本发明专利技术提供一种实现内网信息系统通过U盘等移动存储介质与外网系统进行信息安全交换的方法,该系统使用U盘隔离器设备将用户的U盘与主机进行物理隔离,通过网络管理系统给每个设备设置和分配一些文件安全策略,只有符合安全策略的文件采允许进入系统或复制到U盘,并对进出系统的每一个文件都生成审计数据,便于信息流向的追查。本发明专利技术通过软、硬件结合的模式,彻底解决了有信息安全与保密要求的内网系统接收和采集外网移动存储介质数据的安全问题。信息安全的重点在于预防控制,本发明专利技术采用文件安全策略管理的模式,正好体现了这一点,是内网系统使用USB移动存储介质情况的一种非常有效的监控管理手段。
【技术实现步骤摘要】
本专利技术涉及一种USB移动存储介质的安全隔离与信息交换
,特别是指有 信息安全与保密要求的内部网络环境下对使用USB移动存储介质传输文件的安全隔离与 监控管理方法。
技术介绍
随着科技的不断进步和Internet网络的快速扩张,信息安全与保密已经成为当 前社会备受关注的问题,U盘作为一个便携、易用、物美价廉的移动存储介质,已经融入到每 个人的工作、学习和生活当中,成为市场上普及率最高的数码科技产品。正由于U盘具有的 这种便利性、可移动性,导致它成为信息泄密的主要工具之一,也是除互联网络之外传播计 算机病毒的最多、最广的途径。如果不对U盘的使用情况加以严格有效的监管,势必会给我 们的信息系统带来巨大的潜在威胁,可能会导致个人、企业、机关、政府,甚至国家蒙受巨大 的损失。由于U盘普及范围广、隐蔽性强、容量大、速度快等特点,监管起来十分困难。一些 有信息安全与保密要求的企业和单位为了防止内部信息被U盘泄漏出去或感染上U盘病 毒,内部系统通常采用了禁止使用USB存储设备的措施,或使用内网系统专用的安全加U盘 进行资料加密后传递,使得内部信息出不去,外部数据进不来。这种方法在一定的程度上起 到了安全防护作用,但使得内网系统成了“信息孤岛”,无法解决安全采集外部数据的问题。
技术实现思路
本专利技术的目的是提供一种USB移动存储介质安全隔离与监控管理方法,对内网系 统中通过U盘进出的文件加以严格的控制与管理。本专利技术的目的是按以下方式实现的,硬件配置是在每个内网用户的主机上安装一 个U盘隔离器设备,用户的U盘等移动存储介质均不能直接在计算机上使用,只能通过U盘 隔离器和该设备专用的客户端程序才能对用户U盘进行读写,用户主机的操作系统和其它 程序都无法直接访问U盘,用户主机与U盘通过硬件设备实现物理隔离,使得系统对U盘具 有免疫能力;在内部网络中部署一台监控管理系统服务器,作为本专利技术系统的管理中心和数据 库中心,管理员可以通过浏览器登录该系统服务器,对设备和人员进行配置与管理,服务器 给客户端程序提供Web Service接口,客户端程序通过调用这些接口与服务器进行通讯和 数据交换,客户端程序也通过内部专用网络与监控管理系统相连接,具体内容如下允许客户端软件从U盘读写的文件策略是由系统管理员统一在后台进行设置与 分配,客户端软件在对U盘操作之前需先向后台服务器发送请求,查询管理员给该设备分 配的文件安全策略,然后检查要传输的文件是否符合当前的安全策略,如果符合则允许该 文件传输,否则禁止传输,传输完成之后客户端程序将执行结果上送给后台服务器存档,便 于管理员实时查看每个设备的操作记录。当U盘设备与U盘隔离器连接时,由客户端程序向服务器请求获取当前设备的文 件安全策略信息,服务器根据请求发起者的设备ID检查该设备是否已注册,如果已登记注 册,则继续查找与该设备相关的文件安全策略,并将信息发送给客户端程序,客户端收到信 息之后,开始向U盘隔离器发送获取U盘文件列表的命令,U盘隔离器设备读取U盘中的文 件列表,将文件列表发送给客户端程序,客户端程序将文件列表与从服务器获得的文件安 全策略一一进行比较,把符合安全策略的文件名称以实体字符显示于客户端程序界面,不 符合安全策略的文件名称以虚体字符显示。