WO2023051131A1

WO2023051131A1 - 一种移动存储设备管控的方法和装置

Info

Publication number: WO2023051131A1
Application number: PCT/CN2022/115628
Authority: WO
Inventors: 万朔
Original assignee: 西门子（中国）有限公司
Priority date: 2021-09-28
Filing date: 2022-08-29
Publication date: 2023-04-06
Also published as: CN115879106A

Abstract

本申请实施例提供了一种移动存储设备管控的方法和装置，能够保证进入工控系统的移动存储设备为安全移动存储设备，提高工控系统信息和财产的安全性。该方法包括：当移动存储设备拦截器检测到移动存储设备插入客户端设备时，获取该移动存储设备的信息，该移动存储设备的信息包括该移动存储设备的标识信息和该移动存储设备的第一文件信息，第一文件信息用于记录该移动存储设备当前的文件的属性信息；移动存储设备拦截器根据该移动存储设备的信息和白名单管控该移动存储设备，其中，白名单包括通过安全扫描的安全移动存储设备的标识信息和安全移动存储设备的第二文件信息，第二文件信息用于记录该安全移动存储设备通过安全扫描时的文件的属性信息。

Description

一种移动存储设备管控的方法和装置

技术领域

本申请涉及数据信息安全防护技术领域，并且更具体地，涉及一种移动存储设备管控的方法和装置。

背景技术

工业控制系统所在网络属于一种内部网络，一般与互联网是物理或逻辑隔离的。病毒或恶意软件可以通过移动存储设备，如U盘、移动硬盘等，“摆渡”到内部网络并进行传播，给工控系统的信息安全管理控制带来了很大挑战。目前，部分工厂在主机上部署了杀毒软件，但由于不能保证杀毒软件的及时更新，处理病毒的有效性和及时性均无法保证。还有部分工厂允许有限的移动存储设备可以在内部使用，但也无法保证这些移动存储设备不被病毒或恶意软件感染。另外，即便移动存储设备经过定期查杀，仍然无法保证移动存储设备在使用过程中不被感染，进而无法保证移动存储设备在每次接入工控网络前处于安全状态。

因此，亟需一种保证访问工厂设备中的移动存储设备为安全移动存储设备的管控方法，从而提高工控系统信息和财产的安全性。

发明内容

本申请实施例提供了一种移动存储设备管控的方法和装置，可以保证访问工厂设备的移动存储设备为安全移动存储设备，从而能够提高提高工控系统信息和财产的安全性。

第一方面，提供了一种移动存储设备的管控方法，包括：当移动存储设备拦截器检测到移动存储设备插入客户端设备时，获取所述移动存储设备的信息，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备的第一文件信息，所述第一文件信息用于记录所述移动存储设备当前的文件的属性信息；所述移动存储设备拦截器根据所述移动存储设备的信息和白名单管控所述移动存储设备，其中，所述白名单包括通过安全扫描的安全移动存储设备的标识信息和所述安全移动存储设备的第二文件信息；所述第二文件信息用于记录所述安全移动存储设备通过安全扫描时的文件的属性信息。

在本申请实施例中，上述移动存储设备例如可以是U盘、移动硬盘或其他可移动的且具有存储功能的设备，本申请对此不作限定。

上述技术方案，在移动存储设备插入客户端设备时，移动存储设备拦截器可以根据移动存储设备的标识信息和当前文件的属性信息与该移动存储设备在白名单的标识信息和通过安全扫描时的文件的属性信息进行对比，判断该移动存储设备是否被病毒或恶意软件感染，以保证访问工厂设备的移动存储设备为安全移动存储设备，从而能够提高工控系统信息和财产的安全性。

在一些可能的实现方式中，所述移动存储设备拦截器根据所述移动存储设备的信息和白名单管控所述移动存储设备包括：当所述移动存储设备的标识信息不在所述白名单中，所述移动存储设备拦截器拒绝所述移动存储设备对所述客户端设备的访问；或当所述移动存储设备的标识信息在所述白名单中，所述移动存储设备拦截器判断所述第一文件信息是否与所述移动存储设备的标识信息对应的所述第二文件信息一致；若所述第一文件信息与所述移动存储设备的标识信息对应的所述第二文件信息一致，所述移动存储设备拦截器允许所述移动存储设备对所述客户端设备的访问；或若所述第一文件信息与所述移动存储设备的标识信息对应的所述第二文件信息不一致，所述移动存储设备拦截器拒绝所述移动存储设备对所述客户端设备的访问。

