朱征宇，周發(fā)貴，于春雷

(重慶大學(xué) 計(jì)算機(jī)學(xué)院，重慶400044)

隨著計(jì)算機(jī)移動(dòng)存儲(chǔ)設(shè)備技術(shù)的的不斷發(fā)展，U盤因其攜帶方便、容量大等特點(diǎn)，已成為目前使用最為廣泛的存儲(chǔ)介質(zhì)。它的這種便捷性往往造成使用的隨意性，尤其在計(jì)算機(jī)病毒、木馬泛濫，各種計(jì)算機(jī)攻擊技術(shù)趨于普遍的今天，更增加了信息泄露的風(fēng)險(xiǎn)。當(dāng)前很多帶保密性質(zhì)的機(jī)構(gòu)，如軍隊(duì)、科研機(jī)構(gòu)等都采取了內(nèi)外網(wǎng)絡(luò)物理隔離的保護(hù)方式來保障機(jī)構(gòu)內(nèi)部的網(wǎng)絡(luò)信息安全，這種方式能充分保證局域網(wǎng)內(nèi)數(shù)據(jù)的安全，但要與外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交流時(shí)由于需要外部存儲(chǔ)設(shè)備的接入，同樣會(huì)產(chǎn)生各種與設(shè)備相關(guān)的失泄密風(fēng)險(xiǎn)。本文主要為解決內(nèi)部安全網(wǎng)絡(luò)中的重要文檔分發(fā)到U盤后的安全保護(hù)與使用監(jiān)控的問題，以便文檔使用及流向的可審核和可追溯。

1 常見的風(fēng)險(xiǎn)及對策

以某軍事研究機(jī)構(gòu)(甲)為例分析存儲(chǔ)在U盤上的文檔存在的泄密風(fēng)險(xiǎn)。該機(jī)構(gòu)保密級別較高，建立了基于人員指紋信息的身份認(rèn)證系統(tǒng)，采取了內(nèi)外網(wǎng)絡(luò)物理隔離的方式來保護(hù)內(nèi)部網(wǎng)絡(luò)，對所有usb接口進(jìn)行屏蔽，同時(shí)對內(nèi)部使用的U盤進(jìn)行認(rèn)證［1］，只有認(rèn)證過的U盤才能正常接入內(nèi)部網(wǎng)絡(luò)，在指定計(jì)算機(jī)上由指定管理人員對外發(fā)文檔進(jìn)行簽發(fā)。由于某項(xiàng)目需要與外單位(乙)進(jìn)行交流匯報(bào)及協(xié)作，就需要管理員從專用管理機(jī)器將文件簽發(fā)給外派的聯(lián)絡(luò)人員。從分發(fā)重要文檔到U盤，以及聯(lián)絡(luò)人員攜帶U盤到指定區(qū)域及網(wǎng)絡(luò)閱讀的過程中，存在的主要泄密途徑有:

1)U盤木馬從局域網(wǎng)內(nèi)盜竊重要數(shù)據(jù)造成泄密;

2)U盤設(shè)備遺失造成泄密;

3)攜帶者在非安全計(jì)算機(jī)隨意閱讀時(shí)造成泄密;

4)攜帶者主動(dòng)泄密。

嚴(yán)格的設(shè)備接入管理規(guī)定和使用安全移動(dòng)設(shè)備等手段可以降低泄密風(fēng)險(xiǎn)，但這些手段并不能有效防止和發(fā)現(xiàn)攜帶人員主觀或意外造成的泄密，如后面2種泄密途徑。這些手段都在數(shù)據(jù)拷貝到移動(dòng)設(shè)備后就對數(shù)據(jù)的流向、訪問情況失去了監(jiān)管，把信息的安全完全寄托在數(shù)據(jù)持有人的安全意識上。近年國內(nèi)外的一些重大失泄密事件的發(fā)生與這方面監(jiān)管手段的缺失不無關(guān)系。如2010年7月美軍大量機(jī)密文件被“維基解密”網(wǎng)站所曝光，事件起因就是由于大量文件被內(nèi)部人員非法下載并拷貝出去所致。