其中文件安全策略信息包括文件的类型、传输方向和命名规则,还有策略的类别、 归属和有效期,文件类型是指该策略适用于哪种类型的文件,包括文本文件、Word文件、 Excel文件;传输方向是指禁止该类文件的传输或允许其从U盘传到PC或者从PC传到U盘 单方向传输,或在U盘与PC之间双向传输;命名规则是指该类文件是否有特殊的命名方法, 以便快速的定位查找到目标文件,包括“ ?,,表示单个字符,“*”表示多个连续的字符,一个 规则中允许使用多个“*”表示多段连续的字符串,策略类别是指该策略属于申报类文件还 是非申报类文件,申报类文件是指有固定格式或特定意义的文件,通常是一些信息系统进 行数据传递的专用文件;策略的归属就是指该策略属于哪个设备或哪个群组;策略的有效 期就是指该策略的生命周期,在此周期内有效,周期外自动失效;文件类型鉴别方法是从文件内容入手,提取内容中的特征值来对文件进行判断, 如发现文件类型被篡改或不符合安全策略,立即予以警告并禁止该文件的传输,保证内网 系统的信息安全;系统采用了 B/S与C/S相结合的技术架构,系统的管控部分采用了 B/S结构,这 部分主要涉及到U盘隔离器设备的登记注册、文件安全策略分配与管理、用户群组管理、用 户组织机构管理、系统操作人员管理、设备状态监控、设备操作记录的查询与统计的管理与 控制功能,通过分层级、分区域、分群组的立体交叉管理模式,各级别、各区域的系统管理员 分别对其所辖区域内的设备实施监控与管理,用户主机通过U盘隔离器对U盘进行读写操 作过程中并不需要与服务器时时通讯,只需在操作前将用户权限与文件安全策略下载到本 地,操作后将结果反馈给服务器,最大程度地降低系统对硬件设备的要求,用户主机与系统 服务器之间的交互采用C/S结构,通过安装在用户主机中的客户端软件向服务器发起请 求,服务器根据其请求做出相应的回应;客户端程序在运行过程中,会不断地与后台服务器进行通讯,管理人员通过内部 网络登录到后台系统,实时监控到每个设备的运行状态,查询每个用户通过U盘隔离器进 出内网系统的文件相关信息。本专利技术的优异效果是实现了一种内网系统通过通用USB移动存储介质与外网系 统进行数据安全交换的方法,并对内网系统中使用USB移动存储介质传递数据的行为进行 实时监控与管理。本专利技术的方法已应用于税务行业内网信息系统,彻底解决了内网系统通 过USB移动存储介质与外网进行信息交换的安全问题,系统内部感染U盘病毒的几率降低 为零,得到用户的深度认可和好评,证明了本专利技术的价值。具体优点如下1)系统中用户使用的U盘必须与主机通过物理硬件的方式实现安全隔离。2)系统可以对用户的主机使用USB存储设备的功能进行锁定,禁止用户在主机上 直接对U盘等进行操作,系统对USB存储设备锁定有实时监控能力。3)系统采用网络集中管理模式,通过分层级、分区域、分群组的立体交叉管理模 式,各级别、各区域的系统管理员可以分别对其所辖区域内的设备实施监控与管理。4)系统管理人员可以对U盘隔离器设备状态进行实时监控。5)系统提供操作数据审计功能,包括系统管理审计数据和设备操作审计数据。附图说明图1是系统的网络拓扑结构图;图2是系统的工作流程图; 图3是系统的读U盘文件流程图.具体实施例方式参照说明书附图对本专利技术的方法作以下详细地说明。本专利技术的方法,系统网络拓扑结构参见附图1,在内部网络中部署一台监控管理系 统服务器,作为本专利技术系统的管理中心和数据库中心,管理员可以通过浏览器登录该系统 服务器,对设备和人员进行配置与管理,服务器给客户端程序提供Web Service接口,客户 端程序通过调用这些接口与服务器进行通讯和数据交换。客户端程序也通过内部专用网络 与监控管理系统相连接。系统的工作流程参见附图2和附图3,首先由客户端程序向服务器请求获取当前 设备的文件安全策略等信息,服务器根据请求发起者的设备ID检查该设备是否已注册,如 果已登记注册,本文档来自技高网...