示例性的，上述第一文件信息例如可以包括移动存储设备插入客户端设备时该移动存储设备中每个文件的创建或更新时间、文件总数、总文件大小；第二文件信息可以包括安全移动存储设备在通过安全扫描时每个文件的扫描时间、文件总数、总文件大小，本申请对文件信息的具体内容不作限定。

需要说明的是，当第一文件信息与第二文件信息进行对比时，只是将相同类别的文件属性信息进行对比，例如将第一文件信息中的文件总数与第二文件信息中的文件总数进行对比，或，将第一文件信息中的每个文件的创建或更新时间与第二文件信息中的每个文件的扫描时间进行对比，再或者，既对比上述时间信息也对比文件总数信息，进而判断出第一文件信息与第二文件信息是否一致。

通过该实现方式，首先利用移动存储设备的标识信息判断该移动存储设备是否在白名单内，当移动存储设备在白名单时，通过对比移动存储设备当前的文件信息与通过安全扫描时的文件信息进行对比，二次验证移动存储设备的安全性，进一步保证访问客户端设备的移动存储设备的安全性，并避免移动存储设备扫描过期的情况。

在一些可能的实现方式中，若所述第一文件信息与所述移动存储设备的标识信息对应的所述第二文件信息不一致，所述方法还包括：所述移动存储设备拦截器向移动存储设备管理器发送第一指示信息，所述第一指示信息包括所述移动存储设备的标识信息，所述第一指示信息用于指示所述移动存储设备管理器从所述白名单中删除所述移动存储设备的信息。

通过该实现方式，当移动存储设备当前的文件信息与该移动存储设备经过安全扫描时的文件信息不一致的情况下，通过将移动存储设备的信息从白名单中删除，使得白名单中的该移动存储设备的信息失效，当移动存储设备再次插入客户端设备时，移动存储设备拦截器直接拒绝该移动存储设备的访问。

第二方面，提供了一种移动存储设备管控的方法，该方法包括：反病毒扫描器对移动存储设备进行安全扫描；在所述移动存储设备通过安全扫描后，将所述移动存储设备的信息发送至移动存储设备管理器，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备通过安全扫描时的文件信息，所述移动存储设备的信息用于将所述移动存储设备的信息加入白名单。

上述技术方案，通过反病毒扫描器对移动存储设备进行安全扫描，将通过安全扫描的移动存储设备的信息自动发送至移动存储设备管理器，使得该移动存储设备可以自动被授权，节省了人工授权的成本。

在一些可能的实现方式中，所述病毒扫描器对移动存储设备进行安全扫描包括：利用杀毒引擎扫描所述移动存储设备；当所述移动存储设备未感染病毒或所述移动存储设备感染的病毒被所述杀毒引擎杀死时，确定所述移动存储设备通过安全扫描；当所述移动存储设备感染的病毒未被所述杀毒引擎杀死时，确定所述移动存储设备未通过安全扫描。

通过该实现方式，反病毒扫描器与客户端设备相比是独立的设备或组件，且与工厂中客户端设备使用的网络是隔离的，可以随时更新病毒库，避免反病毒扫描器与客户端为一体时，不能及时更新而导致某些新病毒进入工控系统的情况。

可选地，该文件信息包括该移动存储设备中每个文件的扫描时间、文件总数、总文件大小，本申请对此不作限定。

第三方面，提供了一种移动存储设备管控的方法，该方法包括：移动存储设备管理器接收反病毒扫描器发送的移动存储设备的信息，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备通过安全扫描时的文件信息；所述移动存储设备管理器将所述移动存储设备的信息加入至白名单；所述移动存储设备管理器向客户端设备发送所述白名单。

上述技术方案，移动存储设备管理器可以为通过安全扫描的移动存储设备自动创建白名单，无需人工维护，减少了人工管理的成本与工作量。

在一些可能的实现方式中，所述方法还包括：所述移动存储设备管理器接收来自移动存储设备拦截器发送的第一指示信息，所述第一指示信息包括移动存储设备的标识信息，所述第一指示信息用于指示所述移动存储设备管理器从所述白名单中删除所述移动存储设备的信息；所述移动存储设备管理器根据所述第一指示信息将所述移动存储设备的信息从所述白名单中删除。

第四方面，提供了一种移动存储设备拦截器，包括用于执行上述第一方面或其各实现方式中的方法的各单元。

第五方面，提供了一种反病毒扫描器，包括用于执行上述第二方面或其各实现方式中的方法的各单元。

第六方面，提供了一种移动存储设备管理器，包括用于执行上述第三方面或其各实现方式中的方法的各单元。

第七方面，提供了一种移动存储设备管控的装置，包括：存储器，用于存储程序；处理器，用于执行所述存储器存储的程序，当所述存储器存储的程序被执行时，所述处理器用于执行上述移动存储设备管控的方法。