針對這一現(xiàn)狀，本文提出了基于計(jì)算機(jī)指紋的U盤文檔監(jiān)控與保護(hù)方法，通過利用文件加解密技術(shù)、計(jì)算機(jī)指紋技術(shù)、文件與設(shè)備捆綁、文件循環(huán)校驗(yàn)等相關(guān)技術(shù)手段，在保護(hù)分發(fā)文件安全的同時(shí)能幫助管理員利用計(jì)算機(jī)指紋和相關(guān)記錄來審核文件攜帶者對文件的閱讀情況，包括閱讀次數(shù)、地點(diǎn)(閱讀文件的計(jì)算機(jī))、時(shí)間等信息，以防止攜帶人員不按要求保管及閱讀。該方法的應(yīng)用有利于軍隊(duì)、政府和企業(yè)等機(jī)構(gòu)對重要數(shù)據(jù)實(shí)現(xiàn)定人保管、定位閱讀、定期銷毀，實(shí)現(xiàn)對數(shù)據(jù)的全程監(jiān)管，減少失泄密風(fēng)險(xiǎn)，而且有利于事后及時(shí)追查失泄密源頭及渠道，以便采取補(bǔ)救措施來挽回?fù)p失。

2 文件的安全防護(hù)

監(jiān)督是為了更好地保障文件的安全，要保障文件的安全，就必須綜合考慮文件在傳遞和瀏覽過程中所有可能出現(xiàn)的各種漏洞，避免在任一環(huán)節(jié)出現(xiàn)安全“短板”的情況。傳統(tǒng)文檔處理軟件(WORD、寫字板等)都具有很多的編輯功能，而這些功能對于一份僅供閱讀的文件來說是多余而具有風(fēng)險(xiǎn)的，所以筆者設(shè)計(jì)了專用的功能有限的只讀客戶端來閱讀文件，并利用客戶端來記錄和監(jiān)督文件的瀏覽信息。在每次分發(fā)機(jī)密文檔時(shí)把閱讀器一起捆綁［2］進(jìn)行分發(fā)，所以需要對閱讀軟件及文件本身的安全同時(shí)進(jìn)行保護(hù)。

2.1 多重的捆綁驗(yàn)證機(jī)制

為實(shí)現(xiàn)離線狀態(tài)下對文檔操作的身份識別和操作的不可否認(rèn)，采取了嚴(yán)格的多重身份驗(yàn)證機(jī)制，把閱讀端、文件、設(shè)備和用戶相互關(guān)聯(lián)，任一方有了改變均無法通過驗(yàn)證，以此來保障數(shù)據(jù)安全及監(jiān)督的有效。

在文件被分發(fā)后把相關(guān)部分分為4塊:軟件與Keyfile文件、機(jī)密文檔與監(jiān)督信息文件、U盤和用戶。通過多重的捆綁驗(yàn)證機(jī)制來保證機(jī)密文檔只有在4個(gè)方面都驗(yàn)證無誤后才能打開閱讀。具體實(shí)現(xiàn)技術(shù)有2點(diǎn):

2.1.1 文件和設(shè)備的捆綁

為避免閱讀軟件或機(jī)密文檔因非法拷貝造成泄密，把軟件和機(jī)密文檔與存儲(chǔ)設(shè)備進(jìn)行捆綁，使軟件無法在其他設(shè)備運(yùn)行，機(jī)密文檔在其他設(shè)備上無法正常解密閱讀。

