徐 輝

(淮北職業(yè)技術(shù)學(xué)院，安徽 淮北 235000)

計(jì)算機(jī)技術(shù)和信息技術(shù)的快速發(fā)展給大數(shù)據(jù)時代的計(jì)算機(jī)網(wǎng)絡(luò)安全帶來了極大的隱患，世界上不同地區(qū)和不同領(lǐng)域都先后出現(xiàn)了各式各樣的網(wǎng)絡(luò)安全事故，歸結(jié)起來，計(jì)算機(jī)安全隱患主要來自三個方面[1]：(1)計(jì)算機(jī)系統(tǒng)自身的安全漏洞；(2)外部網(wǎng)絡(luò)攻擊造成的安全隱患；(3)計(jì)算機(jī)的更新、升級和維護(hù)等存在缺陷。不管是哪種形式的安全隱患問題，都需要從計(jì)算機(jī)基礎(chǔ)硬件設(shè)施、日常維護(hù)與管理以及相關(guān)技術(shù)升級等角度去解決計(jì)算機(jī)日新月異的高速發(fā)展需求[2]，這主要是因?yàn)槿绻脩粼谟?jì)算機(jī)使用過程中存在計(jì)算機(jī)系統(tǒng)安全方面的缺陷，那么整體計(jì)算機(jī)系統(tǒng)或其應(yīng)用數(shù)據(jù)的保密性、完整性、可用性、訪問控制和監(jiān)測機(jī)制等將面臨巨大威脅[3]。因此，計(jì)算機(jī)安全防護(hù)系統(tǒng)的開發(fā)將變得尤為重要，只有開發(fā)出與當(dāng)今計(jì)算機(jī)和信息技術(shù)相匹配的安全防護(hù)系統(tǒng)，才能更好地保障計(jì)算機(jī)系統(tǒng)的安全性，使得系統(tǒng)及其應(yīng)用數(shù)據(jù)具有保密性、完整性和可用性等，更好地為人類服務(wù)。

1 計(jì)算機(jī)安全隱患和系統(tǒng)架構(gòu)

日常工作和生活中，計(jì)算機(jī)安全隱患無處不在，主要包括：(1)自然因素：由于外部自然環(huán)境變化造成計(jì)算機(jī)連接線路破壞造成信息丟失等；(2)黑客攻擊：網(wǎng)絡(luò)黑客通過竊取商業(yè)機(jī)密等謀生，對計(jì)算機(jī)安全性能提出了巨大的挑戰(zhàn)，極端情況下還會造成信息數(shù)據(jù)遺失和毀壞；(3)計(jì)算機(jī)病毒，網(wǎng)絡(luò)病毒通過系統(tǒng)傳輸造成硬件崩潰和文件損壞，嚴(yán)重情況下造成計(jì)算機(jī)系統(tǒng)癱瘓等[4]。雖然人們在計(jì)算機(jī)使用過程中采取了一定的措施來增強(qiáng)安全防護(hù)，如提升計(jì)算機(jī)安全使用意識、配置殺毒軟件進(jìn)行定期檢測、網(wǎng)絡(luò)監(jiān)控抑制病毒入侵、建立防火墻和運(yùn)用加密技術(shù)等，但是計(jì)算機(jī)安全防護(hù)涉及多重因素，有自然因素也有人為因素[5]，因此，仍然需要我們進(jìn)行有效的計(jì)算機(jī)安全防護(hù)系統(tǒng)開發(fā)與實(shí)際應(yīng)用。計(jì)算機(jī)安全防護(hù)系統(tǒng)架構(gòu)設(shè)計(jì)主要包括應(yīng)用層、核心層和硬件層，系統(tǒng)架構(gòu)圖如圖1，該框架自上而下依次為應(yīng)用層、核心層和硬件層，每一個層級都有相應(yīng)的組成模塊。其中，應(yīng)用層包括登錄權(quán)限驗(yàn)證等4個模塊，核心層包括加密狗驗(yàn)證等5個模塊，而硬件層包括移動介質(zhì)等3個模塊，實(shí)際應(yīng)用過程中，每個模塊都發(fā)揮著自身功能，同時也有嚴(yán)格的介入準(zhǔn)則，如果架構(gòu)系統(tǒng)中有任一模塊不滿足使用要求，則一律不準(zhǔn)使用和介入，這樣可以有效避免由于某一環(huán)節(jié)出現(xiàn)故障而造成整體模塊的防護(hù)失效[3]。

