技術領域

本發明涉及信息安全技術領域，尤其涉及一種主機文件安全監控防護方法。

背景技術

數字內容本身易拷貝，網絡技術的發展導致非法傳播擴散更加泛濫。在公司內部，特別是某些資料涉密的單位內部，員工是不允許將電腦中的文件資料私自帶走的。然而，單憑員工自己的自覺性顯然是遠遠不夠的，尤其是一些人還帶有主觀惡意地想要竊取公司機密，公司機密資料的泄漏直接導致的是經濟利益的巨大損失。隨著使用計算機創建和處理電子化信息的情況越來越多，保護企業信息、數據和文檔成為企業商務活動中的一項艱巨且長久的任務。企業都希望能在內部實施一種最佳的信息權限保護解決方案，有效地保護機密文件的信息，避免機密信息的未授權使用，并且保證數據萬無一失。

在網絡化的電子辦公環境中，信息的使用者經常會通過電子郵件、磁盤共享或文件服務器來共享他們的文檔。然而，當工作人員共享這些文檔和信息時，很難控制文檔和信息的傳播范圍，也難以跟蹤信息的訪問記錄，這樣就可能造成機密信息的不安全訪問和非法利用。而單純地依靠企業的信息安全政策公示很難實現電子信息的集中安全管理和授權訪問。在眾多的網絡攻擊事件中，由內部人員發起的攻擊或者由內部人員濫用網絡資源造成的攻擊占據網絡攻擊事件中相當大的比例，因此內部網絡和主機安全對于企事業單位的信息安全至關重要。目前，基于網絡攻擊的信息安全存儲技術發展比較成熟，如防火墻技術、IDS（Intrusion?Detection?Systems，即入侵檢測系統）等，而基于主機安全的信息安全存儲技術發展還遠未達到市場的要求。

在此條件下，為了保障敏感信息的安全性，各個企業都采取了一定的措施。但僅僅通過完善文檔、源程序、設計資料等的保密制度，利用法律、法規保護自己的知識產權還是不夠的，一定要尋找技術的手段從根本上阻止和防范泄密事件的發生。很多涉密企業采用的方法是將員工使用的涉密電腦的網絡隔離、拆除所有軟盤、光盤驅動器，有些甚至連USB端口同時封死。這些方法能夠起到一定的作用，防止員工拷貝機密文檔，然而這種安全保障是在犧牲設備提供給用戶應用便利性的基礎之上的，并不是最終的解決辦法。

傳統的技術措施對于證實電子文件內容的真實、可靠，保證電子文件在存儲、傳輸過程中的安全、保密，防范對電子文件的非法訪問和隨意改動，具有不同程度的效果。但隨著計算機技術的普及和發展，文件信息安全領域面臨著更多的新的挑戰。因此，傳統的文件信息安全措施還存在著種種不足之處。

(1)?文件信息存儲安全技術相對發展比較緩慢：信息安全包括傳輸安全、系統安全和存儲安全。現在信息安全的熱點集中在傳輸安全和系統安全，上述技術措施絕大多數是針對信息傳輸安全的，而存儲媒介往往是安全事件的高發區，應引起高度重視。

(2)?針對文件信息存儲安全的內控技術匱乏：現在針對文件信息存儲安全的策略和技術大多是針對外部威脅，而很少涉及內部監控，缺乏完善的內控安全保障措施，而70％的泄密犯罪來自于內部，因此增加終端文件的內控安全，是文件信息安全存儲領域急需完善的技術。

(3)?市場上已有一些文件內控安全產品存在以下缺陷：缺乏一套完善的監控策略，監控功能單一、存在這樣或那樣的漏洞。

另外，作為易用性要求，引入安全的系統不應該強迫用戶改變在沒有安裝監控軟件時使用文件的操作和處置習慣，監控防護的引入也不應該大大降低主機運行性能。

發明內容

本發明的目的在于克服上述不足，提供一種主機文件安全監控防護方法，采用基于文件過濾的內核層文件透明加解密方案。

每一個物理設備對應著多個驅動設備對象，而這些驅動設備對象是按分層結構堆疊的。每一層只能同上層和下層進行服務請求交互，這些服務請求信息被統一設計為IRP?（I/O?Request?Package，即輸入輸出請求包）。每一個驅動設備對象處理IRP完一次，完成一次服務。這些設備對象根據目的的不同，被設計為不同的功能。Windows的分層驅動程序模型允許用戶開發第三方驅動程序，并通過IoAttachDeviceByPointer或者IoAttchDevice函數將自己的設備驅動程序插入列這個分層結構中，這樣我們的第三方驅動程序就有機會截獲IRP，然后通過分析IRP，針對自己感興趣的IRP包進行相應的處理。這種第三方驅動程序稱為過濾驅動程序。