在把機(jī)密文檔寫入設(shè)備時(shí)，分發(fā)端軟件讀取授權(quán)者信息、被授權(quán)者信息、授權(quán)時(shí)間、隨機(jī)數(shù)和U盤標(biāo)識信息(如序列號、容量等)，然后用散列算法SHA1散列后加密生成標(biāo)識串A，并記錄到磁盤。為保障標(biāo)識信息的安全，綜合考慮實(shí)用性和技術(shù)可行性，本文利用DBR(分區(qū)引導(dǎo)扇區(qū))之后的保留扇區(qū)來存儲(chǔ)驗(yàn)證信息。對于U盤常用的FAT32文件系統(tǒng)，在任一分區(qū)中都含有一個(gè)DBR，為擴(kuò)展引導(dǎo)代碼。在DBR之后提供了一些保留扇區(qū)，這些扇區(qū)一般不被系統(tǒng)使用，是理想的隱蔽存儲(chǔ)區(qū)。此方法對一般的FAT32文件系統(tǒng)都有效，對文件操作(文件創(chuàng)建、復(fù)制、刪除)透明，但磁盤操作(如磁盤格式化)將導(dǎo)致失效。此時(shí)這一標(biāo)識串A既能唯一標(biāo)識［2］此U盤，又能標(biāo)識此次授權(quán)。然后把除設(shè)備信息外的各信息加密后記錄入Keyfile文件［3］，同時(shí)利用設(shè)備信息和授權(quán)者信息參與文檔加密密鑰的生成，這樣在打開閱讀端時(shí)需要讀取設(shè)備信息來生成標(biāo)識串與存入設(shè)備的標(biāo)識信息進(jìn)行驗(yàn)證，在打開文檔時(shí)也需要讀取存儲(chǔ)設(shè)備信息和Keyfile信息來生成解密密鑰。這樣當(dāng)軟件或數(shù)據(jù)被非法拷貝到其他存儲(chǔ)設(shè)備時(shí)，軟件就會(huì)無法通過驗(yàn)證啟動(dòng)，文檔也會(huì)因?yàn)闊o法生成正確的解密密鑰而打不開。用此方法實(shí)現(xiàn)了鎖定軟件與設(shè)備(模型如圖1)、文檔與設(shè)備(模型如圖2)的關(guān)聯(lián)關(guān)系。

圖2 設(shè)備與文檔加密捆綁模型

通過使用這些加密及校驗(yàn)措施，實(shí)現(xiàn)閱讀端、文件與設(shè)備的關(guān)聯(lián)捆綁，軟件的啟動(dòng)要在指定設(shè)備上才能正常進(jìn)行，文檔要在指定設(shè)備上才能正常解密并閱讀，避免了文檔被非法復(fù)制到其他設(shè)備造成的泄密。

2.1.2 文件間的捆綁校驗(yàn)

為解決閱讀軟件與文檔的捆綁，即避免用戶用授權(quán)給他的閱讀軟件閱讀非授權(quán)給他的文檔，需要對每次分發(fā)的閱讀軟件和本次授權(quán)的文檔進(jìn)行綁定。在分發(fā)閱讀軟件時(shí)先從Keyfile文件讀取授權(quán)者的信息、分發(fā)時(shí)間和隨機(jī)碼，然后用SHA2散列生成識別串B注入閱讀端，再把此識別串加密后存入此次授權(quán)文檔的監(jiān)督信息文件，在打開文檔時(shí)就會(huì)解密識別串B，并與閱讀軟件中的記錄進(jìn)行校驗(yàn)。這樣就使每次分發(fā)的閱讀端只能打開當(dāng)次的授權(quán)文檔，實(shí)現(xiàn)閱讀軟件與文檔的捆綁，一次分發(fā)的閱讀軟件可以綁定一份或多份文檔。

為防止文件內(nèi)容被惡意篡改，保護(hù)文件的完整性和合法性，常用的方法是對文件進(jìn)行散列后把散列碼與文件一起分發(fā)，用戶依據(jù)文件和散列碼的對應(yīng)關(guān)系來識別文件的完整性。但分別進(jìn)行散列不能鎖定文檔與審核信息，且散列碼容易被分析定位，故系統(tǒng)在分發(fā)機(jī)密文檔時(shí)，先對文檔和記錄相關(guān)監(jiān)督信息的文件進(jìn)行相互校驗(yàn)并分別壓縮打包(校驗(yàn)?zāi)Ｐ腿鐖D3)，閱讀時(shí)需要解密后在內(nèi)部分別解壓縮再相互驗(yàn)證散列碼。如果不符合，則說明該文件被修改過，此時(shí)停止對文件的所有授權(quán)操作，需要管理員審核后重新授權(quán)方可訪問。

圖3 文件相互校驗(yàn)?zāi)Ｐ?/p>

2.2 文檔的安全保護(hù)

為了保護(hù)機(jī)密文檔，就必須從文檔分發(fā)權(quán)限認(rèn)證，到數(shù)據(jù)的加密及捆綁驗(yàn)證，再到閱讀時(shí)的驗(yàn)證和監(jiān)控來防止內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的流失及泄密。

