金融自助設(shè)備安全訪問控制系統(tǒng)研究及設(shè)計

謝清鐘 陳雪梅

摘要：大部分銀行金融自助設(shè)備上并沒有安裝任何安全訪問控制系統(tǒng)，任何人只要能夠接觸到金融自助設(shè)備，就有可能通過機(jī)器外部接口（如USB接口等）盜取金融自助設(shè)備上的敏感信息和重要數(shù)據(jù)。同時，在日常的金融自助設(shè)備維護(hù)和軟件升級過程中，金融自助設(shè)備通過維護(hù)人員的U盤感染病毒的情況也時有發(fā)生。因此，如何有效控制非法程序在金融自助設(shè)備上運行和限制USB類存儲設(shè)備在金融自助設(shè)備上的使用，成為金融自助設(shè)備安全防控的一個焦點，金融自助設(shè)備安全訪問控制系統(tǒng)的應(yīng)用也成為現(xiàn)實的迫切需要。

關(guān)鍵詞：安全訪問控制;進(jìn)程控制;USB控制;數(shù)字簽名;程序白名單

中圖分類號：TP29 ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A

隨著金融自助設(shè)備大批量的部署和應(yīng)用，金融自助設(shè)備在給人們生活上帶來便利的同時，自身也面臨日趨嚴(yán)重的安全威脅。如何應(yīng)對嚴(yán)峻的安全形勢，為金融自助設(shè)備提供一個安全可靠的運行環(huán)境，越來越成為各大銀行及金融自助設(shè)備廠商關(guān)注的焦點。

目前，銀行使用的金融自助設(shè)備對于機(jī)器上的敏感信息文件和數(shù)據(jù)的特別保護(hù)還是相對比較薄弱，從而導(dǎo)致信息安全方面存在隱患。另外，根據(jù)以往經(jīng)驗，在使用環(huán)境下，金融自助設(shè)備主機(jī)感染病毒的主要途徑為U盤感染，因此如果能夠控制好U盤類設(shè)備在金融自助設(shè)備主機(jī)上的接入并限制未知程序運行，對提高金融自助設(shè)備主機(jī)整體的安全防御能力將有很大幫助。

1 ? 主要實現(xiàn)的目標(biāo)

根據(jù)敏感數(shù)據(jù)文件列表實時保護(hù)金融自助設(shè)備上重要數(shù)據(jù)不被非法竊取和拷貝，建立進(jìn)程啟動準(zhǔn)入機(jī)制，限制未知程序的啟動和運行，從而設(shè)立起一道阻止病毒和惡意程序運行的屏障;控制USB端口存儲設(shè)備的接入，通過對USB類存儲設(shè)備進(jìn)行不同授權(quán)來限制接入的USB類存儲設(shè)備可進(jìn)行的操作，以此來保障本機(jī)數(shù)據(jù)不會通過未授權(quán)存儲設(shè)備拷走，同時，在一定程度上堵住了通過USB類存儲設(shè)備進(jìn)行傳播的病毒的擴(kuò)散。

安全訪問控制系統(tǒng)在操作系統(tǒng)應(yīng)用層之下實施上述操作，對于正常合法的程序而言，安全訪問控制系統(tǒng)并不會干擾它們的正常運行;對于金融自助設(shè)備維護(hù)人員而言，只要他們在金融自助設(shè)備上插入具有相應(yīng)權(quán)限的UKey，則他們在金融自助設(shè)備上的操作并不會受到限制，仿佛安全訪問控制系統(tǒng)根本就不存在一般。

安全訪問控制系統(tǒng)的所有行為都建立在各功能的規(guī)則描述文件之上，這些行為規(guī)則可依據(jù)實際情況和特定需求通過配置工具進(jìn)行修改，且修改后的規(guī)則會立即生效。

（1）根據(jù)文件監(jiān)控規(guī)則，實時保護(hù)敏感數(shù)據(jù)文件列表中的文件不被施行允許操作類型之外的操作。

（2）根據(jù)進(jìn)程白名單，實時阻止白名單之外程序的啟動和運行。

（3）根據(jù)接入的UKey具有的權(quán)限，確定能對USB存儲設(shè)備進(jìn)行何種操作。

（4）文件監(jiān)控規(guī)則、進(jìn)程白名單制作和USB類存儲設(shè)備訪問規(guī)則有對應(yīng)工具方便相關(guān)設(shè)置。

