本發明公開了一種計算機USB接口信息安全防控方法，包括外接USB設備連入安全管控模塊，并由所述安全管控模塊發送連入指令至管理機；所述管理機接收所述連入指令，控制計算機攝像單元開啟，并判斷使用者是否是授權人員，若是，則通過檢測，若不是，則通過檢測模塊再次進行權限檢測；將檢測信息發送至所述管理機，由所述管理機依據所述檢測信息控制所述安全管控模塊內部開關的通斷，并將通斷信息發送至所述管理機，對計算機主機所有USB接口的訪問使用權限從物理上進行管控，同時應用智能評判手段來確定查看訪問的權限，有效防控信息安全問題，保障了計算機存儲資料的安全。

技術領域

本發明涉及電子信息安全的技術領域，尤其涉及一種計算機USB接口信息安全防控方法及系統。

背景技術

隨著計算機在日常生活工作中的應用越來越廣泛，USB接口的使用也越來越頻繁，即插即用。據統計，在所有物理接口中除了網絡適配器接口外，USB接口傳播惡意病毒程序的效率是最高的，USB協議也可被攻擊者利用進行攻擊，所以USB接口成為很多惡意程序傳播和網絡安全攻擊的載體。

通過USB攻擊的類型主要分為以下幾類：USB釣魚、HID偽裝、USB的0-day漏洞利用和基于USB的電力攻擊。USB釣魚一般通過U盤、移動硬盤、充電寶、鼠標等便攜設備通過USB接口攻擊或感染目標計算機和電子設備。HID偽裝是USB設備上的攻擊程序通過USB接口把自己偽裝成HID設備(比如鍵盤、鼠標)，從而達到控制目標系統主機的目的。USB的0-day漏洞，只要系統主機插上帶有0-day漏洞攻擊程序的USB設備就立刻被攻擊程序所控制。基于USB的電力攻擊USB Killer，當USB插入設備后會觸發電力超載，對設備造成永久性破壞。這些攻擊都具有很強的隱蔽性和傳播性，危害非常大，國際上有很多諸如2010年伊朗核電站通過USB接口受到攻擊的案例。

目前采用的USB防護措施有：(1)禁用USB接口。一般會利用物理去除或堵塞的方式禁用USB接口，在BIOS中設置禁用BIOS接口。這些做法非常有效，但是因噎廢食造成USB接口全部不能使用，也常常給工作帶來不方便。(2)利用各類防火墻、監控軟件進行USB接口安全管控。這類軟件的管控方式對USB釣魚攻擊有防范作用，對USB設備的HID偽裝攻擊和0-day漏洞攻擊沒有辦法防范。上述兩種現有防護措施都無法在滿足工作需求的條件下有效避免信息安全隱患；并且，隨著現代社會智能設備的不斷發展，應用先進前沿智能手段取代人工操作成為潮流，故此，提出一種新型手段來防控USB接口的信息安全具有重要意義。

發明內容

本部分的目的在于概述本發明的實施例的一些方面以及簡要介紹一些較佳實施例。在本部分以及本申請的說明書摘要和發明名稱中可能會做些簡化或省略以避免使本部分、說明書摘要和發明名稱的目的模糊，而這種簡化或省略不能用于限制本發明的范圍。

鑒于上述現有USB防護措施存在的問題，提出了本發明。

因此，本發明解決的技術問題是：解決現有USB防護措施無法在滿足工作需求的條件下通過應用智能評判手段來有效避免信息安全隱患的問題。

為解決上述技術問題，本發明提供如下技術方案：一種計算機USB接口信息安全防控方法，包括外接USB設備連入安全管控模塊，并由所述安全管控模塊發送連入指令至管理機；所述管理機接收所述連入指令，控制計算機攝像單元開啟，并判斷使用者是否是授權人員，若是，則通過檢測，若不是，則通過檢測模塊再次進行權限檢測；將檢測信息發送至所述管理機，由所述管理機依據所述檢測信息控制所述安全管控模塊內部開關的通斷，并將通斷信息發送至所述管理機。

作為本發明所述的計算機USB接口信息安全防控方法的一種優選方案，其中：判斷所述使用者是否是授權人員包括所述攝像單元掃描所述使用者，并截圖發送至面部識別單元；所述面部識別單元掃描所述截圖，并識別所述使用者；將識別出的所述使用者與授權人員數據庫相對比，判斷所述使用者是否是授權人員。