CN106650497A - 对计算机文件实施密级管理的方法 - Google Patents

Abstract

本发明涉及一种对计算机文件实施密级管理的方法，步骤如下：1.1)将计算机文件按重要性和保密程度划分密级；1.2)制订针对各种密级的限制措施，以规范其访问方式；1.3)将文件密级当成文件的一种扩充属性，通过操作系统提供的setxattr()/getxattr()系统调用或NtSetEaFile()/NtGetEaFile()系统调用设置文件密级；1.4)将预定对于各种文件密级的访问限制措施记录在一个数据库或文件中，运行时装载到机器的内存中；1.5)当某个进程要求访问一个文件时，在操作系统检查其访问权限认为可以放行之后还要检查该文件的密级，根据其密级和1.4)步骤所述的限制措施实施预定的文件访问限制。本发明有益的效果是：提供一种为计算机文件设置密级并按文件密级和访问权限处理文件访问的方法，使企业的信息安全得到加强和提升。

Description

对计算机文件实施密级管理的方法

技术领域

本发明涉及文件密级管理领域，主要是一种对计算机文件实施密级管理的方法。

背景技术

企业的信息安全是长期存在的问题，近年来随着数据量的增大和移动终端设备的兴起而变得尤为突出。就企业而言，包括数据在内的信息主要是以计算机文件形式存放的，所以信息安全的问题最终还是归结到文件内容的安全问题。

早在几十年前，Unix操作系统中就有了对与计算机文件的“访问权限控制”，把计算机用户分成“文件主(文件的创建者)”、“文件主的同组人”、“(其他)用户”三类，把对于文件的“访问”分成读、写、执行三种基本操作，并为每个具体的文件或目录(由文件主)规定好每一类用户对其可以实行哪几种操作、称为对此文件的“访问权限”。有关各类用户访问权限的信息“如影随形”地跟随着每个具体的文件，存储在每个文件的“目录项”中，不能被轻易改变。而具体的用户属于哪一类，则是在“登录”到系统的时候就(根据用户名和口令密码)决定了的。后来，又有了更为精细的“访问控制名单(Access Control List)”即ACL的机制，可以为具体的文件详列个人对此文件的访问权限。

但是，迄今为止的访问权限控制都是基于个人身份的，权限也只有是否可读和是否可写(可执行对于数据并无意义)，而并不涉及访问的方式和地点，这与实体的文件档案管理制度是脱节的。在实体的文档管理中，文件是分密级的；即使对于同一个人，对于不同密级的文件的阅读和处理方式也是不一样的。不涉密的文件也许可以带回家去，涉密的文件可能只允许在办公室阅读并且读后要上交，密级再高的文件也许得要到机要室去阅读。相比之下，计算机文件的访问权限控制在这方面却是空白，这不能不说是个缺陷，事实上也对企业的信息安全造成不利影响。

在企业环境中，重要一点的文件一般都在文件服务器上，但是即使对于一个拥有访问权限的人也有很多不同的情况，包括：这个人是在那一台机器上，是PC？笔记本电脑？还是手机？你这是在办公室还是在哪里？是在企业内部还是从外网进来？如果出差在外的话,用的是自己的机器还是别人的机器？文件的重要性不同,处理和读写的方式就应该不同。

发明内容

针对现有技术的缺陷，本发明提供了一种对计算机文件实施密级管理的方法，其显著的特点是对计算机文件设置不同的密级，按密级实施不同的文件访问和使用方式，以提高企业的信息安全水平。

本发明实现目的所采用的技术方案如下：这种对计算机文件实施密级管理的方法，

1.1)将计算机文件按重要性和保密程度划分密级；

1.2)制订针对各种密级的限制措施，以规范其访问方式；

1.3)将文件密级当成文件的一种扩充属性，通过操作系统提供的setxattr()/getxattr()系统调用或NtSetEaFile()/NtGetEaFile()系统调用设置文件密级；

1.4)将预定对于各种文件密级的访问限制措施记录在一个数据库或文件中，运行时装载到机器的内存中；

1.5)当某个进程要求访问一个文件时，在操作系统检查其访问权限认为可以放行之后还要检查该文件的密级，根据其密级和1.4)步骤所述的限制措施实施预定的文件访问限制。

