信息保安的方法和设备.pdf

信息保安的方法和设备
    本发明与使信息在通信期间安全保密的方法和系统有关。

    使信息保密的方法在这领域中是众所周知的。传统的方法是加密，需保密的数据按照预定的加密方法或密钥加以处理后形成一个加密文件。对加密文件进行解码恢复原来的信息要求按照加密方法和密钥反向对加密文件进行处理。

    与WAN或LAN通信网连接的计算机很容易受到企图访问、下载密级文件加以破译的越权者或数据病毒的有害入侵。

    这种问题对于容易连同所含信息一起被窃的便携式计算机来说更为明显。

    另一个主要问题与在网上通信时保证对数据和设备的访问的安全有关。越权的网络用户可能意图透入保安系统或试图发送有害软件，如软件病毒。诸如防火墙之类的现有技术的软件并没有提供对抗这些越权意图确实保障安全的有效措施。

    另一个主要问题与保证机构的网络和计算机的安全不受病毒程序破坏有关。有一些产品当前提供对进入的通信进行在线扫描以识别诸如病毒之类的有害程序(如以色列Netanga的Finjan软件公司的Webshield，加利福尼亚Santa Clara的Mccafee公司的PCFireWall和Webscan)。可以理解，扫描在通信期间所有进入地数据和数据变化要占用大量资源，通常不能完全实时执行。

    授予David C.Reardon的美国专利No.5,434,562揭示了一种用户人工操作的开关，用来保证诸如硬盘那样的设备的安全，防止受到从网上来的越权访问。

    在计算机系统中，通常执行审计日志(auditlog)，记录系统中与安全有关的活动。在这种情况下，所记录的日志本身必需是保安的。防止以后为蒙骗审计员而加以改变形成一个伪造的记录。

    可以理解，一个确保安全的日志需要写在不能改变的媒体上。常用的方法是将日志打印到硬拷贝上。虽然硬拷贝很难改变，但是在计算机化的环境中复制、处理和通信也比较困难。

    另一种方法是将日志写到一写多读(Write Once Read Many)媒体(例如Pinnacle Micro公司的Pinnacle RCD-1000)上。可以理解，在实际上这种一写多读的数据存储措施对于普通的读写技术(如硬盘)来说无论是性能还是可靠性都比较差。此外，单为记录日志而配备一写多读装置显然不够经济。

    一些专用软件能检测出越权者或数据病毒有害侵入计算机资源的意图。在这种情况下，计算机系统必需用通常称为拯救软盘的“清洁媒体”重新启动(自导启动操作boot operation)，因为计算机的硬盘驱动器可能已被污染。这种清洁媒体通常包括可卸媒体，例如软盘或CD-ROM。

    本发明的一个目的是提供一种保证对和来自计算机站的访问安全的新颖装置。这种装置克服了现有技术的上述缺点。

    本发明的另一个目的是提供一种保证计算机化的存储单元内所含信息的安全的新颖方法。

    因此，按照本发明提供了一种保护计算机系统中的保安区的装置。计算机系统包括一个存储单元。存储单元包括一个第一存储区和一个第二存储区。

    本发明的这种装置包括：一个与第一通信网连接的第一通信接口，一个与计算机系统连接的第二通信接口，一个与存储单元连接的第一输入/输出(I/O)接口，一个与计算机系统连接的第二输入/输出(I/O)接口，以及一个通过第一和第二通信接口接在第一通信网与计算机系统之间的管理控制器，管理控制器也通过第一和第二I/O接口接在存储单元与计算机系统之间。

    管理控制器向计算机系统提供一个在至少两种模式之间的选择。在第一模式，管理控制器使计算机系统与第一存储器和第一通信网连接，而在第二模式，管理控制器使计算机系统与第二存储区连接。

    管理控制器检测任何后接有一个可以由操作计算机为用户或一个软件应用提供的按一种所选模式操作的命令的复位信号。应指出的是，这个按所选模式操作的命令也可以在复位信号前发送。

    按照本发明的一种情况，本发明的装置还可以包括一个与一个第二通信网连接的第三通信接口和一个与计算机系统连接的第四通信接口。按照这种情况，装置通过第三和第四通信接口接在第二通信网与计算机系统之间。装置可以按照所选工作模式允许或禁止第二通信网对计算机系统的访问和计算机系统对第二通信网的访问。

    按照本发明的另一种情况，本发明的装置提供当前工作模式的指示以及有关诸如告警、停机之类的各种情况的指示。装置可以相应包括一个显示单元、声响产生单元、振动产生单元等。或者，装置可以利用计算机站的多媒体能力来产生这些指示。

    本发明的装置还可以包括一个与管理控制连接、用来连接一个操作系统源单元的第一复位输入/输出接口和一个与管理控制器连接、用来连接计算机系统的第二复位输入/输出接口。管理控制单元可以允许或拒绝计算机系统对这个操作系统源单元的访问。

    操作系统源单元可以从包括磁媒体驱动器、光媒体驱动器、光电媒体驱动器、通信链路和非易失存储器的组中选定。应指出的是，非易失存储器是从包括ROM、FLASH、EPROM、EEPROM、电池支持的RAM等的组中选定的。

    按照本发明的又一种情况，提供了一种对通信控制装置进行控制的方法。该装置接在至少一个存储单元、至少一个外围设备和一个计算机系统之间，用来提供一种第一预定工作模式和至少一个其他不同的工作模式。

    这种方法包括下列步骤：

    检测一个从计算机站接收的自导启动信号；

    执行一个菜单过程；

    接收一个来自用户的按一种所选工作模式操作的指令；

    按照所选工作模式允许计算机站对至少一个存储单元的所选区域的访问；

    按照所选工作模式禁止计算机站对至少一个存储单元的非所选区域的访问；

    按照所选工作模式允许计算机站对至少一个外围设备的所选区域的访问；以及

    按照所选工作模式禁止计算机站对至少一个外围设备的非所选区域的访问。

    本发明的这种方法还可以包括下列步骤：

    接收一个来自用户的按另一种所选工作模式操作的指令；

    向计算机站提供一个重新启动的命令；

    检测一个从计算机站接收的自导启动信号；

    按照所述另一种所选工作模式允许计算机站对至少一个存储单元的所选区域的访问；

    按照所述另一种所选工作模式禁止计算机站对至少一个存储单元的非所选区域的访问；

    按照所述另一种所选工作模式允许计算机站对至少一个外围设备的所述区域的访问；以及

    按照所述另一种所选工作模式禁止计算机站对至少一个外围设备的非所选区域的访问。

    本发明的这种方法还可以包括下列步骤：

    接收一个来自用户的按另一种所选工作模式操作的指令；

    向计算机站提供一个重新启动的命令；

    检测一个从计算机站接收的自导启动信号；

    向计算机站提供一个自导启动命令；

    按照所述另一种所选工作模式允许计算机站对至少一个存储单元的所选区域的访问；

    按照所述另一种所选工作模式禁止计算机站对至少一个存储单元的非所选区域的访问；

    按照所述另一种所选工作模式允许计算机站对至少一个外围设置的所选区域的访问；以及

    按照所述另一种所选工作模式禁止计算机站对至少一个外围设备的非所选区域的访问。

    自导启动命令可以是一个硬件自导启动命令或软件自导启动命令。自导启动命令后可以对计算机的存储器进行复位。

    按照本发明的又一种情况，提供了一种对保护一个计算机系统内的保安区的装置进行控制的方法。这个计算机系统包括一个具有一个第一存储区和一个第二存储区的存储装置，而第一和第二这两个存储区各有一个原版自导启动记录(MBR)。

