專利名稱:對內網計算機進行安全防護的方法及設備的制作方法
技術領域:
本發明涉及計算機數據安全防護方法及其設備,特別是防止計算機數 據外泄的方法及其數據單向導入的設備。
背景技術:
現今政府及企事業單位80%以上的數據以電子格式存放在內部網絡中, 同時各種移動存儲設備的更新也越來越快,敏感信息、秘密數據和檔案資 料被存貯在移動介質里,大量的秘密文件和資料變為磁性介質,存貯在無 保護的移動存儲介質中,如果放任不管,任意濫用移動存儲介質必將會帶 來難以估計的損失。近年來屢屢發生的移動存儲介質泄密、竊密案件給國 家和企事業單位帶來了不可估量的損失。另一方面,內網計算機可以通過無線上網,出現內網計算機非法外聯 的現象,這也會使內網數據外泄。因此,為涉密計算機提供有效、可靠的數據傳輸解決方案至關重要。 發明內容本發明的一個目的是提供防止計算機數據外泄的方法。本發明的另一目的是提供一種在防止計算機數據外泄方法中執行數據 單向導入的設備。本發明一方面利用單向傳輸,為USB存儲設備和計算機之間傳遞數據 的橋梁,在保證數據被快速、正確的傳輸到計算機的同時,有效的保證了 計算機中的任何數據不外泄。本發明的防止計算機數據外泄的方法,包括以下步驟A) 計算機實時檢測插入USB接口的USB設備, 一旦確定所檢測的USB 設備是易泄密設備,就立即禁用所插入的USB設備;B) 將USB存儲設備經由單向導入設備接入計算機的USB接口,使所述 USB存儲設備只能經由所述數據單向導入設備向所述計算機單向傳輸所存 儲的數據。上述方法可以防止易泄密設備通過計算機的USN接口得到計算機存儲 的數據。同時,還可以單向地把易泄密設備的數據傳送給計算機,從而實 現了計算機至易泄密設備方向的物理隔離。其中在所述步驟A)中,當計算機檢測到所述USB設備是數據單向導 入設備、USB鼠標、USB鍵盤之外的設備時,則確定所檢測的USB設備是易 泄密設備。其中在所述步驟B)中,所述數據單向導入設備通過以下步驟將所述USB 設備中存儲的數據單向傳輸給所述計算機首先從所述USB存儲設備中讀取其內存儲的文件的文件目錄; 根據文件目錄,選擇將要發送給計算機的指定文件; 對所述指定文件的數據進行編碼; 單向傳送已編碼數據;對所述單向傳送的已編碼數據進行解碼,得到所述指定文件的數據; 然后將指定文件的數據傳送給計算機。 其中利用光傳輸裝置單向傳送已編碼數據,包括光發送模塊將已編碼數據信號進行電光轉換,變換成光數據信號,然后 經由光纖單向傳輸;光接收模塊將經由所述光纖傳輸光數據信號進行光電轉換,還原成所述 己編碼數據信號。上述方法還可以包括本發明的在防止計算機數據外泄方法中執行數據單向導入的設備包括 連接USB存儲設備、指定所述USB存儲設備中存儲的文件,并對指定文 件進行數據發送的USB接收單元;對所述USB接收單元發送的數據進行單向傳輸的單向傳輸裝置;以及接收所述單向傳輸裝置傳輸的數據,并將其發送給計算機的USB發送單元。其中所述USB接收單元包括自動檢測USB存儲設備接入的檢測模塊; 查詢所接入的USB存儲設備中存儲的文件,從而得到文件目錄信息的査詢 模塊;根據文件目錄信息選擇待發送的指定文件,并發出相應指令的若干 按鍵;根據按鍵所發出的發送指令,發送所述指定文件的數據的發送模塊; 以及進行查詢、選擇、指令顯示的顯示器。其中所述單向傳輸裝置可以是光、電單向傳輸裝置之一。其中所述單向傳輸裝置包括對所述USB接收單元發送的數據進行數據 編碼的編碼器;以及把所述編碼器已編碼數據信號轉換成光信號并進行光 發送的光發送機;傳輸所述光信號的光纖;接收經由所述光纖傳輸的光信 號并將其轉換成電信號,從而得到已編碼數據信號的光接收機;以及對所 述光接收機輸出的已編碼數據進行解碼的解碼器。所述USB接收單元和/或數據編碼器由單片機或可編程邏輯器件構成, 兩者或兩者之一具有對所發送的數據進行緩存的緩存區;以及所述USB發送單元和/或數據解碼器由單片機或可編程邏輯器件構成, 兩者或兩者之一具有對所接收的數據進行緩存的緩存區。利用本發明的上述方法和設備可以實現以下技術效果對所有USB接口、 USB設備準確有效的監控,保證了除單向傳輸設備以 及USB鼠標、USB鍵盤外的其他任何USB設備均不被允許使用,從而切斷了 通過USB設備外泄計算機數據的渠道。下面結合附圖對本發明的原理、細節進行詳細說明。
