Ｗｉｎｄｏｗｓ平臺下外圍存儲設(shè)備信息監(jiān)控

摘要:針對目前使用內(nèi)部網(wǎng)絡(luò)的外圍存儲設(shè)備時存在的安全問題，研究了現(xiàn)行外圍存儲設(shè)備使用中的安全保護(hù)措施，分析了現(xiàn)有技術(shù)方法的欠缺，提出主機(jī)外圍設(shè)備使用統(tǒng)一管理監(jiān)控的思想，并采用文件系統(tǒng)過濾驅(qū)動技術(shù)，設(shè)計實現(xiàn)了主機(jī)外圍存儲設(shè)備信息監(jiān)控系統(tǒng)#65377;

關(guān)鍵詞:存儲設(shè)備安全;文件系統(tǒng)過濾器;信息監(jiān)控

中圖分類號:TP309.1文獻(xiàn)標(biāo)志碼:A

文章編號:1001-3695(2007)04-0273-03

隨著計算機(jī)與網(wǎng)絡(luò)的普及應(yīng)用，信息安全問題的日益突出，企業(yè)單位內(nèi)部信息資源的安全問題越來越引起人們的重視#65377;內(nèi)部局域網(wǎng)不僅有來自外網(wǎng)的各種攻擊，還要面對內(nèi)部人員有意或無意的信息泄漏#65377;目前存儲設(shè)備技術(shù)的發(fā)展， 特別是大容量移動存儲設(shè)備(如USB硬盤#65380;磁帶存儲設(shè)備等)的廣泛使用，使信息傳遞更加方便快捷，若不能有效地控制其使用，會使內(nèi)網(wǎng)信息安全存在嚴(yán)重問題#65377;如何對外圍存儲設(shè)備的使用進(jìn)行有效控制顯得越來越重要#65377;

1背景回顧

1.1安全威脅

在網(wǎng)絡(luò)應(yīng)用普及前，外圍存儲設(shè)備如軟盤#65380;磁帶等一直是主機(jī)與外界交換信息的重要途徑，而網(wǎng)絡(luò)技術(shù)的發(fā)展與廣泛應(yīng)用，使網(wǎng)絡(luò)上的主機(jī)交換信息有了更方便的通道#65377;目前使用存儲設(shè)備交換信息的功能有所減弱，但隨著外圍存儲設(shè)備自身技術(shù)的飛速發(fā)展，存儲容量越來越大，使用也越來越方便，其仍然被廣泛應(yīng)用于信息傳遞#65380;信息備份等#65377;

使用外圍存儲設(shè)備帶來的威脅是多方面的，如在未授權(quán)情況下，公司內(nèi)部人員將涉密信息通過可移動存儲設(shè)備帶出公司;在通過使用存儲設(shè)備傳遞大量信息的途中，由于未采用保護(hù)措施，被人員有意或無意地流出到其他不安全區(qū)域;使用外圍存儲設(shè)備備份信息，未采取保護(hù)措施，因物理設(shè)備丟失而造成信息泄露，同時由于未嚴(yán)格控制外圍存儲設(shè)備的使用，會帶來病毒#65380;木馬之類危險數(shù)據(jù)，以及一些在內(nèi)部網(wǎng)絡(luò)可能不允許存在的游戲#65380;多媒體資料等^[1]#65377;

1.2現(xiàn)有安全保護(hù)措施

針對外圍存儲設(shè)備的安全使用，有基于硬件的安全增強(qiáng)技術(shù)，如由內(nèi)嵌于存儲設(shè)備芯片上的程序執(zhí)行安全功能#65377;從軟件角度，現(xiàn)有Windows系統(tǒng)能提供簡單的對特定類型設(shè)備讀寫控制，如管理員設(shè)置網(wǎng)絡(luò)內(nèi)用戶主機(jī)系統(tǒng)的USB閃存#65380;磁帶#65380;軟驅(qū)等不允許使用#65380;只讀等，以防止信息通過這些設(shè)備而泄露#65377;還有一些安全產(chǎn)品，通過程序控制各種外圍存儲設(shè)備的接入，簡單地允許或禁止外圍存儲設(shè)備的使用#65377;

