一种终端安全防护模型设计方法

裴志江

摘  要： 针对当前基于虚拟桌面技术的防护系统无法保证数据泄露的问题，提出一种基于安全虚拟桌面与分区加密相结合的防护模型。该模型在基于安全虚拟桌面的基础上，结合分区加密技术，将重要数据进行加密，存储在加密分区中，使得攻击者即使获取到数据信息，在没有密钥的情况下也不能破解数据内容，从而保证数据信息的安全。最后通过实验验证了模型的可行性。

关键词： 安全防护模型; 终端防护系统; 安全虚拟桌面; 分区加密; 网络安全管理; 数据加密

中图分类号： TN915.08?34                       文献标识码： A                        文章编号： 1004?373X（2020）09?0075?04

A design method of terminal security protection model

PEI Zhijiang

（School of Computer Science & Engineering， Nanjing University of Science & Technology， Nanjing 210094， China）

Abstract： Since the current protection system based on the virtual desktop technology fails to prevent the data leaking， a protection model based on the combination of secure virtual desktop and partition encryption is proposed. On the basis of secure virtual desktop， the important data are encrypted and stored in the encrypted partition of the proposed model combining the partition encryption technology， so that even if the attacker obtains the data information， he cannot decode the data without the key， which ensures the security of the data information. In addition， the feasibility of the model was verified by experiments.

Keywords： security protection model; terminal protection system; secure virtual desktop; partition encryption; network security management; data encryption

0  引  言

随着云计算技术、大数据技术和互联网+技术的高速发展，互联网的门槛越来越低，互联网在丰富人们工作生活的同时，也存在很大的信息泄露隐患。所以，网络安全已经成为各国信息安全领域研究的热点方向之一，与此同时，各国的政府部门、高等院校以及社会企业也越来越重视网络信息安全。

现如今，各国的政府部门、社会企业为了避免网络信息安全隐患带来的损失，在相关的服务器设备、终端设备中安装入侵检测系统、防火墙软件、病毒查杀软件、网络审计系统及流量回溯分析等防护系统，但是，往往内部人员的安全意识很薄弱，很容易造成国家机关、政府单位、社会企业的内部数据泄露的现象，给国家机关、政府单位、社会企业带来很大的政治、经济损失等。所以，在整个信息安全领域的防护工作中，防止内部失泄密是整个防护过程的重中之重，因为终端是内部人员最可能接触的设备，因此，对终端合理、合法、合规的使用是防止失泄密的重要手段。

1  终端安全防护机理

终端安全防护是指结合新型的网络服务管理技术和终端保护技术对所有访问网络的终端进行可靠性检查和安全性防护。在终端接入网络之前，根据对应终端的安全策略对该终端的安全状态进行判断，根据评估结果进行终端准入控制，从而将蠕虫、木马和病毒等屏蔽在网络之外，确保只有符合组织安全标准的终端才可以登入网络，享受网络服务。

在终端登入网络服务器之后，根据终端登入者的角色进行访问范围的限制，软件使用权限应用限制，网络享受服务范围限制以及外挂设备操作权限控制等，从而控制不同角色的终端享受网络服务范围、软件服务、外挂设备操作权限等，确保只有拥有相应权限的登入者可以享受网络服务、软件服务、外挂设备操作服务等，如图1所示。

终端安全防护的核心概念是从终端使用者登录网络、享受网络服务入手，结合身份认证服务器、安全策略服务器和网络设备以及第三方軟件系统（杀毒软件和系统补丁等），完成对登入终端用户的强制认证和安全策略应用，从而达到保障整个网络安全的目的。网络服务管理系统是终端安全防护的重要组成部分，其设计原则包括以下两个方面：

1） 终端登入限制

当终端使用者登入网络时，网络服务管理系统要求终端主机在享受网络服务前达到一定的安全要求，尽量避免单个用户的网络安全隐患对整个内部网络造成威胁。

2） 服务器主动控制

当终端使用者登入网络享受网络服务后，网络服务管理系统主动侦测终端和系统的网络安全状态，发现非安全状态时，触发控制反馈来调整终端和系统的状态，从而保障整个网络的安全运行。

内部网络的安全隐患在很大程度上取决于终端使用者本身。网络服务器准入控制系统将自动更新、安全转台审核、准入控制等思想集中在一起，为整个内部网安全管理和安全审核应用提供了可扩展平台，实现了基于网络准入控制的内部网络安全防御体系。

