[发明专利]一种终端设备的安全管理方法

说明书

一种终端设备的安全管理方法，包括以下步骤：1、安全模块读取外设存储设备的身份认证信息；2、读取到的信息与存储的信息进行比对，判断执行下一步或发送关闭计算机指令；3、将硬盘第一主引导记录所在扇区的信息存储到未使用的扇区，并将所在扇区的内容修改为第二主引导记录；4、加载第二主引导记录中的索引信息，BIOS系统跳转到存储第一引导记录的地址扇区，加载执行其中内容；5、安全模块进行加解密操作；6、安全模块记录硬盘读写和接入日志，在异常发生时发出告警信息。实现了单个终端计算机硬盘数据的保护，对数量较大的计算机终端实现自动化安全管理，及时发出告警信息，提高了终端计算机的存储数据的安全性，社会和经济效益显著。

技术领域

本发明涉及信息安全领域，具体涉及一种终端设备的安全管理方法。

背景技术

随着互联网在各个领域的不断发展，众多行业的正常运转对计算机的依赖程度日益增加，大多机密文件都保存在计算机内，随之而来的是关于机密文件的安全问题，许多单位的涉密计算机或其他涉密终端，通常采取物理隔离（如封闭网口、USB口）等手段来防止涉密数据被窃取来进行设备的安全管理，但当内部出现泄密者对敏感数据进行窃取时，管理者很难及时发现，且当涉密计算机数量较多时，安全管理难度进一步增大，因此，如何避免内部泄密者对数据窃取时进行及时预警，至今未见公开报导。

发明内容

针对上述情况，为克服现有技术之缺陷，本发明之目的就是提供一种终端设备的安全管理方法，可有效解决现有技术无法对内部泄密者窃取数据时进行及时预警的问题。

为实现上述目的，本发明解决的技术方案是，一种终端设备的安全管理方法，包括以下步骤：

（1）、读取信息：由安全模块读取外设存储设备的身份认证信息；

（2）、信息比对：将读取到的身份认证信息与固件中存储的认证信息进行比对，根据比对结果判断执行下一步或发送关闭计算机指令；

（3）、信息存储与修改：将硬盘的第一主引导记录所在扇区的信息内容存储到未使用的扇区，并将所在扇区的内容修改为第二主引导记录；

（4）、信息加载：加载第二主引导记录中的索引信息，安全模块开启加解密引擎，BIOS系统跳转到存储第一引导记录的地址扇区，并加载执行其中内容；

（5）、对数据加解密：将安全模块对主板向硬盘所读写的数据进行加解密操作；

（6）、发送告警信息：操作系统加载成功后，安全模块在对硬盘读写进行加解密的同时，记录硬盘读写和主板外设的接入日志，并发送到安全网关服务器，在异常发生时发出告警信息。

本发明方法简单，不仅实现了对单个终端计算机硬盘数据的保护，并且能对数量较大的计算机终端实现自动化的安全管理，在计算机终端有异常登录或拷贝的情况发生时，能及时发出告警信息，提高了终端计算机的存储数据的安全性，以及终端计算机的安全管理效率，社会和经济效益显著。

附图说明

图1是本发明流程图。

具体实施方式

以下结合实施例和具体情况对本发明的具体实施方式作详细说明。

一种终端设备的安全管理方法，包括以下步骤：

（1）、安装安全模块：计算机开机前，将安全模块安装到主板的PCIE插槽中，同时在用户登录前，在主板的USB接口插入身份验证的UKEY，安全模块通过PCIE总线读取接入主板UKEY的身份认证信息；

所述安全模块的实现形式可以是电路板卡，具体的，电路板卡包括MCU处理器、数据加解密芯片、数据接口转换芯片等。其中，MCU处理器用于实现用户身份的鉴权和整个数据加解密的控制、计算等操作，型号可以是STM32、BHD5等型号的单片机，也可以是其他厂家或型号的类似产品；数据加解密芯片可以是华虹BHD5-AS5安全芯片，用于实现对存储通路的数据加解密，在加解密引擎开启后执行数据的加解密；数据接口转换芯片，包括与PCIE进行通信所需的CH368芯片以及与USB进行通信数据转换的英尼硕initio3609；