（机械电子工程专业论文）计算机操作行为分析与数据安全管理系统.pdf

大连理工大学硕士学位论文 摘要 计算机操作行为分析与数据安全管理系统，是针对局域网内计算机分散管理困难， 绩效考核不准和难以保障企业核心数据安全等问题，运用计算机远程监控技术，提出的 套解决方案。 首先论述了课题的含义和国内外发展现状。在详尽的需求分析基础上，深入分析 c s 结构的技术特点和应用优势，设计了基于c s 结构的系统总体结构：其次基于组件 的开发思想和运用面向对象的设计方法，进行了模块划分和设计，保证了系统的稳定性 和扩展性，进而深入讨论了计算机操作行为分析与数据安全管理系统的设计思想和详细 实现流程；最后精心设计了简洁友好的用户界面，解决了使用本系统的管理人员在计算 机操作能力方面相对薄弱的现实问题。 论文实现了基于套接字的监控数据文件传输，传输过程稳定可靠，网络负载小；运 用钩子技术和自定义的规则，实现了计算机操作行为分析数据的采集、统计和分析。利 用量化了的数据再现了客户端计算机上的具体工作情况，为企业寻求客观的绩效考核标 准和提高管理效率的途径提供了可靠依据；分析了企业数据安全面临的风险，利用数据 加密的方法，保证企业核心数据在存储和传输过程中的数据安全：利用电子邮件监控和 移动存储设备监控的方法，既保证这两种常用的数据传输方式的正常工作，又能对这两 条最便捷的企业机密泄漏通道实现数据操作的记录。当企业发生数据泄密的问题时，可 以提供可靠的排查线索，增强了数据安全的防护能力。 综合运用系统钩子、网络通信、数据加密和数据库等多种技术，计算机操作行为分 析与数据安全管理系统的功能已经基本实现。目前，在企业内开始试运行，运行比较稳 定。 关键词：计算机操作行为分析；数据加密；电子邮件监控；移动存储设备监控 陈俊峰：计算机操作行为分析与数据安全管理系统 c o m p u t e ro p e r a t i o na n a l y z i n ga n dd a t as e c u r i t y m a n a g i n gs y s t e m a b s t r a c t b a s e do nc o m p u t e rr e m o t es c o u t i n gt e c h n o l o g y ，c o m p u t e ro p e r a t i o na n a l y z i n ga n dd a t a s e c u r i t ym a n a g i n gs y s t e mi sas o l u t i o nt od e a lw i t ht h ep r o b l e m ，w h i c hi sd i f f i c u l t yo f d i s t r i b u t e dc o m p u t e rm a n a g e m e n t ，i n a c c u r a t ep e r f o r m a n c ea s s e s s i n ga n de n t e r p r i s e sd a t a s e c u r i t y f i r s t l y ，t h ep a p e rd i s c u s s e sm e a n i n ga n dd e v e l o p i n gs t a t l l si nq u oo ft h es y s t e m a f t e r a n a l y z i n gd e t a i l e d l yr e q u i r e m e n to fs y s t e ma n dt e c h n o l o g yc h a r a c t e r i s t i ca n da p p l i c a t i o n s u p e r i o r i t yo fc ss t r u c t u r e ，i td e s i g n ss y s t e m sg e n e r a ls t r u c t u r eb a s e do nc ss t r u c t u r e s e c o n d l y ，n o to n l yd o e s i t i m p l e m e n tm o d d ed e s i g na n ds e c u r e ss t a b i l i z a t i o na n d e x p a n s i b i l i t yo fs y s t e mu s i n gt h i n k i n go fc o m p o n e n td e v e l o p m e n ta n do b j e c t - o r i e n t e dd e s i g n ， b u ta l s oi td i s c u s s e sd e t a i l e d l yd e s i g nt h i n k i n ga n dr e a l i z a t i o np r o c e s so fs y s t e m f i n a l l y ，i t d e s i g n ss i m p l ea n df r i e n d l yu s e ri n t e r f a c