[发明专利]一种使用过滤驱动实现单硬盘双操作系统分区隔离的方法

说明书

技术领域

本发明涉及一种使用文件系统过滤驱动实现单硬盘双操作系统分区隔离的方法。为了两个分区间的数据的独立性，使用过滤驱动在文件系统层对两个操作系统的分区进行隔离。

背景技术

目前用户终端设备应用广泛，如用户上网浏览，日常办公，一般都安装windows操作系统，这些操作系统支持用户自行安装和卸载任何软件，给系统的安全带来了很大的隐患，容易遭受隐藏在自行安装软件中的病毒或木马等攻击，办公系统属于单位的业务系统，涉及的数据是单位敏感数据，数据的泄露会带来安全威胁。怎样让用户在自己使用的终端设备上可以随意地安装软件，又可以确保用户在使用办公系统时的安全是一个亟待解决的问题。

公开号为CN 2869997Y的中国专利公开了一种采用硬盘隔离卡对单硬盘的分区进行隔离的方法。硬盘分区隔离卡对硬盘指令进行译码，判断出计算机要对硬盘进行何种操作，放过当前允许的指令，阻止当前不允许的指令。该方法虽然能够实现双操作系统之间的隔离问题，但是采用硬件的方式实施极其不方便，需要对终端进行改造，而且成本很高，不容易普及。

本方法只需要在目前的终端设备硬盘上安装两个windows操作系统，其中一个操作系统定义为工作区，该系统中的网络资源和软件资源受到后端白名单机制的控制，用户的文件都执行加密后放在硬盘上，另一个操作系统定义为用户区，用户可以自由的上网和使用软件。在两个系统中分别安装一个过滤驱动，使得工作区不能访问自由区的数据，以防病毒文件趁虚而入，自由区也同样不能访问工作区的数据，以防工作数据被恶意窃取。

本方法与现有的采用硬件隔离的方式相比，大大节约了隔离的成本，并降低了技术的复杂度，适合在企事业单位中进行大规模部署，便于使用和维护，在移动办公领域有着良好的应用。

发明内容

本发明的目的是提供一种通过过滤驱动实现终端设备单硬盘双操作系统的分区隔离的方法。其特征在于，这是一种在用户终端设备中能确保用户在使用办公系统时防止病毒入侵的安全防护方法，依次含有以下步骤：

步骤(1)对所述用户终端设备内的一个硬盘按以下步骤初始化：

步骤(1.1)把一个所述的硬盘分为四个顺次连接的分区，表示为：第一分区(C)，第二分区(D)，作为工作区数据分区的第三分区(E)和作为自由区数据分区的第四分区(F)，其中，

所述的第一分区(C)和第三分区(E)定义为工作区，是指存有企业和个人敏感数据的分区，

所述的第二分区(D)和第四分区(F)，是指供用户自由使用的自由区，

步骤(1.2)在作为工作区的所述第一分区(C)内安装一个工作区操作系统，在作为用户区的所述第二分区(D)内安装一个自由区操作系统，

步骤(1.3)在所述的第一分区(C)内加载一个工作区文件系统微过滤驱动Minifilter模块，通过此模块将需要过滤的自由区I/O的操作，包括基于中断过滤IRP的I/O请求、I/O操作的Fast I/O协议以及文件系统过滤回调操作注册到所述的工作区文件系统过滤管理器FltMgr中，

步骤(1.4)在作为自由区的第二分区(D)内加载一个自由区文件系统微过滤驱动Minifilter模块，通过此模块将需要过滤的工作区I/O的操作，包括基于中断过滤IRP的I/O请求、I/O操作的Fast I/O协议以及文件系统过滤回调操作注册到所述的自由区文件系统过滤管理器FltMgr中；

步骤(2)按以下步骤执行所述工作区的隔离操作：

步骤(2.1)开机读取I/O请求，

步骤(2.2)启动I/O请求过滤，

步骤(2.3)判断所述I/O请求中的请求分区是否为所述的第二分区(D)或第四分区(F)：

若是，则阻断I/O请求和I/O操作，执行步骤(2.4)，

若不是，则放行所述I/O请求和I/O操作,执行步骤(2.4)，

步骤(2.4)返回步骤(2.2)；

步骤(3)按以下步骤执行所述自由区的隔离操作：

步骤(3.1)开机读取I/O请求，

步骤(3.2)启动I/O请求过滤，

步骤(3.3)判断所述I/O请求中的请求分区是否为所述的第一分区(C)或第三分区(E)：

若是，则阻断I/O请求和I/O操作，执行步骤(3.4)，

若不是，则放行所述I/O请求和I/O操作,执行步骤(3.4)，

步骤(3.4)返回步骤(3.2)。