CN116383901B - 一种防止u盘数据泄密的u盘管理系统 - Google Patents

一种防止u盘数据泄密的u盘管理系统 Download PDF

Info

Publication number
CN116383901B
CN116383901B CN202310646068.6A CN202310646068A CN116383901B CN 116383901 B CN116383901 B CN 116383901B CN 202310646068 A CN202310646068 A CN 202310646068A CN 116383901 B CN116383901 B CN 116383901B
Authority
CN
China
Prior art keywords
disk
usb flash
file
flash disk
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310646068.6A
Other languages
English (en)
Other versions
CN116383901A (zh
Inventor
张�林
李斌
闫怀仟
杨晟收
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wangteng Technology Co ltd
Original Assignee
Beijing Wangteng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wangteng Technology Co ltd filed Critical Beijing Wangteng Technology Co ltd
Priority to CN202310646068.6A priority Critical patent/CN116383901B/zh
Publication of CN116383901A publication Critical patent/CN116383901A/zh
Application granted granted Critical
Publication of CN116383901B publication Critical patent/CN116383901B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种防止U盘数据泄密的U盘管理系统,包括:集中管控装置,用于访问U盘,对所述U盘进行集中授权管理;云服务器,用于储存用户对U盘的操作日志;瘦客户端,用于查询所述U盘的授权状态,以及验证所述U盘的用户身份,允许已授权和通过验证的U盘被访问和读写;其中,所述集中管控装置和所述云服务器同步授权信息和日志信息。本发明对授权U盘灵活使用,提升了U盘的安全性。