ea n ds o l v e st h ep r o b l e m ，w h i c hi sl o w e rc o m p u t e r o p e r a t i o nc a p a b i l i t yo f m a n a g e r si nt h ee m e r p f i s e t h ep a p e ri m p l e m e n t st r a n s f e r i n gs c o u t i n gd a t af i l ei nt h ew a yo fs o c k e ta n dt h ep r o c e s s o ft r a n s f e ri ss t a b l ea n dr e l i a b l e u s i n gt h eh o o kt e c h n o l o g ya n du s e r - d e f i n e dr u l e ，t h es y s t e m i m p l e m e n t st h ef u n c t i o no fc o l l e c t i n g ，s t a t i n ga n da n a l y z i n gd a t aa n dr e a p p e a r st h ed e t a i l e d w o r ks t a t u so nt h ec l i e n tt e r m i n a lu s i n gi t ，w h i c hc a l lh e l pe n t e r p r i s ef i n da no b j e c t i v e s t a n d a r do fp e r f o r m a n c ea s s e s s i n ga n daw a yt oi n c r e a s em a n a g e m e n te f f i c i e n c y t h 。p a p e r a n a l y z e st h er i s kt h a te n t e r p r i s e sd a t as e c u r i t yh a st of a c e a n dt h e n ，i tb r i n g sf o r w a r dt w o m e t h o d st ot u r nd a t as e c u r i t yi n t or e a l i t y o n ei sm e t h o do fe n c r y p f i n gd a t a ；t h eo t h e ri s m e t h o do fs c o u t i n ge m a i la n dr e m o v a b l es t o r a g ed e v i c e n o to n l yd o e sas e c o n dm e t h o d e u s u r en o r m a lw o r ko fd a t at r a n s f e r ，b u ta l s oi tc a nr e c o r dd a t ao p e r a t i o no r lt h et w o c o n v e n i e n ta p p r o a c h e s ，w h i c hc a nl e a ko u tt h es e c r e t t h em o d u l em a k e se n t e r p r i s e ss o l u t i o n o f d a t as e c u r i t ym o r ep e r f e c t u s i n gt h et e c h n o l o g i e ss u c ha sh o o k , n e t w o r kc o m m u n i c a t i o n ，d a t ae n c r y p t i n ga n d d a t a b a s e ，c o m p u t e ro p e r a t i o na n a l y z i n ga n dd a t as e c u r i t ym a n a g i n gs y s t e mh a s b e e n i m p l e m e n t e d f o rt h em o m e n t , i t i sr u n n i n gs t a b l yi nt h ee n t e r p r i s e k e yw o r d s ：c o m p u t e ro p e r a t i o na n a l y z i n g ；d a t ae n c r y p t i n g ；e m a i ls c o u t i n g ； r e m o v a b l es t o r a g ed e v i c es c o u t i n g 独创性说明 作者郑重声明：本硕士学位论文是我个人在导师指导下进行的研究工 作及取得研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写的研究成果，也不包含为获得大连理 工大学或者其他单位的学位或证书所使用过的材料。