圖1是實現本發明的第一種防止計算機數據外泄方法的流程圖; 圖2是顯示執行本發明方法的數據單向導入設備的示意圖;圖3是本發明的數據單向導入設備的USB接收單元執行檢測、査詢、指 定操作的示意圖;圖4是本發明的數據單向導入設備的USB接收單元發送指定文件的示意圖。
具體實施方式
本發明所稱的易泄密設備是指能夠輸出和/或下載計算機數據,從而有 可能造成計算機數據泄密的USB設備,本發明的易泄密設備包括但不限于: 移動硬盤、U盤、MP3、 MP4、數碼相機、打印機等在內的USB設備。本發明的防止計算機數據外泄的方法包括以下步驟A)計算機實時檢測插入USB接口的USB設備, 一旦確定所檢測的USB 設備是易泄密設備,就立即禁用所插入的USB設備;本發明的步驟A)可以 避免利用USB設備下載計算機數據的事件發生。B)將USB存儲設備經由單向導入設備接入計算機的USB接口 ,使所述USB 存儲設備只能經由所述數據單向導入設備向所述計算機單向傳輸所存儲的 數據。由于利用單向傳輸技術,因此本發明的步驟B)能夠將USB存儲設備 中存儲的數據發送給計算機,同時又防止將計算機的數據下載到USB存儲 設備中。在上述步驟A)中,當計算機檢測到所述USB設備是數據單向導入設備 或者USB鼠標或者USB鍵盤之外的設備時,則確定所檢測的USB設備是易 泄密設備。計算機可以通過USB檢測軟件(如USBTrace)檢測USB設備的 詳細信息如硬件ID,由此確定USB設備是否是數據單向導入設備、USB鼠標、USB鍵盤之一,如果不是其中的任何一個,則判定該USB設備是易泄密 設備。
在上述步驟B)中,所述數據單向導入設備通過以下步驟將所述USB設
備中存儲的數據單向傳輸給所述計算機
首先從所述USB存儲設備中讀取其內存儲的文件的文件目錄;根據文件 目錄,選擇將要發送給計算機的指定文件,即指定將要發送給計算機的文 件;對所述指定文件的數據進行編碼;單向傳送已編碼數據;對所述單向 傳送的已編碼數據進行解碼,得到所述指定文件的數據;然后將指定文件 的數據傳送給計算機。
本發明可以利用光單向傳輸裝置實現己編碼數據的單向傳送,這通常包 括光發送模塊將己編碼數據信號進行電光轉換,變換成光數據信號,然 后經由光纖單向傳輸;光接收模塊將經由所述光纖傳輸光數據信號進行光 電轉換,還原成所述己編碼數據信號。
圖1顯示了實現本發明的第一種防止計算機數據外泄方法的流程圖,首 先計算機實時檢測插入計算機USB接口的USB設備;接著判斷所插入的USB 設備是USB鼠標或鍵盤或數據單向導入設備,如果判斷不是USB鼠標或鍵 盤或數據單向導入設備之中的任一個,則禁用所插入的USB設備,如果判 斷是USB鼠標或鍵盤則允許使用USB鼠標或鍵盤;如果判斷是數據單向導 入設備,則允許數據單向導入設備將USB設備存儲的數據傳送給計算機。
本發明的第二種防止計算機數據外泄的方法包括以下步驟 A)計算機實時檢測插入USB接口的USB設備, 一旦確定所檢測的USB
設備是易泄密設備,就立即禁用所插入的USB設備;
B)將USB存儲設備經由單向導入設備接入計算機的USB接口 ,使所述USB
存儲設備只能經由所述數據單向導入設備向所述計算機單向傳輸所存儲的
數據;
圖2顯示了在本發明的上述兩種方法中執行數據單向傳輸的設備,圖中
9利用實線框顯示本發明設備的結構。如圖3所示,本發明的執行數據單向 傳輸的設備包括
連接USB存儲設備1、指定所述USB存儲設備1中存儲的文件,并對指 定文件進行數據發送的USB接收單元2;該USB接收單元2可以是具有USB 插座的單片機或微計算機,它可以隨時發現插入的USB存儲設備、對其進 行查詢,并進行指定文件和發送指定文件的處理。
對所述USB接收單元2發送的數據進行單向傳輸的單向傳輸裝置3;該 單向傳輸裝置可以是聲、光、電單向傳輸裝置之一。
