允许通过移动存储设备接口101进行文件拷贝;若被允许通过移动存储设备接口101进行文件拷贝,则执行设备管理步骤;若被禁止通过移动存储设备接口101进行文件拷贝,则发出告警。
可选地,设备处理模块302,还被配置为用于执行下列操作中的至少一项若移动存储设备20被允许通过移动存储设备接口101进行文件拷贝,则给出第一提示信息,第一提示信息用于指示移动存储设备20被允许通过移动存储设备接口101进行文件拷贝;和/或在用第一镜像文件31恢复移动存储设备20的文件系统之后,给出第二提示信息,第二提示信息用于指示移动存储设备20的文件拷贝结束;若用第一镜像文件31恢复所述移动存储设备20的文件系统的过程中断,则给出第三提示信息,第三提示信息用于指示移动存储设备20的文件拷贝中断。
该装置的其他可选实现方式可参考图3所示的流程,这里不再赘述。
图4所示的装置30所包括的接口检测模块301和设备处理模块302还可视为图1中的设备管理程序1062中的程序模块,其由设备管理装置10中的处理器103调用执行,实现设备管理装置10的设备管理功能,和/或执行图3所示的方法流程。
本发明实施例还提供一种存储介质,该存储介质上可存储有设备管理程序1062。该程序在运行时实现设备管理装置10的设备管理功能,和/或执行图3所示的方法流程。该存储介质可为软盘、硬盘、内存、磁光盘、光盘、磁带和非易失性存储卡。该存储介质也可为远程服务器(比如:应用服务器,该远程服务器可部署在云上)上的存储资源,设备管理装置10可从远程服务器上下载设备管理程序1062,并在本地设备上运行,或者设备管理程序1062可以微服务的形式运行。
综上,本发明实施例提供一种移动存储设备的控制方法、装置、计算机程序和存储介质。当一个移动存储设备插入到一个设备管理装置提供的一个移动存储设备接口之后,该设备管理装置破坏该移动存储设备上的文件系统,并在收到一个文件拷贝指令之后,生成移动存储设备的文件系统的一个镜像文件,第一镜像文件中包含该文件拷贝指令欲拷贝到移动存储设备上的一个目标文件,之后,该设备管理装置用该镜像文件恢复移动存储设备的文件系统。如果直接将所述文件拷贝到U盘上,然后再杀病毒,也可以达到查杀病毒的目的,但却无法避免以下的操作:即文件拷贝完毕后,在杀病毒的过程中,若移动存储设备被拔出移动存储设备接口,则该移动存储设备可以被正常使用进行文件拷贝,若文件中携带病毒,则可能导致病毒传播。本发明实施例中设备管理装置用镜像文件恢复移动存储设备的文件系统,可有效避免杀毒过程中移动存储设备被拔出而造成的病毒传播。
本发明实施例可用于针对OT系统中的移动存储设备进行管理,通过采用各种技术和机制,可容易地集成到OT系统的生产过程中,无需改动现有的OT系统、工业设备、工业生产流程。可用于从IT系统中拷贝OT系统中使用的固件和/或软件,有效降低OT系统的安全风险。
需要说明的是,上述各流程和各系统结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元可以通过机械方式或电气方式实现。例如,一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器,FPGA或ASIC)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上文通过附图和优选实施例对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施例,基与上述多个实施例本领域技术人员可以知晓,可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例,这些实施例也在本发明的保护范围之内。
Claims (19)
1.设备管理方法,其特征在于,包括:一个设备管理装置(10)在检测到一个移动存储设备(20)连接至所述设备管理装置(10)提供的一个移动存储设备接口(101)之后,执行如下设备管理步骤:
破坏所述移动存储设备(20)上的文件系统;
接收一个文件拷贝指令(40),所述文件拷贝指令(40)指示将一个目标文件(50)拷贝到所述移动存储设备(20)上;
响应于所述文件拷贝指令(40),生成所述移动存储设备(20)的文件系统的一个第一镜像文件(31),所述第一镜像文件(31)中包含所述目标文件(50);
用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统。
2.如权利要求1所述的方法,其特征在于,
所述设备管理步骤还包括:在破坏所述移动存储设备(20)上的文件系统之前,获取第一参数,所述第一参数为恢复所述移动存储设备(20)的文件系统所需要的参数;
生成所述第一镜像文件(31),包括:根据所述第一参数以及所述目标文件(50)生成所述第一镜像文件(31)。
3.如权利要求1所述的方法,其特征在于,
所述设备管理步骤还包括:在破坏所述移动存储设备(20)上的文件系统之前,生成所述移动存储设备(20)上存储内容为空时,所述移动存储设备(20)的文件系统的一个第二镜像文件(32);
生成所述第一镜像文件(31),包括:将所述目标文件(50)写入所述第二镜像文件(32)中,以生成所述第一镜像文件(31)。
4.如权利要求1~3任一项所述的方法,其特征在于,
所述设备管理步骤还包括在生成所述第一镜像文件(31)之前,检查所述目标文件(50)是否包含病毒;生成所述第一镜像文件(31),包括:若所述目标文件(50)不包含病毒,则生成所述第一镜像文件(31);或者
所述设备管理步骤还包括在用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统之前,检查所述第一镜像文件(31)是否包含病毒;用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统,包括:若所述第一镜像文件(31)不包含病毒,则用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统。
