TW202324162A - 依據使用期間執行可攜儲存裝置管控作業之系統及方法 - Google Patents

依據使用期間執行可攜儲存裝置管控作業之系統及方法 Download PDF

Info

Publication number
TW202324162A
TW202324162A TW110144681A TW110144681A TW202324162A TW 202324162 A TW202324162 A TW 202324162A TW 110144681 A TW110144681 A TW 110144681A TW 110144681 A TW110144681 A TW 110144681A TW 202324162 A TW202324162 A TW 202324162A
Authority
TW
Taiwan
Prior art keywords
client
portable storage
storage device
server
identification data
Prior art date
Application number
TW110144681A
Other languages
English (en)
Inventor
呂耀茹
Original Assignee
彰化商業銀行股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 彰化商業銀行股份有限公司 filed Critical 彰化商業銀行股份有限公司
Priority to TW110144681A priority Critical patent/TW202324162A/zh
Publication of TW202324162A publication Critical patent/TW202324162A/zh

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Abstract

一種依據使用期間執行可攜儲存裝置管控作業之系統及方法,其透過伺服器依據客戶端所傳送之使用申請訊息設定客戶端的使用權限,客戶端在偵測到可攜儲存裝置連接時連線到伺服器取得授權訊息,並依據授權訊息執行對應的管控作業之技術手段,可以達成有效控管企業員工使用可攜儲存裝置之資安風險的技術功效。

