CN111859344A - 包括人脸信息验证的外接式终端防护设备及防护系统 - Google Patents
包括人脸信息验证的外接式终端防护设备及防护系统 Download PDFInfo
- Publication number
- CN111859344A CN111859344A CN202010736025.3A CN202010736025A CN111859344A CN 111859344 A CN111859344 A CN 111859344A CN 202010736025 A CN202010736025 A CN 202010736025A CN 111859344 A CN111859344 A CN 111859344A
- Authority
- CN
- China
- Prior art keywords
- external
- face information
- equipment
- file
- external terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
一种包括人脸信息验证的外接式终端防护设备及防护系统。该外接式终端防护设备包括:若干对外接口,用于分别连接一或多个外部设备及被保护设备;人脸信息采集模块,用于实时采集使用用户的人脸信息;文件监控模块,与人脸信息采集模块连接,用于验证人脸信息,还用于控制对外接口所接入的外部设备的安全鉴权;文件传输模块,与文件监控模块连接,用于在文件监控模块的控制下将外部设备导入的文件数据传输到被保护设备中。本发明能够实现无需在被保护设备上安装安全防护软件即可达到对被保护设备进行安全防护的目的,且通过人脸识别方式确定当前操作人员的使用权限,极大地降低了系统安全风险,全面解决了各接口可能产生的安全隐患。
Description
技术领域
本发明属于计算机安全技术领域,具体涉及一种包括人脸信息验证的外接式终端防护设备及防护系统。
背景技术
近些年,计算机及信息技术获得高速发展,从而大大促进了网络的普及,当人们日益享受这计算机及信息技术带来的便利的同时,也为生产/生活中人们所使用的计算机中的数据安全带来了新的威胁,例如常见的有非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒和中间人窃听等等。
解决内网安全问题的技术手段已有很多,例如在主机中安装和使用防火墙、防病毒、入侵检测系统等网络安全产品,但采取上述措施后各种网络安全事件仍频频发生。据统计,计算机犯罪的70%是由内部人员非法使用主机等关键资源造成的,真正来自外部的威胁只有30%,内部人员在使用主机时缺乏安全意识,又位于防火墙后端,接入各种外部设备不规范,以及系统的误操作或者蓄意的破坏,都会对机关、企事业单位等造成恶劣的影响甚至重大损失。
同时,对于某些特殊设备,如配备有特殊软件控制的主机,某些工业领域的工程师站/工作员站的设备,这些主机/设备往往由于系统特殊性,市面上没有此类系统适配的安全防护软件,或是由于安装安全类软件容易导致主机原有软件出现兼容性问题,甚至性能受到影响。另外这些工程师站/工作员站的主机上线后基本不会对操作系统进行升级,即使安装安全类软件后也往往不及时更新防恶意代码软件版本和恶意代码库,起不到全面的安全防护作用。
此外,对于一些外接式防护设备,也因为缺乏对于特定使用用户的识别能力,而容易被非授权用户进行破解入侵或盗用,导致相关外接式防护设备不具备私密防护性。
发明内容
基于此,本发明的主要目的在于提供一种外接式终端防护设备及防护系统,以期至少部分地解决上述技术问题中的至少之一。
为了实现上述目的,作为本发明的第一方面,提供了一种包括人脸信息验证的外接式终端防护设备,包括:
若干对外接口,用于分别连接一或多个外部设备及被保护设备;
人脸信息采集模块,用于实时采集使用用户的人脸信息,所述人脸信息包括使用用户的人脸图像;
文件监控模块,与所述人脸信息采集模块连接,用于验证所述人脸信息,还用于控制所述对外接口所接入的外部设备的安全鉴权;
文件传输模块,与所述文件监控模块连接,用于在所述文件监控模块的控制下将外部设备导入的文件数据传输到所述被保护设备中。
作为本发明的第二方面,还提供了一种防护系统,包括:
一个或多个外部设备;