5.如权利要求1~4任一项所述的方法,其特征在于,所述设备管理步骤还包括:
在破坏所述移动存储设备(20)上的文件系统之前,格式化所述移动存储设备(20)的文件系统。
6.如权利要求1~5任一项所述的方法,其特征在于,还包括:在检测到所述移动存储设备(20)连接至所述移动存储设备接口(101)之后,执行所述设备管理步骤之前,判断所述移动存储设备(20)是否被允许通过所述移动存储设备接口(101)进行文件拷贝;
若被允许通过所述移动存储设备接口(101)进行文件拷贝,则执行所述设备管理步骤;若被禁止通过所述移动存储设备接口(101)进行文件拷贝,则发出告警。
7.如权利要求6所述的方法,其特征在于,还包括下列步骤中的至少一项:
若所述移动存储设备(20)被允许通过所述移动存储设备接口(101)进行文件拷贝,则给出第一提示信息,所述第一提示信息用于指示所述移动存储设备(20)被允许通过所述移动存储设备接口(101)进行文件拷贝;
在用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统之后,给出第二提示信息,所述第二提示信息用于指示所述移动存储设备(20)的文件拷贝结束;
若用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统的过程中断,则给出第三提示信息,所述第三提示信息用于指示所述移动存储设备(20)的文件拷贝中断。
8.设备管理装置(30),其特征在于,包括:
一个接口检测模块(301),被配置为用于检测一个移动存储设备接口(101)是否连接了一个移动存储设备(20);
一个设备处理模块(302),被配置为用于在所述检测模块(302)检测到所述移动存储设备接口(101)连接了一个移动存储设备(20)之后,执行如下设备管理步骤:
破坏所述移动存储设备(20)上的文件系统;
接收一个文件拷贝指令(40),所述文件拷贝指令(40)指示将一个目标文件(50)拷贝到所述移动存储设备(20)上;
响应于所述文件拷贝指令(40),生成所述移动存储设备(20)的文件系统的一个第一镜像文件(31),所述第一镜像文件(31)中包含所述目标文件(50);
用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统。
9.如权利要求8所述的装置,其特征在于,
所述设备处理模块(302),还被配置为用于在破坏所述移动存储设备(20)上的文件系统之前,获取第一参数,所述第一参数为恢复所述移动存储设备(20)的文件系统所需要的参数;
所述设备处理模块(302)在生成所述第一镜像文件(31)时具体被配置为适用于:根据所述第一参数以及所述目标文件(50)生成所述第一镜像文件(31)。
10.如权利要求8所述的装置,其特征在于,
所述设备处理模块(302),还被配置为用于在破坏所述移动存储设备(20)上的文件系统之前,生成所述移动存储设备(20)上存储内容为空时,所述移动存储设备(20)的文件系统的一个第二镜像文件(32);
所述设备处理模块(302)在生成所述第一镜像文件(31)时具体被配置为适用于:将所述目标文件(50)写入所述第二镜像文件(32)中,以生成所述第一镜像文件(31)。
11.如权利要求8~10任一项所述的装置,其特征在于,
所述设备处理模块(302),还被配置为用于在生成所述第一镜像文件(31)之前,检查所述目标文件(50)是否包含病毒;所述设备处理模块(302)在生成所述第一镜像文件(31)时具体被配置为适用于:若所述目标文件(50)不包含病毒,则生成所述第一镜像文件(31);或者
所述设备处理模块(302),还被配置为用于在用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统之前,检查所述第一镜像文件(31)是否包含病毒;所述设备处理模块(302)在用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统时,具体被配置为适用于:若所述第一镜像文件(31)不包含病毒,则用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统。
12.如权利要求8~11任一项所述的装置,其特征在于,所述设备处理模块(302)还用于:
在破坏所述移动存储设备(20)上的文件系统之前,格式化所述移动存储设备(20)的文件系统。
13.如权利要求8~12任一项所述的装置,其特征在于,所述设备处理模块(302),还被配置为用于:
在检测到所述移动存储设备接口(101)连接了一个移动存储设备(20)之后,执行所述设备管理步骤之前,判断所述移动存储设备(20)是否被允许通过所述移动存储设备接口(101)进行文件拷贝;
若被允许通过所述移动存储设备接口(101)进行文件拷贝,则执行所述设备管理步骤;若被禁止通过所述移动存储设备接口(101)进行文件拷贝,则发出告警。
14.如权利要求13所述的装置,其特征在于,所述设备处理模块(302),还被配置为用于执行下列操作中的至少一项:
若所述移动存储设备(20)被允许通过所述移动存储设备接口(101)进行文件拷贝,则给出第一提示信息,所述第一提示信息用于指示所述移动存储设备(20)被允许通过所述移动存储设备接口(101)进行文件拷贝;
在用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统之后,给出第二提示信息,所述第二提示信息用于指示所述移动存储设备(20)的文件拷贝结束;