Description

依據使用期間執行可攜儲存裝置管控作業之系統及方法
一種儲存裝置管控系統及方法,特別係指一種依據使用期間執行可攜儲存裝置管控作業之系統及方法。
可攜式隨身儲存裝置的使用為人們帶來便利,但同時也提高了企業的資安風險,例如,成為病毒在企業內傳播的破口或是機敏資料的流出管道等。
因此,企業致力防止可攜式隨身儲存裝置成為病毒傳播及機敏資料外洩的媒介,除了要求企業員工在進入企業時需要交出所有的電子裝置外,也可以使用硬體或軟體的方式進行管控。目前,常見的管控方式包含使用管控軟體限定能夠存取可攜儲存裝置的客戶裝置、以Active Directory伺服器派送群組原則(Group Policy)給客戶裝置使客戶裝置封鎖儲存類裝置的驅動程式、從BIOS關閉可攜儲存裝置之連接埠的供電、及使用封膠或封條將可攜式隨身儲存裝置的連接埠封閉等。
然而,不論上述哪一種方式,一旦允許企業員工使用可攜式隨身儲存裝置,即是允許企業員工任意使用可攜式隨身儲存裝置,在企業員工可以使用可攜式隨身儲存裝置的時間內,並無法管控企業員工的行為,仍然存在資安風險。
綜上所述,可知先前技術中長期以來一直存在目前企業管控可攜式隨身儲存裝置仍存在真空期的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在目前企業管控可攜式隨身儲存裝置仍存在真空期的問題,本發明遂揭露一種依據使用期間執行可攜儲存裝置管控作業之系統及方法,其中:
本發明所揭露之依據使用期間執行可攜儲存裝置管控作業之系統,至少包含:客戶端,用以產生使用申請訊息,使用申請訊息包含客戶識別資料及使用期間,及用以於偵測到可攜儲存裝置連接時,傳送客戶識別資料至伺服器;伺服端,用以依據客戶端所傳送之使用申請訊息設定與客戶端對應之使用權限,使用權限包含使用期間,及用以依據客戶端所傳送之客戶識別資料及使用權限產生授權訊息,並傳送授權訊息至客戶端,客戶端更用以於判斷授權訊息表示未許可時,執行管控作業。
本發明所揭露之依據使用期間執行可攜儲存裝置管控作業之方法,其步驟至少包括:客戶端產生使用申請訊息,並傳送使用申請訊息至伺服器,使用申請訊息包含客戶識別資料及使用期間;伺服器依據使用申請訊息設定與客戶端對應之使用權限,使用權限包含使用期間;客戶端於偵測到可攜儲存裝置連接時,傳送客戶識別資料至伺服器;伺服器依據客戶識別資料及使用權限產生授權訊息,並傳送授權訊息至客戶端;客戶端判斷授權訊息表示未許可時,執行管控作業。
本發明所揭露之系統與方法如上,與先前技術之間的差異在於本發明透過伺服器依據客戶端所傳送之使用申請訊息設定客戶端的使用權限,客戶端在偵測到可攜儲存裝置連接時連線到伺服器取得授權訊息,並依據授權訊息執行對應的管控作業,藉以解決先前技術所存在的問題,並可以達成有效控管企業員工使用可攜儲存裝置之資安風險的技術功效。
以下將配合圖式及實施例來詳細說明本發明之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本發明解決技術問題所應用的技術手段並據以實施,藉此實現本發明可達成的功效。
本發明可以在禁止使用可攜儲存裝置之環境中判斷使用者是否獲准在計算設備上使用可攜儲存裝置,並可以執行對應的管控程序。其中,可攜儲存裝置包含但不限於USB隨身碟等。
本發明所提之計算設備包含但不限於一個或多個處理模組、一條或多條記憶體模組、以及連接不同硬體元件(包括記憶體模組和處理模組)的匯流排等硬體元件。透過所包含之多個硬體元件,計算設備可以載入並執行作業系統,使作業系統在計算設備上運行,也可以執行軟體或程式。另外,計算設備也包含一個外殼,上述之各個硬體元件設置於外殼內。
本發明所提之計算設備的匯流排可以包含一種或多個類型,例如包含資料匯流排(data bus)、位址匯流排(address bus)、控制匯流排(control bus)、擴充功能匯流排(expansion bus)、及/或局域匯流排(local bus)等類型的匯流排。計算設備的匯流排包括但不限於的工業標準架構(Industry Standard Architecture, ISA)匯流排、周邊元件互連(Peripheral Component Interconnect, PCI)匯流排、視頻電子標準協會(Video Electronics Standards Association, VESA)局域匯流排、以及串列的通用序列匯流排(Universal Serial Bus, USB)、快速周邊元件互連(PCI Express, PCI-E/PCIe)匯流排等。