第八方面，提供了一种计算机可读存储介质，所述计算机可读介质存储用于设备执行的程序代码，所述程序代码包括用于执行上述移动存储设备管控的方法中的步骤的指令。

第九方面，本申请还提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述的移动存储设备管控的方法。

附图说明

图1是本申请实施例的一种移动存储设备管控的方法的示意性流程图。

图2是本申请实施例的另一种移动存储设备管控的方法的示意性流程图。

图3是本申请实施例的再一种移动存储设备管控的方法的示意性流程图。

图4是本申请实施例的移动存储设备拦截器的结构示意图。

图5是本申请实施例的反病毒扫描器的结构示意图。

图6是本申请实施例的移动存储设备管理器的结构示意图。

图7是本申请实施例的移动存储设备管控装置的结构示意图。

附图标记列表：

110、120、210、220、310、320、330：方法步骤；

400，移动存储设备拦截器；

410，获取单元；

420，处理单元；

430，发送单元；

500，反病毒扫描器；

510，处理单元；

520，发送单元；

600，移动存储设备管理器；

610，接收单元；

620，处理单元；

630，发送单元；

700，装置；

701，存储器；

702，处理器；

703，通信接口；

704，总线。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。应理解，本说明书中的具体的例子只是为了帮助本领域技术人员更好地理解本申请实施例，而非限制本申请实施例的范围。

应理解，在本申请的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

还应理解，本说明书中描述的各种实施方式，既可以单独实施，也可以组合实施，本申请实施例对此不作限定。

除非另有说明，本申请实施例所使用的所有技术和科学术语与本申请的技术领域的技术人员通常理解的含义相同。本申请中所使用的术语只是为了描述具体的实施例的目的，不是旨在限制本申请的范围。

图1示出了本申请实施例的移动存储设备管控的方法100的示意性流程图。方法可以由移动存储设备拦截器执行。方法100可以包括以下内容中的至少部分内容。

110，当移动存储设备拦截器检测到移动存储设备插入客户端设备时，获取该移动存储设备的信息，该移动存储设备的信息包括移动存储设备的标识信息和移动存储设备的第一文件信息，第一文件信息用于记录该移动存储设备当前的文件的属性信息。

在本申请实施例中，客户端设备可以为工控系统中的工程师站、操作员站，比如可以是具有人机交互接口(human machine interface，HMI)的计算机设备等。

在本申请实施例中，移动存储设备拦截器是一个软件，安装于上述客户端设备上。

具体地，当移动存储设备插入到客户端设备时，移动存储设备拦截器可以读取移动存储设备的信息以判断是否允许该移动存储设备访问客户端设备，访问客户端设备包括获取客户端设备上的数据或将移动存储设备的数据写入客户端设备等操作。其中，移动存储设备拦截器安装于客户端设备上。

在本申请实施例中，移动存储设备的信息包括移动存储设备的标识信息和移动存储设备的第一文件信息。其中，移动存储设备的标识信息可以为该移动存储设备的身份标识号(identification，ID)，也就是该移动存储设备的序列号。移动存储设备的第一文件信息可以包括移动存储设备当前的文件的属性信息，其中，文件的属性信息例如可以是每个文件的创建或更新时间、文件总数、总文件的大小等信息，本申请对文件信息的具体内容不作限定。

一种实现方式中，移动存储设备的信息还可以包括移动存储设备的供应商、标签、卷等信息。

120，移动存储设备拦截器根据移动存储设备的信息和白名单管控该移动存储设备，其中，白名单包括通过安全扫描的安全移动存储设备的标识信息和安全移动存储设备的第二文件信息，第二文件信息用于记录安全移动存储设备通过安全扫描时的文件的属性信息。

在本申请实施例中，白名单指的是在白名单中的移动存储设备已经过安全扫描，并且经过安全扫描后该移动存储设备是安全移动存储设备。其中安全移动存储设备是指该移动存储设备中不存在病毒或恶意软件。

在一种实现方式中，当移动存储设备的标识信息不在白名单中，移动存储设备拦截器拒绝该移动存储设备对客户端设备的访问。也就是说，当移动存储设备的标识信息不在白名单时，该移动存储设备未经安全扫描，不能确认该移动存储设备是否被病毒或恶意软件感染，因此移动存储设备拦截器拒绝该移动存储设备访问客户端设备。

通过该实现方式，在移动存储设备访问客户端前，通过移动存储设备拦截器判断该移动存储设备是否在白名单内，当不在白名单内时，即不确定该移动存储设备是否感染病毒或恶意软件时，拒绝该移动存储设备的访问，使未经安全扫描的移动存储设备无法接入工厂网络。

