技術(shù)領(lǐng)域

本發(fā)明是有關(guān)于資訊安全領(lǐng)域的技術(shù)，且特別是有關(guān)于一種外接式儲存裝置及其制造方法，以及一種外接式儲存裝置的資訊安全管理方法。

背景技術(shù)

近年來，許多公司紛紛采用資訊安全(information?security)管理系統(tǒng)，以保護(hù)公司內(nèi)部的重要數(shù)據(jù)，避免重要數(shù)據(jù)外流而造成公司的重大損失。圖1是資訊安全管理系統(tǒng)的其中一種架構(gòu)示意圖。請參照圖1，此架構(gòu)包括有資訊安全服務(wù)器102、AD(active?directory，譯為目錄服務(wù))服務(wù)器104、數(shù)據(jù)庫(database)106及控制臺(console)108。其中，資訊安全服務(wù)器102安裝有資訊安全管理軟件。上述這些設(shè)備是通過公司內(nèi)部網(wǎng)路110而與電腦112、114、116、118及120連接，且這些電腦都安裝有前述資訊安全管理軟件的代理程序(agent)。管理者可通過控制臺108來對數(shù)據(jù)庫106設(shè)定上述電腦的數(shù)據(jù)存取權(quán)限，以便讓資訊安全管理系統(tǒng)管理這些電腦的數(shù)據(jù)(或稱資料)存取行為(詳后述)。

圖2是現(xiàn)有習(xí)知的一種應(yīng)用于前述資訊安全管理系統(tǒng)的USB隨身盤架構(gòu)示意圖。所謂USB隨身盤即是USB?flash?drive，其中USB為universal?serial?bus的縮寫，譯為通用串列匯流排。請參照圖2，此USB隨身盤200包括有存儲單元202、控制單元204及USB連接介面206。存儲單元202具有一存儲空間，此存儲空間即是一般用以供使用者置放檔案的空間。而此存儲空間被劃分為隱藏空間202-1及開放空間202-2這兩個(gè)部分，且隱藏空間202-1內(nèi)設(shè)有識別碼(identification?code，ID?code)。當(dāng)USB隨身盤200通過其USB連接介面206而連接至電腦時(shí)，電腦只會顯示出開放空間202-2內(nèi)的儲存內(nèi)容，而不會顯示出隱藏空間202-1內(nèi)的儲存內(nèi)容。

前述的資訊安全管理系統(tǒng)分有兩種操作方式，其中第一種操作方式是必須以隨時(shí)連線的方式來進(jìn)行操作，而第二種操作方式則是不必隨時(shí)連線也可進(jìn)行操作。請參照圖1及圖2來說明第一種操作方式。當(dāng)有員工將USB隨身盤200連接至圖1中的任一電腦，例如連接至電腦116時(shí)，電腦116中的資訊安全管理軟件的代理程序，就會去取得USB隨身盤200的隱藏空間202-1內(nèi)的識別碼，并將有一USB隨身盤連接至電腦116的情況，以及USB隨身盤200的識別碼告知資訊安全服務(wù)器102。接著，資訊安全服務(wù)器102便會向AD服務(wù)器104確認(rèn)電腦116是否屬于公司內(nèi)部管控的電腦。

承上述，一但確認(rèn)為是，資訊安全服務(wù)器102就會轉(zhuǎn)而向數(shù)據(jù)庫106確認(rèn)USB隨身盤200的識別碼，以判斷此識別碼是否屬于管理者事先通過控制臺108輸入至數(shù)據(jù)庫106的內(nèi)部管控識別碼。若又確認(rèn)為是，那么資訊安全服務(wù)器102就會向數(shù)據(jù)庫106取得對應(yīng)于USB隨身盤200的識別碼的數(shù)據(jù)存取權(quán)限，并將此數(shù)據(jù)存取權(quán)限告知電腦116。如此一來，電腦116中的資訊安全管理軟件的代理程序，便可根據(jù)USB隨身盤200的識別碼的數(shù)據(jù)存取權(quán)限，來管控電腦116與USB隨身盤200之間的數(shù)據(jù)存取行為。

接著將繼續(xù)說明第二種方式，請?jiān)賲⒄請D1及圖2。當(dāng)有員工將USB隨身盤200連接至圖1中的任一電腦，例如連接至電腦116時(shí)，電腦116中的資訊安全管理軟件的代理程序，就會去取得USB隨身盤200的隱藏空間202-1內(nèi)的識別碼，并將取得的辨識碼與電腦116事先儲存的公司內(nèi)部所有的管控識別碼來做比對。這些管控識別碼可由管理者事先通過控制臺108來對數(shù)據(jù)庫106進(jìn)行設(shè)定，并于設(shè)定這些管控識別碼的同時(shí)給定每一管控識別碼對應(yīng)的數(shù)據(jù)存取權(quán)限，進(jìn)而讓資訊安全服務(wù)器102可于設(shè)定完畢后將這些管控識別碼及每一管控識別碼對應(yīng)的數(shù)據(jù)存取權(quán)限部署至電腦112、114、116、118及120。

因此，在代理程序取得識別碼之后，一但代理程序判斷所取得的識別碼是屬于公司內(nèi)部管控識別碼的其中之一時(shí)，代理程序就會依照此識別碼對應(yīng)的數(shù)據(jù)存取權(quán)限來管控電腦116與USB隨身盤200之間的數(shù)據(jù)存取行為。反之，若代理程序判斷所取得的識別碼并不屬于公司內(nèi)部管控識別碼時(shí)，代理程序就會限制電腦116與USB隨身盤200之間的數(shù)據(jù)存取行為。而此處所指的限制，例如是禁止電腦116將檔案儲存至USB隨身盤200，但電腦116仍可讀取儲存在USB隨身盤200中的檔案。