主動防泄密信息安全防護系統(tǒng)研究與實現(xiàn)

摘 要:為從根本上提高網(wǎng)絡信息安全防護能力和水平，提出主動防泄密安全機制，采用綜合身份認證訪問控制、文件操作實時監(jiān)控和數(shù)據(jù)安全存儲的全面信息安全防護技術(shù)方案，設計出一種主動防泄密信息安全防護系統(tǒng)。系統(tǒng)實現(xiàn)了基于eKey的網(wǎng)絡身份認證與安全登錄、基于雙層監(jiān)控機制的文件操作實時監(jiān)控和基于網(wǎng)絡的文件加密，有效提高了防范內(nèi)部主動泄密和外部技術(shù)竊取的安全防護能力。

關(guān)鍵詞:主動防泄密; 身份認證; 實時監(jiān)控; 系統(tǒng)密鑰

中圖分類號:TP39;TP31;TP393 文獻標識碼:A

文章編號:1004-373X(2010)09-0101-03

Research and Realization of Active Anti-leakage Security System of Information

GE Chun， LIU Hao-jie， SHI Jing， SONG Hong-juan

(PLA Sergeant College of the Second Artillery， Qingzhou 262500，China)

Abstract: In order to improve the capability and level of information security protection for internal LAN， a sort of me-chanism for active anti-leakage of information is put forward，a scheme of comprehensive settlement of information security protection which makes up of identity authentication， access control， file realtime monitoring and data storage security are adopted， and then a sort of active anti-leakage information security system were designed and realized. The functions of identity authentication on network and safety logon based on eKey technology， file monitoring based on double-level monitor mechanism and file encryption based on network environments were achieved. The capability to prevent confidential information leakage induced by internal initiative leaking and external filching technology is efficiently enhanced.

Keywords: active anti-leakage of information; identity authentication; real-time monitoring; system key

0 引 言

加強網(wǎng)絡信息安全既要防范外部人員非法介入或竊取信息，更要防范內(nèi)部人員的主動泄密。根據(jù)美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)的調(diào)查結(jié)果顯示，80%以上的安全威脅來自內(nèi)部[1];中國國家信息安全測評認證中心的調(diào)查結(jié)果也表明，信息安全問題主要來自泄密和內(nèi)部人員犯罪[2]。

因此要從根本上提高網(wǎng)絡信息安全防護能力和水平，杜絕各類失泄密事件發(fā)生，必須在系統(tǒng)設計規(guī)劃中，主動應對各種失泄密途徑，建立一個主動的信息安全保護機制[3]。

1 主動防泄密安全機制

基于上述考慮，本文提出一種主動防泄密安全機制，由用戶綁定機制、網(wǎng)絡綁定機制、處理監(jiān)控機制、數(shù)據(jù)加密機制和身份認證機制五部分組成。用戶綁定機制實現(xiàn)涉密文件與用戶的綁定，防止非法用戶接觸涉密文件或合法用戶對涉密文件進行非授權(quán)操作;網(wǎng)絡綁定機制實現(xiàn)涉密文件與網(wǎng)絡環(huán)境的綁定，使涉密文件只能在特定網(wǎng)絡環(huán)境中存在，離開特定網(wǎng)絡環(huán)境就成為無效數(shù)據(jù);處理監(jiān)控機制實現(xiàn)涉密文件在處理過程中的安全防護，主要包括對用戶打印、復制、讀寫文件等操作的實時監(jiān)控;數(shù)據(jù)加密機制實現(xiàn)涉密文件基于特定網(wǎng)絡和用戶信息的數(shù)據(jù)加密，使涉密文件統(tǒng)一加密存儲在用戶計算機中;身份認證機制實現(xiàn)用戶與網(wǎng)絡系統(tǒng)的綁定。

上述五種安全機制相互配合，實現(xiàn)了涉密文件基于特定網(wǎng)絡環(huán)境和用戶信息的加密存儲，并且只有合法用戶在特定網(wǎng)絡下才能解密文件并進行處理，而處理過程則受到系統(tǒng)實時監(jiān)控，這樣文件本身就具備了較強的防范內(nèi)部主動泄密和外部技術(shù)竊取的安全防護能力[4]。

2 主動防泄密安全機制技術(shù)方案

主動防泄密安全機制涉及到身份論證與訪問控制、數(shù)據(jù)加密、文件處理監(jiān)控等關(guān)鍵技術(shù)，這里根據(jù)單位內(nèi)部局域網(wǎng)信息安全防護的實際需要，提出以下技術(shù)實現(xiàn)方案。