若用所述第一镜像文件(31)恢复所述移动存储设备(20)的文件系统的过程中断,给出第三提示信息,所述第三提示信息用于指示所述移动存储设备(20)的文件拷贝结束。
15.设备管理装置(10),其特征在于,包括:
一个移动存储设备接口(101),被配置为用于连接一个移动存储设备(20);
一个存储器(106),被配置为用于存储一个设备管理程序(1062);
一个处理器(103),被配置为用于调用所述设备管理程序(1062),检测所述移动存储设备接口(101)是否连接了一个移动存储设备(20),并在检测到所述移动存储设备接口(101)连接了一个移动存储设备(20)之后,执行如下设备管理步骤:
破坏连接的移动存储设备(20)上的文件系统;
接收一个文件拷贝指令(40),所述文件拷贝指令(40)指示将一个目标文件(50)拷贝到连接的移动存储设备(20)上;
响应于所述文件拷贝指令(40),生成所述移动存储设备(20)的文件系统的一个第一镜像文件(31),所述第一镜像文件(31)中包含所述目标文件(50);
用所述第一镜像文件(31)恢复连接的移动存储设备(20)的文件系统。
16.如权利要求15所述的装置,其特征在于,所述存储器(106)还被配置为用于存储一个操作系统(1061),所述设备管理程序(1062)运行在所述操作系统(1061)之上,所述操作系统(1061)经过定制,使得连接的移动存储设备(20)的用户(70)只能通过所述设备管理程序(1062)提供的用户界面进行文件拷贝操作。
17.如权利要求15或16所述的设备管理装置(10),其特征在于,所述设备管理装置(10)还包括一个显示屏(104),所述显示屏(104)被配置为用于显示所述移动存储设备接口(101)的如下状态中的至少一个:
所述移动存储设备接口(101)连接了一个移动存储设备(20);
所述移动存储设备接口(101)连接的移动存储设备(20)被允许通过所述移动存储设备(20)进行文件拷贝;
所述移动存储设备接口(101)连接的移动存储设备(20)被禁止通过所述移动存储设备(20)进行文件拷贝;
所述移动存储设备接口(101)连接的移动存储设备(20)文件拷贝结束;
所述移动存储设备接口(101)连接的移动存储设备(20)正在使用;
所述移动存储设备接口(101)连接的移动存储设备(20)在与所述移动存储设备接口(101)断开连接后,未在预设的时长内重新连接至所述移动存储设备接口(101)。
18.如权利要求15~17任一项所述的装置,其特征在于,所述装置与一个文件服务器(60)之间通过安全通道连接,所述文件服务器(60)上存储所述目标文件(50)。
19.存储介质,所述存储介质包含一个设备管理程序(1062),所述设备管理程序(1062)在被一个处理器调用时,执行如权利要求1~7任一项所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711243953.0A CN109857587A (zh) | 2017-11-30 | 2017-11-30 | 移动存储设备的控制方法、装置和存储介质 |
| US16/045,881 US20190163908A1 (en) | 2017-11-30 | 2018-07-26 | Control method and unit of mobile storage devices, and storage medium |
| EP18186439.8A EP3493090B1 (en) | 2017-11-30 | 2018-07-31 | Control method and unit of mobile storage devices, and storage medium |
| RU2018129345A RU2693188C1 (ru) | 2017-11-30 | 2018-08-13 | Способ управления и блок для переносных устройств хранения и носитель хранения |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711243953.0A CN109857587A (zh) | 2017-11-30 | 2017-11-30 | 移动存储设备的控制方法、装置和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109857587A true CN109857587A (zh) | 2019-06-07 |
Family
ID=63108437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711243953.0A Pending CN109857587A (zh) | 2017-11-30 | 2017-11-30 | 移动存储设备的控制方法、装置和存储介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20190163908A1 (zh) |
| EP (1) | EP3493090B1 (zh) |
| CN (1) | CN109857587A (zh) |
| RU (1) | RU2693188C1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111428272A (zh) * | 2020-04-21 | 2020-07-17 | 深圳融安网络科技有限公司 | 移动存储设备的安全访问方法、设备及存储介质 |
