CN113821411A - 防范终端计算机违规外联保障涉密内网的方法及系统 - Google Patents

Abstract

本发明公开了一种防范终端计算机违规外联保障涉密内网的方法及系统，终端计算机上安装客户端插入key对其进行配置；向控制台数据库发送信息；控制台经ukey授权登录并显示接收到的信息；生成默认策略；修改策略，对互联网违规和USB违规进行设置；绑定对应的用户，插入USB，出现告警信息；控制台的屏幕上弹出提示告警信息，控制台对告警信息进行处理。本发明提供一种防范终端计算机违规外联保障涉密内网的方法及系统，增加了控制台的安全性，对各用户终端进行统一管理，对不同的终端设置不同的策略，极大的增加灵活性，并通过记录违规报警日志可以随时查看违规信息，方便后续的安全风险查证。

Description

防范终端计算机违规外联保障涉密内网的方法及系统

技术领域

本发明涉及信息安全技术领域，具体涉及一种防范终端计算机违规外联保障涉密内网的方法及系统。

背景技术

随着计算机和网络技术的发展，人们越来越认识到计算机安全的重要。对于涉密计算机的安全，虽然出现了一系列的防护措施，但网络安全管理人员仍然会对所管理网络的安全状况感到担忧，因为如果涉密计算机一旦发送违规外联的情况，如果不及时的进行处理，会时刻威胁着整个计算机网络的安全。对信息安全保密工作带来了极大的隐患，甚至对个人和公司造成严重的损伤，在管理方面又难以控制。

现有的违规外联只是针对互联网的外联进行一个简单的防护，发现报警后，会阻断网络连接以达到保护内网计算机的目的。对USB的监控以及USB的不同分类没有进行一个详细的监控，因为在现实的情况下USB产品的违规拔插，也会对涉密终端造成一个很大的风险，必须对USB也进行一个详细的监控，但是如果整体对USB禁用的话又不符合现实情况的要求。

发明内容

为此，本发明实施例提供一种防范终端计算机违规外联保障涉密内网的方法及系统，以解决现有技术存在的没有对违规USB设备进行监控导致信息泄漏的问题。

为了实现上述目的，本发明实施例提供如下技术方案：

第一方面，一种防范终端计算机违规外联保障涉密内网的方法，包括：

经授权秘钥，终端计算机被配置或修改防范违规策略；所述防范违规策略中设定了需监控的特定种类的USB产品；

通过内部局域网向经授权登录后的控制台数据库发送所述终端计算机的信息；

当检测到所述终端计算机外联USB产品时，通过中间层驱动识别对应的USB产品种类；

若当前外联的USB产品属于所述需监控的特定种类的USB产品，则产生告警指令，使终端计算机显示屏出现告警信息并暂停对应的USB接口功能，通过内部局域网向控制台上报告警信息；

若当前外联的USB产品不属于所述需监控的特定种类的USB产品，则允许对应的USB接口功能正常使用；

在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息，并恢复对应的USB接口功能。

作为优选，还包括：

所述防范违规策略还包括针对终端计算机连接互联网时的响应策略；

当检测到所述终端计算机连接互联网时，产生告警指令，使终端计算机显示屏出现告警信息，网卡被禁并暂停对应的网络功能，通过内部局域网向控制台上报告警信息；

在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息。

作为优选，所述网卡被禁具体是通过网卡驱动定时读取注册表网卡状态，根据外部设置网卡状态值做相应的状态转换。

作为优选，修改防范违规策略、配置终端计算机、告警日志以及管理员操作记录都会被记录。

作为优选，所述需监控的特定种类的USB产品为手机、u盘、对拷线、光驱和录音笔中的一种或多种。

作为优选，驱动根据对应设备的序列号和厂商序列号信息来识别不同设备的USB设备。

作为优选，所述终端计算机配置时插入key对其进行配置，客户端是通过对应的dll来识别所述key的。

作为优选，所述秘钥登录时是通过jui加载对应的so库来授权登录的。

第二方面，一种防范终端计算机违规外联保障涉密内网的系统，包括：

客户端，所述客户端安装在终端计算机上，用于实时监控所述终端计算机是否非法外联USB产品，当检测到所述终端计算机外联USB产品时，通过中间层驱动识别对应的USB产品种类；若当前外联的USB产品属于需监控的特定种类的USB产品，则产生告警指令，使终端计算机显示屏出现告警信息并暂停对应的USB接口功能，同时向报警中心发送告警信息；若当前外联的USB产品不属于需监控的特定种类的USB产品，则允许对应的USB接口功能正常使用；在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息，并恢复对应的USB接口功能；

