本申请提供一种安全管控装置,串接在存储设备和访问存储设备的主机之间,安全管控装置包括:第一接口,用以连接存储设备;第二接口,用以连接需要访问存储设备的主机;存储设备访问模块,访问存储设备,获取存储设备枚举的LUN基础信息;映射模块,将安全管控装置作为虚拟存储设备映射到主机,并参照存储设备的LUN基础信息向主机枚举虚拟存储设备的LUN基础信息;控制策略存储模块,用于存储主机访问存储设备中的数据所需执行的控制策略;读写操作控制模块,将读写请求解析为对目标数据的文件系统结构及目录的读写请求和\或对目标数据的文件内容的读写请求,根据经解析的读写请求对目标数据执行控制策略,响应主机的读写请求。响应主机的读写请求。响应主机的读写请求。
【技术实现步骤摘要】
安全管控装置
[0001]本申请涉及计算机安全
,具体涉及安全管控装置。
技术介绍
[0002]随着网络和计算机多媒体技术的发展,如光纤存储设备、IP SAN存储、SCSI或SATA协议连接的外部存储、USB连接的外部存储等类型的外部存储设备在众多领域被广泛应用。与这些外部存储设备相关的信息安全问题越来越突出,对于外部存储设备安全、可控使用的需求日益增加。在此背景下,相关人员进行研究提供了一些可行的增强外部存储设备安全性的方案。
[0003]在现有技术中,对主机上连接的外部存储设备进行安全性增强的过程中,主要有以下两类安全增强方案:第一类,在主机上安装安全管理软件,实现所需的安全控制和审计。例如,在文件系统驱动上获取访问请求,对系统需要读取的文件进行病毒查杀。通过专有程序,完成外部存储介质所要求的认证,从而访问外部存储资源。通过在主机上安装特定的程序或是特定的硬件,访问加密的存储介质。
[0004]第二类,在存储介质上,内置一些安全管控程序或是硬件来完成对存储介质的安全性控制。例如,在存储装置上增加一个指纹识别装置,存储装置连接到主机后,需先进行指纹验证才能访问。在存储装置上内置一个IC卡读卡器,只有通过了IC卡验证才能访问存储装置上的安全区,否则只能访问普通装置。
[0005]现有技术中,这两种安全增强方案都存在一些局限性。对于第一类方案,需要主机允许安装相应的安全控制程序。但是,在实际应用过程中,部分控制程序可能仅支持Windows系统,无法安装在其它类型的设备上,例如,智能电视或其它智能硬件可能无法安装;又或者,一些设备不允许安装任何来自外部的程序,以上这些情形会导致第一类方案无法使用。第二类方案只适用于该存储设备本身,只能在专门的硬件上实现特定的控制功能,适用面较小,扩展性较弱。
[0006]因此,有必要提出一种技术方案,解决现有技术中,对存储设备进行读写操作的设备不支持安全控制程序安装时,无法对存储设备进行的安全控制和审计的问题。
技术实现思路
[0007]本申请的目的在于提供一种安全管控装置,解决现有技术中存在的对存储设备进行读写操作的设备不支持安全控制程序安装时,无法对存储设备进行的安全控制和审计的问题。
[0008]本申请提供一种安全管控装置,串接在存储设备和访问所述存储设备的主机之间,其特征在于,所述安全管控装置包括:第一接口,用以连接存储设备;第二接口,用以连接需要访问所述存储设备的主机;
存储设备访问模块,基于所述存储设备支持的存储访问协议,访问所述存储设备,获取所述存储设备枚举的LUN基础信息;映射模块,基于所述主机支持的存储访问通讯协议,将所述安全管控装置作为虚拟存储设备映射到所述主机,并参照所述存储设备的LUN基础信息向所述主机枚举所述虚拟存储设备的LUN基础信息;控制策略存储模块,用于存储所述主机访问所述存储设备中的数据所需执行的控制策略;读写操作控制模块,用于跟踪所述主机对所述存储设备发出的读写请求,所述主机和\或所述存储设备上存有所述读写请求所对应的目标数据,根据所述虚拟存储设备的LUN基础信息,将所述读写请求解析为对所述目标数据的文件系统结构及目录的读写请求和\或对所述目标数据的文件内容的读写请求,根据经解析的所述读写请求对所述目标数据执行所述控制策略,响应所述主机的读写请求。
[0009]进一步的,所述安全管控装置还包括:存储访问协议转换模块,当所述主机支持的存储访问通讯协议与所述存储设备支持的存储访问通讯协议不同时,通过所述存储访问协议转换模块完成转换,使所述主机发出的所述读写请求能够在所述存储设备中获得响应。
[0010]进一步的,所述目标数据的所述控制策略包括以下策略中的一种或多种:访问权限判定、是否需要记录访问信息、是否预先进行病毒和\或敏感信息扫描。
[0011]进一步的,通过所述映射模块对所述存储设备的LUN基础信息进行预处理,根据所述预处理结果向所述主机枚举所述虚拟存储设备的LUN基础信息,所述预处理包括访问权限控制、重映射。
[0012]进一步的,所述虚拟存储设备的LUN基础信息与所述存储设备的LUN基础信息一一对应或不一一对应,所述映射模块维护枚举给所述主机的所述虚拟存储设备的LUN基础信息与所述存储设备的LUN基础信息之间的映射关系。
