[发明专利]Windows平台下基于过滤驱动的刻录审计方法

说明书

技术领域

本发明属于计算机系统安全管理技术领域，具体涉及一种Windows平台下基于过滤驱动的刻录审计方法。

背景技术

光盘作为一种存储介质，因其体积小、容量大、易保存等特点，自面市以来就得到广泛的应用。由于光盘不如USB存储设备容易写入数据，目前，在大部分涉密信息系统中，光盘都被作为涉密信息系统和非涉密信息系统之间进行信息交换的首选介质。即便如此，光盘的使用仍然有一定的安全隐患。在现有技术中，监控用户刻录光盘的行为主要有两种方法：一种是在应用层进行API挂钩，通过分析刻录软件的窗口标题等特征获得审计数据；另一种是通过在驱动层拦截所有应用程序的刻录操作来禁用普通的刻录程序，只有技术方案提供的刻录程序才被允许刻录。所有刻录操作都必须且只能由技术方案自身提供的刻录程序来完成，通过该刻录程序完成对刻录操作的审计。

第一种方法和具体的刻录软件密切相关，不同的刻录软件的窗口特征不尽相同，其通用性受到很大的限制。

第二种方法对第一种方法有所改善，解决了其通用性问题，但用户必须使用技术方案提供的刻录程序进行刻录，否则刻录审计就会失败。其不足之处在于：首先，改变了用户进行刻录操作的方式，用户必须学习使用技术方案提供的刻录程序来完成刻录动作，这样就给用户带来了额外的学习成本。其次，为了兼容不同厂商的刻录机，技术方案提供的刻录程序必须满足标准接口规范，并且提供通用的配置设置。由于普通刻录程序（包括刻录机生产厂商提供的刻录程序）不被允许刻录，导致刻录机的很多技术特性得不到发挥，造成硬件资源的浪费。

综上所述，在现有技术中，需要改变用户进行刻录操作的方式来监控刻录行为并获取刻录审计信息。在此种情况下，无法在刻录操作较分散的用户环境中实现监控行为，并且无法充分地利用刻录机的技术特性，造成硬件资源的浪费。因此，需要找到一种方法，能够在不改变用户进行刻录操作的方式，同时又能充分利用刻录机的技术特性的情况下，实现监控行为，获取刻录审计信息。

发明内容

本发明为解决上述现有技术中的不足，提供一种Windows平台下基于过滤驱动的刻录审计方法，在不改变用户执行刻录操作的方式，并且能够充分利用刻录机的技术特性的情况下，实现刻录监控行为，获取刻录审计信息。刻录审计信息包括：刻录进程名称、文件名称、文件大小、文件修改日期、文件路径、文件类型、文件所在的计算机IP地址。

为解决上述技术问题，本发明采用如下技术方案：

Windows平台下基于过滤驱动的刻录审计方法，包含以下步骤：

a．安装过滤驱动：通过挂载刻录机所使用的功能驱动程序，完成安装过滤驱动；

b．捕获刻录操作：在用户通过刻录程序发起刻录操作时，过滤驱动捕获刻录操作并获取刻录操作所携带的上下文信息；根据该上下文信息获取刻录操作的基本信息；将刻录操作的基本信息存储在内存中；

所述上下文信息包括：SCSI CDB（SCSI Command Descriptor Block，即SCSI命令描述块）、刻录进程ID；

所述刻录操作的基本信息包括：SCSI命令、SCSI数据块、SCSI数据大小、刻录进程名称；

所述SCSI数据块包括：SCSI数据头、SCSI数据；

c．分析刻录操作：通过分析刻录操作的基本信息中的SCSI命令、SCSI数据块，获取文件名称、文件大小、文件修改日期，将文件名称、文件大小、文件修改日期存储在内存中；

d．获取文件路径：

用户在刻录文件时，刻录程序首先打开该文件并将该文件中的内容读取到内存中，获取所述刻录程序启动以来打开的所有文件，生成打开文件列表，将打开文件列表中的每个文件与步骤c获取的文件名称匹配，如果匹配成功，则获取文件路径；如果匹配失败，则结束；

将文件路径存储在内存中；

e．获取文件类型和文件所在的计算机IP地址：

通过所述文件名称、文件路径获取文件类型、文件所在的计算机IP地址并存储在内存中；

f．生成审计数据：汇总步骤b至步骤e存储在内存中的信息，生成审计数据；

所述审计数据包括：刻录进程名称、文件名称、文件大小、文件修改日期、文件路径、文件类型、文件所在的计算机IP地址。

在所述步骤c中，通过分析刻录操作的基本信息中的SCSI命令、SCSI数据块，获取文件名称、文件大小、文件修改日期，进一步包括以下步骤：