局域网内移动介质及其电子文件流转轨迹跟踪方法及系统的制作方法

局域网内移动介质及其电子文件流转轨迹跟踪方法及系统的制作方法
【专利摘要】本发明提供了一种局域网内移动介质及其电子文件流转轨迹跟踪方法及系统，该方法包括：S1：识别接入计算机的移动接入介质,获取移动接入介质的设备标识和当前计算机的信息；S2：捕获用户线程对所述移动接入介质中电子文件的操作请求，根据移动接入介质中电子文件的密级标识选取在所述密级标识对应的权限范围内的有效操作请求；S3：根据有效操作请求对移动接入介质中电子文件进行相应操作，并实时记录所述操作的具体信息；S4：结合地理信息系统GIS在局域网内建立动态电子文件流转轨迹跟踪模型，根据移动接入介质的设备标识在所述动态电子文件流转轨迹跟踪模型内进行移动介质及其电子文件流转轨迹跟踪，实现局域网内电子文件流转轨迹的可视化监控。
【专利说明】局域网内移动介质及其电子文件流转轨迹跟踪方法及系统

【技术领域】
[0001]本发明涉及电子信息【技术领域】，尤其涉及一种基于可视化工具GIS技术的局域网内移动介质及其电子文件流转轨迹跟踪方法及系统。

【背景技术】
[0002]近年来，信息安全问题成为人们关注的焦点，权威机构的调查结果显示:超过85%的安全威胁来自企业内部，而作为取代软盘的移动存储设备(如U盘、移动硬盘、移动光驱等)，因为使用灵活、方便等特点，在企业信息化的过程中迅速得到普及，同时也是涉密计算机信息交换的一种重要的移动介质。越来越多的敏感信息、秘密数据和档案资料被存储在移动介质中，给企业信息资源带来了相当大的安全隐患。
[0003]针对上述信息安全隐患，现有技术中也存在很多防护措施，如加密或者利用现有技术对重要电子文件的访问权限进行控制，这些都能有效的预防无限制使用带来的风险。但是，对重要电子文件加密或对其访问权限进行控制还是会出现信息泄露的情况，而且一旦泄露，该电子文件在什么时间，在哪台计算机进行了如复制、修改和粘贴等操作，这些信息都无法获取，也无法了解是否有非法人员或者程序对重要文件进行了越权操作，很显然文件加密并没有使问题得到根本的解决。如何能够实现移动介质及其电子文件的流转轨迹跟踪，实时记录对移动介质中重要文件操作的具体信息，如:重要电子文件的信息，被接入计算机的信息，移动介质接入的时间等，成为解决信息安全隐患的重要防护措施。


【发明内容】

[0004]为解决上述技术问题，本发明提供一种局域网内移动介质及其电子文件流转轨迹跟踪方法及系统，实时记录对移动介质中电子文件操作的具体信息，实现对移动介质及其电子文件流转轨迹的可视化跟踪。
[0005]本发明提供的一种局域网内移动介质及其电子文件流转轨迹跟踪方法及系统，包括:
[0006]S1:识别接入计算机的移动接入介质，获取移动接入介质的设备标识和当前计算机的信息；
[0007]S2:利用文件系统过滤驱动技术捕获用户线程对所述移动接入介质中电子文件的操作请求，根据移动接入介质中电子文件的密级标识选取在所述密级标识对应的权限范围内的有效操作请求；
[0008]S3:根据所述有效操作请求对所述移动接入介质中电子文件进行相应操作，并实时记录所述操作的具体信息；
[0009]S4:结合地理信息系统GIS在局域网内建立动态电子文件流转轨迹跟踪模型，根据移动接入介质的设备标识在所述动态电子文件流转轨迹跟踪模型内进行移动介质及其电子文件流转轨迹跟踪。
[0010]其中，该方法还包括:
[0011]按照预设的规则根据所述密级标识的等级设定不同等级的密级标识对应的操作权限。
[0012]其中，所述步骤SI具体包括:
[0013]实时检测是否有移动接入介质接入当前计算机；
[0014]对接入当前计算机的移动接入介质进行识别；
[0015]获取接入当前计算机的移动接入介质的设备标识和当前计算机在局域网内的物理地址、用户名以及系统时间。
[0016]其中，所述移动接入介质的设备标识包括:
[0017]设备所使用的USB协议版本号、设备类型、端点O的最大包大小、厂商ID、产品ID和设备版本号。
[0018]其中,在所述步骤S2之前还包括:
[0019]当用户线程发出操作请求时，调用相应的服务请求代表所述操作请求的发出者进行I/O请求；
[0020]构造用于描述所述I/O请求的输入/输出请求包IRP ;
[0021 ] 将所述输入/输出请求包传送给文件系统过滤驱动。
