CN111885179B - 一种基于文件监测服务的外接式终端防护设备及防护系统 - Google Patents
一种基于文件监测服务的外接式终端防护设备及防护系统 Download PDFInfo
- Publication number
- CN111885179B CN111885179B CN202010736015.XA CN202010736015A CN111885179B CN 111885179 B CN111885179 B CN 111885179B CN 202010736015 A CN202010736015 A CN 202010736015A CN 111885179 B CN111885179 B CN 111885179B
- Authority
- CN
- China
- Prior art keywords
- file
- module
- data
- monitoring
- external storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Abstract
本发明提供一种基于文件监测服务的外接式终端防护设备及防护系统。该设备包括:文件监测模块,可与外部存储设备相连接,用于对外部存储设备及其所包含的文件数据进行安全监测,文件监测模块包括数据监测模块、安全文件服务模块和主控模块,其中,所述安全文件服务模块用于对文件数据进行管理和传输;所述主控模块用于控制文件数据的监测、管理及传输;以及文件输出模块,与所述安全文件服务模块进行保密数据传输以调取安全文件数据,并将所述安全文件数据传输到所述被保护设备。本发明能够实现对外部存储设备及其所包含的文件数据的安全监测,在保证文件数据的安全传输的同时,极大降低了被保护设备的安全风险。
Description
技术领域
本发明属于计算机安全技术领域,尤其涉及一种基于文件监测服务的外接式终端防护设备及防护系统。
背景技术
近些年,计算机及信息技术获得高速发展,从而大大促进了网络的普及,当人们日益享受这计算机及信息技术带来的便利的同时,也为生产/生活中人们所使用的计算机中的数据安全带来了新的威胁,例如常见的有非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒和中间人窃听等等。
解决内网安全问题的技术手段已有很多,例如在主机中安装和使用防火墙、防病毒、入侵检测系统等网络安全产品,但采取上述措施后各种网络安全事件仍频频发生。据统计,计算机犯罪的70%是由内部人员非法使用主机等关键资源造成的,真正来自外部的威胁只有30%,内部人员在使用主机时缺乏安全意识,又位于防火墙后端,接入各种外部存储设备不规范,以及系统的误操作或者蓄意的破坏,都会对机关、企事业单位等造成恶劣的影响甚至重大损失。
同时,对于某些特殊设备,如配备有特殊软件控制的主机,某些工业领域的工程师站/工作员站的设备,这些主机/设备往往由于系统特殊性,市面上没有此类系统适配的安全防护软件,或是由于安装安全类软件容易导致主机原有软件出现兼容性问题,甚至性能受到影响。另外这些工程师站/工作员站的主机上线后基本不会对操作系统进行升级,即使安装安全类软件后也往往不及时更新防恶意代码软件版本和恶意代码库,起不到全面的安全防护作用。
发明内容
鉴于上述问题,本发明提供一种基于文件监测服务的外接式终端防护设备,其包括:文件监测模块,可与外部存储设备相连接,用于对外部存储设备及其所包含的文件数据进行安全监测,所述文件监测模块包括数据监测模块、安全文件服务模块和主控模块,其中,所述数据监测模块用于监测所述外部存储设备的文件数据是否安全;所述安全文件服务模块用于对文件数据进行管理和传输;所述主控模块用于控制文件数据的监测、管理及传输;以及文件输出模块,通过所述USB端口或网络接口与所述被保护设备相连接,所述文件输出模块能够与所述安全文件服务模块进行保密数据传输以调取安全文件数据,并将所述安全文件数据传输到所述被保护设备。
优选地,进一步包括:所述文件监测模块还包括一个或多个对外端口和数据存储模块;当所述数据监测模块监测到所述对外端口接入外部存储设备时,对所述外部存储设备及其所包含的文件数据进行安全监测,并将监测结果发送到主控模块。
