WO2021217652A1 - 一种移动存储设备的控制方法、装置和计算机可读介质 - Google Patents
一种移动存储设备的控制方法、装置和计算机可读介质 Download PDFInfo
- Publication number
- WO2021217652A1 WO2021217652A1 PCT/CN2020/088487 CN2020088487W WO2021217652A1 WO 2021217652 A1 WO2021217652 A1 WO 2021217652A1 CN 2020088487 W CN2020088487 W CN 2020088487W WO 2021217652 A1 WO2021217652 A1 WO 2021217652A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- storage device
- mobile storage
- specific operation
- file system
- record
- Prior art date
Links
- 238000003860 storage Methods 0.000 title claims abstract description 196
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000001514 detection method Methods 0.000 claims description 9
- 238000003780 insertion Methods 0.000 claims description 8
- 230000037431 insertion Effects 0.000 claims description 8
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 abstract 1
- 241000700605 Viruses Species 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003863 physical function Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
涉及信息安全技术领域,尤其涉及一种移动存储设备的控制方法、装置和计算机可读介质。移动存储设备控制系统(200),包括:独立运行的扫描装置(201),被配置为扫描所述移动存储设备(20)并对其执行一个特定操作,以使其文件系统日志中记录所述特定操作;控制装置(202),被配置为:检查所述移动存储设备(20)中的文件系统日志中最后一条记录是否为所述特定操作的记录;若是,则允许用户访问所述移动存储设备(20);否则,禁止用户访问。由于文件系统日志难以被操作,因此该控制方案可靠性较高。并且,由于仅检查文件系统日志中的最后一条,执行速度快,且占用的计算资源少。
Description
本发明实施例涉及信息安全技术领域,尤其涉及一种移动存储设备的控制方法、装置和计算机可读介质。
诸如通用串行总线(Universal Serial Bus,USB)等移动存储设备极大地方便了文件存储。但同时也带来病毒传播、网络攻击等安全风险。
工业控制系统(industrial control system,ICS)通常禁止与互联网连接,因此通过移动存储设备是恶意软件在工业控制系统中的主要传播方式。恶意软件可以在办公环境下传播给移动存储设备,然后再通过工业控制系统中使用移动存储设备而在工业控制系统中传播。
现有的移动存储设备的控制方法包括:
1)反恶意软件
办公环境下使用反恶意软件是比较常见的做法,在其在工业控制系统中的应用却有局限性。因为绝大多数的工业控制系统缺乏算力或仅具有非常有限的计算资源,无法运行这些软件。并且,反恶意软件的更新在工业控制系统中也受到限制。工业控制系统中的工业过程通常不能中断,网络拓扑也相对复杂且与外界隔离。
2)常规的移动存储设备的控制
以USB为例,常规的USB设备控制方法包括:USB端口禁用,或者禁止从USE设备上读取文件,再或者仅允许某些USB设备使用等。前两种控制方法使得向工业控制系统拷贝数据变得异常不便,而最后一种方法将会为工业控制系统带来风险。比如:工程师使用合规的USB设备从其笔记本电脑向工业控制系统拷贝项目文件,恶意软件就可能从其笔记本电脑传播到工业控制系统中。
发明内容
本发明实施例实施例提供了一种移动存储设备的控制方法、装置和计算机可读介质,用以可靠地防御移动存储设备可能带来的安全威胁。
第一方面,提供一种移动存储设备控制系统。该系统可包括:独立运行的扫描装置,被配置为:检测有移动存储设备插入;扫描所述移动存储设备,以确定所述移动存储设备不构 成安全威胁;对所述移动存储设备执行一个特定操作,以使得所述移动存储设备的文件系统日志中记录所述特定操作,且所述特定操作的记录用于标记所述移动存储设备在被扫描后是否被修改过;控制装置,被配置为:检测所述移动存储设备的插入;检查所述移动存储设备中的文件系统日志中最后一条记录是否为所述特定操作的记录;若是,则允许用户访问所述移动存储设备;否则,禁止用户访问所述移动存储设备。
第二方面,提供一种移动存储设备扫描方法。所述方法在一个独立运行的扫描装置上执行,所述方法包括:检测有移动存储设备插入;扫描所述移动存储设备,以确定所述移动存储设备不构成安全威胁;对所述移动存储设备执行一个特定操作,以使得所述移动存储设备的文件系统日志中记录所述特定操作,且所述特定操作的记录用于标记所述移动存储设备在被扫描后是否被修改过。