[0022]其中,所述步骤S2具体包括:
[0023]解析所述输入/输出请求包，获取用户线程对所述移动接入介质中电子文件的操作请求；
[0024]根据移动接入介质中电子文件的密级标识判断所述操作请求是否在所述密级标识对应的权限范围内；
[0025]若在，则所述输入/输出请求包为有效操作请求；
[0026]将所述有效操作请求对应的输入/输出请求包发送到文件系统驱动。
[0027]其中，当所述操作请求不在所述密级标识对应的权限范围内时,还包括:
[0028]对不在所述密级标识对应的权限范围内的操作请求进行记录。
[0029]其中，所述步骤S4具体包括:
[0030]获取所述局域网的空间信息和对应的属性信息；
[0031]根据所述空间信息和对应的属性信息利用地理信息系统GIS在局域网内建立动态电子文件流转轨迹跟踪模型；
[0032]根据移动接入介质的设备标识实时获取所述移动接入介质及其电子文件在所述动态电子文件流转轨迹跟踪模型中的物理位置并进行标记，实现移动介质及其电子文件流转轨迹跟踪。
[0033]本发明还提供了一种局域网内移动介质及其电子文件流转轨迹跟踪系统，该系统包括:
[0034]标识获取模块，用于识别接入计算机的移动接入介质，获取移动接入介质的设备标识和当前计算机的信息；
[0035]过滤模块，用于利用文件系统过滤驱动技术捕获用户线程对所述移动接入介质中电子文件的操作请求，根据移动接入介质中电子文件的密级标识选取在所述密级标识对应的权限范围内的有效操作请求；
[0036]操作记录模块，用于根据所述有效操作请求对所述移动接入介质中电子文件进行相应操作，并实时记录所述操作的具体信息；
[0037]流转轨迹跟踪模块，用于结合地理信息系统GIS在局域网内建立动态电子文件流转轨迹跟踪模型，根据移动接入介质的设备标识在所述动态电子文件流转轨迹跟踪模型内进行移动介质及其电子文件流转轨迹跟踪。
[0038]其中，该系统还包括:
[0039]权限设定模块，用于按照预设的规则根据所述密级标识的等级设定不同等级的密级标识对应的操作权限。
[0040](三)有益效果
[0041]本发明提供的一种局域网内移动介质及其电子文件流转轨迹跟踪方法及系统，基于移动介质接入控制策略，结合文件系统过滤驱动技术，对移动介质及其移动接入介质内部的重要电子文件的具体操作和流动轨迹进行实时记录，并结合GIS地图建立动态电子文件流转轨迹跟踪系统模型，实现局域网内电子文件流转轨迹的可视化监控。

【专利附图】

【附图说明】
[0042]通过参考附图会更加清楚的理解本发明的特征和优点，附图是示意性的而不应理解为对本发明进行任何限制，在附图中:
[0043]图1为本发明实施例一提供的一种局域网内移动介质及其电子文件流转轨迹跟踪方法的流程图；
[0044]图2为本发明实施例一提供的一种局域网内移动介质及其电子文件流转轨迹跟踪方法实际应用的运行效果示意图；
[0045]图3为本发明实施例二提供的一种局域网内移动介质及其电子文件流转轨迹跟踪系统的模块图。

【具体实施方式】
[0046]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0047]本发明利用移动介质接入控制、文件系统过滤驱动技术和电子文件物理位置审计及轨迹跟踪技术，结合可视化工具地理信息系统GIS (Geographic Informat1n System或Geo — Informat1nsystem)。一方面从安全方面,应用流转技术,能够对移动接入介质及其内部重要电子密级标识文件的具体操作和流动轨迹进行记录，如果发现某密级标识重要电子文件出现问题，我们能够根据记录的数据进行检查。另一方面实现了可视化，将获得的数据和记录，比如移动接入介质及其内部重要电子文件都接入了哪些计算机，以及时间，都通过GIS地图显示。通过上面两方面的结合实现对移动接入介质及其电子文件流转轨迹可视化跟踪。
[0048]地理信息系统GIS是一种特定的十分重要的空间信息系统。它是在计算机硬、软件系统支持下，对空间中的有关地理分布数据进行采集、储存、管理、运算、分析、显示和描述的技术系统。GIS具有强大的空间计算能力以及非常直观的图形化表现形式，已广泛应用于军事，公安，环保，市政规划，给我们的生活和工作带来极大便利。