与我一同工作的同志 对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。 大连理工大学硕士研究生学位论文 大连理工大学学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连理工大学硕士、博士学位论文版权使用 规定”，同意大连理工大学保留并向国家有关部门或机构送交学位论文的复印件和电子 版，允许论文被查阅和借阅。本人授权大连理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，也可采用影印、缩印或扫描等复制手段保存和汇编学位论 文。 作者签名 导师签名： 攀一 燕 大连理工大学硕士学位论文 1 绪论 1 1 研究背景 随着计算机网络的发展，企业信息化办公的优势越来越明显，高效节约的无纸化办 公一度成为现代企业中令人骄傲的一部分。然而，随着时间的推移，各种负面影响也逐 渐显现出来，最为突出问题的主要有： ( 1 ) 工作效率难以保证 根据i d c 最新报道，开通互联网办公的企业中，企业员工平均每天有超过二分之一 的上班时间用来上网聊天，浏览娱乐网站或者处理个人事务，而在那些用于下载信息的 时间中有6 2 用于软件下载，1 1 的时间用于下载音乐和电影，只有2 5 的时间用于下 载与工作相关的文章和材料，导致企业工作效率不升反降，违背了企业信息化办公的初 衷。 ( 2 ) 泄密及信息系统破坏等安全问题 在办公网的终端中存储着大量企业的秘密或敏感文件资料。通过电子邮件，聊天软 件和移动存储设备，任何数据文件都可以方便地带出企业，有可能导致企业在经济和名 誉上的损失，甚至危害企业的生存。 我国各行业是在1 9 9 9 年底开始开通互联网办公，上述问题在我国相当部分的企业 内部也大量存在。浏览国家明令禁止的网站、工作时间上网游戏聊天、下载和实际工作 无关的游戏、软件、歌曲和电影，甚至利用各行业的网络，对国内外的某些网站发起恶 意攻击，这些行为某些已经违反了国家互联网的有关管理条例，消耗了网络带宽的资源， 降低了工作效率，影响了企业正常的办公0 , 2 i 。 1 2 技术背景 1 2 。1 计算机远程监控技术介绍 计算机远程监控技术是本系统采用的核心技术，它的工作由客户端( c l i e n t ) 和服务端 ( s e r v e r ) 两部分构成，客户端应用于被控端，服务端应用于监控端。主要包括客户端在被 监控主机上的隐藏、程序自动加载运行和服务端与客户端之间的连接隐藏的实现【3 】a ( i ) 客户端程序的隐藏技术 监控程序的客户端，为了避免被发现，多数都要进行隐藏处理，客户端程序可以实 现伪隐藏和真隐藏两种方式。伪隐藏，指的是程序的进程仍然存在，只是让它消失在进 程列表星。真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作。 陈俊峰：计算机操作行为分析与数据安全管理系统 伪隐藏的方法比较容易实现。在w i n d o w s 9 x 的系统中，把客户端程序注册为一个 服务。因为系统不认为它是一个独立的进程，程序就不会在任务列表中列出，当调用任 务管理器的时候，程序不会被显示出来。然而在w i n d o w sn t w i n d o w s2 0 0 0 等系统中， 通过服务管理器，可以发现在系统中注册的服务，这种方法会失效。在w i n d o w s n t 2 0 0 0 中，采用a p i 的拦截技术，通过建立后台的系统钩子，拦截p s a p i 的e n u m p r o c e s s m o d u l e s 0 等相关的函数来实现进程和服务的遍历调用的控制，当检测到进程i d g , r o ) 为客户端程 序进程的时候直接跳过，这样就实现了进程的隐藏。 进程为真隐藏的时候，客户端程序运行之后，既不是一般进程，也不是服务，而是 完全的溶进了系统的内核。在实现过程中，客户端程序不作为完全独立的一个应用程序， 而是作为宿主程序的一个线程。在运行过程中，客户端程序把自身注入宿主应用程序的 地址空间内。这个宿主应用程序对于系统来说，是一个绝对安全的程序。这样，就达到 了彻底隐藏的效果，增加了客户端程序被发现的难度【4 j 。 ( 2 ) 程序的自加载运行技术 为实现在被控制主机上的监控，客户端程序不但要隐藏自身，还必须能够具备自启 动的能力，保证在计算机启动时，就完成程序的自运行，开始监控功能。程序自运行可 以用多种方法实现，最常见的方法是加载程序到启动组或者写程序启动路径到注册表的 h k e yl o c a lm a c h n 町e s o f t w a r e 、m i c r o s o f t w i n d o w s c u r r e n t v e r s i o n s 恨u n 当 中，这种方法比较明显，容易被发现。比较流行的方法还有修改启动文件b o o t i n j 、通 过注册表内输入键值直接挂接启动和修改e x p l o r e r e x e 启动参数等 5 】。 ( 3 ) 客户端程序建立连接的隐藏技术 客户端程序的数据传递方法有很多种，最常见的是基于t c p 和u d p 的数据传输方 法。