（5）可通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程UKey申請。

（6）對UKey的授權(quán)和使用存在一個中心端進(jìn)行統(tǒng)一管理。

2 ? 系統(tǒng)整體設(shè)計

安全訪問控制系統(tǒng)在整體上分為本地安全訪問控制系統(tǒng)和遠(yuǎn)程管理中心兩部分。

本地安全訪問控制系統(tǒng)主要完成文件訪問控制、進(jìn)程啟動限制和USB端口接入控制3個核心功能。這些核心功能都是在操作系統(tǒng)的驅(qū)動層面實現(xiàn)的，因此能夠在操作系統(tǒng)進(jìn)行實際操作前阻斷不合法的操作。本地安全訪問控制系統(tǒng)獨立運行在金融自助設(shè)備上，如果存在遠(yuǎn)程管理中心且需要與管理中心交互數(shù)據(jù)時，本地安全訪問控制系統(tǒng)可以通過網(wǎng)絡(luò)接收遠(yuǎn)程管理中心發(fā)來的指令和數(shù)據(jù)并向遠(yuǎn)程管理中心回饋本地的監(jiān)控信息。

遠(yuǎn)程管理中心運行于遠(yuǎn)程服務(wù)器上，其主要負(fù)責(zé)接收被監(jiān)管的金融自助設(shè)備主機(jī)發(fā)來的監(jiān)控信息并記錄到中心數(shù)據(jù)庫。同時管理人員可透過管理中心Web端查看金融自助設(shè)備主機(jī)文件操作記錄、進(jìn)程啟動記錄和USB端口使用記錄。另外，管理人員也可以通過遠(yuǎn)程UKey制作頁面在遠(yuǎn)程將插在金融自助設(shè)備主機(jī)上的U盤制作成UKey供維護(hù)人員使用。

3 ? 本地安全訪問控制系統(tǒng)架構(gòu)

本地安全訪問控制系統(tǒng)由文件訪問控制模塊、進(jìn)程啟動限制模塊、USB端口接入控制模塊、日志模塊、網(wǎng)絡(luò)通信模塊和數(shù)字授權(quán)文件燒入模塊組成。

其中文件訪問控制模塊、進(jìn)程啟動限制模塊和USB端口接入控制模塊是本地安全訪問控制系統(tǒng)的核心模塊組，其實現(xiàn)了安全訪問控制系統(tǒng)三大核心功能。這3個模塊都分為驅(qū)動層和應(yīng)用層兩個層面。驅(qū)動層主要通過驅(qū)動過濾方式實現(xiàn)對非法操作的阻截;應(yīng)用層主要以圖形界面的方式供安全訪問控制系統(tǒng)本地管理人員使用，方便管理人員進(jìn)行各監(jiān)控參數(shù)的修改和調(diào)整。這3個驅(qū)動模塊彼此獨立運行，不存在直接的依賴關(guān)系。

文件訪問控制。對文件可執(zhí)行的操作有3種：讀、拷貝和刪除。這3種操作屬性可以復(fù)選。上述3種操作只針對人工操作，即由人通過鼠標(biāo)或鍵盤對文件進(jìn)行上述操作時會觸發(fā)監(jiān)控機(jī)制。文件訪問控制流程如下：①用戶通過鼠標(biāo)或鍵盤對被監(jiān)控文件執(zhí)行了打開、拷貝或刪除操作。②文件訪問過濾驅(qū)動在接收到操作請求后先查看該文件的訪問規(guī)則[1]，然后檢查當(dāng)前機(jī)器上是否插入了UKey且UKey是否授權(quán)了與操作對應(yīng)的權(quán)限。③如果用戶請求的操作是規(guī)則允許的操作，則請求通過;如果用戶請求的操作不是規(guī)則允許的操作，且主機(jī)上也沒有插入UKey，則請求被拒絕;如果用戶請求的操作不是規(guī)則允許的操作，但UKey授權(quán)了該操作的權(quán)限，則請求通過;如果用戶請求的操作不是規(guī)則允許的操作，且UKey也沒有授權(quán)該操作的權(quán)限，則請求被拒絕。

進(jìn)程啟動限制。主要通過進(jìn)程白名單實現(xiàn)，凡不在進(jìn)程白名單中的程序都將被禁止啟動和運行。進(jìn)程啟動限制流程如下：①安全訪問控制系統(tǒng)接收到某程序要求啟動運行的請求。②檢查該程序是否在白名單中。③如果該程序在白名單中，則請求通過;如果該程序不在白名單中，且主機(jī)上也沒有插入UKey，則請求被拒絕;如果該程序不在白名單中，但主機(jī)有插入UKey，且UKey具有啟動未知程序的權(quán)限[2]，則安全訪問控制系統(tǒng)會彈出啟動未知程序詢問對話框，若用戶選擇“允許”，則程序啟動請求通過，若用戶選擇“禁止”，則請求被拒絕;如果該程序不在白名單中，且主機(jī)有插入UKey，但UKey不具有啟動未知程序的權(quán)限，則請求被拒絕。