Description

一种防止U盘数据泄密的U盘管理系统
技术领域
本申请涉及信息安全领域,特别涉及一种防止U盘数据泄密的U盘管理系统。
背景技术
U盘是我们办公中不可缺少的移动存储介质,但它亦是导致数据泄露的主要途径之一,存有公司重要数据的U盘一旦丢失,就会面临被不法分子盗走数据资料的风险。目前常用的U盘安全解决方案有两种:其一时安全U盘,该方案要求安装特定的软件方可读写安全U盘的内容,增强了保密性,但是缺少集中统一管控和审计;其二时USB集中管控装置进行集中管控,但是该装置缺少灵活性,外出用户无法使用该装置进行管控。
发明内容
(一)申请目的
基于此,为了防止U盘丢失导致数据泄密和敏感数据外泄,以及兼顾使用灵活性和安全性,本申请公开了以下技术方案。
(二)技术方案
本申请公开了一种防止U盘数据泄密的U盘管理系统,包括:
集中管控装置,用于访问U盘,对所述U盘进行集中授权管理;
云服务器,用于储存用户对U盘的操作日志;
瘦客户端,用于查询所述U盘的授权状态,以及验证所述U盘的用户身份,允许已授权和通过验证的U盘被访问和读写;
其中,所述集中管控装置和所述云服务器同步授权信息和日志信息。
在一种可能的实施方式中,所述集中管控装置包括:
U盘挂载模块,用于U盘连接到集中管控装置后,挂载所述U盘,并将所述U盘授权给用户;
识别码发送模块,用于反馈已授权的U盘的唯一识别码uuid,通过所述唯一识别码uuid与用户身份进行绑定;
Web服务模块,用于为已授权的U盘在Web网页上生成U盘文件系统,用户登录所述Web网页实现与U盘的交互;
机密敏感信息定义模块,用于识别U盘的交互内容,拒绝含有机密敏感信息的交互操作;
加密及解密模块,用于在允许的交互操作过程中,在上传文件时,加密所述文件,在打开或下载文件时,解密所述文件,并记录在所述交互操作过程中的操作日志。
在一种可能的实施方式中,所述机密敏感信息定义模块含有机密敏感信息定义文件,将所述U盘的交互内容与所述机密敏感信息定义文件内的敏感内容进行匹配,若所述U盘的交互内容包含有机密敏感信息,则拒绝本次交互操作。
在一种可能的实施方式中,所述操作日志包括时间、来源IP、操作文件、U盘ID、文件哈希、读/写以及用户名,用于审计和溯源。
在一种可能的实施方式中,所述云服务器还会同步所述敏感信息定义文件。
在一种可能的实施方式中,所述瘦客户端包括:
USB驱动模块,用于拦截U盘的挂载动作,通过集中管控装置或者云服务器查询所述U盘的授权状态,若所述U盘未被授权,则取消挂载且禁止访问;
身份认证模块,用于通过外网访问或者授权信息查询失败的用户,通过所述唯一识别码uuid验证用户身份。
在一种可能的实施方式中,所述USB驱动模块通过集中管控装置或者云服务器获取敏感信息定义文件,用于拦截带有机密敏感信息的文件。
在一种可能的实施方式中,所述日志信息包括线上日志和离线日志,所述线上日志为内部用户或者外部联网用户与U盘交互,产生的日志信息;所述离线日志为非联网外部用户与U盘交互,产生的日志信息。
在一种可能的实施方式中,所述离线日志的文件格式包括:
版本号,用于后向兼容性设计;
读写标记和同步标记,用于从U盘拷贝文件或者直接从U盘打开文件,读标记置位;
时间戳,用于表示最后一次读写的时间;
加密头部,用于判断访问文件是否为内部加密文件,读文件内容需要进行解密操作;写文件到U盘自动添加头部并加密。
在一种可能的实施方式中,所述非联网外部用户与U盘交互后,再次联网使用时,瘦客户端或者USB保护装置中的驱动程序会遍历该U盘所有文件未进行日志信息同步的文件,并将日志信息传到云服务器或者USB保护装置。
(三)有益效果
本申请公开的一种防止U盘数据泄密的U盘管理系统,通过集中管控装置,便于对U盘集中管控和授权,通过云服务器记录操作日志,便于审计和溯源,通过瘦客户端对用户进行身份验证,便于在非联网状态下/外网访问时,确保U盘安全,保护了企业商业机密信息以及个人隐私。
附图说明
以下参考附图描述的实施例是示例性的,旨在用于解释和说明本申请,而不能理解为对本申请的保护范围的限制。
图1是本申请公开的一种防止U盘数据泄密的U盘管理系统的框图。
具体实施方式
为使本申请实施的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行更加详细的描述。
下面参考图1详细描述本申请公开的一种防止U盘数据泄密的U盘管理系统实施例。如图1所示,本实施例公开的系统主要包括:
集中管控装置,用于访问U盘,对所述U盘进行集中授权管理;
在至少一个实施例中,集中管控装置为Linux系列主机,设置有多个USB2.0/3.0/3.1接口,用于U盘的插入。
集中管控装置包括以下模块:
U盘挂载模块,用于U盘连接到集中管控装置后,挂载所述U盘,并将所述U盘授权给用户;
识别码发送模块,用于反馈已授权的U盘的唯一识别码uuid,通过所述唯一识别码uuid与用户身份进行绑定;在至少一个实施例中,用户使用唯一识别码uuid绑定手机双因子认证器。
Web服务模块,用于为已授权的U盘在Web网页上生成U盘文件系统,用户登录所述Web网页实现与U盘的交互;
机密敏感信息定义模块,用于识别U盘的交互内容,拒绝含有机密敏感信息的交互操作;
其中,机密敏感信息定义模块含有机密敏感信息定义文件,将所述U盘的交互内容与所述机密敏感信息定义文件内的敏感内容进行匹配,若所述U盘的交互内容包含有机密敏感信息,则拒绝本次交互操作。
加密及解密模块,用于在允许的交互操作过程中,在上传文件时,加密所述文件,在打开或下载文件时,解密所述文件,并记录在所述交互操作过程中的操作日志。
USB保护装置会记录所有用户上传下载文件的操作日志,包括以下表一中的信息,供审计和溯源使用。
表一
云服务器,用于储存用户对U盘的操作日志;在至少一个实施例中,U盘的访问日志通过Rest API写入云服务器。
其中,所述集中管控装置和所述云服务器同步授权信息和日志信息,云服务器还会同步所述敏感信息定义文件。
瘦客户端,用于查询所述U盘的授权状态,以及验证所述U盘的用户身份,允许已授权和通过验证的U盘被访问和读写;
其中,瘦客户端包括:
USB驱动模块,用于拦截U盘的挂载动作,通过集中管控装置或者云服务器查询所述U盘的授权状态,若所述U盘未被授权,则取消挂载且禁止访问;其中,USB驱动模块通过集中管控装置或者云服务器获取敏感信息定义文件,用于拦截带有机密敏感信息的文件。
身份认证模块,用于通过外网访问或者授权信息查询失败的用户,通过所述唯一识别码uuid验证用户身份。在至少一个实施例中,用户通过手机的双因子认证器获取唯一识别码uuid,用该唯一识别码uuid验证用户身份,身份验证通过之后,该U盘可以正常访问,读取U盘内容并且有加密标记的文件会自动解密。
在至少一个实施例中,日志信息包括线上日志和离线日志,所述线上日志为内部用户或者外部联网用户与U盘交互,产生的日志信息;所述离线日志为非联网外部用户与U盘交互,产生的日志信息。
其中,离线日志的文件格式设计如下:
版本号(4字节),用于后向兼容性设计;
读写标记和同步标记(各1字节),用于从U盘拷贝文件或者直接从U盘打开文件,读标记置位;其中,同步标记设置为“0”标识未同步。
时间戳(8字节),用于表示最后一次读写的时间;
加密头部(8字节),用于判断访问文件是否为内部加密文件,读文件内容需要进行解密操作;写文件到U盘自动添加头部并加密。
非联网外部用户与U盘交互后,再次联网使用时,瘦客户端或者USB保护装置中的驱动程序会遍历该U盘所有文件未进行日志信息同步的文件,并将日志信息传到云服务器或者USB保护装置。
本申请对考虑到了各种场景的用户对U盘的使用,充分保护U盘的安全,防止了U盘数据泄露,且在判断用户有泄密行为时,集中管控装置进行告警提示。
实施例1,用户A,往1号U盘拷贝了一个文件(写),然后又在外网从该U盘拷出了该文件,则判定该用户有数据泄密行为,USB保护装置进行告警提示。
实施例2,内部用户A,往U盘拷贝了一个文件,发生了和该文件相关的信息泄露,非联网的情况下,该U盘的拷出动作日志没有及时同步到集中管理装置,也可以通过查询日志信息查到用户A的行为。
在本申请的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,均仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请保护范围的限制。
在本文中,“第一”、“第二”等仅用于彼此的区分,而非表示它们的重要程度及顺序等。
本文中的模块、单元或组件的划分仅仅是一种逻辑功能的划分,在实际实现时可以有其他的划分方式,例如多个模块和/或单元可以结合或集成于另一个系统中。作为分离部件说明的模块、单元、组件在物理上可以是分开的,也可以是不分开的。作为单元显示的部件可以是物理单元,也可以不是物理单元,即可以位于一个具体地方,也可以分布到网格单元中。因此可以根据实际需要选择其中的部分或全部的单元来实现实施例的方案。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (6)