    所述装置包括：一个与存储装置连接的第一输入/输出(I/O)接口，一个与计算机系统连接的第二输入/输出(I/O)接口，以及一个通过第一和第二I/O接口接在存储装置与计算机系统之间的管理控制装置，其中所述装置使第一存储区接至计算机作为一个主存储单元而拒绝对第二存储区的访问，所述方法包括下列步骤：

    暂停计算机系统的运行；

    使第二存储区接至计算机作为主存储单元，而使第一存储区接至计算机作为一个次存储单元；以及

    从主存储单元启动计算机系统。

    本发明的这种方法还可以包括在暂停步骤前的检测存在越权代码的步骤，其中暂停步骤是根据检测步骤的结果执行的。

    本发明的这种方法也可以包括一个执行与所述越权代码有关的预定软件的步骤。检测存在越权代码可以包括检测越权数据访问。

    从以下结合附图所作的说明中可以更加充分地理解本发明及其意义，在这些附图中：

    图1简要地示出了按本发明一个优选实施例构成和工作的提供保安信息通信的网络；

    图2简要地示出了按本发明构成的图1中的服务器和通信控制器的情况；

    图3简要地示出了按本发明构成的图1中的一个节点及其通信控制器的情况；

    图4简要地示出了图1中所示的另一个节点的情况；

    图5简要地示出了控制通信控制器使它按本发明的另一个优选实施例工作为一个计算机提供受限的通信访问的方法；

    图6简要地示出了按本发明一个优选实施例构成和工作的计算机系统和保证计算机系统通信安全的装置；

    图7简要地示出了按本发明又一个优选实施例构成和工作的计算机系统和保证通信期间计算机系统及其环境安全的装置；

    图8简要地示出了控制图1、6和7中所示通信控制器使它按本发明又一个优选实施例工作的方法；

    图9简要地示出了图9中又一个节点的情况；

    图10简要地示出了按本发明一个优选实施例构成和工作的计算机站和通信装置；

    图11简要地示出了按本发明又一个优选实施例构成和工作的保证计算机系统通信安全的计算机系统、存储单元、通信装置和便携单元；

    图12简要地示出了按本发明又一优选实施例构成和工作的日志单元；

    图13简要地示出了控制图12的日志单元使它按本发明又一优选实施例工作的方法；

    图14简要地示出了按本发明又一优选实施例构成和工作的计算机和装置；

    图15简要地示出了控制I/O和通信控制装置使它们按照本发明另一优选实施例工作为一个计算机提供受限的数据和通信访问的方法；以及

    图16简要地示出了控制本发明的装置使它按本发明又一优选实施例工作对各含有一个原版自导启动记录的保安存储区和公开存储区进行控制的方法。

    本发明包括几个限定在一个多个计算机系统中发送和存储数据的新颖原理的情况。

    按照本发明的一种情况，保安区和公开区在物理上是公开的。因此，一个按本发明框架构建的网络系统包括至少两个通信网，其中至少有一个网规定为保安网，机密信息通常经保安区发送。在公用网和保安网之间没有直接连接。

    按照本发明的另一种情况，机密传输在物理上划分为至少两个部分，在其中至少有一个预定部分为重现原传输所必需的。这个预定部分经保安网发送，存储在保安存储区内。保安网和保安存储可以在物理上与主通信信道断开。

    按照本发明的第一实现方式，第一部分包括密级数据的一部分，而第二部分包括密级数据的一个互补部分。

    按照本发明的第二实现方式，第一部分包括呈加密形式的密级数据，而第二部分包括加密-解密软件。

    按照本发明的第三实现方式，第一部分包括呈加密形式的密级数据，而第二部分包括加密-解密密钥。

    下面参见图1，图中示出了按本发明优选实施例构成和工作、提供保安信息通信的网络1的示意图。

    网络1包括多个节点20、30、40、50、60和70，一个服务器4，一个公用网6，以及一个保安网8。所有节点20、30、40、50、60和70通过公用网6互联。

    按照本例，节点20、30、40和60还通过保安网8互联。公用网6还接至一个外部网，在本例中外部网为互联网80。

    服务器4包括中央处理单元(CPU)10、存储单元14和控制器12。控制器12可以接收来自网络6和8的传输，将它们分别写入存储单元14的不同部位。存储单元划分为至少两个区域：一个为公开区16，一个为保安区18。公开区16存有非保密信息，而保安区18存有密级信息。

    节点20是一个保安节点，能在网络6和8上发送和接收保密信息。节点20包括计算机站21、存储单元22和通信控制器28。通信控制器28与计算机站21、存储单元22、公用网6和保安网8连接。存储单元22划分为两个存储区：一个为公开存储区26，一个为保安存储区24。

    通信控制器28控制节点20的所有往来通信。通信控制器28提供公开存储区26到网络6和8的接入，但只提供保安存储区24到保安网8的接入。

    在节点20，所有与公用网6的通信都经过通信控制器28。因此，通信控制器28对计算机21与公用网6之间的所有通信进行监控。

    节点30是一个保安节点，能在网上发送和接收保密信息。节点30包括计算机站31、存储单元32和通信控制器38。通信控制器38与计算机站31、存储单元32、公用网6和保安网8连接。计算机31还与公用网6连接。存储单元32划分为两个存储两个存储区：一个为公开存储器36，一个为保安存储器34。

    通信控制器38监视所有从公用网接收的通信传输，检测是否有访问保安存储区34的意图。在检测到这种意图时，通信控制器38拒绝对保安区34的访问，并执行告警过程，向节点30的用户报警。

    节点40是一个保安节点，能在网6和8上发送和接收保密信息。节点40包括计算机站41、公开存储单元46、保安存储单元44和通信控制器48。通信控制器48与计算机站41、保安存储单元44和保安网8连接。计算机41还与公用网6和公开存储单元46连接。

