WO2020087781A1 - 一种外接式终端防护设备及防护系统 - Google Patents

Abstract

本发明提供一种外接式终端防护设备及相应的防护系统，其中所述外接式终端防护设备包括：接口控制模块，用于提供对内接口和对外接口，所述对内接口与被保护主机相应接口连接，所述对外接口用于接入一个或多个外部设备；系统控制模块，用于与接口控制模块相连，控制所述接口控制模块上一个或多个对外接口接入的外部设备的安全鉴权，以确认所述外部设备是否为许可接入设备。本发明能够实现无需在被保护主机上安装安全防护软件即可到达对被保护主机进行安全防护的目的，并且极大降低了系统安全风险，全面解决了由各个接口可能产生的安全隐患。

Description

一种外接式终端防护设备及防护系统 技术领域

本发明属于计算机安全技术领域，尤其涉及一种外接式终端防护设备及防护系统。

背景技术

近些年，计算机及信息技术获得高速发展，从而大大促进了网络的普及，当人们日益享受这计算机及信息技术带来的便利的同时，也为生产/生活中人们所使用的计算机中的数据安全带来了新的威胁，例如常见的有非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒和中间人窃听等等。

解决内网安全问题的技术手段已有很多，例如在主机中安装和使用防火墙、防病毒、入侵检测系统等网络安全产品，但采取上述措施后各种网络安全事件仍频频发生。据统计，计算机犯罪的70％是由内部人员非法使用主机等关键资源造成的，真正来自外部的威胁只有30％，内部人员在使用主机时缺乏安全意识，又位于防火墙后端，接入各种外部设备不规范，以及系统的误操作或者蓄意的破坏，都会对机关、企事业单位等造成恶劣的影响甚至重大损失。

同时，对于某些特殊设备，如配备有特殊软件控制的主机，某些工业领域的工程师站/工作员站的设备，这些主机/设备往往由于系统特殊性，市面上没有此类系统适配的安全防护软件，或是由于安装安全类软件容易导致主机原有软件出现兼容性问题，甚至性能受到影响。另外这些工程师站/工作员站的主机上线后基本不会对操作系统进行升级，即使安装安全类软件后也往往不及时更新防恶意代码软件版本和恶意代码库，起不到全面的安全防护作用。

发明内容

基于此，本发明提供一种解决上述问题的外接式终端防护设备及防护系统，以实现对被保护主机的各个接口的接管，确保使用被保护主机的USB接口或串口设备必须通过外接式终端防护设备完成，从而无需在被保护主机上安装安全防护软件即可到达对被保护主机USB接口或串口进行防护的目的。

