技術領域

本發明涉及計算機數據安全防護方法及其設備，特別是防止計算機數據外泄的方法及其數據單向導入的設備。

背景技術

現今政府及企事業單位80％以上的數據以電子格式存放在內部網絡中，同時各種移動存儲設備的更新也越來越快，敏感信息、秘密數據和檔案資料被存貯在移動介質里，大量的秘密文件和資料變為磁性介質，存貯在無保護的移動存儲介質中，如果放任不管，任意濫用移動存儲介質必將會帶來難以估計的損失。近年來屢屢發生的移動存儲介質泄密、竊密案件給國家和企事業單位帶來了不可估量的損失。

另一方面，內網計算機可以通過無線上網，出現內網計算機非法外聯的現象，這也會使內網數據外泄。

因此，為涉密計算機提供有效、可靠的數據傳輸解決方案至關重要。

發明內容

本發明的一個目的是提供防止計算機數據外泄的方法。

本發明的另一目的是提供一種在防止計算機數據外泄方法中執行數據單向導入的設備。

本發明一方面利用單向傳輸，為USB存儲設備和計算機之間傳遞數據的橋梁，在保證數據被快速、正確的傳輸到計算機的同時，有效的保證了計算機中的任何數據不外泄。

本發明的防止計算機數據外泄的方法，包括以下步驟：

A)計算機實時檢測插入USB接口的USB設備，一旦確定所檢測的USB設備是易泄密設備，就立即禁用所插入的USB設備；

B)將USB存儲設備經由單向導入設備接入計算機的USB接口，使所述USB存儲設備只能經由所述數據單向導入設備向所述計算機單向傳輸所存儲的數據。

上述方法可以防止易泄密設備通過計算機的USN接口得到計算機存儲的數據。同時，還可以單向地把易泄密設備的數據傳送給計算機，從而實現了計算機至易泄密設備方向的物理隔離。

其中在所述步驟A)中，當計算機檢測到所述USB設備是數據單向導入設備、USB鼠標、USB鍵盤之外的設備時，則確定所檢測的USB設備是易泄密設備。

其中在所述步驟B)中，所述數據單向導入設備通過以下步驟將所述USB設備中存儲的數據單向傳輸給所述計算機：

首先從所述USB存儲設備中讀取其內存儲的文件的文件目錄；

根據文件目錄，選擇將要發送給計算機的指定文件；

對所述指定文件的數據進行編碼；

單向傳送已編碼數據；

對所述單向傳送的已編碼數據進行解碼，得到所述指定文件的數據；

然后將指定文件的數據傳送給計算機。

其中利用光傳輸裝置單向傳送已編碼數據，包括：

光發送模塊將已編碼數據信號進行電光轉換，變換成光數據信號，然后經由光纖單向傳輸；

光接收模塊將經由所述光纖傳輸光數據信號進行光電轉換，還原成所述已編碼數據信號。

上述方法還可以包括：

本發明的在防止計算機數據外泄方法中執行數據單向導入的設備包括：

連接USB存儲設備、指定所述USB存儲設備中存儲的文件，并對指定文件進行數據發送的USB接收單元；

對所述USB接收單元發送的數據進行單向傳輸的單向傳輸裝置；以及

接收所述單向傳輸裝置傳輸的數據，并將其發送給計算機的USB發送單元。

其中所述USB接收單元包括：自動檢測USB存儲設備接入的檢測模塊；查詢所接入的USB存儲設備中存儲的文件，從而得到文件目錄信息的查詢模塊；根據文件目錄信息選擇待發送的指定文件，并發出相應指令的若干按鍵；根據按鍵所發出的發送指令，發送所述指定文件的數據的發送模塊；以及進行查詢、選擇、指令顯示的顯示器。

其中所述單向傳輸裝置可以是光、電單向傳輸裝置之一。

其中所述單向傳輸裝置包括：對所述USB接收單元發送的數據進行數據編碼的編碼器；以及把所述編碼器已編碼數據信號轉換成光信號并進行光發送的光發送機；傳輸所述光信號的光纖；接收經由所述光纖傳輸的光信號并將其轉換成電信號，從而得到已編碼數據信號的光接收機；以及對所述光接收機輸出的已編碼數據進行解碼的解碼器。

所述USB接收單元和/或數據編碼器由單片機或可編程邏輯器件構成，兩者或兩者之一具有對所發送的數據進行緩存的緩存區；以及

所述USB發送單元和/或數據解碼器由單片機或可編程邏輯器件構成，兩者或兩者之一具有對所接收的數據進行緩存的緩存區。

利用本發明的上述方法和設備可以實現以下技術效果：

對所有USB接口、USB設備準確有效的監控，保證了除單向傳輸設備以及USB鼠標、USB鍵盤外的其他任何USB設備均不被允許使用，從而切斷了通過USB設備外泄計算機數據的渠道。