為了細(xì)化對外圍設(shè)備的使用控制，增強(qiáng)安全防護(hù)設(shè)施的功能，以便更安全#65380;更便利地使用外圍存儲設(shè)備，出現(xiàn)了許多針對特定類型設(shè)備的安全防護(hù)技術(shù)#65377;如針對USB設(shè)備，采用基于USB設(shè)備棧的驅(qū)動層安全增強(qiáng)技術(shù)，提供數(shù)據(jù)加密#65380;防病毒等安全功能^[2]#65377;由于采用特定與USB設(shè)備棧的驅(qū)動層過濾技術(shù)，還能重新定義文件存儲機(jī)制，提供存儲安全功能，如數(shù)據(jù)恢復(fù)等#65377;

1.3現(xiàn)有的安全技術(shù)分析

已有的安全技術(shù)能在一定程度上增強(qiáng)外圍存儲設(shè)備的使用安全，但從統(tǒng)一#65380;有效管理外圍設(shè)備安全使用的角度來看，現(xiàn)有技術(shù)存在不同方面的欠缺之處，主要表現(xiàn)在以下方面: 

(1)控制的簡單化#65377;現(xiàn)有針對外圍存儲設(shè)備控制的軟件產(chǎn)品監(jiān)控過于簡單，只能進(jìn)行允許或禁止接入，以及只讀只寫設(shè)置#65377;因為外圍存儲設(shè)備廣泛應(yīng)用于信息傳遞#65380;數(shù)據(jù)備份等，所以不能建立合適粒度的安全模型，部署有效的安全設(shè)施以控制內(nèi)部人員使用，僅能簡單粗糙地管理外圍設(shè)備訪問，這樣一方面缺乏靈活性， 影響了存儲設(shè)備的使用;另一方面未能全面反映外圍設(shè)備的使用狀況，不能給予安全狀況以評估，進(jìn)一步構(gòu)筑安全防護(hù)措施#65377;

(2)控制設(shè)備類型單一化#65377;基于硬件的安全增強(qiáng)技術(shù)不具備普遍使用性，且安全功能單一，不能升級#65377;軟件方面，一些具有較強(qiáng)功能的針對特定類型設(shè)備的安全技術(shù)，提供了更加細(xì)化的控制粒度，有更多的安全功能，但其主要著重于考慮特定設(shè)備的存儲安全，如信息正確性檢查#65380;數(shù)據(jù)恢復(fù)等功能，對信息傳輸監(jiān)控考慮不多#65377;同時其技術(shù)過度耦合于具體設(shè)備類型#65377;為了控制多種存儲設(shè)備就需要了解不同的技術(shù)并設(shè)計不同的控制程序，進(jìn)行全局的外圍存儲設(shè)備的策略部署也會變得復(fù)雜化，很難將各種對特定類型設(shè)備的監(jiān)控進(jìn)行集成，以統(tǒng)一管理外圍設(shè)備的使用#65377;

(3)無詳細(xì)的安全使用視圖#65377;由于許多現(xiàn)有技術(shù)的簡單性，只進(jìn)行了一些簡單的控制，大都未提供審計功能以跟蹤存儲設(shè)備的安全使用#65377;而若需細(xì)粒度的控制，應(yīng)給出更詳細(xì)的外圍存儲設(shè)備的使用狀況，以掌握整個外圍存儲設(shè)備的使用現(xiàn)狀，來提供進(jìn)一步改進(jìn)#65380;改正策略部署，進(jìn)一步改進(jìn)系統(tǒng)的有用信息#65377;

綜上所述，為統(tǒng)一管理外圍存儲設(shè)備的安全使用，一方面不能過于簡單地控制外圍存儲設(shè)備的讀寫，從而影響設(shè)備使用的方便性;另一方面使用的技術(shù)應(yīng)盡可能容易地擴(kuò)展到其他類型的存儲設(shè)備，以便于進(jìn)一步統(tǒng)一管理，同時應(yīng)提供較為詳細(xì)的跟蹤審計功能#65377;

2Pseim系統(tǒng)設(shè)計 

本文的外圍存儲設(shè)備監(jiān)控系統(tǒng)(Periphery Storage Equipment Information Monitor System)設(shè)計達(dá)到了如下目標(biāo):合適控制粒度，靈活設(shè)置安全策略，細(xì)化了外圍存儲設(shè)備的使用監(jiān)控;通用可擴(kuò)展的監(jiān)控技術(shù)，更好地支持多種外圍存儲設(shè)備的監(jiān)控;完善的審計功能，提供了整個內(nèi)部網(wǎng)絡(luò)外圍存儲設(shè)備的使用狀況，對安全威脅提供報警，對有可能泄密事件提供事后分析依據(jù)等#65377;

