光盘刻录的审计系统及方法与流程

本发明属于网络信息安全技术领域，具体涉及一种光盘刻录的审计系统及方法

背景技术：

近年来，随着信息技术的发展，存储介质作为信息的载体，在各行各业信息化应用中起到非常重要的作用，其安全性和可靠性越来越引起人们的重视。特别是移动存储介质因其通用性强、存储量大、体积小、易携带等特点而得到广泛使用。移动存储介质大量使用主要有两个原因，一是敏感信息不宜存放在计算机主机中，另一个是数据交换方便。移动存储设备使用的方便性也带来了数据拷贝不受限，违规交叉使用等新情况的出现，对设备安全、数据安全等保密管理带来了新的问题。

存储介质在涉密网中的安全尤为重要，在最近几年的重大的涉密事件中，大部分的涉密事件是事件当事人通过移动存储介质有意识或无意识泄密。涉密信息系统在最近的网络安全建设中，比较重视涉密终端的安全防护，譬如：规划并建设主机审计系统、计算机终端综合防护系统、移动u盘安全管理系统等，但却忽视了另外一种移动存储介质cd/dvd刻录的安全与cd/dvd介质的管理。

在涉密信息系统中，国家保密有关标准(bmb17)中，明确指出移动存储介质指的是软盘、光盘、磁带、usb盘等存储介质。随着计算机软件的发展，容量小、易损坏的软盘已经慢慢从系统中淡出，对于软盘的控制只需要控制软驱即可，而磁带机等设备一般比较贵重，也比较庞大，在涉密信息系统中，做好设备接入控制并从制度上管理磁带即可防止因磁带造成的信息泄密。因此，在涉密信息系统最容易造成信息泄密的介质为大容量、高品质、寿命长的存储产品，如光盘、u盘和移动硬盘。

在大部分涉密信息系统中，禁止用户使用带有usb接口的存储设备，但是为了涉密信息系统能方便地和非涉密信息系统进行信息交换，大部分涉密单位部署了中间机，承担信息交换的主要介质是cd/dvd盘片。实际上，中间机对刻录无任何安全保护措施，中间机可能会成为信息系统泄密的集中的主要源头。

现有的刻录审计系统，通常是禁止第三方刻录软件，而提供一种自己的刻录软件进行审计。这种方法禁止了第三方的刻录软件，导致第三方刻录软件的特色功能不能使用，而且改变了用户习惯，导致许多问题。

技术实现要素：

为了解决现有技术中服务器请求的负载均衡的技术问题，本发明提供web应用系统的负载均衡方法，具体通过以下技术方案予以实现：

一种光盘刻录的审计方法，可用于第三方刻录工具和自有的可信刻录工具进行数据刻录，包括以下步骤：

步骤1：用户使用刻录软件向刻录设备发送刻录请求；

步骤2：刻录请求发到操作系统的io管理器后由io管理器转发到光驱驱动；

步骤3：中间层光驱附着在光驱驱动之下，光驱驱动将刻录请求发送给中间层光驱，中间层光驱截获刻录请求后，解析刻录请求数据包的内容，依据scsi指令集规则，获取scsi指令中的控制字段，依据控制字段对数据进行加密和敏感词过滤处理，得到待刻录数据；

步骤4：中间层驱动根据策略，将处理后的待刻录数据发送给刻录机进行刻录。

其中，还包括，所述的中间层驱动同时将待刻录数据拷贝一份发送给客户端，客户端将待刻录数据发送给服务器，同时产生备份日志。

其中，所述的策略包括不监控、记录和禁止，具体的，当中间驱动层收到控制端下发的策略为不监控时，中间层驱动将待刻录数据发送刻录机进行刻录；当中间驱动层收到控制端下发的策略为记录时，中间层驱动将待刻录数据发送给刻录机进行刻录，且产生日志；当中间驱动层收到控制端下发的策略为禁止时，中间层驱动将待刻录数据禁掉，且产生日志。

其中，所述的方法还包括安全光盘读取，具体为：刻录机将加密后的待刻录数据刻录成安全光盘后，依据加密时候设置的加密密码和加密标准对安全光盘进行解密，生成光盘映像，当需要访问其中内容时，将光盘映像通过系统的虚拟光驱加载为虚拟光盘。

一种光盘刻录的审计系统，所述系统包括：

服务器，用于对系统版本升级、数据加密、敏感词过滤、数据备份、刻录策略的管理；

客户端，用于接收服务器下发的策略，并对刻录数据进行处理，并发送给刻录机；

刻录机，用于对待刻录数据进行刻录；

光驱驱动模块，用于将刻录请求封装为iso文件，并发送给客户端处理；

所述的客户端包括中间层驱动单元，用于截获光驱驱动模块发送给刻录机的刻录数据，并对刻录数据进行解析，依据客户端下发的策略，对刻录数据进行处理后，将刻录数据并发送给刻录机；

