技术摘要:
本发明公开了一种应用于USB接口的中介式物理隔离方法,包括外接USB设备连入安全管控模块,由记忆识别单元判断所述外接USB设备是否为使用过的授权设备,并将信息发送至管理机;所述管理机接收所述信息并作出验证判断,若为授权设备,则所述管理机授权通过验证,若非授权 全部
背景技术:
随着计算机及各种电子设备在日常生活工作中的应用越来越广泛,USB接口的使 用也越来越频繁,鼠标、键盘、U盘、移动硬盘、外置声卡、充电宝、电子烟等都使用了USB接 口,且即插即用。据统计,在所有物理接口中除了网络适配器接口外,USB接口传播恶意病毒 程序的效率是最高的,USB协议也可被攻击者利用进行攻击,所以USB接口成为很多恶意程 序传播和网络安全攻击的载体。 通过USB攻击的类型主要分为以下几类:USB钓鱼、HID伪装、USB的0-day漏洞利用 和基于USB的电力攻击。USB钓鱼一般通过U盘、移动硬盘、充电宝、鼠标等便携设备通过USB 接口攻击或感染目标计算机和电子设备。HID伪装是USB设备上的攻击程序通过USB接口把 自己伪装成HID设备(比如键盘、鼠标),从而达到控制目标监控系统主机的目的。USB的0- day漏洞,只要监控系统主机插上带有0-day漏洞攻击程序的USB设备就立刻被攻击程序所 控制。基于USB的电力攻击USB Killer,当USB插入设备后会触发电力超载,对设备造成永久 性破坏。这些攻击都具有很强的隐蔽性和传播性,危害非常大,国际上有很多诸如2010年伊 朗核电站通过USB接口受到攻击的案例。 目前采用的USB防护措施有:(1)禁用USB接口。一般会利用物理去除或堵塞的方式 禁用USB接口,在BIOS中设置禁用BIOS接口。这些做法非常有效,但是因噎废食造成USB接口 全部不能使用,也常常给工作带来不方便。(2)利用各类防火墙、监控软件进行USB接口安全 管控。这类软件的管控方式对USB钓鱼攻击有防范作用,对USB设备的HID伪装攻击和0-day 漏洞攻击没有办法防范。并且,现有的管控方式一般是通过人工的监测,随着智能技术的不 断发展,先进潮流技术被运用至管控方式上,而上述两种防护措施都无法在满足工作需求 的条件下智能有效避免信息安全隐患,故此,提出一种新型手段来防控USB接口的信息安全 具有重要意义。
技术实现要素:
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施 例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部 分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。 鉴于上述现有USB防护措施存在的问题,提出了本发明。 因此,本发明解决的技术问题是:解决现有USB防护措施无法在满足工作需求的条 件下智能有效避免信息安全隐患的问题。 为解决上述技术问题,本发明提供如下技术方案:一种应用于USB接口的中介式物 理隔离方法,包括外接USB设备连入安全管控模块,由记忆识别单元判断所述外接USB设备 4 CN 111597544 A 说 明 书 2/9 页 是否为使用过的授权设备,并将信息发送至管理机;所述管理机接收所述信息并作出验证 判断,若为授权设备,则所述管理机授权通过验证,若非授权设备,则进入中间检测模块进 行检测权限;所述中间检测模块将权限检测信息传输至所述管理机;所述管理机接收所述 权限检测信息,并控制所述安全管控模块内部开关的通断。 作为本发明所述的应用于USB接口的中介式物理隔离方法的一种优选方案,其中: 若为授权设备,则所述管理机授权通过验证,并开放所用资料权限。 作为本发明所述的应用于USB接口的中介式物理隔离方法的一种优选方案,其中: 若非授权设备,则进入所述中间检测模块进行检测权限包括依据第一权限检测要求进行检 测,若通过所述第一权限检测要求,则开放除核心资料外的权限;若未通过所述第一权限检 测要求,则进行第二权限检测要求的检测,若通过所述第二权限检测要求,则开放除所述核 心资料和不公开资料外的查看权限;若未通过所述第二权限检测要求,则有管理者进行人 为查看是否授权。 作为本发明所述的应用于USB接口的中介式物理隔离方法的一种优选方案,其中: 在依据所述第一权限检测要求进行检测前,所述安全管控模块(100)扫描所述外接USB设备 是否含有攻击性病毒文件。 作为本发明所述的应用于USB接口的中介式物理隔离方法的一种优选方案,其中: 所述第一权限检测要求为具体的查看时间,所述第二权限检测要求为单次连续访问的次 数。 作为本发明所述的应用于USB接口的中介式物理隔离方法的一种优选方案,其中: 若未通过所述第二权限检测要求,则有所述管理者进行人为查看是否授权包括进行网络连 通,开启计算机的摄像单元;所述管理者依据所述摄像单元呈现出的信息进行是否授权的 操作。 作为本发明所述的应用于USB接口的中介式物理隔离方法的一种优选方案,其中: 若所述管理者未及时查看所述摄像单元呈现出的信息,则自动封锁所有资料,并实施报警 设施。 作为本发明所述的应用于USB接口的中介式物理隔离方法的一种优选方案,其中: 在所述安全管控模块上未连入所述外接USB设备时,所述安全管控模块每隔一定时间间隔 给所述管理机发送心跳报文信息。 为解决上述技术问题,本发明还提供如下技术方案:一种应用于USB接口的中介式 物理隔离系统,包括安全管控模块,与管理机无线连接进行通信,并按照管理机的控制指令 切断或接通USB接口的电源线;管理机,用于对所有所述安全管控模块进行管理,根据用户 需求控制各所述USB接口的通断,提供权限管理、界面展示、实时告警和查询历史的功能,并 在必要时发送通知短信给用户;中间检测模块,与所述管理机和所述安全管控模块连接,用 于进行权限的检测。 作为本发明所述的应用于USB接口的中介式物理隔离系统的一种优选方案,其中: 所述中间检测模块包括控制单元,用于控制权限的依次检测,并依据权限检测信息控制资 料的查阅程度;传输单元,用于传输所述权限检测信息;报警单元,用于当所述管理者未及 时查看所述摄像单元呈现出的信息时实施报警设施。 本发明的有益效果:本发明提出一种应用于USB接口的中介式物理隔离方法,对监 5 CN 111597544 A 说 明 书 3/9 页 控系统主机所有USB接口的访问使用权限从物理上进行管控,有效防控信息安全问题,保障 电力监控的安全稳定运行。 附图说明 为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用 的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本 领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它 的附图。其中: 图1为本发明提供的应用于USB接口的中介式物理隔离方法的方法流程图; 图2为本发明提供的应用于USB接口的中介式物理隔离系统的模块图; 图3为本发明提供的安全管控模块的工作流程图; 图4为本发明提供的应用于USB接口的中介式物理隔离系统的系统框图; 图5为本发明提供的管理机的结构框图; 图6为本发明提供的通用管理单元的产品图; 图7为本发明提供的通信单元的产品图; 图8为本发明提供的安全管控模块的原理框图; 图9为本发明提供的无线电子锁的结构框图。