探究移動存儲設備安全監控系統的研究與應用

劉建東

摘 要：移動存儲設備在給人類帶來便利的同時自身也存在著一些安全問題，例如設備中的數據容易在他人惡意操作下而丟失，由此給用戶帶來了巨大的經濟損失。因此，對移動存儲于設備實施安全監控系統十分的重要。本文將從目前國內移動存儲設備安全監控系統的研究現狀談起，就安全監控系統的設計以及開發進行深刻分析。

關鍵詞：移動存儲設備；安全監控系統；研究

目前，以USB接口為主的移動存儲設備是進行數據和信息交換的重要載體，因其體積小、容量大且傳輸速度快而得到人們的廣泛應用。但是由于目前這些移動存儲設備被人們隨意使用，由此產生的安全問題無論是給企業還是個人都帶來了極大的損失。因此，如何對其實施安全監控就成為了目前主要研究的問題。

1 移動存儲設備安全監控系統的研究現狀

在移動存儲設備進行工作的同時，其安全問題也不容忽視，甚至應該成為主要的研究方向。但在進行應用的過程中，也出現了很多問題。

USB端口禁用技術，該項技術在應用過程中，雖然可以有效防止內部信息的外泄，但在應用中卻會給內部信息的傳遞和交換帶來很大的不便。

在應用層方面的USB存儲設備監控技術，這項技術在對存儲設備在授權管理、分域管理等方面可以進行一定程度的控制，但容易被惡意軟件操控，導致因無法實施有效監控而使得安全隱患頻發。

基于文件過濾驅動設置對信息實施加密控制。此項技術可以保證文件以密文的形式存在，但是由于這項技術在實現上較為復雜，許多臨時文件不能被加密，從而導致泄密事件頻發[1]。

這對上述問題，本文將結合對磁盤上的文件實現過濾的思想，在接口處設置監控系統，從而保證移動存儲設備能夠在正常使用的情況下，不泄露關鍵信息。

2 基本工作原理

2.1 Windows驅動程序模型基本結構分析

WDM作為一種跨平臺的驅動程序模型，在應用過程中可以不經過任何修改直接在非Intel平臺上運行。在該項程序中，可將設備對象分為兩類，即功能設備對象（簡稱FDO）和物理設備對象（簡稱PDO）。在進行操作時，至少要兩個設備共同工作，才能完成操作。對于一個硬件來說，只能有一個PDO，但卻可以有多個FDO，并且PDO在工作過程中，要依附于FDO，不能單獨進行操作。此外，在FDO的上面和下面分別裝置了過濾驅動設備，由此WDM才可正常工作。

2.2 文件過濾驅動的工作原理和作用

該項技術的應用是附著在文件系統上進行的，當用戶在對文件進行讀、寫等操作時，Windows系統的I/O管理器會通過IRP發出文件驅動指令，然后文件系統驅動就可以通過轉換，使其變成存儲設備驅動程序上進行的操作。另外，文件系統還可以通過攔截請求包（IRP）并對其進行重新處理，從而為當前系統增加一些新功能[2]。

文件的過濾驅動在應用中，通過對文件系統進行擴展以及修改，可以使其功能得到增加，它的作用包括以下兩點：

（1）可以為文件系統提供附加功能。比如可以讓文件在讀寫過程中，分別實行加密和解密，從而增加文件的系統效率。

（2）在運行中，實施對病毒的監測。在讀寫文件時，可以檢查數據內容是否帶有病毒特征碼。

3 移動存儲設備安全監控系統的設計與應用

3.1 設計思路

對移動存儲設備實施安全監控主要就是在局域網的環境中進行的，并由監控服務器和監控代理構成。

代理端作為該系統的核心部分，通過策略執行模塊以及信息采集模塊進行工作。在策略執行模塊中，可以借助基本的運行規則，對移動存儲設備的讀寫操作信息發出允許或者靜止的信息，并將其傳輸到內核過濾驅動模塊，內核驅動模塊通過分析，在將關鍵信息傳遞到采集模塊的過程中，借此可以禁止執行程序對其進行的授權訪問。另外，信息采集模塊通過對移動存儲設備的使用信息進行采集的方式，將這些信息實時傳輸給監控服務器。

另外，在監控服務器方面，主要由策略模塊、監控模塊以及日志模塊3個部分構成，他們根據不同的程序對信息實施監控。

3.2 應用過程

在實施安全監控的過程中，最關鍵的部分就是監控代理端的策略執行模塊，這一模塊的重要工作內容就是對內核文件進行過濾驅動的編寫。主要包括以下幾個方面：

（1）動態捕獲移動存儲設備的安裝與移除

在應用過程中，可以利用IoCreateDevice創建一個控制設備對象來表示文件過濾驅動程序，并通過IoCreateSymbolicLink將命名調節為可見，這樣就使得應用程序在應用中抓到了核心模塊驅動的句柄。然后通過編寫分發例程，對新設備的安裝與卸載實施監控。在以上程序完成之后，就可以進行安全系統監控設備的安裝。并通過調用IoCreateDevice程序為添加卷創建設備對象，并對其進行綁定，由此對新加卷實施監控。

（2）對移動存儲設備的讀、寫實行控制

在運行過程中，監控服務器要管理著監控代理上的移動存儲設備所使用的策略信息，并在初始化的過程中傳遞給代理端。然后監控代理會根據禁止讀或者寫的指令，對移動存儲設備進行使用[3]。

（3）對關鍵文件的授權訪問

在完成對移動存儲設備上文件操作的記錄后，管理員就可以通過手動的方式將需要保護的文件添加在授權列表中，然后文件過濾驅動就可以記錄這些文件的絕對路徑，并設置訪問密碼。這樣在對關鍵文件進行重命名、刪除以及其他操作時，就可以通過IRP進行攔截，從而對文件起到保護的作用。

4 結論

移動存儲設備的安全已成為目前研究的主要方向，它與網絡的信息安全密切相關。本文設計的安全監控系統是通過對移動存儲設備與計算機之間的傳輸進行監控，有效防止在傳輸過程中信息感染病毒，從而對重要信息進行保護。隨著科技的發展，相信此項技術可以廣泛應用到個人、企業以及機關等部門，為人們的生活帶來極大的便利。

參考文獻

[1]段翼真，王曉程，王斌.USB存儲設備安全監控系統的設計與實現[J].計算機應用，2010，（S1）：102-105，108.

[2]夏輝.政務網移動存儲設備安全防護系統設計與實現[D].上海交通大學，2010.

[3]陳麟，林宏剛，胡勇.移動存儲設備數據安全導入系統[J].四川大學學報（工程科學版），2009，（2）：216-220.

（作者單位：吉首大學張家界學院）

課題項目：吉首大學張家界學院科學研究項目“移動存儲設備的安全監控與管理研究”（zyzd201503）資助。