[0049]图1为本发明实施例一提供的一种局域网内移动介质及其电子文件流转轨迹跟踪方法的流程图，如图1所示，该方法包括以下步骤:
[0050]S1:识别接入计算机的移动接入介质，获取移动接入介质的设备标识和当前计算机的信息；
[0051]S2:利用文件系统过滤驱动技术捕获用户线程对所述移动接入介质中电子文件的操作请求，根据移动接入介质中电子文件的密级标识选取在所述密级标识对应的权限范围内的有效操作请求；
[0052]S3:根据所述有效操作请求对所述移动接入介质中电子文件进行相应操作，并实时记录所述操作的具体信息；
[0053]S4:结合地理信息系统GIS在局域网内建立动态电子文件流转轨迹跟踪模型，根据移动接入介质的设备标识在所述动态电子文件流转轨迹跟踪模型内进行移动介质及其电子文件流转轨迹跟踪。
[0054]进一步地，该方法还包括:按照预设的规则根据所述密级标识的等级设定不同等级的密级标识对应的操作权限。
[0055]下面以U盘为例，对本发明本实施例中提出的一种局域网内移动介质及其电子文件流转轨迹跟踪方法进行详细的解释说明，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例，本发明同样适用于其他具有存储功能的移动设备。
[0056]在本发明实施例中，根据实际应用需求，随机选取几台计算机组成一个局域网，在U盘中存入不同秘密程度的电子文件，包括:无密级、秘密、机密和绝密等，在重要电子文件上做上密级标识，密级标识与电子文件不得分离，将U盘随机的接入选取的计算机。
[0057]进一步地，步骤SI具体包括:
[0058]实时检测是否有移动接入介质接入当前计算机；对接入当前计算机的移动接入介质进行识别；获取接入当前计算机的移动接入介质的设备标识和当前计算机在局域网内的物理地址、用户名以及系统时间。其中，所述移动接入介质的设备标识包括:设备所使用的USB协议版本号、设备类型、厂商ID、产品ID和设备版本号。
[0059]每一个USB设备只有唯一的设备描述符，设备描述符主要记录的信息有设备所使用的USB协议版本号、设备类型、厂商ID(VID)、产品ID(PID)、设备版本号等。计算机在检测到U盘插入后，对设备进行枚举，详细过程是先对设备进行复位，设备地址为0，计算机获取一个数据包的设备描述符，然后再对设备又一次复位，重新设置地址，再一次获取设备描述符，这一次获取全部的18字节的设备描述符。
[0060]本发明实施例中，采用移动介质接入控制策略对接入计算机的移动接入介质进行识别，具体操作原理是后台的应用程序检测到不同于电脑中普通硬盘的移动接入介质，并获取移动接入介质的设备标识，如设备所使用的USB协议版本号、设备类型、厂商ID、产品ID和设备版本号，还有被接入电脑的信息，如物理地址、电脑使用者、时间。
[0061]进一步地，在步骤S2之前还包括:当用户线程发出操作请求时，调用相应的服务请求代表所述操作请求的发出者进行I/O请求；构造用于描述所述I/O请求的输入/输出请求包IRP ;将所述输入/输出请求包传送给文件系统过滤驱动。
[0062]本发明实施例中，在选取的U盘中存入重要电子文件，若对其进行更改或其他操作，当发出此请求时，系统调用相应的服务请求去代表这个请求发出者来请求操作，这时，CPU转换成核心模式特权级，I/O管理器构造一个输入/输出请求包(I/O requestpackage, IRP)来描述这个I/O请求，并将输入/输出请求包IRP传送给文件系统过滤驱动。
[0063]进一步地，所述步骤S2具体包括:解析所述输入/输出请求包，获取用户线程对所述移动接入介质中电子文件的操作请求；根据移动接入介质中电子文件的密级标识判断所述操作请求是否在所述密级标识对应的权限范围内；若在，则所述输入/输出请求包为有效操作请求；将所述有效操作请求对应的输入/输出请求包发送到文件系统驱动。
[0064]本发明实施例中，文件系统过滤驱动接收到输入/输出请求包IRP后,对其进行解析获取用户线程对所述移动接入介质中电子文件的操作请求，针对移动接入介质内添加有密级标识的电子文件，利用文件系统过滤驱动技术，根据移动接入介质中电子文件的密级标识判断所述操作请求是否在所述密级标识对应的权限范围内，如果在，则将该操作请求对应的输入/输出请求包下传递给文件系统驱动、存储设备驱动做后续处理，低层驱动处理完毕后把结果返回给发送请求的应用进程。
