尚 瑛，張凱然

(1.中交第二公路工程局有限公司信息技術(shù)處，陜西西安 710065;2.西安電子科技大學(xué)電子工程學(xué)院，陜西西安 710071)

在網(wǎng)絡(luò)給人們生活帶來方便的同時，其安全也成為困擾人們的一個難題。病毒、黑客入侵等，給社會造成了巨大的經(jīng)濟損失。此外，機密文件在生產(chǎn)的過程中經(jīng)過多個環(huán)節(jié)，也存在潛在的威脅、干擾或泄漏。因此保障信息存儲的安全性成為目前研究的熱點。

對于計算機重要信息數(shù)據(jù)的保護，目前已有學(xué)者提出了3層保護體系［1－2］。多家公司也基于操作系統(tǒng)內(nèi)核設(shè)計了軟、硬件結(jié)合的信息安全產(chǎn)品，具有一定的優(yōu)勢，但價格昂貴。對于某些關(guān)系國計民生的數(shù)據(jù)生產(chǎn)商而言，使用這些產(chǎn)品存在弊端。據(jù)權(quán)威咨詢公司調(diào)查指出，超過60%的被調(diào)查公司，報告信息的非授權(quán)使用和篡改的非法行為時有發(fā)生。70%的公司認(rèn)為，PC計算機信息丟失和被竊取，是造成公司經(jīng)濟損失的主要原因。由此，有必要研制一套利于第三方用戶靈活使用的一套體系，實現(xiàn)在內(nèi)部網(wǎng)絡(luò)中對機密文件進行有效實時監(jiān)控。目前常用的文件監(jiān)控方法，是基于虛擬設(shè)備掛接方式的監(jiān)控［3］，這需要在Windows系統(tǒng)內(nèi)核層編程，實現(xiàn)難度較大，且多個設(shè)備掛接，容易造成系統(tǒng)資源浪費。

文中針對數(shù)據(jù)文件，基于Windows API設(shè)計并實現(xiàn)了一種較為通用的文件監(jiān)控系統(tǒng)，首先針對具體的數(shù)據(jù)文件類別，引入數(shù)字水印技術(shù)，確保數(shù)據(jù)文件的版權(quán)或完整性;此外對打開、查詢、讀/寫、刪除、重命名文件等操作進行監(jiān)控和記錄，防止未授權(quán)用戶非法拷貝盜取文件信息。

1 數(shù)據(jù)安全監(jiān)控系統(tǒng)

系統(tǒng)設(shè)計目標(biāo):所有用戶均需進行嚴(yán)格的身份驗證，系統(tǒng)管理員可根據(jù)工作任務(wù)不同動態(tài)設(shè)置終端用戶的權(quán)限和資源，任何非法用戶或未授權(quán)用戶對涉密文件的訪問、外接設(shè)備的訪問被禁止，系統(tǒng)對用戶的所有操作均記錄，并對日志進行有效管理。要求該系統(tǒng)的設(shè)計模式具有通用性、實用性、易于管理、可維護性好。

通過分析現(xiàn)有技術(shù)，設(shè)計的數(shù)據(jù)文件安全監(jiān)控系統(tǒng)對應(yīng)的軟件模塊為:系統(tǒng)管理員模塊、數(shù)據(jù)加密模塊、訪問控制模塊、端口控制模塊、U盤監(jiān)控模塊、審計日志模塊和系統(tǒng)保護模塊，具體功能如下:

(1)數(shù)據(jù)加密，信息置亂、數(shù)字水印是新興的信息安全技術(shù)。信息置亂就是利用一些變換，將數(shù)據(jù)以其他方式存儲，具有一定的加密性;數(shù)字水印是在載體數(shù)據(jù)中嵌入版權(quán)信息來表示該數(shù)據(jù)的版權(quán)，或嵌入其他一些信息以確保原文件數(shù)據(jù)仍保持完整，沒有被篡改?，F(xiàn)有的文件數(shù)據(jù)可分成圖像數(shù)據(jù)、矢量圖形數(shù)據(jù)、文本數(shù)據(jù)和文檔數(shù)據(jù)。針對以上數(shù)據(jù)的魯棒水印技術(shù)或脆弱、半脆弱水印技術(shù)已比較成熟。在保證文件可用的前提下，完全可以引入以上技術(shù)來實現(xiàn)數(shù)據(jù)文件的加密，這樣即使文件泄漏，也可保證數(shù)據(jù)不可直接被竊取者利用，在一定程度上降低損失;而數(shù)字水印可以協(xié)助追蹤信息泄漏的源頭。