[0013]进一步的,所述安全管控装置接受所述主机发送的所述读写请求,并记录所述主机根据所述读写请求获得的关于所述存储设备的文件系统信息,所述文件系统信息包括文件系统结构及目录信息;根据所述文件系统信息,将所述读写请求分解为,对所述目标数据的文件系统结构及目录的读写请求和\或对所述目标数据的文件内容的读写请求;当根据所述文件系统信息无法对所述读写请求进行分解时,由所述安全管控装置重新对所述存储设备进行读取,更新所述文件系统信息。
[0014]进一步的,当所述读写操作控制模块解析出所述读写请求为对所述目标数据的文件系统结构及目录的读请求时,所述安全管控装置从所述存储装置获取所述目标数据的文件系统结构及目录信息,并对所述目标数据的文件系统结构及目录信息执行所述控制策略,当所述目标数据的文件系统结构及目录信息通过所述控制策略时,所述安全管控装置响应所述主机的读写请求。
[0015]进一步的,当所述读写操作控制模块解析出所述读写请求为对所述目标数据的文件内容的读请求时,所述安全管控装置从所述存储设备中获取所述目标数据的文件内容,对所述文件内容执行所述控制策略,当所述文件内容通过所述控制策略时,所述安全管控装置响应所述主机的读写请求。
[0016]进一步的,当所述读写操作控制模块解析出所述读写请求为对所述目标数据的文件系统结构及目录的写请求时,修改所述安全管控装置枚举的所述虚拟存储设备的LUN基础信息并执行所述控制策略,若所述控制策略通过,则所述安全管控装置对所述存储设备执行所述对所述目标数据的文件系统结构及目录的写请求。
[0017]进一步的,当所述读写操作控制模块解析出所述读写请求为对所述目标数据的文件内容的写请求时,对所述目标数据的文件内容执行所述控制策略,若所述控制策略通过,则所述安全管控装置对所述存储设备执行所述对目标数据的文件内容的写请求。
[0018]本申请提供一种安全管控装置,串接在存储设备和访问存储设备的主机之间,本申请提供的安全管控装置将自身作为一台虚拟存储设备映射到需要访问存储设备的主机,对主机发出的读写请求进行跟踪,实现对主机访问的具体内容进行审计以及多种安全性控制,达到在不对主机和存储设备进行任何调整的情况下,即可在主机对存储设备的访问过程中实现对存储访问的控制及审计功能。
附图说明
[0019]图1为本申请提供的安全管控装置串接在主机和存储设备之间的示意图;图2为本申请提供的安全管控装置示意图;图3为本申请提供的示例性主机对位于特定LUN特定FAT32文件系统分区里某目标数据进行读取操作的管控流程图;图4为主机通过本申请提供的安全管控装置对存储设备执行读取过程时示意图;图5为主机本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全管控装置,串接在存储设备和访问所述存储设备的主机之间,其特征在于,所述安全管控装置包括:第一接口,用以连接存储设备;第二接口,用以连接需要访问所述存储设备的主机;存储设备访问模块,基于所述存储设备支持的存储访问协议,访问所述存储设备,获取所述存储设备枚举的LUN基础信息;映射模块,基于所述主机支持的存储访问通讯协议,将所述安全管控装置作为虚拟存储设备映射到所述主机,并参照所述存储设备的LUN基础信息向所述主机枚举所述虚拟存储设备的LUN基础信息;控制策略存储模块,用于存储所述主机访问所述存储设备中的数据所需执行的控制策略;读写操作控制模块,用于跟踪所述主机对所述存储设备发出的读写请求,所述主机和\或所述存储设备上存有所述读写请求所对应的目标数据,根据所述虚拟存储设备的LUN基础信息,将所述读写请求解析为对所述目标数据的文件系统结构及目录的读写请求和\或对所述目标数据的文件内容的读写请求,根据经解析的所述读写请求对所述目标数据执行所述控制策略,响应所述主机的读写请求。2.根据权利要求1所述的安全管控装置,其特征在于,所述安全管控装置还包括:存储访问协议转换模块,当所述主机支持的存储访问通讯协议与所述存储设备支持的存储访问通讯协议不同时,通过所述存储访问协议转换模块完成转换,使所述主机发出的所述读写请求能够在所述存储设备中获得响应。3.根据权利要求1所述的安全管控装置,其特征在于,所述目标数据的所述控制策略包括以下策略中的一种或多种:访问权限判定、是否需要记录访问信息、是否预先进行病毒和\或敏感信息扫描。4.根据权利要求1所述的安全管控装置,其特征在于,通过所述映射模块对所述存储设备的LUN基础信息进行预处理,根据所述预处理结果向所述主机枚举所述虚拟存储设备的LUN基础信息,所述预处理包括访问权限控制、重映射。5.根据权利要求4所述的安全管控装置,其特征在于,所述虚拟存储设备的LUN基础信息与所述存储设备的LUN基础信息一一对应或不一一对应,所述映射模块维护枚举给所述主机的所述虚拟存储设备的LUN基础信息与所述存储设备的...
【专利技术属性】
技术研发人员:张宙,阮涛,梁猛,郦建新,吴赟,黄佳,潘碧清,
申请(专利权)人:浙江齐安信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。