光驱等外部设备的读写控制与日志审计技术研究

摘要

光驱/刻录机、软驱和USB口等外部设备由于其便捷性等特点被越来越多的用户使用，这虽然有利于资源的合理化分配和工作效率的提高，但也给内网信息带来了安全隐患。因此，对外部设备的读写操作进行管理和监控是保障内网安全的重要措施。
　　 与以往采取用户层的Windows注册表和文件驱动层的API钩子技术对外设进行监控不同，本文采用内核模式的WDM过滤驱动技术对外部设备地读写进行实时监控。本文是作者在参与一个企业内网安全管理系统的开发之后，对负责的外部设备监控模块所涉及的理论和实现过程进行的总结。该系统的外部设备监控模块主要包括光驱监控模块、软驱监控模块和其他设备模块，并添加了日志审计模块。
　　 本文在研究WDM驱动程序的基础上，设计并实现了对光驱、软驱等设备的控制，不仅有简单的启/禁控制，更有读、写等多种控制方式，增强了系统的灵活性；还实现了从驱动层对设备进行控制，缩短响应时间。在此基础上添加了日志审计模块，该模块实现了对光驱、软驱等设备的读写日志进行采集和定时存储，提供了对日志进行查询和事后处理分析的功能，并为用户提供了管理界面。在各模块完成实现后对其进行了功能测试，显示各模块基本稳定运行于内网安全管理系统。