【技术保护点】
一种USB移动存储介质安全隔离与监控管理方法,其特征在于硬件配置是在每个内网用户的主机上安装一个U盘隔离器设备,用户的U盘等移动存储介质均不能直接在计算机上使用,只能通过U盘隔离器和该设备专用的客户端程序才能对用户U盘进行读写,用户主机的操作系统和其它程序都无法直接访问U盘,用户主机与U盘通过硬件设备实现物理隔离,使得系统对U盘具有免疫能力;在内部网络中部署一台监控管理系统服务器,作为本专利技术系统的管理中心和数据库中心,管理员可以通过浏览器登录该系统服务器,对设备和人员进行配置构,系统的管控部分采用了B/S结构,这部分主要涉及到U盘隔离器设备的登记注册、文件安全策略分配与管理、用户群组管理、用户组织机构管理、系统操作人员管理、设备状态监控、设备操作记录的查询与统计的管理与控制功能,通过分层级、分区域、分群组的立体交叉管理模式,各级别、各区域的系统管理员分别对其所辖区域内的设备实施监控与管理,用户主机通过U盘隔离器对U盘进行读写操作过程中并不需要与服务器时时通讯,只需在操作前将用户权限与文件安全策略下载到本地,操作后将结果反馈给服务器,最大程度地降低系统对硬件设备的要求,用户主机与系统服务器之间的交互采用C/S结构,通过安装在用户主机中的客户端软件向服务器发起请求,服务器根据其请求做出相应的回应;客户端程序在运行过程中,会不断地与后台服务器进行通讯,管理人员通过内部网络登录到后台系统,实时监控到每个设备的运行状态,查询每个用户通过U盘隔离器进出内网系统的文件相关信息。与管理,服务器给客户端程序提供WebService接口,客户端程序通过调用这些接口与服务器进行通讯和数据交换,客户端程序也通过内部专用网络与监控管理系统相连接,具体内容如下:允许客户端软件从U盘读写的文件策略是:由系统管理员统一在后台进行设置与分配,客户端软件在对U盘操作之前需先向后台服务器发送请求,查询管理员给该设备分配的文件安全策略,然后检查要传输的文件是否符合当前的安全策略,如果符合则允许该文件传输,否则禁止传输,传输完成之后客户端程序将执行结果上送给后台服务器存档,便于管理员实时查看每个设备的操作记录。当U盘设备与U盘隔离器连接时,由客户端程序向服务器请求获取当前设备的文件安全策略信息,服务器根据请求发起者的设备ID检查该设备是否已注册,如果已登记注册,则继续查找与该设备相关的文件安全策略,并将信息发送给客户端程序,客户端收到信息之后,开始向U盘隔离器发送获取U盘文件列表的命令,U盘隔离器设备读取U盘中的文件列表,将文件列表发送给客户端程序,客户端程序将文件列表与从服务器获得的文件安全策略一一进行比较,把符合安全策略的文件名称以实体字符显示于客户端程序界面,不符合安全策略的文件名称以虚体字符显示。其中文件安全策略信息包括文件的类型、传输方向和命名规则,还有策略的类别、归属和有效期,文件类型是指该策略适用于哪种类型的文件,包括文本文件、Word文件、Excel文件;传输方向是指禁止该类文件的传输或允许其从U盘传到PC或者从PC传到U盘单方向传输,或在U盘与PC之间双向传输;命名规则是指该类文件是否有特殊的命名方法,以便快速的定位查找到目标文件,包括““表示单个字符,“*”表示多个连续的字符,一个规则中允许使用多个“*”表示多段连续的字符串,策略类别是指该策略属于申报类文件还是非申报类文件,申报类文件是指有固定格式或特定意义的文件,通常是一些信息系统进行数据传递的专用文件;策略的归属就是指该策略属于哪个设备或哪个群组;策略的有效期就是指该策略的生命周期,在此周期内有效,周期外自动失效;文件类型鉴别方法是从文件内容入手,提取内容中的特征值来对文件进行判断,如发现文件类型被篡改或不符合安全策略,立即予以警告并禁止该文件的传输,保证内网系统的信息安全;系统采用了B/S与C/S相结合的技术架...
【技术特征摘要】
【专利技术属性】
技术研发人员:刘庆华,刘来波,牛玉山,王培元,
申请(专利权)人:浪潮齐鲁软件产业有限公司,
类型:发明
国别省市:88
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。