第三方面,提供一种移动存储设备控制方法。所述方法包括:检测有移动存储设备插入;检查所述移动存储设备中的文件系统日志中最后一条记录是否为一个特定操作的记录,其中,所述记录为所述移动存储设备被扫描并确定不构成安全威胁后被执行所述特定操作而形成的;若是,则允许用户访问所述移动存储设备;否则,禁止用户访问所述移动存储设备。
第四方面,提供一种移动存储设备扫描装置,该装置可包括:检测模块,被配置为检测有移动存储设备插入;扫描模块,被配置为扫描所述移动存储设备,以确定所述移动存储设备不构成安全威胁;操作记录模块,被配置为对所述移动存储设备执行一个特定操作,以使得所述移动存储设备的文件系统日志中记录所述特定操作,且所述特定操作的记录用于标记所述移动存储设备在被扫描后是否被修改过。
第五方面,提供一种移动存储设备控制装置,该装置可包括:检测模块,被配置为检测有移动存储设备插入;控制模块,被配置为:检查所述移动存储设备中的文件系统日志中最后一条记录是否为一个特定操作的记录,其中,所述记录为所述移动存储设备被扫描并确定不构成安全威胁后被执行所述特定操作而形成的;若是,则允许用户访问所述移动存储设备;否则,禁止用户访问所述移动存储设备。
第六方面,提供一种移动存储设备扫描装置,包括:至少一个存储器,被配置为存储计算机可读代码;至少一个处理器,被配置为调用所述计算机可读代码,执行第二方面所提供的方法。
第七方面,提供一种移动存储设备控制装置,包括:至少一个存储器,被配置为存储计算机可读代码;至少一个处理器,被配置为调用所述计算机可读代码,执行第三方面所提供的方法。
第八方面,提供一种计算机可读介质,所述计算机可读介质上存储有计算机可读指令, 所述计算机可读指令在被处理器执行时,使所述处理器执行第二方面或第三方面所提供的方法。
其中,使用文件系统日志来标识移动存储设备在扫描或是否被修改。由于文件系统日志难以被操作(需要操作系统内核权限),因此该控制方案可靠性较高。并且,由于仅检查文件系统日志中的最后一条,执行速度快,且占用的计算资源少。
对于上述任一方面,可选地,在对移动存储设备扫描之后,对所述移动存储设备执行一个特定操作之前,还包括:判断所述移动存储设备是否使用日志文件系统,若所述移动存储设备未使用日志文件系统,则复制所述移动存储设备上的数据;将所述移动存储设备格式化为日志文件系统;将所述数据复制回所述移动存储设备上。这样,既可以保留移动存储设备上的数据,又能够采用本发明实施例提供的方法来保证移动存储设备不构成安全威胁。
对于上述任一方面,可选地,所述特定操作包括:创建一个签名文件;以及删除该创建的签名文件。这样将不会影响移动存储设备的正常使用。
图1为工业控制系统的结构示意图。
图2为本发明实施例提供的移动存储设备控制系统的示意图。
图3为本发明实施例提供的移动存储设备控制系统部署在工业控制系统上的示意图。
图4为本发明实施例提供的扫描装置的结构示意图。
图5为本发明实施例提供的控制装置的结构示意图。
图6为本发明实施例提供的扫描方法的流程图。
图7为本发明实施例提供的控制方法的流程图。
附图标记列表:
| 10:工业控制系统 | 1011:工业控制器 | 1012:分布式输入/输出设备 |
| 1013a:工程师站 | 1013b:操作员站 | 1013c:服务器 |
| 1013d:人机界面 | 1014:工业以太网 | 102:现场设备 |
| 100:控制单元 | 200:移动存储设备控制系统 | 201:扫描装置 |
| 202:控制装置 | 20:移动存储设备 | 2011:至少一个存储器 |
| 2012:至少一个处理器 | 2013:通信模块 | 2014:I/O接口 |
| 30:扫描程序 | 40:文件系统日志 | 301:检测模块 |
| 302:扫描模块 | 303:操作记录模块 | 2021:至少一个存储器 |
| 2022:至少一个处理器 | 2023:I/O接口 | 50:控制程序 |
| 501:检测模块 | 502:控制模块 | S601~S607:方法步骤 |
| S701~S703:方法步骤 |
现在将参考示例实施方式讨论本文描述的主题。应该理解,讨论这些实施方式只是为了使得本领域技术人员能够更好地理解从而实现本文描述的主题,并非是对权利要求书中所阐述的保护范围、适用性或者示例的限制。可以在不脱离本发明实施例内容的保护范围的情况下,对所讨论的元素的功能和排列进行改变。各个示例可以根据需要,省略、替代或者添加各种过程或组件。例如,所描述的方法可以按照与所描述的顺序不同的顺序来执行,以及各个步骤可以被添加、省略或者组合。另外,相对一些示例所描述的特征在其它例子中也可以进行组合。
如本文中使用的,术语“包括”及其变型表示开放的术语,含义是“包括但不限于”。术语“基于”表示“至少部分地基于”。术语“一个实施例”和“一实施例”表示“至少一个实施例”。术语“另一个实施例”表示“至少一个其他实施例”。术语“第一”、“第二”等可以指代不同的或相同的对象。下面可以包括其他的定义,无论是明确的还是隐含的。除非上下文中明确地指明,否则一个术语的定义在整个说明书中是一致的。
下面,对本发明实施例中涉及的一些描述加以解释。需要说明的是,这些解释是为了便于对本发明实施例的理解,不应视为对本发明保护范围的限定。
1、移动存储设备
相对于固定存储设备而言,可在不同设备之间进行文件拷贝、存储的设备。可包括但不限于:
·USB设备,又可称为移动闪存设备;