第一方面，本申请提供一种外接式终端防护设备，包括：

接口控制模块，用于提供一个或多个对内接口，以及一个或多个对外接口，所述对内接口与被保护主机相应接口连接，所述对外接口用于接入一个或多个外部设备；

系统控制模块，用于通过总线与接口控制模块相连，控制所述接口控制模块上一个或多个对外接口接入的外部设备的安全鉴权，以确认所述外部设备是否为许可接入设备。

可选地，当所述接口控制模块的对外接口接入外部设备时，通过所述总线通知所述系统控制模块，由所述系统控制模块先对所述外部设备进行安全鉴权操作。

可选地，如果所述外部设备未通过安全鉴权，则设定所述外部设备为非许可接入设备，保持所述外部设备与所述被保护主机之间线路物理断开状态；和/或

如果所述外部设备通过安全鉴权，则确认所述外部设备为许可接入设备，接通所述外部设备与所述被保护主机之间线路的物理连接。

可选地，所述接口控制模块实时监测接入所述外部设备的对外接口的连接状态，当确认为许可接入设备的外部设备从对外接口拔出时，自动将所述接通的线路物理连接进行断开。

可选地，所述外部设备从对外接口拔出后再次接入时，由所述系统控制模块重新对所述外部设备进行安全鉴权操作。

可选地，所述接口控制模块实时监测到所述与被保护主机相应接口连接的对内接口的连接状态；

当所述连接状态发生异常时，自动触发断开所述接口控制模块与被 保护主机之间的线路连接。

可选地，所述当所述连接状态发生异常时，自动触发断开所述接口控制模块与被保护主机之间的线路连接，还包括：

通过监测电路捕获所述对内接口的电流/电压变化，确定所述连接状态发生异常，触发告警指示信号。

可选地，当自动触发断开所述接口控制模块与被保护主机之间的线路连接后，所述连接状态从异常恢复到正常，依然保持所述接口控制模块与被保护主机之间的线路连接的断开状态。

可选地，所述系统控制模块，基于设定的安全策略，控制所述接口控制模块上一个或多个对外接口接入的外部设备的安全鉴权。

可选地，所述的外接式终端防护设备，还包括：

内部存储器，用于存储接口间交换的数据。

可选地，所述接口控制模块采用限流限压电路以防止所述对外接口接入强放电设备对所述外接式终端防护设备的破坏。

可选地，所述对内接口及对外接口中的一个或多个为USB接口。

可选地，所述对内接口及对外接口中的一个或多个为串口。

第二方面，本申请提供一种防护系统，包括：

一个或多个外部设备；

被保护主机；以及

如上所述的外接式终端防护设备，

其中，所述外接式终端防护设备外接于所述被保护主机上，使得所述一个或多个外部设备通过所述外接式终端防护设备与所述被保护主机进行接口通信。

通过本发明上述技术方案，至少具有如下一种或多种技术效果：可以实现对被保护主机各个数据接口的接管，确保使用被保护主机各个接口的数据通信都通过外接式的终端完成，从而实现无需在被保护主机上安装安全防护软件即可达到对被保护主机进行安全防护的目的，并且极大降低了系统安全风险，全面解决了由各个接口可能产生的安全隐患。

附图说明

图1为本发明第一实施例的基于外接式终端防护设备的防护系统的应用场景示意图；

图2为本发明第一实施例的外接式终端防护设备内部构造示意图；

图3为本发明第二实施例的外接式终端防护设备连接示意图；

图4为本发明第三实施例的基于外接式终端防护设备的防护系统的一种网络部署示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

本文中术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本发明提出的外接式终端防护设备包括接口控制模块和系统控制模块。接口控制模块提供对内接口和对外接口，对内接口与被保护主机的相应接口连接，对外接口用于接入一个或多个外部设备。系统控制模块用于与接口控制模块电性相连，控制所述接口控制模块上一个或多个对外接口所接入的外部设备的安全鉴权。可见，本发明提供了一种硬件方式的终端防护设备，无需在被保护主机上安装安全防护软件即可到达对被保护主机进行安全防护的目的，并且极大降低了系统安全风险，全面解决了由各个接口可能产生的安全隐患。

需要注意的是，本发明中所称的“模块”为硬件模块，即由电路、数据处理装置、存储器、缓存器等有形电子元件构成的硬件模块。本发 明中的接口控制模块和系统控制模块可以是物理上或功能上独立的元件组合，也可以是物理上或功能上整合在一起的整体元件组合。例如，作为一种实施方式，接口控制模块由接口控制板构成，系统控制模块由系统控制板构成，接口控制板和系统控制板均为集成有电子元件的电路板，二者之间通过总线连接。而在其他的实施方式中，接口控制模块和系统控制模块亦可以集成在一个电路板上。因此，本发明的关键在于接口控制模块和系统控制模块之间的控制关系，但不限于组成各自模块的电子元件在空间上或物理连接上的组合方式。

根据本发明，当接口控制模块的对外接口接入外部设备时，接口控制模块通知所述系统控制模块，由所述系统控制模块对所述外部设备进行安全鉴权操作。如果所述外部设备未通过安全鉴权，则设定所述外部设备为非许可接入设备，保持所述外部设备与所述被保护主机之间线路物理断开状态；和/或如果所述外部设备通过安全鉴权，则确认所述外部设备为许可接入设备，接通所述外部设备与所述被保护主机之间线路的物理连接。由此，本发明能够实现对外部设备的物理隔离式安全鉴权，提高了防护系统的安全性能。

