摘 要:为从根本上提高网络信息安全防护能力和水平,提出主动防泄密安全机制,采用综合身份认证访问控制、文件操作实时监控和数据安全存储的全面信息安全防护技术方案,设计出一种主动防泄密信息安全防护系统。系统实现了基于eKey的网络身份认证与安全登录、基于双层监控机制的文件操作实时监控和基于网络的文件加密,有效提高了防范内部主动泄密和外部技术窃取的安全防护能力。
关键词:主动防泄密; 身份认证; 实时监控; 系统密钥
中图分类号:TP39;TP31;TP393 文献标识码:A
文章编号:1004-373X(2010)09-0101-03
Research and Realization of Active Anti-leakage Security System of Information
GE Chun, LIU Hao-jie, SHI Jing, SONG Hong-juan
(PLA Sergeant College of the Second Artillery, Qingzhou 262500,China)
Abstract: In order to improve the capability and level of information security protection for internal LAN, a sort of me-chanism for active anti-leakage of information is put forward,a scheme of comprehensive settlement of information security protection which makes up of identity authentication, access control, file realtime monitoring and data storage security are adopted, and then a sort of active anti-leakage information security system were designed and realized. The functions of identity authentication on network and safety logon based on eKey technology, file monitoring based on double-level monitor mechanism and file encryption based on network environments were achieved. The capability to prevent confidential information leakage induced by internal initiative leaking and external filching technology is efficiently enhanced.
Keywords: active anti-leakage of information; identity authentication; real-time monitoring; system key
0 引 言
加强网络信息安全既要防范外部人员非法介入或窃取信息,更要防范内部人员的主动泄密。根据美国联邦调查局(FBI)和计算机安全机构(CSI)的调查结果显示,80%以上的安全威胁来自内部[1];中国国家信息安全测评认证中心的调查结果也表明,信息安全问题主要来自泄密和内部人员犯罪[2]。
因此要从根本上提高网络信息安全防护能力和水平,杜绝各类失泄密事件发生,必须在系统设计规划中,主动应对各种失泄密途径,建立一个主动的信息安全保护机制[3]。
1 主动防泄密安全机制
基于上述考虑,本文提出一种主动防泄密安全机制,由用户绑定机制、网络绑定机制、处理监控机制、数据加密机制和身份认证机制五部分组成。用户绑定机制实现涉密文件与用户的绑定,防止非法用户接触涉密文件或合法用户对涉密文件进行非授权操作;网络绑定机制实现涉密文件与网络环境的绑定,使涉密文件只能在特定网络环境中存在,离开特定网络环境就成为无效数据;处理监控机制实现涉密文件在处理过程中的安全防护,主要包括对用户打印、复制、读写文件等操作的实时监控;数据加密机制实现涉密文件基于特定网络和用户信息的数据加密,使涉密文件统一加密存储在用户计算机中;身份认证机制实现用户与网络系统的绑定。
上述五种安全机制相互配合,实现了涉密文件基于特定网络环境和用户信息的加密存储,并且只有合法用户在特定网络下才能解密文件并进行处理,而处理过程则受到系统实时监控,这样文件本身就具备了较强的防范内部主动泄密和外部技术窃取的安全防护能力[4]。
2 主动防泄密安全机制技术方案
主动防泄密安全机制涉及到身份论证与访问控制、数据加密、文件处理监控等关键技术,这里根据单位内部局域网信息安全防护的实际需要,提出以下技术实现方案。
(1) 基于eKey的网络身份认证与安全登录:用户只有插入合法的eKey,并通过服务器认证后才可登录计算机系统。
(2) 基于双层监控机制的文件操作实时监控:通过用户层监控实现对涉密文件剪贴板操作、非法打印和拷贝的实时阻断;通过内核层监控实现涉密文件读写权限控制、透明加解密及安全审计等功能。
(3) 基于网络的文件加密:利用基于网络的系统密钥加密机制,并选用具备高强度安全性能的AES算法,实现涉密文件数据的加密。
以上技术方案通过eKey及其存储的数字证书实现了涉密文件与用户的绑定以及用户与网络系统的绑定;通过系统密钥实现了涉密文件与网络环境的绑定;通过双层监控机制的文件操作实时监控实现了涉密文件在处理过程中的安全防护;通过高强度加密算法加密实现了涉密文件的数据加密存储。综合运用以上技术方案,可实现基于主动防泄密安全机制的信息防护[4]。
3 主动防泄密信息安全防护系统的实现