·相变式可重复擦写光盘驱动器(Phase Change Rewritable Optical Disk Drive,PD)设备;
·磁光(Magneto Optical,MO)驱动设备;
·移动硬盘;
·软驱(Floppy Drive,FD)设备;
·闪存(Flash Memory)设备,比如:智能媒介(Smart Media,SM)卡、压缩闪存(Compact Flash,CF)卡、多媒体卡(Multi Media Card)、安全数字(Secure Digital,SD)卡、记忆棒(Memory Stick)和TF卡等。
2、工业控制系统(也称作OT系统)
按照Gartner公司的定义,运营技术OT利用硬件和软件,通过直接的监视和或控制一个企业中的物理设备(physical device)、过程和事件而实现检测或控制。一个OT系统使用计算机来监视或改变一个系统的物理状态。工业控制系统(Industrial Control System)可视为OT系统的一个例子。ICS基于计算机实现,用于远程监视和/或控制诸如一个工厂内的关键过程和物理功能。ICS系统的例子有:数据采集与监视控制(Supervisory Control And Data Acquisition,SCADA)系统、分布式控制系统(Distributed Control System,DCS)、计算机数字控制(Computer Numerical Control,CNC)系统(包括计算机化的机械工具),以及科学设备(比如:数字示波器)。
图1示出了工业控制系统的示例性结构。如图1所示,工业控制系统10中可包括但不限于如下设备:
1)至少一个工业控制器1011
工业控制器1011可为可编程逻辑控制器(Programmable Logical Controller,PLC)、DCS控制器、RTU等。至少一个工业控制器1011可连接分布式I/O设备1012或自身集成分布式I/O接口,以控制数据的输入输出。工业控制器1011还可连接现场设备502,用于控制现场设备502的操作。大部分的工业控制器1011是专用的嵌入式设备,基于嵌入式操作系统(比如:VxWorks,嵌入式Linux,EOS、ucLinux、以及各种私有操作系统等)实现。工业控制器1011用于实现可靠、实时的工业控制,通常缺少访问控制(比如识别、鉴权、授权等)等安全特性。其中,一个控制单元100中可包括至少一个工业控制器1011。
2)至少一个分布式输入/输出(Input/Output,I/O)设备1012
3)至少一个工业主机
工业主机可包括基于个人电脑(Personal Computer,PC)实现的各种工作站或服务器等上位机。比如工程师站1013a、操作员站1013b、服务器1013c和人机界面(Human Machine Interface,HMI)1013d等。工业控制系统10中,工业主机可通过工业以太网1014监测和控制工业控制器1011,比如:控制工业控制器1011从现场设备40处读取数据(例如从传感器读取现场设备的状态参数),将数据保存到历史数据库中,按照操作员的指令或按照预设的控制程序或逻辑,向工业控制器1011发送控制命令等。其中,工程师站1013a也可对工业控制器1011进行配置。工业主机带有移动存储设备的接口,是恶意软件在工业控制系统10中传 播的主要途径。
4)工业控制网络1014
工业控制网络1014中可包括至少一个网络设备,用于连接各个工业控制器1011和工业主机。目前,越来越多的工业控制网络1014基于工业以太网实现。工业控制网络1014内的通信可基于传输控制协议(Transmission Control Protocol,TCP)、用户数据报协议(User Datagram Protocol,UDP)、互联网协议(Internet Protocol,IP)、以及基于以太网(Ethernet)等,其中的网络设备可包括但不限于:路由器、交换机等。工业控制网络1014还可连接其他网络,比如工厂的网络、办公网络等。
图2示出了本发明实施例提供的移动存储设备控制系统200的结构示意图。如图2所示,系统200中可包括:一个扫描装置201和至少一个控制装置202。系统200部署在工业控制系统10上的方式可如图3所示。
其中,扫描装置201上安装有反恶意软件,反恶意软件可用于检测病毒、恶意软件、各种安全攻击等所有可能对计算机系统构成的安全威胁。通常情况下,其处于独立(standalone)状态,不与互联网连接。其上的反恶意软件可定期采用安全的方式通过互联网得以更新,比如病毒库更新等。扫描装置201可用于对移动存储设备20进行扫描,以防止移动存储设备20对工业控制系统10造成安全威胁。
而控制装置202部署在工业控制系统10中的工业主机上,用以保证每一个插入的移动存储设备20已经过扫描装置201的扫描,不构成安全威胁。
本发明实施例提供的扫描装置201可以实现为计算机处理器的网络,以执行本发明实施例中的扫描方法。扫描装置201也可以是如图4所示的单台计算机,包括至少一个存储器2011,其包括计算机可读介质,例如随机存取存储器(RAM)。扫描装置201还包括与至少一个存储器2011耦合的至少一个处理器2012。计算机可执行指令存储在至少一个存储器2011中,并且当由至少一个处理器2012执行时,可以使至少一个处理器2012执行扫描方法600的步骤。至少一个处理器2012可以包括微处理器、专用集成电路(ASIC)、数字信号处理器(DSP)、中央处理单元(CPU)、图形处理单元(GPU)、状态机等。计算机可读介质的实施例包括但不限于软盘、CD-ROM、磁盘,存储器芯片、ROM、RAM、ASIC、配置的处理器、全光介质、所有磁带或其他磁性介质,或计算机处理器可以从中读取指令的任何其他介质。此外,各种其它形式的计算机可读介质可以向计算机发送或携带指令,包括路由器、专用或公用网络、或其它有线和无线传输设备或信道。指令可以包括任何计算机编程语言的代码,包括C、 C++、C语言、Visual Basic、java和JavaScript。此外,扫描装置201还可包括一个通信模块2013,用于网络连接,进行病毒库更新等。移动存储设备20可通过所述的I/O接口2014连接扫描装置201。
