本發明涉及計算機外圍設備的管控方法及系統，管控方法的實現流程包括：步驟S1：系統內核對外圍設備進行初始化注冊，同時向用戶層空間發出uevent事件；步驟S2：用戶層空間獲取外圍設備信息；步驟S3：判斷外圍設備是否屬于管控范疇，是則執行步驟S4?步驟S6，否則結束；步驟S4：根據外圍設備信息檢索管控策略表并進行仲裁運算，得到該外圍設備的仲裁結果；步驟S5：若仲裁結果是禁止，則結束，若仲裁結果是放行，則執行步驟步驟S6；步驟S6：判斷外圍設備是否具有存儲功能，若不具備，則結束，若具備，則監控外圍設備的訪問權限。本發明管控方式靈活、管控成本低、管控粒度細。

技術領域

本發明涉及數據安全技術領域，具體涉及一種計算機外圍設備的管控方法及系統。

背景技術

計算機外圍設備為用戶與計算機的數據交互帶來了極大的便利性，但同時也給一些特殊單位(軍政、研究所、涉密企業和團體)帶來了一定的安全隱患。據中國國家計算機病毒處理中心CVERC在2016年發布的第15次全國網絡安全狀況暨計算機調查分析報告統計，目前33.46％的信息泄露事件是由內部人員以外設作為載體進行盜竊造成的。而美國CSI/FBI也連續5年在計算機犯罪與安全調查報告中表明，超過85％的安全威脅來自于企業內部，而非病毒與黑客攻擊。所以，針對計算機外圍設備的管控研究則顯得尤為迫切和重要。

國產平臺外圍設備管控系統及其管控方法(專利號CN?104598401?A)涉及一種國產平臺外圍設備管控系統及其管控方法，如圖1所示，包含管控中心及管控代理。管控中心進行外圍設備注冊以建立被管計算機外圍設備白名單，并建立與之對應的外圍設備管控策略，并將外圍設備白名單及管控策略傳送至管控代理；管控代理依據管控中心發送的白名單及管控策略實施與之對應的外圍設備管控操作，并實時與管控中心進行外圍設備管控策略和白名單的信息同步。

該技術確保了只有提前完成注冊的合法外圍設備才能在特定管控域內使用，降低了外圍設備濫用所造成的信息泄露隱患，但存在以下幾方面的不足：

1、手動注冊方式機械，后期管理代價高

具體表現：(1)計算機外圍設備種類較多，針對某類設備實際使用的數量多少不一，在管控域中可使用的合法設備均需提前手動注冊，注冊方式機械、注冊效率低，若管控系統大規模部署，注冊設備信息工作量大；(2)每當有新設備添加使用時，該管控系統后續均需專門安全管理員進行外圍設備的注冊管理與相關維護，管控代價高。

2、管控方式不夠靈活

具體表現：管控策略庫中以白名單方式為外圍設備進行合法信息記錄，白名單以外的外圍設備均視為非法設備，禁止使用。此種方式做到了同類不同個體的管控區分，但忽略了用戶針對某一類設備全部放行或是全部禁用的需求，并且在管控過程中未能支持手動管控和自動管控并存方式的應用情景。

3、管控粒度粗

具體表現：管控過程中對被管控設備未進行細粒度(非存儲類設備：打印機、掃描儀、鍵盤、鼠標等；存儲類設備：刻錄光驅、U盤、移動硬盤、讀卡器等)區分，僅以設備硬件屬性標識與注冊信息進行比對，作為放行與禁用的依據。同時，在設備管控后未對存儲類設備用戶的訪問權限進行細粒度(安全、寬松、嚴格訪問權限)管控與校驗，默認放行后系統用戶均可最大權限訪問該設備。

4、管控代理端缺乏自主性

具體表現：管控代理端無本地管控命令，所執行管控操作均受管控中心指令或是管控策略支配，一旦中心與代理端網絡異常，代理端將無法自主支配。

因此，有必要提供一種新的計算機外圍設備的管控方法。

發明內容

為解決現有技術存在的不足，本發明提供了一種計算機外圍設備的管控方法，包括：

步驟S1：系統內核對外圍設備進行初始化注冊，同時向用戶層空間發出uevent事件；