一种高效的局域网内共享文件操作监控审计方法
鲍远松;代真虎;黄明;黄松鑫
【摘 要】The files distribution in LAN in sharing mode is usually a most common, simplest and efficient method. However, at present there lacks the effectively following up and auditing means in light of the operation of shared files, such method has incurred serious security perils in regard to information protection of the intranet, the problems such as the unauthorised sharing of confidential files between employees which causes information leakage, the malicious tampering of the sharing files which results in information loss, and the viciously transferring of Trojans virus through shared means, etc. are so hard to prevent. Through in-depth studying on the principle of shared files operation, a monitoring and audit approach, based on the file system filter driver and the intermediate network driver, has been designed and implemented for shared file operations in this paper. It is able to efficiently monitor users' shared files operation timely and to record all operating information, which provides the administrators a powerful supe
rvision means and the effective protection with regard to information security in LAN.%局域网内通过共享方式分发文件通常是最普遍、最简单和最高效的一种方式,但是目前针对共享文件操作缺乏有效的追踪审计手段,给内网中的信息保护带来了严重的安全隐患,诸如员工私自共享机密文件造成泄密、恶意篡改共享文件造成信息丢失、通过共享方式恶意传病毒木马等问题防不胜防.通过对文件共享操作原理深入研究,设计并实现了基于文件过滤驱动和中间层网络驱动的共享文件操作监控审计方法,可实时高效地监控用户共享文件操作并记录所有操作信息,为管理员提供了强有力的监管手段,有效地保护了局域网内的信息安全.
一升等于多少立方【期刊名称】《计算机应用与软件》
【年(卷),期】2012(029)008
【总页数】3页(P286-288)
【关键词】文件过滤驱动;中间层网络驱动;共享文件操作;监控审计
【作 者】鲍远松;代真虎;黄明;黄松鑫
【作者单位】上海宝信软件股份有限公司研发部 上海201203;上海宝信软件股份有限公司研发部 上海201203;上海宝信软件股份有限公司研发部 上海201203;上海宝信软件股份有限公司研发部 上海201203
【正文语种】中 文
【中图分类】TP309
0 引言
在一个企业的内网中,通过共享方式分享文件通常是一种最简单高效的方式,特别是在禁用外设和无纸化办公的工作环境中,这种方式的优点尤为突出。如何审计员工间的共享文件操作是一个很常见但是很困扰的问题,特别是大量个人计算机,由于内部用户非法将机密性文件设置成共享,并且没有设置好共享权限,不仅会导致机密信息外泄,而且管理员无法追踪定位到当事者,追究责任更无从谈起;与此同时,企业常常将一些内部公共服务器配置成共享访问方式,允许内部员工访问,但是由于缺乏有限的审计手段,使得私自篡改文件、恶意上传木马病毒等问题防不胜防。虽然企业内部通常会制定相应的管理制度来规