优选地,进一步包括:在所述外部存储设备及其所包含的文件数据都通过安全监测时,所述主控模块根据预定策略,将待传输到所述被保护设备的文件数据存储到数据存储模块,并由所述安全文件服务模块进行管理。
优选地,进一步包括:所述安全文件服务模块与所述文件输出模块通过SFTP协议进行内接通信。
优选地,进一步包括:所述安全文件服务模块基于所接收到的文件数据,建立索引信息表,并实时向所述文件输出模块提供所述索引信息表。
优选地,进一步包括:在数据监测模块监测到所述文件输出模块与一个或多个被保护设备相连接时,所述主控模块控制所述文件输出模块向所述一个或多个被保护设备发送所述索引信息表。
优选地,被保护设备的用户根据所述索引信息表判断是否包含所需的文件数据,并向所述文件输出模块发送文件获取请求;所述文件输出模块根据所述文件获取请求从所述安全文件服务模块调取相应文件数据,并将所述文件数据传输到所述被保护设备。
优选地,在所述文件输出模块同时接收到获取相同文件数据的至少两个文件获取请求时,根据预设优先级,对所述被保护设备进行排序,按照排序结果将相应文件数据传输到各被保护设备。
优选地,在所述外部存储设备未通过安全监测时,所述主控模块控制所述文件监测模块与所述外部存储设备主动断开物理连接。
优选地,在所述外部存储设备及其所包含的文件数据均未通过安全监测时,所述主控模块控制所述文件监测模块与所述外部存储设备主动断开物理连接,并对所述外部存储设备进行非许可标记。
此外,本发明还提供了一种防护系统,包括:本发明所述的外接式终端防护设备,其中,安全文件服务模块与文件输出模块建立保密通信连接,以进行保密数据传输并调取文件数据,将所述文件数据传输到所述被保护设备。
通过本发明上述技术方案,至少具有如下一种或多种技术效果:
与现有技术相比,本发明的外接式终端防护设备可与外部存储设备相连接,并对外部存储设备及其所包含的文件数据进行安全监测,对待传输到被保护设备的文件数据进行管理、存储,还通过安全文件服务模块与文件输出模块建立保密通信连接,以进行保密数据传输并调取文件数据,将所述文件数据安全地传输到被保护设备,由此,本发明能够实现对外部存储设备及其所包含的文件数据的安全监测,在保证文件数据的安全保密传输的同时,提高了防护系统的安全性能,实现了无需在被保护设备上安装安全防护软件即可达到安全防护的目的,还极大降低了被保护设备的安全风险。
与现有技术相比,本发明的防护系统通过安全文件服务模块与文件输出模块建立保密通信连接,文件输出模块与被保护设备建立通信连接,进而实现外部存储设备与被保护设备之间的通信连接,以进行保密数据传输,能够将所述文件数据安全地传输到被保护设备,由此,能够实现对外部存储设备及其所包含的文件数据的安全监测,在保证文件数据的安全传输的同时,提高了防护系统的安全性能,实现了无需在被保护设备上安装安全防护软件即可达到安全防护的目的,还极大降低了被保护设备的安全风险。
附图说明
图1为本发明的基于文件监测服务的外接式终端防护设备的内部构造的一示例的示意性框图;
图2为本发明的基于文件监测服务的外接式终端防护设备的内部构造的另一示例的示意性框图;
图3为本发明的基于文件监测服务的外接式终端防护设备的应用场景的一示例的示意图;
图4为本发明的防护系统的应用场景的一示例的示意图。
图5为本发明的防护系统的一种网络部署示例的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本文中术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本发明提出了一种基于文件监测服务的外接式终端防护设备,该外接式终端防护设备外接于被保护设备,可与外部存储设备相连接,并对外部存储设备及其所包含的文件数据进行安全监测,对待传输到被保护设备的文件数据进行管理、存储,还通过安全文件服务模块与文件输出模块建立保密通信连接,以进行保密数据传输并调取文件数据,将所述文件数据安全地传输到被保护设备,由此,本发明能够实现对外部存储设备及其所包含的文件数据的安全监测,在保证文件数据的安全传输的同时,提高了防护系统的安全性能,并极大降低了被保护设备的安全风险。
需要注意的是,本发明中所称的“模块”为硬件模块,即由电路、数据处理装置、存储器、缓存器等有形电子元件构成的硬件模块。本发明中的接口控制模块和主控模块可以是物理上或功能上独立的元件组合,也可以是物理上或功能上整合在一起的整体元件组合。