通常是利用w i n s o c k 与目标机的指定端口建立起连接，使用s e n d 和r e c v 等a p i 进 行数据的传递。建立连接的隐藏主要有两种方法：一是合并端口法，使用特殊的手段， 在一个端口同时绑定两个t c p 或者u d p 连接，通过把自己的客户端端口绑定于特定的 服务端口之上，比如h t t p 的8 0 端口，从而达到隐藏端口的目地。二是使用i c m p ( i n t e m e t c o n t r o lm e s s a g ep r o t o c 0 1 ) 协议进行数据的发送，原理是修改i c m p 头的构造，加入监控 程序的控制字段，使用i c m p 可以穿越防火墙，从而增强隐藏的效果怕j 。 1 2 2 计算机远程监控技术的合理应用 基于计算机远程监控技术的管理系统可以提高企业网络管理效率，保证网络和计算 机操作系统的安全。这类程序在客户端实现的监听功能，是为了保证系统的正常工作而 设计的，如果使用不当，就会出现很多的问题。为了达到客户端稳定的工作效果，就必 大连理工大学硕士学位论文 须将系统客户端隐蔽起来，不让用户发现而被删除，就必须采用一些办法把自己隐蔽起 来，比如系统客户端本身附着在某些操作系统的关键程序上，以增强驻留系统的可靠性。 然而，正是由于这种功能，才使系统变得可怕起来，也使系统的工作与非法病毒、黑客 和木马程序之间的区别变得越来越模糊。 ( 1 ) 远程监控与计算机病毒 计算机病毒是能通过某种途径潜伏在计算机存储介质或程序中，在一定条件下可以 被激活，具有对计算机资源进行破坏作用的一种程序或指令集合f 7 1 。 计算机病毒具有以下几个特点： 破坏性：凡是由软件手段能够触及到计算机资源的地方均可能受到计算机病毒 的破坏，而计算机病毒也正是利用这种原理进行破坏的。 隐蔽性：病毒程序大多夹在正常程序之中，很难被发现。 潜伏性：病毒入侵后，开始并不立即活动，需要等一段时间，待一定条件成熟 后才起作用。 传染性：通过修改别的程序，并把自身的拷贝包括进去，从而达到扩散的目的。 从计算机病毒的定义和特征中可以看出，基于计算机远程监控技术的管理系统的客 户端与病毒的区别是十分明显的。最基本的区别在于病毒有很强的传染性，而系统客户 端没有。但是，如果基于计算机远程监控技术的管理系统没有处理好系统的安全问题， 就会跟病毒相差无几了。 ( 2 ) 远程监控与黑客程序 “黑客”词来源于英语单词，本指“手法巧妙、技术高明的恶作剧”。今天，在 最新和最普遍的意义上说，“黑客”意味着那些偷偷地、未经许可就进入别人计算机系 统的计算机犯罪。他们或修改网页摘恶作剧；或散布流言进行恐吓：或破坏系统程序， 施放病毒使系统陷入瘫痪；或窃取政治、军事与商业机密：或进行电子邮件骚扰：或转 移资金账户，窃取钱财，真所谓作案方式多样，花样翻新，令人防不胜防【8 】。 由此可见，基于计算机远程监控技术的管理系统与黑客的区另是较大的。黑客往往 利用操作系统和网络的漏洞进行破坏话动，而本系统的一大任务就是要保护客户端计算 机安全。当然，如果编写软件的惟一日的就是为了盗窃人家计算机上的隐私，这样的基 于计算机远程监控技术的管理系统就不再是提高企业工作效率，保障企业数据安全的管 理软件，而是恶性的黑客程序了。 ( 3 ) 远程监控与木马程序 木马是一种在远程计算机之间建立起连接使远程计算机能够通过网络控制本地计 算机的程序，工作方式和基于计算机远程监控技术的管理系统最为接近。由于它像间谍 陈俊峰：计算机操作行为分析与数据安全管理系统 一样潜入用户的电脑，为其他人的攻击打开后门，与战争中的“木马”战术十分相似， 因而得名木马程序【9 l 。 必须正确意识到本系统应用的技术与病毒、黑客程序及木马之间的相似和差异之 处。与之根本的区别就是，计算机操作行为分析与数据安全管理系统是利用计算机远程 监控技术的有利一面，为企业局域网的高效管理提供一种主动有效的解决方案，将管理 人员从局域网计算机难于管理的困境中解脱出来，为企业的管理节约了大量的成本。 1 3 选题背景 1 3 1 课题的含义 计算机操作行为分析与数据安全管理系统，主要运用的技术是计算机远程监控技 术，应用对象是大量使用计算机工作的企事业单位。它的含义包括两个部分：计算机操 作行为分析是通过安装在局域网内主机上的系统客户端采集能够反映主机的操作行为 的数据，通过制定一定的规则对数据进行统计和分析，形成的计算机操作行为分析数据 能够反映企业工作人员在计算机上的工作状态，利用量化了的数据再现客户端计算机上 的具体工作情况，为企业寻求客观的绩效考核标准和提高管理效率的途径提供可靠依 据：数据安全管理是根据企业实际需求，通过数据加密、电子邮件监控和移动存储设备 监控等方法的使用，在保证正常工作的前提下，用软件实现数据安全管理，完善企业数 据安全的总体防护方案。 1 3 2 国内外发展现状和趋势 计算机操作行为分析与数据安全管理系统所运用的计算机远程监控技术，最初的研 究起源于一种基于远程控制的黑客工具，被称为“特洛伊木马”，英文名称“t r o j a n h o r s e ”。本课题是在计算机远程监控技术有利于企业计算机管理的方向上进行的研究， 然而计算机远程监控技术真正的发展却是随着木马软件的不断改进而逐步发展起来的。 常见的木马程序一般由两部分组成，分别是服务器端和客户端。