1、隨著網(wǎng)絡(luò)的普及和便攜式移動存儲設(shè)備的大量使用,加上計算機的開放性、易用性和標準化等特點,使計算機信息具有共享和易于擴散的特性,導致計算機信息始終面臨著泄露、竊取、篡改和破壞等巨大危險,雖然敏感部門內(nèi)網(wǎng)采用了理論上安全的物理隔離,但日常中U盤的濫用、違規(guī)上網(wǎng)、非法接入等安全事件時刻威脅著單位內(nèi)部機密信息的安全,并且由于各種原因一些重要文件會在多人間共享,增加了泄露數(shù)據(jù)的可能,使得保護終端上重要信息的安全成為當前關(guān)注的焦點和研究的熱點。

2、r>　　 為了解決終端重要信息的安全問題,一個有效的方案就是直接對信息的載體和源頭-終端的文檔進行訪問控制和加密。目前市場上有很多這樣的產(chǎn)品,但它們大多基于應(yīng)用層開發(fā),沒有與操作系統(tǒng)的文件系統(tǒng)集成在一起,用戶使用起來不太方便。隨著文件系統(tǒng)過濾驅(qū)動技術(shù)的成熟,使用文件系統(tǒng)過濾驅(qū)動技術(shù)對重要文件進行動態(tài)透明加密已成為解決文件安全保護的重要技術(shù)手段。
　　 使用文件系統(tǒng)過濾驅(qū)動實現(xiàn)對文檔動態(tài)透明加解密時,首先要解決動態(tài)透明加解密中區(qū)

3、分加密文件與非加密文件的問題。通常做法是將特定類型的文件放在一個固定的目錄下或者將文件的全路徑存放在另外一個文件里。這些做法的缺點是文件的移動、打包壓縮或者通過網(wǎng)絡(luò)發(fā)送就變得極其麻煩,文件標識很容易丟失,不利于實際應(yīng)用。本文采用改進后的文檔標識技術(shù),把文檔標識嵌入文檔本身,文檔與標識保存在一起,避免由于文件的移動而造成標識丟失的可能性,實現(xiàn)了在細粒度級別上對文件進行透明標識。并且在對文檔的管理上采用安全分等級管理,不僅文檔分安全等級,用

4、戶也分安全等級,不同等級的用戶對不同的文檔有不同的訪問權(quán)限。
　　 本論文首先介紹基于NT結(jié)構(gòu)的Windows系統(tǒng)的架構(gòu)及其的一些特殊機制,然后介紹了文件系統(tǒng)以及文件系統(tǒng)過濾驅(qū)動的相關(guān)知識,重點分析了文件系統(tǒng)訪問文檔的讀寫流程,接著分析了在新的Minifilter過濾驅(qū)動框架如何開發(fā)文件系統(tǒng)過濾驅(qū)動,詳細講述設(shè)計思路以及開發(fā)流程,最后并在此基礎(chǔ)上,采用了新的Minifilter過濾驅(qū)動框架以及文檔標識技術(shù),設(shè)計并實現(xiàn)了一個具有文

5、件安全保護能力的終端文檔安全保護系統(tǒng),既實現(xiàn)了對終端文檔的透明標識及動態(tài)透明加密安全保護,又具有對文檔訪問的策略控制以及分等級的管理,能有效地防止終端重要信息的泄漏,使文檔在終端如常使用,通過移動存儲設(shè)備拷貝出去或者通過網(wǎng)絡(luò)發(fā)送出去,在外不可用,可以有效地保護終端重要信息的安全。并且改進了文檔標識技術(shù),文檔密鑰嵌入文檔標識中,文檔標識不僅起到標識文檔的作用,也起到了簡化密鑰管理的作用。
　　 本文的創(chuàng)新點:
　　 (1)