2.1設(shè)備驅(qū)動技術(shù)與文件過濾驅(qū)動結(jié)構(gòu)

在Windows平臺下，對文件資源的訪問，經(jīng)應(yīng)用程序接口，傳遞給I/O管理器，由I/O管理器以IRP請求包的形式傳遞給合適的驅(qū)動程序，由分層的驅(qū)動程序完成請求#65377;I/O管理器允許插入過濾器驅(qū)動程序，擴(kuò)展I/O管理器，擴(kuò)展現(xiàn)有驅(qū)動程序功能#65377;過濾驅(qū)動程序作為驅(qū)動層次中的一層，能截獲I/O請求，作相應(yīng)處理，能夠允許或禁止相應(yīng)IRP請求實現(xiàn)文件保護(hù);能夠?qū)/O請求進(jìn)行特定的修改處理，如對讀寫IRP請求透明加/解密實現(xiàn)文件加/解密功能#65377;

在分層的驅(qū)動結(jié)構(gòu)中，經(jīng)常通過開發(fā)文件系統(tǒng)過濾驅(qū)動程序以保證文件系統(tǒng)的安全運(yùn)行#65377;文件系統(tǒng)過濾驅(qū)動是針對文件系統(tǒng)而言的過濾驅(qū)動#65377;I/O管理器根據(jù)用戶的文件操作請求構(gòu)造IRP發(fā)送到文件系統(tǒng)驅(qū)動程序，文件系統(tǒng)驅(qū)動程序把相應(yīng)于文件系統(tǒng)的操作轉(zhuǎn)換為相應(yīng)于存儲設(shè)備的驅(qū)動程序的操作并通過I/O管理器調(diào)用存儲設(shè)備驅(qū)動程序#65377;通過構(gòu)造附加的設(shè)備對象指定專門的驅(qū)動程序，I/O管理器就會將要發(fā)送到目標(biāo)設(shè)備的請求先發(fā)送到附加的過濾設(shè)備，在該過濾設(shè)備對應(yīng)的過濾驅(qū)動程序中對原始請求加入附加處理來實現(xiàn)對操作請求的截取#65380;監(jiān)控等#65377;

可以使用文件過濾驅(qū)動監(jiān)控外圍存儲設(shè)備，文件系統(tǒng)驅(qū)動程序為外圍設(shè)備在文件系統(tǒng)層次創(chuàng)建對應(yīng)的功能設(shè)備，而過濾驅(qū)動程序為每個功能設(shè)備創(chuàng)建過濾設(shè)備附加其上#65377;在創(chuàng)建過濾設(shè)備的過濾驅(qū)動程序中，根據(jù)設(shè)置的策略決定對相關(guān)I/O請求的處理#65377;舉例說明，如圖1所示，一個光盤與一個分為兩個邏輯盤的USB硬盤，通過硬件抽象層#65380;總線驅(qū)動程序#65380;存儲設(shè)備驅(qū)動層等底層驅(qū)動層的功能，在文件系統(tǒng)層展現(xiàn)為盤符 g #65380; h #65380; i 的卷設(shè)備對象(vdo)，分別由CDFS與FAT文件系統(tǒng)識別創(chuàng)建，文件過濾驅(qū)動程序為插入的外圍設(shè)備在文件系統(tǒng)層的卷設(shè)備對象(vdo)創(chuàng)建過濾設(shè)備對象(fdo)，附著其上，文件過濾驅(qū)動同時創(chuàng)建在應(yīng)用層打開的控制設(shè)備對象(cdo)以便與驅(qū)動程序通信#65377;如此便可以在指向外圍存儲設(shè)備的請求包通過過濾設(shè)備時，由過濾驅(qū)動程序?qū)φ埱蟀M(jìn)行額外處理，以進(jìn)行訪問控制^[3，4]#65377;