被保护设备;以及
如上所述的外接式终端防护设备,
其中,所述外接式终端防护设备外接于所述被保护设备上,使得所述一个或多个外部设备通过所述外接式终端防护设备与所述被保护设备进行接口通信。
基于上述技术方案可知,本发明的外接式终端防护设备及防护系统相对于现有技术至少具有如下一种或多种技术效果:
本发明的外接式终端防护设备可以实现对被保护设备各个数据接口的接管,确保使用被保护设备各个接口的数据通信都通过外接式终端完成,且通过多种验证方式确定当前操作人员的使用权限,从而实现无需在被保护设备上安装安全防护软件即可达到对被保护设备进行安全防护的目的,并且极大降低了系统安全风险,全面解决了由各个接口可能产生的安全隐患;
本发明的外接式终端防护设备还能够避免被非授权用户非法入侵和盗用。
附图说明
图1为本发明一实施例的包括人脸信息验证的外接式终端防护设备的应用场景示意图;
图2为本发明一实施例的包括人脸信息验证的外接式终端防护设备的内部构造示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本文中术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本发明公开了一种包括人脸信息验证的外接式终端防护设备,包括:
若干对外接口,用于分别连接一或多个外部设备及被保护设备;
人脸信息采集模块,用于实时采集使用用户的人脸信息,所述人脸信息包括使用用户的人脸图像;其中,该人脸信息采集模块例如包括一人脸图像采集装置,例如一带显示器的黑白或彩色摄像头,或人像采集打卡装置,其中可以通过显示屏中的虚拟轮廓线提示使用用户将其头像置于该虚拟轮廓线内。此外,由于本发明的外接式终端防护设备也可以做得特别小巧,其上可以不带显示器,从而并不能反馈该人脸信息采集模块是否采集到完整的人脸信息,只能通过预先规定摄像头与使用用户的相对位置,例如使用用户需要站在摄像头前30~40厘米左右的位置处,来确保完整的将使用用户的人脸信息采集。或者,也可以根据人脸信息采集模块对采集的人脸信息中一些特定部位的识别,例如发际线位置、眉毛位置、嘴唇位置、下巴位置的识别,判断该使用用户的人脸轮廓是否超出了采集图像的边缘,并发出警告信息,提示使用用户上移或下移该摄像头。
文件监控模块,与所述人脸信息采集模块连接,用于验证所述人脸信息,还用于控制所述对外接口所接入的外部设备的安全鉴权;
文件传输模块,与所述文件监控模块连接,用于在所述文件监控模块的控制下将外部设备导入的文件数据传输到所述被保护设备中。
根据本发明的优选实施方式,所述文件监控模块包括:
身份信息存储单元,用于临时存储使用用户的人脸信息;
身份识别单元,用于验证所述使用用户的人脸信息是否满足预设的访问权限。
根据本发明的优选实施方式,所述身份信息存储单元还用于预存储满足访问权限用户的身份信息,所述身份信息包括人脸信息。
根据本发明的优选实施方式,当所述对外接口接入外部设备时,所述身份识别单元将从所述使用用户采集到的人脸信息与预存储的满足访问权限的用户身份信息中的人脸信息进行匹配,若匹配成功则该用户满足访问权限。
根据本发明的优选实施方式,所述文件监控模块还包括:
数据检测单元,用于检测所述外部设备存储的文件数据是否满足预设的安全条件;
数据存储单元,用于存储通过安全鉴权的文件数据。
根据本发明的优选实施方式,所述数据存储单元与所述身份识别单元连接,在所述数据存储单元接收通过安全鉴权的文件数据前,所述身份识别单元向所述人脸信息采集模块发送采集人脸信息的请求,并验证该用户的用户身份信息是否满足文件传输权限。
根据本发明的优选实施方式,所述文件监控模块还包括:
文件服务单元,用于管理所述数据存储单元存储的文件数据,并将与所述存储的文件数据对应的索引信息发送到所述文件传输模块。
根据本发明的优选实施方式,所述文件监控模块还包括:
控制单元,用于实现如下控制逻辑:
若所述外部设备未通过安全鉴权,则设定所述外部设备为非许可接入设备,保持所述外部设备与所述被保护设备之间线路物理断开状态;和/或
若所述外部设备通过安全鉴权,则确认所述外部设备为许可接入设备,接通所述外部设备与所述被保护设备之间线路的物理连接。
根据本发明的优选实施方式,其特征在于,所述对外接口中的一个或多个为USB接口。
