一種終端設備的安全管理方法，包括以下步驟：1、安全模塊讀取外設存儲設備的身份認證信息；2、讀取到的信息與存儲的信息進行比對，判斷執行下一步或發送關閉計算機指令；3、將硬盤第一主引導記錄所在扇區的信息存儲到未使用的扇區，并將所在扇區的內容修改為第二主引導記錄；4、加載第二主引導記錄中的索引信息，BIOS系統跳轉到存儲第一引導記錄的地址扇區，加載執行其中內容；5、安全模塊進行加解密操作；6、安全模塊記錄硬盤讀寫和接入日志，在異常發生時發出告警信息。實現了單個終端計算機硬盤數據的保護，對數量較大的計算機終端實現自動化安全管理，及時發出告警信息，提高了終端計算機的存儲數據的安全性，社會和經濟效益顯著。

技術領域

本發明涉及信息安全領域，具體涉及一種終端設備的安全管理方法。

背景技術

隨著互聯網在各個領域的不斷發展，眾多行業的正常運轉對計算機的依賴程度日益增加，大多機密文件都保存在計算機內，隨之而來的是關于機密文件的安全問題，許多單位的涉密計算機或其他涉密終端，通常采取物理隔離（如封閉網口、USB口）等手段來防止涉密數據被竊取來進行設備的安全管理，但當內部出現泄密者對敏感數據進行竊取時，管理者很難及時發現，且當涉密計算機數量較多時，安全管理難度進一步增大，因此，如何避免內部泄密者對數據竊取時進行及時預警，至今未見公開報導。

發明內容

針對上述情況，為克服現有技術之缺陷，本發明之目的就是提供一種終端設備的安全管理方法，可有效解決現有技術無法對內部泄密者竊取數據時進行及時預警的問題。

為實現上述目的，本發明解決的技術方案是，一種終端設備的安全管理方法，包括以下步驟：

（1）、讀取信息：由安全模塊讀取外設存儲設備的身份認證信息；

（2）、信息比對：將讀取到的身份認證信息與固件中存儲的認證信息進行比對，根據比對結果判斷執行下一步或發送關閉計算機指令；

（3）、信息存儲與修改：將硬盤的第一主引導記錄所在扇區的信息內容存儲到未使用的扇區，并將所在扇區的內容修改為第二主引導記錄；

（4）、信息加載：加載第二主引導記錄中的索引信息，安全模塊開啟加解密引擎，BIOS系統跳轉到存儲第一引導記錄的地址扇區，并加載執行其中內容；

（5）、對數據加解密：將安全模塊對主板向硬盤所讀寫的數據進行加解密操作；

（6）、發送告警信息：操作系統加載成功后，安全模塊在對硬盤讀寫進行加解密的同時，記錄硬盤讀寫和主板外設的接入日志，并發送到安全網關服務器，在異常發生時發出告警信息。

本發明方法簡單，不僅實現了對單個終端計算機硬盤數據的保護，并且能對數量較大的計算機終端實現自動化的安全管理，在計算機終端有異常登錄或拷貝的情況發生時，能及時發出告警信息，提高了終端計算機的存儲數據的安全性，以及終端計算機的安全管理效率，社會和經濟效益顯著。

附圖說明

圖1是本發明流程圖。

具體實施方式

以下結合實施例和具體情況對本發明的具體實施方式作詳細說明。

一種終端設備的安全管理方法，包括以下步驟：

（1）、安裝安全模塊：計算機開機前，將安全模塊安裝到主板的PCIE插槽中，同時在用戶登錄前，在主板的USB接口插入身份驗證的UKEY，安全模塊通過PCIE總線讀取接入主板UKEY的身份認證信息；

所述安全模塊的實現形式可以是電路板卡，具體的，電路板卡包括MCU處理器、數據加解密芯片、數據接口轉換芯片等。其中，MCU處理器用于實現用戶身份的鑒權和整個數據加解密的控制、計算等操作，型號可以是STM32、BHD5等型號的單片機，也可以是其他廠家或型號的類似產品；數據加解密芯片可以是華虹BHD5-AS5安全芯片，用于實現對存儲通路的數據加解密，在加解密引擎開啟后執行數據的加解密；數據接口轉換芯片，包括與PCIE進行通信所需的CH368芯片以及與USB進行通信數據轉換的英尼碩initio3609；