基于USB的存儲(chǔ)設(shè)備信息安全防護(hù)設(shè)計(jì)

　0 引言
　計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為當(dāng)前企業(yè)、政府和其它各種組織的重要信息載體和傳輸渠道。但是，人們?cè)谙硎苡?jì)算機(jī)以及計(jì)算機(jī)網(wǎng)絡(luò)所帶來(lái)的方便性的同時(shí)，信息安全也成為目前受到廣泛關(guān)注的問(wèn)題。美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSl)等權(quán)威機(jī)構(gòu)的研究證明：超過(guò)80％的信息安全隱患是來(lái)自組織內(nèi)部。內(nèi)部的安全狀況較差，不僅會(huì)給攻擊者以可乘之機(jī)，還會(huì)使已構(gòu)建的安全設(shè)施形同虛設(shè)，為內(nèi)部安全違規(guī)事件的發(fā)生打開(kāi)方便之門(mén)。目前廣泛采用的安全設(shè)備和安全措施，均側(cè)重于對(duì)付外部的攻擊、侵犯和威脅，而無(wú)法阻止內(nèi)部不懷好意的員工盜取涉密信息并將其拷貝或傳播出去。因此，數(shù)據(jù)資源的保密以及非法外泄的防范已成為當(dāng)前迫在眉睫的安全需求。而利用USB存儲(chǔ)設(shè)備的單向控制技術(shù)可對(duì)接人計(jì)算機(jī)的存儲(chǔ)介質(zhì)進(jìn)行控制，以防止信息被有意或者無(wú)意地從移動(dòng)存儲(chǔ)設(shè)備泄漏出去。由于用戶可以根據(jù)需要設(shè)定存儲(chǔ)設(shè)備的使用權(quán)限(比如只讀或者讀寫(xiě)等)，因此，該方法既保留了移動(dòng)設(shè)備的方便性，又堵截了移動(dòng)存儲(chǔ)設(shè)備可能帶來(lái)的安全隱患。

　　1 單向控制的設(shè)計(jì)與實(shí)現(xiàn)

　　本文采用對(duì)磁盤(pán)驅(qū)動(dòng)器進(jìn)行過(guò)濾的方法來(lái)實(shí)現(xiàn)USB存儲(chǔ)設(shè)備的單向控制。該技術(shù)以DDK中的filter為原形。采用標(biāo)準(zhǔn)的WDM過(guò)濾，可攔截所有對(duì)USB存儲(chǔ)設(shè)備的寫(xiě)操作，從而實(shí)現(xiàn)U盤(pán)的單向控制。其中過(guò)濾器驅(qū)動(dòng)程序是可選擇的驅(qū)動(dòng)程序，它可以給設(shè)備增加值或修改設(shè)備行為，而且，該過(guò)濾器驅(qū)動(dòng)程序能服務(wù)于一個(gè)或多個(gè)設(shè)備。由于頂層的過(guò)濾器驅(qū)動(dòng)程序主要是為某一設(shè)備提供增值特征，而低層過(guò)濾器驅(qū)動(dòng)程序則主要修改設(shè)備的硬件行為。所以，本文選擇使用低層設(shè)備過(guò)濾器驅(qū)動(dòng)程序，來(lái)監(jiān)視和修改磁盤(pán)驅(qū)動(dòng)器的I／0請(qǐng)求。

　　1．1 驅(qū)動(dòng)程序的基本結(jié)構(gòu)

