移動電子設(shè)備信息資源的安全問題

0便攜式存儲的安全管理目標(biāo)由于移動存儲設(shè)備（u盤、hdd）由于使用靈活、便于攜帶等特點，深受普及。雖然方便使用，但增加了披露安全信息的可能性。存儲在計算機(jī)上的敏感信息很容易在不被察覺的情況下被拷貝到移動設(shè)備上,移動設(shè)備上的敏感信息很容易被泄漏出去,移動設(shè)備上的病毒有可能感染宿主計算機(jī)。為此,本文提出一種便攜式存儲器安全管理平臺,從移動設(shè)備認(rèn)證、防止文件自拷貝、防止U設(shè)備病毒等方面入手,強(qiáng)化對移動設(shè)備的安全管理,防止通過移動設(shè)備引起信息泄漏、病毒感染等。移動設(shè)備認(rèn)證技術(shù)保證了對基于USB接口的移動存儲設(shè)備實行雙向訪問控制,在服務(wù)器端注冊的移動存儲設(shè)備才能夠被允許在單位內(nèi)部的計算機(jī)上使用,而不允許使用任何未經(jīng)認(rèn)證的移動設(shè)備。防止文件自動拷貝技術(shù)確保了未經(jīng)授權(quán)的任何移動存儲設(shè)備從本機(jī)拷貝到任何的信息。從而保證了本機(jī)信息的安全性,防止U設(shè)備病毒等一切可能的病毒木馬類惡意程序在宿主計算機(jī)上運行,進(jìn)一步保護(hù)了宿主計算機(jī)信息的安全。目前國內(nèi)對此方面關(guān)注得頗少,2006年王黎1移動設(shè)備監(jiān)控本系統(tǒng)由管理軟件和監(jiān)控軟件兩個子系統(tǒng)組成。管理軟件提供給服務(wù)器端使用,主要對本單位的移動設(shè)備進(jìn)行注冊和認(rèn)證管理,允許在本單位內(nèi)部計算機(jī)上使用的移動設(shè)備必須經(jīng)過注冊。監(jiān)控軟件安裝和運行在內(nèi)部計算機(jī)上,對移動設(shè)備的接入進(jìn)行監(jiān)控,它能識別出內(nèi)部移動設(shè)備和未經(jīng)認(rèn)證的外來移動設(shè)備,并能有效地拒絕外來移動設(shè)備的接入。同時,監(jiān)控軟件還能夠?qū)θ魏未鎯υ趦?nèi)部移動監(jiān)控軟件上的信息進(jìn)行檢索,對用戶是透明的,在未安裝監(jiān)控軟件的計算機(jī)上無法打開這些文件,即使移動設(shè)備丟失,也能保證敏感信息不會泄漏。管理軟件和監(jiān)控軟件相互配合,保證了移動設(shè)備的認(rèn)證和信息安全。2系統(tǒng)的實現(xiàn)技術(shù)2.1usb過濾驅(qū)動實現(xiàn)移動設(shè)備的識別,首先要對移動設(shè)備進(jìn)行認(rèn)證。管理子系統(tǒng)對移動設(shè)備的認(rèn)證信息可作為監(jiān)控軟件判斷移動設(shè)備是否為可信存儲設(shè)備的標(biāo)準(zhǔn)。認(rèn)證信息存放在移動設(shè)備的特定扇區(qū)內(nèi)。實現(xiàn)移動設(shè)備的識別過程為:判斷移動設(shè)備是否經(jīng)過認(rèn)證,若是,向下層發(fā)送“安裝”請求,否則返回錯誤。這樣,所有沒有經(jīng)過認(rèn)證的移動設(shè)備都不能在本機(jī)上使用。移動設(shè)備注冊時,在移動設(shè)備的特殊區(qū)域?qū)懭虢?jīng)過加密的認(rèn)證標(biāo)識,以此作為內(nèi)部移動設(shè)備的標(biāo)志。加密過程由系統(tǒng)內(nèi)部實現(xiàn),加密后的USB設(shè)備經(jīng)過格式化后其認(rèn)證標(biāo)識不會丟失,當(dāng)經(jīng)過認(rèn)證的移動設(shè)備插入內(nèi)部計算機(jī)時,監(jiān)控軟件自動識別特定的認(rèn)證標(biāo)志,實現(xiàn)移動設(shè)備的認(rèn)證。而外來移動設(shè)備插入內(nèi)部計算機(jī)時,因無法識別而被拒絕使用。身份認(rèn)證用到了USB過濾驅(qū)動技術(shù)處于功能驅(qū)動程序之上的過濾器驅(qū)動程序稱為上層過濾器;處于功能驅(qū)動程序之下的過濾器驅(qū)動程序(仍處于總線驅(qū)動程序之上)稱為下層過濾器。雖然這兩種驅(qū)動程序本身用于不同的目的,但創(chuàng)建這兩種驅(qū)動程序的機(jī)制完全相同。本文所用技術(shù)為USB上層過濾驅(qū)動程序,這里只涉及USB上層過濾驅(qū)動程序。實際上,創(chuàng)建過濾器驅(qū)動程序就像創(chuàng)建任何其它WDM驅(qū)動程序一樣,都有DriverEntry例程、AddDevice例程、一組派遣函數(shù)等等。上層過濾器驅(qū)動程序的用途是幫助支持這樣的設(shè)備,這種設(shè)備的大多數(shù)方面都像其所屬類的普通設(shè)備,但有一些附加功能。你可以依靠一個通用的功能驅(qū)動程序來支持設(shè)備的普通行為。