根据本发明的优选实施方式,当所述文件监控模块接收到用户发送的将所述外接式终端防护设备与所述被保护设备断开的请求时,验证所述人脸信息,若未通过验证则触发告警指示信号。
本发明还公开了一种防护系统,包括:
一或多个外部设备;
被保护设备;以及
如上所述的外接式终端防护设备,
其中,所述外接式终端防护设备外接于所述被保护设备上,使得所述一个或多个外部设备通过所述外接式终端防护设备与所述被保护设备进行接口通信。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明作进一步的详细说明。
图1为本发明一个实施例的包括人脸信息验证的外接式终端防护设备的应用场景示意图,如图1所示,外接式终端防护设备通过各个接口连接线外接于被保护设备上,将需要防护的被保护设备上各个接口(USB口的UC1、UC2,COM口的CC0、网口EC0)通过各种类型的连接线连接到自身对内接口上,比如将被保护设备的接口UC1与UC2分别连接到外接式终端防护设备的对内USB口UA4和UA3上,将串口CC0连接到对内串口CA2上,网口EC0连接到对内网口EA2上。而各种外部设备(U盘、光驱、串口连接设备等)全部接到所述外接式终端防护设备上,通过外接式终端防护设备才能与被保护设备进行数据通信,比如U盘通过所述外接式终端防护设备的对外接口UA1接入,USB光驱通过对外接口UA2接入,串口连接设备通过对外接口CA1接入。U盘、USB光驱以及串口连接设备这些外部设备需要与被保护设备进行数据通信,都不能直接接入到被保护设备上,必须通过所述外接式终端防护设备相应的对外接口转接通信。
图2为本发明一个实施例的包括人脸信息验证的外接式终端防护设备内部构造示意图,如图2所示,该包括人脸信息验证的外接式终端防护设备包括:若干个对外接口、人脸信息采集模块、文件监控模块及文件传输模块。
对外接口如USB接口、串口及网口等,用于分别连接一个或多个外部设备及被保护设备。
人脸信息采集模块,用于实时采集使用用户的人脸信息,所述人脸信息包括使用用户的人脸图像。具体来说,在本发明实施例中,人脸信息采集模块例如包括一个小型摄像装置,由一个显示屏和一个摄像头构成。当用户将外部设备插入到外接式终端防护设备时,先不接通线路,而是通过显示屏提示用户进行人脸识别,只有人脸识别通过后,才进行后续的数据检测和传输的各种功能。
文件监控模块,与所述人脸信息采集模块连接,用于验证所述人脸信息,还用于控制所述对外接口所接入的外部设备的安全鉴权。具体来说,文件监控模块包括:身份存储单元、身份识别单元、数据检测单元、数据存储单元及文件服务单元。
身份存储单元,用于临时存储使用用户的人脸信息,例如,可以预先在身份存储单元内录入并存储具有权限的人员的人脸信息,同时还可以存储每次使用该外接式终端防护设备人员的人脸信息,
身份识别单元,用于验证所述使用用户的人脸信息是否满足预设的访问权限。身份识别单元与摄像头连接,当用户将人脸近距离对准摄像头后,身份识别单元会将拍摄的用户的人脸图像通过与身份存储单元中存储的人脸信息进行比较,若匹配到相同的人脸信息则通过验证,并在显示屏上显示当前用户的身份信息,在本实施例中可以使用卷积神经网络算法进行人脸识别。
当用户将人脸近距离对准摄像头后,身份识别单元没有在身份存储单元中匹配到对应的人脸信息,则在人脸信息采集模块的显示屏上提示无使用权限字样,用户可联系管理员在身份存储单元内录入并存储身份信息及人脸信息,并设置使用外接式终端防护设备的权限。
数据检测单元,用于检测所述外部设备存储的文件数据是否满足预设的安全条件;数据存储单元,用于存储通过安全鉴权的文件数据;文件服务单元,用于管理所述数据存储单元存储的文件数据,并将与所述存储的文件数据对应的索引信息发送到所述文件传输模块。
当外部存储设备通过端口(例如USB端口)连接到文件监控模块上时,由文件监控模块完成对外部存储设备本身的检测、文件数据安全性检测等,然后由用户控制,或者按照既定的安全策略,将需要传输到被保护设备的文件进行存储,并由安全文件服务模块进行管理,同时向文件输出模块提供文件索引信息。外接式终端防护设备所实现的安全功能包括但不限于:管理员预先对外接式终端防护设备进行权限设置和安全策略设定;安全策略包括但不限于:使能数据导入(如USB接口)、使能数据导出(如USB接口)、USB接入设备限制(如基于USB设备的Vendor ID,即供应商识别码,和/或Product ID,即产品识别码)、数据导入杀毒策略、数据导出黑白名单控制策略、数据导出格式控制策略、使能串口接入策略、USB接口插入保护、使能网络通信审计、使能防火墙功能、设置串口命令黑白名单等。
