移动电子设备信息资源的安全问题

移动电子设备信息资源的安全问题

0便携式存储的安全管理目标由于移动存储设备（u盘、hdd）由于使用灵活、便于携带等特点，深受普及。虽然方便使用，但增加了披露安全信息的可能性。存储在计算机上的敏感信息很容易在不被察觉的情况下被拷贝到移动设备上,移动设备上的敏感信息很容易被泄漏出去,移动设备上的病毒有可能感染宿主计算机。为此,本文提出一种便携式存储器安全管理平台,从移动设备认证、防止文件自拷贝、防止U设备病毒等方面入手,强化对移动设备的安全管理,防止通过移动设备引起信息泄漏、病毒感染等。移动设备认证技术保证了对基于USB接口的移动存储设备实行双向访问控制,在服务器端注册的移动存储设备才能够被允许在单位内部的计算机上使用,而不允许使用任何未经认证的移动设备。防止文件自动拷贝技术确保了未经授权的任何移动存储设备从本机拷贝到任何的信息。从而保证了本机信息的安全性,防止U设备病毒等一切可能的病毒木马类恶意程序在宿主计算机上运行,进一步保护了宿主计算机信息的安全。目前国内对此方面关注得颇少,2006年王黎1移动设备监控本系统由管理软件和监控软件两个子系统组成。管理软件提供给服务器端使用,主要对本单位的移动设备进行注册和认证管理,允许在本单位内部计算机上使用的移动设备必须经过注册。监控软件安装和运行在内部计算机上,对移动设备的接入进行监控,它能识别出内部移动设备和未经认证的外来移动设备,并能有效地拒绝外来移动设备的接入。同时,监控软件还能够对任何存储在内部移动监控软件上的信息进行检索,对用户是透明的,在未安装监控软件的计算机上无法打开这些文件,即使移动设备丢失,也能保证敏感信息不会泄漏。管理软件和监控软件相互配合,保证了移动设备的认证和信息安全。2系统的实现技术2.1usb过滤驱动实现移动设备的识别,首先要对移动设备进行认证。管理子系统对移动设备的认证信息可作为监控软件判断移动设备是否为可信存储设备的标准。认证信息存放在移动设备的特定扇区内。实现移动设备的识别过程为:判断移动设备是否经过认证,若是,向下层发送“安装”请求,否则返回错误。这样,所有没有经过认证的移动设备都不能在本机上使用。移动设备注册时,在移动设备的特殊区域写入经过加密的认证标识,以此作为内部移动设备的标志。加密过程由系统内部实现,加密后的USB设备经过格式化后其认证标识不会丢失,当经过认证的移动设备插入内部计算机时,监控软件自动识别特定的认证标志,实现移动设备的认证。而外来移动设备插入内部计算机时,因无法识别而被拒绝使用。身份认证用到了USB过滤驱动技术处于功能驱动程序之上的过滤器驱动程序称为上层过滤器;处于功能驱动程序之下的过滤器驱动程序(仍处于总线驱动程序之上)称为下层过滤器。虽然这两种驱动程序本身用于不同的目的,但创建这两种驱动程序的机制完全相同。本文所用技术为USB上层过滤驱动程序,这里只涉及USB上层过滤驱动程序。实际上,创建过滤器驱动程序就像创建任何其它WDM驱动程序一样,都有DriverEntry例程、AddDevice例程、一组派遣函数等等。上层过滤器驱动程序的用途是帮助支持这样的设备,这种设备的大多数方面都像其所属类的普通设备,但有一些附加功能。你可以依靠一个通用的功能驱动程序来支持设备的普通行为。为了处理设备的附加功能,你可以写一个上层过滤器驱动程序来干预IRP流。举一个有趣的例子,假设存在一个烤面包机设备的标准类,并且已经有人为其写了一个标准驱动程序。再假设你的特殊烤面包机有一个高级的面包片弹出特征,它可以把烤好的面包片弹到两英尺高的空中。而控制这个AWE(AdvancedWaffleEject)特征的工作就是上层过滤器驱动程序的任务(如图1所示),USB过滤驱动程序位于功能驱动程序之上,如图2所示。当I/O管理器将IRP发送给USB设备时,首先发送给上层过滤驱动。然后按照图示依次向下传。对于USB设备的读写,如果全部返回进行特殊过滤,那么功能驱动程序将不再执行读或者写操作,从而对USB设备进行了禁用。具体实现技术如下:Windows中对U盘的操作采用的是SCSI(1)得到当前的SCSI命令DbgPrint(\″IRP＿MJ＿SCSI\″);现在opCode中就是当前的SCSI命令。(2)分析SCSI命令(由于SCSI命令很多,找到真正要拦截的SCSI命令,可以参考规范)这里是对写操作进行过滤。对读操作的过滤步骤同上。2.2人在usb设备中存在自动运行的文件目前,随着U盘使用频率的增加,一些恶意程序,比如自拷贝程序、病毒、木马开始寄生在U盘等移动存储设备上。有些恶意程序的寄生手段非常高明,令人防不胜防。为此本系统提出了一个较好的解决方案。第一步捕获USB设备插入事件响应U盘插入事件,应用程序中捕获WM_DEVICECHANGE消息:第二步检测USB设备中存在自动运行的系统文件遍历U盘上当前根目录文件,以检测系统文件autorun.infBOOLCFileCopyCheck::CheckAutoRun(constchar*rootDir)第三步分析该文件结构,处理文件对应的自拷贝程序制止子拷贝程序或者病毒等恶意程序的运行。经过第二步的检测以后,如果存在系统文件autorun.inf就分析autorun.inf文件,获得子拷贝程序名字,进行相关安全处理。删除autorun.inf文件,删除子拷贝程序,删除子拷贝程序向注册表中添加的任何关联信息。如果认为子拷贝程序是病毒、木马等程序,本方案也会采取安全监控。当USB设备拔出以后,USB设备中可能存在的子拷贝等恶意程序将不能寄存在USB设备上,从而进一步防止了子拷贝等恶意程序的运行。3usb设备使用本系统分为服务器端(Server)和客户端(Client)两部分,服务器和客户端不存在通信。服务器端负责向指定的USB设备扇区写入加密数据,进行注册。其原理如图3所示。客户端监控USB插入事件,检测USB是否为信任设备,即是否已经在服务器端注册过。若未注册,设备将会被禁用。设备被信任后,检测设备中是否存在恶意程序,如U盘病毒、自拷贝程序等等。客户端流程如图4所示。4注册后出现添加移动设备的标签本系统采用的实验测试平台为奔4处理器,512MB内存,windowsxp2运行服务器端程序后,在桌面任务栏的右下方会出现相应的图标,将鼠标置于上面就会显示“移动设备控制—服务器端”字样,插入所需要注册的移动设备后右击该图标,点击注册,然后选择需要注册的设备符,点击确定即可。对没有注册过的移动设备,当双击启动移动设备时,会弹出一个消息框如图5所示,表示该设备已经禁用。对已经注册过的移动设备,当再次注册时,会弹出一个已经注册过了的对话框。如图6所示。5密信息保护系统由于移动存储设备的大量使用而引起的安全问题给企业信息化建设带来了很大的困扰,这些问题随着信息化建设的逐步深入会越来越突出,越来越严重。经过系统测试和实际使用表明,本文开发的系统具有安全可靠、工作稳定以及使用简便等特点,可广泛