| CN113407256A (zh) * | 2021-06-21 | 2021-09-17 | 国网北京市电力公司 | 电能表参数的处理方法和装置 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113853765A (zh) * | 2019-08-23 | 2021-12-28 | 西门子股份公司 | 用于对移动存储装置进行安全管理的方法和系统 |
| WO2021035607A1 (en) * | 2019-08-29 | 2021-03-04 | Siemens Aktiengesellschaft | Method and system for security monitoring on an ot system |
| CN111081307A (zh) * | 2019-11-26 | 2020-04-28 | 大连睿海信息科技有限公司 | 存储介质的检测方法 |
| CN113408015A (zh) * | 2021-06-15 | 2021-09-17 | 北京安天网络安全技术有限公司 | 终端设备的产品运维方法、装置及存储介质 |
| CN114707149B (zh) * | 2022-03-18 | 2023-04-25 | 安芯网盾(北京)科技有限公司 | 一种傀儡进程检测方法、装置、电子设备和存储介质 |
| CN115547402B (zh) * | 2022-10-24 | 2023-05-05 | 深圳三地一芯电子股份有限公司 | 掉零监测方法、装置、设备及存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6208999B1 (en) * | 1996-12-12 | 2001-03-27 | Network Associates, Inc. | Recoverable computer file system with a signature area containing file integrity information located in the storage blocks |
| US6578055B1 (en) * | 2000-06-05 | 2003-06-10 | International Business Machines Corporation | Methods, system and computer program products for mirrored file access through assuming a privileged user level |
| US20070143096A1 (en) * | 2005-10-12 | 2007-06-21 | Storage Appliance Corporation | Data backup system including a data protection component |
| US20080083037A1 (en) * | 2006-10-03 | 2008-04-03 | Rmcl, Inc. | Data loss and theft protection method |
| US20110099150A1 (en) * | 2009-10-27 | 2011-04-28 | Cms Products Inc. | Method for a cloning process to enable cloning a larger System drive to a smaller system |
| US20110196842A1 (en) * | 2010-02-09 | 2011-08-11 | Veeam Software International Ltd. | Cross-platform object level restoration from image level backups |
| CN102193813A (zh) * | 2010-03-09 | 2011-09-21 | 上海拜翰网络科技有限公司 | 嵌入式虚拟化快速启动方法及系统 |
| US20130091575A1 (en) * | 2011-10-07 | 2013-04-11 | David Paul Duncan | Antivirus system and method for removable media devices |
| CN103677675A (zh) * | 2013-12-30 | 2014-03-26 | 深圳市维信联合科技有限公司 | 数据输入方法、装置及系统 |
| US20160328579A1 (en) * | 2015-05-04 | 2016-11-10 | Unisys Corporation | Usb dock system and method for securely connecting a usb device to a computing network |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1659474A1 (en) * | 2004-11-15 | 2006-05-24 | Thomson Licensing | Method and USB flash drive for protecting private content stored in the USB flash drive |
| US8789202B2 (en) * | 2008-11-19 | 2014-07-22 | Cupp Computing As | Systems and methods for providing real time access monitoring of a removable media device |