USB端口接入控制?？蓪SB存儲設(shè)備接入主機(jī)后的操作進(jìn)行控制，USB操作有3種：只讀、讀寫和禁用。這3種操作屬性為單選。USB端口接入控制流程如下：①安全訪問控制系統(tǒng)接收到USB操作請求。②檢查主機(jī)是否有插入UKey。③如果主機(jī)沒有插入UKey，則根據(jù)本地USB接入規(guī)則檢查請求的合法性;如果請求的操作符合本地USB接入規(guī)則，則請求通過;如果請求的操作不符合本地USB接入規(guī)則或當(dāng)前規(guī)則為禁止接入，則請求被拒絕。④如果主機(jī)有插入UKey，則根據(jù)UKey中的USB接入規(guī)則檢查請求的合法性;如果UKey中沒有USB接入規(guī)則信息，則操作請求根據(jù)本地規(guī)則進(jìn)行處理;如果UKey中有USB接入規(guī)則信息，且操作請求符合該規(guī)則，則請求通過;如果UKey中有USB接入規(guī)則信息，但操作請求不符合該規(guī)則，則請求被拒絕。

日志模塊主要負(fù)責(zé)接收3個核心模塊發(fā)來的操作記錄信息并將這些信息記錄到本地日志數(shù)據(jù)庫中。日志系統(tǒng)由日志信息接收模塊、日志讀寫模塊、日志查看工具和日志數(shù)據(jù)庫4部分組成。日志讀寫模塊負(fù)責(zé)往日志數(shù)據(jù)庫中寫入日志信息及從日志數(shù)據(jù)庫中讀出日志信息;日志查看工具以可視化的圖形界面供本地管理人員查看以往的日志信息;日志數(shù)據(jù)庫主要用來存儲日志信息[3]。

網(wǎng)絡(luò)通信模塊主要負(fù)責(zé)本地安全訪問控制系統(tǒng)與遠(yuǎn)程管理中心間的數(shù)據(jù)通信和聯(lián)系，將本地的監(jiān)控信息上傳到中心服務(wù)器上同時接收遠(yuǎn)程中心發(fā)來的指令。

數(shù)字授權(quán)文件燒入模塊主要負(fù)責(zé)將收到的UKey數(shù)字授權(quán)文件燒入到U盤中。

4 ? 遠(yuǎn)程管理中心架構(gòu)

遠(yuǎn)程管理中心由數(shù)據(jù)處理服務(wù)器和Web Service服務(wù)器兩部分組成。

數(shù)據(jù)處理服務(wù)器主要負(fù)責(zé)接收兩類數(shù)據(jù)，第一類數(shù)據(jù)為金融自助設(shè)備主機(jī)上的本地安全訪問控制系統(tǒng)發(fā)來的監(jiān)控記錄信息;第二類數(shù)據(jù)為Web Service發(fā)來的XML數(shù)據(jù)。如果接收到的是監(jiān)控記錄信息，則數(shù)據(jù)處理服務(wù)器會將這些信息進(jìn)行格式化處理并存入中心數(shù)據(jù)庫;如果接收到的是Web Service發(fā)來的XML數(shù)據(jù)，則數(shù)據(jù)處理服務(wù)器根據(jù)對XML數(shù)據(jù)解析的結(jié)果確定接下來是往指定的金融自助設(shè)備發(fā)送指令還是僅將解析后的數(shù)據(jù)存入數(shù)據(jù)庫或者兩種操作都要進(jìn)行。Web Service服務(wù)器主要負(fù)責(zé)對Web端的請求進(jìn)行響應(yīng)，根據(jù)Web端的請求查詢數(shù)據(jù)庫或向數(shù)據(jù)處理服務(wù)器發(fā)送指令數(shù)據(jù)。

5 ? 總結(jié)

從操縱系統(tǒng)內(nèi)核層面對金融自助設(shè)備的軟件環(huán)境進(jìn)行安全加固，根據(jù)實際情況對監(jiān)控策略進(jìn)行靈活的設(shè)定，使得安全訪問控制系統(tǒng)更具適應(yīng)性和靈活性，從而極大地提升了金融自助設(shè)備軟件環(huán)境的安全性，實現(xiàn)了對金融自助設(shè)備安全訪問控制。

參考文獻(xiàn)

[1] 陳麗萍.工作流系統(tǒng)訪問控制模型的研究[D].大連：大連海事大學(xué)，2008.

[2] 林琳.虛擬企業(yè)工作流管理系統(tǒng)訪問控制的研究與實現(xiàn)[D].鎮(zhèn)江：江蘇大學(xué)，2005.

[3] 陳雪梅，謝清鐘.基于模糊PID數(shù)字控制算法的液壓啟動控制伺服系統(tǒng)的研究[J].中國電子科學(xué)研究院學(xué)報，2018，13（6）：732-738.