当由至少一个处理器2012执行时,图4中所示的至少一个存储器2011可以包含扫描程序30,使得至少一个处理器2012执行本发明实施例中所述扫描方法600。移动存储设备的控制程序30可以包括:
-检测模块301,被配置为检测有移动存储设备20插入;
-扫描模块302,被配置为扫描移动存储设备20,以确定移动存储设备20不构成安全威胁;
-操作记录模块303,被配置为对移动存储设备20执行一个特定操作,以使得移动存储设备20的文件系统日志40中记录特定操作,且特定操作的记录用于标记移动存储设备20在被扫描后是否被修改过。其中,文件系统日志40也可存储于至少一个存储器2021中。
可选地,操作记录模块303可还被配置为在扫描模块302扫描移动存储设备20之后,操作记录模块303对移动存储设备20执行一个特定操作之前,判断移动存储设备20是否使用日志文件系统,若移动存储设备20未使用日志文件系统,则:复制移动存储设备20上的数据;将移动存储设备20格式化为日志文件系统;并将数据复制回述移动存储设备20上。
可选地,特定操作包括:创建一个签名文件;以及删除该创建的签名文件。
下面,结合图6详细说明扫描装置201对移动存储设备20执行的扫描方法600。如图6所示,扫描方法600可包括如下步骤:
-S601:当用户将移动存储设备20插入扫描装置201的I/O接口2014时,扫描装置201检测到移动存储设备20的插入。
-S602:扫描装置201开始扫描移动存储设备20,以确定移动存储设备20不构成安全威胁,比如:扫描移动存储设备20是否感染病毒、是否安装了恶意软件等。若确定移动存储设备20构成安全威胁,则执行步骤S604’,否则执行步骤S604。
-S604:扫描装置201可对移动存储设备20进行杀毒操作,如果移动存储设备20上的所有病毒均被杀死,则可确定移动存储设备20不再构成安全威胁,可继续执行步骤S604’。另一种可选的实现方式时,一旦步骤S602中确定移动存储设备20构成安全威胁,则禁止对移动存储设备20进行后续操作,并阻止其感染扫描装置201。可选地,可提示用户该移动存储设备20已经感染病毒,无法在工业控制系统10中使用,请拔出该移动存储设备20。
-S604:判断移动存储设备20是否使用日志文件系统(journaling file system),比如NTFS(New Technology File System)。若移动存储设备20使用日志文件系统,则继续执行步骤S603, 否则,执行步骤S605~S607。
-S605:复制移动存储设备20上的数据。
-S606:将移动存储设备20格式化为日志文件系统。
-S607:将数据复制回移动存储设备20上。
其中,步骤S605~S606可由扫描装置201自动完成,无需用户参与,或者也可通过与用户交互完成。比如:通知用户移动存储设备20上未使用日志文件系统,提示用户复制移动存储设备20上的数据。用户可将移动存储设备20上的数据复制并确认复制成功后,通过确认按钮等方式通知扫描装置201,扫描装置201即可开始格式化的操作,将移动存储设备20格式化为日志文件系统。在格式化完成后,扫描装置201可通知用户将数据复制回移动存储设备20上。步骤S607完成后,扫描装置201继续执行步骤S603。
-S603:扫描装置201对移动存储设备20执行一个特定操作,以使得移动存储设备20的文件系统日志中记录该特定操作。由于文件系统日志只能通过驱动器由操作系统执行,普通用户无法直接改变文件系统日志,因此保证该特定操作记录的不可篡改性,进而保证了能够准确标识移动存储设备20的状态,即移动存储设备20在扫描装置201上被扫描过之后,是否被修改过。若未被修改过,则可认为移动存储设备20是安全的,不会对工业控制系统10造成安全威胁。可选地,该特定操作可包括:创建一个签名文件,并删除该创建的签名文件。这样的操作会使得文件系统日志中留下一条文件创建的日志和一条文件删除的日志,并且该特定操作不会在移动存储设备20上留下任何文件。这样,这两条日志可用于控制装置202检查移动存储设备20是否在扫描后被修改过。当然,特定操作也可为其他类型的操作,或者一系列操作,只要其能够在文件系统日志中留下操作的记录,使得控制装置202能够据此检查即可。
扫描装置201在步骤S603之后,可提示用户扫描已完成,可以拔出移动存储设备20。
本发明实施例提供的控制装置202可以是一段可执行的程序50,安装在工业控制系统10中的工业主机或者其他可能链接移动存储设备的设备上。当然,也可以将这些安装了该可执行的程序50的设备视为控制装置202。这些设备可包括至少一个存储器2021,其包括计算机可读介质,例如随机存取存储器(RAM)。装置202还包括与至少一个存储器2021耦合的至少一个处理器2022。计算机可执行指令存储在至少一个存储器2021中,并且当由至少一个处理器2022执行时,可以使至少一个处理器2022执行控制方法700的步骤。至少一个处理器2022可以包括微处理器、专用集成电路(ASIC)、数字信号处理器(DSP)、中央处理单元(CPU)、图形处理单元(GPU)、状态机等。计算机可读介质的实施例包括但不限于软盘、 CD-ROM、磁盘,存储器芯片、ROM、RAM、ASIC、配置的处理器、全光介质、所有磁带或其他磁性介质,或计算机处理器可以从中读取指令的任何其他介质。此外,各种其它形式的计算机可读介质可以向计算机发送或携带指令,包括路由器、专用或公用网络、或其它有线和无线传输设备或信道。指令可以包括任何计算机编程语言的代码,包括C、C++、C语言、Visual Basic、java和JavaScript。移动存储设备20可通过所述的I/O接口2023连接控制装置202。