圖1 計(jì)算機(jī)安全防護(hù)系統(tǒng)架構(gòu)圖

2 計(jì)算機(jī)安全防護(hù)系統(tǒng)設(shè)計(jì)

從計(jì)算機(jī)安全防護(hù)系統(tǒng)架構(gòu)圖1中可見，處于應(yīng)用層的4個模塊具有非常重要的作用，因此，著重對這4個模塊進(jìn)行設(shè)計(jì)與開發(fā)。

2.1 登錄權(quán)限驗(yàn)證

圖2為計(jì)算機(jī)安全防護(hù)系統(tǒng)架構(gòu)圖的應(yīng)用層中的登錄權(quán)限驗(yàn)證模塊的運(yùn)行流程圖。主要過程包括計(jì)算機(jī)運(yùn)行后輸入加密狗，然后校驗(yàn)介質(zhì)，如果符合條件則會進(jìn)一步加載介質(zhì)，而如果沒有通過介質(zhì)校驗(yàn)則會禁止加載程序，這時整個系統(tǒng)無法繼續(xù)運(yùn)行，判定效率較高。在加載介質(zhì)通過后，下一步需要進(jìn)行校驗(yàn)證書文件，進(jìn)而校驗(yàn)用戶名和密碼，這些子程序都校驗(yàn)通過后才能成功打開程序，而如果在啟動程序前任一中間環(huán)節(jié)未能通過校驗(yàn)，則安全防護(hù)系統(tǒng)都會認(rèn)定為失敗，并重新返回禁止加載程序。由此可見，登錄權(quán)限驗(yàn)證在整個計(jì)算機(jī)系統(tǒng)安全防護(hù)中扮演著至關(guān)重要的作用，而且安全防護(hù)級別和整體運(yùn)行效率較高。

圖2 登錄權(quán)限驗(yàn)證模塊運(yùn)行流程圖

2.2 進(jìn)程安全防護(hù)

進(jìn)程安全防護(hù)隸屬于計(jì)算機(jī)安全防護(hù)系統(tǒng)應(yīng)用層中，它的存在可以控制計(jì)算機(jī)安全防護(hù)系統(tǒng)的進(jìn)程啟動、終止以及對外界信息進(jìn)行校驗(yàn)并排除不信任進(jìn)程和添加信任進(jìn)程等[6]，其運(yùn)行流程如圖3。在實(shí)際運(yùn)行過程中，當(dāng)打開進(jìn)程安全防護(hù)模塊后，如果判斷此時為安全條件，則會進(jìn)一步創(chuàng)建進(jìn)程，而如果打開進(jìn)程安全防護(hù)模塊失敗或者創(chuàng)建進(jìn)程失敗，都會直接結(jié)束程序。在創(chuàng)建程序成功后，計(jì)算機(jī)會進(jìn)一步執(zhí)行底層驅(qū)動并在成功后進(jìn)行底層校驗(yàn)進(jìn)程信息，通過后打開進(jìn)程，失敗后則進(jìn)一步將程序發(fā)往應(yīng)用層并采用詢問打開程序模式進(jìn)行操作，整個運(yùn)行過程中僅對信任當(dāng)前操作的程序執(zhí)行打開程序的操作，而對不信任的操作執(zhí)行添加黑名單處理。信任程序得到成功運(yùn)行后，可以進(jìn)一步將其添加至信任程序，以便加速下一次的運(yùn)行效率[7]。在整個安全防護(hù)模塊運(yùn)行過程中，無論是底層驅(qū)動失敗還是程序發(fā)往程序失敗都將結(jié)束整個運(yùn)行程序。

圖3 進(jìn)程安全防護(hù)運(yùn)行流程圖

2.3 文檔安全防護(hù)

