探究移動存儲設(shè)備安全監(jiān)控系統(tǒng)的研究與應(yīng)用

劉建東

摘 要：移動存儲設(shè)備在給人類帶來便利的同時自身也存在著一些安全問題，例如設(shè)備中的數(shù)據(jù)容易在他人惡意操作下而丟失，由此給用戶帶來了巨大的經(jīng)濟損失。因此，對移動存儲于設(shè)備實施安全監(jiān)控系統(tǒng)十分的重要。本文將從目前國內(nèi)移動存儲設(shè)備安全監(jiān)控系統(tǒng)的研究現(xiàn)狀談起，就安全監(jiān)控系統(tǒng)的設(shè)計以及開發(fā)進行深刻分析。

關(guān)鍵詞：移動存儲設(shè)備；安全監(jiān)控系統(tǒng)；研究

目前，以USB接口為主的移動存儲設(shè)備是進行數(shù)據(jù)和信息交換的重要載體，因其體積小、容量大且傳輸速度快而得到人們的廣泛應(yīng)用。但是由于目前這些移動存儲設(shè)備被人們隨意使用，由此產(chǎn)生的安全問題無論是給企業(yè)還是個人都帶來了極大的損失。因此，如何對其實施安全監(jiān)控就成為了目前主要研究的問題。

1 移動存儲設(shè)備安全監(jiān)控系統(tǒng)的研究現(xiàn)狀

在移動存儲設(shè)備進行工作的同時，其安全問題也不容忽視，甚至應(yīng)該成為主要的研究方向。但在進行應(yīng)用的過程中，也出現(xiàn)了很多問題。

USB端口禁用技術(shù)，該項技術(shù)在應(yīng)用過程中，雖然可以有效防止內(nèi)部信息的外泄，但在應(yīng)用中卻會給內(nèi)部信息的傳遞和交換帶來很大的不便。

在應(yīng)用層方面的USB存儲設(shè)備監(jiān)控技術(shù)，這項技術(shù)在對存儲設(shè)備在授權(quán)管理、分域管理等方面可以進行一定程度的控制，但容易被惡意軟件操控，導(dǎo)致因無法實施有效監(jiān)控而使得安全隱患頻發(fā)。

基于文件過濾驅(qū)動設(shè)置對信息實施加密控制。此項技術(shù)可以保證文件以密文的形式存在，但是由于這項技術(shù)在實現(xiàn)上較為復(fù)雜，許多臨時文件不能被加密，從而導(dǎo)致泄密事件頻發(fā)[1]。

這對上述問題，本文將結(jié)合對磁盤上的文件實現(xiàn)過濾的思想，在接口處設(shè)置監(jiān)控系統(tǒng)，從而保證移動存儲設(shè)備能夠在正常使用的情況下，不泄露關(guān)鍵信息。

2 基本工作原理

2.1 Windows驅(qū)動程序模型基本結(jié)構(gòu)分析

WDM作為一種跨平臺的驅(qū)動程序模型，在應(yīng)用過程中可以不經(jīng)過任何修改直接在非Intel平臺上運行。在該項程序中，可將設(shè)備對象分為兩類，即功能設(shè)備對象（簡稱FDO）和物理設(shè)備對象（簡稱PDO）。在進行操作時，至少要兩個設(shè)備共同工作，才能完成操作。對于一個硬件來說，只能有一個PDO，但卻可以有多個FDO，并且PDO在工作過程中，要依附于FDO，不能單獨進行操作。此外，在FDO的上面和下面分別裝置了過濾驅(qū)動設(shè)備，由此WDM才可正常工作。

2.2 文件過濾驅(qū)動的工作原理和作用

該項技術(shù)的應(yīng)用是附著在文件系統(tǒng)上進行的，當(dāng)用戶在對文件進行讀、寫等操作時，Windows系統(tǒng)的I/O管理器會通過IRP發(fā)出文件驅(qū)動指令，然后文件系統(tǒng)驅(qū)動就可以通過轉(zhuǎn)換，使其變成存儲設(shè)備驅(qū)動程序上進行的操作。另外，文件系統(tǒng)還可以通過攔截請求包（IRP）并對其進行重新處理，從而為當(dāng)前系統(tǒng)增加一些新功能[2]。

文件的過濾驅(qū)動在應(yīng)用中，通過對文件系統(tǒng)進行擴展以及修改，可以使其功能得到增加，它的作用包括以下兩點：

（1）可以為文件系統(tǒng)提供附加功能。比如可以讓文件在讀寫過程中，分別實行加密和解密，從而增加文件的系統(tǒng)效率。

（2）在運行中，實施對病毒的監(jiān)測。在讀寫文件時，可以檢查數(shù)據(jù)內(nèi)容是否帶有病毒特征碼。

3 移動存儲設(shè)備安全監(jiān)控系統(tǒng)的設(shè)計與應(yīng)用

3.1 設(shè)計思路

對移動存儲設(shè)備實施安全監(jiān)控主要就是在局域網(wǎng)的環(huán)境中進行的，并由監(jiān)控服務(wù)器和監(jiān)控代理構(gòu)成。