2.2.1 分發(fā)限制

為防止分發(fā)端濫用權(quán)限，在分發(fā)端利用內(nèi)部網(wǎng)絡(luò)的分級認(rèn)證機(jī)制，對管理員進(jìn)行分級管理，使其只能對一定保密級別的文件進(jìn)行授權(quán)，在后臺記錄詳細(xì)的文件授權(quán)信息，并能對各管理員限定相應(yīng)的授權(quán)次數(shù)(如表1)。次數(shù)到達(dá)后管理員需重新申請證書，通過證書分發(fā)審核的監(jiān)督來避免因分發(fā)人員問題造成巨大損失。

表1 權(quán)限

分發(fā)時(shí)先在后臺記錄各管理員每次授權(quán)的詳細(xì)資料，如文件名、密級、授權(quán)時(shí)間，軟件的授權(quán)期限及啟動(dòng)次數(shù)、文檔的授權(quán)期限及閱讀次數(shù)、被授權(quán)者信息和授權(quán)碼等，在每份文檔回收時(shí)進(jìn)行這些信息的驗(yàn)證。

分發(fā)軟件時(shí)利用授權(quán)者信息、分發(fā)時(shí)間及隨機(jī)序列與注入閱讀端軟件的識別碼B實(shí)現(xiàn)閱讀端與Keyfile的捆綁，然后將閱讀端利用SHA2算法散列生成驗(yàn)證碼，記錄入Keyfile文件，以實(shí)現(xiàn)軟件自身的完整性檢驗(yàn)，防止軟件被“爆破”或其他技術(shù)手段分析破解。

分發(fā)機(jī)密文檔時(shí)對每份授權(quán)文檔進(jìn)行簽名，以識別每份文檔的授權(quán)者。授權(quán)時(shí)將文檔的使用限制條件(如閱讀次數(shù)、時(shí)間期限等信息)記錄入監(jiān)控文件，然后將文檔和監(jiān)控文件進(jìn)行捆綁并加密，以實(shí)現(xiàn)對分發(fā)文檔的使用情況進(jìn)行限制和有效監(jiān)控。文檔的分發(fā)流程如圖4所示。

圖4 文檔分發(fā)流程

隨機(jī)碼和時(shí)間作為變量的參與使每次分發(fā)均具有唯一性，這些捆綁及檢驗(yàn)措施的運(yùn)用使每次分發(fā)的軟件、文件、存儲(chǔ)設(shè)備及授權(quán)用戶是一次授權(quán)的整體，在閱讀時(shí)各方缺一不可。

2.2.2 文件加密

隨著計(jì)算機(jī)計(jì)算速度的飛速提高，以前的一些加密算法(如DES、MD5)的安全性已經(jīng)顯得岌岌可危。AES作為21世紀(jì)新的加密標(biāo)準(zhǔn)，它的密鑰長度可以為128，192或256，而且在理論上沒有上限，故此加密算法可被視為是安全的［4］。常見的SHA1散列算法可能存在和MD5一樣的碰撞攻擊漏洞，而SHA－2則迄今為止還沒有出現(xiàn)被成功攻擊的報(bào)道［5］。故在此選擇了AES(高級數(shù)據(jù)加密標(biāo)準(zhǔn))和SHA2來保護(hù)數(shù)據(jù)文檔。

由于閱讀計(jì)算機(jī)環(huán)境的不確定性，使目前較常用的利用非對稱密碼加密保護(hù)密鑰的方式不適用于本方法，為增加密鑰的安全性，在分發(fā)機(jī)密文檔時(shí)，讀取存儲(chǔ)在保留扇區(qū)的設(shè)備標(biāo)識串和分發(fā)時(shí)存入Keyfile的隨機(jī)數(shù)參及當(dāng)前時(shí)間生成加密密鑰(密鑰生成模型參考圖2)，再把讀取到的當(dāng)前時(shí)間、閱讀端軟件的授權(quán)碼記錄(如監(jiān)督信息文件)，讓同一口令加密的機(jī)密文檔在不同時(shí)間或設(shè)備上生成的加密密鑰是不相同的，在閱讀文檔時(shí)先解密監(jiān)督信息文件，利用其記錄檢驗(yàn)設(shè)備及軟件是否符合，通過檢驗(yàn)后再按密鑰生成機(jī)制讀取設(shè)備標(biāo)識串和Keyfile信息，生成解密密鑰，這樣就提高了系統(tǒng)的抵抗逆向分析的能力。

