●安全与保密内部局域网中USB设备分类监控系统的设计与实现蒲堪峰(电信科学技术第十研究所陕西.西安710061)摘要:分析了Windows2000操作系统下采用HOOK系统IRP消息的方式实现对USB设备分类监控,可对用户的USB设备操作行为进行实时监控。该系统采用集中式管理,分布式控制架构,具有动态的USB设备变更检测、类型检测、敏感USB设备控制,安全警报,日志审计等功能。作为内网一体化安全防护系统的一个子系统,通过实际使用表明,该系统能够有效地控制和降低USB设备对内部网造成的信息安全风险。关键词:USBIRPWDM设备监控HOOK在我国,国家政府部门、企事业单位已经越来越多地使用计算机网络开展日常工作和业务,利用计算机网络发送和处理大量的内部秘密文件。越来越庞大的计算机网络及其不断更新的相关技术也带来了不断增长的安全隐患,网络安全已经成为了一个国际化的问题。防病毒、防黑客、物理隔离、数据备份、防火墙等是人们常用的防止外部网络侵害的信息保护手段。然而更大的安全隐患来源于网络内部,据统计,大约有80%的安全破坏是在网络内部发生的。所以防范来自内部的攻击更为重要、更为迫切,一旦因为各种原因导致内部涉密文件泄漏,将对国家稳定和社会安全造成巨大威胁。因此,针对内部网络终端使用者行为、移动存储设备、用户身份认证管理等开发的“内网一体化安全防护系统”,将从技术上解决这个问题,使已发生的事件不再是无法追查,并能够做到有理有据。USB接口是计算机网络信息传输的一个重要途径,同时也是内部网病毒的传播源,因此很多保密单位都在物理上禁用USB端口。但由于USB设备种类众多且使用广泛,仅仅简单地禁用USB接口会使无威胁的外围设备如USB鼠标、键盘和USBKEY等无法使用,给用户带来很多不便。本文讲述了“内网一体化安全防护系统”中基于微软Windows2000操作系统下的USB设备监控系统USBMon的实现。该子系统可以根据管理员制定的策略分类管理USB设备,方便管理员对网络中各主机的USB设备进行细粒度的管理。一、USBMon监控系统的基本原理1.Windows2000系统结构Windows2000操作系统使用IRP与内核模式驱动程序(NT4和WDM)通信[1]。图1是以用户视点所看到的Windows2000操作系统,该图描述了驱动程序开发者所关心的特征。当用户模式程序需要读取设备数据时,它就调用Win32API函数,如ReadFile。Win32子系统模块(如Kernel32.dll)通过调用平台相关的系统服务接口实现该API,而平台相关的系统服务将调用内核模式支持例程。第1页共7页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共7页在ReadFile调用中,调用先到达系统DLL(Ntdll.dll)中的一个入口NtReadFile函数,然后这个用户模式的NtReadFile函数接着调用系统服务接口,最后由系统服务接口调用内核模式中的服务例程,该例程同样名为NtReadFile。系统中还有许多与NtReadFile相似的服务例程运行在内核模式中,为应用程序请求提供服务,并以某种方式与设备交互。它们首先检查传递给它们的参数,以保护系统安全或防止用户模式程序非法存取数据,然后创建一个称为“I/O请求包(IRP)”的数据结构,并把这个数据结构送到某个驱动程序的入口点;NtReadFile将创建一个主功能代码为IRP_MJ_READ的IRP,执行IRP的设备驱动程序最后可能会访问硬件;驱动程序完成一个I/O操作后,通过调用一个特殊的内核模式服务例程来完成该IRP。完成操作是处理IRP的最后动作,它使等待的应用程序恢复运行。同样,对于USB设备的所有操作都是通过向USB设备发送相应的IRP完成的。USBMon拦截所有发往USB设备的IRP,并对其中的内容进行分析。如果发现USB设备处于配置阶段,说明新插入USB设备,这时,USBMon会通过发送相应的IRP得到新插入USB设备的设备类型,如存储类设备、USB集线器类设备或者厂商自定义设备等,再根据策略文件来决定是否启用这个设备。USBMon中的关键问题是IRP拦截、判断新设备的加入以及对厂商自定义类设备的管理。2.HOOK系统的IRP消息Windows2000下,设备和驱动程序的有着明显的堆栈式层次结构:处于堆栈最底层的设备对象称为物理设备对象,或简称为PDO,与其对应的驱动程序称为总线驱动程序;在...