| JP5482059B2 (ja) * | 2009-03-13 | 2014-04-23 | 富士通株式会社 | 記憶装置、および記憶装置へのアクセスを制御するためのプログラム |
| US9588829B2 (en) * | 2010-03-04 | 2017-03-07 | F-Secure Oyj | Security method and apparatus directed at removable storage devices |
| DE102011056191A1 (de) * | 2011-12-08 | 2013-06-13 | Wincor Nixdorf International Gmbh | Vorrichtung zum Schutz von Sicherheitstoken gegen Malware |
| US9081960B2 (en) * | 2012-04-27 | 2015-07-14 | Ut-Battelle, Llc | Architecture for removable media USB-ARM |
| US8805789B2 (en) * | 2012-09-12 | 2014-08-12 | International Business Machines Corporation | Using a metadata image of a file system and archive instance to backup data objects in the file system |
| RU158703U1 (ru) * | 2014-12-01 | 2016-01-20 | ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" | Устройство контроля доступа к внешнему накопителю информации и информации, находящейся на нем |
-
2017
- 2017-11-30 CN CN201711243953.0A patent/CN109857587A/zh active Pending
-
2018
- 2018-07-26 US US16/045,881 patent/US20190163908A1/en not_active Abandoned
- 2018-07-31 EP EP18186439.8A patent/EP3493090B1/en active Active
- 2018-08-13 RU RU2018129345A patent/RU2693188C1/ru active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6208999B1 (en) * | 1996-12-12 | 2001-03-27 | Network Associates, Inc. | Recoverable computer file system with a signature area containing file integrity information located in the storage blocks |
| US6578055B1 (en) * | 2000-06-05 | 2003-06-10 | International Business Machines Corporation | Methods, system and computer program products for mirrored file access through assuming a privileged user level |
| US20070143096A1 (en) * | 2005-10-12 | 2007-06-21 | Storage Appliance Corporation | Data backup system including a data protection component |
| US20080083037A1 (en) * | 2006-10-03 | 2008-04-03 | Rmcl, Inc. | Data loss and theft protection method |
| US20110099150A1 (en) * | 2009-10-27 | 2011-04-28 | Cms Products Inc. | Method for a cloning process to enable cloning a larger System drive to a smaller system |
| US20110196842A1 (en) * | 2010-02-09 | 2011-08-11 | Veeam Software International Ltd. | Cross-platform object level restoration from image level backups |
| CN102193813A (zh) * | 2010-03-09 | 2011-09-21 | 上海拜翰网络科技有限公司 | 嵌入式虚拟化快速启动方法及系统 |
| US20130091575A1 (en) * | 2011-10-07 | 2013-04-11 | David Paul Duncan | Antivirus system and method for removable media devices |