其中，服务器端安装在 被控制机器上，客户端安装在控制端，客户端通过某些方法能够达到对服务器端的控制。 木马软件发展可以分为两个阶段。最初产生于以u n i x 平台为主要操作系统时期， 当时木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执 行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相 当的网络和编程知识。而后随着w i n d o w s 平台的日益普及，一些基于图形操作的木马程 序出现了，用户界面的改善，相应的木马入侵事件也频繁出现，由于这个时期木马的功 4 一 大连理工大学硕士学位论文 能已日趋完善，因此对服务端的破坏也更大。随着计算机远程监控技术的方展，木马软 件的功能越来越丰富，应用范围越来越广，种类也越来越多。 根据木马的具体操作方式可以分成四类： f i ) 远程访问型 远程访问型木马是现在最广泛的木马。这种木马起着远程控制的功能，用起来非常 简单，只需先运行服务端程序，同时获得远程主机的m 地址，控制者就能任意访问被 控制端的计算机。这种木马可以使远程控制者在本地机器上做任何事情，比如键盘记录、 上传和下载功能、发送一个“截取屏幕”等等。这种类型的木马有著名的b o ( b a c ko f f i c e ) 和国产的冰河等。 f 2 ) 密码发送型 密码发送型木马的目的是找到所有的隐藏密码，并且在被控端不知道的情况下把它 们发送到指定的信箱。大多数这类木马程序不会在每次系统重启时都自动加载，它们大 多数使用2 5 号端口发送电子邮件。 ( 3 ) 键盘记录型 键盘记录型木马是非常简单的。它们只做种事情，就是记录被控端的键盘敲击 并且在l o g 文件里做完整的记录。这种木马程序随着系统的启动而启动，知道被控端在 线并记录每一个用户事件，然后通过邮件或其他方式发送给控制者。 ( 4 ) 破坏型 大部分木马程序只窃取信息，不做破坏性的事件，但破坏型木马却以毁坏并且删除 文件为己任。它们可以自动删除被控端计算机上所有的i n i 和e x e 文件，甚至格式化硬 盘，系统中的信息会在顷刻间“灰飞烟灭”。 根据木马的连接方向可以分为两类： ( 1 ) 正向连接型：发起通信的方向是控制端向被控制端发起，这种技术被早期的木 马广泛采用，其缺点是不能透过防火墙发起连接。 ( 2 ) 反向连接型：发起通信的方向是被控制端向控制端发起，其出现主要是为了解 决从内向外不能发起连接的情况的的通信要求，已经被较新的木马广泛采用。 根据木马的使用架构可以分为四类： ( 1 ) c s 架构：客户端朋民务器的传统架构，一般我们都是采用客户端作控制端，而 服务器端被控制。在编程实现的时候，如果采用反向连接的技术，那么客户端( 也就是 控制端) 要采用s o c k e t 编程的服务器端的方法，而服务端( 也就是被控制端) 采用s o c k e t 编程的客户端的方法。 陈俊峰：计算机操作行为分析与数据安全管理系统 ( 2 ) b s 架构：这种架构为普通的网页木马所采用。通常在b s 架构下，s e r v e r 端被 上传了网页木马，控制端可以使用浏览器来访问相应的网页，达到对s e r v e r 端进行控制 的目的。 ( 3 ) c p s 架构：这里的p 是p r o x y 的意思，也就是在这种架构中使用了代理。当然， 为了实现正常的通信代理也要由木马作者编程实现，才能够实现一个转换通信。这种架 构的出现，主要是为了适应一个内部网络对另外一个内部网络的控制。但是，这种架构 的木马目前还没有发现。 ( 4 ) b s b 架构：这种架构的出现，也是为了适应内部网络对另外的内部网络的控制。 当被控制端与控制端都打开浏览器浏览这个s e r v e r 上的网页的时候，一端就变成了控制 端，而另外一端就变成了被控制端，这种架构的木马已经在国外出现了。 从目前来看，国内外的技术水平基本持平，也出现一些比较好的木马，现在大家关 注的焦点都主要集中在木马的进程隐藏和端口隐藏上。目前国内出现的最高水平的木马 就是实现了进程隐藏和端口复用，而国外的最高水平体现在实现了进程隐藏、端口复用、 服务隐藏、注册表隐藏和磁盘文件隐藏，h x d e f l o o 实现了上面提到的所有功能，处于当 前木马的最高水平。 从长远来看，木马将来要在软件架构上有所突破，以期能够轻松实现内部网络对内 部网络的控制，也就是我们前面所说的c p s 架构的实现。如果能够实现在不可直接通 信的网络之间进行木马的控制，那么木马的功能就更加强大了，相信这个架构会在不久 的将来被聪明的网络安全专家实现，而且肯定可以实现。 1 3 3 课题的应用价值 随着社会的发展，企业规模越来越大，越来越多的企业实现了在计算机网络上的信 息化办公。企业管理人员如何知道他的员工在做什么，是否外泄了公司内部的核心机密 数据，一直都是企业管理的一大难题。随着人们观念的更新，很多企业开始使用监控系 统，用摄像的方式来监控员工的行为。但是，这种监控系统对员工上网和游戏、发送邮 件、通过网络或移动存储设备非法复制机密文件等细小的行为依然无能为力，本系统却 能轻松地管理这些细节问题。随着计算机远程监控技术的不断发展，本系统将不仅应用 于局域网上，而且可以运行在广域网上，在企业的计算机管理中将发挥越来越大的作用。 