作为优选，当某个进程要求访问一个文件时，由用户空间的DLL检查该文件的密级，并按1.4)步骤所述的记录实施针对该密级的限制措施。

作为优选，在发生违反保密规定的访问企图作为可能的入侵记录在运行日志中。

作为优选，运用在文件服务器上，使文件服务器成为有密级管理的文件服务器。

作为优选，要为计算机文件设置密级，首先要划分密级，密级的高低以整数值表示，0级为最低表示不涉密，没有设置密级的文件视同0级。1级以上逐级提升，上不封顶，但是一般只要有4级就够了。

决定了具体文件的密级之后，就得把表示密级的信息与之绑定，并提供设置密级和查询密级的方法，能实现这种绑定的方法不止一种，最简单的就是建一个数据库，将各个文件的文件名和密级存储在数据库中。但是这样的方法有很多缺点，首先文件名是可以更改的，还可以把一个文件复制成另一个文件，而且不同目录中还可能有同名的文件。所以，最好是能将密级作为文件的一种属性，让密级如影随身跟着文件走，也不受文件复制的影响。本发明利用Linux和Windows两个操作系统都提供的文件扩充属性机制，使密级成为为文件的一项属性，并提供类似于Linux上用来设置文件访问权限的chmod那样的工具软件，例如可以叫chsec，在这软件中通过Linux的setxattr()/getxattr()系统调用或Windows的NtSetEaFile()/NtGetEaFile()系统调用设置文件密级。文件的扩充属性是一个“属性名：属性值”形式的键值(Key-Value)对，我们以属性名security表示密级，那么“security:3”就表示密级为3。这样，文件主(和超级用户)就可以用这工具设置和改变文件的密级，其它人也可以用这个工具查看文件密级(如果对目标文件有读访问权)。

设置密级的目的不仅是要让人知道具体文件的密级，更重要的是让系统根据文件密级和访问权限自动采取不同的限制措施，使文件内容不容易外流或被窃。把一个文件设置成某个密级，这个文件就带上了为此密级所设置的种种限制。这些措施主要用在企业的文件服务器上。目前本发明所采取的限制措施有：

●加密，规定凡是这个密级的文件必须加密存储。对于带有加密限制的文件，在读写文件时需要调用一个函数crypto_restriction()。

●地点限制，规定凡是这个密级的文件只能在哪几个网段或者那几个IP地址的机器上阅读或修改。对于带有地点限制的文件，在打开和读写文件时需要调用一个函数location_restriction()。

·机器限制，规定凡是这个密级的文件只能在哪几台机器(包括手机)上阅读或修改。对于带有机器限制的文件，在打开和读写文件时需要调用一个函数machine_restriction()。

●时段限制，规定凡是这个密级的文件只能在哪些时间段中阅读或修改。对于带有时段限制的文件，在打开和读写文件时需要调用一个函数time_restriction()。

●修改限制，规定对修改文件的(除访问权限以外的)附加限制，即使访问权限控制已经允许用户对一目标文件有写入权，并满足对于地点、机器、时间的限制，仍需采取一定的措施，例如记入运行日志。对于带有修改限制的文件，在打开和读写文件时需要调用一个函数change_restriction()。

●方式限制，规定对文件的内容只能以图像方式阅读，而不得以文字方式下载到客户端的机器上。对于带有方式限制的文件，在打开和读写文件时需要调用一个函数method_restriction()。

●特殊限制，规定凡是这个密级的文件需要特殊处理，使系统调用一个插件，在插件中可以进行种种特殊的处理。例如，出差在外的人通过公网或VPN回来访问文件，就可以加上特殊处理，以验证其身份和环境。对于带有特殊限制的文件，在打开和读写文件时需要调用一个函数special_restriction()。

具体的限制措施不属于本发明的内容，限制项的多少和目的也不属于本发明的内容，这些措施可以很复杂，也可以相对简单，可以有很多，也可以只有一项两项，本发明只是为实现这些措施所需的机制和框架提供一个方法。