当由至少一个处理器2022执行时,至少一个存储器2021中存储的控制程序50,使得至少一个处理器2022执行本发明实施例中所述控制方法700。移动存储设备的控制程序50可以包括:
-检测模块501,被配置为检测有移动存储设备20插入;
-控制模块502,被配置为:检查移动存储设备20中的文件系统日志中最后一条记录是否为一个特定操作的记录,其中,记录为移动存储设备20被扫描并确定不构成安全威胁后被执行特定操作而形成的;若是,则允许用户访问移动存储设备20;否则,禁止用户访问移动存储设备20。
下面,结合图7详细说明控制装置202对移动存储设备20执行的控制方法700。如图7所示,控制方法700可包括如下步骤:
-S701:当用户将移动存储设备20插入I/O接口2023时,控制装置202检测到移动存储设备20的插入。在确定移动存储设备20不构成安全威胁前,控制装置202禁止用户访问移动存储设备20。
-S702:控制装置202检查移动存储设备20中的文件系统日志中最后一条记录是否为前述的特定操作的记录。可预先在程序50中设置该特定操作的信息以供控制装置202判断。比如,对于NTFS,控制装置202可检查文件写的最后一条日志(数据重写(overwrite)/数据区间(data extent)/数据截断(data truncation)/文件创建(file create))是否为前述的特定操作的记录。若是,则执行步骤S703,否则自行步骤S704。
-S703:控制装置202确定移动存储设备20在被扫描之后没有被修改过,并允许用户访问移动存储设备20。
-S704:控制装置202确定移动存储设备20在被扫描之后被修改过,禁止用户访问移动存储设备20。并可提示用户重新在扫描装置201上对移动存储设备20进行扫描。
应当提及的是,本发明实施例可以包括具有不同于图4和图5所示架构的装置。上述架构仅仅是示例性的,用于解释本发明实施例提供的方法600和方法700。
此外,上述各模块还也可视为由硬件实现的各个功能模块,用于控制移动存储设备,比如预先将该方法中涉及的各流程的控制逻辑烧制到诸如现场可编程门阵列(Field-Programmable Gate Array,FPGA)芯片或复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD)中,而由这些芯片或器件执行上述各模块的功能,具体实现方式可依工程实践而定。
此外,本发明实施例实施例还提供一种计算机可读介质,该计算机可读介质上存储有计算机可读指令,计算机可读指令在被处理器执行时,使处理器执行前述的移动存储设备的控制方法。计算机可读介质的实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选地,可以由通信网络从服务器计算机上或云上下载计算机可读指令。
综上,本发明实施例中,使用文件系统日志来标识移动存储设备在扫描或是否被修改。由于文件系统日志难以被操作(需要操作系统内核权限),因此该控制方案可靠性较高。并且,由于仅检查文件系统日志中的最后一条,执行速度快,且占用的计算资源少。可选地,用于产生文件系统日志的特定操作可为签名文件的创建和删除,因此并不影响移动存储设备的正常使用。
需要说明的是,上述各流程和各系统结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
Claims (12)
- 一个移动存储设备控制系统(200),其特征在于,包括:-独立运行的扫描装置(201),被配置为:-检测有移动存储设备(20)插入;-扫描所述移动存储设备(20),以确定所述移动存储设备(20)不构成安全威胁;-对所述移动存储设备(20)执行一个特定操作,以使得所述移动存储设备(20)的文件系统日志中记录所述特定操作,且所述特定操作的记录用于标记所述移动存储设备(20)在被扫描后是否被修改过;-控制装置(202),被配置为:-检测所述移动存储设备(20)的插入;-检查所述移动存储设备(20)中的文件系统日志中最后一条记录是否为所述特定操作的记录;-若是,则允许用户访问所述移动存储设备(20);否则,禁止用户访问所述移动存储设备(20)。
- 一种扫描方法(600),其特征在于,所述方法在一个独立运行的扫描装置(201)上执行,所述方法包括:-检测(S601)有移动存储设备(20)插入;-扫描(S602)所述移动存储设备(20),以确定所述移动存储设备(20)不构成安全威胁;-对所述移动存储设备(20)执行(S603)一个特定操作,以使得所述移动存储设备(20)的文件系统日志中记录所述特定操作,且所述特定操作的记录用于标记所述移动存储设备(20)在被扫描后是否被修改过。
