计算机外围设备的管控方法及系统技术方案

本发明专利技术涉及计算机外围设备的管控方法及系统，管控方法的实现流程包括：步骤S1：系统内核对外围设备进行初始化注册，同时向用户层空间发出uevent事件；步骤S2：用户层空间获取外围设备信息；步骤S3：判断外围设备是否属于管控范畴，是则执行步骤S4‑步骤S6，否则结束；步骤S4：根据外围设备信息检索管控策略表并进行仲裁运算，得到该外围设备的仲裁结果；步骤S5：若仲裁结果是禁止，则结束，若仲裁结果是放行，则执行步骤步骤S6；步骤S6：判断外围设备是否具有存储功能，若不具备，则结束，若具备，则监控外围设备的访问权限。本发明专利技术管控方式灵活、管控成本低、管控粒度细。

Management and Control Method and System of Computer Peripheral Equipment

【技术实现步骤摘要】
计算机外围设备的管控方法及系统
本专利技术涉及数据安全
，具体涉及一种计算机外围设备的管控方法及系统。
技术介绍
计算机外围设备为用户与计算机的数据交互带来了极大的便利性，但同时也给一些特殊单位(军政、研究所、涉密企业和团体)带来了一定的安全隐患。据中国国家计算机病毒处理中心CVERC在2016年发布的第15次全国网络安全状况暨计算机调查分析报告统计，目前33.46％的信息泄露事件是由内部人员以外设作为载体进行盗窃造成的。而美国CSI/FBI也连续5年在计算机犯罪与安全调查报告中表明，超过85％的安全威胁来自于企业内部，而非病毒与黑客攻击。所以，针对计算机外围设备的管控研究则显得尤为迫切和重要。国产平台外围设备管控系统及其管控方法(专利号CN104598401A)涉及一种国产平台外围设备管控系统及其管控方法，如图1所示，包含管控中心及管控代理。管控中心进行外围设备注册以建立被管计算机外围设备白名单，并建立与之对应的外围设备管控策略，并将外围设备白名单及管控策略传送至管控代理；管控代理依据管控中心发送的白名单及管控策略实施与之对应的外围设备管控操作，并实时与管控中心进行外围设备管控策略和白名单的信息同步。该技术确保了只有提前完成注册的合法外围设备才能在特定管控域内使用，降低了外围设备滥用所造成的信息泄露隐患，但存在以下几方面的不足：1、手动注册方式机械，后期管理代价高具体表现：(1)计算机外围设备种类较多，针对某类设备实际使用的数量多少不一，在管控域中可使用的合法设备均需提前手动注册，注册方式机械、注册效率低，若管控系统大规模部署，注册设备信息工作量大；(2)每当有新设备添加使用时，该管控系统后续均需专门安全管理员进行外围设备的注册管理与相关维护，管控代价高。2、管控方式不够灵活具体表现：管控策略库中以白名单方式为外围设备进行合法信息记录，白名单以外的外围设备均视为非法设备，禁止使用。此种方式做到了同类不同个体的管控区分，但忽略了用户针对某一类设备全部放行或是全部禁用的需求，并且在管控过程中未能支持手动管控和自动管控并存方式的应用情景。3、管控粒度粗具体表现：管控过程中对被管控设备未进行细粒度(非存储类设备：打印机、扫描仪、键盘、鼠标等；存储类设备：刻录光驱、U盘、移动硬盘、读卡器等)区分，仅以设备硬件属性标识与注册信息进行比对，作为放行与禁用的依据。同时，在设备管控后未对存储类设备用户的访问权限进行细粒度(安全、宽松、严格访问权限)管控与校验，默认放行后系统用户均可最大权限访问该设备。4、管控代理端缺乏自主性具体表现：管控代理端无本地管控命令，所执行管控操作均受管控中心指令或是管控策略支配，一旦中心与代理端网络异常，代理端将无法自主支配。因此，有必要提供一种新的计算机外围设备的管控方法。
技术实现思路