报警中心，用于接收客户端的告警信息并发出报警；

单导传输装置，用于将告警信息单向传输到控制台；

控制台，控制台，用于根据告警信息，接收并下发授权管理人员的输入命令，并记录相关操作。

第三方面，一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现防范终端计算机违规外联保障涉密内网的方法步骤。

本发明至少具有以下有益效果：本发明提供一种防范终端计算机违规外联保障涉密内网的方法及系统，在终端计算机上插入key并对其进行配置；向控制台数据库发送信息；控制台经ukey授权登录并显示接收到的信息；生成默认策略；修改策略，对互联网违规和USB违规进行设置；绑定对应的用户，插入USB，出现红色的大图标报警信息且一直在闪动；控制台的屏幕上弹出提示报警信息，控制台对报警信息进行处理。本发明提供一种防范终端计算机违规外联保障涉密内网的方法及系统，增加了控制台的安全性，对各用户终端进行统一管理，对不同的终端设置不同的策略，极大的增加灵活性，并通过记录违规报警日志可以随时查看违规信息，方便后续的安全风险查证。

附图说明

为了更清楚地说明现有技术以及本发明，下面将对现有技术以及本发明实施例描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引申获得其它的附图。

本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。

图1为本发明实施例提供的防范终端计算机违规外联保障涉密内网的方法流程图；

图2为本发明实施例提供的系统流程图；

图3为本发明实施例提供的系统结构图。

附图标记说明：

1-客户端；2-报警中心；3-单导传输装置；4-控制台；5-USB。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)旨在区别指代的对象。对于具有时序流程的方案，这种术语表述方式不必理解为描述特定的顺序或先后次序，对于装置结构的方案，这种术语表述方式也不存在对重要程度、位置关系的区分等。

此外，术语“包括”、“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包括了一系列步骤或单元的过程、方法、系统、产品或设备不必限于已明确列出的那些步骤或单元，而是还可包含虽然并未明确列出的但对于这些过程、方法、产品或设备固有的其它步骤或单元，或者基于本发明构思进一步的优化方案所增加的步骤或单元。

请参阅图1，本发明的一个实施例提供一种防范终端计算机违规外联保障涉密内网的方法(简称：“PNAUC方法”)，包括：

S1：经授权秘钥，终端计算机被配置或修改防范违规策略；所述防范违规策略中设定了需监控的特定种类的USB产品；

具体的，在终端计算机上安装客户端添加组织架构内的部门、用户等信息；插入key，key是通过对应的dll来识别，识别后对其进行配置，并配置控制台和报警中心的ip个端口等信息。

S2：通过内部局域网向经授权登录后的控制台数据库发送所述终端计算机的信息；

具体的，控制台经ukey授权登录并显示接收到的信息；控制台授权ukey登录时是通过jui加载对应的so库来授权登录的，登录后终端的信息都会向控制台数据库发送，并显示在控制台上，而且每个终端都会生成一个默认的策略。

需要说明的是，本发明中的key和ukey是类似于U盘的实物，客户端的key是管理员key，拥有权限去给各个终端安装的时候配置ip和端口等还可以处理报警信息，而服务端的ukey是用来做登录授权用的。

S3：当检测到所述终端计算机外联USB产品时，通过中间层驱动识别对应的USB产品种类；

具体的，当检测到终端计算机外联USB产品时，通过中间层驱动识别对应的USB产品种类，修改策略，对互联网违规和USB违规进行设置；USB违规可以分为手机、u盘、对拷线、光驱、录音笔五类来进行设置，使得用户在使用的过程中可以选择性的禁用或者打开对应的USB产品，极大的增加了灵活性，并且用户可以选择其中两个开启监控。