实施例1
下面,将参见图1、图2和图3描述本发明的基于文件监测服务的外接式终端防护设备的实施例。
在本示例中,本发明的外接式终端防护设备外接于被保护设备,该外接式终端防护设备包括文件监测模块和文件输出模块,其中,文件监测模块可与外部存储设备相连接,用于对外部存储设备及其所包含的文件数据进行安全监测;文件输出模块通过对内接口或端口与被保护设备相连接,并向被保护设备输送文件数据。
图1为本发明的基于文件监测服务的外接式终端防护设备的内部构造的示意性框图。
如图1所示,所述文件监测模块包括数据监测模块、安全文件服务模块、数据存储模块和主控模块。
具体地,所述数据监测模块用于监测所述外部存储设备的文件数据是否安全。
在本示例中,所述安全文件服务模块用于与文件输出模块进行保密数据传输,具体地,安全文件服务模块与文件输出模块通过SFTP协议进行内接通信(即保密数据传输),并基于获取请求从所述安全文件服务模块调取对应的文件数据。
进一步地,所述主控模块用于控制文件数据的传输。
在本示例中,所述文件监测模块还包括用于存储待传输的文件数据的数据存储模块。
优选地,数据存储模块还可进一步存储设定的安全策略,主控制模块通过读取数据存储模块中存储的预先设定的安全策略,对端口控制板上不同类型的端口或不同编号的端口进行安全监测。
需要说明的是,外接式终端防护设备所实现的安全功能包括但不限于:管理员预先对外接式终端防护设备进行权限设置和安全策略设定;安全策略包括但不限于:使能数据导入(如USB端口)、使能数据导出(如USB端口)、USB接入设备限制(如基于USB设备的Vendor ID,即供应商识别码,和/或Product ID,即产品识别码)、数据导入杀毒策略、数据导出黑白名单控制策略、数据导出格式控制策略、USB端口插入保护等。
在其他示例中,也可以不包括数据存储模块,而通过主控模块或安全文件服务模块增设数据存储单元来实现,具体参见图2。但是不限于此,上述仅作为示例进行说明,不能理解成对本发明的限制。
在本示例中,文件监测模块还包括一个或多个对外端口,该对外端口用于接入外部存储设备。优选地,该对外端口为USB端口。
进一步地,文件输出模块通过对内接口与被保护设备相连接,以向所述被保护设备传输安全文件数据。
具体地,主控模块包括与对外端口或对内接口相对应的端口控制板,各端口控制板通过控制连接线(例如总线)连接到主控模块,并通过该主控模块对各端口控制板上各个端口,比如USB端口的不同工作模式,进而实现对各种外部存储设备的接入进行安全控制的功能。其中,工作模式包括可用、不可用、协议过滤、流量镜像及流量审计等,但本发明不限于具体的工作模式控制类型。上述仅作为示例进行说明,不能理解对本发明的限制。
进一步地,安全文件服务模块、数据监测模块分别通过对应的控制连接线连接到主控模块,并通过该主控模块控制数据监测模块和安全文件服务模块,以实现对文件数据的监测、管理和传输。
在本示例中,当所述数据监测模块监测到所述对外端口接入外部存储设备时,对所述外部存储设备及其所包含的文件数据进行安全监测,并将监测结果传输到主控模块。
具体地,在所述外部存储设备及其所包含的文件数据都通过安全监测时,所述主控模块根据预定策略,将所述文件数据进行存储,并由所述安全文件服务模块进行管理。
进一步地,所述安全文件服务模块基于所接收到的文件数据,建立索引信息表,并实时向所述文件输出模块提供所述索引信息表。
例如,索引信息表包括文件数据类型、大小、标识信息、数据所对应的外部存储设备等信息数据。所述索引信息表用于被保护设备查询或匹配自身所需文件数据。
图3是本发明的基于文件监测服务的外接式终端防护设备的应用场景的一示例的示意图。
如图3所示,所述外接式终端防护设备还包括一个或多个对内接口,例如是USB接口或者网络接口。在本示例中,文件输出模块通过一个对内接口与一个被保护设备相连接,但是不限于此,在其他示例中,可与多个被保护设备相连接。