2.2.3 異常檢測

為了方便用戶使用，便于在出現(xiàn)斷電、死機(jī)等情況下對文件進(jìn)行恢復(fù)等處理，需要對文件異常狀況進(jìn)行登記、檢測和處理，判斷系統(tǒng)是否非正常使用，這樣既便于在異常情況恢復(fù)文件，又有利于審核文件時(shí)能發(fā)現(xiàn)異常操作。同時(shí)為了防止別有用心者對軟件進(jìn)行動(dòng)態(tài)跟蹤或破解，系統(tǒng)可以對軟件設(shè)定一個(gè)異常狀況閥值，當(dāng)軟件異常次數(shù)超出此數(shù)值時(shí)，能鎖定軟件或自動(dòng)刪除客戶端和相關(guān)數(shù)據(jù)文件，最大限度地保護(hù)數(shù)據(jù)安全。當(dāng)出現(xiàn)異常退出狀況時(shí)，能做出檢測并恢復(fù)文件信息，有效地對文件系統(tǒng)進(jìn)行保護(hù)。

這些保護(hù)措施的采用充分保障了文檔的數(shù)據(jù)安全，即使軟件或文件被非法復(fù)制，竊取者也無法運(yùn)行軟件或解密文件。

3 監(jiān)督審核的設(shè)計(jì)與實(shí)現(xiàn)

在軟件和文件的安全性有了充分保障后，利用軟件、文件與設(shè)備的捆綁與相互檢驗(yàn)，使正常閱讀操作局限在文件的分發(fā)設(shè)備上。當(dāng)客戶端啟動(dòng)時(shí)，利用指紋生成系統(tǒng)生成閱讀計(jì)算機(jī)的指紋，在打開每一份文件前，把指紋信息記錄到該文件的審核日志，同時(shí)跟蹤記錄用戶對文件的操作歷史，并屏蔽不必要的風(fēng)險(xiǎn)操作，如禁止拷貝、粘貼等風(fēng)險(xiǎn)操作。

審核記錄的真實(shí)性主要通過加密手段及捆綁技術(shù)來保證，讓使用者不能對其進(jìn)行修改。如果發(fā)現(xiàn)文件有修改痕跡，系統(tǒng)能及時(shí)通過校驗(yàn)手段發(fā)現(xiàn)，并能停止文件的授權(quán)，直到分發(fā)機(jī)構(gòu)或管理員重新審核并授權(quán)。

3.1 計(jì)算機(jī)指紋生成模型

通過一臺計(jì)算機(jī)的CPU ID、網(wǎng)卡的MAC地址、硬盤的序列號等可以區(qū)分不同計(jì)算機(jī)信息，統(tǒng)稱為這臺計(jì)算機(jī)的指紋。由于指紋的唯一性，軟件商可以利用其來實(shí)現(xiàn)軟件授權(quán)碼和計(jì)算機(jī)的綁定，也可以利用其來實(shí)現(xiàn)對瀏覽過文件的計(jì)算機(jī)進(jìn)行標(biāo)識，在出現(xiàn)失泄密問題時(shí)可以及時(shí)鎖定泄露地點(diǎn)及途徑，幫助我們挽回?fù)p失。同樣也可以利用這些信息來指定閱讀文件的具體計(jì)算機(jī)，避免文件攜帶者在其他地方閱讀文件。

目前，常見的軟件系統(tǒng)在設(shè)計(jì)指紋系統(tǒng)時(shí)，常固定使用其中的某一種或幾種信息，雖然這樣也能保證指紋的唯一性，但軟件容易被攻擊者按生成機(jī)制分析并偽造出認(rèn)證碼。為了提高序列號的穩(wěn)定性和安全性，充分利用如上所提這些信息來生成計(jì)算機(jī)指紋，有利于事后準(zhǔn)確定位閱讀過文件的計(jì)算機(jī)。本文在設(shè)計(jì)指紋系統(tǒng)時(shí)，針對硬盤序列號是必然存在，且具有唯一性、穩(wěn)定性［6］，而主板序列號、CPU ID及MAC地址不一定能獲取到的情況，采取1+X(X代表區(qū)后3種序列碼的0到3種，由系統(tǒng)初始時(shí)隨機(jī)選取后再讀取，如果獲取不到，則由默認(rèn)的一個(gè)串值代替)的方式來生成計(jì)算機(jī)指紋，使每條指紋是由硬盤序列號再加上剩余3種序列號的隨機(jī)組合來生成的，這在保證了序列號的唯一性時(shí)又使其具備隨機(jī)性，增加了利用硬件的可更換性偽造計(jì)算機(jī)指紋的難度，提高了系統(tǒng)的安全性。

