[发明专利]一种数据流量控制的外接式终端防护设备及防护系统

说明书

本发明公开一种数据流量控制的外接式终端防护设备及相应的防护系统，其中所述外接式终端防护设备包括：接口控制模块，用于提供多个数据接口，分别连接被保护主机及一个或多个外部设备；系统控制模块，用于实时监测所述接口控制模块中各个数据接口的数据传输状态，并对各个数据接口的数据进行流量控制。本发明无需在被保护主机上安装流量监控和安全防护软件即可达到对各类型的数据流量进行协议过滤和审计的功能，进而实现低延迟网络审计与高可靠性协议过滤的效果，全面解决了由各个接口可能产生的病毒木马植入以及流量异常等安全隐患。

技术领域

本发明属于计算机安全技术领域，尤其涉及一种数据流量控制的外接式终端防护设备及相应的防护系统。

背景技术

近些年，计算机及网络技术获得高速发展，从而大大促进了网络的普及，当人们日益享受这网络流量带来的便利的同时，也为生产/生活中人们所使用的计算机中的数据流量安全带来了新的威胁，例如常见的有流量攻击、黑客窃取、非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒和中间人窃听等等。

解决内网计算机网络流量管控和信息安全问题的技术手段已有很多，例如在主机中安装和使用流量控制软件、防火墙、防病毒、入侵检测系统等网络安全产品，但采取上述措施后各种网络安全事件仍频频发生。据统计，计算机犯罪的70％是由内部人员非法使用主机等关键资源造成的，真正来自外部的威胁只有30％，内部人员在使用主机时缺乏安全意识，又位于防火墙后端，接入各种外部设备不规范，被植入木马后门，从而导致数据流量异常甚至网络瘫痪，以及系统的误操作或者蓄意的破坏，都会对机关、企事业单位等造成恶劣的影响甚至重大损失。

同时，对于某些特殊设备，如配备有特殊软件控制的主机，某些工业领域的工程师站/工作员站的设备，这些主机/设备往往由于系统特殊性，市面上没有此类系统适配的网络流量控制软件和安全防护软件，或是由于安装流量控制软件或安全类软件容易导致主机原有软件出现兼容性问题，甚至性能受到影响。另外这些工程师站/工作员站的主机上线后基本不会对操作系统进行升级，即使安装流量监控及安全类软件后也往往不及时更新防恶意代码软件版本和恶意代码库，起不到全面的流量控制、网络数据过滤/审计和安全防护作用。

发明内容

基于此，本发明提供一种解决上述问题的一种用于数据流量控制的外接式终端防护设备及防护系统，以实现对被保护主机的各个接口的接管，确保使用被保护主机的USB接口或串口设备必须通过外接式终端防护设备完成，从而无需在被保护主机上安装安全防护软件即可到达对被保护主机USB接口或串口进行防护的目的。

第一方面，本申请提供一种用于数据流量控制的外接式终端防护设备，其包括：接口控制模块，用于提供多个数据接口分别连接被保护主机及一个或多个外部设备；系统控制板，用于实时监测所述接口控制模块中各个数据接口的数据传输状态，并对各个数据接口的数据进行流量控制。

可选地，所述用于数据流量控制的外接式终端防护设备其外接于所述被保护主机上，并将所述接口控制模块与被保护主机的各个数据接口按照类型对应连接。

可选地，所述接口控制模块的多个数据接口进一步包括对内接口、对外接口，以及转发接口；所述对内接口用于与被保护主机的各个数据接口按照接口类型对应连接；所述对外接口用于接入一个或多个外部设备，所述外部设备适于通过所述外接式终端防护设备与被保护主机进行数据交互；所述转发接口用于将各接口类型的数据流量转发给所述系统控制模块。

可选地，所述接口控制模块中进一步包含硬件控制逻辑，用于实现接口控制模块内部各个接口之间物理线路的通断。

可选地，所述系统控制模块进一步包括对外部设备的安全鉴权，以确认所述外部设备是否为许可接入设备。