技術領域

本發明涉及內外網數據安全交互，尤其涉及一種使用USB存儲器(以下簡稱U盤)的數據安全擺渡方法，實現涉密網絡的內網和外網的數據安全交互，屬于信息安全和計算機軟件技術領域。

背景技術

數據擺渡是指將數據從隔離的內部網絡帶出到外部網絡，或將外部網絡的數據帶入內部網絡。前者被稱為“向外擺渡”(或簡稱“外擺渡”)，后者稱為“向內擺渡”(或簡稱為“內擺渡”)。在內、外部網絡互相隔離的情況下，光盤刻錄、U盤拷貝成為數據擺渡的最主要工具。光盤刻錄和U盤拷貝各有優、劣勢：比起光盤刻錄來，U盤的擺渡顯得更為簡捷、方便；但U盤的可讀寫性給擺渡帶來了很多安全隱患。

隱患之一，和光盤不同，U盤是隨時可以寫入的。如果用戶將機密文件存放在U盤上，一旦U盤在外部使用時，外部網絡上的木馬程序就有機會將U盤中的機密文件擴散出去，造成泄密。隱患之二，U盤在內、外部交叉使用，很容易感染病毒，并將病毒帶到內部網絡。隱患之三，也是最難以防范的，是木馬程序利用U盤作為跳板，通過三個簡單的步驟，竊取內部網絡的機密信息：①當U盤在外部使用的時候，悄悄潛入U盤；②當該U盤在內部使用時，收集內部網絡里的機密文件，將之存入U盤中；③當該U盤在外部使用時，駐留在該U盤的木馬將U盤上的機密文件發送到指定的目標服務器上。木馬程序的這種竊密行為具有很強的隱蔽性和針對性，其危害很大。

在已知的現有技術中，一般都是通過硬件級的方法實現對U盤的只讀控制。例如，實用新型專利“防擺渡U盤存儲器”(200720305553.3)在普通的U盤上，加裝了一個寫保護開關裝置，對U盤中寫入的數據進行控制，從而解決了U盤擺渡泄密的問題。然而，由于其方便性，人們更多使用的還是普通的U盤，并經常在沒有防范的情況下進行數據擺渡，使內部網絡遭受病毒攻擊，不經意間造成了大量泄密，給黨政機關、軍隊和軍工企業和其他企事業單位造成巨大損失，也對個人隱私構成嚴重威脅。所以，提供一種安全的、通用性更強的基于U盤的數據擺渡方法具有重大而緊迫的現實意義。

發明內容

針對上面提到的幾種隱患，本發明的目的在于提供一種安全的基于U盤的數據擺渡方法。本發明方法進一步利用嵌入在U盤上的COS程序及安裝在內部網絡主機上的代理程序，實現U盤和內部網絡主機的雙向認證，并完成對U盤的只讀與寫入控制。所述COS是Chip?Operating?System的簡稱，是嵌入在安全芯片中固件(firm?ware)的操作系統，基于COS開發的應用程序叫COS程序。

為了實現上述技術目的，本發明采用如下技術方案。

一種U盤數據安全擺渡方法，所述方法實現內網和外網之間的數據擺渡，其特征在于，

內擺渡U盤工作于預帶入和帶入狀態，在預帶入狀態下，所述U盤在外網可讀寫，在內網不可讀寫；在帶入狀態下，所述U盤在內外網均可讀不可寫；

外擺渡U盤工作于預帶出和帶出狀態，在預帶出狀態下，所述U盤在外網不可讀寫，在內網可讀寫；在帶出狀態下，所述U盤在內外網均可讀不可寫；

所述內擺渡U盤和外擺渡U盤經過審批后在各自的兩種狀態之間轉變，所述審批過程包括修改U盤的讀寫權限。

所述審批過程還可包括：記錄U盤上所有文件的文件基線，以及刪除掃描U盤上的所有文件發現的病毒。

優選地，本發明在所述U盤中安裝一COS程序，所述COS程序獲得數據的讀取和寫入請求，并根據U盤所處的工作狀態和內外網環境決定是否接受所述讀取和寫入請求。

進一步，所述COS程序接受寫入請求后，按設定的加密方式將數據加密后寫入；所述COS程序接受讀取請求后，按設定的解密方式將加密的數據解密后讀出。

進一步，當U盤處于內網時，所述COS程序僅接受設定的進程的寫入請求。

優選地，在內網的每個主機上安裝一代理程序，所述代理程序僅允許經過授權的U盤和內網主機建立數據連接。所述經過授權的U盤內置COS安全芯片。

下面對本發明技術方案作進一步說明。

本發明主要基于以下構思：

一、對U盤的讀取進行控制。本發明對U盤所處的內外網環境進行判斷(比如通過COS程序)，在特定的時候，U盤只有讀的權限，木馬等病毒程序就不能潛入U盤，木馬程序也無法將敏感數據悄悄寫到U盤上從而引起泄密，消除了一大泄密隱患。