- 如权利要求2所述的方法,其特征在于,在扫描(S602)所述移动存储设备(20)之后,对所述移动存储设备(20)执行(S603)一个特定操作之前,还包括:判断(S604)所述移动存储设备(20)是否使用日志文件系统,若所述移动存储设备(20)未使用日志文件系统,则:-复制(S605)所述移动存储设备(20)上的数据;-将所述移动存储设备(20)格式化(S606)为日志文件系统;-将所述数据复制回(S607)所述移动存储设备(20)上。
- 如权利要求2所述的方法,其特征在于,所述特定操作包括:-创建一个签名文件;以及-删除该创建的签名文件。
- 一种控制方法(700),其特征在于,包括:-检测(S701)有移动存储设备(20)插入;-检查(S702)所述移动存储设备(20)中的文件系统日志中最后一条记录是否为一个特定操作的记录,其中,所述记录为所述移动存储设备(20)被扫描并确定不构成安全威胁后被执行所述特定操作而形成的;-若是,则允许(S703)用户访问所述移动存储设备(20);否则,禁止(S704)用户访问所述移动存储设备(20)。
- 一种扫描装置(201),其特征在于,所述扫描装置(201)独立运行,所述装置包括:-检测模块(301),被配置为检测有移动存储设备(20)插入;-扫描模块(302),被配置为扫描所述移动存储设备(20),以确定所述移动存储设备(20)不构成安全威胁;-操作记录模块(303),被配置为对所述移动存储设备(20)执行一个特定操作,以使得所述移动存储设备(20)的文件系统日志中记录所述特定操作,且所述特定操作的记录用于标记所述移动存储设备(20)在被扫描后是否被修改过。
- 如权利要求6所述的装置(201),其特征在于,所述操作记录模块(303),还被配置为在所述扫描模块(302)扫描所述移动存储设备(20)之后,所述操作记录模块(303)对所述移动存储设备(20)执行一个特定操作之前,判断所述移动存储设备(20)是否使用日志文件系统,若所述移动存储设备(20)未使用日志文件系统,则:-复制所述移动存储设备(20)上的数据;-将所述移动存储设备(20)格式化为日志文件系统;-将所述数据复制回述移动存储设备(20)上。
- 如权利要6所述的装置,其特征在于,所述特定操作包括:-创建一个签名文件;以及-删除该创建的签名文件。
- 控制装置(202),其特征在于,包括:-检测模块(501),被配置为检测有移动存储设备(20)插入;-控制模块(502),被配置为:-检查所述移动存储设备(20)中的文件系统日志中最后一条记录是否为一个特定操作的记录,其中,所述记录为所述移动存储设备(20)被扫描并确定不构成安全威胁后被执行所述特定操作而形成的;-若是,则允许用户访问所述移动存储设备(20);否则,禁止用户访问所述移动存储设备(20)。
- 扫描装置(201),其特征在于,包括:至少一个存储器(2011),被配置为存储计算机可读代码;至少一个处理器(2012),被配置为调用所述计算机可读代码,执行如权利要求2~4任一项所述的方法。
- 控制装置(10),其特征在于,包括:至少一个存储器(2021),被配置为存储计算机可读代码;至少一个处理器(2022),被配置为调用所述计算机可读代码,执行如权利要求5所述的方法。
- 一种计算机可读介质,其特征在于,所述计算机可读介质上存储有计算机可读指令,所述计算机可读指令在被处理器执行时,使所述处理器执行如权利要求1~5任一项所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/922,103 US11880459B2 (en) | 2020-04-30 | 2020-04-30 | Method and apparatus for controlling mobile storage device, and computer-readable medium |
| EP20933965.4A EP4131044A4 (en) | 2020-04-30 | 2020-04-30 | METHOD AND APPARATUS FOR CONTROLLING MOBILE STORAGE DEVICE AND COMPUTER READABLE MEDIUM |
| CN202080099452.3A CN115427957A (zh) | 2020-04-30 | 2020-04-30 | 一种移动存储设备的控制方法、装置和计算机可读介质 |
| PCT/CN2020/088487 WO2021217652A1 (zh) | 2020-04-30 | 2020-04-30 | 一种移动存储设备的控制方法、装置和计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2020/088487 WO2021217652A1 (zh) | 2020-04-30 | 2020-04-30 | 一种移动存储设备的控制方法、装置和计算机可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2021217652A1 true WO2021217652A1 (zh) | 2021-11-04 |
Family
ID=78331673
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2020/088487 WO2021217652A1 (zh) | 2020-04-30 | 2020-04-30 | 一种移动存储设备的控制方法、装置和计算机可读介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11880459B2 (zh) |
| EP (1) | EP4131044A4 (zh) |
