技術領域

本發明涉及一種使用文件系統過濾驅動實現單硬盤雙操作系統分區隔離的方法。為了兩個分區間的數據的獨立性，使用過濾驅動在文件系統層對兩個操作系統的分區進行隔離。

背景技術

目前用戶終端設備應用廣泛，如用戶上網瀏覽，日常辦公，一般都安裝windows操作系統，這些操作系統支持用戶自行安裝和卸載任何軟件，給系統的安全帶來了很大的隱患，容易遭受隱藏在自行安裝軟件中的病毒或木馬等攻擊，辦公系統屬于單位的業務系統，涉及的數據是單位敏感數據，數據的泄露會帶來安全威脅。怎樣讓用戶在自己使用的終端設備上可以隨意地安裝軟件，又可以確保用戶在使用辦公系統時的安全是一個亟待解決的問題。

公開號為CN?2869997Y的中國專利公開了一種采用硬盤隔離卡對單硬盤的分區進行隔離的方法。硬盤分區隔離卡對硬盤指令進行譯碼，判斷出計算機要對硬盤進行何種操作，放過當前允許的指令，阻止當前不允許的指令。該方法雖然能夠實現雙操作系統之間的隔離問題，但是采用硬件的方式實施極其不方便，需要對終端進行改造，而且成本很高，不容易普及。

本方法只需要在目前的終端設備硬盤上安裝兩個windows操作系統，其中一個操作系統定義為工作區，該系統中的網絡資源和軟件資源受到后端白名單機制的控制，用戶的文件都執行加密后放在硬盤上，另一個操作系統定義為用戶區，用戶可以自由的上網和使用軟件。在兩個系統中分別安裝一個過濾驅動，使得工作區不能訪問自由區的數據，以防病毒文件趁虛而入，自由區也同樣不能訪問工作區的數據，以防工作數據被惡意竊取。

本方法與現有的采用硬件隔離的方式相比，大大節約了隔離的成本，并降低了技術的復雜度，適合在企事業單位中進行大規模部署，便于使用和維護，在移動辦公領域有著良好的應用。

發明內容

本發明的目的是提供一種通過過濾驅動實現終端設備單硬盤雙操作系統的分區隔離的方法。其特征在于，這是一種在用戶終端設備中能確保用戶在使用辦公系統時防止病毒入侵的安全防護方法，依次含有以下步驟：

步驟(1)對所述用戶終端設備內的一個硬盤按以下步驟初始化：

步驟(1.1)把一個所述的硬盤分為四個順次連接的分區，表示為：第一分區(C)，第二分區(D)，作為工作區數據分區的第三分區(E)和作為自由區數據分區的第四分區(F)，其中，

所述的第一分區(C)和第三分區(E)定義為工作區，是指存有企業和個人敏感數據的分區，

所述的第二分區(D)和第四分區(F)，是指供用戶自由使用的自由區，

步驟(1.2)在作為工作區的所述第一分區(C)內安裝一個工作區操作系統，在作為用戶區的所述第二分區(D)內安裝一個自由區操作系統，

步驟(1.3)在所述的第一分區(C)內加載一個工作區文件系統微過濾驅動Minifilter模塊，通過此模塊將需要過濾的自由區I/O的操作，包括基于中斷過濾IRP的I/O請求、I/O操作的Fast?I/O協議以及文件系統過濾回調操作注冊到所述的工作區文件系統過濾管理器FltMgr中，

步驟(1.4)在作為自由區的第二分區(D)內加載一個自由區文件系統微過濾驅動Minifilter模塊，通過此模塊將需要過濾的工作區I/O的操作，包括基于中斷過濾IRP的I/O請求、I/O操作的Fast?I/O協議以及文件系統過濾回調操作注冊到所述的自由區文件系統過濾管理器FltMgr中；

步驟(2)按以下步驟執行所述工作區的隔離操作：

步驟(2.1)開機讀取I/O請求，

步驟(2.2)啟動I/O請求過濾，

步驟(2.3)判斷所述I/O請求中的請求分區是否為所述的第二分區(D)或第四分區(F)：

若是，則阻斷I/O請求和I/O操作，執行步驟(2.4)，

若不是，則放行所述I/O請求和I/O操作,執行步驟(2.4)，

步驟(2.4)返回步驟(2.2)；

步驟(3)按以下步驟執行所述自由區的隔離操作：

步驟(3.1)開機讀取I/O請求，

步驟(3.2)啟動I/O請求過濾，

步驟(3.3)判斷所述I/O請求中的請求分區是否為所述的第一分區(C)或第三分區(E)：

若是，則阻斷I/O請求和I/O操作，執行步驟(3.4)，

若不是，則放行所述I/O請求和I/O操作,執行步驟(3.4)，

步驟(3.4)返回步驟(3.2)。