具体地,本发明的外接式终端防护设备通过各个接口连接线外接于被保护设备(在本示例中,被保护设备为主机)上,将需要防护的主机上各个接口(例如,USB口的UC1、UC2,具体参见图4)通过各种类型的连接线连接到自身对内接口上,比如将该主机的接口UC1与UC2分别连接到外接式终端防护设备的对内USB口UA4和UA3上。而各种外部存储设备(U盘、光驱等)全部接到所述外接式终端防护设备上,通过外接式终端防护设备才能与被保护设备进行数据通信,比如U盘通过所述外接式终端防护设备的对外端口UA1接入,USB光驱通过对外端口UA2接入。U盘、USB光驱这些外部存储设备需要与被保护设备进行数据通信,都不能直接接入到被保护设备上,必须通过所述外接式终端防护设备相应的对外端口转接通信。
优选地,所述主控模块用于控制安全文件服务模块与文件输出模块通过SFTP协议建立或断开保密通信连接、以及文件输出模块与被保护设备建立或断开通信连接。由此,能够实现更安全的文件数据传输。
在本示例中,在数据监测模块监测到安全文件服务模块与文件输出模块处于连接状态时,所述主控模块控制所述文件服务模块通过SFTP协议向所述文件输出模块实时传输所述索引信息表。
例如,在数据监测模块监测到所述文件输出模块与一个或多个被保护设备相连接时,所述主控模块控制所述文件输出模块向所述一个或多个被保护设备发送所述索引信息表。
进一步地,被保护设备的用户根据所述索引信息表判断是否包含所需的文件数据,并向所述文件输出模块发送文件获取请求,所述文件输出模块根据所述文件获取请求从所述安全文件服务模块调取相文件数据,并将所述文件数据传输到所述被保护设备。
在另一示例中,在所述文件输出模块同时接收到获取相同文件数据的至少两个文件获取请求时,根据预设优先级,对所述被保护设备进行排序,按照排序结果将相应文件数据传输到各被保护设备。
具体地,管理员根据被保护设备ID与外接式终端防护设备的使用数据或业务需求,预先设定与被保护设备ID相对应的优先级。
进一步地,主控模块根据所述优先级,自动确定传输顺序,并按照该传输顺序向各保护设备传输相应文件数据。
在又一示例中,在所述外部存储设备未通过安全监测时,所述主控模块控制所述文件监测模块与所述外部存储设备主动断开物理连接。
在又一示例中,在所述外部存储设备及其所包含的文件数据均未通过安全监测时,所述主控模块控制所述文件监测模块与所述外部存储设备主动断开物理连接,并对所述外部存储设备进行非许可标记。
需要说明的是,上述仅作为优选的示例进行说明,不能理解成对本发明的限制。
与现有技术相比,本发明的外接式终端防护设备可与外部存储设备相连接,并对外部存储设备及其所包含的文件数据进行安全监测,对待传输到被保护设备的文件数据进行管理、存储,还通过安全文件服务模块与文件输出模块建立保密通信连接,以进行保密数据传输并调取文件数据,将所述文件数据安全地传输到被保护设备,由此,本发明能够实现对外部存储设备及其所包含的文件数据的安全监测,在保证文件数据的安全保密传输的同时,提高了防护系统的安全性能,实现了无需在被保护设备上安装安全防护软件即可达到安全防护的目的,还极大降低了被保护设备的安全风险。
实施例2
参见图4和图5,本发明还提供了一种防护系统,本发明实施例1所述的外接式终端防护设备A,其中,安全文件服务模块与文件输出模块建立保密通信连接,以进行保密数据传输并调取文件数据,将所述文件数据传输到所述被保护设备B。
需要说明的是,在实施例2中,省略了与实施例1相同的部分的说明。
优选地,为了进一步实现相连接的各设备之间的电气安全性,还进行了针对性的设计:
1)接口或端口采用限流限压设计
方案所述终端防护设备所具备设备电气安全性防护指设备功能通过采用硬件设计来防止强放电设备的破坏,通过引入限流限压电路,实现防止电流电压过大的情况,构建第一道防护体系;
2)基于物理开关切换的外部存储设备连接机制
所述外接式终端防护设备通过引入硬件切换逻辑,使得进一步提升电气安全性防护功能。以USB外部存储设备为例,当U盘设备或其他USB设备插入终端防护设备进行操作时,首先必须进行必要的安全监测(或者鉴权认证),只有通过安全监测的设备才允许进行下一步操作,在未通过安全监测(或者未获得安全鉴权认证)前,插入的USB设备无法与被保护设备连通。也就是说,在插入的外部存储设备未通过安全监测前,其与被保护设备之间不存在连通线路,因此即使第一层防护的限流限压设计未发挥应有作用,由插入的USB设备所引发的电流电压冲击也不会影响到被保护设备的安全。