其中，所述的中间层驱动单元包括，

加密单元，用于对解析后的刻录数据进行加密处理，设有加密密码；

敏感词过滤单元，用于对解析后的刻录数据进行敏感词检测，检测到敏感词后并加密，在将加密后的刻录数据发送给刻录机刻录；

备份单元，用于对刻录数据进行备份，拷贝一份发送给客户端，客户端再将拷贝的数据发送给服务器。

以上技术方案与现有技术相比具有以下技术效果：

本发明提供的光盘刻录与审计方法，在光驱驱动下，增加了中间层驱动用来截获刻录请求，解析刻录请求数据包的内容，按照策略将待刻录数据发送给刻录机刻录，该方法可同时满足自身可信任的刻录工具，同时也满足第三方刻录工具的使用，使得用户根据自己的习惯选择刻录工具；同时本发明的方法还可以进行刻录数据的备份，产生备份日志，管理人员可以随时查看。

附图说明

图1是本发明的方法流程图；

图2是本发明的系统结构图。

具体实施方式

为使本发明的实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述。

一种光盘刻录的审计方法，可用于第三方刻录工具和自有的可信刻录工具进行数据刻录，如图1，包括以下步骤：

步骤1：用户使用刻录软件向刻录设备发送刻录请求；

步骤2：刻录请求发到操作系统的io管理器后由io管理器转发到光驱驱动；

步骤3：中间层光驱附着在光驱驱动之下，光驱驱动将刻录请求发送给中间层光驱，中间层光驱截获刻录请求后，解析刻录请求数据包的内容，依据scsi指令集规则，获取scsi指令中的控制字段，依据控制字段对数据进行加密和敏感词过滤处理，得到待刻录数据；

步骤4：中间层驱动根据策略，将处理后的待刻录数据发送给刻录机进行刻录。

本方法无需判断刻录软件是本系统自身的还是第三方的，通过增加中间驱动层来截获数据，并对数据包进行解析后，依照控制字段对刻录数据进行加密和敏感词过滤，加密算法选用aes256对刻录数据进行加密，同时通过敏感词过滤，当检测到敏感词时，根据策略判断是否允许刻录或是记录，最后由将刻录数据转发给刻录机，完成光盘刻录。

其中，中间层驱动同时将待刻录数据拷贝一份发送给客户端，客户端将待刻录数据发送给服务器，同时产生备份日志，这样方便用户随时查看刻录日志，且可以查看被刻录的内容。

其中，策略包括不监控、记录和禁止，具体的，当中间驱动层收到控制端下发的策略为不监控时，中间层驱动将待刻录数据发送刻录机进行刻录；当中间驱动层收到控制端下发的策略为记录时，中间层驱动将待刻录数据发送给刻录机进行刻录，且产生日志；当中间驱动层收到控制端下发的策略为禁止时，中间层驱动将待刻录数据禁掉，且产生日志。

其中，所述的方法还包括安全光盘读取，具体为：刻录机将加密后的待刻录数据刻录成安全光盘后，依据加密时候设置的加密密码和加密标准对安全光盘进行解密，生成光盘映像，当需要访问其中内容时，将光盘映像通过系统的虚拟光驱加载为虚拟光盘。

如图2，本发明提供一种光盘刻录的审计系统，该系统包括：

服务器，用于对系统版本升级、数据加密、敏感词过滤、数据备份、刻录策略的管理；

客户端，用于接收服务器下发的策略，并对刻录数据进行处理，并发送给刻录机；

刻录机，用于对待刻录数据进行刻录；

光驱驱动模块，用于将刻录请求封装为iso文件，并发送给客户端处理；

所述的客户端包括中间层驱动单元，用于截获光驱驱动模块发送给刻录机的刻录数据，并对刻录数据进行解析，依据客户端下发的策略，对刻录数据进行处理后，将刻录数据并发送给刻录机；

刻录软件发送的刻录请求经过光驱驱动后，被中间层驱动拦截，中间层驱动对刻录请求的数据进行解析后，依据客户端下发的策略，对刻录数据进行加密、敏感词过滤和备份操作后，将刻录数据转发给刻录机刻录，服务端用于向客户端下发各种管理和控制策略，同时备份的刻录数据和产生的日志也通过客户端发送给服务端保存，方便管理员随时查看，本系统对刻录软件没有限制，用户可以使用第三方刻录软件完成刻录。

其中，中间层驱动单元包括，加密单元，用于对解析后的刻录数据进行加密处理，设有加密密码；敏感词过滤单元，用于对解析后的刻录数据进行敏感词检测，检测到敏感词后并加密，在将加密后的刻录数据发送给刻录机刻录；备份单元，用于对刻录数据进行备份，拷贝一份发送给客户端，客户端再将拷贝的数据发送给服务器。