指紋的生成模型如圖5所示。在軟件啟動(dòng)時(shí)，先啟動(dòng)登記部分，利用WinAPI函數(shù)直接調(diào)用GetVolumeInformation獲取硬盤信息;調(diào)用GetCPUVendorx獲取CPU廠商信息(AMD或INTEL);再用GetSystemInfo函數(shù)獲取CPU信息;使用Microsoft的Netbios API獲取MAC地址。如果特殊情況下取不到某個(gè)標(biāo)示信息時(shí)，如CPU為奔騰3以下，用一個(gè)特殊串代替即可。最終將這些獲取到的信息經(jīng)散列變換生成計(jì)算機(jī)指紋(如圖5所示)，再將硬盤序列號和指紋寫入監(jiān)督信息文件，在審核時(shí)就能以此找出用戶曾經(jīng)的閱讀地點(diǎn)(具體計(jì)算機(jī))。

圖5 計(jì)算機(jī)指紋生成模型

3.2 監(jiān)控的實(shí)現(xiàn)

文件監(jiān)控技術(shù)，就是能夠?qū)Υ蜷_文件、讀/寫文件等文件操作進(jìn)行監(jiān)控、記錄，其目的就是有效地解決內(nèi)網(wǎng)內(nèi)部重要機(jī)密文件的安全問題，對機(jī)密文件進(jìn)行實(shí)時(shí)監(jiān)控，記錄對機(jī)密文件的一切操作。目前常用的文件監(jiān)控技術(shù)有基于虛擬設(shè)備掛接方式監(jiān)控技術(shù)和基于拷貝鉤子(API HOOK)的文件監(jiān)控技術(shù)。本文針對U盤文檔需要離線監(jiān)控的特點(diǎn)，結(jié)合拷貝鉤子和Win32API函數(shù)［7］，找出了一種能獨(dú)立地監(jiān)控U盤上的文檔使用情況的方法。

在啟動(dòng)軟件或打開文檔時(shí)，都先生成計(jì)算機(jī)指紋，對閱讀地址(具體計(jì)算機(jī))進(jìn)行登記，并把軟件使用信息記錄入Keyfile，把文檔操作歷史記錄入對應(yīng)監(jiān)督文件。對文檔的動(dòng)作捕獲主要利用Windows系統(tǒng)提供的深層API函數(shù)和HOOKAPI來實(shí)現(xiàn)。在Windows系統(tǒng)中，當(dāng)對文件進(jìn)行剪切、拷貝時(shí)，操作系統(tǒng)會(huì)產(chǎn)生一個(gè)消息響應(yīng)來觸發(fā)系統(tǒng)對文件進(jìn)行操作，所以捕獲消息響應(yīng)可以捕獲監(jiān)控系統(tǒng)對文件的操作。這樣當(dāng)用戶對監(jiān)控文件進(jìn)行操作時(shí)，根據(jù)操作動(dòng)作的不同，可利用API函數(shù)或鉤子進(jìn)行消息響應(yīng)的捕獲，然后對消息響應(yīng)進(jìn)行分析和記錄，實(shí)現(xiàn)對文件的有效監(jiān)控。

在閱讀端對文件的剪切、拷貝以及普通的截屏操作都可以歸結(jié)為Windows的剪貼板操作［8］，所以能使用SetClipboardViewer(HWND)函數(shù)向剪貼板觀察鏈中加入一個(gè)觀察窗口。當(dāng)剪貼板的內(nèi)容發(fā)生變化時(shí)，該窗口會(huì)接收到一個(gè)WM_DRAWCLIPBOARD消息，它標(biāo)識了將要加入的下一個(gè)窗口。然后響應(yīng)WM_DRAWCLIPBOARD消息處理剪貼板內(nèi)容的變化，利用HasFormat屬性判斷其內(nèi)容是否是位圖(CF_BITMAP)或文本(CF_TEXT)并進(jìn)行登記。最后在程序關(guān)閉時(shí)直接清空剪貼板，避免信息泄露。