为解决现有技术存在的不足，本专利技术提供了一种计算机外围设备的管控方法，包括：步骤S1：系统内核对外围设备进行初始化注册，同时向用户层空间发出uevent事件；步骤S2：用户层空间获取外围设备信息；步骤S3：判断外围设备是否属于管控范畴，是则执行步骤S4-步骤S6,否则结束；步骤S4：根据外围设备信息检索管控策略表并进行仲裁运算，得到该外围设备的仲裁结果；步骤S5：若仲裁结果是禁止，则结束，若仲裁结果是放行，则执行步骤步骤S6；步骤S6：判断外围设备是否具有存储功能，若不具备，则结束，若具备，则监控外围设备的访问权限。其中，所述步骤S4中，所述管控策略表包括类策略表及个体策略表，分别用于提供某类外围设备以及某个外围设备的管控策略，并且，个体策略表的优先级高于类策略表。其中，所述类策略表及个体策略表均包括0、1及2三种状态，其中，0表示对外围设备实施禁用策略，1表示对外围设备实施放行策略，2表示对外围设备不实施相应的策略。其中，所述步骤S6中，根据访问权限策略表监控外围设备的访问权限，并且所述访问权限策略表中存储的访问状态包括严格、宽松及安全，严格访问状态下，用户无权访问该外围设备；宽松访问状态下，用户对该外围设备仅具有读访问权限；安全访问状态下，用户对该外围设备具有读、写及执行访问权限。其中，所述步骤S6中，利用cgroup机制，根据访问权限策略表实现对外围设备访问权限的监控。其中，所述步骤S6中，利用cgroup机制对外围设备访问权限的监控的实现流程包括：步骤S61：创建cgroup层级结构，并以mount-tcgroup-odevices-/cgroup/devices命令创建devcies子系统；步骤S62：在/cgroup/devcies/目录下自动创建包括devices.allow、devices.deny及devices.list在内的伪文件及group3-dev文件夹；步骤S63：按照用户访问权限策略表中用户和设备的访问权限关系向/cgroup/devices/group3-dev/tasks用户进行权限设置。其中，所述步骤S3中，以所获取的外围设备信息作为索引值，在系统sys/bus/pci总线下分析该外围设备的硬件属性及内核驱动，判断外围设备所属类别，以进一步判断外围设备是否属于管控范畴。其中，所述步骤S2中，通过UDEV技术或Libusb技术获取外围设备信息。其中，所述步骤S6中，根据访问权限策略表监控外围设备的访问权限；或者，在将外围设备挂载到系统环节的过程中，对挂载过程进行截弧，通过设置系统挂载的权限监控外围设备的访问权限。其中，计算机开机时，计算机系统启动外围设备管控后台程序的守护进程devctl_server。本专利技术另外提供了一种计算机外围设备的管控系统，所述管控系统包括相互连接的内核层空间以及用户层空间，其中，所述内核层空间用于识别外围设备的连接、初始化注册以及向用户层空间发出uevent事件；所述用户层空间用于在内核层空间发出uevent事件的前提下，对外围设备进行管控策略计算，判断外围设备所属类别及是否具有存储功能，并在外围设备具备存储功能的前提下，对外围设备进行访问权限的监控。其中，所述用户层空间包括监控模块、仲裁模块以及策略模块，其中，所述监控模块与内核层空间连接，用于接收内核层空间发出的uevent事件，并提取外围设备信息；所述策略模块存储有外围设备的管控策略表及访问权限策略表，用于对外围设备的管控及访问提供标准；所述仲裁模块与监控模块及策略模块连接，用于根据监控模块提供的外围设备信息，检索策略模块中的管控策略表，并计算出仲裁结果。其中，所述用户层空间还包括Sysfs文件系统模块、判别模块以及权限监控模块，其中，所述Sysfs文件系统模块与仲裁模块连接，用于根据仲裁模块的仲裁结果，对外围设备进行相应的禁用或放行管控；所述判别模块与Sysfs文件系统模块连接，用于判别Sysfs文件系统模块所放行的外围设备是否具备存储功能；所述权限监控模块与判别模块及策略模块连接，用于根据策略模块提供的访问权限策略表，对具有存储功能的经Sysfs文件系统模块所放行的外围设备进行访问权限的监控。其中，所述权限监控模块利用cgroup机制实现对外围设备访问权限的监控。其中，所述监控模块通过UDEV技术获取外围设备信息。其中，所述监控模块还具有根据外围设备信息判断外围设备所属类别的本文档来自技高网...

