程标识,就将该对象进程确定为例外进程,即该对象进程可以在终端上执行而不被拦截。
[0041]105、放行所述例外进程的操作,并对非例外进程进行拦截。
[0042]终端在识别到移动存储设备内有对象进程执行时,就会以104的判断为依据,对确定为例外进程的对象进程执行放行的操作,允许该对象进程继续执行,而对于不是例外进程的对象进程将会进行拦截,阻止其继续执行。
[0043]本发明实施例所提供的移动存储设备的管理方法及客户端,通过对移动存储设备中的对象进程进行识别,并在客户端内的例外进程列表中查找比对,当该进程的进程标识存在时,就认为该进程为例外进程,可以允许该进程继续运行,而不被安全终端所拦截。与现有技术相比,采用本方案的终端设备不仅可以通过客户端对普通U盘进行安全管理,还可以对安全U盘进行管理,尤其是对于安全U盘的管理还能够保留安全U盘中的安全管理功能,并且是由用户自主进行有选择的保留安全U盘中的安全管理功能,避免了安全U盘接入安全终端后,其自带安全管理工具无法正常使用的问题。
[0044]基于上述图1的移动存储设备的管理方法,在具体实现的操作中,本发明实施例还提供一种移动存储设备的管理方法,如图2所示,具体步骤为:
[0045]201、根据提供的例外进程列表的设置页面,对例外进程进行登记。
[0046]关于例外进程列表的内容可参考上述103中的相关描述,此处不再赘述。
[0047]其中,由终端上的移动存储设备安全管理应用提供用于设置例外进程列表的页面,该应用具体的展示方式可以是通过Web页面的方式,也可以是通过客户端页面的方式进行显示。利用Web页面展示的好处在于其通用性高,可以直接在浏览器上显示具体的页面并进行操作,因此,使该应用的安装文件较小,安装过程简单;而使用客户端的方式相对于Web页面则可以相对独立的运行,还可以制作出较为复杂的展示页面,因此,其应用的运行稳定性和效率更高,对于具体的展示方式,本发明实施例不做限定。
[0048]对于例外进程的设置页面,能够显示移动存储设备的基本信息,以U盘为例,设置页面上会显示该U盘的类型(普通U盘或是安全U盘)、u盘的名称、存储空间的容量、可用空间的容量等。终端在获取到移动存储设备的基本信息后,通过该设置页面展示给终端的用户,以便用户确定所接入的设备为需要进行管理的移动存储设备。此外,在设置页面中,还提供有通用类功能的禁用选项,如图3所示,通用类功能就是指移动存储设备所共同拥有的功能,而不区分其类型是不是自带安全管理工具的移动存储设备,通用类功能一般包括:访问、修改、复制、删除、移动等功能。终端会根据用户的选择结果对移动存储设备的通用类功能进行禁用,例如,当用户页面上选择中一个U盘的访问功能后,这个U盘在接入该终端时,终端用户就不能查看该U盘中的数据内容而只能写入数据内容。
[0049]在例外进程列表的设置页面中,最主要的内容就在于对例外进程进行登记。其中,登记例外进程是指在设置页面提供的例外进程列表中进行进程标识的添加、修改、删除等操作。用户可以添加新的进程标识到该列表中,那么该进程标识所对应的进程就成为了例外进程,用户也可以对现有列表中的进程标识进行删除,删除后该进程标识所对应的进程就成为了普通进程,终端在扫描到该进程时就会对该进程进行拦截处理。在对例外进程进行登记时,终端需要首先获取移动终端设备中所有对象进程的进程标识,并将其显示在设置页面的例外进程列表中,再由用户进行选择确认,最后保留用户选中的进程标识作为例外进程标识,由此完成例外进程的登记流程。
[0050]由于进程标识的内容包括有进程的名称,MD5值等信息,因此,用户可以通过不同的进程标识内容来区分该进程标识所对应的进程,通过名称进行选择最为方便,但是由于进程的名称可以修改,因此该方式所选择的例外进程可能不唯一;相对于选择进程名称,MD5值是通过计算得到的进程标识,其与进程的对应关系也相对唯一,因此,采用此方式设置例外进程列表是可以准确对应到对象进程,并对该进程的执行状态加以控制的。
[0051]除了上述的两种登记例外进程的方式,终端还可以通过从注册表中查找例外进程的进程路径,将该进程路径下所有进程的进程标识添加到例外进程列表中。该方式可以快速、批量的导入例外进程的进程标识,可以大量减少重复性工作,因此,这种方式适合用于批量创建例外进程列表的情况,先导入所有例外进程的进程标识,再根据个别列表的具体需求进程调整。