本發明所提之計算設備的處理模組與匯流排耦接。處理模組包含暫存器(Register)組或暫存器空間,暫存器組或暫存器空間可以完全的被設置在處理模組之處理晶片上,或全部或部分被設置在處理晶片外並經由專用電氣連接及/或經由匯流排耦接至處理晶片。處理模組可為中央處理器、微處理器或任何合適的處理元件。若計算設備為多處理器設備,也就是計算設備包含多個處理模組,則計算設備所包含的處理模組都相同或類似,且透過匯流排耦接與通訊。處理模組可以解釋一個計算機指令或一連串的多個計算機指令以進行特定的運算或操作,例如,數學運算、邏輯運算、資料比對、複製/移動資料等,藉以驅動計算設備中的其他硬體元件或運行作業系統或執行各種程式及/或模組。
計算設備中通常也包含一個或多個晶片組(Chipset)。計算設備的處理模組可以與晶片組耦接或透過匯流排與晶片組電性連接。晶片組是由一個或多個積體電路(Integrated Circuit, IC)組成,包含記憶體控制器以及周邊輸出入(I/O)控制器等,也就是說,記憶體控制器以及周邊輸出入控制器可以包含在一個積體電路內,也可以使用兩個或更多的積體電路實現。晶片組通常提供了輸出入和記憶體管理功能、以及提供多個通用及/或專用暫存器、計時器等,其中,上述之通用及/或專用暫存器與計時器可以讓耦接或電性連接至晶片組的一個或多個處理模組存取或使用。
計算設備的處理模組也可以透過記憶體控制器存取安裝於計算設備上的記憶體模組和大容量儲存區中的資料。上述之記憶體模組包含任何類型的揮發性記憶體(volatile memory)及/或非揮發性(non-volatile memory, NVRAM)記憶體,例如靜態隨機存取記憶體(Static Random Access Memory, SRAM)、動態隨機存取記憶體(Dynamic Random Access Memory, DRAM)、唯讀記憶體(Read-Only Memory, ROM)、快閃記憶體(Flash memory)等。上述之大容量儲存區可以包含任何類型的儲存裝置或儲存媒體,例如,硬碟機、光碟(optical disc)、隨身碟(flash drive)、記憶卡(memory card)、固態硬碟(Solid State Disk, SSD)、或任何其他儲存裝置等。也就是說,記憶體控制器可以存取靜態隨機存取記憶體、動態隨機存取記憶體、快閃記憶體、硬碟機、固態硬碟中的資料。
計算設備的處理模組也可以透過周邊輸出入控制器經由周邊輸出入匯流排與周邊輸出裝置、周邊輸入裝置、通訊介面、及GPS接收器等周邊裝置或介面連接並通訊。周邊輸入裝置可以是任何類型的輸入裝置,例如鍵盤、滑鼠、軌跡球、觸控板、搖桿等,周邊輸出裝置可以是任何類型的輸出裝置,例如顯示器、印表機等,周邊輸入裝置與周邊輸出裝置也可以是同一裝置,例如觸控螢幕等。通訊介面可以包含無線通訊介面及/或有線通訊介面,無線通訊介面可以包含支援無線區域網路(如Wi-Fi、Zigbee等)、藍牙、紅外線、近場通訊(Near-field communication, NFC)、3G/4G/5G等行動通訊網路(蜂巢式網路)或其他無線資料傳輸協定的介面,有線通訊介面可為乙太網路裝置、DSL數據機、纜線(Cable)數據機、非同步傳輸模式(Asynchronous Transfer Mode, ATM)裝置、或光纖通訊介面及/或元件等。處理模組可以週期性地輪詢(polling)各種周邊裝置與介面,使得計算設備能夠透過各種周邊裝置與介面進行資料的輸入與輸出,也能夠與具有上面描述之硬體元件的另一個計算設備進行通訊。
以下先以「第1圖」本發明所提之依據使用期間執行可攜儲存裝置管控作業之系統架構圖來說明本發明的系統運作。如「第1圖」所示,本發明之系統含有客戶裝置110、伺服器120。其中,客戶裝置110與伺服器120都可以計算設備,且客戶裝置110與伺服器120之間可以透過有線或無線網路連接,藉以相互傳遞資料或訊號。
客戶裝置110通常是電腦(包含桌上型、筆記型、或平板等),但本發明並不以此為限。客戶裝置110可以產生客戶端111或管理端115,一般而言,在同一個時間,同一個客戶裝置110只可以產生客戶端111或管理端115。
客戶端111與使用者對應,是由客戶裝置110執行特定的系統或一個或多個程式所產生的特定操作環境或操作介面。在大多數的實施例中,客戶端111通常是由固定的客戶裝置110產生,但客戶裝置110與客戶端111並不限於一對一的關係,在某些實施例中,使用者也可以在不同時間使用相同的識別資料(如帳號)在多個不同的客戶裝置110,如此,多個客戶裝置110可以產生相同的客戶端111。
客戶端111負責產生使用申請訊息。一般而言,客戶端111可以提供使用者介面給使用者,並依據使用者在使用者介面中所輸入的資料產生使用申請訊息,但本發明並不以此為限。
本發明所提之使用申請訊息包含客戶識別資料及使用期間。其中,使用期間可以表示特定的一段時間,例如,使用期間可以是分別表示開始時間與結束時間的兩個時間資料,也可以是表示結束時間的一個時間資料,或可以是表示開始時間的一個時間資料與表示持續時間的數值。