【技术保护点】
1.一种计算机外围设备的管控方法，其特征在于包括：步骤S1：系统内核对外围设备进行初始化注册，同时向用户层空间发出uevent事件；步骤S2：用户层空间获取外围设备信息；步骤S3：判断外围设备是否属于管控范畴，是则执行步骤S4‑步骤S6,否则结束；步骤S4：根据外围设备信息检索管控策略表并进行仲裁运算，得到该外围设备的仲裁结果；步骤S5：若仲裁结果是禁止，则结束，若仲裁结果是放行，则执行步骤步骤S6；步骤S6：判断外围设备是否具有存储功能，若不具备，则结束，若具备，则监控外围设备的访问权限。

【技术特征摘要】
1.一种计算机外围设备的管控方法，其特征在于包括：步骤S1：系统内核对外围设备进行初始化注册，同时向用户层空间发出uevent事件；步骤S2：用户层空间获取外围设备信息；步骤S3：判断外围设备是否属于管控范畴，是则执行步骤S4-步骤S6,否则结束；步骤S4：根据外围设备信息检索管控策略表并进行仲裁运算，得到该外围设备的仲裁结果；步骤S5：若仲裁结果是禁止，则结束，若仲裁结果是放行，则执行步骤步骤S6；步骤S6：判断外围设备是否具有存储功能，若不具备，则结束，若具备，则监控外围设备的访问权限。2.如权利要求1所述的计算机外围设备的管控方法，其特征在于：所述步骤S4中，所述管控策略表包括类策略表及个体策略表，分别用于提供某类外围设备以及某个外围设备的管控策略，并且，个体策略表的优先级高于类策略表。3.如权利要求2所述的计算机外围设备的管控方法，其特征在于：所述类策略表及个体策略表均包括0、1及2三种状态，其中，0表示对外围设备实施禁用策略，1表示对外围设备实施放行策略，2表示对外围设备不实施相应的策略。4.如权利要求1所述的计算机外围设备的管控方法，其特征在于：所述步骤S6中，根据访问权限策略表监控外围设备的访问权限，并且所述访问权限策略表中存储的访问状态包括严格、宽松及安全，严格访问状态下，用户无权访问该外围设备；宽松访问状态下，用户对该外围设备仅具有读访问权限；安全访问状态下，用户对该外围设备具有读、写及执行访问权限。5.如权利要求1所述的计算机外围设备的管控方法，其特征在于：所述步骤S6中，利用cgroup机制，根据访问权限策略表实现对外围设备访问权限的监控。6.如权利要求5所述的计算机外围设备的管控方法，其特征在于：所述步骤S6中，利用cgroup机制对外围设备访问权限的监控的实现流程包括：步骤S61：创建cgroup层级结构，并以mount-tcgroup-odevices-/cgroup/devices命令创建devcies子系统；步骤S62：在/cgroup/devcies/目录下自动创建包括devices.allow、devices.deny及devices.list在内的伪文件及group3-dev文件夹；步骤S63：按照用户访问权限策略表中用户和设备的访问权限关系向/cgroup/devices/group3-dev/tasks用户进行权限设置。7.如权利要求1所述的计算机外围设备的管控方法，其特征在于：所述步骤S3中，以所获取的外围设备信息作为索引值，在系统sys/bus/pci总线下分析该外围设备的硬件属性及内核驱动，判断外围设备所属类别，以进一步判断外围设备是否属于管控范畴。8.如权利要求1所述的计算机外围设备的管控方法，其特征在于：所述步骤S2中，通过UDEV技术或Libusb技术获取外围设备信息。9.如权利要求1所述的计算机外围设备的管控方法，其特征在于：所述步骤S6中，根据访问权限策略表监控外围设备的访问权限；或者，在将外围设备挂载到系统环节的过程中，对挂载过程进行截弧，通过设置系统挂载的权限监控外围设备的访问权限。10.如权利要求1-9中任一项所述的计算机外围设备的细粒度管控方法，其特征在...

【专利技术属性】
技术研发人员：高磊，金俊平，杜军龙，郭荣春，于珊珊，周剑涛，胡丹妮，申利飞，
申请(专利权)人：中标软件有限公司，江西省信息中心江西省电子政务网络管理中心，江西省信用中心，
类型：发明
国别省市：上海,31