[0065]其中，过滤驱动是一种内核模式驱动，它拦截对底层驱动设备对象的请求，它是可扩展的，更重要的是，无论当前新功能是否可用，它都能允许增加新功能，过滤驱动能够利用I/o请求的初始目标驱动提供服务还可以利用其他用户服务或者核心模式软件来提供新增加的功能。文件系统过滤驱动能够看到文件系统的所有请求，对指定文件、文件夹或者整个逻辑卷进行保护，文件系统过滤驱动收到IRP后进行相应的处理，如是否允许打开、读取、拷贝，粘贴，剪切，另存为等，捕获对文件的操作，并对其进行过滤，允许或者禁止，然后将IRP传给文件系统驱动，处理完毕后再返回给应用程序，这样就对重要电子文件的访问权限做出了控制，对移动接入存储介质的内容一目了然，清楚的了解它的动态，从而做到安全监控。此外，系统会根据重要文件密级标识的不同等级赋予不同的权限，若超出权限，会禁止操作，如对绝密文件进行剪切，该操作会被禁止。
[0066]进一步地，当所述操作请求不在所述密级标识对应的权限范围内时，还包括:对不在所述密级标识对应的权限范围内的操作请求进行记录。
[0067]进一步地，步骤S4具体包括:获取所述局域网的空间信息和对应的属性信息；根据所述空间信息和对应的属性信息利用地理信息系统GIS在局域网内建立动态电子文件流转轨迹跟踪模型；根据移动接入介质的设备标识实时获取所述移动接入介质及其电子文件在所述动态电子文件流转轨迹跟踪模型中的物理位置并进行标记，实现移动介质及其电子文件流转轨迹跟踪。
[0068]移动接入介质的设备标识符都是唯一的，通过对该设备标识符的跟踪，获取移动介质及其内部重要电子文件的物理位置以及流转轨迹。这样若某移动接入介质中重要文件出现问题，我们可以查询该文件所在移动接入介质的流转轨迹，记录该移动接入介质接入过哪些计算机，这样可以缩小解决问题的范围。
[0069]本发明实施例中，采用地理信息系统GIS地图，建立起动态电子文件流转轨迹跟踪系统模型，完成对局域网内电子文件流转的可视化，更直观的展现移动接入介质内电子文件的流动轨迹。
[0070]为了实现系统与地理信息系统GIS模块的结合，本研究采用ArcGIS系列产品完成地理信息环境的展现和地图数据的发布。运行后台应用程序，对于每个与U盘有过接入的计算机都会以带颜色的圆圈的形式显示在GIS地图上，地图可任意显示接受数据的数量以及移动接入介质每次与计算机接入的详细信息，形成运行效果示意图，如图2所示，对于图中显示的U盘信息，根据时间顺序列出，进而可以了解U盘及其内重要电子文件的流动轨迹。
[0071]图3为本发明实施例二提供的一种局域网内移动介质及其电子文件流转轨迹跟踪系统的模块图，如图3所示，该系统包括:
[0072]标识获取模块101，用于识别接入计算机的移动接入介质，获取移动接入介质的设备标识和当前计算机的信息；
[0073]过滤模块102，用于利用文件系统过滤驱动技术捕获用户线程对所述移动接入介质中电子文件的操作请求，根据移动接入介质中电子文件的密级标识选取在所述密级标识对应的权限范围内的有效操作请求；
[0074]操作记录模块103，用于根据所述有效操作请求对所述移动接入介质中电子文件进行相应操作，并实时记录所述操作的具体信息；
[0075]流转轨迹跟踪模块104，用于结合地理信息系统GIS在局域网内建立动态电子文件流转轨迹跟踪模型，根据移动接入介质的设备标识在所述动态电子文件流转轨迹跟踪模型内进行移动介质及其电子文件流转轨迹跟踪。
[0076]其中，该系统还包括:
[0077]权限设定模块，用于按照预设的规则根据所述密级标识的等级设定不同等级的密级标识对应的操作权限。
[0078]利用本发明提出的局域网内移动介质及其电子文件流转轨迹跟踪方法及系统，基于移动介质接入控制策略，结合文件系统过滤驱动技术，对移动介质和移动接入介质内部的重要电子文件的具体操作和流动轨迹进行实时记录，并结合GIS地图建立动态电子文件流转轨迹跟踪系统模型，实现局域网内电子文件流转轨迹的可视化监控。
[0079]通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是⑶-R0M，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
[0080]本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。