在一种实现方式中，当移动存储设备的标识信息在白名单中，移动存储设备拦截器判断第一文件信息是否与该移动存储设备的标识信息对应的第二文件信息一致。其中，第二文件信息可以包括移动存储设备通过安全扫描时的文件的属性信息，文件的属性信息例如可以是通过安全扫描每个文件的扫描时间、文件总数、总文件的大小等信息。

需要说明的是，移动存储设备拦截器在判断第一文件信息与第二文件信息是否一致时，只是将第一文件信息和第二文件信息中相同类别的文件属性信息进行对比，从而判断出第一文件信息与第二文件信息是否一致。例如，将第一文件信息中的文件总数与第二文件信息中的文件总数进行对比，或，将第一文件信息中的每个文件的创建或更新时间与第二文件信息中的每个文件的扫描时间进行对比，或，将第一文件信息中的总文件大小与第二文件信息中的总文件大小进行对比。

应理解，即使移动存储设备已经经过安全扫描也不能保证该移动存储设备在插入客户端设备之前不被感染，因此需要将移动存储设备当前的文件信息与移动存储设备经过安全扫描时的文件信息对比是否一致。

应理解，上述该移动存储设备的标识信息对应的第二文件信息是指，当该移动存储设备在白名单时，白名单中记录的该移动存储设备的文件信息，也就是移动存储设备经过安全扫描时的文件信息。

可能地，第一文件信息与移动存储设备的标识信息对应的第二文件信息一致，移动存储设备拦截器允许该移动存储设备对客户端设备的访问。即移动存储设备经过安全扫描后，插入客户端设备之前的这段时间，移动存储设备未经过文件篡改或侵入，仍然是安全移动存储设备，此时允许该移动存储设备对客户端设备的访问。

在一种实现方式中，允许移动存储设备对客户端设备的访问可以是激活该移动存储设备并连接到客户端设备的操作系统上。

可能地，第一文件信息与移动存储设备的标识信息对应的第二文件信息不一致，移动存储设备拦截器拒绝该移动存储设备对客户端设备的访问。即移动存储设备经过安全扫描后，插入客户端设备之前的这段时间，移动存储设备中的文件可能经过篡改或病毒侵入，不能确定该移动存储设备是否安全，因此拒绝该移动存储设备对客户端设备的访问。

通过上述方案，即使移动存储设备在白名单中，在移动存储设备访问客户端前，还要经过二次验证，判断该移动存储设备当前的文件信息与该移动存储设备经过安全扫描时的文件信息是否一致，再次确定移动存储设备是否安全，当不确定该移动存储设备是否安全时，移动存储设备无法进入工厂网络。

在一种实现方式中，第一文件信息与移动存储设备的标识信息对应的第二文件信息不一致时，移动存储设备拦截器向移动存储设备管理器发送第一指示信息，指示移动存储设备管理器将该移动存储设备的信息从白名单中删除。

通过该实现方式，当移动存储设备当前的文件信息与该移动存储设备经过安全扫描时的文件信息不一致的情况下，将该移动存储设备的信息从白名单中删除，从而使该移动存储设备的安全身份失效，当该移动存储设备再次插入客户端设备时，移动存储设备拦截器拒绝该移动存储设备的访问。。

在一种实现方式中，在步骤110，移动存储设备拦截器获取移动存储设备的信息之前，首先在客户端上安装移动存储设备拦截器，并保证移动存储设备拦截器为开启状态。

在一种实现方式中，白名单是由移动存储设备管理器发送至客户端设备的，客户端设备可以将接收到的白名单保存至本地白名单中，以便移动存储设备拦截器的使用。

图2示出了本申请实施例的另一种移动存储设备管控的方法200的示意性流程图。方法200可以由反病毒扫描器执行。方法200可以包括以下内容中的至少部分内容。

210，反病毒扫描器对移动存储设备进行安全扫描。

在本申请实施例中，反病毒扫描器是一种集成多个杀毒引擎的组件或设备，当移动存储设备插在该组件或设备上时，杀毒引擎可以自动对该移动存储设备进行安全扫描。

在一种实现方式中，反病毒扫描器利用该多个杀毒引擎交叉扫描移动存储设备，当该移动存储设备未感染病毒或该移动存储设备感染的病毒被杀毒引擎杀死时，确定该移动存储设备通过安全扫描；当该移动存储设备感染的病毒未被杀毒引擎杀死时，确定该移动存储设备未通过安全扫描。