(1) 基于eKey的網(wǎng)絡身份認證與安全登錄:用戶只有插入合法的eKey，并通過服務器認證后才可登錄計算機系統(tǒng)。

(2) 基于雙層監(jiān)控機制的文件操作實時監(jiān)控:通過用戶層監(jiān)控實現(xiàn)對涉密文件剪貼板操作、非法打印和拷貝的實時阻斷;通過內(nèi)核層監(jiān)控實現(xiàn)涉密文件讀寫權(quán)限控制、透明加解密及安全審計等功能。

(3) 基于網(wǎng)絡的文件加密:利用基于網(wǎng)絡的系統(tǒng)密鑰加密機制，并選用具備高強度安全性能的AES算法，實現(xiàn)涉密文件數(shù)據(jù)的加密。

以上技術(shù)方案通過eKey及其存儲的數(shù)字證書實現(xiàn)了涉密文件與用戶的綁定以及用戶與網(wǎng)絡系統(tǒng)的綁定;通過系統(tǒng)密鑰實現(xiàn)了涉密文件與網(wǎng)絡環(huán)境的綁定;通過雙層監(jiān)控機制的文件操作實時監(jiān)控實現(xiàn)了涉密文件在處理過程中的安全防護;通過高強度加密算法加密實現(xiàn)了涉密文件的數(shù)據(jù)加密存儲。綜合運用以上技術(shù)方案，可實現(xiàn)基于主動防泄密安全機制的信息防護[4]。

3 主動防泄密信息安全防護系統(tǒng)的實現(xiàn)

根據(jù)上述技術(shù)方案，本文設計并實現(xiàn)一種主動防泄密信息安全防護系統(tǒng)，主要由服務器管理端與用戶終端構(gòu)成，如圖1所示。

圖1 主動防泄密信息安全防護系統(tǒng)結(jié)構(gòu)

服務器中設有密鑰中心，隨機產(chǎn)生密鑰來加密涉密文件。控制服務器負責用戶的注冊，監(jiān)控規(guī)則命令的下發(fā)以及文件操作記錄的接收和存儲;數(shù)據(jù)庫服務器完成監(jiān)控規(guī)則、密鑰信息、用戶注冊信息等數(shù)據(jù)的存儲。其三大模塊功能如下:

3.1 基于eKey的網(wǎng)絡身份認證與安全登錄

Windows 2000/XP操作系統(tǒng)允許用戶自己定制特殊的登錄方式，因為GINA是Winlogon調(diào)用的一個可替換的DLL模塊，認證策略在GINA中實現(xiàn)，通過替換GINA.dll可以實現(xiàn)用其他認證方式代替Windows所默認的登錄方式，比如:eKey、指紋識別等[5]。本文通過開發(fā)定制的GINA(Mygina.dll)替換操作系統(tǒng)默認的Msgina.dll，實現(xiàn)基于eKey的雙因素身份認證[6-7]。用戶必須輸入正確的用戶名、密碼，插入合法的eKey并通過網(wǎng)絡身份認證后才有權(quán)登錄到操作系統(tǒng)[8]。

3.2 基于雙層監(jiān)控機制的文件操作實時監(jiān)控

為了實現(xiàn)對文件操作的全面實時監(jiān)控，結(jié)合API HOOK(API函數(shù)截獲)技術(shù)和文件系統(tǒng)過濾驅(qū)動技術(shù)，提出基于用戶層和內(nèi)核層的雙層文件監(jiān)控機制，其結(jié)構(gòu)設計如圖2所示。主要由啟動加載模塊、API HOOK模塊(FileHook.dll)、文件訪問監(jiān)視程序(FileMon.exe)、涉密文件設置接口(FileSet.dll)和文件系統(tǒng)過濾驅(qū)動(FileFilter.sys)組成。

圖2 涉密文件實時監(jiān)控體系結(jié)構(gòu)

啟動加載模塊啟動后讀取配置信息，調(diào)用API函數(shù)LoadLibrary()加載涉密文件設置接口和文件系統(tǒng)過濾驅(qū)動，調(diào)用API函數(shù)CreateProcess()創(chuàng)建文件訪問監(jiān)視程序的進程[9]。

API HOOK模塊通過截獲相關(guān)文件操作API函數(shù)，實現(xiàn)對保密區(qū)涉密文件移動操作、打印操作和剪貼板操作的實時阻斷，并通過文件訪問監(jiān)視程序?qū)⒉僮饔涗洶l(fā)送給數(shù)據(jù)庫服務器。

