王洪庭,岳俭,李森?
(解放军保密委员会技术安全研究所,北京 100076)
摘要:当前针对信息安全的防护需求非常迫切,保护数据文件的自身安全和防泄密问题尤其突出。基于Windows的文件系统过滤驱动技术,可以有效实现USB移动存储设备安全防护、电子文档的透明加解密、文件的动态病毒扫描等防护手段。?
关键词:文件系统过滤驱动;USB防护;文档加密;病毒扫描
1 引言?
随着计算机的普及和技术的不断发展,目前安全形势日益严峻,尽管军用内网采用了理论上安全性最高的物理隔离,但在现实中,U盘滥用、违规上网、非法接入、病毒肆虐、木马泛滥等各种安全事件无时不在威胁着我军内部涉密信息的安全。?
比如各种U盘、移动硬盘随着应用得越来越广泛,很容易感染上轮渡木马等恶意软件,当其在内外网混用时,个人主机中的重要文件会在用户不知情的情况下被下载到移动设备上,当该设备再接入互连网就容易造成失泄密;另外由于缺少对USB访问权限的细化控制也容易造成主机敏感信息的外流。因此需要对USB移动存储设备的文件操作行为进行监控。?
从数据自身安全性来说,军队等安全部门的电子文档需要严格管理,但现在缺少有效的技术手段,各种明文的电子文档很容易造成失泄密。因此需要加密保护敏感电子文档,包括查看、创建、打开以及修改等操作,保证这些电子文档的阅读者在没有得到授权的情况下无法打开这些电子文档。?
另外对数据构成破坏威胁的主要是文件型病毒,其特点是寄生在计算机文件系统内。除了通常的静态策略查、杀病毒技术外,更需要实时高效地检测和防范病毒,即使用户不慎打开或运行染毒文件,也可以及时拦截,随后再用静态的杀毒软件彻底清除。?
可以看到,最终的数据破坏、失泄密的根源均和主机的信息安全防护有关。采取老三样的“筑高墙、堵漏洞、防入侵”方法来解决安全问题,反而使问题越来越多,并且给工作带来一定程度的不便。这样就需要采取一些更底层的防护技术和手段,争取实现透明高效防护。?
为此,本文利用Windows的文件系统的分层驱动模型,通过自定义的文件系统过滤驱动程序,能够拦截任何试图对文件系统的访问操作,并根据规则预先进行处理。基于此原理,本文对过滤功能进行扩展,一是进行数据读写的控制,作为防信息泄漏软件的基础;二是用于文件系统的透明附加功能,比如希望在文件写过程中对数据进行加密,数据个性化等等过程;三是用于防病毒引擎,希望在系统读写文件的时候,捕获读写的数据内容,然后检测其中是否含有病毒代码,从而提高安全防护水平。
?
2基本结构和工作原理
?
2.1文件系统工作原理?
在NT内核的Windows系统中,它的I/O子系统是由I/O管理器、可扩展的一组驱动程序和其它一些执行体服务组成。I/O管理器定义了一套驱动程序的框架或者说模型,定义了如何进行处理各种I/O操作。整个I/O子系统是包驱动的,绝大多数的输入输出请求都是使用I/O请求包(I/O Request Packet, IRP)来传递的。IRP在I/O子系统的各个部件中间运动,把请求传递到合适的地方。?
(责任编辑:)
相关阅读:
- MySQL CMake source code can't find Curses 2015.08.19
- 网络安全:互联网安全 如何防范木马及病毒的攻击 2015.08.17
- 加强网站服务器安全维护的技巧 2015.08.17
- 电脑离线就安全?这个软件一样能远程窃取数据 2015.08.12
- 如何在Linux上最妥善地管理加密密钥? 2015.08.11