在一优选实施方式中,安全策略包括:管理员在设定好各个安全策略后,相关的这些安全策略将被所述外接式终端防护设备逐一执行。在一种优选的实施方式中,安全策略包括:管理员还控制所述外接式终端防护设备是否进入监控保护模式,此模式将监控与被保护设备间的连接,异常情况下将进行告警。
在一优选实施方式中,所述外接式终端防护设备所具备的接口防护进一步可包括设备电气安全防护,以及使用中的对异常情况防护,包括但不限于,试图强行跳过外接式终端防护设备,使用合法USB设备通过安全验证后试图接入非法USB设备等。
在一优选实施方式中,所述外接式终端防护设备具备的设备电气安全性防护,指的是能够有效防范通过USB等对外接口实现对被保护设备的物理硬件破坏,能够防范诸如USB炸弹等类似通过强放电破坏被保护设备的行为。
为了实现此目标,在本发明的一优选实施方式中,在电气安全性上分为两个层次进行了针对性的设计:
(1)接口采用限流限压设计
方案所述终端防护设备所具备设备电气安全性防护指设备功能通过采用硬件设计来防止强放电设备的破坏,通过引入限流限压电路,实现防止电流电压过大的情况,构建第一道防护体系;
(2)基于物理开关切换的外部设备连接机制
所述外接式终端防护设备通过引入硬件切换逻辑,使得进一步提升电气安全性防护功能。以USB外部设备为例,当U盘设备或其他USB设备插入终端防护设备进行操作时,首先必须进行必要的安全鉴权认证,只有许可的设备才允许进行下一步操作,在未获得安全鉴权认证前,插入的USB设备无法与被保护设备连通。也就是说,在插入的外部设备未通过安全鉴权认证前,其与被保护设备之间不存在连通线路,因此即使第一层防护的限流限压设计未发挥应有作用,由插入的USB设备所引发的电流电压冲击也不会影响到被保护设备的安全。
作为一种可选的实施方式,外接式终端防护设备具备使用中对接口异常情况防护功能,主要针对恶意用户拔掉外接式终端防护设备与被保护设备之间连线,从而试图跳过外接的终端防护设备,直接访问被保护设备的情况,或使用合法USB设备通过安全验证后,拔出合法设备替换为非法USB设备的情况。
在本发明一优选实施方式中,针对使用过程中的异常情况防护进行了针对性的设计:
(1)接口连接锁定,例如USB连接锁定
传统接口锁定一般是通过机械方式,即通过特殊接口,例如涉密行业使用的特殊宽口U盘或特种网口,来实现防止误用或是防止他人插拔接口。这种方式的缺点是通用性差,需要对设备接口进行改造以满足机械连接要求,此方式往往只适用于特种行业强制管理的设备,实施性较差,且容易引起设备维护纠纷。
本发明一种优选实施方式提供了所述外接式终端防护设备具备的接口锁定功能,是通过模拟信号采样及模数转换信号采集技术实现,当外接式终端防护设备A特定接口与被保护设备B的特定接口连接时,所述外接式终端防护设备中的接口控制板实时监测到所述与被保护设备B连接的对内特定接口的连接状态;当所述连接状态发生异常时,自动触发断开所述接口控制板与被保护设备之间的线路连接。进一步地,通过监测电路捕获所述对内接口的电流/电压变化,确定所述连接状态发生异常,触发告警指示信号。再进一步地,当自动触发断开所述接口控制板与被保护设备之间的线路连接后,所述连接状态从异常恢复到正常,依然保持所述接口控制板与被保护设备之间的线路连接的断开状态。以二者的USB口连接为例,外接式终端防护设备A将实时监测与被保护设备B连接接口的电流电压情况,从而获得设备A与主机B连接线情况。当有恶意用户拔出设备A与设备B的连接线时,监测电路将及时捕获电流电压变化,触发声光告警,并触发连接断开操作,用户即使插回连接线,A与B之间连接也无法自动恢复,需要管理员权限用户进行手工配置后恢复。
(2)外部设备插拔监测