在一种实现方式中，当该移动存储设备感染的病毒未被杀毒引擎杀死时，意味着该病毒可能需要手动清理，可以向管理人员发出特定信号，例如红色光，使得管理人员及时清理。

在一种实现方式中，反病毒扫描器会连接至互联网，实时更新病毒特征库，生成相应的杀毒引擎，以便及时、有效地清理移动存储设备的病毒。

220，在该移动存储设备通过安全扫描后，反病毒扫描器将该移动存储设备的信息发送至移动存储设备管理器，移动存储设备的信息包括移动存储设备的标识信息和移动存储设备通过安全扫描时的文件信息。

其中，移动存储设备的信息用于将该移动存储设备的信息加入白名单。

需要说明的是，上述移动存储设备通过安全扫描时的文件信息与步骤120所述的第二文件信息是一样的，为了简洁，此处不再赘述。

上述步骤220中，防病毒扫描器对移动存储设备完成安全扫描后，仅将通过安全扫描的移动存储设备的信息发送至移动存储设备管理器，使得移动存储设备管理器直接将该移动存储设备的信息加入至白名单。而在另一种实现方式中，反病毒扫描器还可以将扫描结果与移动存储设备的信息一起发送给移动存储设备管理器，由移动存储设备管理器根据扫描结果判断是否将该移动存储设备的信息加入至白名单中。

应理解，本申请实施例的反病毒扫描器也可以称为防病毒扫描器，本申请对该设备或组件的名称不作限定。

由于反病毒扫描器与客户端设备相比是独立的设备或组件，且与工厂中客户端设备使用的网络是隔离的，通过该实现方式可以随时更新病毒库，避免反病毒扫描器与客户端为一体时，不能及时更新而导致某些新病毒进入工控系统的情况。

图3示出了本申请实施例的另一种移动存储设备管控的方法300的示意性流程图。方法300可以由移动存储设备管理器执行。方法300可以包括以下内容中的至少部分内容。

310，移动存储设备管理器接收反病毒扫描器发送的移动存储设备的信息，该移动存储设备的信息包括所述移动存储设备的标识信息和该移动存储设备通过安全扫描时的文件信息。

在本申请实施例中，移动存储设备管理器是一种运行在服务器上的程序，用于管理白名单，例如可以对白名单进行添加、删除或更新等操作。

在一种实现方式中，移动存储设备管理器还可以管理客户端设备中的移动存储设备拦截器，例如通过开启、停止或卸载管理移动存储设备拦截器。应理解，本申请实施例的移动存储设备管理器也可以称为移动存储设备管理平台，本申请对该程序的名称不作限定。

应理解，上述移动存储设备的信息与步骤220所述的移动存储设备的信息是一样的，为了简洁，此处不再赘述。

320，移动存储设备管理器将该移动存储设备的信息加入白名单。

在本申请实施例中，当移动存储设备管理器接收到反病毒扫描器发送的移动存储设备的信息时，可以对该移动存储设备进行注册，并将该移动存储设备的信息存储在白名单中。

330，移动存储设备管理器向客户端设备发送该白名单。

在一种实现方式中，移动存储设备管理器可以定期同步更新白名单至客户端设备的本地白名单。

在一种实现方式中，客户端设备可以从移动存储设备管理器上定期或不定期地下载白名单，实现白名单的主动获取。

在一种实现方式中，移动存储设备管理器接收到移动存储设备拦截器发送的第一指示信息时，将该移动存储设备的信息从白名单中删除，从而使该移动存储设备的安全身份失效。

通过上述方案，移动存储设备管理器可以为通过安全扫描的移动存储设备自动创建白名单，无需人工维护，减少了人工管理的成本与工作量。

上述过程是移动存储设备通过安全扫描后自动被移动存储设备管理器加入到白名单中，还有一种可选的实施方式，工厂管理员可以向移动存储设备管理器中的白名单手动加入一个或多个移动存储设备的信息，即当工厂管理员认可该一个或多个移动存储设备的安全性并授权该一个或多个移动存储设备为安全移动存储设备。

图4示出了本申请实施例的移动存储设备拦截器400的示意性框图。该移动存储设备拦截器400可以是一个软件，安装于客户端设备上。该移动存储设备拦截器400可以执行上述本申请实施例的移动存储设备管控的方法100，该移动存储设备拦截器400可以为前述方法中的移动存储设备拦截器。

如图4所示，该移动存储设备拦截器400包括：

获取单元410，用于当检测到移动存储设备插入客户端设备时，获取所述移动存储设备的信息，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备的第一文件信息，所述第一文件信息用于记录所述移动存储设备当前的文件的属性信息；