2  终端安全防护模型总体设计

终端安全防护模型包含网络服务管理系统和终端防护系统两部分。服务端管理系统采用B/S架构，通过Web管理界面对终端信息、软件规则、传输外设、网络规则、日志进行管理。终端防护系统采用C/S架构，通过终端防护客户端实现身份认证、全盘加密、客户端自防护、网络白名单、软件白名单、外设白名单、客户端信息感知和软件信息采集等功能，终端防护系统各模块使用的规则是通过服务端管理系统进行管理，并使用网络传输接口从服务端获取到相应的规则信息。

2.1  网络服务管理系统设计

网络服务管理系统按照Web应用进行设计，包含资源层、服务层、应用层和用户层，如图2所示。

资源层主要包括网络服务管理系统需要管理的所有资源信息，如组织人员信息、软件信息、外设信息、设备信息和网络规则信息等。资源信息通过界面手工录入或通过软件采集存储至数据库。

服务层主要包括应用中间件、消息中间件、数据库服务等，其中，应用中间件用于Web服务的运行和管理;消息中间件用于组件间的消息传递，以及网络服务端管理系统与终端防护系统的数据交互;数据库服务用于信息存储，如组织人员信息、软件信息、外设信息、设备信息和网络规则信息等。

应用层直接面向用户，通过功能界面与用户进行交互，包括组织人员管理、终端管理、网络规则管理、软件规则管理、传输外设管理、日志管理等功能。其中，组织人员管理通过组织人员管理模块对组织信息、用户信息和用户角色进行管理;终端管理通过终端管理模块对终端信息和终端使用权进行管理;网络规则管理通过网络规则管理模块设置允许访问的网络白名单地址列表;软件规则管理通过软件规则管理模块管理终端中所使用的软件白名单，包括软件识别信息管理和软件白名单设置功能;传输外设管理通过传输外设管理模块管理终端USB设备的使用，包括外设识别信息管理和外设白名单设置;日志管理通过日志管理模块可以查询服务端管理操作日志、业务终端操作日志、终端环境变更日志和服务端系统日志。

用户层包括普通用户和管理员，可以通过角色管理配置相应的功能和数据权限。

2.2  终端防护系统设计

终端防护系统采用分层架构设计，包括资源层、驱动层和应用层以及管理对象，如图3所示。

终端防护系统的主要管理对象为人员、设备、软件、外设和网络，具体管理规则由管理员通过网络服务管理系统进行管理策略编辑。

当管理规则有变动时，网络服务管理系统通过网络介质通知相关终端防护系统，终端防护系统进行新管理规则的应用。

应用层是指终端防护系统实现的所有功能，是终端防护系统的核心，包括身份认证、全盘加密、终端客户端自防护、终端客户端信息感知、网络白名单、外设白名单、软件白名单、软件信息采集。

驱动层是指所有终端防护系统所使用的驱动防护技术，包括Minifilter文件过滤驱动、Windows虚拟桌面、Windows WFP框架和分区加密技术。

资源层是指终端防护系统主要防护的系统资源，包括文件系统、注册表和网络连接。

2.2.1  终端防护系统应用层设计

终端防护系统应用层包括身份认证模块、加密分区模块、终端客户端自防护模块、终端客户端信息感知模块、网络白名单模块、外设白名单模块、软件白名单模块、软件信息采集模块等八部分。

1） 身份认证模块

终端登入者登录终端防护系统时需要进行身份认证，用户插入UKey、输入用户名和登录密码，向网络服务管理系统提交身份认证请求，认证通过才能进入终端客户端工作区。

2） 加密分区模块

加密分区模块采用Minifilter文件过滤驱动和沙箱技术实现，通过使用国密SM4加密算法对文件进行透明加解密。

3） 终端客户端自防护模块

为了防止终端防护系统遭恶意破坏，导致终端客户端脱离该系统的保护，终端防护系统具备自防护能力。

4） 终端客户端信息感知模块

终端防护子系统提供对终端信息的感知和收集功能，便于追踪和追溯终端状态，具有相应权限的人员能够在服务端查看终端的感知信息。

5） 网络白名单模块

网络服务管理系统通过网络规则管理功能模块进行网络规则管理，终端防护系统通过通信接口与网络服务管理系统通信，获取网络规则，通过网络白名单功能对网络进行控制。

6） 外设白名单模块

网络服务管理系统通过传输外设管理功能模块进行传输外设规则管理，终端防护系统通过通信接口与网络服务管理系统通信，获取传输外设管理规则，通过外设白名单功能对传输外设进行控制。

7） 软件白名单模块

网络服务管理系统通过软件规则管理功能模块进行軟件规则管理，终端防护系统通过通信接口与网络服务管理系统通信，获取软件管理规则，通过软件白名单功能对终端运行软件进行控制。

8） 软件信息采集模块

软件信息采集模块是终端防护系统为方便进行软件信息采集提供的独立工具，完成软件信息采集能够通过与网络服务管理系统的通信接口传输至网络服务管理系统，具备相关权限的终端登入者可在软件规则功能模块中对相关软件信息进行管理。

2.2.2  终端防护系统驱动层设计

1） Minifilter文件过滤

Minifilter文件过滤驱动负责对资源层文件系统进行过滤，实现文件系统安全防护与隔离功能。

2） Windows虚拟桌面

Windows虚拟桌面负责提供创建、切换、删除桌面的功能。

3） Windows WFP框架

Windows WFP框架是Windows提供的一种网络数据包过滤框架，提供了对资源层网络连接的过滤控制功能。

4） 分区加密技术

分区加密技术提供了保护磁盘文件数据存储安全的功能。

2.3  终端安全防护模型流程设计

终端安全防护模型的流程设计分为三部分，分别为作为客户端的终端防护子系统、作为服务端的网络服务管理系统和负责客户端与服务端进行通信的网络通信层。

终端安全防护模型流程设计如图4所示。

終端防护系统基于Windows驱动层进行设计，在驱动层之上为应用层的后台服务程序和daemon服务程序（守护服务程序），其中，后台服务程序为用户界面提供基本模块功能，daemon服务程序通过ShellExt（Windows动态链接库）为用户界面提供服务，在应用层之上提供加密分区和安全桌面功能。

网络服务管理系统是基于Web应用服务进行设计的，数据持久层采用数据库进行数据存储，在数据持久层之上，通过服务中间件和消息中间件为用户界面功能提供相应服务。

终端防护系统和网络服务管理系统之间的通信是通过网络通信层实现，包括身份认证接口、网络白名单传输接口、软件白名单传输接口、外设白名单传输接口、终端客户端感知信息传输接口和软件采集信息传输接口。

3  结  语

随着网络技术日新月异的发展，网络信息安全的思想也时时刻刻的改变。深入研究终端防护模型的机理，根据传统防护模型提出一种新型终端安全防护模型，新防护模型结合虚拟安全桌面与分区加密技术，较好地解决了终端使用人员失泄密的各种安全问题，具有很重要的现实意义。

参考文献

[1] 杨国利，代祥，毛捍东.内网终端安全检查与接入控制的设计与实现[J].计算机工程与应用，2013，49（6）：109?113.

[2] 张学媛，胡益浩，王曦，等.一种高效移动景物终端安全管控平台[J].现代电子技术，2014，37（6）：39?40.

[3] 黄勤龙，杨义先.云计算数据安全[M].北京：北京邮电大学出版社，2018.

[4] 石少敏，石少炜.基于云计算虚拟化桌面管理模块设计[J].计算机应用，2017，36（8）：47?49.

[5] 杨庆明，杜保东.桌面终端安全防护技术企业网管理中的应用研究[J].计算机安全，2010（10）：77?79.

[6] 张晗，谭箐，刘洪源.实验室内部网络终端安全管理[J].现代电子技术，2012，35（17）：86?88.

[7] 庞雄昌，王喆.一种改进的内网安全防护策略[J].计算机安全，2012（12）：9?12.

[8] 聂大成，陈英，曾梦岐.车联网终端安全防护技术研究[J].通信技术，2017，50（8）：1794?1799.

[9] 周文，刘晓毅，龙恺.基于安全终端的虚拟桌面系统[J].通信技术，2014，47（6）：662?667.

[10] 张敬伦，张永生，高丽琴.基于内网数据安全防护引擎的安全架构设计[J].通信技术，2017，50（1）：158?161.