同時(shí)安裝鍵盤鉤子，用SetWindowsHookEx函數(shù)將監(jiān)控程序定義的鉤子過程安裝到鉤子鏈中，當(dāng)鍵盤事件發(fā)生時(shí)，調(diào)用鉤子處理函數(shù)KeyBoard-Hook進(jìn)行響應(yīng)，結(jié)束后調(diào)用CallNextHookEx執(zhí)行鉤子鏈表所指的下一個(gè)鉤子子程［9］。

利用此方法實(shí)現(xiàn)對文檔的監(jiān)控實(shí)現(xiàn)復(fù)雜度低，效率較高，能監(jiān)控用戶常規(guī)使用下的相關(guān)操作。

3.3 審核

審核的目的是為了規(guī)范和監(jiān)督用戶對文檔的使用，同時(shí)能通過審核監(jiān)督文件發(fā)現(xiàn)用戶的違規(guī)使用情況，在發(fā)生失泄密事故時(shí)能利用監(jiān)督信息排查出可能的泄密環(huán)節(jié)，進(jìn)行追溯以挽回?fù)p失。

由于審核者不一定需要知道文檔的內(nèi)容，故在審核時(shí)只需要對監(jiān)督信息進(jìn)行解密，讀取文檔瀏覽的歷史記錄，避免因?qū)徍四K漏洞造成的泄密和信息擴(kuò)散，把閱讀權(quán)限和審核權(quán)限進(jìn)行隔離。

4 結(jié)束語

針對U盤使用過程中容易產(chǎn)生的信息安全問題，本文提出的方法利用軟件技術(shù)實(shí)現(xiàn)了對U盤上文檔使用的監(jiān)控及保護(hù)，并結(jié)合硬件保護(hù)技術(shù)對設(shè)備操作進(jìn)行控制，使整個(gè)系統(tǒng)在各環(huán)節(jié)都具有很好的安全性，避免因?yàn)榘踩岸贪濉钡拇嬖谕{到整個(gè)系統(tǒng)。

該方法的提出很好地彌補(bǔ)了對涉密局域網(wǎng)離網(wǎng)文檔的監(jiān)管缺失這一信息安全問題，使涉密單位能及時(shí)發(fā)現(xiàn)和解決文檔分發(fā)后的安全隱患和監(jiān)管漏洞，具有良好的適用性和運(yùn)用前景。

［1］ 王欣瑜，李釗，楊百龍，等.移動(dòng)存儲(chǔ)介質(zhì)認(rèn)證方法研究［J］.無線電通信技術(shù)，2008(1):56－58.

［2］ 廖洪其;凌捷;郝彥軍，等.USB移動(dòng)存儲(chǔ)設(shè)備的惟一性識別方法研究［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2010(12):2778－2780，2814.

［3］ 段鋼.加密與解密［M］.3版.北京:電子工業(yè)出版社，2008.

［4］ 何明星，林昊.AES算法原理及其實(shí)現(xiàn)［J］.計(jì)算機(jī)應(yīng)用研究，2002(12):61－63.

［5］SHA1 Collisions can be Found in 2^63;Operations.［2010－05－24］.http://www.rsa.com/rsalabs/node.asp?id=2927.

［6］ 丁思捷，張普朝.應(yīng)用硬盤序列號生成計(jì)算機(jī)指紋［J］.計(jì)算機(jī)應(yīng)用，2002(5):106－108.

［7］ 張桂勇，陳芳瓊.API for Windows 2000/XP詳解［M］.北京:清華大學(xué)出版社，2003.

［8］ 于抒，楊澤缸，賈培發(fā).計(jì)算機(jī)安全監(jiān)控系統(tǒng)的關(guān)鍵技術(shù)研究［J］.計(jì)算機(jī)工程，2007(12):146－148，152.

［9］ 戴春達(dá)，符紅光.WIN32中鉤子的實(shí)現(xiàn)技術(shù)及其應(yīng)用［J］.計(jì)算機(jī)應(yīng)用，2002(8):72－74.