处理单元420，用于根据所述移动存储设备的信息和白名单管控所述移动存储设备，其中，所述白名单包括通过安全扫描的安全移动存储设备的标识信息和所述安全移动存储设备的第二文件信息，所述第二文件信息用于记录所述安全移动存储设备通过安全扫描时的文件的属性信息。

可选地，在本申请一个实施例中，当所述移动存储设备的标识信息不在所述白名单中，拒绝所述移动存储设备对所述客户端设备的访问；或当所述移动存储设备的标识信息在所述白名单中，判断所述第一文件信息是否与所述移动存储设备的标识信息对应的所述第二文件信息一致；若所述第一文件信息与所述移动存储设备的标识信息对应的所述第二文件信息一致，允许所述移动存储设备对所述客户端设备的访问；或若所述第一文件信息与所述移动存储设备的标识信息对应的所述第二文件信息不一致，拒绝所述移动存储设备对所述客户端设备的访问。

可选地，在本申请一个实施例中，所述移动存储设备拦截器还包括发送单元430；所述发送单元430用于，若所述第一文件信息与所述移动存储设备的标识信息对应的所述第二文件信息不一致，向移动存储设备管理器发送第一指示信息，所述第一指示信息用于指示所述移动存储设备管理器从所述白名单中删除所述移动存储设备的信息。

图5示出了本申请实施例的反病毒扫描器500的示意性框图。该反病毒扫描器500可以执行上述本申请实施例的移动存储设备管控的方法200，该反病毒扫描器500可以为前述方法中的反病毒扫描器。

如图5所示，该反病毒扫描器500包括：

处理单元510，用于对移动存储设备进行安全扫描；

发送单元520，用于在所述移动存储设备通过安全扫描后，将所述移动存储设备的信息发送至移动存储设备管理器，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备通过安全扫描时的文件信息，所述移动存储设备的信息用于将所述移动存储设备加入到白名单。

可选地，在本申请一个实施例中，所述处理单元510具体用于利用杀毒引擎扫描所述移动存储设备；当所述移动存储设备未感染病毒或所述移动存储设备感染的病毒被所述杀毒引擎杀死时，确定所述移动存储设备通过安全扫描；当所述移动存储设备感染的病毒未被所述杀毒引擎杀死时，确定所述移动存储设备未通过安全扫描。

图6示出了本申请实施例的移动存储设备管理器600的示意性框图。该移动存储设备管理器600可以是安装于服务器的一个组件。该移动存储设备管理器600可以执行上述本申请实施例的移动存储设备管控的方法300，该移动存储设备管理器600可以为前述方法中的移动存储设备管理器。

如图6所示，该移动存储设备管理器600包括：

接收单元610，用于接收反病毒扫描器发送的移动存储设备的信息，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备通过安全扫描时的文件信息；

处理单元620，用于将所述移动存储设备的信息加入白名单中；

发送单元630，用于向客户端设备发送所述白名单。

在本申请实施例中，上述反病毒扫描器与移动存储设备管理器可以集成在同一设备上，也可以是独立的设备或组件，本申请对此不作限定。

图7是本申请实施例的移动存储设备管控装置的硬件结构示意图。图7所示的设备类型识别的装置700包括存储器701、处理器702、通信接口703以及总线704。其中，存储器701、处理器702、通信接口703通过总线704实现彼此之间的通信连接。

存储器701可以是只读存储器(read-only memory，ROM)，静态存储设备和随机存取存储器(random access memory，RAM)。存储器701可以存储程序，当存储器701中存储的程序被处理器702执行时，处理器702和通信接口703用于执行本申请实施例的移动存储设备管控的方法的各个步骤。

处理器702可以采用通用的中央处理器(central processing unit，CPU)，微处理器，应用专用集成电路(application specific integrated circuit，ASIC)，图形处理器(graphics processing unit，GPU)或者一个或多个集成电路，用于执行相关程序，以实现本申请实施例的设备类型识别的装置中的单元所需执行的功能，或者执行本申请实施例的移动存储设备管控的方法。

处理器702还可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，本申请实施例的移动存储设备管控的方法的各个步骤可以通过处理器702中的硬件的集成逻辑电路或者软件形式的指令完成。

上述处理器702还可以是通用处理器、数字信号处理器(digital signal processing，DSP)、ASIC、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器701，处理器702 读取存储器701中的信息，结合其硬件完成本申请实施例的设备类型识别的装置中包括的单元所需执行的功能，或者执行本申请实施例的移动存储设备管控的方法。