接收所述單向傳輸裝置3傳輸的數據,并將其發送給計算機5的USB發 送單元4。
USB接收單元2可以包括自動檢測USB存儲設備接入的檢測模塊;查 詢所接入的USB存儲設備中存儲的文件,從而得到文件目錄信息的査詢模 塊;根據文件目錄信息選擇待發送的指定文件,并發出相應指令的若干按 鍵;根據按鍵所發出的發送指令,發送所述指定文件的數據的發送模塊; 以及進行査詢、選擇、指令顯示的顯示器。
圖3顯示了 USB接收單元的檢測、査詢、指定操作。當USB存儲設備連 接到單向導入設備時,USB接收單元(如單片機TxMCU)可以立即響應到, 通過液晶顯示展示給用戶界面。Tx MCU上的文件系統在響應到USB設備后, 會查詢USB設備中的文件,返回其文件信息。通過按鍵的響應操作查看各 級目錄,同時在液晶上顯示。液晶屏幕采用256*64的分辨率,可以顯示四 行、每行最多16個漢字。按鍵包括Enter鍵(進入一個子目錄,或選擇)、 Exit鍵(退出到上層目錄)、Up鍵(向上滾動)、Down鍵(向下滾動)和 Cancel鍵(撤銷)。液晶屏幕和按鍵配合使用,可以查看目錄結構、定位文 件、選定文件、發送文件或撤銷發送。
圖4顯示了 USB接收單元的指定文件發送操作。當用戶選定好要發送 的文件(例如圖中的指定文件),通過按鍵響應操作將文件的存儲首地址等信息送到Tx MCU, MCU處理后再通過數據總線將文件信息和內容傳送到下 級數據處理模塊(例如數據緩存模塊,以便提供2KByte的數據緩存),在 這個過程中同樣離不開文件系統的幫忙。在傳送過程中,用戶仍然可以通 過按鍵的響應來中斷傳送,MCU可以通過響應操作告訴下級模塊放棄此次發 送。
當利用單向傳輸設備上選定文件并按Enter鍵發送后,終端應用軟件 自動彈出對話框提示用戶選擇文件保存的地址,確定目標地址后文件開始 傳輸,并用進度條提示當前數據傳輸進度。除非用戶在單向導入設備上按 Cancel鍵終止數據發送過程,否則數據傳輸一直進行直至整個文件傳送完 畢。
再參見圖2,單向傳輸裝置3包括對所述USB接收單元2發送的數據 進行數據編碼的編碼器31;把所述編碼器已編碼數據信號轉換成光信號并 進行光發送的光發送機32;傳輸所述光信號的光纖33;接收經由所述光纖 傳輸的光信號并將其轉換成電信號,從而得到已編碼數據信號的光接收機 34;以及對所述光接收機輸出的已編碼數據進行解碼的解碼器35。
USB接收單元2和/或數據編碼器31可以由單片機或可編程邏輯器件構 成,兩者或兩者之一具有對所發送的數據進行緩存的緩存區,從而在USB 接收單元2與光發送機32之間建立數據緩沖區;以及
USB發送單元4和/或數據解碼器35可以由單片機或可編程邏輯器件構 成,兩者或兩者之一具有對所接收的數據進行緩存的緩存區,從而在USB 發送單元4與光接收機34之間建立數據緩沖區。
本發明具有以下特點
1、 對所有USB接口、 USB設備準確有效的監控,保證了除單向傳輸設 備以及USB鼠標、USB鍵盤外的其他任何USB設備均不被允許使用。
2、 利用光單向傳輸特性保證了數據的單向傳輸。在單向倒入設備中利 用光的這個特性,實現了數據只能從USB存儲設備通過單向導入設備傳送到計算機上,計算機上的任何數據不能反向回傳。
3、 在USB接收器上實現了文件系統,可以獲取連接的USB存儲設備的
文件目錄結構,并傳遞給顯示模塊由液晶屏幕顯示,借助液晶屏幕和按鍵
可以查看USB存儲設備的文件目錄結構并自行選擇目標文件進行發送。
4、 在USB接收器到光傳輸模塊之間,以及光傳輸模塊到USB發送器 之間硬件(例如在USB接收器和USB發送單元中)實現2K Byte的數據緩 沖區,保證了數據傳輸的速度和效率。
5、 在數據單向傳輸中,進行數據編碼和數據解碼,從而保證了數據傳 輸的正確性。
盡管上文對本發明進行了詳細說明,但是本發明不限于此,本技術領 域技術人員可以根據本發明的原理進行各種修改。因此,凡按照本發明原 理所作的修改,都應當理解為落入本發明的保護范圍。
1權利要求
