移動存儲設備的安全監控與管理研究

劉建東

文章編號：2095-6835（2017）04-0052-02

摘 要：在移動存儲設備廣泛使用的同時，存在著極大的安全隱患，一些敏感的絕密數據信息面臨著被泄露的風險。從移動存儲設備安全監控與管理的相關功能模塊設計、移動存儲設備文件過濾加密模塊和移動存儲設備的身份認證模塊3個方面研究，探討了移動存儲設備的安全監控和管理。

關鍵詞：移動存儲設備；安全監控；功能模塊；加密模塊

中圖分類號：TP309 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2017.04.052

隨著科學技術的不斷發展，在信息時代，出現了很多以前未曾出現的問題，無法有效保障移動存儲設備的使用安全。為了解決這一問題，社會各界積極探索，努力找到安全、可靠、切實可行的方法。

1 相關功能模塊設計

目前，USB接口是計算機配備的標準接口。因此當前的主流移動存儲設備也大多使用USB接口作為設備連接口。當用戶將移動存儲設備與計算機相連時，計算機可以自動安裝、識別移動存儲設備相應的系統，實現即連即用的效果，不需要重新啟動計算機，也不需要用戶手動操作，不牽扯IRQ沖突等問題。

采用USB接口這一連接技術極大地簡化了計算機與移動存儲設備之間的信息互通交流過程，因此，這一技術被廣泛運用，被越來越多的廠商采用。目前，利用USB接口技術可以快速傳輸數據信息，而且數據轉存的過程也變得更簡潔。但是，在USB接口技術為人們帶來諸多便利的同時，也存在著很大的安全隱患。所以，加強USB接口的安全控制和管理，實現對移動存儲設備安全性的把控是十分重要的。

在實際操作中，主要通過以下幾種方式進行USB接口上的安全監控和管理：①直接用物理方法禁止USB接口。對于用PIC卡等附加的USB接口，可以直接手動拔出，而其他類型的USB接口，可以采用封堵的方式關閉。這種方法是最安全的，從物理層面上徹底消除了USB接口所帶來的各種潛在威脅。但是，這種做法相對來說比較極端，USB接口被毀壞后無法再次使用。②在BIOS中阻斷USB接口的使用，即在主板BIOS中關閉內置USB接口選項。這種方法能把所有的USB接口都關閉，但是，這種“一刀切”的做法會使所有的USB設備，例如USB鼠標，都無法正常使用。③在訪問控制機制下控制USB接口。這是通過“啟用”“禁用”計算機上的USB接口、1394接口等外設接口，達到阻斷用戶使用移動存儲設備等相應硬件設備的目的。④利用全盤文件加密間接控制USB接口的數據傳輸。這種控制方式比前幾種方式更呆板，對本地硬盤和移動存儲設備采取統一的管理方法。此外，全盤文件加密也會阻礙系統正常性能的發揮。

綜合上述幾種方案，在現有的USB接口技術中，關于移動存儲設備的安全監控與管理的措施都存在一定程度的缺陷，無法在有效監控和管理移動存儲設備的同時保證其使用的便捷性和靈活性。

2 文件過濾加密模塊

驅動程序是連接操作系統與系統硬件之間的重要紐帶。要對移動存儲設備進行安全監控和管理，有效保護USB接口數據的安全，需要移動存儲設備在讀取接口數據的過程中融合數據信息的加密解密工作，加密保護所有通過USB接口向外部傳輸的數據，對經由USB接口輸入進受控主機的數據信息均采取解密處理措施。在此過程中，加密和解密是隱藏進行的，用戶不需要輸入密碼也可以操作文件。

本文主要研究的是移動存儲設備中文件的過濾加密。所謂“過濾驅動”，是指驅動層中的一種類型，它是一種特殊的核心模式驅動。過濾驅動與其他驅動相比，處于較為上層的位置，凌駕于其他驅動之上，有權限攔截底層驅動設備對象的請求。文件過濾驅動的主要功能是增加文件系統的功能，修改文件系統驅動。文件系統過濾驅動是Windows NT系統的重要組成部分，它可以記錄、監控、管理文件系統或者文件系統卷的工作過程，具體的運作過程由驅動的類型決定。在操作過程中，經常使用的文件系統過濾驅動涵蓋了防病毒軟件、加密程序和分級存儲管理系統等多種實際應用類型。要想實現USB接口對移動存儲設備在使用過程中的安全監控和管理，主要依靠的是文件加密存儲功能。在實際運行過程中，過濾驅動程序會攔截用戶對移動存儲設備的請求，保證數據加密存儲，并對用戶的請求進行數據解密，最終達到保護主機數據的目的。

3 身份認證模塊

移動存儲設備的身份認證模塊主要是為了攔截主機內部人員肆意使用未經準許的存儲設備，防范未經準許的存儲設備向主機輸入病毒，泄露內部信息等的安全問題的發生。

移動存儲設備的身份認證主要功能包括：身份注冊功能、身份認證功能、接入監控功能和認證處理功能等。在這些功能中，接入監控功能和認證處理功能相對來說更為重要。

用戶將移動存儲設備連接到主機系統時，操作系統會廣播設備改變消息WM DEVICECHANGE。全部應用程序在接到WM DEVICECHANGE消息時，會相應加載處理函數OnDeviceChange。這一函數捕獲WM DEVICECHANGE事件后，事件會被涵蓋在消息wParam中，獲得DEV BROADCEAST VOLUME結構數據。該數據中的各成員與變量之間依次對應，據此可以獲得現有移動存儲設備的盤符。

接收消息后將開始逐一列舉主機中的全部移動設備，取得設備類型。如果是存儲設備，則需依據盤符判斷該設備是否需

要驗證；如果是待驗證，則獲取設備的描述符和字符串描述符進行身份驗證；如果能通過驗證，則可以正常操作；如果無法通過驗證，該移動存儲設備將會被強制卸載，無法使用，以確保主機的安全，實現對移動存儲設備的安全監控和管理。

4 結束語

本文主要探討了移動存儲設備安全監控和管理的相關功能模塊設計、移動存儲設備文件過濾加密模塊和移動存儲設備的身份認證模塊3個方面的內容。但是，數據信息安全性的保護

不能只依靠技術層面的措施，還要充分落實各種安全保密制度，

通過法律法規來保護自主知識產權，從根本上杜絕信息被泄露

的情況發生。

參考文獻

[1]彭望龍.基于J2EE的移動存儲設備電子文件安全管理系統的設計與實現[D].南京：南京理工大學，2012.

[2]侯興超.基于移動存儲設備管理的主機防信息泄漏系統研究與設計[D].鄭州：解放軍信息工程大學，2007.

[3]曹成龍.基于文件過濾驅動的移動存儲控制系統的研究與實現[D].南京：南京信息工程大學，2011.

〔編輯：白潔〕