文檔安全防護(hù)同樣隸屬于計(jì)算機(jī)安全防護(hù)系統(tǒng)應(yīng)用層中，它的存在可以保證數(shù)據(jù)文件的完整性和保密性等，在運(yùn)行過程中起到了啟動程序、加載驅(qū)動、讀取文檔和控制文檔應(yīng)用的作用。由于目前計(jì)算機(jī)系統(tǒng)普遍使用的是Windows官方提供的驅(qū)動系統(tǒng)，雖然這種驅(qū)動系統(tǒng)在防護(hù)與安全上相較于應(yīng)用編程接口更強(qiáng)，但是在具體的技術(shù)實(shí)現(xiàn)上卻存在較大的困難[8-9]，因此，本文設(shè)計(jì)了基于過濾驅(qū)動技術(shù)的文檔安全防護(hù)系統(tǒng)，圖4為基于計(jì)算機(jī)安全防護(hù)的文檔安全防護(hù)運(yùn)行流程圖。在實(shí)際計(jì)算機(jī)應(yīng)用過程中，打開數(shù)據(jù)文件(如Doc、XLS等)后需要有授權(quán)進(jìn)程，如果為非授權(quán)進(jìn)程則需要相應(yīng)的密文進(jìn)行處理；在授權(quán)進(jìn)程中，需要校驗(yàn)進(jìn)程來進(jìn)行后續(xù)操作，如果有密文顯示則進(jìn)行停止操作，沒有這種情況則可以打開文檔，之后再進(jìn)行底層I/O驅(qū)動處理[10]，在這個過程中可以觀察程序是否運(yùn)行正常，之后判斷是否進(jìn)行密鑰讀?。蝗绻荑€讀取成功，則可以進(jìn)行讀寫控制操作，且寫和讀都是在加密操作環(huán)境下進(jìn)行的，而如果密鑰讀取不成功則拒絕進(jìn)行下一步操作。這種自行設(shè)計(jì)的基于過濾驅(qū)動技術(shù)的文檔安全防護(hù)系統(tǒng)相較于傳統(tǒng)應(yīng)用編程接口和Windows官方提供的驅(qū)動系統(tǒng)有更強(qiáng)大的防護(hù)功能[11]，在實(shí)際計(jì)算機(jī)應(yīng)用過程中可以引入此類文檔安全防護(hù)系統(tǒng)，以加強(qiáng)對有特殊保密要求的文件進(jìn)行保護(hù)。

圖4 文檔安全防護(hù)運(yùn)行流程圖

2.4 移動介質(zhì)安全防護(hù)

移動介質(zhì)安全防護(hù)同樣隸屬于計(jì)算機(jī)安全防護(hù)系統(tǒng)應(yīng)用層中，它的存在可以實(shí)現(xiàn)計(jì)算機(jī)的讀寫控制和信息傳輸?shù)裙δ?。在日常工作、生活和學(xué)習(xí)過程中，移動介質(zhì)無處不在，這種具備溝通和連接屬性的移動介質(zhì)的安全防護(hù)被認(rèn)為是需要重點(diǎn)加強(qiáng)的模塊[12]。從過往移動介質(zhì)安全防護(hù)策略上來看，整體結(jié)構(gòu)上應(yīng)該主要從系統(tǒng)使用前監(jiān)控、使用過程中預(yù)防和使用后消除隱患的步驟進(jìn)行[13]。