1.一种防止U盘数据泄密的U盘管理系统,其特征在于,包括:
集中管控装置,用于访问U盘,对所述U盘进行集中授权管理,所述集中管控装置含有机密敏感信息定义模块,用于识别U盘的交互内容,拒绝含有机密敏感信息的交互操作,所述机密敏感信息定义模块含有机密敏感信息定义文件,将所述U盘的交互内容与所述机密敏感信息定义文件内的敏感内容进行匹配,若所述U盘的交互内容包含有机密敏感信息,则拒绝本次交互操作;
云服务器,用于储存用户对U盘的操作日志;
瘦客户端,所述瘦客户端包括USB驱动模块和身份认证模块,所述瘦客户端用于查询所述U盘的授权状态,通过集中管控装置或者云服务器获取敏感信息定义文件,用于拦截带有机密敏感信息的文件,所述身份认证模块用于验证所述U盘的用户身份,允许已授权和通过验证的U盘被访问和读写;
其中,所述集中管控装置和所述云服务器同步授权信息和日志信息,所述日志信息包括线上日志和离线日志,所述线上日志为内部用户或者外部联网用户与U盘交互,产生的日志信息;所述离线日志为非联网外部用户与U盘交互,产生的日志信息;
离线日志的文件格式包括:版本号,用于后向兼容性设计;读写标记和同步标记,用于从U盘拷贝文件或者直接从U盘打开文件,读标记置位;时间戳,用于表示最后一次读写的时间;加密头部,用于判断访问文件是否为内部加密文件,读文件内容需要进行解密操作;写文件到U盘自动添加头部并加密。
2.如权利要求1所述的一种防止U盘数据泄密的U盘管理系统,其特征在于,所述集中管控装置还包括:
U盘挂载模块,用于U盘连接到集中管控装置后,挂载所述U盘,并将所述U盘授权给用户;
识别码发送模块,用于反馈已授权的U盘的唯一识别码uuid,通过所述唯一识别码uuid与用户身份进行绑定;
Web服务模块,用于为已授权的U盘在Web网页上生成U盘文件系统,用户登录所述Web网页实现与U盘的交互;
加密及解密模块,用于在允许的交互操作过程中,在上传文件时,加密所述文件,在打开或下载文件时,解密所述文件,并记录在所述交互操作过程中的操作日志。
3.如权利要求2所述的一种防止U盘数据泄密的U盘管理系统,其特征在于,所述操作日志包括时间、来源IP、操作文件、U盘ID、文件哈希、读/写以及用户名,用于审计和溯源。
4.如权利要求3所述的一种防止U盘数据泄密的U盘管理系统,其特征在于,所述云服务器还会同步所述敏感信息定义文件。
5.如权利要求4所述的一种防止U盘数据泄密的U盘管理系统,其特征在于,所述瘦客户端包括:
USB驱动模块,用于拦截U盘的挂载动作,通过集中管控装置或者云服务器查询所述U盘的授权状态,若所述U盘未被授权,则取消挂载且禁止访问;
身份认证模块,用于通过外网访问或者授权信息查询失败的用户,通过所述唯一识别码uuid验证用户身份。
6.如权利要求1所述的一种防止U盘数据泄密的U盘管理系统,其特征在于,所述非联网外部用户与U盘交互后,再次联网使用时,瘦客户端或者USB保护装置中的驱动程序会遍历该U盘所有文件未进行日志信息同步的文件,并将日志信息传到云服务器或者USB保护装置。
CN202310646068.6A 2023-06-02 2023-06-02 一种防止u盘数据泄密的u盘管理系统 Active CN116383901B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310646068.6A CN116383901B (zh) 2023-06-02 2023-06-02 一种防止u盘数据泄密的u盘管理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310646068.6A CN116383901B (zh) 2023-06-02 2023-06-02 一种防止u盘数据泄密的u盘管理系统

