[发明专利]一种基于硬件控制逻辑的数据转发控制方法及系统

说明书

本发明公开一种基于硬件控制逻辑的数据转发控制方法及相应的数据转发控制系统，该方法包括：将终端防护设备外接于被保护主机上，并将被保护主机的全部数据接口进行接管；当有外部设备通过终端防护设备与被保护主机进行数据交互时，终端防护设备内部的硬件控制逻辑控制对应数据转发的物理线路连通和/或断开，以控制数据在外部设备与被保护主机之间交互。本发明无需在被保护主机上安装数据监控和安全防护软件即可达到对各类型的数据进行控制和安全防护的功能，通过硬件控制逻辑实现物理线路的隔离，更好的实现数据转发安全控制的效果，进而全面解决了由各个接口可能产生的病毒木马植入以及恶意代码注入等安全隐患。

技术领域

本发明属于计算机安全技术领域，尤其涉及一种基于硬件控制逻辑的数据转发控制方法及相应的数据转发控制系统。

背景技术

近些年，计算机及网络技术获得高速发展，从而大大促进了网络的普及，当人们日益享受着网络带来的便利同时，也为生产/生活中人们所使用的计算机中的数据安全带来了新的威胁，例如常见的有恶意代码入侵、病毒/木马感染、流量攻击、黑客窃取、非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒和中间人窃听等等。

解决内网计算机网络数据安全问题的技术手段已有很多，例如在主机中安装和使用黑/白名单、流量控制软件、防火墙、防病毒、入侵检测系统等网络安全产品，但采取上述措施后各种网络安全事件仍频频发生。据统计，计算机犯罪的70％是由内部人员非法使用主机等关键资源造成的，真正来自外部的威胁只有30％，内部人员在使用主机时缺乏安全意识，又位于防火墙后端，接入各种外部设备不规范，被植入病毒或者木马后门，从而导致数据泄露、病毒感染、系统崩溃甚至网络瘫痪，同时，系统的误操作或者蓄意的破坏，也会对机关、企事业单位等造成恶劣的影响甚至重大损失。

同时，对于某些特殊设备，如配备有特殊软件控制的主机，某些工业领域的工程师站/工作员站的设备，这些主机/设备往往由于系统特殊性，市面上没有此类系统适配的数据控制软件和安全防护软件，或是由于数据控制软件或安全类软件容易导致主机原有软件出现兼容性问题，甚至性能受到影响。另外这些工程师站/工作员站的主机上线后基本不会对操作系统进行升级，即使安装流量监控及安全类软件后也往往不及时更新防恶意代码软件版本和恶意代码库，起不到全面的数据流量控制和安全防护作用。

发明内容

基于此，本发明提供一种解决上述问题的一种基于硬件控制逻辑的数据转发控制方法及系统，以实现对被保护主机的各个接口的接管，确保使用被保护主机的USB接口或串口设备必须通过外接式的终端防护设备完成，从而无需在被保护主机上安装安全防护软件即可到达对被保护主机USB接口或串口进行数据控制和安全防护的目的。

第一方面，本申请提供一种基于硬件控制逻辑的数据转发控制方法，包括：将终端防护设备外接于被保护主机上，并将被保护主机的全部数据接口进行接管；当有外部设备通过终端防护设备与被保护主机进行数据交互时，终端防护设备内部的硬件控制逻辑控制对应数据转发的物理线路连通和/或断开，以控制数据在外部设备与被保护主机之间交互。

可选地，所述将被保护主机的全部数据接口进行接管，进一步为将被保护主机的全部数据接口分别与终端防护设备上的多个对内接口按照接口类型对应一一连接。

可选地，所述硬件控制逻辑通过连通所述终端防护设备内部的对外接口与系统控制模块之间的物理线路，通过系统控制模块对外部设备进行安全鉴权，确认所述外部设备是否为许可接入设备。

可选地，当所述通过系统控制模块对外部设备进行安全鉴权后，确认所述外部设备不是许可接入设备时，所述硬件控制逻辑断开所述外部设备接入的对外接口与其他接口的物理线路的状态，从而对所述外部设备接入后的数据传输进行过滤禁止；和/或当所述系统控制模块外部设备进行安全鉴权后，确认所述外部设备为许可接入设备时，所述硬件控制逻辑连通所述外部设备接入的对外接口与被保护主机接入的对内接口之间的物理线路，从而实现外部设备与被保护主机之间数据转发。