1、一種防止計算機數據外泄的方法,包括以下步驟A)計算機實時檢測插入USB接口的USB設備,一旦確定所檢測的USB設備是易泄密設備,就立即禁用所插入的USB設備;B)將USB存儲設備經由單向導入設備接入計算機的USB接口,使所述USB存儲設備只能經由所述數據單向導入設備向所述計算機單向傳輸所存儲的數據。
2、 根據權利要求1所述的方法,其中在所述步驟A)中,當計算機檢測到所述USB設備是數據單向導入設備、USB鼠標、USB鍵盤之外的設備時,確定所檢測的USB設備是易泄密設備。
3、 根據權利要求1所述的方法,其中在所述步驟B)中,所述數據單向導入設備通過以下步驟將所述USB設備中存儲的數據單向傳輸給所述計算機首先從所述USB存儲設備中讀取其內存儲的文件的文件目錄;根據文件目錄,選擇將要發送給計算機的指定文件;對所述指定文件的數據進行編碼;單向傳送已編碼數據;對所述單向傳送的已編碼數據進行解碼,得到所述指定文件的數據;然后將指定文件的數據傳送給計算機。
4、 根據權利要求3所述的方法,其中利用光傳輸裝置單向傳送已編碼數據,包括光發送模塊(32)將已編碼數據信號進行電光轉換,變換成光數據信號,然后經由光纖(33)單向傳輸;光接收模塊(34)將經由所述光纖傳輸光數據信號進行光電轉換,還原成所述已編碼數據信號。
5、 根據權利要求1所述的方法,還包括C)利用域名服務器實時解析計算機接入網絡的域名, 一旦確定所述域名為禁用域名時,就立即禁用所述計算機的網卡。
6、 一種在權利要求1至5任一項方法中執行數據單向導入的設備,包括連接USB存儲設備(1)、指定所述USB存儲設備(1)中存儲的文件,并對指定文件進行數據發送的USB接收單元(2);對所述USB接收單元(2 )發送的數據進行單向傳輸的單向傳輸裝置(3 );以及接收所述單向傳輸裝置(3)傳輸的數據,并將其發送給計算機(5)的USB發送單元(4)。
7、 根據權利要求6所述的設備,其中所述USB接收單元(2)包括自動檢測USB存儲設備接入的檢測模塊;查詢所接入的USB存儲設備中存儲的文件,從而得到文件目錄信息的査詢模塊;根據文件目錄信息選擇待發送的指定文件,并發出相應指令的若干按鍵;根據按鍵所發出的發送指令,發送所述指定文件的數據的發送模塊;以及進行查詢、選擇、指令顯示的顯示器。
8、 根據權利要求6或7所述的設備,其中所述單向傳輸裝置(3)是聲、光、電單向傳輸裝置之一。
9、 根據權利要求8所述的設備,其中所述單向傳輸裝置(3)包括對所述USB接收單元(2)發送的數據進行數據編碼的編碼器(31);把所述編碼器已編碼數據信號轉換成光信號并進行光發送的光發送機(32);傳輸所述光信號的光纖(33);接收經由所述光纖傳輸的光信號并將其轉換成電信號,從而得到已編碼數據信號的光接收機(34);以及對所述光接收機輸出的已編碼數據進行解碼的解碼器(35)。
10、 根據權利要求9所述的設備,其中所述USB接收單元(2)和/或數據編碼器(31)由單片機或可編程邏輯器件構成,兩者或兩者之 -具有對所發送的數據進行緩存的緩存區;以及所述USB發送單元(4)和/或數據解碼器(35)由單片機或可編程邏輯器件構成,兩者或兩者之一具有對所接收的數據進行緩存的緩存區。
全文摘要
本發明公開了對內網計算機進行安全防護的方法及設備。本發明的方法包括以下步驟A)計算機實時檢測插入USB接口的USB設備,一旦確定所檢測的USB設備是易泄密設備,就立即禁用所插入的USB設備;B)將USB存儲設備經由單向導入設備接入計算機的USB接口,使所述USB存儲設備只能經由所述數據單向導入設備向所述計算機單向傳輸所存儲的數據。本發明的上述方法可以防止易泄密設備通過計算機的USB接口得到計算機存儲的數據。同時,還可以單向地把易泄密設備的數據傳送給計算機,從而實現了計算機至易泄密設備方向的物理隔離。
文檔編號H04B10/12GK101504710SQ20091008069
公開日2009年8月12日 申請日期2009年3月26日 優先權日2009年3月26日
發明者晴 于, 王海洋 申請人:北京鼎普科技股份有限公司