1 3 4 课题的研究意义 本系统研究意义在于，在计算机远程技术的基础上，提出的计算机操作行为分析、 电子邮件监控和移动存储设备监控方法，可以实现量化的绩效考核标准，增强了计算机 操作管理和数据保护的能力，促进了管理效率的提高，节约了管理成本。 大连理工大学硕士学位论文 1 4 论文的主要工作和组织架构 本课题是教研室自主开发的商业软件的重要组成部分，涉及到网络安全、数据库、 计算机网络通信、组件开发等多个领域技术，整个系统对响应速度、实时陡、安全性、 稳定性有着非常高的要求。 论文中完成的主要任务包括： 夺需求分析、基于c s 架构系统总体设计、功能模块设计和具体的编码。 夺模块化的开发方法保证了系统的扩展性，为后续阶段的开发奠定了良好的基础。 夺重点完成监控数据传输、操作行为分析和数据安全模块的设计与实现。 夺系统数据库的设计保证了整个系统数据的安全性和可靠性。 本论文的组织结构为： 第一章绪论部分论述了本课题的研究背景，阐述了计算机操作行为分析与数据安全 管理系统的含义和应用发展，介绍了关键技术在国内外的发展现状以及合理的应用方 针，最后阐述了课题的研究意义。 第二章介绍了整个系统的总体结构、运行环境和开发工具等，对各个模块设计进行 了描述。 第三章论述了数据传输模块的设计与实现。深入研究了实时传输和文件传输两种传 输方式：深入研究了包括h t t p 、f t p 和基于套接字传输等多种文件传输协议，最终设 计和实现了基于套接字的监控数据文件传输。 第四章论述了操作行为分析模块的设计与实现。利用w i n d o w s 钩子技术，实现了 在客户端数据的采集，数据在服务器端的统计和存储，以及控制端下载数据并使用多种 方式的展现。 第五章论述了数据安全模块的设计与实现。阐述了数据安全的含义和维护数据安全 的重要意义；在分析企业数据安全模型的层次结构基础上，提出在应用系统层面上利用 数据加密、电子邮件监控和移动存储设备监控的方法实现对企业总体数据安全防护的完 善。 第六章对本论文工作进行了总结，并对计算机操作行为分析与数据安全管理系统的 发展做了展望。 陈俊峰：计算机操作行为分析与数据安全管理系统 2 系统总体设计 2 1 需求分析 2 1 1 系统需求分析 随着信息化的发展，企业和学校等单位的办公逐渐脱离了旧有的办公模式，逐渐为 方便快捷的无纸化办公所代替。在方便了员工工作和促进了企业效率提高的同时，管理 人员也逐渐陷入分散的网络难于管理的被动局面。有些企业由于出现员工上网、聊天、 游戏，甚至通过网络泄漏企业机密的问题，企业效率下降，核心竞争力降低，甚至由于 某些关键技术的泄密导致企业在市场竞争中的被动。为解决这个问题，基于局域网的计 算机操作行为分析与数据安全管理系统逐渐成为企业的需要口0 1 。 系统必须具有实时性、可靠性、安全性特点，才能较好满足客户的需求，主要体现 在以下几个方面： ( 1 ) 客户端程序运行隐蔽性好、稳定性强、可靠性高。 ( 2 ) 控制端的界面友好、使用方便，符合操作者的操作习惯。 ( 3 ) 后台数据库的管理清晰、业务明确、维护方便高效。 ( 4 ) 系统的可扩展性好，系统设计模块化，便于后续阶段的开发。 2 1 2 系统功能描述 计算机操作行为分析与数据安全管理系统应具有以下几项基本功能： ( 1 ) 数据采集功能：安装在局域网内各个主机上的客户端，能够采集监控数据，这 些数据可以反映出当前主机的工作状态和安全状态，可以通过定方式传送到控制端， 由控制端展现出来。 ( 2 ) 统计与分析功能：制定一定的规则，对客户端采集的数据进行分析和统计，能 够通过一定的技术手段，再现局域网内计算机的工作情况和安全情况。 ( 3 ) 管理功能：利用采集的有效数据，通过图表、表格的方式展现出来，直接掌握 一定时间员工的工作状态，并通过科学的分析作为企业绩效考核和提高工作效率方法的 参考。 ( 4 ) 控制功能：控制端通过发送指令给客户端，可以控制局域网与工作无关的上网、 游戏和聊天等活动，控制移动存储设备和网络数据向外传输的接口，从而帮助提高管理 效率和保障企业的数据安全。 ( 5 ) 人机界面：良好的人机界面，方便客户查询各种系统信息。 大连理工大学硕士学位论文 2 1 3 系统性能考虑 系统的性能设计是系统设计成功的重要因素，在此将详细介绍本系统性能方面的考 虑。 ( 1 ) 统计数据安全性：系统数据库仅安置在企业专门的数据库服务器上，只有少数 数据库管理人员才能够接触该数据库，保证数据集中的管理和信息有效的安全保存。控 制端管理人员只能下载自己管理范围内的员工的操作行为分析数据、电子邮件和移动存 储设备的使用情况的数据，数据使用授权的限制进一步保证数据的安全。 ( 2 ) 统计数据有效性：客户端采用安全进程隐藏的方法，隐蔽而高效的运行，并不 影响局域网内主机上工作人员的日常工作，客户端的采集数据准确而有效。 ( 3 ) 实施方便性：系统中涉及到的数据库、客户端、控制端和服务器端安装成功后， 仅需要简单的网络连接配置，便可正常工作。 ( 4 ) 技术适用性：系统实现过程中采用技术手段，在客户运行的操作系统中都进行 了全面测试，确保其在技术使用上的合理性和适用性。 ( 5 ) 系统标准化：系统的设计中符合软件工程中要求的相关的标准和规范，以保证 系统良好的可维护性和可扩充性。 ( 6 ) 扩展灵活性：系统的设计要考虑到将来的升级和功能扩充，采用当前流行的面 向对象的分析和设计方法，全部采用模块化的编程手段，便于扩展。 2 1 4 实现目标设计 通过科学设计，实现计算机操作行为的分析和数据安全的管理，并可根据业务需要 灵活，定制不同的监控网络拓扑结构；实现客户端隐蔽而稳定的运行，准确的数据采集， 可靠的数据传输，符合管理逻辑思维的分析方法；统计数据和安全数据的有效保护和良 好的人机操作界面。 2 2 系统总体结构设计 在基于远程监控技术的计算机管理系统的实际设计工作中，普遍采用了客户机i n 务 器的系统结构模式。客户朋匣务器，即c s ( c l i e n t s e r v e r ) 结构，是随着计算机技术、网络 技术、数据库技术、通讯技术等不断发展而产生的一种计算模式与结构，客户机服务器 计算环境是基于网络的，通过网络，将多台分散的计算机系统联结。客户朋匣务器是一个 开放的体系结构，使得数据库不仅要支持开放性，而且还要开放系统本身，这种开放性 包括用户界面、软硬件平台和网络协议。利用开放性在客户机一侧，提供应用程序接口 ( a p i ) 及网络连接，使用户仍可按照他们熟悉的流行的方式开发客户机应用。在服务器一 侧，对核心r d b m s 的功能调用，网络接口满足数据完整性、保密性及故障恢复等要求。 陈俊峰：计算机操作行为分析与数据安全管理系统 有了开放性数据库服务器能支持多种网络协议，运行不同厂商的开发工具。而对于某一 个应用开发工具也可以在不同的数据库服务器上运行存取不同数据源中的数据，为系 统开发提供了极大的灵活性【1 i ，12 1 。 2 2 1 c s 结构的技术特点 从技术上看，c s 结构是一个逻辑概念，它是指一个计算机应用的大任务适当分解 成多个任务，有客户和服务器分别执行，体现的是“c l i e n t 请求s e r v e r 响应”的一 种处理模式。 c s 结构作为一种技术方法，有如下特点【皓】： ( 1 ) 共享资源：一个服务器可在同一时刻对多个客户服务，并协调它们对共享资源 的访问。 ( 2 ) 请求与服务：客户根据需要向服务器提出请求，服务器根据客户的请求完成必 要的处理，并把处理结果传送到客户端。 ( 3 ) 定位透明：服务器和客户可在同一台机器上，也可在网络中另一机器上，对于 用户来说是完全屏蔽的。 ( 4 ) 基于消息的交换：客户和服务器是一对松散耦合的系统，客户和服务器都是相 对独立的系统，只有客户提出请求时，二者才关联，它们通过消息传递机制相互作用。 ( 5 ) 不对称协议：c l i e n t s e r v e r 结构中，c l i e n t 与s e r v e r 之间存在一种一 对多的关系。一般来说，c l i e n t 通过请求s e r v e r 主动对话，s e r v e r 则是被动地等 待请求。 ( 6 ) 服务封装：一种消息告诉s e r v e r 所请求的服务，由s e r v e r 决定如何完成 这项作业，只要发布消息的接口没有变化，s e r v e r 版本的升级对c l i e n t 就没有任何 影响。 ( 7 ) 可扩展性：c l 踟s e r 、忸r 系统可以水平或垂直地扩展。水平扩展是指添加 或移去c l i e n t 工作站对系统的影响；垂直扩展是指移植到更大或更快的s e r v e r 机 器上或多台s e r v e r 上。 ( 8 ) 混合与匹配：理想的c l i e n t s e r v e r 软件应独立于硬件或操作系统软件平台， 应该能够混合和匹配c l i e n t 和s e r v e r 。 2 2 2 c s 结构的应用优势 c s 体系向各个职能部门提供信息共享，使企业设置更加合理，对降低产品成本、 增加利润将产生重大影响，也更能适应企业重大改革的需求。与传统的主要计算相比， c s 计算具有许多固有的优势，主要表现在以下几个方面【l ”。 大连理工大学硕士学位论文 ( 1 ) 方便信息存取：m s 计算提供了透明的存取数据库数据的功能，并将这些数据 通过用户友好的图形屏幕接口提供给用户，而无须过多考虑地理远近的问题。 ( 2 ) 资源共享：c s 中的终端用户不仅共享服务器上的资源，其自身也拥有强大的 处理能力，只有在进行专门应用、复杂运算等客户机无法处理的情况下才向服务器发出 请求，从而减轻了对服务器和网络的压力，实现有效的资源共享。 ( 3 ) 具有良好的可伸缩性：由于c s 计算模式中，应用被分解成不同部分处理，因 此能较好地适应环境变化，在系统需要升级时，可以只对服务器进行升级或加入另外一 个服务器来执行新的任务。 ( 4 ) 互操作性：在开放系统标准的支持下，不同厂商的计算机硬件和软件产品可以 通过网络结合在一起，在一定程度上能够较好地协同工作。系统构造灵活，体现在硬件 平台、软件平台、数据库平台和数据源独立，便于应用程序的移植。 ( 5 ) 技术自主：c ，s 计算将处理的权利下放给终端用户，由此终端用户拥有了强大 的处理能力，在很大程度上能刺激终端用户的积极性，提高工作效率。 基于上述c ，s 结构的技术特点和应用优势，本系统采用m s 结构作为系统结构。 