劉建東

文章編號：2095-6835（2017）04-0075-02

摘 要：在移動存儲設(shè)備廣泛使用的同時，存在著極大的安全隱患，一些敏感的絕密數(shù)據(jù)信息面臨著被泄露的風險。從移動存儲設(shè)備安全監(jiān)控與管理的相關(guān)功能模塊設(shè)計、移動存儲設(shè)備文件過濾加密模塊和移動存儲設(shè)備的身份認證模塊3個方面研究，探討了移動存儲設(shè)備的安全監(jiān)控和管理。

關(guān)鍵詞：移動存儲設(shè)備；安全監(jiān)控；功能模塊；加密模塊

中圖分類號：TP309 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2017.04.075

隨著科學(xué)技術(shù)的不斷發(fā)展，在信息時代，出現(xiàn)了很多以前未曾出現(xiàn)的問題，無法有效保障移動存儲設(shè)備的使用安全。為了解決這一問題，社會各界積極探索，努力找到安全、可靠、切實可行的方法。

1 相關(guān)功能模塊設(shè)計

目前，USB接口是計算機配備的標準接口。因此當前的主流移動存儲設(shè)備也大多使用USB接口作為設(shè)備連接口。當用戶將移動存儲設(shè)備與計算機相連時，計算機可以自動安裝、識別移動存儲設(shè)備相應(yīng)的系統(tǒng)，實現(xiàn)即連即用的效果，不需要重新啟動計算機，也不需要用戶手動操作，不牽扯IRQ沖突等問題。

采用USB接口這一連接技術(shù)極大地簡化了計算機與移動存儲設(shè)備之間的信息互通交流過程，因此，這一技術(shù)被廣泛運用，被越來越多的廠商采用。目前，利用USB接口技術(shù)可以快速傳輸數(shù)據(jù)信息，而且數(shù)據(jù)轉(zhuǎn)存的過程也變得更簡潔。但是，在USB接口技術(shù)為人們帶來諸多便利的同時，也存在著很大的安全隱患。所以，加強USB接口的安全控制和管理，實現(xiàn)對移動存儲設(shè)備安全性的把控是十分重要的。

在實際操作中，主要通過以下幾種方式進行USB接口上的安全監(jiān)控和管理：①直接用物理方法禁止USB接口。對于用PIC卡等附加的USB接口，可以直接手動拔出，而其他類型的USB接口，可以采用封堵的方式關(guān)閉。這種方法是最安全的，從物理層面上徹底消除了USB接口所帶來的各種潛在威脅。但是，這種做法相對來說比較極端，USB接口被毀壞后無法再次使用。②在BIOS中阻斷USB接口的使用，即在主板BIOS中關(guān)閉內(nèi)置USB接口選項。這種方法能把所有的USB接口都關(guān)閉，但是，這種“一刀切”的做法會使所有的USB設(shè)備，例如USB鼠標，都無法正常使用。③在訪問控制機制下控制USB接口。這是通過“啟用”“禁用”計算機上的USB接口、1394接口等外設(shè)接口，達到阻斷用戶使用移動存儲設(shè)備等相應(yīng)硬件設(shè)備的目的。④利用全盤文件加密間接控制USB接口的數(shù)據(jù)傳輸。這種控制方式比前幾種方式更呆板，對本地硬盤和移動存儲設(shè)備采取統(tǒng)一的管理方法。此外，全盤文件加密也會阻礙系統(tǒng)正常性能的發(fā)揮。

綜合上述幾種方案，在現(xiàn)有的USB接口技術(shù)中，關(guān)于移動存儲設(shè)備的安全監(jiān)控與管理的措施都存在一定程度的缺陷，無法在有效監(jiān)控和管理移動存儲設(shè)備的同時保證其使用的便捷性和靈活性。

2 文件過濾加密模塊

驅(qū)動程序是連接操作系統(tǒng)與系統(tǒng)硬件之間的重要紐帶。要對移動存儲設(shè)備進行安全監(jiān)控和管理，有效保護USB接口數(shù)據(jù)的安全，需要移動存儲設(shè)備在讀取接口數(shù)據(jù)的過程中融合數(shù)據(jù)信息的加密解密工作，加密保護所有通過USB接口向外部傳輸?shù)臄?shù)據(jù)，對經(jīng)由USB接口輸入進受控主機的數(shù)據(jù)信息均采取解密處理措施。在此過程中，加密和解密是隱藏進行的，用戶不需要輸入密碼也可以操作文件。

本文主要研究的是移動存儲設(shè)備中文件的過濾加密。所謂“過濾驅(qū)動”，是指驅(qū)動層中的一種類型，它是一種特殊的核心模式驅(qū)動。過濾驅(qū)動與其他驅(qū)動相比，處于較為上層的位置，凌駕于其他驅(qū)動之上，有權(quán)限攔截底層驅(qū)動設(shè)備對象的請求。文件過濾驅(qū)動的主要功能是增加文件系統(tǒng)的功能，修改文件系統(tǒng)驅(qū)動。文件系統(tǒng)過濾驅(qū)動是Windows NT系統(tǒng)的重要組成部分，它可以記錄、監(jiān)控、管理文件系統(tǒng)或者文件系統(tǒng)卷的工作過程，具體的運作過程由驅(qū)動的類型決定。在操作過程中，經(jīng)常使用的文件系統(tǒng)過濾驅(qū)動涵蓋了防病毒軟件、加密程序和分級存儲管理系統(tǒng)等多種實際應(yīng)用類型。要想實現(xiàn)USB接口對移動存儲設(shè)備在使用過程中的安全監(jiān)控和管理，主要依靠的是文件加密存儲功能。在實際運行過程中，過濾驅(qū)動程序會攔截用戶對移動存儲設(shè)備的請求，保證數(shù)據(jù)加密存儲，并對用戶的請求進行數(shù)據(jù)解密，最終達到保護主機數(shù)據(jù)的目的。

3 身份認證模塊

移動存儲設(shè)備的身份認證模塊主要是為了攔截主機內(nèi)部人員肆意使用未經(jīng)準許的存儲設(shè)備，防范未經(jīng)準許的存儲設(shè)備向主機輸入病毒，泄露內(nèi)部信息等的安全問題的發(fā)生。

移動存儲設(shè)備的身份認證主要功能包括：身份注冊功能、身份認證功能、接入監(jiān)控功能和認證處理功能等。在這些功能中，接入監(jiān)控功能和認證處理功能相對來說更為重要。

用戶將移動存儲設(shè)備連接到主機系統(tǒng)時，操作系統(tǒng)會廣播設(shè)備改變消息WM DEVICECHANGE。全部應(yīng)用程序在接到WM DEVICECHANGE消息時，會相應(yīng)加載處理函數(shù)OnDeviceChange。這一函數(shù)捕獲WM DEVICECHANGE事件后，事件會被涵蓋在消息wParam中，獲得DEV BROADCEAST VOLUME結(jié)構(gòu)數(shù)據(jù)。該數(shù)據(jù)中的各成員與變量之間依次對應(yīng)，據(jù)此可以獲得現(xiàn)有移動存儲設(shè)備的盤符。

接收消息后將開始逐一列舉主機中的全部移動設(shè)備，取得設(shè)備類型。如果是存儲設(shè)備，則需依據(jù)盤符判斷該設(shè)備是否需要驗證；如果是待驗證，則獲取設(shè)備的描述符和字符串描述符進行身份驗證；如果能通過驗證，則可以正常操作；如果無法通過驗證，該移動存儲設(shè)備將會被強制卸載，無法使用，以確保主機的安全，實現(xiàn)對移動存儲設(shè)備的安全監(jiān)控和管理。

4 結(jié)束語

本文主要探討了移動存儲設(shè)備安全監(jiān)控和管理的相關(guān)功能模塊設(shè)計、移動存儲設(shè)備文件過濾加密模塊和移動存儲設(shè)備的身份認證模塊3個方面的內(nèi)容。但是，數(shù)據(jù)信息安全性的保護不能只依靠技術(shù)層面的措施，還要充分落實各種安全保密制度，

通過法律法規(guī)來保護自主知識產(chǎn)權(quán)，從根本上杜絕信息被泄露

的情況發(fā)生。

參考文獻

[1]彭望龍.基于J2EE的移動存儲設(shè)備電子文件安全管理系統(tǒng)的設(shè)計與實現(xiàn)[D].南京：南京理工大學(xué)，2012.

[2]侯興超.基于移動存儲設(shè)備管理的主機防信息泄漏系統(tǒng)研究與設(shè)計[D].鄭州：解放軍信息工程大學(xué)，2007.

[3]曹成龍.基于文件過濾驅(qū)動的移動存儲控制系統(tǒng)的研究與實現(xiàn)[D].南京：南京信息工程大學(xué)，2011.

〔編輯：白潔〕