[0081]本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。
[0082]以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
【权利要求】
1.一种局域网内移动介质及其电子文件流转轨迹跟踪方法，其特征在于，所述方法包括: S1:识别接入计算机的移动接入介质，获取移动接入介质的设备标识和当前计算机的信息； 52:利用文件系统过滤驱动技术捕获用户线程对所述移动接入介质中电子文件的操作请求，根据移动接入介质中电子文件的密级标识选取在所述密级标识对应的权限范围内的有效操作请求； 53:根据所述有效操作请求对所述移动接入介质中电子文件进行相应操作，并实时记录所述操作的具体信息； S4:结合地理信息系统GIS在局域网内建立动态电子文件流转轨迹跟踪模型，根据移动接入介质的设备标识在所述动态电子文件流转轨迹跟踪模型内进行移动介质及其电子文件流转轨迹跟踪。
2.根据权利要求1所述的方法，其特征在于，所述方法还包括: 按照预设的规则根据所述密级标识的等级设定不同等级的密级标识对应的操作权限。
3.根据权利要求1所述的方法，其特征在于，所述步骤SI具体包括: 实时检测是否有移动接入介质接入当前计算机； 对接入当前计算机的移动接入介质进行识别； 获取接入当前计算机的移动接入介质的设备标识和当前计算机在局域网内的物理地址、用户名以及系统时间。
4.根据权利要求1所述的方法，其特征在于，所述移动接入介质的设备标识包括: 设备所使用的USB协议版本号、设备类型、厂商ID、产品ID和设备版本号。
5.根据权利要求1所述的方法，其特征在于，在所述步骤S2之前还包括: 当用户线程发出操作请求时，调用相应的服务请求代表所述操作请求的发出者进行I/O请求； 构造用于描述所述I/o请求的输入/输出请求包IRP ； 将所述输入/输出请求包传送给文件系统过滤驱动。
6.根据权利要求5所述的方法，其特征在于，所述步骤S2具体包括: 解析所述输入/输出请求包，获取用户线程对所述移动接入介质中电子文件的操作请求； 根据移动接入介质中电子文件的密级标识判断所述操作请求是否在所述密级标识对应的权限范围内； 若在，则所述输入/输出请求包为有效操作请求； 将所述有效操作请求对应的输入/输出请求包发送到文件系统驱动。
7.根据权利要求6所述的方法，其特征在于，当所述操作请求不在所述密级标识对应的权限范围内时，还包括: 对不在所述密级标识对应的权限范围内的操作请求进行记录。
8.根据权利要求1所述的方法，其特征在于，所述步骤S4具体包括: 获取所述局域网的空间信息和对应的属性信息； 根据所述空间信息和对应的属性信息利用地理信息系统GIS在局域网内建立动态电子文件流转轨迹跟踪模型； 根据移动接入介质的设备标识实时获取所述移动接入介质及其电子文件在所述动态电子文件流转轨迹跟踪模型中的物理位置并进行标记，实现移动介质及其电子文件流转轨迹跟踪。
9.一种局域网内移动介质及其电子文件流转轨迹跟踪系统，其特征在于，所述系统包括: 标识获取模块，用于识别接入计算机的移动接入介质，获取移动接入介质的设备标识和当前计算机的信息； 过滤模块，用于利用文件系统过滤驱动技术捕获用户线程对所述移动接入介质中电子文件的操作请求，根据移动接入介质中电子文件的密级标识选取在所述密级标识对应的权限范围内的有效操作请求； 操作记录模块，用于根据所述有效操作请求对所述移动接入介质中电子文件进行相应操作，并实时记录所述操作的具体信息； 流转轨迹跟踪模块，用于结合地理信息系统GIS在局域网内建立动态电子文件流转轨迹跟踪模型，根据移动接入介质的设备标识在所述动态电子文件流转轨迹跟踪模型内进行移动介质及其电子文件流转轨迹跟踪。
10.根据权利要求9所述的系统，其特征在于，所述系统还包括: 权限设定模块，用于按照预设的规则根据所述密级标识的等级设定不同等级的密级标识对应的操作权限。
【文档编号】G06F21/50GK104298930SQ201410471666
【公开日】2015年1月21日 申请日期:2014年9月16日 优先权日:2014年9月16日
【发明者】王思叶, 张珠君, 张艳芳, 罗元剑, 丁昶, 付晶晶 申请人:中国科学院信息工程研究所