年月 第33卷第24期计算机工程200712 December2007 Vol.33No.24ComputerEngineering ·安全技术·文章编号：1000—3428(2007)24—0146—03文献标识码：A中图分类号：TP309 计算机安全监控系统的关键技术研究 于扬，杨泽红，贾培发 (清华大学计算机系，北京100084) 摘要：信息技术的发展给信息安全带来了新的挑战，计算机安全监控系统是一种保障信息安全的有效机制。它通过数据采集、分析处理、 规则判别、违规阻止和全程记录等过程，实现对本地或远程计算机中各类信息和用户操作的保护与监控。该文主要研究了以文件、文本和 用户操作为对象的监控关键技术，通过实验对比分析了这些关键技术的实现机制与应用环境，对强化系统功能、提高监控效率和稳定性具 有重要意义。 关键词：计算机安全；文件监控；剪贴板监控；用户操作 ResearchonKeyIssuesofComputerSecurity MonitorSystem YUYang,YANGZe-hong,JIAPei-fa (DepartmentofComputerScience,TsinghuaUniversity,Beijing100084) 【Abstract】Asinformationsecurityischallengedbythedevelopmentofinformationtechnology,computermonitorsystemmaybeaneffective solutiontothisproblem.Amonitorprocessiscomposedofdatacollectionandanalysis,rule-baseddiscrimination,possibledangerinterceptionand wholeprocesslogrecording.Itskeyfeaturesarethemonitortechnologyforfile,textanduseroperations.Byexperimentsofcomparingand analyzing,aresearchismadeonthetheoryandapplicationofthekeyfeatures.Researchofthekeytechnologieswillimprovetheefficiencyand stabilityofthesystem. 【Keywords】computersecurity;filesmonitor;clipboardmonitor;useroperation 随着信息技术的发展，计算机系统和网络应用日益广泛，结合操作对象来判断操作目的和生成信息，以阻止有威胁的 随之而来的信息安全问题也日益受到重视。无论是政府部门操作以及信息的非法传播。 还是公司企业，都有系统内部的敏感数据，在工作中既要合下文将从文件、文本和用户操作3个方面，阐述实现监 理利用，又要可靠保护。调查表明，信息安全的主要威胁来控功能的技术原理和实现方法。 自系统内部。2002年，FBI和CSI对484家公司调查发现：2文件变更的监控技术研究 有超过70%的安全威胁来自企业内部；16%来自内部未授权文件变更监控的任务是对目录和文件的新建、修改、重 [1] 的存取；14%专利信息被窃取。计算机安全监控系统是一命名和删除等操作进行记录，保存发生变更的时间、位置、 种保障信息安全的有效机制，在信息安全保护、实时运行记类型等信息。监控可以针对整个文件系统，也可以针对指定 录和违规操作拦截等方面都有广泛的应用。的存储位置，这对于安全文件的集中管理和减少系统开销有 1计算机安全监控对象重要意义。 通常，计算机安全监控的对象可分成两类：信息及操作。实现文件变更监控的方法较多，按照实现机制的不同可 其中，信息主要是指系统的文件和文本信息，操作主要是指以分为3个层次：基于WindowsAPI的方法，基于拦截系统 用户人为产生的操作行为。监控系统要对文件信息的变更，调用的方法和基于中间层驱动程序的方法。 文本信息的复制传播以及人为操作进行记录、甄别，必要时2.1基于WindowsAPI的方法 要能阻止有威胁的信息传播。Windows应用程序接口(API)是Windows系统提供给用户 文件是信息的主要载体，在信息安全领域，对涉密文件进行系统编程和外设控制的函数库。其中，与实现文件变更 的保护至关重要，要求必须全面监控计算机的文件操作，对监控相关的API函数为ReadDirectoryChangesW。 文件的新建、修改、删除等操作进行准确的记录，甚至要依ReadDirectoryChangesW函数的主要特征是提供了同步 据判别规则进行