为实施预定的种种限制，需要开发一些具体的子程序(或称函数)，例如为实施关于使用地点的限制就要开发一个location_restriction()；为实施关于使用时间的限制，就要开发一个time_restriction()；余可类推。从限制项的名称或编码代号到具体子程序入口的映射可以硬编码在过滤模块的程序中，也可以放在数据库中。这些子程序本身的算法和流程不属于本发明的内容。

对于不同密级的限制措施规定，可以存储在一个小数据库中，例如Windows上的注册表或Linux上目录/etc下面的某个文件中。系统可以在初始化时将这些信息缓冲存储在内存中。

有了按密级的规定，以及为实施这些限制而开发的种种子程序之后，就可以让系统在用户打开文件、读文件、映射文件、写文件时自动加以检验和限制。为此，本发明所述方法在操作系统内核中的一些特定文件操作流程中插入过滤驱动模块，在下列两个流程中加入过滤，拦截不符合保密规定的文件读写操作不让其完成：

●文件系统的设备驱动中实现文件内容读写的流程中。在这个流程中插入过滤模块之后，用户读写文件内容的操作请求就要先经过这过滤模块的处理，然后才进入原有的常规设备驱动。过滤模块实施对各个密级所加的各项限制，如果不符合条件就不让读写，使程序中止并失败返回。

●内核中实现将文件内容映射到内存的流程中，在Linux内核中就是系统调用mmap()，在Windows内核中就是NtCreateSection()。这使得应用软件要将文件内容映射到内存中时先要经过这过滤模块的检查，如果不符合条件就不让映射，使程序中止并失败返回。

预定的种种限制仅施加于文件内容的读写，因为需要保护的就是文件内容，只要把文件内容的读写卡住，不符合保密规定就不让读、更不让写，就解决问题了。至于打开文件，其实并不涉及文件内容，加不加限制都可以。

过滤模块中进行的处理包括(但不限于)：

●通过getxattr()、NtQueryEaFile()获取目标文件的密级，如果没有设置密级就视同0级予以放行。

●根据目标文件的密级，在数据库中查旬，获取这个密级的限制规定。

●逐项扫描检查这个密级的限制规定，根据具体限制项的名称或编码代号调用相应的子程序。例如，假定文件的密级是3，而密级3的限制措施中有一项是地点限制，并且地点参数为192.168.1.2,就把这参数传给location_restrict(),那个子程序会检查客户端所在的网段，如果不在这个网段中就加以拒绝。

●在各个限制项所对应的子程序中，还可以有一些附加的操作，例如记入运行日志、报警等。

如果顺利通过了对于这个密级的所有限制条件的检验，就通过了基于文件密级的过滤保护，可以继续完成对文件的操作。否则就说明所作的文件访问违反企业预定的保密规定，因此已被终止。

本发明所述的上述方法，可以用在单机上，但主要还是用于企业环境的服务器上。

本发明有益的效果是：提供一种为计算机文件设置密级并按文件密级和访问权限处理文件访问的方法，使企业的信息安全得到加强和提升。

附图说明

图1是赖以实现文件密级管理的打开文件流程示意图。

图2是实施密级管理后的读写文件操作流程示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步说明：

附图1是赖以实现文件密级管理的打开文件流程。不管叫什么名称，操作系统总会提供一个用来打开文件的系统调用，在Linux中这就是sys_open()(在Linux源代码中的函数名是宏定义SYSCALL_DEFINE3(open,…),其主体是do_sys_open()(详见毛德操、胡希明：《Linux内核源代码情景分析》)。在Windows中则是NtCreateFile(),其主体是IoCreateFile()(详见毛德操：《Windows内核情景分析》)。这二者流程大同小异。以Linux为例，系统调用sys_open()的主体do_sys_open()的流程与图一所示大体相同，里面也有对于用户访问权限的检验，但是却没有对文件密级的检验和应对处理，为实施本发明所述文件密级管理的方法，需要在这个流程中插入两个操作，一个是读入目标文件的密级，另一个是调用根据目标文件密级实施管理的子程序apply_restrictions()，这个子程序根据存储在数据库中的密级管理策略施加对于打开具体目标文件的限制。其中最严苛的限制就是禁止打开，此时apply_restrictions()返回-1，表示应予拒绝。如果apply_restrictions()返回大于或等于0，则表示打开文件的操作仍可继续，但在apply_restrictions()中已经采取了必要的措施。从程序结构看，对于apply_restrictions()的调用相当于在原有的常规打开文件操作流程中增设了一个“挂钩”，让我们可以在外挂的apply_restrictions()中实施密级管理。在图一所示的流程中，调用apply_restrictions()之前还有一步获取目标文件密级的操作，在具体实现的时候这一步操作完全可以搬到apply_restrictions()内部，那样对源代码的唯一改变就是增加了一个挂钩，而为实施本发明所述方法的程序则都在这个外挂的函数中。