若使用者沒有固定使用的客戶裝置110,則客戶識別資料可以是客戶端111之使用者的身分識別資料,例如帳號或員工編號等能夠辨識使用者的資料,而若使用者有固定使用的客戶裝置110,則客戶識別資料除了可以是使用者的身分識別資料外,也可以是產生客戶端111之客戶裝置110的裝置識別資料(客戶裝置110之裝置識別資料在本發明中也被稱為客戶裝置識別資料),例如網路位址或電腦名稱等夠辨識客戶裝置110的資料,但客戶識別資料並不以上述為限,凡可以辨識使用者或客戶裝置110的資料都可以在本發明中被使用。
要特別說明的是,使用申請訊息所包含的客戶識別資料並不限於一個,也就是說,一個使用申請訊息可以包含一個或多個客戶識別資料。一般而言,客戶端111可以取得使用者登入客戶裝置110時所輸入客戶識別資料,或可以讀取預先儲存於客戶裝置110中的客戶識別資料,但本發明並不以此為限,客戶端111也可以向伺服器120請求或主動透過網路搜尋能夠讓使用者選擇的客戶識別資料(如電腦名稱等)並提供使用者選擇。
在部分的實施例中,使用申請訊息還可以包含表示申請使用之可攜儲存裝置是否已被伺服器120登錄的登錄狀態訊息,一般而言,登錄狀態訊息可以表示可攜儲存裝置已被伺服器120登錄或沒有被伺服器120登錄。
客戶端111也負責在偵測到可攜儲存裝置130與客戶裝置110連接時,取得客戶識別資料,並將所取得的客戶識別資料傳送給伺服器120。
客戶端111也負責接收伺服器120所傳送的授權訊息,並負責判斷授權訊息是否許可客戶端111存取可攜儲存裝置130。客戶端111也負責在判斷授權訊息表示未許可存取可攜儲存裝置130時,執行對應的管控作業。本發明所提之與未許可存取可攜儲存裝置130對應的管控作業包含產生警示訊息或通知訊息、關閉與可攜儲存裝置130連接之連接埠(如卸載驅動程式或停止供電給該連接埠等,但本發明並不以此為限)、傳送客戶識別資料與可攜裝置識別資料至伺服器120儲存、發送電子郵件給管理人員等,但本發明並不以此為限。其中,可攜裝置識別資料包含但不限於儲存於可攜儲存裝置130內的隨插即用(Plug and Play, PnP)識別資料,由於取得隨插即用識別資料的方式為習知,故本發明不再贅述。
客戶端111也可以在判斷授權訊息表示許可存取可攜儲存裝置130時,執行對應的管控作業,並允許使用者存取可攜儲存裝置130。其中,與許可存取可攜儲存裝置130對應的管控作業包含客戶端111可以為可攜儲存裝置130掃毒;客戶端111可以在使用者將檔案儲存到可攜儲存裝置130中時,加密被使用者儲存的檔案;客戶端111可以在使用者將檔案儲存到可攜儲存裝置130中或將包含個資的檔案儲存到可攜儲存裝置130中時產生使用歷程,並可以將使用歷程傳送到該伺服器120。
在部分的實施例中,客戶端111也可以在授權訊息表示需要檢核可攜儲存裝置130時,取得可攜儲存裝置130的可攜裝置識別資料並傳送給伺服器120。
當登入客戶裝置110的使用者具有特定的管理者身分或特定的管理權限,或客戶裝置110固定由管理者所使用,則在管理者(具有管理者身分或管理權限的使用者)登入客戶裝置110後,客戶裝置110可以產生管理端115。管理端115通常具有客戶端111的所有功能,且還可以具有申請登錄可攜儲存裝置的功能。舉例來說,管理端115可以執行具有網域工作站最高權限的代理程式,代理程式在被執行後可以取得與客戶裝置110連接之可攜儲存裝置的可攜裝置識別資料(與管理者所屬單位的單位識別資料)並將所取得之可攜裝置識別資料與單位識別資料傳送到伺服器120。
隨著操作管理端115之管理者的身分或管理權限的不同,部分的管理端115也可以在管理者具有審核的管理權限時提供管理者審核伺服器120提供的使用申請訊息,當使用申請訊息中之裝置登錄狀態表示可攜儲存裝置130未登錄時,管理端115還可以產生提示訊息以提示審核的管理者。
伺服器120負責接收客戶端111所傳送的使用申請訊息,並負責依據所接收到的使用申請訊息設定與傳送使用者申請訊息之客戶端111對應之的使用權限。伺服器120所產生的使用權限可以包含使用申請訊息中的客戶識別資料、使用期間與裝置登錄狀態,在部分的實施例中,使用申請訊息還可以包含使用者所屬單位的單位識別資料。
伺服器120也負責接收客戶端111所傳送的客戶識別資料,並負責依據所接收到的客戶識別資料及所產生之客戶端111的使用權限產生授權訊息,及將所產生的授權訊息傳送到客戶端111。更詳細的,伺服器120可以依據客戶識別資料讀出相對應之客戶端111的使用權限,及負責依據所讀出的使用權限產生授權訊息。舉例來說,伺服器120可以判斷當前時間是否落在使用權限中之使用期間內,若是,則產生許可存取的授權訊息,反之,則產生不許可存取的授權訊息,但伺服器120依據使用權限產生授權訊息的方式並不以上述為限。
在部分的實施例中,伺服器120可以先判斷預先設定之白名單中是否包含客戶識別資料,若是,則可以直接產生許可授權的授權訊息,若否,則可以如上述依據使用權限產生授權訊息。