| CN103677675A (zh) * | 2013-12-30 | 2014-03-26 | 深圳市维信联合科技有限公司 | 数据输入方法、装置及系统 |
| US20160328579A1 (en) * | 2015-05-04 | 2016-11-10 | Unisys Corporation | Usb dock system and method for securely connecting a usb device to a computing network |
Non-Patent Citations (2)
| Title |
|---|
| ABU ASADUZZAMAN等: ""An inexpensive plug-and-play hardware security module to restore systems from malware attacks"", 《2013 INTERNATIONAL CONFERENCE ON INFORMATICS, ELECTRONICS AND VISION (ICIEV)》 * |
| 郭鹏;鄢萍;易润忠;: "CRAMFS文件系统在NAND存储器中的应用", 机械与电子, no. 05 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111428272A (zh) * | 2020-04-21 | 2020-07-17 | 深圳融安网络科技有限公司 | 移动存储设备的安全访问方法、设备及存储介质 |
| CN113407256A (zh) * | 2021-06-21 | 2021-09-17 | 国网北京市电力公司 | 电能表参数的处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3493090B1 (en) | 2021-06-02 |
| EP3493090A1 (en) | 2019-06-05 |
| RU2693188C1 (ru) | 2019-07-01 |
| US20190163908A1 (en) | 2019-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109857587A (zh) | 移动存储设备的控制方法、装置和存储介质 | |
| US10412112B2 (en) | Time-tagged pre-defined scenarios for penetration testing | |
| EP1805641B1 (en) | A method and device for questioning a plurality of computerized devices | |
| US10671723B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
| CN101300566A (zh) | 风险驱动的遵从管理 | |
| EP3876121B1 (en) | Data forwarding control method and system based on hardware control logic | |
| CN103902934A (zh) | 一种机箱防拆机侦测方法和装置 | |
| CN109688145A (zh) | 隐私信息的保护方法及装置 | |
| CN105528543A (zh) | 远程杀毒的方法、客户端、控制台及系统 | |
| CN108810949B (zh) | 一种管控wifi热点的处理方法及终端 | |
| EP3433783A1 (en) | Rule enforcement in a network | |
| KR100975133B1 (ko) | 보조기억매체의 보안 관리 시스템 및 이를 이용한 보안관리 방법 | |
| CN114417326A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
| TW202016785A (zh) | 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體 | |
| US11899541B2 (en) | Automated offline backup device | |
| CN115292740A (zh) | 管理剪贴板的方法及装置、非易失性存储介质 | |
| CN113608821A (zh) | 边界安全设备的数据处理方法及装置 | |
| CN112035824A (zh) | 一种权限管理方法、装置、设备及计算机可读存储介质 | |
| Syambas et al. | Two-Step Injection Method for Collecting Digital Evidence in Digital Forensics. | |
| CN116866091B (zh) | 一种防火墙防护系统、方法、电子设备及存储介质 | |
| US20240134750A1 (en) | Data Backup Device | |
| CN115168908B (zh) | 文件保护方法、装置、设备及存储介质 | |
| CN213186312U (zh) | 一种工控安全管理中心安全监控装置及系统 | |
| CN116150820B (zh) | 一种基于机密计算协处理器的飞行器管理方法及飞行器 | |
| US20240086284A1 (en) | Computer recovery system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190607 |