    通信控制器48提供对保安存储单元44的访问。公用网6可以通过计算机41访问公开存储区46。

    节点50是一个非保安节点，具有存储单元54和计算机52，串联地接到公用网6上。节点60是一个非保安节点，具有存储单元64和计算机62，并联地接到公用网6上。

    可以看到，节点50和60只与公用网6连接，因此无权获取存储在任何保安存储区34、44、24和18内的任何保密信息。

    节点70是一个本地保安节点，具有计算机71、存储单元72和通信控制器78。存储单元72划分为两个存储区：一个为公开存储区76，一个为保密存储区74。

    通信控制器78与存储单元72、公用网6和计算机71连接。计算机71还与公用网6连接。在通信控制器78检测到计算机71在与网6通信时，就拒绝对保安存储区74的任何访问。

    按照本发明，通信控制器12、28、38、48和78各自监视所有从公用网6接收的通信传输，检测是否有访问各自所连接的相应保安存储区的意图。在检测到有这种意图时，相应通信控制器就拒绝这种对有关保安区的访问，并且执行一个告警过程，向使用这个节点或服务器的用户报警。

    按照本发明，以上三种确定第一和第二段的实现方式对于本例均可采用，其中第一段存储在接收节点的公开存储区，而第二段存储在接收节点的保安存储区。应当指出的是，就此而言服务器可以看作为一个节点。

    按照本发明，非保密数据可以通过公用网6从任何节点发送到任何节点，存储在接收节点的公开存储区内。保密信息可以通过公用网6发送，但划分为第一和第二段，其中第一段存储在接收节点的公开存储区内，而第二段存储在接收节点的保安存储区内。

    例如，从服务器4检索保密信息是通过发送一个划分为两段的检索请求来实现的。第一段通过主网6发送给目的节点，而第二段通过保安网8发送给目的节点。这样，就只有与保安网8连接的节点才能接收这两个重构密级信息必需的信息段。

    因此，一个要改变存储在保安区内的数据的请求只有在至少部分通过保安网8接收到时才能予以执行。

    将一个文件分段可以按多种方式执行。例如，用原文件中的所有奇数比特形成第一段而用原文件中的所有偶数比特形成第二段，将文件从中分为两段，将文件分成预定的大量的段，等等。

    按照本发明的一种情况，公用网6和保安网8两者用同样的通信媒体但以不同的方式实现。例如，公用网6用调制到第一预定频率进行传输而保安网8用调制到第二预定频率进行传输。此外，通过网6和8任何哪个也可以采用电缆通信、无线通信、光通信等。

    按照本发明，两个节点之间的保密信息的通信只能在通过保安网8连接的节点之间进行。例如，在节点40需要向节点20传送保密信息时，这个保密信息就被分成两个部分。这两部分通过将第一部分发送到公用网6上和将第二部分发送到保安网上从节点40发至节点20。

    下面参照图2，概要地说明按本发明构成的图1中的服务器4和通信控制器12的情况。

    通信控制器12包括：与公用网6连接的网络接口92，与保安网8连接的网络接口90，与存储单元14连接的输入/输出(I/O)接口96，与CPU 1O连接的I/O接口94，以及管理控制器98。管理控制器98与网络接口92、网络接口90、I/O接口96和I/O接口94连接。

    管理控制器98只有对通过保安网8提供的访问请求才提供对保安存储区18的访问。

    按照本发明，一个访问请求可以包括几个数据段，其中一些数据段从公用网6上接收，而其余一些数据段从保安网8上接收。

    管理控制器98将这些数据段合在一起，形成原访问请求予以执行。

    因此，信息能存入保安存储区18的有两种情况：或者至少部分是从保安网8上接收的，或者与保安网8连接的计算机20、30和40之一原来就定为保密信息的。可以理解，如果保密信息全部通过保安网8发送，安全性就更好。

    按照本发明，一个保密信息文件到达服务器4至少分为两段。这个保密信息文件可以按照几种存储和检索模式或者存入保安存储区或者存入保安存储区18和公开存储区16。

    按照一种存储模式，管理控制器98接收到划分为几段的保密信息文件后，将其中的一些段存入保安存储区18，而将其余的一些段存入公开存储区16。

    按照另一种存储模式，管理控制器98将所有的段合并成单个文件存入保安存储区18。

    按照又一种存储模式，管理控制器98将保密信息文件以分段形式存入保安存储区。按照这种模式，在接收到从存储单元14检索这个信息文件的请求时，管理控制器98检出形成这个信息文件的这些段发送而不作任何处理、重新汇编等。

    按照本发明的另一种情况，服务器4将密级信息各段重新汇编成原来的保密信息文件，将它作为一个文件存入保密信息存储区18。

    下面参照图3，概要地说明按本发明构成的图1中的节点20和通信控制器28的情况。

    通信控制器28包括：与公用网6连接的通信接口150，与保安网8连接的通信接口154，以及控制节点20内数据流向的开关单元152。节点20与这两个网6和8的通信必需经通信控制器28执行。

    下面参照图4，概要地说明图1中的节点30的情况。

    计算机31包括工作站33和与之连接的通信接口35。通信控制器38包括通信检测器162、管理控制器160、计算机接口166、I/O接口164和通信接口168。

    通信检测器162与管理控制器160和公用网6连接，用来检测计算机31接收的通信情况。计算机接口166与管理控制器160和计算机31连接。I/O接口164与管理控制器160和存储单元32连接。

    通信接口168与管理控制器160和保安网8连接。

    通信接口168是一个传统的WAN或LAN接口，例如为一个调制解调器或以太网接口。按照这个例子，计算机31能通过通信接口35在公用网6上直接通信。

    计算机31接收到从公用网6经通信接口35送来的访问请求后，将这些请求经计算机接口166送至管理控制器160。管理控制器160从公开存储单元36检索出信息送至计算机31，经通信接口35发送到公用网6上。

    管理控制器160还直接检测来自公用网6的访问请求，加以处理。如果管理控制器160检测到一个涉及存储在保安存储区34内的信息的信息请求，那么请求计算机31提供这样的信息的相应请求就会遭到拒绝。

    应指出的是，公用网6与节点30的非保安区之间(诸如计算机31与公开存储区36之间)的非受限通信直接通过通信接口35提供，不受通信控制器38中断。

    通信控制器38还提供一种完全分离的保密模式。按照这种模式，在通信检测器162检测到计算机31与公用网6通信时，就在物理上屏蔽掉I/O接口164和通信接口168，从而切断了任何对保安存储区34和保安网8的访问。