通信接口703使用例如但不限于收发器一类的收发装置，来实现装置700与其他设备或通信网络之间的通信。例如，可以通过通信接口703获取未知设备的流量数据。

总线704可包括在装置700各个部件(例如，存储器701、处理器702、通信接口703)之间传送信息的通路。

应注意，尽管上述装置700仅仅示出了存储器、处理器、通信接口，但是在具体实现过程中，本领域的技术人员应当理解，装置700还可以包括实现正常运行所必须的其他器件。同时，根据具体需要，本领域的技术人员应当理解，装置700还可包括实现其他附加功能的硬件器件。此外，本领域的技术人员应当理解，装置700也可仅仅包括实现本申请实施例所必须的器件，而不必包括图7中所示的全部器件。

本申请实施例还提供了一种计算机可读存储介质，存储用于设备执行的程序代码，所述程序代码包括用于执行上述移动存储设备管控的方法中的步骤的指令。

本申请实施例还提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述移动存储设备管控的方法。

上述的计算机可读存储介质可以是暂态计算机可读存储介质，也可以是非暂态计算机可读存储介质。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

本申请中使用的用词仅用于描述实施例并且不用于限制权利要求。如在实施例以及权利要求的描述中使用的，除非上下文清楚地表明，否则单数形式的“一个”和“所述”旨在同样包括复数形式。类似地，如在本申请中所使用的术语“和/或”是指包含一个或一个以上相关联的列出的任何以及所有可能的组合。另外，当用于本申请中时，术语“包括”指陈述的特征、整体、步骤、操作、元素，和/或组件的存在，但不排除一个或一个以上其它特征、整体、步骤、操作、元素、组件和/或这些的分组的存在或添加。

所描述的实施例中的各方面、实施方式、实现或特征能够单独使用或以任意组合的方式使用。所描述的实施例中的各方面可由软件、硬件或软硬件的结合实现。所描述的实施例也可以由存储有计算机可读代码的计算机可读介质体现，该计算机可读代码包括可由至少一个计算装置执行的指令。所述计算机可读介质可与任何能够存储数据的数据存储装置相关联，该数据可由计算机系统读取。用于举例的计算机可读介质可以包括只读存储器、随机存取存储器、紧凑型光盘只读储存器(compact disc read-only memory，CD-ROM)、硬盘驱动器(hard disk drive，HDD)、数字视频光盘(digital video disc，DVD)、磁带以及光数据存储装置等。所述计算机可读介质还可以分布于通过网络联接的计算机系统中，这样计算机可读代码就可以分布式存储并执行。

上述技术描述可参照附图，这些附图形成了本申请的一部分，并且通过描述在附图中示出了依照所描述的实施例的实施方式。虽然这些实施例描述的足够详细以使本领域技术人员能够实现这些实施例，但这些实施例是非限制性的；这样就可以使用其它的实施例，并且在不脱离所描述的实施例的范围的情况下还可以做出变化。比如，流程图中所描述的操作顺序是非限制性的，因此在流程图中阐释并且根据流程图描述的两个或两个以上操作的顺序可以根据若干实施例进行改变。作为另一个例子，在若干实施例中，在流程图中阐释并且根据流程图描述的一个或一个以上操作是可选的，或是可删除的。另外，某些步骤或功能可以添加到所公开的实施例中，或两个以上的步骤顺序被置换。所有这些变化被认为包含在所公开的实施例以及权利要求中。

另外，上述技术描述中使用术语以提供所描述的实施例的透彻理解。然而，并不需要过于详细的细节以实现所描述的实施例。因此，实施例的上述描述是为了阐释和描述而呈现的。上述描述中所呈现的实施例以及根据这些实施例所公开的例子是单独提供的，以添加上下文并有助于理解所描述的实施例。上述说明书不用于做到无遗漏或将所描述的实施例限制到本申请的精确形式。根据上述教导，若干修改、选择适用以及变化是可行的。在某些情况下，没有详细描述为人所熟知的处理步骤以避免不必要地影响所描述的实施例。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims

一种移动存储设备管控的方法(100)，其特征在于，所述方法包括：

当移动存储设备拦截器检测到移动存储设备插入客户端设备时，获取(110)所述移动存储设备的信息，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备的第一文件信息，所述第一文件信息用于记录所述移动存储设备当前的文件的属性信息；

所述移动存储设备拦截器根据所述移动存储设备的信息和白名单管控(120)所述移动存储设备，其中，所述白名单包括通过安全扫描的安全移动存储设备的标识信息和所述安全移动存储设备的第二文件信息，所述第二文件信息用于记录所述安全移动存储设备通过安全扫描时的文件的属性信息。
根据权利要求1所述的方法(100)，其特征在于，所述移动存储设备拦截器根据所述移动存储设备的信息和白名单管控(120)所述移动存储设备包括：