具体的，在对USB违规进行分类时是驱动根据对应设备的序列号和厂商序列号信息来识别不同设备的USB设备的；USB驱动读取插入USB设备会获取的一些标识，如：【序列号：4635551053130230316，厂家：USB，型号ID：00005678，供应商ID：0000FFFF】，根据供应商的ID和型号ID还有驱动进行区分USB种类，根据驱动和上层约定报警ID类型，把对应的USB设备分类到报警ID类型中；上层根据约定好的报警ID类型对对应设备进行放行和禁用操作。

S4：若当前外联的USB产品属于所述需监控的特定种类的USB产品，则产生告警指令，使终端计算机显示屏出现告警信息并暂停对应的USB接口功能，通过内部局域网向控制台上报告警信息；

S5：若当前外联的USB产品不属于所述需监控的特定种类的USB产品，则允许对应的USB接口功能正常使用；

S6：在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息，并恢复对应的USB接口功能；

具体的，在终端绑定对应的用户，插上USB，客户端页面出现红色的大图标报警信息，且一直在闪动，在控制台的网页页面也会屏幕弹出提示报警信息，在控制台对报警信息进行处理后，客户端警报解除。

本发明实施例提供防范终端计算机违规外联保障涉密内网的方法，还包括：

S7：所述防范违规策略还包括针对终端计算机连接互联网时的响应策略；

当检测到所述终端计算机连接互联网时，产生告警指令，使终端计算机显示屏出现告警信息，网卡被禁并暂停对应的网络功能，通过内部局域网向控制台上报告警信息；

在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息。

具体的，在终端连接互联网，客户端页面出现红色的大图标报警信息且一直在闪动，在控制台的网页页面也会屏幕弹出提示报警信息，终端的网卡被禁，无法上网，在控制台对报警信息进行处理后，客户端警报解除。

具体的，网卡被禁具体是通过网卡驱动定时读取注册表网卡状态，根据外部设置网卡状态值做相应的状态转换。

S8：用户修改策略、对违规外联的行为进行设置、报警日志以及管理员操作记录都会被记录。

本发明实施例提供的防范终端计算机违规外联保障涉密内网的方法，具有以下优点：

(1)使得用户终端处于比较安全的状态，对于违规外联的情况，不管是互联网还是USB都能及时的上报，及时阻断，而且还可以灵活性的选择需要监控的USB，极大的增加了用户的体验；

(2)客户端配置信息的修改必须插入对于的key才能修改，增加了安全性；

(3)控制台登录时采用授权ukey验证登录，增加了控制台机的安全性，对各用户终端进行统计管理，对不同的终端设置不同的策略，极大的增加灵活性；

(4)通过记录违规报警日志可以随时都可以查看违规信息，方便后续的安全风险查证。

请参阅图2、图3，本发明的一个实施例提供一种防范终端计算机违规外联保障涉密内网的系统，包括客户端1、报警中心2、单导传输装置3和控制台4，客户端1安装在涉密计算机终端上，客户端1与报警中心2通过互联网连接，报警中心2和控制台4通过单导传输装置3连接；

客户端1，客户端1安装在终端计算机上，用于实时监控终端计算机是否非法外联USB产品，当检测到终端计算机外联USB产品时，通过中间层驱动识别对应的USB产品种类；若当前外联的USB产品属于需监控的特定种类的USB产品，则产生告警指令，使终端计算机显示屏出现告警信息并暂停对应的USB接口功能，同时向报警中心2发送告警信息；若当前外联的USB产品不属于需监控的特定种类的USB产品，则允许对应的USB接口功能正常使用；在接收到来自控制台4的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息，并恢复对应的USB接口功能；

报警中心2，用于接收客户端1的告警信息并发出报警；

单导传输装置3，用于将告警信息单向传输到控制台4；

控制台4，用于根据告警信息，接收并下发授权管理人员的输入命令，并记录相关操作。

本发明中，互联网违规实现对涉密计算机终端非法外联互联网进行实时监控，一旦发现涉密计算机违规外联，第一时间上报保密主管部门，并阻断被监控涉密计算机终端的网络连接，杜绝非法外联的可能，并通过单导传输装置3将报警信息传输到控制台4，在屏幕上方提示显示非法外联涉密计算机的详细信息并记录相关的违规日志，有效地保障涉密内网的安全。USB违规的话会通过中间层驱动识别对应的USB产品，客户端1将会根据策略信息来决定是否将USB的外联信息进行上报，如果策略中的某一项USB产品开启了监控，那么直接会将报警发送到控制台4去，在屏幕上显示且控制台4会进行监控和处理。