本发明的技术方案提供的所述外接式终端防护设备所具备的外部设备插拔监测功能,指的是所述接口控制板实时监测接入所述外部设备的对外接口的连接状态,当确认为许可接入设备的外部设备从对外接口拔出时,自动将所述接通的线路物理连接进行断开;进一步地,当所述外部设备从对外接口拔出后再次接入时,文件监控模块重新对所述外部设备进行安全鉴权操作。作为一种实施例,用户在获得授权,进行数据导入导出操作时,外接式终端防护设备A将通过监测接口实现对插入的外部设备(例如USB设备)的有效监测,防止用户使用合规设备通过安全检查后,拔下合规设备插入非法设备这一行为。一旦用户拔出设备,系统自动恢复到未授权断开连接状态,从而最大程度确保设备连接安全。
作为一种可选的实施方式,所述数据存储单元与所述身份识别单元连接,在所述数据存储单元接收通过安全鉴权的文件数据前,所述身份识别单元向所述人脸信息采集模块发送采集人脸信息的请求,并验证该用户的用户身份信息是否满足文件传输权限。
当所述文件监控模块接收到用户发送的将所述外接式终端防护设备与所述被保护设备断开的请求时,会再次要求当前用户验证人脸信息,确保为本人操作,若连续多次(可以设置为3次)未通过验证则触发告警指示信号,会自动通知管理员处理。
文件传输模块,与所述文件监控模块连接,用于在所述文件监控模块的控制下将外部设备导入的文件数据传输到所述被保护设备中。文件传输模块向被保护设备提供文件索引信息,被保护设备的用户通过文件索引信息向文件传输模块发出文件获取请求,文件传输模块从文件监控模块获取相应的文件。注意的是,文件传输模块与文件监控模块之间的文件传输协议是内部保密协议,以增加传输的安全性。
当用户控制将外部存储设备的文件导入到被保护设备时,也需要进行人脸识别验证,确保数据的安全性和准确性。
本发明的外接式终端防护设备可以实现对被保护设备各个数据接口的接管,确保使用被保护设备各个接口的数据通信都通过外接式终端完成,且通过多种验证方式确定当前操作人员的使用权限,从而实现无需在被保护设备上安装安全防护软件即可达到对被保护设备进行安全防护的目的,并且极大降低了系统安全风险,全面解决了由各个接口可能产生的安全隐患。
本发明还提供了一种所述防护系统,包括一个或多个外部设备、被保护设备以及外接式终端防护设备,其中,所述外接式终端防护设备外接于所述被保护设备上,使得所述一个或多个外部设备通过所述外接式终端防护设备与所述被保护设备进行接口通信。在此,所述外接式终端防护设备如上所述,此不再赘述。
进一步地,所述防护系统还包括其远程控制所述外接式终端防护设备的控制中心,控制中心由服务器、管理工作站,以及其他节点所组成,通过网络交换节点连接到所述外接式终端防护设备的网口上。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实施。在一些实施例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的替代特征来代替。
此外,本领域技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文字内容的拍照录入装置、计算设备和计算机可读存储介质中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,应理解的是,本发明不与任何特定计算机、虚拟装置或者电子设备固有相关,各种通用装置也可以实现本发明。以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种包括人脸信息验证的外接式终端防护设备,其特征在于,包括:
若干对外接口,用于分别连接一或多个外部设备及被保护设备;
人脸信息采集模块,用于实时采集使用用户的人脸信息,所述人脸信息包括使用用户的人脸图像;
文件监控模块,与所述人脸信息采集模块连接,用于验证所述人脸信息,还用于控制所述对外接口所接入的外部设备的安全鉴权;
文件传输模块,与所述文件监控模块连接,用于在所述文件监控模块的控制下将外部设备导入的文件数据传输到所述被保护设备中。
2.如权利要求1所述的外接式终端防护设备,其特征在于,所述文件监控模块包括:
身份信息存储单元,用于临时存储采集到的使用用户的人脸信息;
身份识别单元,用于验证所述使用用户的人脸信息是否满足预设的访问权限。
3.如权利要求2所述的外接式终端防护设备,其特征在于,所述身份信息存储单元还用于预先存储满足访问权限用户的身份信息,所述身份信息包括人脸信息。
