CN111597520B - 一种计算机usb接口信息安全防控方法及系统 - Google Patents

Abstract

本发明公开了一种计算机USB接口信息安全防控方法，包括外接USB设备连入安全管控模块，并由所述安全管控模块发送连入指令至管理机；所述管理机接收所述连入指令，控制计算机摄像单元开启，并判断使用者是否是授权人员，若是，则通过检测，若不是，则通过检测模块再次进行权限检测；将检测信息发送至所述管理机，由所述管理机依据所述检测信息控制所述安全管控模块内部开关的通断，并将通断信息发送至所述管理机，对计算机主机所有USB接口的访问使用权限从物理上进行管控，同时应用智能评判手段来确定查看访问的权限，有效防控信息安全问题，保障了计算机存储资料的安全。

Description

一种计算机USB接口信息安全防控方法及系统

技术领域

本发明涉及电子信息安全的技术领域，尤其涉及一种计算机USB接口信息安全防控方法及系统。

背景技术

随着计算机在日常生活工作中的应用越来越广泛，USB接口的使用也越来越频繁，即插即用。据统计，在所有物理接口中除了网络适配器接口外，USB接口传播恶意病毒程序的效率是最高的，USB协议也可被攻击者利用进行攻击，所以USB接口成为很多恶意程序传播和网络安全攻击的载体。

通过USB攻击的类型主要分为以下几类：USB钓鱼、HID伪装、USB的0-day漏洞利用和基于USB的电力攻击。USB钓鱼一般通过U盘、移动硬盘、充电宝、鼠标等便携设备通过USB接口攻击或感染目标计算机和电子设备。HID伪装是USB设备上的攻击程序通过USB接口把自己伪装成HID设备(比如键盘、鼠标)，从而达到控制目标系统主机的目的。USB的0-day漏洞，只要系统主机插上带有0-day漏洞攻击程序的USB设备就立刻被攻击程序所控制。基于USB的电力攻击USB Killer，当USB插入设备后会触发电力超载，对设备造成永久性破坏。这些攻击都具有很强的隐蔽性和传播性，危害非常大，国际上有很多诸如2010年伊朗核电站通过USB接口受到攻击的案例。

目前采用的USB防护措施有：(1)禁用USB接口。一般会利用物理去除或堵塞的方式禁用USB接口，在BIOS中设置禁用BIOS接口。这些做法非常有效，但是因噎废食造成USB接口全部不能使用，也常常给工作带来不方便。(2)利用各类防火墙、监控软件进行USB接口安全管控。这类软件的管控方式对USB钓鱼攻击有防范作用，对USB设备的HID伪装攻击和0-day漏洞攻击没有办法防范。上述两种现有防护措施都无法在满足工作需求的条件下有效避免信息安全隐患；并且，随着现代社会智能设备的不断发展，应用先进前沿智能手段取代人工操作成为潮流，故此，提出一种新型手段来防控USB接口的信息安全具有重要意义。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述现有USB防护措施存在的问题，提出了本发明。

因此，本发明解决的技术问题是：解决现有USB防护措施无法在满足工作需求的条件下通过应用智能评判手段来有效避免信息安全隐患的问题。

为解决上述技术问题，本发明提供如下技术方案：一种计算机USB接口信息安全防控方法，包括外接USB设备连入安全管控模块，并由所述安全管控模块发送连入指令至管理机；所述管理机接收所述连入指令，控制计算机摄像单元开启，并判断使用者是否是授权人员，若是，则通过检测，若不是，则通过检测模块再次进行权限检测；将检测信息发送至所述管理机，由所述管理机依据所述检测信息控制所述安全管控模块内部开关的通断，并将通断信息发送至所述管理机。

作为本发明所述的计算机USB接口信息安全防控方法的一种优选方案，其中：判断所述使用者是否是授权人员包括所述摄像单元扫描所述使用者，并截图发送至面部识别单元；所述面部识别单元扫描所述截图，并识别所述使用者；将识别出的所述使用者与授权人员数据库相对比，判断所述使用者是否是授权人员。

作为本发明所述的计算机USB接口信息安全防控方法的一种优选方案，其中：若判断出所述使用者为授权人员通过检测后，实时追踪记录所述使用者查阅的资料。

作为本发明所述的计算机USB接口信息安全防控方法的一种优选方案，其中：若所述使用者不是授权人员，则通过所述检测模块再次进行权限检测包括所述检测模块启用情绪检测单元进行所述使用者的情绪检测；判断所述使用者的情绪是否出现异常，若出现异常，则关闭所有资料的查看权限，并将所述使用者的截图发送至管理者终端处，若未出现异常，则通过检测，允许查看非机密资料。