文件訪問監(jiān)視程序負責從API HOOK模塊與文件系統(tǒng)過濾驅(qū)動的日志暫存隊列中取出日志，并發(fā)送日志到數(shù)據(jù)庫服務器。

涉密文件設置接口通過調(diào)用API函數(shù)DeviceIoControl()向文件系統(tǒng)過濾驅(qū)動發(fā)送設置涉密文件的命令。

文件系統(tǒng)過濾驅(qū)動根據(jù)截獲到的IRP(I/O request package，輸入/輸出請求包)類型調(diào)用相應的處理例程[10]，負責維護涉密文件表、控制涉密文件讀/寫訪問、記錄涉密文件讀/寫訪問到日志暫存隊列、阻斷對保密區(qū)內(nèi)文件重命名的IRP請求，在例程中根據(jù)監(jiān)控規(guī)則實現(xiàn)保密區(qū)內(nèi)涉密文件的實時監(jiān)控和透明加解密。

3.3 基于網(wǎng)絡的文件加密

系統(tǒng)的密鑰中心為用戶的每個涉密文件產(chǎn)生一個系統(tǒng)密鑰SK，并利用此系統(tǒng)密鑰加密涉密文件，加密算法采用AES算法。

系統(tǒng)設計了密鑰安全獲取通信協(xié)議，保證只有通過合法身份認證的用戶才能得到系統(tǒng)密鑰SK。該協(xié)議首先通過檢測用戶eKey的序列號，并與用戶注冊的eKey序列號相比較來實現(xiàn)用戶合法性判斷，然后通過系統(tǒng)密鑰SK的ID號，來正確獲取每個涉密文件對應的系統(tǒng)密鑰SK。

文件加密時首先以系統(tǒng)密鑰SK為加密密鑰，通過AES算法加密原文件，得到文件加密數(shù)據(jù)，再將系統(tǒng)密鑰SK的ID號寫入文件頭，與文件加密數(shù)據(jù)組成加密后的涉密文件。

文件解密時，首先讀出文件頭，獲得系統(tǒng)密鑰SK的ID號，并通過ID號在密鑰數(shù)據(jù)庫中查找對應的EK{SK}。然后檢測用戶eKey的序列號，并與用戶注冊信息相比較，若相同則通過認證，服務器將{EK{SK}}發(fā)送到用戶端。用戶端以其eKey的序列號為初始值生成EK，使用EK解密EK{SK}獲得系統(tǒng)密鑰SK(文件解密密鑰)，最后使用系統(tǒng)密鑰SK通過AES算法解密涉密文件。涉密文件基于網(wǎng)絡的加密與解密流程如圖3所示。

圖3 涉密文件基于網(wǎng)絡加密與解密流程

4 結(jié) 語

提出主動防泄密安全機制，設計了相應的信息安全防護技術(shù)方案，研制了一種主動防泄密信息安全防護系統(tǒng)，實現(xiàn)了基于eKey的網(wǎng)絡身份認證與安全登錄、基于雙層監(jiān)控機制的文件操作實時監(jiān)控和基于網(wǎng)絡的文件加密，系統(tǒng)有效提高了防范內(nèi)部主動泄密和外部技術(shù)竊取的安全防護能力。

參考文獻

[1]LAWRENCE A. 2007 CSI/FBI computer crime and security survey[R]. USA: Computer Security Institute， 2007-12-30.

[2]韓君.基于USBKey的Windows身份認證與訪問控制研究[D].武漢:武漢大學，2004.

[3]姜寧.建設主動防御的信息安全體系[J].計算機安全，2005，7(11):35-36.

[4]葛春，楊百龍.涉密微機信息安全防護系統(tǒng)研究[J].現(xiàn)代電子技術(shù)，2007，30(12):98-100.

[5]YUE L. Design of an Alternative credentials authentication for Windows[D]. Albany: Computer Science Department of Albany State University. 2004.

[6]Microsoft Corporration. Winlogon and GINA[EB/OL]. [2008-07-22]. http://msdn.Microsoft.com，2008.

[7]Microsoft Corporation. Microsoft Platform SDK[EB/OL]. [2008-09-11]. http://msdn.Microsoft.com，2008.

[8]深圳明華公司.eKey用戶手冊[EB/OL].[2008-06-05]. http://www.mwcard.com，2008/2009.

[9]冉林倉.Windows API編程[M].北京:清華大學出版社，2005.

[10]李民.基于Windows文件系統(tǒng)過濾驅(qū)動的文件加/解密技術(shù)研究與實現(xiàn)[D].成都:四川大學，2006.