    再回到图1，其中还给出了本发明的又一种情况，节点40被规定为一个安全监督站。因此，在一个诸如节点20那样的保安节点希望将保安存储区24的数据发送给一个非保安节点(例如节点50)时，节点20将这数据发送给节点40。节点40接收到这数据后将它存入保安存储单元44，并还将它提供给主管。经主管鉴权获准后，节点40将数据传至公开存储单元46再发送给节点50。按照本发明的另一种情况，节点40起着“存储后转发”的缓存器作用，在任何时刻，或者处于与公用网6通信的状态或者处于与保安网8通信的状态，但不能同时与两个网通信。也就是说，通信控制器48只是在计算机41与公用网6断离时才提供与保安网8的通信。按照本发明的这种情况，在公用网6与保安网8之间不可能存在经由节点40的联机通信。

    下面参照图5，说明控制通信控制器使它按本发明另一个优选实施例工作为计算机提供受限制的通信接入的方法。

    在步骤200，通信控制器接收到一个传输。

    在步骤202，通信控制器确定包含在所接收的传输中的请求的类型。如果所接收的传输含有一个写访问请求，诸如改变数据、格式化、删除、转移、拷贝之类，那么控制器就进至步骤204。如果所接收的传输含有一个读访问请求，那么控制器就进至步骤220。

    在步骤204，通信控制器确定是否至少有一部分传输是通过保安网接收到的。如果是，通信控制器进至步骤206；否则，通信控制器就进至步骤214。

    在步骤206，通信控制器确定存储模式，如前面所述，传输将按存储模式存储，因而进至相应的步骤208、210和212。

    在步骤214，通信控制器确定所请求的传输目的地是否为保安区。如果是，通信控制器进至步骤218；否则，通信控制器进至步骤216。

    在步骤216，通信控制器将传输存入公开存储区。

    在步骤218，通信控制器执行一个告警过程。这样的告警过程可以是拒绝对保安区的访问，产生一个告警消息或信号发给操作与通信控制器连接的计算机的用户，暂停在包括通信控制器的节点内所选的各种动作，等等。

    对于读访问情况，通信控制器在步骤220确定是否至少有一部分传输是通过保安网接收到的。如果是，通信控制器进至步骤222；否则，通信控制器进至步骤224。

    在步骤222，通信控制器按照传输中所含有的访问请求检索出数据。

    在步骤224，通信控制器确定所请求的传输目的地是否为保安区。如果是，通信控制器进至步骤218；否则，通信控制器进至步骤226。

    在步骤226，通信控制器按照传输中所含有的访问请求从公开存储区检索出数据。

    下面参照图6，说明按本发明又一个优选实施例构成和工作的计算机系统390和保证计算机系统通信安全的装置300的工作原理。

    计算机系统390包括：中央处理单元(CPU)310，存储单元314，存储单元316，与通信网324连接的通信接口312，以及通信总线322。按本发明构成的装置300包括处理器302和与之连接的开关单元304。

    存储单元316划分为两个区域：一个为公开区318，一个是保安区320。装置300对存储单元316进行控制，提供全部通过通信总线322对公开区318的访问，对计算机系统390的所有部件如CPU310和通信按口312的访问。

    处理器302对开关304进行控制，允许或拒绝对保安区320的访问。按照本发明的一种情况，装置300提供通信期间和通信刚结束的分析管理。拒绝对保安区320的访问可以采用几种方式来实现，包括拒绝全部访问，提供只读访问等。

    按照本发明，在与网324进行联机通信期间，装置300使保安区320脱离计算机系统，拒绝一切对它的访问。此外，处理器302对在通信总线322上的所有数据传送情况进行监视，检测在存储单元316的公开区318内的数据变化，从中产生一个日志文件。

    在计算机系统390脱离网324时，处理器302从保安区检索出一个分析软件应用，产生一个密钥提供给分析软件。在本例中，分析软件应用是一个抗病毒扫描软件。然后，处理器302将分析软件应用送至CPU310。CPU 310按日志文件对公开区318内的数据变化执行分析软件应用。

    如果分析软件应用没有检测到任何有害软件或者有关这方面的任何可疑数据变化，就将密钥交还给处理器302。于是，处理器302控制开关单元304，允许对保安区320进行访问。

    装置300可以按照一些方法和参数拒绝对保安区320的访问。按照本发明的一种情况，保安区320按地址在物理上加以限定。因此，就拒绝对选定地址的访问，而允许对其余地址的访问。提供这种实现方式的处理器可以包括少量NAND逻辑门，自动拒绝对这些保安区地址的访问。

    按照本发明的另一种情况，保安区320按照诸如文件名、目录名、逻辑属性之类的逻辑地址限定。因此，对这些逻辑地址的访问就会遭到拒绝。

    检测联机通信情况可以有几种方法。按照一种方法，如前面结合图3的通信控制器28所述，通过用一个专用通信接口直接接到通信线路上来进行检测，监视其中的所有活动。或者，装置300不直接接到通信线路上，而是例如通过检测通信电缆附近产生的电磁场(如标为328处所示)来监视其中的所有活动。或者，是计算机系统390或是通信接口向装置300提供有关通信状态的信息。或者，由一个指定软件应用(如通信软件向装置300提供有关通信状态的信息)。

    下面参照图7，说明按本发明又一个优选实施例构成和工作的计算机系统490和保证计算机系统及其环境通信安全的装置400的工作原理。

    计算机系统490包括：中央处理单元(CPU)406，存储单元410，存储单元416，与WAN通信网428连接的WAN通信接口408，与LAN通信网426连接的LAN通信接口426，以及通信总线422。装置400包括处理器402和与之连接的开关单元404。可以理解，这是一个非限制性的例子，通信网428和426各自都可以是任何类型的通信网，如WAN、LAN、无线通信网、光通信网等。

    存储单元416划分为两个区域：公开存储区418和保安存储区420。存储单元410也划分为两个区域：公开存储区412和保安存储区414。按照本发明的一种情况，两个存储区418和420可以是一个完全受装置400控制的划分为两个部分的单一存储单元。

    按照本发明的另一种情况，两个存储区418和420是两个不互联的独立存储单元，而装置400完全控制对保安存储区418的访问，并可以执行一个对公开存储区420的分析过程。

    按照本发明的又一种情况，存储区域418和420各包括若干存储单元。

    公开存储区418、公开存储区412、CPU406、WAN通信接口408和装置400通过通信总线422互联。

    保安存储区420、保安存储区414和LAN通信接口424都与开关单元404连接。

    处理器402对开关单元404进行控制，允许或拒绝对保安存储区420、保安存储区414和LAN通信接口424的访问。在计算机系统490正通过WAN通信接口408与WAN网通信时，拒绝这些访问。