作为本发明所述的计算机USB接口信息安全防控方法的一种优选方案，其中：在所述检测模块启用所述情绪检测单元进行所述使用者的情绪检测前，关闭机密资料的查看权限。

作为本发明所述的计算机USB接口信息安全防控方法的一种优选方案，其中：若所述使用者的情绪检测未出现异常通过检测后，所述情绪检测单元实时检测所述使用者的情绪变化，并实时判断所述使用者的情绪是否出现异常。

作为本发明所述的计算机USB接口信息安全防控方法的一种优选方案，其中：所述摄像单元扫描所述使用者截图后记录存储所述截图。

作为本发明所述的计算机USB接口信息安全防控方法的一种优选方案，其中：在所述安全管控模块上未连入所述外接USB设备时，所述安全管控模块内部配置的物理开关默认处于断开状态。

为解决上述技术问题，本发明还提供如下技术方案：一种计算机USB接口信息安全防控系统，包括安全管控模块，与管理机无线连接进行通信，并按照管理机的控制指令切断或接通USB接口的电源线；管理机，用于对所有所述安全管控模块进行管理，根据用户需求控制各所述USB接口的通断，提供权限管理、界面展示、实时告警和查询历史的功能，并在必要时发送通知短信给用户；检测模块，用于在检测出使用者非授权人员时再次进行权限检测。

作为本发明所述的计算机USB接口信息安全防控系统的一种优选方案，其中：所述检测模块包括情绪检测单元，用于对所述使用者的情绪进行检测；判断单元，依据所述情绪检测单元检测出的信息判断所述使用者的情绪是否出现异常；控制单元，用于控制资料的查看与关闭。

本发明的有益效果：本发明提出一种计算机USB接口信息安全防控方法，对计算机主机所有USB接口的访问使用权限从物理上进行管控，同时应用智能评判手段来确定查看访问的权限，有效防控信息安全问题，保障了计算机存储资料的安全。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：

图1为本发明提供的图1为本发明提供的USB接口信息安全防控方法的方法流程图；

图2为本发明提供的USB接口信息安全防控系统的模块图；

图3为本发明提供的安全管控模块的工作流程图；

图4为本发明提供的USB接口信息安全防控系统的系统框图；

图5为本发明提供的管理机的结构框图；

图6为本发明提供的通用管理单元的产品图；

图7为本发明提供的通信单元的产品图；

图8为本发明提供的安全管控模块的原理框图；

图9为本发明提供的无线电子锁的结构框图；

图10为本发明提供的安全管控模块的内部结构图；

图11为本发明提供的安全管控模块的硬件原理图；

图12为本发明提供的整体方案示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。

本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。

同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1

目前计算机上采用的USB防护措施包括禁用USB接口和利用各类防火墙、监控软件进行USB接口安全管控，但这两种防护措施都无法在满足工作需求的条件下通过应用智能评判手段来有效避免信息安全隐患。

故此，请参阅图1、图3、图4、图8、图10～图12，为本发明提出一种计算机USB接口信息安全防控方法：一种计算机USB接口信息安全防控方法，包括：

外接USB设备连入安全管控模块100，并由安全管控模块100发送连入指令至管理机200；

管理机200接收连入指令，控制计算机摄像单元开启，并判断使用者是否是授权人员，若是，则通过检测，若不是，则通过检测模块300再次进行权限检测；

将检测信息发送至管理机200，由管理机200依据检测信息控制安全管控模块100内部开关的通断，并将通断信息发送至管理机200。

要保证USB接口完全彻底的安全防护和管控，必须使用底层硬件的方式进行安全防护和管控，仅采用软件方式进行安全防护都会存在软件漏洞而造成安全防护失败，本发明就采用硬件方式来实现USB接口的安全防护管控。