4.如权利要求3所述的外接式终端防护设备,其特征在于,当所述对外接口接入外部设备时,所述身份识别单元将从所述使用用户采集到的人脸信息与预存储的满足访问权限的用户身份信息中的人脸信息进行匹配,若匹配成功则该用户满足访问权限。
5.如权利要求4所述的外接式终端防护设备,其特征在于,所述文件监控模块还包括:
数据检测单元,用于检测所述外部设备存储的文件数据是否满足预设的安全条件;
数据存储单元,用于存储通过安全鉴权的文件数据。
6.如权利要求5所述的外接式终端防护设备,其特征在于,所述数据存储单元与所述身份识别单元连接,在所述数据存储单元接收通过安全鉴权的文件数据前,所述身份识别单元向所述人脸信息采集模块发送采集人脸信息的请求,并验证该用户的用户身份信息是否满足文件传输权限。
7.如权利要求5所述的外接式终端防护设备,其特征在于,所述文件监控模块还包括:
文件服务单元,用于管理所述数据存储单元存储的文件数据,并将与所述存储的文件数据对应的索引信息发送到所述文件传输模块。
8.如权利要求5所述的外接式终端防护设备,其特征在于,所述文件监控模块还包括控制单元,用于实现如下控制逻辑:
若所述外部设备未通过安全鉴权,则设定所述外部设备为非许可接入设备,保持所述外部设备与所述被保护设备之间线路物理断开状态;和/或
若所述外部设备通过安全鉴权,则确认所述外部设备为许可接入设备,接通所述外部设备与所述被保护设备之间线路的物理连接。
9.如权利要求1所述的外接式终端防护设备,其特征在于,
所述对外接口中的一个或多个为USB接口;
作为优选,当所述文件监控模块接收到用户发送的将所述外接式终端防护设备与所述被保护设备断开的请求时,验证实时采集到的使用用户的人脸信息,若未通过验证,则触发告警指示信号。
10.一种防护系统,其特征在于,包括:
一或多个外部设备;
被保护设备;以及
如权利要求1-9任一项所述的外接式终端防护设备;
其中,所述外接式终端防护设备外接于所述被保护设备上,使得所述一个或多个外部设备通过所述外接式终端防护设备与所述被保护设备进行接口通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010736025.3A CN111859344A (zh) | 2020-07-28 | 2020-07-28 | 包括人脸信息验证的外接式终端防护设备及防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010736025.3A CN111859344A (zh) | 2020-07-28 | 2020-07-28 | 包括人脸信息验证的外接式终端防护设备及防护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111859344A true CN111859344A (zh) | 2020-10-30 |
Family
ID=72948686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010736025.3A Pending CN111859344A (zh) | 2020-07-28 | 2020-07-28 | 包括人脸信息验证的外接式终端防护设备及防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111859344A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107944307A (zh) * | 2017-12-15 | 2018-04-20 | 安徽长泰信息安全服务有限公司 | 一种计算机安全防护管理系统 |
| CN108763900A (zh) * | 2018-05-24 | 2018-11-06 | 南昌华勤电子科技有限公司 | 一种终端及终端的数据防护方法 |
| CN109543475A (zh) * | 2018-10-29 | 2019-03-29 | 北京博衍思创信息科技有限公司 | 一种外接式终端防护设备及防护系统 |
| CN109561071A (zh) * | 2018-10-29 | 2019-04-02 | 北京博衍思创信息科技有限公司 | 一种数据流量控制的外接式终端防护设备及防护系统 |