    装置400的工作情况大体与装置300的类似。装置400因此按照以下结合图8说明的方法进行工作，只要按这种方法所确定的保安标志被置位，就拒绝对保安存储区420、保安存储区414和LAN通信接口424的访问。

    按照本发明的又一种情况，处理器402在工作中执行保安存储区414内的一个分析软件应用，在WAN通信拆线后对公开存储区412和公开存储区418进行扫描。这样，分析软件应用对于诸如有害程序或外界用户那样的越权单元是不可访问的。

    按照本发明，装置400可以拒绝在通信期间对与它连接的任何装置的访问，从而防止了越权访问。

    下面参照图8，说明对装置28、38、48(图1)、300(图6)和400(图7)进行控制使它们按本发明又一优选实施例工作的方法。在本例中，具体是结合图6的装置300和计算机系统390进行说明的。

    在步骤500，装置将保安标志复位。

    在步骤502，装置300检测计算机390是否执行联机通信。如果是，装置进至步骤504；否则，装置进至步骤507。脱机通信定义为在通信接口(如调制解调器)脱离网络时或者在计算机暂时或长时间脱离通信接口而通信接口仍与网络连接、通信时的通信。

    在步骤504，装置300将保安区320与计算机系统390的其余部分脱开。

    在步骤506，装置300将保安标志置位，产生一个记录在通信期间由于输入数据之类引起的在计算机系统390及其公开存储区内的数据变化的日志文件。同时，装置返回步骤502，确认是否为联机通信。

    在步骤507，如果保安标志已置位，装置进至步骤508；否则，装置返回步骤502。

    在步骤508，装置300产生一个保安密钥，而后进至步骤510。

    在步骤510，装置300从保安区检索出一个分析软件应用，将保安密钥配到分析软件应用上后送至CPU 310。

    在步骤512，CPU按照日志文件对联机期间发生的所有数据变化执行分析软件应用。分析软件应用检测是否存在任何危及其中所含信息的有害意图。如果是，计算机系统390进至步骤516；否则，进至步骤514。

    在步骤514，分析软件应用将保安密钥交还给处理器302，从而处理器允许对保安区320的访问，然后再返回步骤500。

    在步骤516，计算机系统390向用户报警后停机。

    保安密钥最好按照保安区320内当时数据情况产生。保安密钥也可以作为一个时间密钥与保安区320无关独立产生，例如根据一个内部的随机数产生器产生等。这样做的主要原因是大大减少和更好地消除可能企图向处理器302提供保安密钥的越权者所有可能的对这保安密钥的访问。

    下面参照图9，简要说明图1的节点70的情况。

    按本发明构成的通信控制器78包括处理器602、开关单元604、通信接口606、输出/输出(I/O)接口608和计算机接口610。通信控制器78通过通信接口606与通信网6连接，通过I/O接口608与存储单元72连接，以及通过计算机接口610与计算机系统71连接。存储单元72划分为两个主区：公开区76和保安区74。按照本例，I/O接口可以是一个IDE-ATA或SCSI硬盘控制器。

    通信接口606按网6的类型选择，从包括拨号调制解调器、WAN调制解调器、LAN调制解调器、光调制解调器、ISDN调制解调器、闭路电视调制解调器等的组中选出。通信接口606也可以是一个与任何类型的调制解调器连接的I/O接口。处理器602控制计算机站、存储单元72和通信网6它们之间的联机物理连接。

    通信控制器78可以按照几种工作模式进行工作。按照其中一种工作模式，通信控制器78在接收到一个来自计算机系统71的通信请求命令后，控制通信接口606，提供与网6的通信。同时，通信控制器78对所有对存储单元72的访问请求进行监视，允许对公开区76的访问而拒绝对保安区74的访问。

    按照第二种工作模式，在计算机系统71向通信控制器发出了一个访问保安区74的请求时，通信控制器78控制开关单元604，使计算机脱离通信接口606，而维持通信接口606与通信网6之间的通信。

    此时，处理器602对公开区76和计算机系统71中的任何其他存储单元进行扫描，检测可能危及保安区的有害程序。如果没有检测到这样的有害程序，通信控制器就为计算机系统71提供对保安区74的访问。在计算机系统向通信控制器78发出一个重新与通信网连接的命令后，通信控制器78就重新将计算机系统71与通信接口606连接起来，同时拒绝所有对保安区74的访问。

    按照第三种工作模式，通信控制器78终止与通信网6的通信后，处理器602对公开区76和计算机系统71中的任何其他存储单元进行扫描，检测可能危及保安区的有害程序。如果没有检测到这样的有害程序，通信控制器就为计算机系统71提供对保安区74的访问。

    可以理解，处理器602能够进行扫描或者执行一个专为此设计的扫描和分析软件。按照本发明，图8所示方法可以在通信装置78中予以实现。

    应当指出的是，处理器602通过控制开关单元604和通信接口606可以使计算机71脱离通信网。通过向通信接口606提供一个终止与通信网6通信的命令或者对开关单元604进行操作，使通信接口606脱离计算机71而维持通信接口606与通信网6之间的连接。

    按照本发明，处理器602也可以从计算机71接收断开通信接口606与通信网6之间或通信接口606与开关单元604之间的通信的命令。

    下面参照图10，简要说明按本发明的优选实施例构成和工作的计算机站和通信装置650的情况。

    装置650包括通信接口656、存储单元654和开关单元662。通信接口656与开关单元662和接至通信网660的通信线路658连接。装置650与具有处理器666和存储单元670的计算机652的总线连接。

    通信接口656可以是一个传统的调制解调器、调制解调仿真器、网络通信卡之类。存储单元654可以是任何类型的数据存储装置，如ROM、RAM、超高速存储器、磁盘、磁带之类。本发明的一些实现方式，如第一实现方式，需要动态读/写诸如RAM、超高速存储器、磁盘之类的存储单元，因为存储在保安存储单元内的数据是动态数据。其他实现方式，如第二和第三实现方式，可以使用较少的动态存储单元，如ROM、EPROM、EEPROM等，这会简化总体结构，降低制造装置650的成本。

    装置650可以按照几种模式进行工作，对抗越权从通信网660访问企图，提高保密信息的安全性。下面所揭示的是一些非限制性的典型模式。

    按照第一种模式，任何需保证安全的保密数据文件都分为两段。第一段存储在计算机652的存储单元670内，而第二段存储在装置650的存储单元654内。执行这样的划分，使得单用第一段来重构原文件看来会极端困难，实际上可以认为是不可能的。

    按照另一种模式，存储单元670内存有的保密数据用唯一的加密密钥加密，加密完成后，将密钥存入存储单元654。

    按照第三种模式，所有保密数据全部存储在存储单元654内。

    计算机652能通过通信接口656与通信网通信，如图中虚线668所示。在计算机652不与通信网660通信时，开关单元662使总线664脱离通信接口656，而将存储单元654接到总线664上，如图中实线672所示。