不难理解的是：本发明提出的计算机USB接口信息安全防控方法涉及到安全管控模块100、管理机200和检测模块300三个部分。

其中，安全管控模块100安装在计算机主机的USB接口上，在使用USB设备的时候将USB设备插在安全管控模块100的USB接口上，安全管控模块100的作用是在计算机主机USB接口与外接USB设备之间建立一个可控的物理隔离开关：无线电子锁，该无线电子锁可以与管理机200进行无线通信，并按照管理机200控制指令切断或接通USB接口的电源线。且如图10所示，安全管控模块100包括：安全管控微处理器(CPU)系统、双掷继电器、数据通信差分检测电路、无线通信模块等几部分。其中安全管控CPU可直接与插入的USB设备通信，用于预置权限检查，此通信过程主要读出USB设备ID及存储在其中的授权秘钥，若校验通过，则操作双掷继电器，连接USB通信线到被管控USB接口，同时差分检测电路用于检测USB口的连接状态，当USB设备被拔出时，通信线上将无数据通信，差分硬件电路的结果会通知安全管控CPU，安全管控CPU将操作继电器复位到授权状态，以便等待下次USB设备的插入。

管理机200的主要作用是对所有安全管控模块100的无线电子锁进行管理，根据用户需求控制各USB接口的通断，提供权限管理、界面展示、实时告警(如模块被插拔，时限到期)、查询历史等功能，并在必要时发送通知短信给用户。检测模块300的作用是在检测出使用者非授权人员时再次进行权限检测，通过智能手段进一步检测出使用者的查看权限，并将检测信息发送至管理机200，由管理机200依据检测信息控制安全管控模块100内部开关的通断。这样就可以把计算机系统主机的所有USB接口管控起来，外接USB设备必须按照得到相应的授权插到指定的安全管控模块100上才能使用，通过智能评判手段授予使用者不同的查看权限，达到了对计算机主机和USB接口的安全管控，保障了计算机内存储资料的安全。

需要说明的是：

①在安全管控模块100上未连入外接USB设备时，安全管控模块100内部配置的物理开关默认处于断开状态，将USB公口与USB母口的连接断开，保证在没有得到许可前有USB设备接入时也无法与监控系统主机进行连接，提高了安全性；

②在安全管控模块100没有接到管理机200物理开关闭合的命令前，自身物理开关保持处于断开状态，此时外接USB设备不能与计算机主机进行通信，由安全管控模块100每隔一定时间间隔给管理机200发送心跳报文信息，表明自身处于正常工作状态，没有被破坏或拔掉。

其中，安全管控模块100每隔3s给管理机200发送心跳报文信息。

心跳报文用于监视机器网络存储器的运行状态。心跳报文一次发送字符串信息表示网络存储器的运行状态，以UDP广播或单播方式发送。心跳报文的发送方式和发送间间隔可由用户在网络存储器的控制界面上设定。

注意是考虑尽量减少设备信息发送的频次，周期性发送可以避免持续性的发送监频信号来判断设备在线情况，比如有没有被拔出或损坏。同时考虑插拔一次USB设备进行数据读写的最小时间，最终定的是3秒一帧为最佳。

进一步的，判断使用者是否是授权人员包括：

摄像单元扫描使用者，并截图发送至面部识别单元；

面部识别单元扫描截图，并识别使用者；

将识别出的使用者与授权人员数据库相对比，判断使用者是否是授权人员。

不难理解的是，现有的计算机系统上一般均配置有摄像单元，摄像单元收到管理机200的开启指令开启，能够对计算机前的事物进行观测。

其中，管理机200控制摄像单元扫描使用者，并截图发送至面部识别单元进行识别的程序运行方法为：

driver.get_screenshot_as_png()

driver.save_screenshot('file_path')

import pytesseract

from PIL import Image

image＝Image.open('截图.png')

code＝pytesseract.image_to_string(image)

print(code)。

面部识别单元通过pytesseract库对截图进行图像识别。识别后从图像中标定出人脸的位置和大小，提取详细的人脸特征数据，生成一个临时人脸ID，并与数据库中已有的每一个人脸ID的特征数据进行对比，如对比上已有人脸ID，则统计该人脸ID的累计跟随时间，如与已有人脸ID对比不上，则生成一个全新的人脸ID存储在数据库，同时记录该ID的详细特征数据，摄像单元扫描使用者截图后记录存储截图。