作为一种具体实施方式，所述接口控制模块实时监测接入所述外部设备的对外接口的连接状态，当确认为许可接入设备的外部设备从对外接口拔出时，自动将所述接通的线路物理连接进行断开。这样，可防止利用许可接入设备的连接接入非许可接入设备。

优选地，所述外部设备从对外接口拔出后再次接入时，由所述系统控制模块重新对所述外部设备进行安全鉴权操作。由此，可以防止利用同一外接设备的攻击行为。

实施例

参见图1，其显示了本发明第一实施例涉及的防护系统的应用场景。

如图1所示，外接式终端防护设备通过各个接口连接线外接于被保护主机上，将需要防护的被保护主机上各个接口(USB口的UC1、UC2，COM口的CC0、网口EC0)通过各种类型的连接线连接到自身对内接口上，比如将被保护主机的接口UC1与UC2分别连接到外接式终端防 护设备的对内USB口UA4和UA3上，将串口CC0连接到对内串口CA2上，网口EC0连接到对内网口EA2上。而各种外部设备(U盘、光驱、串口连接设备等)全部接到所述外接式终端防护设备上，通过外接式终端防护设备才能与被保护主机进行数据通信，比如U盘通过所述外接式终端防护设备的对外接口UA1接入，USB光驱通过对外接口UA2接入，串口连接设备通过对外接口CA1接入。U盘、USB光驱以及串口连接设备这些外部设备需要与被保护主机进行数据通信，都不能直接接入到被保护主机上，必须通过所述外接式终端防护设备相应的对外接口转接通信。

参见图2，其为本发明的上述实施例的外接式终端防护设备内部构造示意图。

该实施例中，所述外接式终端防护设备主要由接口控制板A和系统控制板B构成，系统控制板B通过控制连接线(例如总线)连接到接口控制板A，用于控制接口控制板A上各个接口，比如USB接口、串口及网口的不同工作模式，进而实现对各种外部设备的接入进行安全控制的功能。系统控制板A可实现对各个接口的工作模式控制，工作模式包括可用、不可用、协议过滤、流量镜像及流量审计等，但本发明不限于具体的工作模式控制类型。系统控制板B可通过I2C或SPI接口与接口控制板A相连，但本发明不限于具体的控制连接接口。

所述外接式终端防护设备还可包括硬件存储器D，即作为终端防护设备的内部存储器，用于存储接口间交换的数据；进一步地，内部存储器还可进一步存储设定的安全策略；系统控制板B通过读取内部存储器中存储的预先设定的安全策略，对接口控制板上不同类型的接口或不同编号的接口进行安全鉴权。

在此实施例中，外接式终端防护设备所实现的的安全功能包括但不限于：管理员预先对外接式终端防护设备进行权限设置和安全策略设定；安全策略包括但不限于：使能数据导入(如USB接口)、使能数据导出(如USB接口)、USB接入设备限制(如基于USB设备的Vendor ID，即供应商识别码，和/或Product ID，即产品识别码)、数据导入杀毒策略、 数据导出黑白名单控制策略、数据导出格式控制策略、使能串口接入策略、USB接口插入保护、使能网络通信审计、使能防火墙功能、设置串口命令黑白名单等。

在一种优选的实施方式中，安全策略包括：管理员在设定好各个安全策略后，相关的这些安全策略将被所述外接式终端防护设备逐一执行。在一种优选的实施方式中，安全策略包括：管理员还控制所述外接式终端防护设备是否进入监控保护模式，此模式将监控与被保护主机间的连接，异常情况下将进行告警。

在一种优选的实施方式中，安全策略包括：当需要记录异常告警或接口访问情况以备后续管理员查询时，内部存储器D还用于进一步记录所述告警信息或接口访问日志信息。

在一种优选的实施方式中，所述外接式终端防护设备所具备的接口防护进一步可包括设备电气安全防护，以及使用中的对异常情况防护，包括但不限于，试图强行跳过外接式终端防护设备，使用合法USB设备通过安全验证后试图接入非法USB设备等。