    在计算机通过通信接口656建立通信连接时，开关单元662使存储单元654脱离总线664，而将通信接口656接到总线664上。因此，任何与计算机652通信的那一方被限制成只能对存储在计算机存储单元670内的数据进行数据访问而不能对存储在存储单元654内的数据进行数据访问。

    还可以看到，在开关单元662使存储单元654脱离总线664时，它使存储单元654及其中所存的所有数据都是不可及的。

    通信装置650可以做成一个遵从诸如AISA、VLB、PCI、PCMCIA之类传统标准的扩充内部卡。装置650也可以做成一个通过串行口、并行口之类连接的外部装置。因此，例如装置650可以做成一个便携式计算机的PCMCIA调制解调器卡。用户可以从计算机654上拆下这个通信装置，将它用作一个密钥。可以理解，只要通信装置650不与计算机652连接，就没有对存储单元654内存储的任何数据的访问。

    按照本发明，在通信装置650中可以实现图8所示的方法。

    下面参照图11，简要说明按本发明又一优选实施例构成和工作的计算机系统890、存储单元810和保证计算机系统通信安全的装置800和便携装置850。

    计算机系统890与通信网892和本发明的装置800连接。装置800还与存储单元810连接。装置800包括处理器802、开关单元804和无线收发器803。

    便携单元850包括无线收发器852和与之连接的处理器854。

    存储单元810划分为以下五个区域：

    日志区812，用来管理日志文件；

    缓冲区814，用来暂时存储接收到的但尚未传送给保安区820的数据；

    公开区816，该区可在任何时间加以访问；

    只读区818，用来存储操作单元文件、分析软件应用之类；以及

    保安区820，用来存储保密信息。

    装置800按如下方式管理存储单元810。在计算机系统890正处于与通信网892联机通信时，装置800允许对公开区816和缓冲区814的所有读、写访问。装置800也允许对只读区818的有限只读访问。同时，装置800用有关存储单元810内的数据变化和从计算机系统890接收到的数据请求的信息更新日志区。装置800拒绝对保安区820的访问。在计算机系统890脱离通信网892后，装置800从只读区检索出一个分析软件应用按照日志区812内所存的信息对公开区816和缓冲区814内所存数据予以执行。任何目的地是保安区820的数据都被从公开区816传送到缓冲区814加以扫描，如果无害，就传送给保安区820。

    按照本实施例，装置800可以只在携有便携单元850的特许用户处在装置800附近时才提供对存储单元810内的保安区的访问。

    按照本发明的一种无线模式，无线收发器852向无线收发器803发送一个信号。无线收发器803检测到这个信号后就将它送至处理器802。处理器802将它看作为一个提供对存储单元810内的保安区的访问的允许信号。按照这种模式，如果用户已离开办公室而无线收发机803检测不到无线收发器852发送的信号，装置800就拒绝对存储单元810的保安区的访问。

    按照另一种无线模式，处理器854为无线收发器提供发送随时间不同的信号的命令。处理器802可以识别各个信号或它们之间的变化。

    按照又一种无线模式，无线收发器803与无线收发器852可以利用双向通信进行通信。因此，处理器802与854可以交换编码信号，从而进一步提高了安全性。

    下面参照图12，简要说明按本发明又一优选实施例构成和工作的日志单元1000的情况。

    日志单元1000包括存储区1002和与之连接的控制器1004。控制器1004可以依次将日志项写入存储单元和随机读出其中所存的日志项。

    按照本发明，在控制器1004在接收到一个登录一个新的日志项的写命令时，它略去可以结合在写命令内的地址而指定一个依次挨在上一个写入命令的地址后的地址。这样企图用一个包括特定地址的写命令改变一个预先选择的日志项就不予执行。按照本发明的另一种情况，在出现这种企图时，控制器1004产生一个告警命令发至与之连接的计算机(未示出)。

    这种日志单元的主要优点之一是不允许对日志区自由进行写访问，这就防止了任何有意改变一个预选日志项的情况发生。

    在一个日志文件存入一个容量有限的存储区时，有时它可能超过存储空间的容量。在这种情况下的通常解决方法是将日志文件定义为一个循环文件，也就是说在将上个可能项写在日志文件末端后，再开始写在日志文件的始端。这样，如果有人要改变日志文件，他可以写入需要填满那么多的日志项后再重写整个日志文件。

    按照本发明，本方法通过给定一个在两个相继日志项写命令之间的最小时间间隔来克服这个问题。这样就限制了重写整个日志文件，使得在短时间内不能实现这种重写。

    下面参照图13，简要说明控制图12的日志单元1000使它按本发明又一优选实施例进行工作的方法。

    在步骤1050，日志单元1000接收到一个日志命令。

    在步骤1052，如果接收到的日志命令是一个写命令，日志单元1000进至步骤1056；否则，如果接收到的日志命令是一个读命令，日志单元1000就进至步骤1054。

    在步骤1054，日志单元1000检索出一个所请求的日志项。

    在步骤1056，如果时间间隔Δt大于或等于预定时间间隔T，控制器1004进至步骤1060；否则，控制器1004就进至步骤1058。

    在步骤1058，控制器1004拒绝对存储区1002的访问。

    在步骤1060，控制器1004从日志命令中检索出日志信息，然后进至步骤1062。

    在步骤1062，控制器1004提供一个依次挨在上一个写入命令地址后的地址。

    在步骤1064，控制器1004按日志地址写一个含有日志信息的日志项。

    按本发明的另一种情况，步骤1058还可以包括产生一个向主管报警之类的告警信号。

    下面参照图4，简要说明按本发明的一个优选实施例构成和工作的计算机1102和装置1100的情况。

    装置1100包括：一个管理控制器1122，两个硬盘驱动器输入/输出(I/O)接口1118和1120，一个I/O开关单元1139，两个软盘驱动器输入/输出(I/O)接口1137和1138，一对将计算机1102接至公用网1136的通信接口1110和1112，一对将计算机1102接至保安网1134的通信接口1114和1116，两个通信开关1140和1142，以及一个显示器1144。这些器件和管理控制器1122连接情况如下。

    硬盘驱动器输入/输出(I/O)接口1118和1120与管理控制器1122连接。I/O开关单元1139与两个软盘驱动器输入/输出(I/O)接口1137和1138以及管理控制器1122连接。