进一步的，若判断出使用者为授权人员通过检测后，实时追踪记录使用者查阅的资料，以便进行责任的精准定位。

更进一步的，若使用者不是授权人员，则通过检测模块300再次进行权限检测包括：

检测模块300启用情绪检测单元进行使用者的情绪检测；

判断使用者的情绪是否出现异常，若出现异常，则关闭所有资料的查看权限，并将使用者的截图发送至管理者终端处，若未出现异常，则通过检测，允许查看非机密资料。

当识别出使用者不是授权人员，通过检测模块300启用情绪检测单元进行使用者的情绪检测。

本发明采用Face++人脸识别的情绪识别方法，其中，情绪识别是指分析识别图片中人脸的各类情绪并返回该人脸在各类不同情绪上的置信度分数，当某种情绪的置信度分数越高，则可认为此种情绪与人脸真是情绪越接近，目前Face++能够识别愤怒、厌恶、恐惧、高兴、平静、伤心、惊喜等7类最重要的情绪。具体为：获取包含M张人脸图像的集合S；在获取到人脸向量集合S后，计算得到平均图像Ψ；计算每张图像和平均图像的差值Φ；找到M个正交的单位向量un；识别人脸。

具体的检测运行程序为：

％训练集/测试集产生

％产生图像序号的随机序列

rand_label＝randperm(M*N)；

direction_label＝repmat(1:N,1,M)；

％测试集

test_label＝rand_label(81:end)；

P_test＝pixel_value(test_label,:)’；

Tc_test＝direction_label(test_label)；

％创建LVQ网络

for i＝1:5

rate{i}＝length(find(Tc_train＝＝i))/100；

end

net＝newlvq(minmax(P_train),10,cell2mat(rate),0.01,’learnlv1’；

net.trainParam.epochs＝1000；

net.trainParam.goal＝0.001；

net.trainParam.lr＝0.1；

％人脸识别

Tc_sim＝vec2ind(T_sim)；

result＝[Tc_test；Tc_sim]。

优选的，在检测模块300启用情绪检测单元进行使用者的情绪检测前，关闭机密资料的查看权限。若使用者的情绪检测未出现异常通过检测后，情绪检测单元实时检测使用者的情绪变化，并实时判断使用者的情绪是否出现异常。

由于启用情绪检测单元进行使用者的情绪检测无法准确的进行客观的智能检测，智能作为一个先进的检测手段，故此，在检测前关闭机密资料的查看权限，防止机密资料的泄漏，进一步在智能检测权限的基础上保障了资料的安全性。并且情绪检测单元实时检测使用者的情绪变化，实时判断使用者的情绪是否出现异常，当出现异常后关闭所有资料的查看权限，并将使用者的截图发送至管理者终端处，保障了资料的安全性。

如下表1所示，为采用本发明与现有技术中利用各类防火墙、监控软件(例如采用瑞星防火墙24.00)进行USB接口安全管控的各性能对比表：

表1：性能对比表

模拟两台性能一致的计算机，上面的资料分为核心资料和普通资料。将计算机分别安装现有技术和本发明，并在一个月内由20人(10人授权，10人不授权)进行资料的查看，并且不授权的10人给出查看资料并进行额外下载的指令进行模拟窃取。由上表看出，采用现有技术能够100％连入计算机中，且不授权的10人亦可进行资料的窃取，采用本发明能够连入计算机13次，其中，有10次是由于是授权的10人，另外3次则是不授权的三人，故此可看出本发明在资料的防控上相较于现有技术具有明显优势。

本发明在监控系统主机USB接口与外接USB设备之间建立一个可控的物理隔离开关，通过管理机200控制安全管控模块100是否启用，安全管控模块100在没有启用的时候，外接的USB设备与监控系统主机之间没有物理连接而无法使用；只有得到管理机200的授权才能启用安全管控模块100，这时外接的USB设备才能与监控系统主机建立物理连接进行使用。在需要管控的监控系统主机USB接口上均安装安全管控模块100，在USB设备接入时必须得到管理机200的授权才能和监控系统主机建立物理连接而使用，这样就可以把监控系统的所有USB接口管控起来，外接USB设备必须按照授权插到指定的安全管控模块100上才能使用，从而达到对计算机或USB接口的安全管控。

实施例2

请参阅图2和图5～11，为本发明提供的一种计算机USB接口信息安全防控系统的第一个实施例：一种计算机USB接口信息安全防控系统，包括：

安全管控模块100，与管理机200无线连接进行通信，并按照管理机200的控制指令切断或接通USB接口的电源线；

管理机200，用于对所有安全管控模块100进行管理，根据用户需求控制各USB接口的通断，提供权限管理、界面展示、实时告警和查询历史的功能，并在必要时发送通知短信给用户；