2.2監(jiān)控技術(shù)選擇與系統(tǒng)設(shè)計思路

在應(yīng)用層對各種外圍設(shè)備的接入進(jìn)行控制，可以禁止或允許使用某種外圍設(shè)備，或設(shè)置外圍設(shè)備可讀#65380;可寫，但不能提供細(xì)粒度的訪問控制#65377;使用過濾器驅(qū)動程序能很好地控制文件資源的訪問#65377;而不同層次的過濾器驅(qū)動程序有不同的邏輯視圖，較低層次的過濾驅(qū)程序接收較低級的請求信息，如I/O請求在底層與硬件打交道的驅(qū)動程序中以寫磁道柱面等形式存在#65377;對于特定外圍存儲設(shè)備的驅(qū)動程序過濾器，其能有效擴(kuò)展處理特定設(shè)備的I/O請求，但從對外圍存儲設(shè)備監(jiān)控角度看，它們的邏輯層次較低，不能很好地設(shè)置通常針對文件資源的訪問策略;同時必須為每一種外圍驅(qū)動程序編寫驅(qū)動程序，設(shè)計復(fù)雜，運(yùn)行占用資源較多#65377;使用基于文件系統(tǒng)過濾驅(qū)動能很好地對外圍存儲設(shè)備進(jìn)行監(jiān)控，一方面文件系統(tǒng)層屏蔽了各種外圍存儲設(shè)備下層的驅(qū)動程序的復(fù)雜性，無須為每一種外圍設(shè)備編寫過濾驅(qū)動程序;另一方面I/O管理器將請求直接交給文件系統(tǒng)層的驅(qū)動進(jìn)行處理，文件系統(tǒng)層處于較高的層次，能很好地實施對文件資源訪問的保護(hù)機(jī)制#65377;

通過過濾驅(qū)動程序可以設(shè)置策略，根據(jù)策略對外圍存儲設(shè)備進(jìn)行監(jiān)控#65377;在內(nèi)網(wǎng)中，由管理員為每臺主機(jī)設(shè)置設(shè)備安全使用策略，發(fā)送給主機(jī)，同時接收主機(jī)發(fā)送來的經(jīng)過整理分析的使用日志#65380;流出信息副本等，及時了解內(nèi)網(wǎng)中外圍設(shè)備使用狀況，事后也可根據(jù)日志及留存文件等數(shù)據(jù)檢查有無信息泄露#65377;

3Pseim系統(tǒng)實現(xiàn)

3.1系統(tǒng)模塊結(jié)構(gòu)

如圖2所示，外圍存儲設(shè)備監(jiān)控系統(tǒng)分內(nèi)核與應(yīng)用層兩部分，過濾驅(qū)動處于內(nèi)核層;對外通信接口#65380;操作審計#65380;監(jiān)控管理#65380;內(nèi)核通信四個子模塊處于應(yīng)用層#65377;

3.2模塊實現(xiàn)

3.2.1過濾驅(qū)動處理

文件過濾驅(qū)動模塊作為I/O子系統(tǒng)的一部分運(yùn)行在內(nèi)核#65377;它的主要任務(wù)是設(shè)備訪問監(jiān)控#65380;文件加/解密#65380;設(shè)備使用及留出信息流日志#65377;在驅(qū)動程序DriverEntry例程中為通過驅(qū)動程序的I/O請求包IRP制定處理例程:

這樣便可以在設(shè)置的例程中對相應(yīng)的IRP包進(jìn)行處理#65377;

(1)訪問監(jiān)控#65377;根據(jù)設(shè)置的驅(qū)動策略，I/O請求包IRP經(jīng)過過濾驅(qū)動程序時，檢查請求包以實現(xiàn)對特定資源的訪問監(jiān)控#65377;對類型為IRP_MJ_CREATE的請求包(MyFilterCreate 例程中)，檢查要操作的類型(讀#65380;寫等)與訪問的信息體的相關(guān)屬性是否符合策略，以決定對IRP的處理#65377;其中對資源信息體的保護(hù)可以專門部署信息資源數(shù)據(jù)庫，設(shè)置相關(guān)訪問屬性，根據(jù)IRP所指向的對象查找數(shù)據(jù)庫中相關(guān)項的設(shè)置，以決定對其控制#65377;另外，可以容易地將文件過濾驅(qū)動擴(kuò)展到整個系統(tǒng)存儲設(shè)備，通過文件過濾驅(qū)動程序，對重要系統(tǒng)資源在文件屬性中設(shè)置訪問屬性的標(biāo)志，以作為處理I/O請求包的依據(jù)#65377;