    通信接口1110与通信开关1142和计算机1102连接。通信接口1112与通信开关1142和公用网1136连接。通信开关1142与管理控制器1122连接。

    通信接口1114与通信开关1140和计算机1102连接。通信接口1116与通信开关1140和保安网1134连接。

    装置1100通过I/O接口1120与存储单元1124连接。存储单元1124划分为若干个存储区：菜单区1126，保安区1130，公开区1128，日志区1132，以及口令区1133。

    公开区1128存有非保密的数据和软件。保安区1130存有保密的数据和软件。日志区1132存有如上所述按传统方法或本发明配置的日志文件体系结构。口令区1133存有管理控制器1122在各种过程(如模式转换之类)期间使用的口令。

    菜单区1126存有在启动(或重新启动）计算机1102时对计算机1102进行管理的一个预操作系统菜单。这个菜单装入计算机1102后，就请求用户在公开模式和保安模式这两种工作模式之间进行选择。

    如果用户选择保安模式进行工作，计算机就将这个选择送至管理控制器1122，于是管理控制器1122执行下列操作：

    将保安区1130接至计算机1102；

    拒绝对公开区1128的访问；

    向通信开关1140提供一个允许通信接口1114与1116之间的连接的命令，从而将计算机1102与保安网1134连接起来；以及

    向通信开关1142提供一个拒绝通信接口1110与1112之问的任何连接的命令，从而使计算机1102脱离公用网1136。

    如果用户选择保安模式进行工作，计算机就将这个选择送至管理控制器1122，于是管理控制器1122执行下列操作：

    将公开区1128接至计算机1102；

    拒绝对保安区1130的访问；

    向通信开关1142提供一个允许通信接口1110与1112之间的连接命令，从而将计算机1102与公用网1136连接起来；以及

    向通信开关1142提供一个拒绝通信接口1114与1116之间的任何连接的命令，从而使计算机1102脱离保安网1134。

    按照本发明，该装置可以按照公开模式和保安模式这两种模式之一进行工作。公开区1128和保安区1130各包括一个完整的操作系统。只有通过使计算机1102复位、按照所选模式从所选区域装入一个操作系统，才能改变模式。

    传统的软件，诸如为IBM-PC体系结构设计的那些程序，不使用以0，0，#开始的硬盘地址，除了以0，0，1开始的以外，其中存有主分区表。

    按照本发明的一个非限制性例子，以0，0，1开始的地址存有保安区1130的分区表，以0，0，2开始的地址存有菜单过程，以0，0，3开始的地址存有公开区1128的分区表，以0，0，4开始的地址存有日志区1132的一个指针，以及以0，0，5开始的地址包括口令区1133。

    按本例，管理控制器1122拒绝任何对存有菜单过程的以0，0，2开始的地址的写访问。应注意的是，在物理上该装置控制所有的对所有地址的访问，能向计算机1102提供诸如对所选地址的读、写等各种类型的访问。

    这种结构在存储单元1124直接接至另一个没有管理控制器的计算机时为存储单元1124的与以0，0，2超始的地址相应的区域提供可靠的保护。可以理解，这种结构对便携的硬盘驱动器最为合适。

    按本例，装置1100检测到计算机1102复位时，就提供对菜单区1126的访问。在接收到来自计算机的模式选择时，装置1100在物理上使计算机复位后按照所选模式将计算机接至公用区1128或接至保安区1130。

    在传统的计算机系统中，操作系统可以从例如本机硬盘驱动器、软盘驱动器、CD-ROM驱动器、计算机所联通信网等几个相互可替代的源装入。按照本发明，这些源中的一些源被预定为无权提供操作系统的，因此禁止它们提供操作系统。

    在本例中，装置1100可以用来保证计算机1102的安全，不致意外装入从无权源接收的操作系统。

    在本例中，装置1100控制对软盘驱动器1135的访问，否则它会直接接到计算机1102上。在计算机请求装载操作系统时，管理控制器1122检测到这个请求后就向I/O开关单元1139提供一个断开软盘驱动器输入/输出(I/O)接口1137与1138之间的连接的命令，从而拒绝对软盘驱动器1135的访问。

    在计算机1102开始从存储单元1124装载一个操作系统后，管理控制器1122就向I/O开关单元1139提供一个连接软盘驱动器输入/输出(I/O)接口1137与1138的命令，从而允许计算机1102访问软盘驱动器1135。

    按照本发明的又一种情况(未示出)，软盘驱动器1135直接与计算机1102连接，管理控制器1122测量计算机启动到装载操作系统之间的时间间隔Tmeasured。

    硬盘驱动器的访问和数据传送比软盘驱动器的快得多。此外，在装载操作系统前，对软盘驱动器的初始访问与硬盘驱动器相比也慢得多。因此，在访问软盘驱动器的情况下与访问硬盘驱动器相比，Tmeasured就会大得多。

    Tboot为一个预定值，表示从一个硬盘驱动器装载一个操作系统所需的预定最长时间。硬盘驱动器的Tboot比软盘驱动器的Tboot短。因此，如果Tmeasured≥Tboot，管理控制器1122就检测为正在进行的是越权装载操作系统，从而可以采取一些预防措施，例如拒绝所有的对存储单元1124的访问等。

    管理控制器1122在检测到有软盘驱动器启动企图时，可以暂定所有操作，利用计算机1102的多媒体能力或外部报警装置之类提供警报。

    此外，管理控制器1122可以向计算机1102提供一个命令，完全或部分禁止其中的操作。例如，管理控制器1122可以向计算机1102提供一个固定不变的启动命令。

    显示器1144用来指示装置的当前模式。显示器1144可以装在计算机1102上供用户观察。按照本发明的一种情况，显示器1144是一个发光二极管(LED)或者一个LED阵列，以不同的闪烁或颜色来显示不同的模式。按照本发明，显示器1144也可以是一个液晶显示(LCD)阵列，显示字母数字消息之类。

    应当指出的是，按照本发明的另一种情况，管理控制器1122检测所有从软盘驱动器1135接收到的数据，在预定的一些情况下，如维修之类，允许对软盘驱动器1135进行操作系统装载访问。只是在执行菜单过程时提供了预定口令的情况下，才可以为计算机1102提供对软盘驱动器1135的操作系统装载访问。

    下面参照图15，说明控制装置1100使它按本发明另一优选实施例工作为计算机有限数据和通信访问的方法。

    在步骤1150，管理控制器1122检测到一个由计算机1102提供的自导启动信号。这个信号在用户手动启动计算机时或在计算机接通时提供。按本例，管理控制器1122将首次意图通过硬盘驱动器I/O接口1118访问地址0，0，1看作为自导启动信号。