当所述移动存储设备的标识信息不在所述白名单中，所述移动存储设备拦截器拒绝所述移动存储设备对所述客户端设备的访问；或

当所述移动存储设备的标识信息在所述白名单中，所述移动存储设备拦截器判断所述第一文件信息是否与所述移动存储设备的标识信息对应的所述第二文件信息一致；

若所述第一文件信息与所述移动存储设备的标识信息对应的所述第二文件信息一致，所述移动存储设备拦截器允许所述移动存储设备对所述客户端设备的访问；或若所述第一文件信息与所述移动存储设备的标识信息对应的所述第二文件信息不一致，所述移动存储设备拦截器拒绝所述移动存储设备对所述客户端设备的访问。
根据权利要求2所述的方法(100)，其特征在于，若所述第一文件信息与所述移动存储设备的标识信息对应的所述第二文件信息不一致，所述方法还包括：

所述移动存储设备拦截器向移动存储设备管理器发送第一指示信息，所述第一指示信息包括所述移动存储设备的标识信息，所述第一指示信息用于指示所述移动存储设备管理器从所述白名单中删除所述移动存储设备的信息。
一种移动存储设备管控的方法(200)，其特征在于，所述方法包括：

反病毒扫描器对移动存储设备进行安全扫描(210)；

在所述移动存储设备通过安全扫描后，将所述移动存储设备的信息发送(220)至移动存储设备管理器，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备通过安全扫描时的文件信息，所述移动存储设备的信息用于将所述移动存储设备的信息加入白名单。
根据权利要求4所述的方法(200)，其特征在于，所述病毒扫描器对移动存储设备进行安全扫描(210)包括：

利用杀毒引擎扫描所述移动存储设备；

当所述移动存储设备未感染病毒或所述移动存储设备感染的病毒被所述杀毒引擎杀死时，确定所述移动存储设备通过安全扫描；

当所述移动存储设备感染的病毒未被所述杀毒引擎杀死时，确定所述移动存储设备未通过安全扫描。
一种移动存储设备管控的方法(300)，其特征在于，所述方法包括：

移动存储设备管理器接收(310)反病毒扫描器发送的移动存储设备的信息，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备通过安全扫描时的文件信息；

所述移动存储设备管理器将所述移动存储设备的信息加入(320)至白名单；

所述移动存储设备管理器向客户端设备发送(330)所述白名单。
根据权利要求6所述的方法(300)，其特征在于，所述方法还包括：

所述移动存储设备管理器接收来自移动存储设备拦截器发送的第一指示信息，所述第一指示信息包括移动存储设备的标识信息，所述第一指示信息用于指示所述移动存储设备管理器从所述白名单中删除所述移动存储设备的信息；

所述移动存储设备管理器根据所述第一指示信息将所述移动存储设备的信息从所述白名单中删除。
一种移动存储设备拦截器(400)，其特征在于，包括：

获取单元(410)，用于当检测到移动存储设备插入客户端设备时，获取所述移动存储设备的信息，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备的第一文件信息，所述第一文件信息用于记录所述移动存储设备当前的文件的属性信息；

处理单元(420)，用于根据所述移动存储设备的信息和白名单管控所述移动存储设备，其中，所述白名单包括通过安全扫描的安全移动存储设备的标识信息和所述安全移动存储设备的第二文件信息，所述第二文件信息用于记录所述安全移动存储设备通过安全扫描时的文件的属性信息。
一种反病毒扫描器(500)，其特征在于，包括：

处理单元(510)，用于对移动存储设备进行安全扫描；

发送单元(520)，用于在所述移动存储设备通过安全扫描后，将所述移动存储设备的信息发送至移动存储设备管理器，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备通过安全扫描时的文件信息，所述移动存储设备的信息用于将所述移动存储设备加入到白名单。
一种移动存储设备管理器(600)，其特征在于，包括：

接收单元(610)，用于接收反病毒扫描器发送的移动存储设备的信息，所述移动存储设备的信息包括所述移动存储设备的标识信息和所述移动存储设备通过安全扫描时的文件信息；

处理单元(620)，用于将所述移动存储设备的信息加入白名单中；

发送单元(630)，用于向客户端设备发送所述白名单。
一种移动存储设备管控装置(700)，其特征在于，包括：

存储器(701)，用于存储程序；

处理器(702)，用于执行所述存储器存储的程序，当所述存储器存储的程序被执行时，所述处理器用于执行根据权利要求1至7中任一项所述的移动存储设备管控的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读介质存储用于设备执行的程序代码，所述程序代码包括用于执行根据权利要求1至7中任一项所述的移动存储设备管控的方法中的步骤的指令。