根据上述技术方案,本文设计并实现一种主动防泄密信息安全防护系统,主要由服务器管理端与用户终端构成,如图1所示。
图1 主动防泄密信息安全防护系统结构
服务器中设有密钥中心,随机产生密钥来加密涉密文件。控制服务器负责用户的注册,监控规则命令的下发以及文件操作记录的接收和存储;数据库服务器完成监控规则、密钥信息、用户注册信息等数据的存储。其三大模块功能如下:
3.1 基于eKey的网络身份认证与安全登录
Windows 2000/XP操作系统允许用户自己定制特殊的登录方式,因为GINA是Winlogon调用的一个可替换的DLL模块,认证策略在GINA中实现,通过替换GINA.dll可以实现用其他认证方式代替Windows所默认的登录方式,比如:eKey、指纹识别等[5]。本文通过开发定制的GINA(Mygina.dll)替换操作系统默认的Msgina.dll,实现基于eKey的双因素身份认证[6-7]。用户必须输入正确的用户名、密码,插入合法的eKey并通过网络身份认证后才有权登录到操作系统[8]。
3.2 基于双层监控机制的文件操作实时监控
为了实现对文件操作的全面实时监控,结合API HOOK(API函数截获)技术和文件系统过滤驱动技术,提出基于用户层和内核层的双层文件监控机制,其结构设计如图2所示。主要由启动加载模块、API HOOK模块(FileHook.dll)、文件访问监视程序(FileMon.exe)、涉密文件设置接口(FileSet.dll)和文件系统过滤驱动(FileFilter.sys)组成。
图2 涉密文件实时监控体系结构
启动加载模块启动后读取配置信息,调用API函数LoadLibrary()加载涉密文件设置接口和文件系统过滤驱动,调用API函数CreateProcess()创建文件访问监视程序的进程[9]。
API HOOK模块通过截获相关文件操作API函数,实现对保密区涉密文件移动操作、打印操作和剪贴板操作的实时阻断,并通过文件访问监视程序将操作记录发送给数据库服务器。
文件访问监视程序负责从API HOOK模块与文件系统过滤驱动的日志暂存队列中取出日志,并发送日志到数据库服务器。
涉密文件设置接口通过调用API函数DeviceIoControl()向文件系统过滤驱动发送设置涉密文件的命令。
文件系统过滤驱动根据截获到的IRP(I/O request package,输入/输出请求包)类型调用相应的处理例程[10],负责维护涉密文件表、控制涉密文件读/写访问、记录涉密文件读/写访问到日志暂存队列、阻断对保密区内文件重命名的IRP请求,在例程中根据监控规则实现保密区内涉密文件的实时监控和透明加解密。
3.3 基于网络的文件加密
系统的密钥中心为用户的每个涉密文件产生一个系统密钥SK,并利用此系统密钥加密涉密文件,加密算法采用AES算法。
系统设计了密钥安全获取通信协议,保证只有通过合法身份认证的用户才能得到系统密钥SK。该协议首先通过检测用户eKey的序列号,并与用户注册的eKey序列号相比较来实现用户合法性判断,然后通过系统密钥SK的ID号,来正确获取每个涉密文件对应的系统密钥SK。
文件加密时首先以系统密钥SK为加密密钥,通过AES算法加密原文件,得到文件加密数据,再将系统密钥SK的ID号写入文件头,与文件加密数据组成加密后的涉密文件。
文件解密时,首先读出文件头,获得系统密钥SK的ID号,并通过ID号在密钥数据库中查找对应的EK{SK}。然后检测用户eKey的序列号,并与用户注册信息相比较,若相同则通过认证,服务器将{EK{SK}}发送到用户端。用户端以其eKey的序列号为初始值生成EK,使用EK解密EK{SK}获得系统密钥SK(文件解密密钥),最后使用系统密钥SK通过AES算法解密涉密文件。涉密文件基于网络的加密与解密流程如图3所示。
图3 涉密文件基于网络加密与解密流程
4 结 语
提出主动防泄密安全机制,设计了相应的信息安全防护技术方案,研制了一种主动防泄密信息安全防护系统,实现了基于eKey的网络身份认证与安全登录、基于双层监控机制的文件操作实时监控和基于网络的文件加密,系统有效提高了防范内部主动泄密和外部技术窃取的安全防护能力。
参考文献
[1]LAWRENCE A. 2007 CSI/FBI computer crime and security survey[R]. USA: Computer Security Institute, 2007-12-30.
[2]韩君.基于USBKey的Windows身份认证与访问控制研究[D].武汉:武汉大学,2004.
[3]姜宁.建设主动防御的信息安全体系[J].计算机安全,2005,7(11):35-36.
[4]葛春,杨百龙.涉密微机信息安全防护系统研究[J].现代电子技术,2007,30(12):98-100.
[5]YUE L. Design of an Alternative credentials authentication for Windows[D]. Albany: Computer Science Department of Albany State University. 2004.
[6]Microsoft Corporration. Winlogon and GINA[EB/OL]. [2008-07-22]. http://msdn.Microsoft.com,2008.
[7]Microsoft Corporation. Microsoft Platform SDK[EB/OL]. [2008-09-11]. http://msdn.Microsoft.com,2008.
[8]深圳明华公司.eKey用户手册[EB/OL].[2008-06-05]. ,2008/2009.
[9]冉林仓.Windows API编程[M].北京:清华大学出版社,2005.
[10]李民.基于Windows文件系统过滤驱动的文件加/解密技术研究与实现[D].成都:四川大学,2006.
推荐访问: 泄密 信息安全 防护 主动 研究