代理端作為該系統(tǒng)的核心部分，通過策略執(zhí)行模塊以及信息采集模塊進行工作。在策略執(zhí)行模塊中，可以借助基本的運行規(guī)則，對移動存儲設(shè)備的讀寫操作信息發(fā)出允許或者靜止的信息，并將其傳輸?shù)絻?nèi)核過濾驅(qū)動模塊，內(nèi)核驅(qū)動模塊通過分析，在將關(guān)鍵信息傳遞到采集模塊的過程中，借此可以禁止執(zhí)行程序?qū)ζ溥M行的授權(quán)訪問。另外，信息采集模塊通過對移動存儲設(shè)備的使用信息進行采集的方式，將這些信息實時傳輸給監(jiān)控服務(wù)器。

另外，在監(jiān)控服務(wù)器方面，主要由策略模塊、監(jiān)控模塊以及日志模塊3個部分構(gòu)成，他們根據(jù)不同的程序?qū)π畔嵤┍O(jiān)控。

3.2 應(yīng)用過程

在實施安全監(jiān)控的過程中，最關(guān)鍵的部分就是監(jiān)控代理端的策略執(zhí)行模塊，這一模塊的重要工作內(nèi)容就是對內(nèi)核文件進行過濾驅(qū)動的編寫。主要包括以下幾個方面：

（1）動態(tài)捕獲移動存儲設(shè)備的安裝與移除

在應(yīng)用過程中，可以利用IoCreateDevice創(chuàng)建一個控制設(shè)備對象來表示文件過濾驅(qū)動程序，并通過IoCreateSymbolicLink將命名調(diào)節(jié)為可見，這樣就使得應(yīng)用程序在應(yīng)用中抓到了核心模塊驅(qū)動的句柄。然后通過編寫分發(fā)例程，對新設(shè)備的安裝與卸載實施監(jiān)控。在以上程序完成之后，就可以進行安全系統(tǒng)監(jiān)控設(shè)備的安裝。并通過調(diào)用IoCreateDevice程序為添加卷創(chuàng)建設(shè)備對象，并對其進行綁定，由此對新加卷實施監(jiān)控。

（2）對移動存儲設(shè)備的讀、寫實行控制

在運行過程中，監(jiān)控服務(wù)器要管理著監(jiān)控代理上的移動存儲設(shè)備所使用的策略信息，并在初始化的過程中傳遞給代理端。然后監(jiān)控代理會根據(jù)禁止讀或者寫的指令，對移動存儲設(shè)備進行使用[3]。

（3）對關(guān)鍵文件的授權(quán)訪問

在完成對移動存儲設(shè)備上文件操作的記錄后，管理員就可以通過手動的方式將需要保護的文件添加在授權(quán)列表中，然后文件過濾驅(qū)動就可以記錄這些文件的絕對路徑，并設(shè)置訪問密碼。這樣在對關(guān)鍵文件進行重命名、刪除以及其他操作時，就可以通過IRP進行攔截，從而對文件起到保護的作用。

4 結(jié)論

移動存儲設(shè)備的安全已成為目前研究的主要方向，它與網(wǎng)絡(luò)的信息安全密切相關(guān)。本文設(shè)計的安全監(jiān)控系統(tǒng)是通過對移動存儲設(shè)備與計算機之間的傳輸進行監(jiān)控，有效防止在傳輸過程中信息感染病毒，從而對重要信息進行保護。隨著科技的發(fā)展，相信此項技術(shù)可以廣泛應(yīng)用到個人、企業(yè)以及機關(guān)等部門，為人們的生活帶來極大的便利。

參考文獻

[1]段翼真，王曉程，王斌.USB存儲設(shè)備安全監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機應(yīng)用，2010，（S1）：102-105，108.

[2]夏輝.政務(wù)網(wǎng)移動存儲設(shè)備安全防護系統(tǒng)設(shè)計與實現(xiàn)[D].上海交通大學(xué)，2010.

[3]陳麟，林宏剛，胡勇.移動存儲設(shè)備數(shù)據(jù)安全導(dǎo)入系統(tǒng)[J].四川大學(xué)學(xué)報（工程科學(xué)版），2009，（2）：216-220.

（作者單位：吉首大學(xué)張家界學(xué)院）

課題項目：吉首大學(xué)張家界學(xué)院科學(xué)研究項目“移動存儲設(shè)備的安全監(jiān)控與管理研究”（zyzd201503）資助。