在一种优选的实施方式中，所述外接式终端防护设备具备的设备电气安全性防护，指的是能够有效防范通过USB等对外接口实现对被保护主机的物理硬件破坏，能够防范诸如USB炸弹等类似通过强放电破坏被保护主机的行为。

为实现此目标，本发明的一种优选实施方式中，在电气安全性上分为两个层次进行了针对性的设计：

1)接口采用限流限压设计

方案所述终端防护设备所具备设备电气安全性防护指设备功能通过采用硬件设计来防止强放电设备的破坏，通过引入限流限压电路，实现防止电流电压过大的情况，构建第一道防护体系；

2)基于物理开关切换的外部设备连接机制

所述外接式终端防护设备通过引入硬件切换逻辑，使得进一步提升电气安全性防护功能。以USB外部设备为例，当U盘设备或其他USB设备插入终端防护设备进行操作时，首先必须进行必要的安全鉴权认证， 只有许可的设备才允许进行下一步操作，在未获得安全鉴权认证前，插入的USB设备无法与被保护主机连通。也就是说，在插入的外部设备未通过安全鉴权认证前，其与被保护主机之间不存在连通线路，因此即使第一层防护的限流限压设计未发挥应有作用，由插入的USB设备所引发的电流电压冲击也不会影响到被保护主机的安全。

作为一种可选的实施方式，外接式终端防护设备具备使用中对接口异常情况防护功能，主要针对恶意用户拔掉外接式终端防护设备与被保护主机之间连线，从而试图跳过外接的终端防护设备，直接访问被保护主机的情况，或使用合法USB设备通过安全验证后，拔出合法设备替换为非法USB设备的情况。

本发明一种优选实施方式针对使用中对异常情况防护进行了针对性的设计：

1)接口连接锁定，例如USB连接锁定

传统接口锁定一般是通过机械方式，即通过特殊接口，例如涉密行业使用的特殊宽口U盘或特种网口，来实现防止误用或是防止他人插拔接口。这种方式的缺点是通用性差，需要对设备接口进行改造以满足机械连接要求，此方式往往只适用于特种行业强制管理的设备，实施性较差，且容易引起设备维护纠纷。

本发明一种优选实施方式提供了所述外接式终端防护设备具备的接口锁定功能，是通过模拟信号采样及模数转换信号采集技术实现，当外接式终端防护设备A特定接口与被保护主机B的特定接口连接时，所述外接式终端防护设备中的接口控制板实时监测到所述与被保护主机B连接的对内特定接口的连接状态；当所述连接状态发生异常时，自动触发断开所述接口控制板与被保护主机之间的线路连接。进一步地，通过监测电路捕获所述对内接口的电流/电压变化，确定所述连接状态发生异常，触发告警指示信号。再进一步地，当自动触发断开所述接口控制板与被保护主机之间的线路连接后，所述连接状态从异常恢复到正常，依然保持所述接口控制板与被保护主机之间的线路连接的断开状态。以二者的USB口连接为例，外接式终端防护设备A将实时监测与被保护主 机B连接接口的电流电压情况，从而获得设备A与主机B连接线情况。当有恶意用户拔出设备A与主机B的连接线时，监测电路将及时捕获电流电压变化，触发声光告警，并触发连接断开操作，用户即使插回连接线，A与B之间连接也无法自动恢复，需要管理员权限用户进行手工配置后恢复。

2)外部设备插拔监测

本发明的技术方案提供的所述外接式终端防护设备所具备的外部设备插拔监测功能，指的是所述接口控制板实时监测接入所述外部设备的对外接口的连接状态，当确认为许可接入设备的外部设备从对外接口拔出时，自动将所述接通的线路物理连接进行断开；进一步地，当所述外部设备从对外接口拔出后再次接入时，由所述系统控制板2重新对所述外部设备进行安全鉴权操作。作为一种实施例，用户在获得授权，进行数据导入导出操作时，外接式终端防护设备A将通过监测接口实现对插入的外部设备(例如USB设备)的有效监测，防止用户使用合规设备通过安全检查后，拔下合规设备插入非法设备这一行为。一旦用户拔出设备，系统自动恢复到未授权断开连接状态，从而最大程度确保设备连接安全。