(2)文件加/解密#65377;在文件過濾驅(qū)動程序中，當(dāng)向外圍設(shè)備寫入數(shù)據(jù)時(MyFilterWrite例程)，將需加密的文件加密后再傳給下層驅(qū)動程序;讀文件時，如果是加密文件，在讀到數(shù)據(jù)返回給應(yīng)用層前，解密數(shù)據(jù)(MyFilterRead例程)后返回數(shù)據(jù)#65377;可以設(shè)置外圍存儲設(shè)備分區(qū)的整個盤或特定目錄為加密范圍，凡寫或讀指向設(shè)置為加密目錄中的文件時進(jìn)行加/解密處理，也可以在文件系統(tǒng)層設(shè)置文件屬性標(biāo)志，并對特定標(biāo)志的文件寫讀進(jìn)行加/解密#65377;通過加/解密，以實現(xiàn)文件備份的保密性，在部署該系統(tǒng)的內(nèi)網(wǎng)內(nèi)統(tǒng)一設(shè)置相關(guān)主機(jī)的策略，能保證內(nèi)網(wǎng)內(nèi)信息傳輸?shù)谋Ｃ苄?sup>[5]#65377;

(3)操作日志#65377;根據(jù)策略記錄下審計所需的針對外圍存儲設(shè)備的相關(guān)操作信息保存在內(nèi)核中，由應(yīng)用層與內(nèi)核通信部分取出信息供操作審計模塊進(jìn)一步處理#65377;

3.2.2內(nèi)核通信

應(yīng)用層與內(nèi)核通信模塊負(fù)責(zé)加載初始化驅(qū)動程序，在應(yīng)用層打開過濾驅(qū)動中創(chuàng)建的控制設(shè)備(cdo)獲得設(shè)備句柄，通過句柄進(jìn)行通信#65377;如前所述，筆者已經(jīng)為指向由過濾驅(qū)動創(chuàng)建的所有設(shè)備指定了處理例程#65377;在過濾驅(qū)動創(chuàng)建設(shè)備中為控制設(shè)備(cdo)與過濾設(shè)備(fdo)設(shè)置不同設(shè)備類型標(biāo)志，則每個請求通過創(chuàng)建設(shè)備時，在驅(qū)動程序相應(yīng)處理例程中根據(jù)標(biāo)志可分辨出是控制設(shè)備(cdo)還是過濾設(shè)備(fdo)#65377;在應(yīng)用層使用控制設(shè)備句柄調(diào)用DeviceIoControl發(fā)送IOCTL請求給驅(qū)動程序，驅(qū)動程序會作相應(yīng)處理，同時可以通過緩沖區(qū)傳遞數(shù)據(jù)，獲取數(shù)據(jù)#65377;內(nèi)核通信模塊的主要工作為:設(shè)置驅(qū)動程序中外圍存儲設(shè)備監(jiān)控策略;輪詢獲取驅(qū)動程序收集的對外圍存儲設(shè)備的操作信息，提交給操作審計模塊進(jìn)一步處理#65377;

3.2.3監(jiān)控管理

監(jiān)控管理模塊是整個系統(tǒng)的啟動與管理模塊，由其開啟兩個線程，用于整理分析外圍存儲設(shè)備使用情況的操作審計模塊線程及負(fù)責(zé)與驅(qū)動內(nèi)核交換各種信息的內(nèi)核通信模塊線程#65377;

監(jiān)控管理模塊通過內(nèi)核通信模快加載過濾驅(qū)動，通過對外通信模塊獲得內(nèi)網(wǎng)管理中心發(fā)送給該主機(jī)的策略并設(shè)置到驅(qū)動層與應(yīng)用層#65377;設(shè)置在驅(qū)動層的策略信息用于監(jiān)控用戶針對外圍存儲設(shè)備的I/O操作，而應(yīng)用層設(shè)置的策略信息提供操作審計時的參考#65377;監(jiān)控管理模塊同時不停地檢測外圍存儲設(shè)備的插拔，及時通知過濾驅(qū)動程序創(chuàng)建過濾設(shè)備到目標(biāo)設(shè)備上以進(jìn)行監(jiān)控#65377;

3.2.4操作審計

Pseim系統(tǒng)提供了更細(xì)粒度的設(shè)備訪問控制，不只是簡單地在I/O路徑上對用戶I/O操作作相應(yīng)處理，而要根據(jù)獲得的使用信息整理選擇出有用的操作日志#65380;訪問文件信息，以提供外圍存儲設(shè)備使用狀況視圖和事后分析審計的信息依據(jù)#65377;

操作審計模塊過濾出從過濾驅(qū)動中獲取的外圍存儲設(shè)備的有用操作數(shù)據(jù)，分析并整理過濾后的信息，參照外圍存儲設(shè)備使用策略，生成各種違反策略操作的安全報警日志發(fā)送給網(wǎng)絡(luò)管理員#65377;同時根據(jù)需要留存一些用戶訪問流出的文件信息，以作為事后分析與檢查是否信息泄露的依據(jù)#65377;

