刘建东

摘 要：移动存储设备在给人类带来便利的同时自身也存在着一些安全问题，例如设备中的数据容易在他人恶意操作下而丢失，由此给用户带来了巨大的经济损失。因此，对移动存储于设备实施安全监控系统十分的重要。本文将从目前国内移动存储设备安全监控系统的研究现状谈起，就安全监控系统的设计以及开发进行深刻分析。

关键词：移动存储设备；安全监控系统；研究

目前，以USB接口为主的移动存储设备是进行数据和信息交换的重要载体，因其体积小、容量大且传输速度快而得到人们的广泛应用。但是由于目前这些移动存储设备被人们随意使用，由此产生的安全问题无论是给企业还是个人都带来了极大的损失。因此，如何对其实施安全监控就成为了目前主要研究的问题。

1 移动存储设备安全监控系统的研究现状

在移动存储设备进行工作的同时，其安全问题也不容忽视，甚至应该成为主要的研究方向。但在进行应用的过程中，也出现了很多问题。

USB端口禁用技术，该项技术在应用过程中，虽然可以有效防止内部信息的外泄，但在应用中却会给内部信息的传递和交换带来很大的不便。

在应用层方面的USB存储设备监控技术，这项技术在对存储设备在授权管理、分域管理等方面可以进行一定程度的控制，但容易被恶意软件操控，导致因无法实施有效监控而使得安全隐患频发。

基于文件过滤驱动设置对信息实施加密控制。此项技术可以保证文件以密文的形式存在，但是由于这项技术在实现上较为复杂，许多临时文件不能被加密，从而导致泄密事件频发[1]。

这对上述问题，本文将结合对磁盘上的文件实现过滤的思想，在接口处设置监控系统，从而保证移动存储设备能够在正常使用的情况下，不泄露关键信息。

2 基本工作原理

2.1 Windows驱动程序模型基本结构分析

WDM作为一种跨平台的驱动程序模型，在应用过程中可以不经过任何修改直接在非Intel平台上运行。在该项程序中，可将设备对象分为两类，即功能设备对象（简称FDO）和物理设备对象（简称PDO）。在进行操作时，至少要两个设备共同工作，才能完成操作。对于一个硬件来说，只能有一个PDO，但却可以有多个FDO，并且PDO在工作过程中，要依附于FDO，不能单独进行操作。此外，在FDO的上面和下面分别装置了过滤驱动设备，由此WDM才可正常工作。

2.2 文件过滤驱动的工作原理和作用

該项技术的应用是附着在文件系统上进行的，当用户在对文件进行读、写等操作时，Windows系统的I/O管理器会通过IRP发出文件驱动指令，然后文件系统驱动就可以通过转换，使其变成存储设备驱动程序上进行的操作。另外，文件系统还可以通过拦截请求包（IRP）并对其进行重新处理，从而为当前系统增加一些新功能[2]。

文件的过滤驱动在应用中，通过对文件系统进行扩展以及修改，可以使其功能得到增加，它的作用包括以下两点：

（1）可以为文件系统提供附加功能。比如可以让文件在读写过程中，分别实行加密和解密，从而增加文件的系统效率。

（2）在运行中，实施对病毒的监测。在读写文件时，可以检查数据内容是否带有病毒特征码。

3 移动存储设备安全监控系统的设计与应用

3.1 设计思路

对移动存储设备实施安全监控主要就是在局域网的环境中进行的，并由监控服务器和监控代理构成。

代理端作为该系统的核心部分，通过策略执行模块以及信息采集模块进行工作。在策略执行模块中，可以借助基本的运行规则，对移动存储设备的读写操作信息发出允许或者静止的信息，并将其传输到内核过滤驱动模块，内核驱动模块通过分析，在将关键信息传递到采集模块的过程中，借此可以禁止执行程序对其进行的授权访问。另外，信息采集模块通过对移动存储设备的使用信息进行采集的方式，将这些信息实时传输给监控服务器。

另外，在监控服务器方面，主要由策略模块、监控模块以及日志模块3个部分构成，他们根据不同的程序对信息实施监控。

3.2 应用过程

在实施安全监控的过程中，最关键的部分就是监控代理端的策略执行模块，这一模块的重要工作内容就是对内核文件进行过滤驱动的编写。主要包括以下几个方面：

（1）动态捕获移动存储设备的安装与移除

在应用过程中，可以利用IoCreateDevice创建一个控制设备对象来表示文件过滤驱动程序，并通过IoCreateSymbolicLink将命名调节为可见，这样就使得应用程序在应用中抓到了核心模块驱动的句柄。然后通过编写分发例程，对新设备的安装与卸载实施监控。在以上程序完成之后，就可以进行安全系统监控设备的安装。并通过调用IoCreateDevice程序为添加卷创建设备对象，并对其进行绑定，由此对新加卷实施监控。

（2）对移动存储设备的读、写实行控制

在运行过程中，监控服务器要管理着监控代理上的移动存储设备所使用的策略信息，并在初始化的过程中传递给代理端。然后监控代理会根据禁止读或者写的指令，对移动存储设备进行使用[3]。

（3）对关键文件的授权访问

在完成对移动存储设备上文件操作的记录后，管理员就可以通过手动的方式将需要保护的文件添加在授权列表中，然后文件过滤驱动就可以记录这些文件的绝对路径，并设置访问密码。这样在对关键文件进行重命名、删除以及其他操作时，就可以通过IRP进行拦截，从而对文件起到保护的作用。

4 结论

移动存储设备的安全已成为目前研究的主要方向，它与网络的信息安全密切相关。本文设计的安全监控系统是通过对移动存储设备与计算机之间的传输进行监控，有效防止在传输过程中信息感染病毒，从而对重要信息进行保护。随着科技的发展，相信此项技术可以广泛应用到个人、企业以及机关等部门，为人们的生活带来极大的便利。

参考文献

[1]段翼真，王晓程，王斌.USB存储设备安全监控系统的设计与实现[J].计算机应用，2010，（S1）：102-105，108.

[2]夏辉.政务网移动存储设备安全防护系统设计与实现[D].上海交通大学，2010.

[3]陈麟，林宏刚，胡勇.移动存储设备数据安全导入系统[J].四川大学学报（工程科学版），2009，（2）：216-220.

（作者单位：吉首大学张家界学院）

课题项目：吉首大学张家界学院科学研究项目“移动存储设备的安全监控与管理研究”（zyzd201503）资助。