伺服器120也可以在使用權限中之裝置登錄狀態表示可攜儲存裝置130已登錄時產生表示需要檢核可攜儲存裝置130的授權訊息,並可以接收客戶端111所傳回之可攜裝置識別資料,及依據所接收到的可攜裝置識別資料判斷可攜儲存裝置130未登錄時,產生安全警示報告並通知管理人員。
伺服器120也可以接收客戶端111所傳送的使用歷程,並可以記錄所接收到的使用歷程。伺服器120也可以接收管理端115所傳送的可攜裝置識別資料並登錄所接收到的可攜裝置識別資料,若管理端115在傳送可攜裝置識別資料時也一併傳送單位識別資料,則伺服器120可以一同儲存可攜裝置識別資料與單位識別資料已登錄可攜裝置識別資料。要說明的是,伺服器120通常可以登錄多個可攜裝置識別資料,而不限於只能登錄一個,甚至,伺服器120也不限一個單位識別資料只能登錄一個可攜裝置識別資料。
接著以一個實施例來解說本發明的運作系統與方法,並請參照「第2A圖」本發明所提之依據使用期間執行可攜儲存裝置管控作業之方法流程圖。在本實施例中,假設本發明在企業中被實行,企業中所有的電腦都支援本發明。
當有企業員工(本發明之使用者)因為業務需求而需要使用USB隨身碟等可攜儲存裝置時,企業員工可以操作客戶端111開啟申請使用可攜儲存裝置的申請介面,並在申請介面中輸入申請資料,客戶端111可以在企業員工完成申請資料的輸入後產生使用申請訊息並可以將所產生的使用申請訊息傳送到伺服器120(步驟220)。在本實施例中,假設申請資料包含使用期間、裝置登錄狀態、客戶識別資料、企業員工所屬部門的部門識別資料(單位識別資料),其中,若企業員工有固定使用的電腦,則客戶識別資料可以是電腦名稱或電腦編號,客戶端111可以在申請介面中列出企業員工所屬部門的所有電腦名稱或電腦編號給企業員工選擇,而若企業員工沒有固定使用的電腦,則客戶識別資料可以是帳號或企業員工的員工編號。
在伺服器120接收到客戶端111所傳送的使用申請訊息後,可以依據使用申請訊息設定與客戶端111對應的使用權限(步驟230)。
同時,在客戶端111將使用申請訊息傳送到伺服器120後,企業員工可以連接可攜儲存裝置130與客戶裝置110,也就是將可攜儲存裝置130插入客戶裝置110的USB連接埠。在客戶裝置110連接可攜儲存裝置130後,客戶端111可以在偵測到可攜儲存裝置130連接時,將客戶識別資料傳送到伺服器120(步驟240)。
在伺服器120接收到客戶端111所傳送的客戶識別資料後,伺服器120可以依據所接收到的客戶識別資料及所產生的使用權限產生授權訊息,並可以將所產生的授權訊息傳送給客戶端111(步驟250)。在本實施例中,假設伺服器120可以依據當前時間是否落在使用期間內而產生許可或不許可存取可攜儲存裝置的授權訊息。
客戶端111在接收到伺服器120所傳送的授權訊息後,可以判斷授權訊息是否表示許可存取可攜儲存裝置130。若客戶端111判斷授權訊息表示不許可存取可攜儲存裝置130,則客戶端111可以執行對應的管控作業(步驟270)。在本實施例中,管控作業可以是產生警示訊息或通知訊息、關閉與可攜儲存裝置130連接之連接埠、傳送客戶識別資料與可攜裝置識別資料至伺服器120儲存、及發送電子郵件給管理人員等。
而若客戶端111判斷授權訊息表示許可存取可攜儲存裝置130,則客戶端111同樣可以執行對應的管控作業,並可以允許企業員工存取可攜儲存裝置130(步驟281)。在本實施例中,也就是客戶端111允許企業員工由可攜儲存裝置130中讀取檔案或將檔案存入可攜儲存裝置130。且企業員工存取可攜儲存裝置130前,客戶端111也可以為可攜儲存裝置130掃毒。
其中,當企業員工將檔案存入可攜儲存裝置130中時,客戶端111可以要求企業員工輸入加密金鑰,並使用加密金鑰加密被儲存的檔案,使得可攜儲存裝置130所儲存的檔案經過加密。同時,客戶端111也可以在企業員工由可攜儲存裝置130中讀出檔案或將檔案存入可攜儲存裝置130中時,記錄客戶識別資料、當前時間與檔案名稱,藉以產生使用歷程,並可以將所產生的使用歷程傳送到伺服器120,使得伺服器120儲存客戶端111的使用歷程(步驟285)。
上述實施例中,在客戶端111產生使用申請訊息(步驟220)前,伺服器120可以先登錄可攜儲存裝置130的可攜裝置識別資料,如「第2B圖」之流程所示,企業員工的主管可以先連接可攜儲存裝置130與產生管理端115的客戶裝置110,並可以操作管理端115執行具有網域工作站最高權限的代理程式(步驟213),代理程式在被執行後,可以偵測可攜儲存裝置130的可攜裝置識別資料(及取得主管所屬部門的部門識別資料),並可以將所偵測到的可攜裝置識別資料(與所取得之部門識別資料)傳送給伺服器120(步驟215),伺服器120在接收到管理端115所傳送的可攜裝置識別資料後,可以儲存所接收到的可攜裝置識別資料(與部門識別資料)(步驟217)以完成可攜儲存裝置130的登錄。企業員工的主管可以重複上述連接客戶裝置110與可攜儲存裝置130及執行代理程式以傳送可攜裝置識別資料(與部門識別資料)至伺服器120的過程,使伺服器120登錄多個與部門識別資料對應的可攜裝置識別資料。