Publications (2)

Publication Number Publication Date
CN116383901A CN116383901A (zh) 2023-07-04
CN116383901B true CN116383901B (zh) 2023-09-01

Family

ID=86979155

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310646068.6A Active CN116383901B (zh) 2023-06-02 2023-06-02 一种防止u盘数据泄密的u盘管理系统

Country Status (1)

Country Link
CN (1) CN116383901B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104104682A (zh) * 2014-07-22 2014-10-15 江苏威盾网络科技有限公司 一种协同办公u盘系统及方法
CN106355113A (zh) * 2016-08-31 2017-01-25 芜湖市振华戎科智能科技有限公司 用于u盘安全设置的装置
CN106446722A (zh) * 2016-08-31 2017-02-22 芜湖市振华戎科智能科技有限公司 一种u盘安全设置方法
CN111339526A (zh) * 2020-02-18 2020-06-26 上海迅软信息科技有限公司 一种企业信息安全用usb盘加密方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030159070A1 (en) * 2001-05-28 2003-08-21 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104104682A (zh) * 2014-07-22 2014-10-15 江苏威盾网络科技有限公司 一种协同办公u盘系统及方法
CN106355113A (zh) * 2016-08-31 2017-01-25 芜湖市振华戎科智能科技有限公司 用于u盘安全设置的装置
CN106446722A (zh) * 2016-08-31 2017-02-22 芜湖市振华戎科智能科技有限公司 一种u盘安全设置方法
CN111339526A (zh) * 2020-02-18 2020-06-26 上海迅软信息科技有限公司 一种企业信息安全用usb盘加密方法

Also Published As

Publication number Publication date
CN116383901A (zh) 2023-07-04

Similar Documents

Publication Publication Date Title
CN1329909C (zh) 安全的单驱动器复制方法和设备
US10181166B2 (en) Secure content distribution system
US6550009B1 (en) Encryption system for distributing a common crypt key
EP1678666B1 (en) Storage and authentication of data transactions
CA2709944C (en) System and method for securing data
US8966580B2 (en) System and method for copying protected data from one secured storage device to another via a third party
CN101853363B (zh) 一种文件保护方法及系统
TW493334B (en) Data distribution system and recording device used in such system
US10592641B2 (en) Encryption method for digital data memory card and assembly for performing the same
KR100861822B1 (ko) 데이터 관리 방법
CN1889426B (zh) 一种实现网络安全存储与访问的方法及系统
WO2013073835A1 (en) Method and storage device for protecting content
US20090276474A1 (en) Method for copying protected data from one secured storage device to another via a third party
US8750519B2 (en) Data protection system, data protection method, and memory card
CN105933886B (zh) 一种esim号码的写入方法、安全系统、esim号码服务器及终端
US20120137372A1 (en) Apparatus and method for protecting confidential information of mobile terminal
KR20050053569A (ko) 문서 원천보안 권한부여 방법
JP6534478B1 (ja) ファイルの秘匿分散システム及び秘匿分散方法
US8156339B2 (en) Method for transmission/reception of contents usage right information in encrypted form, and device thereof
JP2008005408A (ja) 記録データ処理装置
CN102073597A (zh) 一种基于用户身份认证的操作系统盘全盘加密方法
JP2002279102A (ja) コンテンツ流通システム、コンテンツ復号化鍵配信サーバ、コンテンツ配信方法、コンテンツ再生装置、および、プログラム記録媒体
EP2145283A2 (en) Enabling recording and copying data
CN111177783B (zh) 移动存储介质防泄密的方法和装置
CN116383901B (zh) 一种防止u盘数据泄密的u盘管理系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant