主動防泄密信息安全防護系統研究與實現

摘 要:為從根本上提高網絡信息安全防護能力和水平，提出主動防泄密安全機制，采用綜合身份認證訪問控制、文件操作實時監控和數據安全存儲的全面信息安全防護技術方案，設計出一種主動防泄密信息安全防護系統。系統實現了基于eKey的網絡身份認證與安全登錄、基于雙層監控機制的文件操作實時監控和基于網絡的文件加密，有效提高了防范內部主動泄密和外部技術竊取的安全防護能力。

關鍵詞:主動防泄密; 身份認證; 實時監控; 系統密鑰

中圖分類號:TP39;TP31;TP393 文獻標識碼:A

文章編號:1004-373X(2010)09-0101-03

Research and Realization of Active Anti-leakage Security System of Information

GE Chun， LIU Hao-jie， SHI Jing， SONG Hong-juan

(PLA Sergeant College of the Second Artillery， Qingzhou 262500，China)

Abstract: In order to improve the capability and level of information security protection for internal LAN， a sort of me-chanism for active anti-leakage of information is put forward，a scheme of comprehensive settlement of information security protection which makes up of identity authentication， access control， file realtime monitoring and data storage security are adopted， and then a sort of active anti-leakage information security system were designed and realized. The functions of identity authentication on network and safety logon based on eKey technology， file monitoring based on double-level monitor mechanism and file encryption based on network environments were achieved. The capability to prevent confidential information leakage induced by internal initiative leaking and external filching technology is efficiently enhanced.

Keywords: active anti-leakage of information; identity authentication; real-time monitoring; system key

0 引 言

加強網絡信息安全既要防范外部人員非法介入或竊取信息，更要防范內部人員的主動泄密。根據美國聯邦調查局(FBI)和計算機安全機構(CSI)的調查結果顯示，80%以上的安全威脅來自內部[1];中國國家信息安全測評認證中心的調查結果也表明，信息安全問題主要來自泄密和內部人員犯罪[2]。

因此要從根本上提高網絡信息安全防護能力和水平，杜絕各類失泄密事件發生，必須在系統設計規劃中，主動應對各種失泄密途徑，建立一個主動的信息安全保護機制[3]。

1 主動防泄密安全機制

基于上述考慮，本文提出一種主動防泄密安全機制，由用戶綁定機制、網絡綁定機制、處理監控機制、數據加密機制和身份認證機制五部分組成。用戶綁定機制實現涉密文件與用戶的綁定，防止非法用戶接觸涉密文件或合法用戶對涉密文件進行非授權操作;網絡綁定機制實現涉密文件與網絡環境的綁定，使涉密文件只能在特定網絡環境中存在，離開特定網絡環境就成為無效數據;處理監控機制實現涉密文件在處理過程中的安全防護，主要包括對用戶打印、復制、讀寫文件等操作的實時監控;數據加密機制實現涉密文件基于特定網絡和用戶信息的數據加密，使涉密文件統一加密存儲在用戶計算機中;身份認證機制實現用戶與網絡系統的綁定。

上述五種安全機制相互配合，實現了涉密文件基于特定網絡環境和用戶信息的加密存儲，并且只有合法用戶在特定網絡下才能解密文件并進行處理，而處理過程則受到系統實時監控，這樣文件本身就具備了較強的防范內部主動泄密和外部技術竊取的安全防護能力[4]。

2 主動防泄密安全機制技術方案

主動防泄密安全機制涉及到身份論證與訪問控制、數據加密、文件處理監控等關鍵技術，這里根據單位內部局域網信息安全防護的實際需要，提出以下技術實現方案。

(1) 基于eKey的網絡身份認證與安全登錄:用戶只有插入合法的eKey，并通過服務器認證后才可登錄計算機系統。

(2) 基于雙層監控機制的文件操作實時監控:通過用戶層監控實現對涉密文件剪貼板操作、非法打印和拷貝的實時阻斷;通過內核層監控實現涉密文件讀寫權限控制、透明加解密及安全審計等功能。

(3) 基于網絡的文件加密:利用基于網絡的系統密鑰加密機制，并選用具備高強度安全性能的AES算法，實現涉密文件數據的加密。

以上技術方案通過eKey及其存儲的數字證書實現了涉密文件與用戶的綁定以及用戶與網絡系統的綁定;通過系統密鑰實現了涉密文件與網絡環境的綁定;通過雙層監控機制的文件操作實時監控實現了涉密文件在處理過程中的安全防護;通過高強度加密算法加密實現了涉密文件的數據加密存儲。綜合運用以上技術方案，可實現基于主動防泄密安全機制的信息防護[4]。

3 主動防泄密信息安全防護系統的實現

根據上述技術方案，本文設計并實現一種主動防泄密信息安全防護系統，主要由服務器管理端與用戶終端構成，如圖1所示。

圖1 主動防泄密信息安全防護系統結構

服務器中設有密鑰中心，隨機產生密鑰來加密涉密文件。控制服務器負責用戶的注冊，監控規則命令的下發以及文件操作記錄的接收和存儲;數據庫服務器完成監控規則、密鑰信息、用戶注冊信息等數據的存儲。其三大模塊功能如下:

3.1 基于eKey的網絡身份認證與安全登錄

Windows 2000/XP操作系統允許用戶自己定制特殊的登錄方式，因為GINA是Winlogon調用的一個可替換的DLL模塊，認證策略在GINA中實現，通過替換GINA.dll可以實現用其他認證方式代替Windows所默認的登錄方式，比如:eKey、指紋識別等[5]。本文通過開發定制的GINA(Mygina.dll)替換操作系統默認的Msgina.dll，實現基于eKey的雙因素身份認證[6-7]。用戶必須輸入正確的用戶名、密碼，插入合法的eKey并通過網絡身份認證后才有權登錄到操作系統[8]。

3.2 基于雙層監控機制的文件操作實時監控

為了實現對文件操作的全面實時監控，結合API HOOK(API函數截獲)技術和文件系統過濾驅動技術，提出基于用戶層和內核層的雙層文件監控機制，其結構設計如圖2所示。主要由啟動加載模塊、API HOOK模塊(FileHook.dll)、文件訪問監視程序(FileMon.exe)、涉密文件設置接口(FileSet.dll)和文件系統過濾驅動(FileFilter.sys)組成。

圖2 涉密文件實時監控體系結構

啟動加載模塊啟動后讀取配置信息，調用API函數LoadLibrary()加載涉密文件設置接口和文件系統過濾驅動，調用API函數CreateProcess()創建文件訪問監視程序的進程[9]。

API HOOK模塊通過截獲相關文件操作API函數，實現對保密區涉密文件移動操作、打印操作和剪貼板操作的實時阻斷，并通過文件訪問監視程序將操作記錄發送給數據庫服務器。

文件訪問監視程序負責從API HOOK模塊與文件系統過濾驅動的日志暫存隊列中取出日志，并發送日志到數據庫服務器。

涉密文件設置接口通過調用API函數DeviceIoControl()向文件系統過濾驅動發送設置涉密文件的命令。

文件系統過濾驅動根據截獲到的IRP(I/O request package，輸入/輸出請求包)類型調用相應的處理例程[10]，負責維護涉密文件表、控制涉密文件讀/寫訪問、記錄涉密文件讀/寫訪問到日志暫存隊列、阻斷對保密區內文件重命名的IRP請求，在例程中根據監控規則實現保密區內涉密文件的實時監控和透明加解密。

3.3 基于網絡的文件加密

系統的密鑰中心為用戶的每個涉密文件產生一個系統密鑰SK，并利用此系統密鑰加密涉密文件，加密算法采用AES算法。

系統設計了密鑰安全獲取通信協議，保證只有通過合法身份認證的用戶才能得到系統密鑰SK。該協議首先通過檢測用戶eKey的序列號，并與用戶注冊的eKey序列號相比較來實現用戶合法性判斷，然后通過系統密鑰SK的ID號，來正確獲取每個涉密文件對應的系統密鑰SK。

文件加密時首先以系統密鑰SK為加密密鑰，通過AES算法加密原文件，得到文件加密數據，再將系統密鑰SK的ID號寫入文件頭，與文件加密數據組成加密后的涉密文件。

文件解密時，首先讀出文件頭，獲得系統密鑰SK的ID號，并通過ID號在密鑰數據庫中查找對應的EK{SK}。然后檢測用戶eKey的序列號，并與用戶注冊信息相比較，若相同則通過認證，服務器將{EK{SK}}發送到用戶端。用戶端以其eKey的序列號為初始值生成EK，使用EK解密EK{SK}獲得系統密鑰SK(文件解密密鑰)，最后使用系統密鑰SK通過AES算法解密涉密文件。涉密文件基于網絡的加密與解密流程如圖3所示。

圖3 涉密文件基于網絡加密與解密流程

4 結 語

提出主動防泄密安全機制，設計了相應的信息安全防護技術方案，研制了一種主動防泄密信息安全防護系統，實現了基于eKey的網絡身份認證與安全登錄、基于雙層監控機制的文件操作實時監控和基于網絡的文件加密，系統有效提高了防范內部主動泄密和外部技術竊取的安全防護能力。

參考文獻

[1]LAWRENCE A. 2007 CSI/FBI computer crime and security survey[R]. USA: Computer Security Institute， 2007-12-30.

[2]韓君.基于USBKey的Windows身份認證與訪問控制研究[D].武漢:武漢大學，2004.

[3]姜寧.建設主動防御的信息安全體系[J].計算機安全，2005，7(11):35-36.

[4]葛春，楊百龍.涉密微機信息安全防護系統研究[J].現代電子技術，2007，30(12):98-100.

[5]YUE L. Design of an Alternative credentials authentication for Windows[D]. Albany: Computer Science Department of Albany State University. 2004.

[6]Microsoft Corporration. Winlogon and GINA[EB/OL]. [2008-07-22]. http://msdn.Microsoft.com，2008.

[7]Microsoft Corporation. Microsoft Platform SDK[EB/OL]. [2008-09-11]. http://msdn.Microsoft.com，2008.

[8]深圳明華公司.eKey用戶手冊[EB/OL].[2008-06-05]. http://www.mwcard.com，2008/2009.

[9]冉林倉.Windows API編程[M].北京:清華大學出版社，2005.

[10]李民.基于Windows文件系統過濾驅動的文件加/解密技術研究與實現[D].成都:四川大學，2006.