　　一個(gè)WDM驅(qū)動(dòng)程序的基本結(jié)構(gòu)包括一組必要的，通過(guò)系統(tǒng)定義的標(biāo)準(zhǔn)驅(qū)動(dòng)程序函數(shù)，同時(shí)還有一些可選的標(biāo)準(zhǔn)函數(shù)與內(nèi)部函數(shù)(取決于驅(qū)動(dòng)程序的類型和下層設(shè)備)。對(duì)于所有的驅(qū)動(dòng)程序，不管它們?cè)诟綄衮?qū)動(dòng)程序鏈中所處的是那一層，都必須有一組基本的標(biāo)準(zhǔn)函數(shù)來(lái)處理IRP。一個(gè)驅(qū)動(dòng)程序是否必須執(zhí)行附加標(biāo)準(zhǔn)函數(shù)，取決于該驅(qū)動(dòng)程序的類型和下層設(shè)備是控制一個(gè)物理設(shè)備的驅(qū)動(dòng)程序，還是在一個(gè)物理設(shè)備驅(qū)動(dòng)程序之上的驅(qū)動(dòng)程序，同時(shí)也取決于下層物理設(shè)備的屬性?？刂莆锢碓O(shè)備的最低層驅(qū)動(dòng)程序比較高層驅(qū)動(dòng)程序擁有更多所要求的函數(shù)，較高層的驅(qū)動(dòng)程序一般將IRP傳送給較低層的驅(qū)動(dòng)程序來(lái)處理。

　　下面所列是本驅(qū)動(dòng)程序所需要的標(biāo)準(zhǔn)驅(qū)動(dòng)程序函數(shù)：

　　(1)DIiveEntry

　　該函數(shù)可用于初始化驅(qū)動(dòng)程序并設(shè)置其他標(biāo)準(zhǔn)函數(shù)的人口點(diǎn)。當(dāng)驅(qū)動(dòng)程序的DriverEntry函數(shù)被調(diào)用，它將直接在驅(qū)動(dòng)程序?qū)ο笾性O(shè)置Dispatch和Unload的入口點(diǎn)，方法如下：

　　在驅(qū)動(dòng)程序?qū)ο髢?nèi)的DriverExtension中設(shè)置它的AddDevice函數(shù)的人口點(diǎn)方法如下：

　　DriverObject->DriverExtension一>AddDevice=DDAddDevice；

　　驅(qū)動(dòng)程序能定義若干Dispatch人口點(diǎn)，但是它只能在其驅(qū)動(dòng)程序?qū)ο笾卸x一個(gè)AddDevice人口點(diǎn)和一個(gè)Unload人口點(diǎn)。

　　(2) AddDevice

　　AddDevice函數(shù)主要用于創(chuàng)建設(shè)備對(duì)象，地址在DriverObject->DriverExtension->AddDevice。

　　(3)Dispatch

　　該函數(shù)至少應(yīng)一個(gè)Dispatch人口點(diǎn)。因?yàn)橐靡粋€(gè)或多個(gè)主要功能來(lái)編碼處理IRP，以得到請(qǐng)求PnP、電源和I／O操作的IRP。

　　(4)Unload

　　如果驅(qū)動(dòng)程序能動(dòng)態(tài)地被裝載和／或者替換，還需要一個(gè)Unload人口點(diǎn)，以釋放系統(tǒng)資源(諸如驅(qū)動(dòng)程序已分配的系統(tǒng)對(duì)象或者內(nèi)存等)。

　　1．2驅(qū)動(dòng)程序的實(shí)現(xiàn)

　　實(shí)現(xiàn)驅(qū)動(dòng)程序時(shí)，首先要為設(shè)備定義GUID。驅(qū)動(dòng)程序使用設(shè)備名和GUID(globallv unique identifiers)來(lái)標(biāo)識(shí)不同的物理、邏輯或虛擬設(shè)備。PnP驅(qū)動(dòng)程序可注冊(cè)并激活一個(gè)與GUID連接的設(shè)備接口，應(yīng)用程序和其他系統(tǒng)組件則可通過(guò)接口對(duì)設(shè)備進(jìn)行I／O請(qǐng)求和控制，WDM用于過(guò)濾驅(qū)動(dòng)禁止給它們的設(shè)備對(duì)象命名，所以，要為設(shè)備定義GUID。