检测模块300，用于在检测出使用者非授权人员时再次进行权限检测。

进一步的，检测模块300包括：

情绪检测单元，用于对使用者的情绪进行检测；

判断单元，依据情绪检测单元检测出的信息判断使用者的情绪是否出现异常；

控制单元，用于控制资料的查看与关闭。

本发明开发一个USB接口管控模块，其硬件原理图如下图10所示，主要分为CPU、ZigBee SoC芯片、一对USB公口和母口、继电器切换电路、拔出检测电路和指示灯等。其中CPU将采用ST公司STM32系列芯片、NXP公司LPC系列芯片，这些芯片的特点是基于常见的ARMCortex-M3/M4内核，内置USB主控制器及PHY，可方便地构建一个小型嵌入式USB主机，可以与U盘等USB从设备通信；ZigBee SoC芯片可选择TI CC2530或Freescale MC13224芯片，这些芯片具有低功耗和易于使用的优点，可方便地使模块具有ZigBee无线通信功能，借助标准ZigBee协议的自组网、可自愈、多跳路由、加密安全等优点组建一个稳定的无线网络；拔出检测电路可选用TI TUSB2xx系列USB调理器芯片，具有整理波形，指示连接状态的功能，或直接使用差分电路配合FPGA/CPLD完成USB连接状态检测，其主要功能是在用户拔出U盘时告知管控CPU，管控CPU此时可将继电器复位，当下次有U盘插入时，U盘仍然先与管控CPU通信；管控CPU对设备的管控状态可通过指示灯给用户一个直观指示，如当前管控模块不能被任何设备插入时显示红色，可被某一或某几个U盘插入时显示黄色，而在符合要求的U盘插入后显示绿色

参阅图8，为安全管控模块100的原理框图。安全管控模块100的电源从安装在监控系统主机的USB接口的电源VBUS取电。管理机200通过有线或无线的方式对安全管控模块100的控制器进行发送或接收信息，安全管控模块100的控制器接收管理机200的指令控制内部的开关器件控制USB公口和USB母口之间的物理连接，而且实现对外接USB设备接入的安全管控。

进一步的，管理机200包括：

通信单元，用于通信，由无线通信MCU和USB转串口芯片组成；

通信管理单元，用于运行操作系统，提供一个软件后台，实现权限管理、历史记录的功能，其上配置的外接显示器能够在本地查看告警及历史的功能。

具体的，参阅图5，为管理机200的结构框图。由通信单元和通用管理单元两部分组成。参阅图6，通用管理单元外购主流厂商机架式1U或2U管理单元(如中科腾越TGW101x等)，运行操作系统，提供一个软件后台，实现了权限管理、历史记录等功能，可外接显示器可以在本地查看告警及历史。参阅图7，通信单元由无线通信MCU和USB转串口芯片组成。其中，USB转串口芯片采用常用方案(如PL2303等)，MCU同样采用具有无线收发器的芯片，MCU之间通过串口通信，简化软件复杂度。且管理机200外接USB无线通信结构，外接吸盘天线置于机柜柜顶。

较佳的，安全管控模块100为无线电子锁。

无线电子锁的功能主要有两个：与集中管理机进行无线通信、按照控制指令切断或接通USB接口的电源线，结构框图如图9所示。

无线电子锁两头分别为一公一母，本身不参与也不影响原本的通信，仅控制电源线的通断，本身也从主机USB母座取电，内置带无线通信功能的MCU，并可通过板载天线与集中管理机作无线通信交互。

安全管控模块100包括：安全管控微处理器(CPU)系统、双掷继电器、数据通信差分检测电路、无线通信模块等几部分。其中安全管控CPU可直接与插入的USB设备通信，用于预置权限检查，此通信过程主要读出USB设备ID及存储在其中的授权秘钥，若校验通过，则操作双掷继电器，连接USB通信线到被管控USB接口，同时差分检测电路用于检测USB口的连接状态，当USB设备被拔出时，通信线上将无数据通信，差分硬件电路的结果会通知安全管控CPU，安全管控CPU将操作继电器复位到授权状态，以便等待下次USB设备的插入。