作为一种可选的示例,外接式终端防护设备具备使用中对接口异常情况防护功能,主要针对恶意用户拔掉外接式终端防护设备与被保护设备之间连线,从而试图跳过外接的终端防护设备,直接访问被保护设备的情况,或使用合法USB监测或验证之后,拔出合法设备替换为非法USB设备的情况。
本发明一种优选实施方式针对使用中对异常情况防护进行了针对性的设计:
1)接口连接锁定,例如USB连接锁定
传统接口锁定一般是通过机械方式,即通过特殊接口,例如涉密行业使用的特殊宽口U盘或特种网口,来实现防止误用或是防止他人插拔接口。这种方式的缺点是通用性差,需要对设备接口进行改造以满足机械连接要求,此方式往往只适用于特种行业强制管理的设备,实施性较差,且容易引起设备维护纠纷。
本发明一种优选实施方式提供了所述外接式终端防护设备具备的接口锁定功能,是通过模拟信号采样及模数转换信号采集技术实现,当外接式终端防护设备A特定接口与被保护设备B的特定接口连接时,所述外接式终端防护设备中的接口控制板实时监测到与被保护设备B连接的对内特定接口的连接状态;当所述连接状态发生异常时,自动触发断开所述接口控制板与被保护设备B之间的线路连接。进一步地,通过监测电路捕获所述对内接口的电流/电压变化,确定所述连接状态发生异常,触发告警指示信号。再进一步地,当自动触发断开所述接口控制板与被保护设备之间的线路连接后,所述连接状态从异常恢复到正常,依然保持所述接口控制板与被保护设备之间的线路连接的断开状态。以二者的USB口连接为例,外接式终端防护设备A将实时监测与被保护设备B连接接口的电流电压情况,从而获得设备A与被保护设备B连接线情况。当有恶意用户拔出设备A与被保护设备B的连接线时,监测电路将及时捕获电流电压变化,触发声光告警,并触发连接断开操作,用户即使插回连接线,A与B之间连接也无法自动恢复,需要管理员权限用户进行手工配置后恢复。
2)外部存储设备插拔监测
本发明的技术方案提供的所述外接式终端防护设备所具备的外部存储设备插拔监测功能,指的是所述接口控制板(在本示例中,主要是用于控制对外端口)实时监测接入所述外部存储设备的对外端口的连接状态,并且对每一次接入的外部存储设备及其所包含的文件数据都进行安全监测。作为一种实施例,用户在获得授权,进行数据导入导出操作时,外接式终端防护设备A将通过监测对外端口实现对插入的外部存储设备(例如USB设备)的有效监测,防止用户使用合规设备通过安全监测后,拔下合规设备插入非法设备这一行为。一旦用户拔出设备,主控模块自动恢复到未监测断开连接状态,从而最大程度确保设备连接安全。
硬件支持两种控制模式,分别对应USB设备使用上的两种功能USB数据导入导出以及USB设备直连。
优选地,所述防护系统还包括其远程控制所述外接式终端防护设备的控制中心,位于远端的控制中心通过网络连接到外接式终端防护设备的网口,对所述外接式终端防护设备进行远程控制,以对被保护设备进行安全防护的目的。
本实施例针对一些需要直接接入且非存储类的USB设备,例如USB光驱,加密狗等,设备直连控制逻辑通过主控模块的控制接口控制板的硬件控制逻辑实现对USB设备的数据流量的控制,硬件连线情况如下:外接终端防护设备A中的接口控制板的对内USB接口UA4连接被保护设备B的USB接口UC1,转发接口接入主控模块的USB接口,对外USB端口UA2插入需直连被保护设备B的外部存储设备(比如USB光驱),接口控制板通过控制线连接主控模块。
优选地,外接终端防护设备A对USB设备直连控制方法如下:当外接终端防护设备A的对外USB端口UA2插入需直连被保护设备B的外部存储设备(比如USB光驱)时,接口控制板通过控制线通知主控模块,主控模块控制接口控制板的硬件控制逻辑接通端口UA2与转发接口的物理线路,使得UA2上插入的USB光驱与主控模块的USB端口连通,在此期间硬件控制逻辑保持UA2与连接被保护设备的对内接口UA4的物理线路处于断开状态。
主控模块对UA2上的USB光驱及其包含的文件数据进行安全监测,确认此外部存储设备是否为许可接入设备,当确认此USB光驱是许可接入设备后,硬件控制逻辑将对外端口UA2与对内接口UA4的物理线路接通,实现UA2接口上插入的USB光驱与文件监测模块(具体为安全文件服务模块)连接,安全文件服务模块与文件输出模块建立内接通信(即保密通信连接),进而文件输出模块与被保护设备进行通信连接。