| CN (1) | CN115427957A (zh) |
| WO (1) | WO2021217652A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230229764A1 (en) * | 2022-01-20 | 2023-07-20 | Pure Storage, Inc. | Storage System Based Threat Detection and Remediation for Containers |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101329709A (zh) * | 2008-08-01 | 2008-12-24 | 北京航空航天大学 | 一种用于数据安全迁移的系统及方法 |
| US20100011351A1 (en) * | 2008-07-08 | 2010-01-14 | Sandisk Il Ltd. | Dynamic file system restriction for portable storage devices |
| CN103093145A (zh) * | 2013-01-18 | 2013-05-08 | 北京奇虎科技有限公司 | 一种扫描移动存储设备的方法、装置和系统 |
| CN105069382A (zh) * | 2015-07-27 | 2015-11-18 | 浪潮软件集团有限公司 | 一种适用于普通u盘的安全应用系统 |
| CN109033313A (zh) * | 2018-07-17 | 2018-12-18 | 北京明朝万达科技股份有限公司 | 一种应用usn实现全盘扫描功能的方法和终端设备 |
| CN110598428A (zh) * | 2019-08-22 | 2019-12-20 | 中国电子科技集团公司第二十八研究所 | 一种基于Linux用户空间的USB设备管控系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10628263B1 (en) * | 2013-08-02 | 2020-04-21 | David Cowen | Logfile-related technologies and techniques |
| US10643007B2 (en) * | 2016-06-03 | 2020-05-05 | Honeywell International Inc. | System and method for auditing file access to secure media by nodes of a protected system |
| US10205726B2 (en) * | 2016-06-03 | 2019-02-12 | Honeywell International Inc. | Apparatus and method for preventing file access by nodes of a protected system |
| US10853488B2 (en) * | 2017-07-10 | 2020-12-01 | Dell Products, Lp | System and method for a security filewall system for protection of an information handling system |
| US10990671B2 (en) | 2018-01-12 | 2021-04-27 | Honeywell International Inc. | System and method for implementing secure media exchange on a single board computer |
| DE102018213616A1 (de) | 2018-06-20 | 2019-12-24 | Robert Bosch Gmbh | Kryptografiemodul und Betriebsverfahren hierfür |
-
2020
- 2020-04-30 WO PCT/CN2020/088487 patent/WO2021217652A1/zh unknown
- 2020-04-30 US US17/922,103 patent/US11880459B2/en active Active
- 2020-04-30 CN CN202080099452.3A patent/CN115427957A/zh active Pending
- 2020-04-30 EP EP20933965.4A patent/EP4131044A4/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100011351A1 (en) * | 2008-07-08 | 2010-01-14 | Sandisk Il Ltd. | Dynamic file system restriction for portable storage devices |
| CN101329709A (zh) * | 2008-08-01 | 2008-12-24 | 北京航空航天大学 | 一种用于数据安全迁移的系统及方法 |
| CN103093145A (zh) * | 2013-01-18 | 2013-05-08 | 北京奇虎科技有限公司 | 一种扫描移动存储设备的方法、装置和系统 |