(2)身份認(rèn)證，被監(jiān)控設(shè)備用戶的身份驗證。

(3)訪問控制，當(dāng)用戶訪問涉密文件時，實時獲取其操作信息，并將其傳輸給用戶層，并確認(rèn)其是否有此權(quán)限，并作出相應(yīng)的響應(yīng)。

(4)外接存儲設(shè)備及端口監(jiān)控，對計算機端口和外接存儲設(shè)備如光盤、軟盤、USB設(shè)備等的使用情況進行監(jiān)控，防止機密信息通過外接存儲設(shè)備發(fā)生泄漏和流失。

2 存儲監(jiān)控系統(tǒng)設(shè)計與實現(xiàn)

2.1 信息加密技術(shù)

以軍用地理信息數(shù)據(jù)為例，部分地理信息產(chǎn)品以柵格圖像的形式存儲。它可能受到以下攻擊:增大或減小圖像的亮度和對比度;為看清圖像細(xì)節(jié)，通常先將圖像放大，再縮小到原來尺寸;計算機軟、硬件的限制，使海量地理信息圖像不可能一次完成，必須進行圖像拼接或裁剪。由于地理信息數(shù)據(jù)具有一定的地理精度和明確的屬性特征，一般不進行壓縮、加噪、縮小和濾波等操作，會損失圖像信息，使地理信息喪失使用價值。為對數(shù)據(jù)進行加密，首先采用文獻(xiàn)［4］算法嵌入水印，然后進行存儲。

2.2 基于Window API文件監(jiān)控實現(xiàn)

文件訪問控制模塊是監(jiān)控系統(tǒng)中的核心模塊，其保護涉密文件不被隨意修改，阻止涉密文件被未經(jīng)授權(quán)的拷貝，并實時監(jiān)控對涉密文件的其他操作。

Windows操作系統(tǒng)中，文件系統(tǒng)的主要功能是由文件系統(tǒng)驅(qū)動程序(File System Driver，F(xiàn)SD)和存儲設(shè)備驅(qū)動程序兩部分完成。其中，F(xiàn)SD負(fù)責(zé)文件管理，應(yīng)用程序接口通過FSD來創(chuàng)建和存取文件。文件系統(tǒng)按不同的處理功能進行了層次劃分，其基本結(jié)構(gòu)如圖1所示。

圖1 基于NT核心的文件系統(tǒng)結(jié)構(gòu)

這種層次結(jié)構(gòu)，為程序員開發(fā)文件系統(tǒng)的特性化功能提供了豐富的接口，既可以在FSD層采用文件系統(tǒng)驅(qū)動過濾的方式來開發(fā)文件監(jiān)控系統(tǒng)，又可以在應(yīng)用程序接口層利用系統(tǒng)提供的Win32 API開發(fā)存儲監(jiān)控系統(tǒng)［5］。

要完成存儲數(shù)據(jù)的監(jiān)控，需要對涉密文件的操作進行攔截，通常采用的方法有:掛鉤函數(shù)、攔截系統(tǒng)調(diào)用和加載文件系統(tǒng)過濾驅(qū)動。掛鉤函數(shù)方式通過在用戶模式下掛鉤與文件操作相關(guān)的API函數(shù)來達(dá)到監(jiān)視文件操作的目的;而通過修改系統(tǒng)調(diào)用表中提供的接口函數(shù)的調(diào)用入口，攔截文件操作，需要過濾大量無關(guān)信息，造成不必要的系統(tǒng)開銷;加載文件系統(tǒng)過濾驅(qū)動相對于攔截系統(tǒng)調(diào)用方式則更底層，實現(xiàn)不易?；谏鲜龇治?，直接利用系統(tǒng)API相關(guān)接口實現(xiàn)用戶層操作。

該途徑利用系統(tǒng)提供的Windows API監(jiān)視文件及文件夾的改變，針對文件信息狀態(tài)的變化來執(zhí)行特定的操作，實現(xiàn)監(jiān)控存儲數(shù)據(jù)的目的。通過指定被監(jiān)控文件的后綴，該后綴類型的文件的任何操作都將被監(jiān)控程序監(jiān)視和記錄，其中非法的操作會被立即禁止。對于指定后綴名的文件，可監(jiān)視的操作有:新建、刪除、修改后綴、拷貝至移動設(shè)備等。