当所述主控模块监测到存在一个或多个端口的连接状态发生变化时,硬件控制逻辑自动断开所述端口与其他接口的物理线路。例如UA2上插入的外部存储设备接入UA4期间,主控模块将实时监测接口控制板的UA2插入的外部存储设备连接情况,一旦监测到外部存储设备拔出接口将自动断开连接。
图5为本发明的基于外接式终端防护设备的防护系统的一种网络部署示例的示意图。所述防护系统包括一个或多个外部存储设备、被保护设备B以及外接式终端防护设备A,其中,所述外接式终端防护设备A外接于所述被保护设备B上,使得所述一个或多个外部存储设备通过所述外接式终端防护设备A与所述被保护设备B进行接口通信。在此,所述外接式终端防护设备A如上所述,此不再赘述。
进一步地,所述防护系统还包括其远程控制所述外接式终端防护设备A的控制中心,控制中心由服务器、管理工作站,以及其他节点所组成,通过网络交换节点连接到所述外接式终端防护设备A的网口EA1(或其他网口)上。
与现有技术相比,本发明的防护系统通过安全文件服务模块与文件输出模块建立保密通信连接,文件输出模块与被保护设备建立通信连接,进而实现外部存储设备与被保护设备之间的通信连接,以进行保密数据传输,能够将所述文件数据安全地传输到被保护设备,由此,能够实现对外部存储设备及其所包含的文件数据的安全监测,在保证文件数据的安全传输的同时,提高了防护系统的安全性能,实现了无需在被保护设备上安装安全防护软件即可达到安全防护的目的,还极大降低了被保护设备的安全风险。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实施。在一些实施例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文字内容的拍照录入装置、计算设备和计算机可读存储介质中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
Claims (5)
1.一种基于文件监测服务的外接式终端防护设备,所述外接式终端防护设备外接于被保护设备,其特征在于,所述外接式终端防护设备包括:
文件监测模块,包括一个或多个对外端口,所述对外端口为USB端口或网络接口,用于接入外部存储设备;所述文件监测模块还包括数据监测模块、安全文件服务模块、数据存储模块和主控模块,用于对所述对外端口上接入的外部存储设备及其所包含的文件数据进行安全监测;其中,所述数据监测模块用于监测所述外部存储设备上的文件数据是否安全,所述安全文件服务模块用于对所述文件数据进行管理和传输,所述主控模块用于控制所述文件数据的监测、管理及传输,所述数据存储模块,用于存储待传输到所述被保护设备的文件数据;以及
文件输出模块,通过对内接口与所述被保护设备相连接,所述对内接口为USB端口或网络接口;所述文件输出模块能够与所述安全文件服务模块进行保密数据传输以调取安全文件数据,并将所述安全文件数据传输到所述被保护设备;
其中,当所述数据监测模块监测到所述对外端口接入了外部存储设备时,所述数据监测模块对所述外部存储设备及其所包含的文件数据进行安全监测,并将监测结果发送到所述主控模块;在所述外部存储设备及其所包含的文件数据都通过安全监测时,所述主控模块根据预定策略,将待传输到所述被保护设备的文件数据存储到所述数据存储模块,并由所述安全文件服务模块进行管理;在所述外部存储设备未通过安全监测时,所述主控模块控制所述文件监测模块与所述外部存储设备主动断开物理连接,而在所述外部存储设备及其所包含的文件数据均未通过安全监测时,所述主控模块控制所述文件监测模块与所述外部存储设备主动断开物理连接,并对所述外部存储设备进行非许可标记;
其中,在所述数据监测模块监测到所述安全文件服务模块与所述文件输出模块处于连接状态时,所述主控模块控制所述文件服务模块通过SFTP协议向所述文件输出模块实时传输索引信息表;所述索引信息表包括文件数据类型、大小、标识信息、数据所对应的外部存储设备信息数据;
其中,在所述文件输出模块同时接收到获取相同文件数据的至少两个文件获取请求时,所述文件输出模块根据预设优先级,对所述被保护设备进行排序,按照排序结果将相应文件数据传输到各被保护设备。
2.如权利要求1所述的外接式终端防护设备,其特征在于,所述外接式终端防护设备进一步包括:
所述安全文件服务模块基于所接收到的文件数据,建立索引信息表,并实时向所述文件输出模块提供所述索引信息表。