本方案所述终端防护设备所具备的插拔监测及异常连接断开功能是通过特定硬件控制连接切换实现，非软件实现，硬件设计示意图如图3所示。

图3所示的是本发明的另一实施例，该实施例的外接式终端防护设备具备接口控制功能，采用的是基于FPGA/单片机控制，通过硬件隔离开关通断实现的硬件通断方案，从而控制外部设备的接入切换。

以USB控制功能为例，该实施例的外接式终端防护设备包括如下构成部分：接口控制板、基于ARM/x86的系统控制板，及内部USB存储设备，接口控制板包括AD采集模块和交换芯片。

接口控制板的各接口连接如图3所示，UA1与UB1、UA2与UB2、UA3与UB3、UA2与UA4、UB1与UB3通过开关切换。AD采集模块检测各个接口的状态，交换芯片负责被保护主机、外接式终端防护设备 以及远程控制中心之间网口数据的通信。

硬件支持两种控制模式，分别对应USB设备使用上的两种功能USB数据导入导出以及USB设备直连：

1)USB数据导入导出控制逻辑：

本实施例所述外接式终端防护设备的数据导入导出控制逻辑，硬件连线情况如下：对内接口UA3、UA4插入被保护主机USB连接线，UB1、UB2接入系统控制板的USB接口，对外接口UA1插入待接入U盘或移动存储介质，UA2插入USB光驱设备，UB3接上内部USB存储。这样使得外接式终端防护设备将被保护主机各个数据接口全部接管，确保使用被保护主机各个接口的数据通信都通过外接式的终端防护设备完成。

优选地，所述防护系统还包括其远程控制所述外接式终端防护设备的控制中心，位于远端的控制中心通过网络连接到外接式终端防护设备的网口EA2，对所述外接式终端防护设备进行远程控制，从而无需在被保护主机上安装安全护软件即可到达对被保护主机进行安全防护的目的。

2)USB设备直连控制逻辑：

本实施例针对一些需要直接接入且非存储类的USB设备，例如USB光驱，加密狗等，设备直连控制通逻辑过系统控制板控制接口控制板的硬件控制逻辑实现对USB设备的数据流量的控制，硬件连线情况如下：终端防护设备中的接口控制板的对内USB接口UA4连接被保护主机的USB接口UC1，转发接口UB2接入系统控制板的USB接口，对外USB接口UA2插入需直连被保护主机B的外部设备(比如USB光驱)，接口控制板通过控制线连接系统控制板。

优选地，所述终端防护设备对USB设备直连控制方法如下：当终端防护设备的对外USB接口UA2插入需直连被保护主机B的外部设备(比如USB光驱)时，接口控制板通过控制线通知系统控制板，系统控制板控制接口控制板的硬件控制逻辑接通接口UA2与转发接口UB2的物理线路，使得UA2接口上插入的USB光驱与系统控制板的USB接口连通，在此期间硬件控制逻辑保持接口UA2与连接被保护主机的对内接口 UA4的物理线路处于断开状态。

系统控制板对UA2接口上的USB光驱进行安全鉴权，确认此外部设备是否为许可接入设备，当确认此USB光驱是许可接入设备后，硬件控制逻辑将对外接口UA2与对内接口UA4的物理线路接通，实现UA2接口上插入的USB光驱与被保护主机的连接。

当所述系统控制板监测到存在一个或多个接口的连接状态发生变化时，硬件控制逻辑自动断开所述接口与其他接口的物理线路。例如UA2接口上插入的外部设备接入UA4接口期间，系统控制板将实时监测接口控制板的UA2插入的外部设备连接情况，一旦检测到外部设备拔出接口将自动断开连接。