當(dāng)新建、刪除文件或文件夾，修改文件名稱或后綴時，通過系統(tǒng)提供類CDirectoryChange－Watcher和CDirectoryChangeHandler中的API函數(shù)，就能得到有關(guān)文件狀態(tài)改變的系統(tǒng)消息，程序開發(fā)人員就可依據(jù)需求，為系統(tǒng)消息加入相應(yīng)的響應(yīng)處理，實現(xiàn)文件操作的監(jiān)控。其中，CDirectoryChangeWatcher通過創(chuàng)建一個線程，來監(jiān)視文件或文件夾，并等待文件或文件夾的改變進而捕獲消息，類CDirectoryChangeWatcher的一個對象可同時監(jiān)視多個文件或文件夾，并能根據(jù)需要增加或刪減文件夾。當(dāng)接收到文件或文件夾改變的消息時，類 CDirectoryChange－Watcher利用CDirectoryChangeHandler類把相關(guān)消息發(fā)送給應(yīng)用程序。程序開發(fā)人員從CDirectoryChangeHandler繼承一個子類，處理文件或文件夾改變的消息。

通過上述兩個Windows類API函數(shù)進行重載，當(dāng)用戶在本機或者移動存儲設(shè)備上新建、刪除、修改或拷貝涉密件時，安全監(jiān)控系統(tǒng)對具有特殊文件后綴名的涉密文件進行監(jiān)控，并控制文件進出端口和U盤等移動介質(zhì)，保護了文件的安全性和隱密性。

2.3 U盤合法性認(rèn)證

注冊表由微軟公司引入，其特點有:(1)允許對硬件、系統(tǒng)參數(shù)、設(shè)備驅(qū)動程序等進行跟蹤配置。(2)注冊表中登錄的硬件部分?jǐn)?shù)據(jù)支持高版本W(wǎng)indows的即插即用特性。(3)通過注冊表可以檢查系統(tǒng)的配置和設(shè)置，注冊表的這些特征為U盤的合法性認(rèn)證奠定了基礎(chǔ)。

筆者根據(jù)U盤的惟一性標(biāo)志對U盤進行識別和分類，達(dá)到身份驗證的目的。這需要從計算機硬件信息中提取U盤序列號和盤符，并根據(jù)序列號的惟一性判斷U盤的合法性。U盤序列號的獲取步驟如下:首先，根據(jù)U盤的系統(tǒng)注冊記錄讀取U盤的相關(guān)信息;然后，逐字節(jié)分析U盤信息，提取U盤的序列號和盤符;最后，將提取的U盤序列號與監(jiān)控端允許的合法序列號集合進行比對，實現(xiàn)U盤認(rèn)證。

U盤如果認(rèn)證合法，則對U盤進行實時監(jiān)控;否則強行退出，拒絕對該U盤的任何訪問。對于合法U盤，若用戶具有涉密文件的拷貝權(quán)限，則監(jiān)控系統(tǒng)允許對涉密文件進行拷貝，同時監(jiān)控系統(tǒng)會實時記錄對U盤的一切操作信息，并寫進日志記錄文件，以便事后追查，有效保障涉密文件的安全性。

3 結(jié)束語

對Windows操作系統(tǒng)中數(shù)據(jù)文件的安全監(jiān)控進行了研究，設(shè)計并實現(xiàn)了一種基于Win32API的文件監(jiān)控系統(tǒng)。通過數(shù)據(jù)加密、用戶權(quán)限設(shè)定、U盤認(rèn)證、端口控制等技術(shù)的利用，在操作系統(tǒng)的應(yīng)用層實現(xiàn)了用戶對文件的創(chuàng)建、刪除、拷貝、重命名等操作的監(jiān)控和處理，有效防止了涉密文件數(shù)據(jù)非法訪問等問題。

［1］ 王雷，莊毅，潘龍平.基于強制訪問控制的文件安全監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)［J］.計算機應(yīng)用，2006，26(12):161－164.

［2］ 李慧，孫波.網(wǎng)絡(luò)監(jiān)控技術(shù)的研究與實現(xiàn)［J］.計算機工程與設(shè)計，2004(8):1302－1304.

［3］ 李凡，劉學(xué)照，盧安，等.WindowsNT內(nèi)核下文件系統(tǒng)過濾驅(qū)動程序開發(fā)［J］.華中科技大學(xué)學(xué)報:自然科學(xué)版，2003(1):28－30.

［4］ 朱靜靜，曾平，謝琨.針對柵格地圖的快速魯棒盲水印算法［J］.計算機工程，2008，34(1):167－169.

［5］ 求是科技.Windows API程序設(shè)計參考大全［M］.北京:人民郵電出版社，2006.