圖5為基于計(jì)算機(jī)安全防護(hù)的移動介質(zhì)安全防護(hù)運(yùn)行流程圖。在計(jì)算機(jī)使用過程中，插入移動介質(zhì)后即需要進(jìn)行介質(zhì)校驗(yàn)，如果通過校驗(yàn)則可以進(jìn)行下一步加載，如果沒有通過介質(zhì)校驗(yàn)則直接禁止加載，這是移動介質(zhì)防護(hù)的重要基礎(chǔ)；介質(zhì)加載過程中又分為加載成功和加載失敗兩種，成功了才能進(jìn)行下一步校驗(yàn)算法密鑰操作，失敗了則直接禁止操作；校驗(yàn)算法密鑰操作成功后進(jìn)行校驗(yàn)使用期限認(rèn)定，成功了則可以讀取數(shù)據(jù)和寫入數(shù)據(jù)，如果上述過程中有任何一步出現(xiàn)失敗則會禁止操作；寫入數(shù)據(jù)操作相對讀取數(shù)據(jù)更加復(fù)雜，讀取后基本完成了整個移動介質(zhì)功能，而寫入數(shù)據(jù)還需要對后續(xù)過程中進(jìn)行校驗(yàn)和寫保護(hù)，在開啟狀態(tài)下細(xì)分為可讀不可寫和可讀可寫兩種，具體根據(jù)實(shí)際需求進(jìn)行。

圖5 移動介質(zhì)安全防護(hù)運(yùn)行流程圖

3 計(jì)算機(jī)安全防護(hù)系統(tǒng)性能測試

計(jì)算機(jī)安全防護(hù)系統(tǒng)設(shè)計(jì)與開發(fā)后，需進(jìn)一步對系統(tǒng)性能進(jìn)行測試，以確保在開啟本文設(shè)計(jì)的安全防護(hù)系統(tǒng)后不會對其他業(yè)務(wù)的正常開展造成影響，并以系統(tǒng)CPU占用率和系統(tǒng)內(nèi)存占用大小為評價指標(biāo)。通過測試運(yùn)行系統(tǒng)后的CPU占用率和內(nèi)存占用大小可知，運(yùn)行環(huán)境下的CPU占用率小于20%、內(nèi)存占用小于120M，表明本文設(shè)計(jì)的安全防護(hù)系統(tǒng)不會影響計(jì)算機(jī)其他業(yè)務(wù)的正常運(yùn)行。圖6為計(jì)算機(jī)在開啟計(jì)算機(jī)安全防護(hù)系統(tǒng)并運(yùn)行10h后的性能指標(biāo)測試結(jié)果。正常情況下計(jì)算機(jī)的CPU平均使用率低于3%、峰值使用率小于12%，虛擬內(nèi)存使用100MB，而計(jì)算機(jī)內(nèi)存使用(工作集) 108MB，可見，在開啟本文設(shè)計(jì)的安全防護(hù)系統(tǒng)后，計(jì)算機(jī)的正常業(yè)務(wù)操作不會受到影響。從2018年12月份開始，將本文設(shè)計(jì)的安全防護(hù)系統(tǒng)在不同場合進(jìn)行了部署、調(diào)試和使用，6個月的試運(yùn)行結(jié)果表明，本文設(shè)計(jì)的計(jì)算機(jī)安全防護(hù)系統(tǒng)實(shí)現(xiàn)了對計(jì)算機(jī)的安全防護(hù)，系統(tǒng)操作方便、實(shí)用性強(qiáng)，達(dá)到了預(yù)期效果，可以進(jìn)一步推廣應(yīng)用。

圖6 計(jì)算機(jī)安全防護(hù)系統(tǒng)性能測試結(jié)果

4 結(jié)語

針對來自自然因素、黑客攻擊和計(jì)算機(jī)病毒等方面的計(jì)算機(jī)安全隱患，本文自行設(shè)計(jì)了一套包括應(yīng)用層、核心層和硬件層的計(jì)算機(jī)安全防護(hù)系統(tǒng)架構(gòu)，分別從登錄權(quán)限驗(yàn)證、進(jìn)程安全防護(hù)、文檔安全防護(hù)和移動介質(zhì)安全防護(hù)4個方面進(jìn)行了設(shè)計(jì)與說明。在開啟本文設(shè)計(jì)的安全防護(hù)系統(tǒng)后，運(yùn)行環(huán)境下的CPU占用率小于20%、內(nèi)存占用小于120M；正常情況下計(jì)算機(jī)的CPU平均使用率低于3%、峰值使用率小于12%，虛擬內(nèi)存使用100MB，計(jì)算機(jī)的正常業(yè)務(wù)操作不會受到影響，系統(tǒng)操作方便、實(shí)用性強(qiáng)。