安全管控模块100的作用是在监控系统主机USB接口与外接USB设备之间建立一个可控的物理隔离开关，管理机200的主要作用是对安全管控模块100进行控制，并接收反馈信息，可同时管理多个安全管控模块100。安全管控模块100安装在监控系统主机的USB接口上，在使用USB设备的时候将USB设备插在安全管控模块100的USB接口上。通过管理机200控制安全管控模块100是否启用，安全管控模块100在没有启用的时候，外接的USB设备与监控系统主机之间没有物理连接而无法使用；只有得到管理机200的授权才能启用安全管控模块100，这时外接的USB设备才能与监控系统主机建立物理连接进行使用。在需要管控的监控系统主机USB接口上均安装安全管控模块100，在USB设备接入时必须得到管理机200的授权才能和监控系统主机建立物理连接而使用，这样就可以把监控系统的所有USB接口管控起来，外接USB设备必须按照授权插到指定的安全管控模块100上才能使用，从而达到对计算机或USB接口的安全管控。

应当认识到，本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现，其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而，若需要，该程序可以以汇编或机器语言实现。在任何情况下，该语言可以是编译或解释的语言。此外，为此目的该程序能够在编程的专用集成电路上运行。

此外，可按任何合适的顺序来执行本文描述的过程的操作，除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行，并且可作为共同地在一个或多个处理器上执行的代码(例如，可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。

进一步，所述方法可以在可操作地连接至合适的任何类型的计算平台中实现，包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现，无论是可移动的还是集成至计算平台，如硬盘、光学读取和/或写入存储介质、RAM、ROM等，使得其可由可编程计算机读取，当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外，机器可读代码，或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时，本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时，本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能，从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中，转换的数据表示物理和有形的对象，包括显示器上产生的物理和有形对象的特定视觉描绘。

如在本申请所使用的，术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体，该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如，组件可以是，但不限于是：在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例，在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中，并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外，这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如，来自一个组件的数据，该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号，以本地和/或远程过程的方式进行通信。

应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (2)

1.一种计算机USB接口信息安全防控方法，其特征在于：包括，

外接USB设备连入安全管控模块(100)，并由所述安全管控模块(100)发送连入指令至管理机(200)；

所述管理机(200)接收所述连入指令，控制计算机摄像单元开启，并判断使用者是否是授权人员，若是，则通过检测，若不是，则通过检测模块(300)再次进行权限检测；

将检测信息发送至所述管理机(200)，由所述管理机(200)依据所述检测信息控制所述安全管控模块(100)内部开关的通断，并将通断信息发送至所述管理机(200)；

判断所述使用者是否是授权人员包括，

所述摄像单元扫描所述使用者，并截图发送至面部识别单元；

所述面部识别单元扫描所述截图，并识别所述使用者；

将识别出的所述使用者与授权人员数据库相对比，判断所述使用者是否是授权人员；

若判断出所述使用者为授权人员通过检测后，实时追踪记录所述使用者查阅的资料；

若所述使用者不是授权人员，则通过所述检测模块(300)再次进行权限检测包括，

所述检测模块(300)启用情绪检测单元进行所述使用者的情绪检测；

判断所述使用者的情绪是否出现异常，若出现异常，则关闭所有资料的查看权限，并将所述使用者的截图发送至管理者终端处，若未出现异常，则通过检测，允许查看非机密资料；

在所述检测模块(300)启用所述情绪检测单元进行所述使用者的情绪检测前，关闭机密资料的查看权限；

若所述使用者的情绪检测未出现异常通过检测后，所述情绪检测单元实时检测所述使用者的情绪变化，并实时判断所述使用者的情绪是否出现异常；

所述摄像单元扫描所述使用者截图后记录存储所述截图；

在所述安全管控模块(100)上未连入所述外接USB设备时，所述安全管控模块(100)内部配置的物理开关默认处于断开状态，此时外接USB设备不能与计算机主机进行通信，由安全管控模块(100)每隔3s给管理机(200)发送心跳报文信息，表明自身处于正常工作状态。

2.一种采用如权利要求1所述的一种计算机USB接口信息安全防控方法的系统，其特征在于：包括安全管控模块、管理机和检测模块；

所述安全管控模块(100)与管理机(200)无线连接进行通信，并按照管理机(200)的控制指令切断或接通USB接口的电源线；

所述管理机(200)用于对所有所述安全管控模块(100)进行管理，根据用户需求控制各所述USB接口的通断，提供权限管理、界面展示、实时告警和查询历史的功能，并在必要时发送通知短信给用户；

所述检测模块(300)用于在检测出使用者非授权人员时再次进行权限检测；

所述检测模块(300)包括情绪检测单元、判断单元和控制单元；

所述情绪检测单元用于对所述使用者的情绪进行检测；

所述判断单元，依据所述情绪检测单元检测出的信息判断所述使用者的情绪是否出现异常；

所述控制单元用于控制资料的查看与关闭。