另外,在伺服器120產生的授權訊息(步驟250)時,若伺服器120判斷客戶端111之使用權限中的裝置登錄狀態表示伺服器120已登錄可攜儲存裝置,則伺服器120所產生的授權資料可以包含表示需要檢核可攜儲存裝置130的檢核訊息。接著,如「第2C圖」之流程所示,在客戶端111接收到伺服器120所傳送的授權訊息後,客戶端111可以判斷接收自伺服器120之授權訊息是否包含表示需要檢核可攜儲存裝置130的檢核訊息,若否,則客戶端111可以判斷授權訊息是否表示許可存取可攜儲存裝置130(步驟270、281),而若授權訊息包含檢核訊息,則客戶端111可以取得可攜儲存裝置130的可攜裝置識別資料,並可以將所取得的可攜裝置識別資料傳送給伺服器120(步驟261),伺服器120在接收到客戶端111所傳送的可攜裝置識別資料後,可以依據可攜裝置識別資料判斷可攜儲存裝置130是否已被伺服器120登錄,也就是判斷與企業員工所屬部門之部門識別資料對應的可攜裝置識別資料是否存在所接收到的可攜裝置識別資料,若是,則伺服器120可以不做為,若否,也就是企業員工所使用的可攜儲存裝置130未經過伺服器登錄,則伺服器120可以產生安全警示報告並可以通知管理人員。
如此,透過本發明,可以讓使用者在禁止使用可攜儲存裝置的工作環境中申請並獲准使用特定的可攜儲存裝置,也可以在使用者使用未經授權的可攜儲存裝置時執行管控作業以保持工作環境的資料安全。
綜上所述,可知本發明與先前技術之間的差異在於具有伺服器依據客戶端所傳送之使用申請訊息設定客戶端的使用權限,客戶端在偵測到可攜儲存裝置連接時連線到伺服器取得授權訊息,並依據授權訊息執行對應的管控作業之技術手段,藉由此一技術手段可以來解決先前技術所存在目前企業管控可攜式隨身儲存裝置仍存在真空期的問題,進而達成有效控管企業員工使用可攜儲存裝置之資安風險的技術功效。
再者,本發明之依據使用期間執行可攜儲存裝置管控作業之方法,可實現於硬體、軟體或硬體與軟體之組合中,亦可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。
雖然本發明所揭露之實施方式如上,惟所述之內容並非用以直接限定本發明之專利保護範圍。任何本發明所屬技術領域中具有通常知識者,在不脫離本發明所揭露之精神和範圍的前提下,對本發明之實施的形式上及細節上作些許之更動潤飾,均屬於本發明之專利保護範圍。本發明之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。
110:客戶裝置 111:客戶端 115:管理端 120:伺服器 130:可攜儲存裝置 步驟213:管理端執行具有網域工作站最高權限之代理程式 步驟215:代理程式偵測可攜儲存裝置之可攜裝置識別資料並傳送可攜裝置識別資料至伺服器 步驟217:伺服器登錄可攜裝置識別資料 步驟220:客戶端產生並傳送使用申請訊息至伺服器 步驟230:伺服器依據使用申請訊息設定與客戶端對應之使用權限 步驟240:客戶端於偵測到可攜儲存裝置連接時傳送客戶識別資料至伺服器 步驟250:伺服器依據客戶識別資料及使用權限產生授權訊息,並傳送授權訊息至客戶端 步驟261:客戶端判斷授權訊息表示檢核可攜儲存裝置時取得並傳送可攜儲存裝置之可攜裝置識別資料至伺服器 步驟265:伺服器依可攜裝置識別資料判斷可攜儲存裝置未登錄時產生安全警示報告並通知管理人員 步驟270:客戶端判斷授權訊息表示未許可時執行管控作業 步驟281:客戶端判斷授權訊息表示許可時允許存取可攜儲存裝置 步驟285:客戶端於儲存檔案至可攜儲存裝置中時加密檔案並產生使用歷程,及傳送使用歷程至伺服器
第1圖為本發明所提之依據使用期間執行可攜儲存裝置管控作業之系統架構圖。 第2A圖為本發明所提之依據使用期間執行可攜儲存裝置管控作業之方法流程圖。 第2B圖為本發明所提之伺服器登錄可攜儲存裝置之方法流程圖。 第2C圖為本發明所提之依據使用期間執行可攜儲存裝置管控作業之附加方法流程圖。
步驟220:客戶端產生並傳送使用申請訊息至伺服器
步驟230:伺服器依據使用申請訊息設定與客戶端對應之使用權限
步驟240:客戶端於偵測到可攜儲存裝置連接時傳送客戶識別資料至伺服器
步驟250:伺服器依據客戶識別資料及使用權限產生授權訊息,並傳送授權訊息至客戶端
步驟270:客戶端判斷授權訊息表示未許可時執行管控作業
步驟281:客戶端判斷授權訊息表示許可時允許存取可攜儲存裝置
步驟285:客戶端於儲存檔案至可攜儲存裝置中時加密檔案並產生使用歷程,及傳送使用歷程至伺服器