范共享文件访问操作,但是由于缺少有效的跟踪技术手段,这种管理工作往往效率不高,并且成本较高。本文就是要提供一种简单、高效的技术手段,为管理员提供详细的可追溯的共享文件访问记录,并且具有很高的可实施性,同时基于本方案实现的系统可以方便地作为一个模块集成到其余内网安全产品中,有助于形成一体化的内网安全高效的解决方案,具有易集成性。该方案已申请专利并已受理(专利名称:局域网内共享文件操作的审计系统及方法专利受理号:201010531320.1)。
1 已有技术的不足3.8节
目前,市场上缺乏有效的共享文件操作审计产品,解决共享文件操作审计问题,通常有以下两种方案,将逐一分析其应用的局限和不足。
1.1 采用域策略方式
抗日战争片这种方案有三个主要的问题,一是企业必须配置了域,所有内部用户都必须加入域中,无法管理那些没有设置域服务器或者没有加入域的用户;二是通过域策略审计共享文件操作的信息简单,无法获取操作共享文件的远程用户详细信息,无法追根究底;三是无法与其余内网管理产品无缝集成,给企业的管理带来了额外的负担。
哪几类人可打加强针
1.2 采用文件过滤驱动方式
这种方式是通过在目标终端安装文件过滤驱动,监控本地共享文件操作并记录审计信息,此方式有明显的不足,只能监控终端用户做了哪些操作,却无法记录来自于远程访问的终端信息(因为对于远程终端的访问仅能记录出访问用户为SYSTEM,无法获取远程终端的IP、MAC等信息),因而对于远程终端的访问操作管理员同样无法追查。
2 共享文件操作审计方案
通过对共享文件访问操作的原理研究,我们发现对于本地访问共享文件可以通过文件过滤驱动监控捕获共享文件操作的IRP包,通过对IRP的分析可以得到用户操作的文件信息,而对于远程共享文件访问则是通过SMB协议进行访问的,通过对中间层网络驱动捕获该协议包进行分析可以获取远程访问的文件信息,访问者和被访问者的IP信息,同时可以通过应用层程序获取当前终端的详细信息(包括MAC地址、登录用户等信息),从而有效地解决共享文件操作的监控审计问题。
2.1 共享文件操作监控审计系统结构
基于中间层网络驱动和文件过滤驱动的共享文件操作审计系统由中间层网络驱动、文件过滤驱动和共享文件记录处理引擎、共享文件操作记录存储服务器四部分构成,如图1所示。
图1 共享文件操作监控审计结构
(1)中间层网络驱动
工作在内核层,用于捕获终端所有发送和接收的共享访问SMB包,对符合条件的SMB包记录源IP-MAC对、目的IP-MAC对、操作类型等信息,并通知共享文件记录处理器读取该信息。
(2)文件过滤驱动
工作在内核层,用于捕获终端所有共享文件操作的IRP,对满足条件的IRP记录文件名、路径、操作类型等信息,并通知共享文件记录处理器读取该信息。
(3)共享文件操作记录处理引擎
工作在应用层,用于接收来自驱动的通知,查询中间层网络驱动和文件过滤驱动记录的共
享文件操作信息,获取终端登录用户,生成详细的共享文件操作审计记录,并汇报到记录存储服务器。
(4)共享文件操作记录存储服务器
存储所有共享文件操作记录,提供多种条件的查询方式。
2.2 共享文件操作监控审计流程
图2 基于中间层网络驱动和文件过滤驱动的共享文件监控操作审计原理图火影忍者鸣人变九尾
(1)本地文件过滤驱动监控并记录终端访问本地共享文件信息
终端访问本地共享文件,本地文件过滤驱动捕获共享文件操作IRP,分析IRP,记录共享文件操作详细信息(文件名、路径和操作类型)到本地文件操作记录列表(简称FORL),通知本地共享文件记录处理引擎。
(2)本地终端共享文件记录处理引擎查询FORL生成共享文件访问记录并汇报
终端共享文件记录处理引擎查询文件过滤驱动的FORL,获取文件过滤驱动记录的共享文件操作信息,生成共享文件记录,汇报到共享文件操作记录存储服务器。
(3)本地终端中间层网络驱动监控并记录远程共享访问信息
终端访问远程共享,本地中间层网络驱动捕获SMB包,保存包的详细信息(IP-MAC对、访问的共享文件名和操作类型)到本地终端访问远程共享的记录列表(简称LARRL),通知本地共享文件记录处理引擎。
(4)本地终端共享文件记录处理引擎查询LARRL生成共享文件访问记录并汇报
终端共享文件记录处理引擎查询中间层网络驱动的LARRL,获取中间层网络过滤驱动记录的共享文件操作信息,生成共享文件记录,汇报到共享文件操作记录存储服务器。
(5)被访问终端中间层网络驱动监控并记录来自远程的共享访问信息梦见去世的外公
被访问终端中间层网络过滤驱动捕获SMB请求包,记录来访终端的IP-MAC对和访问的文件名,保存记录到远程终端访问本地共享文件记录列表(简称RALRL)。
(6)被访问终端本地文件过滤驱动监控并记录远程终端访问本地共享文件信息
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论