2 2 3 系统网络结构 本软件系统运行在局域网内，采用了c s 结构，其网络结构示意图如图2 1 所示。 图2 1 计算机操作行为分析与数据安全管理系统网络结构图 f i g 。2 。1n e t w o r ks t r u c m r e o f c o m p e e ro p e r a t i o n a n a l y z i n g 鲫dd a t a 5 e c u r i t y m a n n i n gs y s t e m 陈俊峰：计算机操作行为分析与数据安全管理系统 2 3 系统功能模块设计 系统采用基于组件的开发模型，运用了面向对象的开发思想。系统模块划分为监控 数据传输、操作行为分析、数据安全和后台数据库等四个模块，由于采用了基于组件的 开发模型，每个模块可以单独开发分别调试，提高了开发效率，缩短了开发周期。关于 各个模块的详细功能接下来将详细介绍。 ( 1 ) 监控数据传输模块 监控数据传输模块是系统的数据传输纽带，负责将客户端采集的操作行为分析数据 和数据安全监控数据发送给服务器端。 ( 2 ) 操作行为分析模块 操作行为分析模块阐述了操作行为分析数据的采集、统计分析和展现的过程，利用 量化了的数据再现了客户端计算机上的具体工作情况，为企业寻求客观的绩效考核标准 和提高管理效率的途径提供了可靠依据。 ( 3 ) 数据安全模块 研究加密算法进行数据加密和监控核心机密数据泄漏的主要途径是本模块的研究 课题。本模块研究了d e s 算法和e c c 算法，实现了核心数据的加密：研究网络安全、 t c p i p 协议、w i n p c a p 抓包体系结构等技术，设计了电子邮件监控方案；研究移动存储 设备的识别和系统对逻辑驱动器的监控，设计了移动存储设备的监控方案，在不影响客 户端员工工作的情况下，实现了对企业内部难以管理的泄密途径一网上发送电子邮件和 移动存储设备两种泄密途径的监控，完善了企业总体数据安全防护方案。 ( 4 ) 后台数据库模块 数据库是系统的核心组成部分，由于本系统不涉及复杂的关系，表的数量不是很多， 所以采用简单的a c c e s s 数据库来担当。这样可以使得开发过程简单，操作数据库方便 1 5 i6 1 。 客户端基本资料表、操作行为分析数据表、数据安全数据表、工作时间表和程序类 型表等部分组成，通过这些功能表之间的相互作用，可以保证整个系统后台数据库的完 整性。数据库包括以下几个主要部分： 客户端基本资料表：这是一个包含客户端详细信息的基本表。它包含客户端行 政管理的基本属性分类，比如部门、科室；包含了每台计算机的i p 地址、用户名、所 属部门、所属科室。 操作行为分析数据表：这一部分是浏览一段时间内程序运行统计结果的基础， 它包含操作行为分析详细信息表、历史表、程序分类统计表。 大连理工大学硕士学位论文 数据安全数据表：存放数据安全模块采集的监控数据，包括电子邮件信息表， 附件文件表和移动存储设备监控文件表。 工作且寸间表：包含默认工作时间表和特定工作时间表。比如说每年的五月份到 十月份的默认工作时间：上午7 ：0 0 11 ：0 0 下午1 4 ：0 0 ，1 8 ：0 0 。而每年的11 月份到来年的 四月份的默认工作时间是：上午8 ：0 0 1 2 ：0 0 下午1 3 ：0 0 1 7 ：0 0 ，避免管理者频繁的设定时 l 司。 程序类型表：这部分包含程序类型表和特定程序类型表。前者包含有每一个程 序所属于的程序类型，如w i n w o r d 属于工作程序，i n t e r a c t 属于上网程序。后者包含 有特定的时间内不允许运行的程序，如：工作时间内不允许游戏。 系统错误日志表：这一部分是为了在调试和用户使用过程中，及时发现本系统 存在的错误而设定的一部分，通过在系统内加上异常捕获处理，将错误信息保存到数据 库中，这样一旦出现错误之后，可以通过查看错误信息来提高系统的稳定性。 2 4 系统运行环境及开发工具 2 4 1 硬件环境 本系统的客户端、控制端和服务器端运行在局域网上，因此要求客户具有局域网的 工作环境。客户端、控制端和服务器端的配置需要支持w i n d o w s 2 0 0 0 及以上版本操作 系统：控制端可以查看数据统计结果，如果需要打印报表，应该配置打印机：服务器端 的内存大小容量会直接影响系统的效率，原则上要选用大容量的内存，这样能够有效缓 解获取客户端监控数据及数据统计操作数据库时对计算机资源的大量消耗。 2 4 2 软件环境 系统采用客户端服务器模式，整个系统由客户端、控制端和服务器端三个部分组 成，都要求操作系统的版本要达到w i n n t w i n 2 0 0 0 w i n x p 以上，系统采用a c c e s s 作 为数据库并且对统计结果的打印是通过v c 操作w o r d2 0 0 0 实现的，因此服务器端和控 制端必须安装o f f i c e2 0 0 0 1 7 , 1 8 1 。 2 4 3 运行平台与开发工具选择 在系统需求已经相对确定的情况下，开发工具的选取将会对整个系统的开发效率和 周期产生非常重要影响。合理选择开发工具将会提高开发效率，降低开发成本，提高系 统稳定性，同时使系统的维护更加容易。 由于系统的开发颇为庞大和复杂，涉及基于t c p i p 协议的网络通信，整个系统对 稳定性、实时性、可维护