    在步骤1152，管理控制器1102为计算机1102提供对菜单区1126的访问。计算机1102从菜单区1126检索出菜单软件予以执行，然后进至步骤1154。

    在步骤1154，管理控制器1122等待接收用户通过计算机1102给出的在不同的模式选项(即公开、保安等)之间所作选择的指令。同时，管理控制器1122将时间计数器t复位。要求用户在一段预定时间T内提供他的选择。如果t＞T(即用户在这段预定时间内没有提供他的选择)或者用户选择了保安模式，管理控制器1122进至步骤1162；否则，管理控制器1122就进至步骤1156。

    在步骤1156，管理控制器1122执行一系列确立公开模式的操作，诸如允许对公开装置的访问，拒绝对非公开装置(例如保安装置)的访问。因此，管理控制器1122使公开区1128与计算机1102连接，从而使计算机1102能从公开区1128装载一个操作系统。管理控制器1122还向通信开关提供一个连接通信接口1110和1112的命令，从而使公用网1136与计算机1102连接。

    在步骤1158，管理控制器1122将一个公开数据标志置位，而将一个保安标志复位。在本例中，这两个标志都是管理控制器1122内的存储元。公开数据标志表示当前模式是公开模式，而保安数据标志表示当前模式是保安模式。

    在步骤1160，管理控制器检测用户是否已向计算机1102提供了一个转到另一种模式的命令。如果是，管理控制器就进至步骤1168。

    在步骤1162，管理控制器1122执行一系列确立保安模式的操作，诸如允许对保安装置的访问，拒绝对非保安装置(例如公开装置)的访问。因此，管理控制器1122使保安区1130与计算机1102连接，从而使计算机1102能从保安区1130装载一个操作系统。管理控制器1122还向通信开关1140提供一个连接通信接口1114和1116的命令，从而使保安网1134与计算机1102连接。

    在步骤1164，管理控制器将保安数据标志置位，而将公开数据标志复位。

    在步骤1166，管理控制器检测用户是否已向计算机1102提供了一个转到另一种模式的命令。如果是，管理控制器就进至步骤1168。

    在步骤1168，管理控制器1122向计算机1102提供一个关闭操作系统重新启动命令。因此，计算机关闭所有应用和操作系统后重新启动。然后，管理控制器1122进至步骤1170。

    在步骤1170，管理控制器1122使计算机1102复位。按照本发明的一种情况，这种复位可以通过向计算机1102提供一个后继软件启动命令来实现。按照本发明的另一种情况，这种复位可以通过向计算机1102提供一个硬件启动命令来实现。要注意的是，基于X86的PC计算机对除了存储器的前Mbyte外的大多数RAM进行复位，因为其中可能含有所不希望有的软件。按照本发明的又一种情况，管理控制器1122向计算机1102提供一个复位所有RAM的命令。在执行步骤1170后，管理控制器1122进至步骤1172。

    在步骤1172，管理控制器1122检索出保安标志和公开标志的当前设置情况。如果保安标志置位而公开标志复位，管理控制器就进至步骤1156，从保安模式转为公开模式。相反，如果保安标志复位而公开标志置位，管理控制器就进至步骤1162，从公开模式转为保安模式。要注意的是，在系统定为多于两种模式，如多种限定多级别、多用户、多客户机情况的模式，要求用户提供他的模式选择。

    因此，装置1100能用来支持多种多级别保安模式，在这些模式之间转换，以及允许或禁止对各种装置、链路和数据位置的相应访问。

    要注意的是，在步骤1156和1162，计算机1102开始从所选区域装载操作系统后，管理控制器1122向I/O开关单元1139提供一个连接软盘驱动器输入/输出(I/O)接口1137和1138的命令，从而使计算机1102能够访问软盘驱动器1135。

    按照本发明的另一种情况，保安存储区存有一个原版自导启动记录(master boot record简记为MBR)用作一个“清洁”媒体代替可卸拯救软盘，按普通实际情况，它在需要时往往可能不可及。

    下面参照图16，说明控制本发明的装置使它按本发明又一优选实施例工作对各含有一个MBR的一个保安存储区和一个公开存储区进行控制的方法。在本例中，这种方法是通过控制图14的装置1100实现的。

    在本例中，公开区1128和保安区1130都含有操作系统自导启动文件。

    在步骤1200，装置确定存储区的第一部分为主存储单元，而存储区的第二部分为非可访问存储单元。在本例中，控制器1122确定公开存储区1120为主存储单元，拒绝任何对保安存储区1130的访问。在一个传统的PC系统中，公开区1128可以呈现为drive c：。

    应注意的是，传统的PC系统通常限定drive c：是启动系统(即装载一个操作系统)的驱动器。此外，确定一个存储单元为非可访问的可以通过拒绝所有对这个存储单元的访问、使它成为只读存储单元之类只要拒绝任何对这个存储单元的数据修改操作来实现。

    在步骤1202，装置1100从主存储单元自导启动。在本例中，控制器1122使公开存储区1128通过I/O接口1118和1120接至计算机1102，从而drive c和计算机1102从公开存储区1128装载一个操作系统。

    在步骤1204，计算机1102检测越权代码。越权代码可以用许多方式检测，例如检测访问意图、比较数据表征码等。应指出的是，检测这种越权代码可以利用抗病毒软件之类来实现。在本例中，计算机向装置1100提供这种信息，虽然这种信息可以由用户或装置本身在检测这种越权代码时提供。

    在步骤1206，使计算机复位。应指出的是，这种复位命令可以由越权代码检测软件或操作计算机的用户提供。

    在步骤1210，将存储装置的第二部分确定为主存储单元，而将存储装置的第一部分确定为次存储单元。在本例中，控制器1122将保安存储区1130确定为主存储单元，而将公开存储区1128确定为次存储单元。因此，装置1100向计算机1102提供保安存储区1130作为drive c：。

    装置1100还向计算机1102提供公开存储区1128作为drive d：。

    在步骤1212，计算机从现在是保安存储区的主存储单元自导启动。在本例中，计算机1102将保安存储区1130看作drive c：，由此自导启动。

    在步骤1214，删除在步骤1204检测到的越权代码元。在本例中，计算机1102执行原存储在保安区1130内的病毒清除软件，从而从公开存储区1128中消除掉越权代码元(即病毒软件)。

    在步骤1216，再次使计算机复位，返回到原设置：公开存储区1128确定为主存储单元，而保安存储区确定为非可访问存储单元。

    按照本发明的另一种情况，保安模式的MBR存储在管理控制器1122内。应指出的是，管理控制器1122可以包括一个内部存储区或外部存储区，如EEPROM之类。

    按照本发明的又一种情况，如图16所示的清洁的自导启动模式可以按时每隔一定时间执行。

    熟悉本技术领域的人员可以理解，本发明并不局限于以上具体说明的这些实施方式。本发明的专利保护范围仅由所附权利要求书限定。