附图2是实施密级管理后的读写文件操作流程。本来，既然在打开文件时已经通过了文件密级的检查，后面读写文件的时候就不用再检查了。但是考虑到移动终端对文件服务器的访问，有可能在打开文件的时候终端处于被认为是安全的网段中，但过一会儿要读写文件时却移动到了被认为不安全的网段中，所以在读写的时候还要再检查一下。

本发明所述的方法，可以用在单机上，但主要还是用于企业环境的服务器上。目前用于文件服务器的操作系统基本就是Windows和Linux两种；由于Linux系开源软件，并且在企业应用环境中的使用越来越多，实际上已经超过Windows的装机量，所以这里以Linux为主说明本发明的实施方式。至于Windows，由于微软不公开其源代码，实际上只有微软自己才能实施本发明所述的方法，但是这并不影响本发明作为一种方法、即对文件实施密级管理以提高企业信息安全性的实质。

●实施例一：在Linux操作系统上的实施

本发明所述方法的实施分三个方面。第一是为文件设置密级；第二是设置对各个文件密级的访问限制；第三是对文件访问实施基于其文件密级的限制。下面分别加以说明。

1.为文件设置密级

除设置文件的属主、访问权限等属性的chown、chmod命令外，Linux还允许用户为文件设置一些自定义的属性，称为扩充属性，并为此提供了系统调用setxattr()和getxattr()，还提供了相应的命令setfattr和getfattr，前者的格式为：

setfattr[-h]-n name[-v value]pathname...

这里“-n name”表示属性的名称，“-v value”表示属性的值，pathname就是文件名或路径名。我们把密级当作文件的一项名为classify的扩充属性，所以使用时可以通过例如命令行“setfattr–n classify–v 1 file1”将文件file1的密级设置成1级。但是对用户更友善的方法是写个名为classify的脚本，使用户可以通过命令行“classify 1 file1”达到同样的目的。这样的脚本对于本专业的程序员而言是很简单的事，无需详述。

2.设置对各个文件密级的访问限制策略

所谓对各个文件密级的访问限制策略，是一组规则，说明对于各种密级的文件应该加上哪一些访问限制。例如：

1级：

地点限制(192.168.3.0/24,192.168.31.0/24)

时间限制(8:30–18:30)

2机：

地点限制(192.168.3.0/24)

机器限制(MAC地址)

加密限制(密钥)

显然，这样的规则完全可以存放在数据库中，但也可以作为一个字符文件存放。事实上，Linux操作系统中/etc目录下的文件大多都是这种性质的文件。所以，把这些规则编写在一个文件中，放在/etc目录下面就可以。这些规则是全局性的，并不属于某个具体的用户或文件，用户把具体的文件设置成某个级别，就适用为这个级别设置的规则。

这些规则需要在系统初始化以后装载到内存中，另外每当对限制规则有所修改时也需要重新加以装载。为此可以在/proc目录下增设一个节点classify，使得每当对节点/proc/classify进行一次读出就调用一个函数load_and_parse_classify_policy()。这一步操作的实施对于有能力进行系统软件开发的工程师而言并不困难，如有不清楚可以参考毛德操、胡希明合著的《Linux内核源代码情景分析》一书第五章中“特殊文件系统/proc”一节。