本发明的一个实施例还提供一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现防范终端计算机违规外联保障涉密内网的方法步骤。

以上几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

以上实施例的各技术特征可以进行任意的组合(只要这些技术特征的组合不存在矛盾)，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述；这些未明确写出的实施例，也都应当认为是本说明书记载的范围。

上文中通过一般性说明及具体实施例对本发明作了较为具体和详细的描述。应当指出的是，在不脱离本发明构思的前提下，显然还可以对这些具体实施例作出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种防范终端计算机违规外联保障涉密内网的方法，其特征在于，包括：

经授权秘钥，终端计算机被配置或修改防范违规策略；所述防范违规策略中设定了需监控的特定种类的USB产品；

通过内部局域网向经授权登录后的控制台数据库发送所述终端计算机的信息；

当检测到所述终端计算机外联USB产品时，通过中间层驱动识别对应的USB产品种类；

若当前外联的USB产品属于所述需监控的特定种类的USB产品，则产生告警指令，使终端计算机显示屏出现告警信息并暂停对应的USB接口功能，通过内部局域网向控制台上报告警信息；

若当前外联的USB产品不属于所述需监控的特定种类的USB产品，则允许对应的USB接口功能正常使用；

在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息，并恢复对应的USB接口功能。

2.根据权利要求1所述的防范终端计算机违规外联保障涉密内网的方法，其特征在于，还包括：

所述防范违规策略还包括针对终端计算机连接互联网时的响应策略；

当检测到所述终端计算机连接互联网时，产生告警指令，使终端计算机显示屏出现告警信息，网卡被禁并暂停对应的网络功能，通过内部局域网向控制台上报告警信息；

在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息。

3.根据权利要求2所述的防范终端计算机违规外联保障涉密内网的方法，其特征在于，所述网卡被禁具体是通过网卡驱动定时读取注册表网卡状态，根据外部设置网卡状态值做相应的状态转换。

4.根据权利要求1所述的防范终端计算机违规外联保障涉密内网的方法，其特征在于，修改防范违规策略、配置终端计算机、告警日志以及管理员操作记录都会被记录。

5.根据权利要求1所述的防范终端计算机违规外联保障涉密内网的方法，其特征在于，所述需监控的特定种类的USB产品为手机、u盘、对拷线、光驱和录音笔中的一种或多种。

6.根据权利要求5所述的防范终端计算机违规外联保障涉密内网的方法，其特征在于，驱动根据对应设备的序列号和厂商序列号信息来识别不同设备的USB设备。

7.根据权利要求1所述的防范终端计算机违规外联保障涉密内网的方法，其特征在于，所述终端计算机配置时插入key对其进行配置，客户端是通过对应的dll来识别所述key的。

8.根据权利要求1所述的防范终端计算机违规外联保障涉密内网的方法，其特征在于，所述秘钥登录时是通过jui加载对应的so库来授权登录的。

9.一种防范终端计算机违规外联保障涉密内网的系统，其特征在于，包括：

客户端，所述客户端安装在终端计算机上，用于实时监控所述终端计算机是否非法外联USB产品，当检测到所述终端计算机外联USB产品时，通过中间层驱动识别对应的USB产品种类；若当前外联的USB产品属于需监控的特定种类的USB产品，则产生告警指令，使终端计算机显示屏出现告警信息并暂停对应的USB接口功能，同时向报警中心发送告警信息；若当前外联的USB产品不属于需监控的特定种类的USB产品，则允许对应的USB接口功能正常使用；在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息，并恢复对应的USB接口功能；

报警中心，用于接收客户端的告警信息并发出报警；

单导传输装置，用于将告警信息单向传输到控制台；

控制台，控制台，用于根据告警信息，接收并下发授权管理人员的输入命令，并记录相关操作。

10.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。

Images