Claims (10)

  1. 一種依據使用期間執行可攜儲存裝置管控作業之系統,該系統至少包含: 一客戶端,用以產生一使用申請訊息,該使用申請訊息包含一客戶識別資料及一使用期間,及用以於偵測到一可攜儲存裝置連接時,傳送該客戶識別資料至該伺服器;及 一伺服端,用以依據該客戶端所傳送之該使用申請訊息設定與該客戶端對應之一使用權限,該使用權限包含該使用期間,及用以依據該客戶端所傳送之該客戶識別資料及該使用權限產生一授權訊息,並傳送該授權訊息至該客戶端,該客戶端更用以於判斷該授權訊息表示未許可時,執行一管控作業。
  2. 如請求項1所述之依據使用期間執行可攜儲存裝置管控作業之系統,其中該系統更包含一管理端,用以執行具有網域工作站最高權限之一代理程式,該代理程式用以取得該可攜裝置識別資料並傳送該可攜裝置識別資料至該伺服器,該伺服器更用以登錄該可攜裝置識別資料,及該管理端更用以審核該伺服器提供之該使用申請訊息,並於該使用申請訊息表示該可攜儲存裝置未登錄時產生提示訊息。
  3. 如請求項1所述之依據使用期間執行可攜儲存裝置管控作業之系統,其中該客戶端更用以選擇該可攜儲存裝置是否已登錄以產生該使用申請訊息,及更用於該授權訊息表示檢核該可攜儲存裝置時,取得並傳送該可攜裝置識別資料至該伺服器,該伺服器更用以依據該可攜裝置識別資料判斷該可攜儲存裝置未登錄時,產生安全警示報告並通知管理人員。
  4. 如請求項1所述之依據使用期間執行可攜儲存裝置管控作業之系統,其中該管控作業包含產生警示或通知訊息、關閉與該可攜儲存裝置連接之連接埠、傳送該客戶識別資料與該可攜儲存裝置之可攜裝置識別資料至該伺服器、發送電子郵件給管理人員。
  5. 如請求項1所述之依據使用期間執行可攜儲存裝置管控作業之系統,其中該客戶端更用以判斷該授權訊息表示許可時,允許存取該可攜儲存裝置,並儲存一檔案至該可攜儲存裝置中時加密該檔案,及用以於儲存該檔案至該可攜儲存裝置中或儲存包含個資之該檔案至該可攜儲存裝置中時產生一使用歷程,並傳送該使用歷程至該伺服器記錄。
  6. 如請求項1所述之依據使用期間執行可攜儲存裝置管控作業之系統,其中該伺服器更用以依據一白名單中是否包含該客戶識別資料產生該授權訊息。
  7. 如請求項1所述之依據使用期間執行可攜儲存裝置管控作業之系統,其中該客戶端更用以於與該可攜儲存裝置連接時為該可攜儲存裝置掃毒之步驟。
  8. 一種依據使用期間執行可攜儲存裝置管控作業之方法,該方法至少包含下列步驟: 一客戶端產生一使用申請訊息,並傳送該使用申請訊息至一伺服器,該使用申請訊息包含一客戶識別資料及一使用期間; 該伺服器依據該使用申請訊息設定與該客戶端對應之一使用權限,該使用權限包含該使用期間; 該客戶端於偵測到一可攜儲存裝置連接時,傳送該客戶識別資料至該伺服器; 該伺服器依據該客戶識別資料及該使用權限產生一授權訊息,並傳送該授權訊息至該客戶端;及 該客戶端判斷該授權訊息表示未許可時,執行管控作業。
  9. 如請求項8所述之依據使用期間執行可攜儲存裝置管控作業之方法,其中該客戶端產生該使用申請訊息步驟更包含該客戶端選擇該可攜儲存裝置是否已登錄之步驟,且該方法於該伺服器傳送該授權訊息至該客戶端之步驟後,更包含該客戶端判斷該授權訊息表示檢核該可攜儲存裝置時,取得並傳送該可攜裝置識別資料至該伺服器,及該伺服器依據該可攜裝置識別資料判斷該可攜儲存裝置未登錄時,產生安全警示報告並通知管理人員之步驟。
  10. 如請求項8所述之依據使用期間執行可攜儲存裝置管控作業之方法,其中該方法更包含該客戶端判斷該授權訊息表示許可時,允許存取該可攜儲存裝置,並於儲存檔案至該可攜儲存裝置中或儲存包含個資之檔案至該可攜儲存裝置中時產生一使用歷程,及傳送該使用歷程至該伺服器記錄之步驟。
TW110144681A 2021-11-30 2021-11-30 依據使用期間執行可攜儲存裝置管控作業之系統及方法 TW202324162A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW110144681A TW202324162A (zh) 2021-11-30 2021-11-30 依據使用期間執行可攜儲存裝置管控作業之系統及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW110144681A TW202324162A (zh) 2021-11-30 2021-11-30 依據使用期間執行可攜儲存裝置管控作業之系統及方法