3.如权利要求1所述的外接式终端防护设备,其特征在于,所述外接式终端防护设备进一步包括:
在数据监测模块监测到所述文件输出模块与一个或多个被保护设备相连接时,所述主控模块控制所述文件输出模块向所述一个或多个被保护设备发送所述索引信息表。
4.如权利要求3所述的外接式终端防护设备,其特征在于,
被保护设备的用户根据所述索引信息表判断是否包含所需的文件数据,并向所述文件输出模块发送文件获取请求;
所述文件输出模块根据所述文件获取请求从所述安全文件服务模块调取相应文件数据,并将所述文件数据传输到所述被保护设备。
5.一种防护系统,其特征在于,所述防护系统包括如权利要求1-4中任一项所述的外接式终端防护设备,
其中,安全文件服务模块与文件输出模块建立保密通信连接,以进行保密数据传输并调取文件数据,将所述文件数据传输到所述被保护设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010736015.XA CN111885179B (zh) | 2020-07-28 | 2020-07-28 | 一种基于文件监测服务的外接式终端防护设备及防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010736015.XA CN111885179B (zh) | 2020-07-28 | 2020-07-28 | 一种基于文件监测服务的外接式终端防护设备及防护系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111885179A CN111885179A (zh) | 2020-11-03 |
| CN111885179B true CN111885179B (zh) | 2022-05-10 |
Family
ID=73202020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010736015.XA Active CN111885179B (zh) | 2020-07-28 | 2020-07-28 | 一种基于文件监测服务的外接式终端防护设备及防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111885179B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001821B (zh) * | 2022-06-01 | 2023-05-12 | 北京安盟信息技术股份有限公司 | 一种基于usb通讯的数控机床用通讯安全防护系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101901315A (zh) * | 2010-07-12 | 2010-12-01 | 浪潮齐鲁软件产业有限公司 | 一种usb移动存储介质安全隔离与监控管理方法 |
| CN106022094A (zh) * | 2016-06-29 | 2016-10-12 | 国家电网公司 | 一种可集成于计算机的外网u盘隔离检测仪及检测方法 |
| CN109543475A (zh) * | 2018-10-29 | 2019-03-29 | 北京博衍思创信息科技有限公司 | 一种外接式终端防护设备及防护系统 |
| CN109561071A (zh) * | 2018-10-29 | 2019-04-02 | 北京博衍思创信息科技有限公司 | 一种数据流量控制的外接式终端防护设备及防护系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL244557A0 (en) * | 2016-03-13 | 2016-07-31 | Cyber Sepio Systems Ltd | A system and method for protecting a computer system from USB-related weaknesses such as cyber attacks |
-
2020