| CN105069382A (zh) * | 2015-07-27 | 2015-11-18 | 浪潮软件集团有限公司 | 一种适用于普通u盘的安全应用系统 |
| CN109033313A (zh) * | 2018-07-17 | 2018-12-18 | 北京明朝万达科技股份有限公司 | 一种应用usn实现全盘扫描功能的方法和终端设备 |
| CN110598428A (zh) * | 2019-08-22 | 2019-12-20 | 中国电子科技集团公司第二十八研究所 | 一种基于Linux用户空间的USB设备管控系统 |
Non-Patent Citations (1)
| Title |
|---|
| See also references of EP4131044A4 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115427957A (zh) | 2022-12-02 |
| US20230131910A1 (en) | 2023-04-27 |
| EP4131044A1 (en) | 2023-02-08 |
| US11880459B2 (en) | 2024-01-23 |
| EP4131044A4 (en) | 2023-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11609994B2 (en) | File sanitization technologies | |
| US11611586B2 (en) | Systems and methods for detecting a suspicious process in an operating system environment using a file honeypots | |
| US20190158512A1 (en) | Lightweight anti-ransomware system | |
| US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| KR102309115B1 (ko) | 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| US20190332765A1 (en) | File processing method and system, and data processing method | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| CN110826067B (zh) | 一种病毒检测方法、装置、电子设备及存储介质 | |
| US11106793B2 (en) | Disarming malware in protected content | |
| CN107644174B (zh) | 数据泄漏防止系统及数据泄漏防止方法 | |
| CN101877039A (zh) | 一种服务器操作系统的故障检测技术 | |
| CN102867146A (zh) | 一种防止计算机病毒反复感染系统的方法及系统 | |
| RU2634175C2 (ru) | Способ выполнения антивирусных проверок | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| WO2021217652A1 (zh) | 一种移动存储设备的控制方法、装置和计算机可读介质 | |
| WO2019037521A1 (zh) | 安全检测的方法、装置、系统以及服务器 | |
| WO2021227524A1 (zh) | 一种具有安全功能的网络边缘存储装置 | |
| CN107231365B (zh) | 一种取证的方法及服务器以及防火墙 | |
| CN113992407B (zh) | 一种安全策略配置方法及装置 | |
| TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 | |
| JP6123350B2 (ja) | 検証装置、検証方法、及びプログラム | |
| US11816213B2 (en) | System and method for improved protection against malicious code elements | |
| US11954333B2 (en) | Secured firmware with anti-malware | |
| KR101234063B1 (ko) | 악성코드 자동 수집 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 20933965 Country of ref document: EP Kind code of ref document: A1 |
|
| ENP | Entry into the national phase |
Ref document number: 2020933965 Country of ref document: EP Effective date: 20221026 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |