韓金池 丁汨

摘要：目前，絕大多數(shù)計算機操作系統(tǒng)是微軟的Windows 10操作系統(tǒng)，而Windows 10操作系統(tǒng)不開源的特性，再結合該操作系統(tǒng)的個人數(shù)據(jù)與業(yè)務數(shù)據(jù)的混合存儲以及其支持的應用程序的多樣性，為廣大用戶工作生活帶來方便的同時，也給計算機信息安全埋下了嚴重隱患。針對當前的主流操作系統(tǒng)Windows 10存在的安全隱患，通過對安全風險模型分析，從三個方面對系統(tǒng)進行安全增強：第一，雙因素認證，保證了用戶的合法性;第二，應用程序控制，降低了應用程序帶來的風險;第三，數(shù)據(jù)傳播途徑控制，控制了敏感數(shù)據(jù)的外泄。試驗表明，從三個方面人手進行系統(tǒng)安全增強，極大地提高了Win-dows 10操作系統(tǒng)的安全性，具有很強的實用性。

關鍵詞：雙因素認證;安全增強;文件過濾;國產密碼模塊

中圖分類號：TP309.2 文獻標識碼：A

文章編號：1009-3044（2020）29-0052-03

1 引言

隨著我國信息化的高速發(fā)展，計算機已經是各個行業(yè)不可或缺的工具。而計算機操作系統(tǒng)的行為，則直接關系到人們日常生活，娛樂以及業(yè)務辦公的安全。目前，絕大多數(shù)計算機操作系統(tǒng)是微軟的Windows 10操作系統(tǒng)，雖然在國家政策的指導下，操作系統(tǒng)國產化趨勢正在穩(wěn)步推進，但是在可預見的未來幾年內，在還未建立起一個完備的國產化系統(tǒng)生態(tài)環(huán)境的背景下，Windows 10操作系統(tǒng)將依然占據(jù)主流地位。而Windows 10操作系統(tǒng)不開源的特性，再結合該操作系統(tǒng)的個人數(shù)據(jù)與業(yè)務數(shù)據(jù)的混合存儲以及其支持的應用程序的多樣性，為廣大用戶工作生活帶來方便的同時，也給計算機信息安全埋下了嚴重隱患[5]。因此，在Windows 10操作系統(tǒng)終端上解決安全性問題具有絕對重要的意義。

2 終端安全風險模型分析

操作系統(tǒng)終端安全，歸根結底是數(shù)據(jù)的安全，所以，我們需要對建立操作系統(tǒng)的安全風險模型。

由圖1可知，Windows 10操作系統(tǒng)終端安全風險主要包括以下幾個方面。

（1）非法用戶通過對操作系統(tǒng)的直接操作，讀取終端用戶的私密數(shù)據(jù)，刪除或者篡改用戶關鍵文件等。

（2）非法應用程序，通過底層系統(tǒng)調用，竊取終端上用戶的關鍵信息和數(shù)據(jù)。

（3）數(shù)據(jù)通過網絡、USB通道、藍牙、Wi-Fi等途徑外流。

3 系統(tǒng)終端安全增強方案策略

針對上述分析，Windows 10操作系統(tǒng)終端的安全風險非常明確，為了規(guī)避安全風險的發(fā)生，就要從風險源頭（用戶、應用）、保護對象（數(shù)據(jù)）、傳播途徑（數(shù)據(jù)通道）三個方面一起抓，形成一個全方位防護體系[1]，下圖是移動智能終端的安全防護模型。

如圖2所示，從風險源頭、保護對象、傳播途徑三個方面，分別制定了相應的風險規(guī)避措施，通過不同措施的組合形成一個完善的防護體系。

圖中的①，主要針對風險源頭（用戶）的防護措施，專指用戶身份認證。

圖中的②，主要針對風險源頭（應用）的防護措施，包括應用啟動控制、應用開機啟動控制、應用權限管理、應用安裝控制等。

圖中的③，針對傳播途徑的防護措施，包括WIFI傳輸控制、藍牙傳輸控制、4G網絡傳輸控制、USB連接控制等。

圖中的④，針對數(shù)據(jù)資源本身的控制，包括操作系統(tǒng)安全隔離、數(shù)據(jù)加密傳輸、加密存儲。

4 終端安全增強方案策略實現(xiàn)

我們根據(jù)Windows 10操作系統(tǒng)建立的安全防護模型，從三個方面設計了對Windows 10操作系統(tǒng)的安全增強能力。

4.1 雙因素身份認證

雙因素身份認證為當前較為通用的身份認證體系。通過“我”所知道的再加上“我”所擁有的這兩個要素組合到一起，以達到身份認證的目的。本系統(tǒng)的雙因素身份認證方案需要利用硬件密碼模塊+安全口令PIN碼的強身份驗證方式，以確保用戶身份的唯一性與合法性。其中硬件密碼模塊用于進行安全口令PIN碼的校驗[2]。

具體步驟如下。

第一步：登錄界面庫定制

Vista之前，Windows的開機密碼認證模塊一般是由GinaDLL完成的。而Windows Vista之后的版本（包括Windows 10）則使用了新的“憑據(jù)提供程序”體系結構來代替GINA。在Win-dows 10系統(tǒng)中，Winlogon會啟動一個單獨的進程Logonui.exe，該進程將加載注冊表中配置的“憑據(jù)提供程序”。而這個“憑據(jù)提供程序”以dll庫的形式實現(xiàn)了對用戶輸入的安全口令與硬件密碼模塊進行認證的過程，該庫需要用戶在插入與操作系統(tǒng)具有綁定關系的密碼模塊的基礎上再輸入安全口令進行強身份認證，如果認證成功，才能進入操作系統(tǒng)。

第二步：將“憑據(jù)提供程序”添加到注冊表

＼HKEY_LOCAL MACHINE＼SOFTWARE＼Microsoft＼Win

—dows＼CurrentVersion＼Authentication＼Credential Ptoviders下增加“憑據(jù)提供程序”，來替換系統(tǒng)原有登錄界面。

4.2 應用程序管控

應用程序管控是指能夠對應用的整個生命周期進行管理，包括應用的安裝、運行、卸載等。目前，非法應用程序的運行是對系統(tǒng)造成致命威脅的重要因素之一，雖然安裝殺毒軟件能夠做到被動防御，但是如果能夠從應用程序的整個生命周期進行控制，將會在更大程度上降低非法應用所帶來的風險。

應用程序的生命周期，包括安裝、啟動、卸載等過程。這個過程的控制，我們采用文件過濾驅動配合安全策略的方式實現(xiàn)。

應用程序控制的實現(xiàn)分為三步。

第一步：文件安裝/啟動攔截功能實現(xiàn)

應用程序在安裝或啟動時，都會向文件系統(tǒng)驅動程序發(fā)送Create的IRP請求，此時只需要通過附加在文件系統(tǒng)驅動上層的文件過濾驅動攔截到這個請求，并判斷這個需要打開的文件類型是否為可執(zhí)行文件，如果是，則與安全策略中的白名單進行比對，這個白名單可以是文件名，也可以是硬件安全模塊提供的國密SM3算法獲得的文件摘要。如果是策略允許的合法應用程序，則將該IRP請求繼續(xù)下發(fā)給文件系統(tǒng)驅動，如果不是合法應用程序，則直接攔截，防止該程序啟動。

第二步：文件過濾驅動安裝

通過驅動程序inf文件或者以服務形式安裝到文件系統(tǒng)驅動棧中，即可實現(xiàn)對可執(zhí)行程序的安裝啟動攔截。

第三步：對于卸載操作，則需要在注冊表中查找軟件的卸載程序，然后通過運行在終端上的安全管理引擎來進行強制卸載。

4.3 傳播途徑控制

對數(shù)據(jù)傳播途徑的控制，可以有效防止敏感數(shù)據(jù)外流，做到“拿不走”。傳播途徑目前主要包括WIFI傳輸、藍牙傳輸、4G網絡傳輸、USB連接等。對于這類傳播途徑的控制，可以通過“類過濾”驅動框架來實現(xiàn)。這類設備的控制原理如圖3所示。

如圖3所示，對于數(shù)據(jù)傳播途徑的攔截分為兩步：

第一步：WIFI、藍牙、4G模塊、USB設備IPR請求攔截實現(xiàn)

只要控制住了這幾個物理設備使用，就攔截住了所有數(shù)據(jù)傳播的根源。與文件過濾驅動類似，我們需要在這類設備驅動上層增加過濾驅動，用于攔截對這類設備的使用請求，位于設備棧上層的過濾驅動會先于物理設備獲取到使用這類設備的IPR請求，上層過濾器通過對IRP_MJ_PNP子功能IPR_MN_START_DEVICE進行控制，如果安全策略不允許使用這類設備，上層過濾器則攔截掉IRP請求，設備將無法正常工作。

第二步：設備過濾驅動安裝

設備位于注冊表＼HKEY_LOCAL MACHINE＼SYSTEM＼Cur-rentControISet＼ControI＼Class下，子健為GUID，GUID下子健為具體的設備序號。在對應的子健下的UpperFilters項中添加對應的過濾驅動，重啟系統(tǒng)即可生效。

4.4 針對數(shù)據(jù)資源本身的控制

數(shù)據(jù)資源本身的控制，包含了操作系統(tǒng)本身的隔離與用戶數(shù)據(jù)安全存儲。

（1）操作系統(tǒng)隔離

目前存在著大量的計算機生活娛樂與政務辦公混用的情況，而這樣的計算機是無法提供一個安全可靠的辦公環(huán)境的，所以有必要將辦公環(huán)境與生活娛樂環(huán)境隔離開來，常規(guī)的方式是增加一臺計算機，一個用于安全辦公，一個用于生活娛樂。但是這種方式的弊端是投入巨大，因為增加了一臺計算機的投入。更合理的方案是一機兩用，即計算機本身的系統(tǒng)作為生活娛樂環(huán)境，然后利用Windowsl0的WTG（ Windows to go）特性，在高速U盤上安裝一個WTG系統(tǒng)，并利用磁盤驅動隔離技術，將WTG系統(tǒng)與本地計算機硬盤隔離開來，使得WTG系統(tǒng)在一個完全獨立的環(huán)境下運行，做到辦公數(shù)據(jù)與日常生活數(shù)據(jù)的完全隔離。而WTG辦公環(huán)境與本地硬盤隔離的核心原理是磁盤隔離驅動。磁盤隔離驅動類似于數(shù)據(jù)傳播控制中的設備控制驅動，在注冊表＼HKEY_LOCAL MACHINE＼SYSTEM＼CurrentCon-troISet＼ControI＼Class＼{4d36e967-e325-llce-bfcl-08002be103181下的UpperFilters中，增加磁盤隔離驅動文件，該驅動程序將在WTG系統(tǒng)啟動過程中對計算機本地硬盤進行反注冊行為，使得WTG系統(tǒng)無法識別本地硬盤。由于磁盤隔離驅動是在一個純凈的WTG系統(tǒng)中優(yōu)先加載的，所以保證了磁盤隔離驅動程序具有最高優(yōu)先級，無法被其他惡意驅動程序旁路。

（2）用戶數(shù)據(jù)安全存儲

由于辦公環(huán)境下的用戶數(shù)據(jù)與本地磁盤的生活娛樂數(shù)據(jù)完全隔離，在一定程度上保證了數(shù)據(jù)的安全性，但是用戶數(shù)據(jù)存儲在隔離系統(tǒng)中，一旦離開隔離環(huán)境，例如將該WTG系統(tǒng)盤當成一個普通USB存儲設備連接到一般的計算機上，那么辦公數(shù)據(jù)依然存在泄漏風險。為了解決這種數(shù)據(jù)外泄問題，可以考慮用戶數(shù)據(jù)單獨存儲的方式，即將WTG系統(tǒng)盤分成兩個區(qū)域，其中一個為WTG系統(tǒng)區(qū)，另外一個區(qū)用于敏感數(shù)據(jù)存放，而這個敏感數(shù)據(jù)存放區(qū)，通過文件透明加解密技術對進入該區(qū)域的文件進行加解密，而文件透明加解密驅動運行在WTG系統(tǒng)中，密鑰由安全模塊提供。這樣，只有進入WTG系統(tǒng)時，文件才能正常讀寫，否則將無法得到解密后的文件數(shù)據(jù)。透明加解密原理如圖4。

如圖4可知，數(shù)據(jù)安全存儲分為以下兩步。

第一步：透明加解密功能實現(xiàn)

文件透明加解密離不開文件過濾驅動，具體實現(xiàn)原理是在WTG系統(tǒng)[4]中，存人磁盤物理介質的數(shù)據(jù)，都進行加密操作，讀取的所有數(shù)據(jù)都進行解密操作。如果脫離了WTG系統(tǒng)環(huán)境，在沒有透明加解密驅動的支持下，無論哪種系統(tǒng)環(huán)境下，讀出的數(shù)據(jù)都將是密文。通過軟硬件結合的方式，極大程度上保證了用戶敏感數(shù)據(jù)的安全性。

第二步：透明加解密驅動的安裝

與應用程序控制驅動椅子，通過驅動程序inf文件或者以服務形式安裝到文件系統(tǒng)驅動棧中，即可實現(xiàn)數(shù)據(jù)存儲的透明加解密功能。

5 實驗

為了驗證本文設計的安全增強方案，構建了對應的測試驗證環(huán)境。安裝系統(tǒng)的高速USB存儲設備采用的是由鄭州信大捷安信息技術股份有限公司（以下簡稱信大捷安）自主研發(fā)生產的終端安全防護系統(tǒng)盤，該系統(tǒng)盤集成了信大捷安自主研發(fā)的安全芯片SSX1207作為測試的安全模塊，能夠灌裝WTG系統(tǒng)的同時，還具有智能密碼鑰匙功能，支持SMI-SM4國密算法。系統(tǒng)盤中灌裝WTG系統(tǒng)的同時，提前植入了磁盤隔離驅動，使得該測試系統(tǒng)與宿主計算機上的存儲硬盤完全隔離。在對該系統(tǒng)整合了以上各個安全模塊后，對整個系統(tǒng)的安全性進行了驗證。

5.1 用戶登錄

在用戶登錄過程中，要求用戶輸入安全口令，WTG系統(tǒng)在沒有安全模塊或沒有正確輸入安全口令的情況下，用戶無法進入系統(tǒng)。如果在安全模塊輸錯安全口令10次，則安全模塊鎖死，如果不返廠重新初始化，將永遠無法使用。而且安全口令根據(jù)安全策略，定義了口令復雜度，過于簡單的口令無法使用。

5.2 應用程序控制

運行安全策略不允許的應用程序時，應用程序無法正常啟動運行，也無法執(zhí)行安裝程序。并且在管理員下發(fā)卸載指令后，相應的應用程序被卸載，達到了對應用程序控制的效果。

5.3 傳播途徑控制

在安全策略不允許的情況下，WIFI傳輸、藍牙傳輸、4G網絡傳輸、USB連接等功能均無法使用，系統(tǒng)也處在了一種完全隔離的狀態(tài)下。

5.4 數(shù)據(jù)資源控制

系統(tǒng)運行在獨立的USB介質上，并且在獨立系統(tǒng)中，無法訪問計算機本地硬盤數(shù)據(jù)。將裝有系統(tǒng)的USB介質連接到正常計算機系統(tǒng)下，無法訪問加密區(qū)內的數(shù)據(jù)，根據(jù)二進制度數(shù)，顯示為亂碼。

6 結論

本文研究了對Windows 10操作系統(tǒng)進行安全增強的幾個方案，從幾個關鍵途徑對系統(tǒng)的安全性進行了加固和增強，通過實驗可知，該方案有效且可靠，極大地解決了當前一機多用為用戶帶來的安全隱患，為用戶提供了一套有效的安全辦公方案。

參考文獻：

[1]卿斯?jié)h，程偉，杜超.Windows操作系統(tǒng)的安全風險可控性分析[J].信息網絡安全，2015（4）：5-12.

[2]戈洋洋，毛宇光.一種基于Minifilter的文件安全保護系統(tǒng)[J].計算機與數(shù)字工程，2013，41（4）：631-634.

[3]向磊.操作系統(tǒng)安全隱患分析與防護[J].信息與電腦（理論版），2016（12）：213-214.

[4]李志勇，葉柏龍.基于文件過濾驅動的文檔透明加解密系統(tǒng)原理[J].東莞理工學院學報，2010，17（3）：48-50.

[5]賽迪智庫信息化形勢分析課題組.2020年中國信息化發(fā)展形勢展望[N].中國計算機報，2020-01-20（12）.

【通聯(lián)編輯：代影】

作者簡介：韓金池（1982-），男，主要研究領域為信息安全、操作系統(tǒng)加固;丁汨（1980-），女，主要研究方向為信息安全、計算機網絡。