防范终端计算机违规外联保障涉密内网的方法及系统技术方案

本发明专利技术公开了一种防范终端计算机违规外联保障涉密内网的方法及系统，终端计算机上安装客户端插入key对其进行配置；向控制台数据库发送信息；控制台经ukey授权登录并显示接收到的信息；生成默认策略；修改策略，对互联网违规和USB违规进行设置；绑定对应的用户，插入USB，出现告警信息；控制台的屏幕上弹出提示告警信息，控制台对告警信息进行处理。本发明专利技术提供一种防范终端计算机违规外联保障涉密内网的方法及系统，增加了控制台的安全性，对各用户终端进行统一管理，对不同的终端设置不同的策略，极大的增加灵活性，并通过记录违规报警日志可以随时查看违规信息，方便后续的安全风险查证。险查证。险查证。

【技术实现步骤摘要】
防范终端计算机违规外联保障涉密内网的方法及系统


[0001]本专利技术涉及信息安全
，具体涉及一种防范终端计算机违规外联保障涉密内网的方法及系统。

技术介绍

[0002]随着计算机和网络技术的发展，人们越来越认识到计算机安全的重要。对于涉密计算机的安全，虽然出现了一系列的防护措施，但网络安全管理人员仍然会对所管理网络的安全状况感到担忧，因为如果涉密计算机一旦发送违规外联的情况，如果不及时的进行处理，会时刻威胁着整个计算机网络的安全。对信息安全保密工作带来了极大的隐患，甚至对个人和公司造成严重的损伤，在管理方面又难以控制。
[0003]现有的违规外联只是针对互联网的外联进行一个简单的防护，发现报警后，会阻断网络连接以达到保护内网计算机的目的。对USB的监控以及USB的不同分类没有进行一个详细的监控，因为在现实的情况下USB产品的违规拔插，也会对涉密终端造成一个很大的风险，必须对USB也进行一个详细的监控，但是如果整体对USB禁用的话又不符合现实情况的要求。

