[发明专利]一种主机文件安全监控方法

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种主机文件安全监控防护方法。

背景技术

数字内容本身易拷贝，网络技术的发展导致非法传播扩散更加泛滥。在公司内部，特别是某些资料涉密的单位内部，员工是不允许将电脑中的文件资料私自带走的。然而，单凭员工自己的自觉性显然是远远不够的，尤其是一些人还带有主观恶意地想要窃取公司机密，公司机密资料的泄漏直接导致的是经济利益的巨大损失。随着使用计算机创建和处理电子化信息的情况越来越多，保护企业信息、数据和文档成为企业商务活动中的一项艰巨且长久的任务。企业都希望能在内部实施一种最佳的信息权限保护解决方案，有效地保护机密文件的信息，避免机密信息的未授权使用，并且保证数据万无一失。

在网络化的电子办公环境中，信息的使用者经常会通过电子邮件、磁盘共享或文件服务器来共享他们的文档。然而，当工作人员共享这些文档和信息时，很难控制文档和信息的传播范围，也难以跟踪信息的访问记录，这样就可能造成机密信息的不安全访问和非法利用。而单纯地依靠企业的信息安全政策公示很难实现电子信息的集中安全管理和授权访问。在众多的网络攻击事件中，由内部人员发起的攻击或者由内部人员滥用网络资源造成的攻击占据网络攻击事件中相当大的比例，因此内部网络和主机安全对于企事业单位的信息安全至关重要。目前，基于网络攻击的信息安全存储技术发展比较成熟，如防火墙技术、IDS（Intrusion Detection Systems，即入侵检测系统）等，而基于主机安全的信息安全存储技术发展还远未达到市场的要求。

在此条件下，为了保障敏感信息的安全性，各个企业都采取了一定的措施。但仅仅通过完善文档、源程序、设计资料等的保密制度，利用法律、法规保护自己的知识产权还是不够的，一定要寻找技术的手段从根本上阻止和防范泄密事件的发生。很多涉密企业采用的方法是将员工使用的涉密电脑的网络隔离、拆除所有软盘、光盘驱动器，有些甚至连USB端口同时封死。这些方法能够起到一定的作用，防止员工拷贝机密文档，然而这种安全保障是在牺牲设备提供给用户应用便利性的基础之上的，并不是最终的解决办法。

传统的技术措施对于证实电子文件内容的真实、可靠，保证电子文件在存储、传输过程中的安全、保密，防范对电子文件的非法访问和随意改动，具有不同程度的效果。但随着计算机技术的普及和发展，文件信息安全领域面临着更多的新的挑战。因此，传统的文件信息安全措施还存在着种种不足之处。

(1) 文件信息存储安全技术相对发展比较缓慢：信息安全包括传输安全、系统安全和存储安全。现在信息安全的热点集中在传输安全和系统安全，上述技术措施绝大多数是针对信息传输安全的，而存储媒介往往是安全事件的高发区，应引起高度重视。

(2) 针对文件信息存储安全的内控技术匮乏：现在针对文件信息存储安全的策略和技术大多是针对外部威胁，而很少涉及内部监控，缺乏完善的内控安全保障措施，而70％的泄密犯罪来自于内部，因此增加终端文件的内控安全，是文件信息安全存储领域急需完善的技术。

(3) 市场上已有一些文件内控安全产品存在以下缺陷：缺乏一套完善的监控策略，监控功能单一、存在这样或那样的漏洞。

另外，作为易用性要求，引入安全的系统不应该强迫用户改变在没有安装监控软件时使用文件的操作和处置习惯，监控防护的引入也不应该大大降低主机运行性能。

发明内容

本发明的目的在于克服上述不足，提供一种主机文件安全监控防护方法，采用基于文件过滤的内核层文件透明加解密方案。

每一个物理设备对应着多个驱动设备对象，而这些驱动设备对象是按分层结构堆叠的。每一层只能同上层和下层进行服务请求交互，这些服务请求信息被统一设计为IRP （I/O Request Package，即输入输出请求包）。每一个驱动设备对象处理IRP完一次，完成一次服务。这些设备对象根据目的的不同，被设计为不同的功能。Windows的分层驱动程序模型允许用户开发第三方驱动程序，并通过IoAttachDeviceByPointer或者IoAttchDevice函数将自己的设备驱动程序插入列这个分层结构中，这样我们的第三方驱动程序就有机会截获IRP，然后通过分析IRP，针对自己感兴趣的IRP包进行相应的处理。这种第三方驱动程序称为过滤驱动程序。