图4为本发明的基于外接式终端防护设备的防护系统的一种网络部署实施例。所述防护系统包括一个或多个外部设备、被保护主机以及外接式终端防护设备，其中，所述外接式终端防护设备外接于所述被保护主机上，使得所述一个或多个外部设备通过所述外接式终端防护设备与所述被保护主机进行接口通信。在此，所述外接式终端防护设备如上所述，此不再赘述。

进一步地，所述防护系统还包括其远程控制所述外接式终端防护设备的控制中心，控制中心由服务器、管理工作站，以及其他节点所组成，通过网络交换节点连接到所述外接式终端防护设备的网口EA1上。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实施。在一些实施例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要 求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文字内容的拍照录入装置、计算设备和计算机可读存储介质中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

Claims (13)

1. 一种外接式终端防护设备，其包括：

   接口控制模块，用于提供一个或多个对内接口，以及一个或多个对外接口，所述对内接口与被保护主机的相应接口连接，所述对外接口用于接入一个或多个外部设备；

   系统控制模块，用于与接口控制模块电性相连，控制所述接口控制模块上一个或多个对外接口所接入的外部设备的安全鉴权。
2. 如权利要求1所述的外接式终端防护设备，其中

   当所述接口控制模块的对外接口接入外部设备时，该接口控制模块通知所述系统控制模块，由所述系统控制模块对所述外部设备进行安全鉴权操作。
3. 如权利要求2所述的外接式终端防护设备，其中，该防护设备进一步包括：

   如果所述外部设备未通过安全鉴权，则设定所述外部设备为非许可接入设备，保持所述外部设备与所述被保护主机之间线路物理断开状态；和/或

   如果所述外部设备通过安全鉴权，则确认所述外部设备为许可接入设备，接通所述外部设备与所述被保护主机之间线路的物理连接。
4. 如权利要求3所述的外接式终端防护设备，其中，

   所述接口控制模块实时监测接入所述外部设备的对外接口的连接状态，当确认为许可接入设备的外部设备从对外接口拔出时，自动将所述接通的线路物理连接进行断开。
5. 如权利要求4所述的外接式终端防护设备，其中，

   所述外部设备从对外接口拔出后再次接入时，由所述系统控制模块重新对所述外部设备进行安全鉴权操作。
6. 如权利要求1所述的外接式终端防护设备，其中，

   所述接口控制模块实时监测到所述与被保护主机相应接口连接的对内接口的连接状态；

   当所述连接状态发生异常时，自动触发断开所述接口控制模块与被保护主机之间的线路连接。
7. 如权利要求6所述的外接式终端防护设备，其中，

   所述当所述连接状态发生异常时，自动触发断开所述接口控制模块与被保护主机之间的线路连接，还包括：

   通过监测电路捕获所述对内接口的电流/电压变化，确定所述连接状态发生异常，触发告警指示信号。
8. 如权利要求6所述的外接式终端防护设备，其中，

   当自动触发断开所述接口控制模块与被保护主机之间的线路连接后，所述连接状态从异常恢复到正常，依然保持所述接口控制模块与被保护主机之间的线路连接的断开状态。
9. 如权利要求1所述的外接式终端防护设备，其中，

   所述系统控制模块，基于设定的安全策略，控制所述接口控制模块上一个或多个对外接口接入的外部设备的安全鉴权。
10. 如权利要求1所述的外接式终端防护设备，其中，该防护设备还包括：

    内部存储器，用于存储接口间交换的数据。
11. 如权利要求1所述的外接式终端防护设备，其中，

    所述接口控制模块包括限流限压电路，以防止所述对外接口接入强放电设备对所述外接式终端防护设备的破坏。
12. 如权利要求1所述的外接式终端防护设备，其中，

    所述对内接口及对外接口中的一个或多个为USB接口。
13. 一种防护系统，包括：

    一个或多个外部设备；

    被保护主机；以及

    如权利要求1-12任一项所述的外接式终端防护设备，

    其中，所述外接式终端防护设备外接于所述被保护主机上，使得所述一个或多个外部设备通过所述外接式终端防护设备与所述被保护主机进行接口通信。

Images