為了處理設(shè)備的附加功能,你可以寫一個上層過濾器驅(qū)動程序來干預(yù)IRP流。舉一個有趣的例子,假設(shè)存在一個烤面包機(jī)設(shè)備的標(biāo)準(zhǔn)類,并且已經(jīng)有人為其寫了一個標(biāo)準(zhǔn)驅(qū)動程序。再假設(shè)你的特殊烤面包機(jī)有一個高級的面包片彈出特征,它可以把烤好的面包片彈到兩英尺高的空中。而控制這個AWE(AdvancedWaffleEject)特征的工作就是上層過濾器驅(qū)動程序的任務(wù)(如圖1所示),USB過濾驅(qū)動程序位于功能驅(qū)動程序之上,如圖2所示。當(dāng)I/O管理器將IRP發(fā)送給USB設(shè)備時,首先發(fā)送給上層過濾驅(qū)動。然后按照圖示依次向下傳。對于USB設(shè)備的讀寫,如果全部返回進(jìn)行特殊過濾,那么功能驅(qū)動程序?qū)⒉辉賵?zhí)行讀或者寫操作,從而對USB設(shè)備進(jìn)行了禁用。具體實現(xiàn)技術(shù)如下:Windows中對U盤的操作采用的是SCSI(1)得到當(dāng)前的SCSI命令DbgPrint(\″IRP＿M(jìn)J＿SCSI\″);現(xiàn)在opCode中就是當(dāng)前的SCSI命令。(2)分析SCSI命令(由于SCSI命令很多,找到真正要攔截的SCSI命令,可以參考規(guī)范)這里是對寫操作進(jìn)行過濾。對讀操作的過濾步驟同上。2.2人在usb設(shè)備中存在自動運行的文件目前,隨著U盤使用頻率的增加,一些惡意程序,比如自拷貝程序、病毒、木馬開始寄生在U盤等移動存儲設(shè)備上。有些惡意程序的寄生手段非常高明,令人防不勝防。為此本系統(tǒng)提出了一個較好的解決方案。第一步捕獲USB設(shè)備插入事件響應(yīng)U盤插入事件,應(yīng)用程序中捕獲WM_DEVICECHANGE消息:第二步檢測USB設(shè)備中存在自動運行的系統(tǒng)文件遍歷U盤上當(dāng)前根目錄文件,以檢測系統(tǒng)文件autorun.infBOOLCFileCopyCheck::CheckAutoRun(constchar*rootDir)第三步分析該文件結(jié)構(gòu),處理文件對應(yīng)的自拷貝程序制止子拷貝程序或者病毒等惡意程序的運行。經(jīng)過第二步的檢測以后,如果存在系統(tǒng)文件autorun.inf就分析autorun.inf文件,獲得子拷貝程序名字,進(jìn)行相關(guān)安全處理。刪除autorun.inf文件,刪除子拷貝程序,刪除子拷貝程序向注冊表中添加的任何關(guān)聯(lián)信息。如果認(rèn)為子拷貝程序是病毒、木馬等程序,本方案也會采取安全監(jiān)控。當(dāng)USB設(shè)備拔出以后,USB設(shè)備中可能存在的子拷貝等惡意程序?qū)⒉荒芗拇嬖赨SB設(shè)備上,從而進(jìn)一步防止了子拷貝等惡意程序的運行。3usb設(shè)備使用本系統(tǒng)分為服務(wù)器端(Server)和客戶端(Client)兩部分,服務(wù)器和客戶端不存在通信。服務(wù)器端負(fù)責(zé)向指定的USB設(shè)備扇區(qū)寫入加密數(shù)據(jù),進(jìn)行注冊。其原理如圖3所示?？蛻舳吮O(jiān)控USB插入事件,檢測USB是否為信任設(shè)備,即是否已經(jīng)在服務(wù)器端注冊過。若未注冊,設(shè)備將會被禁用。設(shè)備被信任后,檢測設(shè)備中是否存在惡意程序,如U盤病毒、自拷貝程序等等?？蛻舳肆鞒倘鐖D4所示。4注冊后出現(xiàn)添加移動設(shè)備的標(biāo)簽本系統(tǒng)采用的實驗測試平臺為奔4處理器,512MB內(nèi)存,windowsxp2運行服務(wù)器端程序后,在桌面任務(wù)欄的右下方會出現(xiàn)相應(yīng)的圖標(biāo),將鼠標(biāo)置于上面就會顯示“移動設(shè)備控制—服務(wù)器端”字樣,插入所需要注冊的移動設(shè)備后右擊該圖標(biāo),點擊注冊,然后選擇需要注冊的設(shè)備符,點擊確定即可。對沒有注冊過的移動設(shè)備,當(dāng)雙擊啟動移動設(shè)備時,會彈出一個消息框如圖5所示,表示該設(shè)備已經(jīng)禁用。對已經(jīng)注冊過的移動設(shè)備,當(dāng)再次注冊時,會彈出一個已經(jīng)注冊過了的對話框。如圖6所示。5密信息保護(hù)系統(tǒng)由于移動存儲設(shè)備的大量使用而引起的安全問題給企業(yè)信息化建設(shè)帶來了很大的困擾,這些問題隨著信息化建設(shè)的逐步深入會越來越突出,越來越嚴(yán)重。經(jīng)過系統(tǒng)測試和實際使用表明,本文開發(fā)的系統(tǒng)具有安全可靠、工作穩(wěn)定以及使用簡便等特點,可廣泛