Publications (1)

Publication Number Publication Date
TW202324162A true TW202324162A (zh) 2023-06-16

Family

ID=87803584

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110144681A TW202324162A (zh) 2021-11-30 2021-11-30 依據使用期間執行可攜儲存裝置管控作業之系統及方法

Country Status (1)

Country Link
TW (1) TW202324162A (zh)

Similar Documents

Publication Publication Date Title
US6581162B1 (en) Method for securely creating, storing and using encryption keys in a computer system
US9998464B2 (en) Storage device security system
US11797684B2 (en) Methods and systems for hardware and firmware security monitoring
AU2010340222B2 (en) Protected device management
US9047468B2 (en) Migration of full-disk encrypted virtualized storage between blade servers
US8370610B2 (en) Remote configuration of computing platforms
CN101411163B (zh) 跟踪网格系统中的安全执行的系统和方法
JP4397883B2 (ja) 情報処理システム、管理サーバ、および端末
KR101402542B1 (ko) 지속형 보안 시스템 및 지속형 보안 방법
US8141135B2 (en) Information processing system, terminal, information processing apparatus, and management server
US8156331B2 (en) Information transfer
JP2011048661A (ja) 仮想サーバ暗号化システム
US8205095B2 (en) Method and system for remotely debugging a failed computer machine
US20040141461A1 (en) Remote reset using a one-time pad
US20030028807A1 (en) Network appliances
US20210021418A1 (en) Centralized volume encryption key management for edge devices with trusted platform modules
TW202324162A (zh) 依據使用期間執行可攜儲存裝置管控作業之系統及方法
TWM575144U (zh) A computing device that verifies a password through an operating system for encryption and decryption
TWM624882U (zh) 依據使用期間執行可攜儲存裝置管控作業之系統
KR100939106B1 (ko) 이동식 저장장치에 저장된 데이터의 임의복제 방지 방법 및이에 적합한 시스템
TWI690192B (zh) 依順序提供簽章對象簽章以產生簽章文件之系統及方法
JP5243360B2 (ja) シンクライアント接続管理システム、およびシンクライアント接続管理方法
Brandl Trusted computing: The tcg trusted platform module specification
US11843507B1 (en) Determining compatibility issues in computing environments
KR102502798B1 (ko) 클라우드 hsm 시스템의 보안 강화 방법