[0052]202、检测是否有移动存储设备接入。
[0053]对移动存储设备的接入检测的具体方式可以参考101中的具体描述,此处不再赘述。
[0054]需要说明的是,在本发明实施例中,在例外进程列表的设置中,可以针对于指定的移动存储设备进行特定的例外进程登记。也就是说,终端对接入的不同移动存储终端分别进行例外进程的设置,这样就可以根据移动存储终端的需求等级进行分类控制。
[0055]203、若有移动存储设备接入,则对所述移动存储设备中的对象进程进行识别,获得对象进程的进程标识。
[0056]移动存储设备在接入终端后,有些具有数据保护功能的移动存储设备(如安全U盘)会自动启动一些安全工具对其内部的数据进行保护,相对应的就会在接入的终端上产生进程文件,此时,终端也会对由移动存储设备上产生的对象进程进行识别、检查,以判断该对象进程是否符合终端的安全要求。为此,终端会先获取该对象进程的进程标识。对于一个进程,一般存在有三种基本状态,即就绪状态、运行状态和阻塞状态。就绪状态(Ready):进程已获得除处理器外的所需资源,等待分配处理器资源(只要分配了处理器进程就可执行);运行状态(Running):进程占用处理器资源开始执行(处于此状态的进程的数目小于等于处理器的数目);阻塞状态(Blocked):由于进程等待某种条件(如I/O操作或进程同步),在条件满足之前无法继续执行。就本方面实施例来说,终端是在对象进程处在就绪状态前,即进程在向处理器申请所需资源时获取该对象进程的进程标识。
[0057]204、在预设的例外进程列表中查找所述对象进程的进程标识。
[0058]其中,对于预设例外进程列表的描述可参考上述201中关于例外进程列表的页面设置的相关内容,而在例外进程列表中查找对象进程的进程标识可参考上述103中的相关描述,此处不再赘述。
[0059]205、若查找到所述对象进程的进程标识,则将所述对象进程确定为例外进程。
[0060]对于移动存储设备上所产生的对象进程所对应的功能主要是对移动存储设备内的数据内容进行安全保护,包括有:授权管理、数据透明加解密、清除使用记录、违规外联阻断、安全审计、硬件信息设置及保护设置等功能。其中,授权管理是具有登陆认证和计算机终端使用认证的功能;数据透明加解密是通过采用专用智能控制与存储芯片,以及软硬件相结合的数据加密技术,将数据在写入与读出过程中实时进行加解密处理,并以密文形式存储在U盘上,该功能可有效的阻止非法用户对移动存储设备硬件的物理拆分解读;清除使用记录就是可以对移动存储设备当前的使用记录进行自动清除;违规外联阻断可以自动检测设备当前的网络状态,当设备处于外网环境时,可以自动切断网络并向监控服务器报警,而在退出时可恢复用户网络,该功能可以有效地防止数据的泄漏;安全审计是对移动存储设备的日志审计系统,并且该日志信息对用户不可见,用户进入加密盘的操作记录都被实时地记录下来,审计员可对该设备的日志进行查询,该功能能够有效防止用户失泄密事件的发生;硬件信息设置功能可以定制移动存储设备的硬件识别信息,包括该设备的密级、部门、编号、使用者等都可以自主设置,且用户无权更改;保护设置功能可以自主设置移动存储设备登录密码的错误尝试次数和该设备加密区无操作等待的时间。
[0061]对于上述的移动存储设备本身所带有的安全工具所生成对象进程,都可以根据终端的需要将其设置为例外进程,以起到终端与移动存储设备共同对该设备内的数据内容保护的目的。
[0062]206、放行所述例外进程的操作,并对非例外进程进行拦截。
[0063]其中,对非例外进程进行拦截是通过在驱动层进行对进程的拦截操作,这样做的好处是不会影响终端用户的操作连续性,并且保证了拦截的有效性。
[0064]207、记录移动存储设备的操作日志,并向服务器上报操作日志。
[0065]终端通过对移动存储设备在本地上的操作进行记录生成操作日志,可以记录下移动存储设备在该终端上所进行的具体操作以及终端对移动存储设备中产生的进程的处理结果。同时,终端还能够将该日志上报给服务器,由服务器统计在本地局域网内该移动存储设备的使用路径以及使用情况,可以记录该移动存储设备在什么时间接入到哪个终端,并进行了什么操作,通过这种跟踪记录可以进一步防止该移动存储设备内的数据内容泄露的风险。
[0066]作为对上述移动存储设备的管理方法的实现,本发明实施例还提供了一种客户端,如图