3.2.5對外通信接口

如2.2節(jié)設(shè)計思路中所述，管理員為每臺主

機(jī)配置策略并發(fā)送給主機(jī)，主機(jī)監(jiān)控系統(tǒng)中對外通信接口模塊用于接受內(nèi)網(wǎng)管理員端發(fā)送的外圍存儲設(shè)備使用策略#65377;如果網(wǎng)絡(luò)發(fā)生故障，改為讀取本地文件中保存的默認(rèn)策略信息傳送給監(jiān)控管理模塊#65377;同時負(fù)責(zé)將操作審計模塊產(chǎn)生的日志#65380;留存文件等信息提交給管理員審計處理，在通信不正常時暫時保存在本地主機(jī)上以便在下次通信正常時發(fā)送#65377;

3.3系統(tǒng)運(yùn)行情況

網(wǎng)絡(luò)管理員為每臺主機(jī)設(shè)置外圍存儲設(shè)備使用策略，并發(fā)送給每臺主機(jī)，主機(jī)監(jiān)控程序?qū)⒏鶕?jù)收到的策略部署監(jiān)控設(shè)施#65377;

監(jiān)控系統(tǒng)的工作流程如下:通過對外通信接口獲得為本主機(jī)設(shè)置的外圍存儲設(shè)備使用策略，由監(jiān)控管理模塊負(fù)責(zé)設(shè)置應(yīng)用層策略數(shù)據(jù)，調(diào)用內(nèi)核通信模塊設(shè)置驅(qū)動程序中策略數(shù)據(jù)，并檢測設(shè)備插拔以實時進(jìn)行過濾設(shè)備掛接，而加載的驅(qū)動程序根據(jù)策略等信息進(jìn)行訪問監(jiān)控#65377;內(nèi)核驅(qū)動模塊在監(jiān)控過程中記錄外圍設(shè)備訪問信息，由內(nèi)核通信模塊獲取并交給操作審計模塊，由操作審計模塊審計分析，將報警日志及流出文件進(jìn)行本地留存，或發(fā)送到管理員，以供檢查本主機(jī)外圍設(shè)備使用狀況#65377;例如設(shè)置某主機(jī)用戶不能將特定標(biāo)志信息的文件寫出到外圍存儲設(shè)備中的策略，并向該主機(jī)發(fā)送，主機(jī)監(jiān)控系統(tǒng)根據(jù)發(fā)送過來的策略設(shè)置驅(qū)動策略，當(dāng)出現(xiàn)用戶違反規(guī)定寫出特定標(biāo)志文件的情況，驅(qū)動程序在I/O請求包路徑上將拒絕用戶的操作請求，操作審計模塊獲得內(nèi)核傳上來的操作信息，產(chǎn)生報警日志，發(fā)送給管理員，以供管理員分析處理#65377;

4結(jié)束語

本文總結(jié)了目前外圍存儲設(shè)備使用中存在的安全隱患，分析了現(xiàn)有安全措施#65380;技術(shù)方法存在的問題，提出并實現(xiàn)了利用文件過濾驅(qū)動技術(shù)進(jìn)行監(jiān)控的Pseim系統(tǒng)#65377;該系統(tǒng)的特點(diǎn)是采用文件過濾驅(qū)動技術(shù)容易擴(kuò)展并能監(jiān)控多種外圍存儲設(shè)備，能提供細(xì)粒度的訪問控制，并通過完善審計功能掌控整個內(nèi)網(wǎng)環(huán)境中主機(jī)外圍存儲設(shè)備的安全使用情況#65377;然而目前系統(tǒng)設(shè)計考慮主要關(guān)注于單主機(jī)的策略設(shè)置和監(jiān)控訪問，未能從內(nèi)網(wǎng)全局的主機(jī)外圍設(shè)備使用角度統(tǒng)籌考慮#65377;在后續(xù)研究中，可以進(jìn)一步結(jié)合內(nèi)網(wǎng)中存儲設(shè)備相關(guān)信息使用特點(diǎn)，提供更有全局觀點(diǎn)的策略設(shè)置，增強(qiáng)系統(tǒng)功能，構(gòu)建更完善的內(nèi)部網(wǎng)絡(luò)外圍存儲設(shè)備安全使用防護(hù)系統(tǒng)#65377;

本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。