函数load_and_parse_classify_policy()则读入这规则文件加以解析，为每个密级都形成一个相关数据结构的List，例如“地点限制：192.168.3.0/24”、“地点限制：192.168.31.0/24”、“时间限制：8:30–18:30”。这对于一般软件工程师都不是难事，对于有能力进行系统软件开发的工程师更无困难。

3.基于文件密级的访问限制的实施

按上述1、2两步设置好文件的密级，再为各种密级设置好限制策略即各种限制规则并将其装载到内存中，就可以实施这些规则了，其中最主要的就是在打开文件时的规则实施。附图一和上面的附图说明阐明了实施密级管理后的打开文件流程，其中为实施密级管理而作的修改的核心是调用一个函数apply_restrictions()，此前的读取目标文件密级也可以并入这个函数。作为实施密级管理的核心，下面是这个函数的伪代码：

如前所述，本发明只是为建立密级管理的框架和机制提供方法，具体有哪一些限制，以及具体的函数如time_restriction()之类的实现则不在本发明所述方法的范畴中。但是，为说明问题和帮助理解，这里以地点限制为例再作些说明。

地点限制的意图和作用是这样：有些文件的阅读，即使对于具有保密资质的人也要有所限制，例如只能在某个网段中才可以，或者某几台机器上才可以。例如可以通过路由器把所有高管们的办公室都连在同一个网段中，然后限制他们只能在自己办公室中才能阅读某个存储在文件服务器上的保密文件。这时候，就可以将此文件设置成某个密级，并为这个密级规定地点限制，例如地点限制(192.168.3.0/24)。于是，当客户端连接到服务器并请求打开这个目标文件时，文件服务器上的密级管理机制就会通过apply_restrictions()而调用location_restriction()。而在location_restriction()中，则可以检查连接对方的IP地址是否在所规定的这个网段中，如果不是就加以拒绝，尽管这个用户确实具有访问这个文件的权限。

注意以上所述在内核中实施的方案只是一个实施例，可以用来实施本发明所述对计算机文件实行密级管理这种方法的方案绝非仅此一种。例如在文件服务器上也可以不是在内核中实施限制，而是在内核外面加上一个过滤层，然后在过滤层中加以实施。这种实施细节的不同并不影响本发明所述划分和设置文件密级并规定相应限制措施，然后在访问文件特别是打开文件时实施种种限制措施的实质。

同样，对于Windows或别的操作系统，其文件系统的实现多少有些不同，所涉及的函数名更是毫不相同，但是它们的逻辑和实质是相同的，所以这也并不影响本发明对计算机文件划分和设置密级，并按限制策略实施访问限制的实质。

注意本发明的效果只是在一定程度上提高了企业内部的信息安全，在信息安全领域没有一种方法可以一劳永逸地解决问题，也没有一种方法单独就可以解决问题。所以，每一种能够使信息安全有所提高的方法和措施都是有意义有价值的，实际使用中则应该综合使用各种有益的方法和措施。

Claims (4)

1.一种对计算机文件实施密级管理的方法，其特征是：

1.1)将计算机文件按重要性和保密程度划分密级；

1.2)制订针对各种密级的限制措施，以规范其访问方式；

1.3)将文件密级当成文件的一种扩充属性，通过操作系统提供的setxattr()/getxattr()系统调用或NtSetEaFile()/NtGetEaFile()系统调用设置文件密级；

1.4)将预定对于各种文件密级的访问限制措施记录在一个数据库或文件中，运行时装载到机器的内存中；

1.5)当某个进程要求访问一个文件时，在操作系统检查其访问权限认为可以放行之后还要检查该文件的密级，根据其密级和1.4)步骤所述的限制措施实施预定的文件访问限制。

2.根据权利要求1所述的对计算机文件实施密级管理的方法，其特征是：当某个进程要求访问一个文件时，由用户空间的DLL检查该文件的密级，并按1.4)步骤所述的记录实施针对该密级的限制措施。

3.根据权利要求1所述的对计算机文件实施密级管理的方法，其特征是：在发生违反保密规定的访问企图作为可能的入侵记录在运行日志中。

4.根据权利要求1所述的对计算机文件实施密级管理的方法，其特征是：运用在文件服务器上，使文件服务器成为有密级管理的文件服务器。