- 2020-07-28 CN CN202010736015.XA patent/CN111885179B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101901315A (zh) * | 2010-07-12 | 2010-12-01 | 浪潮齐鲁软件产业有限公司 | 一种usb移动存储介质安全隔离与监控管理方法 |
| CN106022094A (zh) * | 2016-06-29 | 2016-10-12 | 国家电网公司 | 一种可集成于计算机的外网u盘隔离检测仪及检测方法 |
| CN109543475A (zh) * | 2018-10-29 | 2019-03-29 | 北京博衍思创信息科技有限公司 | 一种外接式终端防护设备及防护系统 |
| CN109561071A (zh) * | 2018-10-29 | 2019-04-02 | 北京博衍思创信息科技有限公司 | 一种数据流量控制的外接式终端防护设备及防护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111885179A (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109543475B (zh) | 一种外接式终端防护设备及防护系统 | |
| CN109561071B (zh) | 一种数据流量控制的外接式终端防护设备及防护系统 | |
| CN107493265B (zh) | 一种面向工业控制系统的网络安全监控方法 | |
| CN109522760B (zh) | 一种基于硬件控制逻辑的数据转发控制方法及系统 | |
| CA2496939A1 (en) | Network security method and apparatus | |
| CN105978871A (zh) | 一种针对数控系统的通信防护设备 | |
| WO2024012135A1 (zh) | 基于接口检测的外接式防护设备和方法 | |
| CN111885179B (zh) | 一种基于文件监测服务的外接式终端防护设备及防护系统 | |
| CN111898167A (zh) | 包括身份信息验证的外接式终端防护设备及防护系统 | |
| CN111901418B (zh) | 基于单向文件传输协议的外接式终端防护设备及系统 | |
| CN111859434A (zh) | 一种提供保密文件传输的外接式终端防护设备及防护系统 | |
| CN111898105A (zh) | 具有用户追溯功能的外接式终端防护设备及防护系统 | |
| CN111859473A (zh) | 基于空间检测的外接式终端防护设备及防护系统 | |
| CN114760075A (zh) | 一种基于区块链与看门狗wdgm的多重网络信息应急安全系统 | |
| CN209897087U (zh) | 一种基于vpn技术的全网管理监控系统 | |
| CN111885178A (zh) | 包括语音信息验证的外接式终端防护设备及防护系统 | |
| CN202713367U (zh) | 一种用于用电信息采集系统的主站 | |
| CN111859344A (zh) | 包括人脸信息验证的外接式终端防护设备及防护系统 | |
| CN212084141U (zh) | 一种用于工业控制终端的安全加固管理装置 | |
| CN213069818U (zh) | 一种计算机网络安全控制器 | |
| Li et al. | A Portable Network Isolation Apparatus for Substation Maintenance Based on Firewall | |
| KR100796814B1 (ko) | 피씨아이형 보안 인터페이스 카드 및 보안관리 시스템 | |
| CN117375993A (zh) | 一种变电站控制系统数据接入安全网关装置 | |
| CN111859453A (zh) | 外接式防护设备的文件安全防护方法及外接式防护设备 | |
| CN111400780A (zh) | 一种用于工业控制终端的安全加固管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |