本發明公開了一種基于Windows操作系統的USB設備的管控方法，其特征在于包括以下步驟：S100：設置服務器運行環境：服務器端運行https網頁服務，用以提供與客戶端通信的操作接口；S200：在客戶端安裝主機加固軟件并設置服務器的IP地址及服務器的端口號，驗證客戶端和服務器端之間網絡連接正常，其中，所述主機加固軟件包括IoAttachDeviceToDeviceStack函數及IoGetCurrentIrpStackLocation函數；S300：服務器端將預先設置的可信任USB設備的白名單發送至客戶端；S400：客戶端根據所述白名單識別外接USB設備，對所述白名單中未包含的USB設備進行相應操作。

技術領域

本發明屬于數據及網絡安全領域，涉及一種基于Windows操作系統的USB設備的管控方法。

背景技術

隨著全球信息化進程不斷推進，數據及網絡安全問題已經成為抑制全球信息化進程發展的重大障礙。各級政府部門及企事業單位在多年的信息化建設過程中，通過采用防火墻、入侵檢測、殺毒軟件、桌面管理系統等傳統的安全技術和手段，在網絡邊界層防范外來攻擊方面起到一定程度的安全防范作用。但隨著信息化需求的不斷增長，網絡應用的不斷擴展，現有的網絡基礎設施和信息系統安全措施逐漸暴露出了諸多問題，各類業務應用系統的運行環境依然面臨著很多安全威脅，受到攻擊時依然顯得十分脆弱、不堪一擊。主要的安全風險和潛在威脅表現為：

一、外部攻擊

面對天天變種、層出不窮的新型病毒，蠕蟲，木馬等惡意代碼的攻擊，服務器安裝的殺毒軟件無能為力；利用各種系統漏洞、應用程序漏洞進行攻擊防不勝防，服務器管理員的“補丁”永遠打不完。

二、內部破壞

面對內部的惡意攻擊和破壞，服務器上敏感信息泄密，重要數據失竊，造成的影響和損失難以估計。

三、其他問題

由于安全管理體系的缺陷，人員安全意識薄弱造成的操作失誤、設備配置不當，權限過于集中，給服務器帶來安全隱患難以控制。

由于USB設備的廣泛使用加之所攜帶電腦病毒的可能，上述安全風險和潛在威脅在主機連接USB設備的時候尤其嚴重，成為了長期存在無法根本解決的問題，究其原因是因為防火墻、殺毒軟件、入侵檢測、桌面管理系統等技術手段均屬于基礎傳統的邊緣層安全防護措施，由于其技術實現的局限性使得安全防護手段受制于病毒庫、特征庫、木馬庫等的更新滯后性，信息安全“頭痛醫頭、腳痛醫腳”的現象無法改變。而隨著信息化持續發展，數據及網絡安全需求也隨之動態發展變化，“道高一尺、魔高一丈”，安全威脅層出不窮，傳統的安全防護手段只能疲于應付，通過“圍追堵截”的被動方式實現局部分散的安全補救措施。因此，只有將傳統的被動補救方式轉變成主動防御模式，從數據及網絡安全的根本和源頭入手進行安全防護體系建設，才能從根本上扭轉被動局面，構建信息安全的主動式體系化防御體系。

現有技術中，尚無一種簡單實用、無需額外費用、無需添加額外軟硬件的、基于Windows操作系統的USB設備的管控方法。

發明內容

針對現有技術的不足，本發明提供了一種基于Windows操作系統的USB設備的管控方法，通過預先設置的可信任USB設備的白名單及windows自帶的兩個函數實現USB設備的管控。本發明申請包括以下步驟：

S100：設置服務器運行環境：服務器端運行https網頁服務，用以提供與客戶端通信的操作接口；

S200：在客戶端安裝主機加固軟件并設置服務器的IP地址及服務器的端口號，驗證客戶端和服務器端之間網絡連接正常，其中，所述主機加固軟件包括IoAttachDeviceToDeviceStack函數及IoGetCurrentIrpStackLocation函數；

S300：服務器端將預先設置的可信任USB設備的白名單發送至客戶端；