技术实现思路

[0004]为此，本专利技术实施例提供一种防范终端计算机违规外联保障涉密内网的方法及系统，以解决现有技术存在的没有对违规USB设备进行监控导致信息泄漏的问题。
[0005]为了实现上述目的，本专利技术实施例提供如下技术方案：
[0006]第一方面，一种防范终端计算机违规外联保障涉密内网的方法，包括：
[0007]经授权秘钥，终端计算机被配置或修改防范违规策略；所述防范违规策略中设定了需监控的特定种类的USB产品；
[0008]通过内部局域网向经授权登录后的控制台数据库发送所述终端计算机的信息；
[0009]当检测到所述终端计算机外联USB产品时，通过中间层驱动识别对应的USB产品种类；
[0010]若当前外联的USB产品属于所述需监控的特定种类的USB产品，则产生告警指令，使终端计算机显示屏出现告警信息并暂停对应的USB接口功能，通过内部局域网向控制台上报告警信息；
[0011]若当前外联的USB产品不属于所述需监控的特定种类的USB产品，则允许对应的USB接口功能正常使用；
[0012]在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息，并恢复对应的USB接口功能。
[0013]作为优选，还包括：
[0014]所述防范违规策略还包括针对终端计算机连接互联网时的响应策略；
[0015]当检测到所述终端计算机连接互联网时，产生告警指令，使终端计算机显示屏出
现告警信息，网卡被禁并暂停对应的网络功能，通过内部局域网向控制台上报告警信息；
[0016]在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息。
[0017]作为优选，所述网卡被禁具体是通过网卡驱动定时读取注册表网卡状态，根据外部设置网卡状态值做相应的状态转换。
[0018]作为优选，修改防范违规策略、配置终端计算机、告警日志以及管理员操作记录都会被记录。
[0019]作为优选，所述需监控的特定种类的USB产品为手机、u盘、对拷线、光驱和录音笔中的一种或多种。
[0020]作为优选，驱动根据对应设备的序列号和厂商序列号信息来识别不同设备的USB设备。
[0021]作为优选，所述终端计算机配置时插入key对其进行配置，客户端是通过对应的dll来识别所述key的。
[0022]作为优选，所述秘钥登录时是通过jui加载对应的so库来授权登录的。
[0023]第二方面，一种防范终端计算机违规外联保障涉密内网的系统，包括：
[0024]客户端，所述客户端安装在终端计算机上，用于实时监控所述终端计算机是否非法外联USB产品，当检测到所述终端计算机外联USB产品时，通过中间层驱动识别对应的USB产品种类；若当前外联的USB产品属于需监控的特定种类的USB产品，则产生告警指令，使终端计算机显示屏出现告警信息并暂停对应的USB接口功能，同时向报警中心发送告警信息；若当前外联的USB产品不属于需监控的特定种类的USB产品，则允许对应的USB接口功能正常使用；在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息，并恢复对应的USB接口功能；
[0025]报警中心，用于接收客户端的告警信息并发出报警；
[0026]单导传输装置，用于将告警信息单向传输到控制台；
[0027]控制台，控制台，用于根据告警信息，接收并下发授权管理人员的输入命令，并记录相关操作。
[0028]第三方面，一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现防范终端计算机违规外联保障涉密内网的方法步骤。
[0029]本专利技术至少具有以下有益效果：本专利技术提供一种防范终端计算机违规外联保障涉密内网的方法及系统，在终端计算机上插入key并对其进行配置；向控制台数据库发送信息；控制台经ukey授权登录并显示接收到的信息；生成默认策略；修改策略，对互联网违规和USB违规进行设置；绑定对应的用户，插入USB，出现红色的大图标报警信息且一直在闪动；控制台的屏幕上弹出提示报警信息，控制台对报警信息进行处理。本专利技术提供一种防范终端计算机违规外联保障涉密内网的方法及系统，增加了控制台的安全性，对各用户终端进行统一管理，对不同的终端设置不同的策略，极大的增加灵活性，并通过记录违规报警日志可以随时查看违规信息，方便后续的安全风险查证。
附图说明
[0030]为了更清楚地说明现有技术以及本专利技术，下面将对现有技术以及本专利技术实施例描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引申获得其它的附图。
[0031]本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本专利技术可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响本专利技术所能产生的功效及所能达成的目的下，均应仍落在本专利技术所揭示的
技术实现思路
能涵盖的范围内。
[0032]图1为本专利技术实施例提供的防范终端计算机违规外联保障涉密内网的方法流程图；
[0033]图2为本专利技术实施例提供的系统流程图；
[0034]图3为本专利技术实施例提供的系统结构图。
[0035]附图标记说明：
[0036]1‑
客户端；2
‑
报警中心；3
‑
单导传输装置；4
‑
控制台；5
‑
USB。
具体实施方式
[0037]为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防范终端计算机违规外联保障涉密内网的方法，其特征在于，包括：经授权秘钥，终端计算机被配置或修改防范违规策略；所述防范违规策略中设定了需监控的特定种类的USB产品；通过内部局域网向经授权登录后的控制台数据库发送所述终端计算机的信息；当检测到所述终端计算机外联USB产品时，通过中间层驱动识别对应的USB产品种类；若当前外联的USB产品属于所述需监控的特定种类的USB产品，则产生告警指令，使终端计算机显示屏出现告警信息并暂停对应的USB接口功能，通过内部局域网向控制台上报告警信息；若当前外联的USB产品不属于所述需监控的特定种类的USB产品，则允许对应的USB接口功能正常使用；在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息，并恢复对应的USB接口功能。2.根据权利要求1所述的防范终端计算机违规外联保障涉密内网的方法，其特征在于，还包括：所述防范违规策略还包括针对终端计算机连接互联网时的响应策略；当检测到所述终端计算机连接互联网时，产生告警指令，使终端计算机显示屏出现告警信息，网卡被禁并暂停对应的网络功能，通过内部局域网向控制台上报告警信息；在接收到来自控制台的警报解除指令后，撤销告警指令，使终端计算机显示屏不再显示告警信息。3.根据权利要求2所述的防范终端计算机违规外联保障涉密内网的方法，其特征在于，所述网卡被禁具体是通过网卡驱动定时读取注册表网卡状态，根据外部设置网卡状态值做相应的状态转换。4.根据权利要求1所述的防范终端计算机违规外联保障涉密内网的方法，其特征在于，修改防范违规策略、配置终端计算机、告警日志以及管理员操作记录都会被记录。5.根据权利要求1所述的防范终端计算机违规外联保障涉密内网的方法，其特征在于，所述...

【专利技术属性】
技术研发人员：刘鹏江，王升平，
申请(专利权)人：北京鼎普科技股份有限公司，
类型：发明
国别省市：