-
2020
- 2020-07-28 CN CN202010736025.3A patent/CN111859344A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107944307A (zh) * | 2017-12-15 | 2018-04-20 | 安徽长泰信息安全服务有限公司 | 一种计算机安全防护管理系统 |
| CN108763900A (zh) * | 2018-05-24 | 2018-11-06 | 南昌华勤电子科技有限公司 | 一种终端及终端的数据防护方法 |
| CN109543475A (zh) * | 2018-10-29 | 2019-03-29 | 北京博衍思创信息科技有限公司 | 一种外接式终端防护设备及防护系统 |
| CN109561071A (zh) * | 2018-10-29 | 2019-04-02 | 北京博衍思创信息科技有限公司 | 一种数据流量控制的外接式终端防护设备及防护系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109543475B (zh) | 一种外接式终端防护设备及防护系统 | |
| US8281114B2 (en) | Security system with methodology for defending against security breaches of peripheral devices | |
| CN109561071B (zh) | 一种数据流量控制的外接式终端防护设备及防护系统 | |
| CN110011848B (zh) | 一种移动运维审计系统 | |
| CN103248472A (zh) | 一种处理操作请求的方法、系统以及攻击识别装置 | |
| CN111277539B (zh) | 一种服务器勒索病毒防护系统和方法 | |
| CN109063476A (zh) | 一种保证信息安全的计算机系统 | |
| CN102799831B (zh) | 基于数据库的应用系统信息安全保护系统及信息安全保护方法 | |
| CN104883364B (zh) | 一种判断用户访问服务器异常的方法及装置 | |
| CN111898167A (zh) | 包括身份信息验证的外接式终端防护设备及防护系统 | |
| CN103618613A (zh) | 网络接入控制系统 | |
| CN114266081A (zh) | 一种电力监控系统的运维电脑安全防护系统及方法 | |
| CN111901418B (zh) | 基于单向文件传输协议的外接式终端防护设备及系统 | |
| CN114186293A (zh) | Usb设备与被保护设备的通信控制方法、装置及电子设备 | |
| CN111898105A (zh) | 具有用户追溯功能的外接式终端防护设备及防护系统 | |
| CN111885179B (zh) | 一种基于文件监测服务的外接式终端防护设备及防护系统 | |
| CN111859434A (zh) | 一种提供保密文件传输的外接式终端防护设备及防护系统 | |
| CN111859344A (zh) | 包括人脸信息验证的外接式终端防护设备及防护系统 | |
| CN107968777B (zh) | 网络安全监控系统 | |
| CN111859473A (zh) | 基于空间检测的外接式终端防护设备及防护系统 | |
| CN111885178A (zh) | 包括语音信息验证的外接式终端防护设备及防护系统 | |
| CN113704061A (zh) | 一种涉密的计算机保护系统 | |
| CN111597544B (zh) | 一种应用于usb接口的中介式物理隔离方法及系统 | |
| KR20100085459A (ko) | 네트워크 전송 데이터의 필터링을 이용하는 개인 정보 보호장치 및 개인 정보 보호 방법 | |
| CN112995220A (zh) | 一种用于计算机网络安全数据保密系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |