基于文件过滤驱动的移动存储介质读写控制

移动存储介质管理制度

移动存储介质管理制度 为进一步加强深圳市德信诚经济咨询有限公司保密移动存储介质的管理，确保秘密安全，根据《中华人民共和国保守国家秘密法》等法律法规，结合公司实际，制定本管理制度。 本制度所称移动存储介质，是指用于存储企业秘密信息的硬盘、软盘、U盘、光盘、磁带、存储卡等存储介质。 一、本单位移动存储设备要进行编号，不得借于他人使用，若需借于他人的，必须征得单位领导同意，并进行借还时间、借用人、审批人等详细登记。 二、新购计算机、移动存储等设备，要先进行保密标识和登记，再发放使用。 三、涉密移动存储介质不得在高于其标识密级的涉密设备上使用；禁止在非涉密设备上使用。 四、使用光盘备份的保密数据要登记编号，分类存放。 五、非本单位的移动存储设备一律不得和涉密计算机连接。 六、单位的涉密移动存储设备处理办法如下： 移动储存介质按涉密级别可以份为机密级、秘密级等。机密级、秘密级信息应存储在对应密级的移动存储介质内，其中高密级的移动存储介质可存储低密级信息。 涉密移动存储介质只能在本单位涉密计算机和涉密信息系统内使用，高密级的存储介质不得在低等密级系统中使用；严禁在与互联网连接的计算机和个人计算机上使用；严禁借给外单位使用。 涉密移动存储介质在单位内部部门之间相互借用或复制时，秘密级的由涉密移动存储介质管理部门主要负责人批准，机密级的须经单位主管领导批准，对借用或复制介质的密级、编号和使用的内容要履行严格的登记手续。 涉密移动存储介质只能在本单位办公场所使用，确因工作需要带出办公场所的，秘密级的经本部门主管领导批准，机密级的须经本单位主管领导批准，并履行相关手续和采取严格的保密措施。 机关工作人员严禁将个人具有存储功能的电磁存储介质和电子设备带入核心和重要涉密场所。涉密移动存储介质的保存必须选择安全保密的场所和部位，存放在保密设备里。 各部门每半年要对涉密移动存储介质进行一次清查、核对；工作人员离职前必须将所保管、使用的涉密移动存储介质全部退回。

安全移动存储介质管理办法

神州数码公司安全移动存储介质管理办法 第一章总则 第一条为加强神州数码公司（以下简称“公司”）安全移动存储介质配发、使用和销毁的全过程管理，确保公司计算机内网信息与外部信息交换过程中的信息安全，依据国 第八条各单位按规定确定配发范围，经审核批准配发和使用安全移动存储介质。 第九条安全移动存储介质由各单位信息管理部门（以下简称管理部门）负责统一购置、配发和管理。 第十条根据工作需要，各单位确定购置安全移动存储介质的数量及类型。

第十一条安全移动存储介质使用前应由管理部门统一标识、策略制定、编号，并登记备案。 第十二条安全移动存储介质的申请、注册、变更、清退应填写《神州数码公司安全移动存储介质管理业务申请单》（附件1），经使用部门负责人审核后，统一由管理部门办理相关手续。 公司安全移动存储介质核对表》（附件2）。 第四章维修及销毁 第二十条安全移动存储介质的维修工作由管理部门专业技术人员负责。 第二十一条安全移动存储介质需作数据恢复的，应由各单位计算机专业技术人员进行操作;必须送外部作数据恢复的，应由管理部门负责人审核同意后，到具有保密资质的单

位进行数据恢复，须填写《神州数码公司安全移动存储介质维修单》（附件3）。 第二十二条安全移动存储介质在报废前，应由使用部门进行信息清除处理。因介质损坏无法进行信息清除时，由使用部门负责人签署意见后，交管理部门销毁。 第二十三条如安全移动存储介质不慎遗失，当事人应立即报本部门负责人，及时采取有效措施，防止信息泄密，如有泄密由当事人负全部责任，同时应报管理部门进行登记备案。 第二十九条本办法自印发之日起施行。 附件1 神州数码公司安全移动存储介质管理业务申请单 表格编号：

Windows文件系统过滤驱动在防病毒方面的应用

Windows文件系统过滤驱动在防病毒方面的应用 发表时间：2009-10-1 刘伟胡平来源：万方数据 关键字：文件系统过滤驱动防病毒病毒特征码信息安全 信息化应用调查我要找茬在线投稿加入收藏发表评论好文推荐打印文本 在操作系统内核层，对用户模式应用程序请求读写的磁盘数据进行病毒扫描。介绍文件系统过滤驱动的工作原理，利用文件系统过滤驱动，捕获用户应用程序发往目标文件系统驱动的磁盘操作请求，进而获得这些操作请求的处理权，论述防病毒的工作原理，利用文件扫描程序扫描文件系统过滤驱动程序截获的文件数据，并与特征码库中的病毒特征码进行匹配。若匹配成功，则通知用户模式应用程序进行处理；否则，不做处理，防止从磁盘读取病毒文件或将病毒文件写入磁盘。 0 引言 近几年计算机病毒也正以惊人地速度蔓延，对计算机及其网络系统的安全构成严重威胁。本文提出利用文件系统过滤驱动，捕获用户应用程序向磁盘写入或读出的文件数据，对其进行扫描，并与病毒特征码库中的病毒特征码匹配，以判断是否是病毒文件或染毒文件：根据扫描结果确定是否为病毒文件或染毒文件，以及是否与用户模式应用程序进行通信。文件系统过滤驱动运行于操作系统内核，其安全性得到操作系统的保证，安全性较高。 1 文件系统过滤驱动原理 文件系统过滤驱动是针对文件系统而言的，属于内核模式程序，运行于操作系统的内核模式，仅能附着到目标文件系统驱动的上层。文件系统驱动是存储管理子系统的一个组件，为用户提供多种手段，将信息存储到永久介质(如磁盘、磁带等)，或从永久介质获取信息。图1显示了文件系统过滤驱动和文件系统驱动与用户应用程序之间的服务关系，应用程序对磁盘发出的操作请求，首先到达 I／O子系统管理器。在进行读写磁盘数据的时候，缓存管理器会保存最近的磁盘存取记录，所以在接收到应用程序读写磁盘的操作请求后，I／O子系统管理器会先检查所访问的数据是否保存在缓存中，若缓存中有要访问的数据，I／O子系统管理器会构造Fast I／O请求包，从缓存中直接存取数据；如果所需数据不在缓存中，I／O子系统管理器会构造相应的IRP，然后发往文件系统驱动，同时缓存管理器会保存相应的记录。因此，文件系统过滤驱动程序有两组接口处理由I／O子系统管理器发送来的用户模式应用程序操作请求：一组是普通的处理IRP的分发函数；另一组是FastIo调函数；编写这两组函数也是文件系统过滤驱动的主要任务之一。 图1文件过滤系统原理 2 文件系统过滤驱动关键部分实现过程 虽然文件系统过滤驱动有FastIo回调函数和IRP分发函数两组接口处理I／O请求；但是，只有IRP请求是从磁盘读取数据；因此，只要捕获与读写请求相应的IRP请求，就可获得对读写数据的处理。读写IRP请求分别是IRP_MJ_READ和IRP_MJ_WRITE请求；只有将文

移动存储介质保密管理制度

区政协办公室 移动存储介质保密管理制度 （一）本制度所称的计算机外存储器，是指可移动的计算机信息存储器，包括计算机的软盘、U盘、光盘等。 （二）处理秘密事项的计算机外存储器，必须定密。其定密的法定程序与纸介质的秘密文件资料定密方法相同。其密级按所存储信息的最高密级确定标志。 （三）涉密信息原则上不存储在计算机硬盘上。存储于外存储器上重要的涉密信息必须进行备份，备份盘与正式盘同样定密同等管理。 （四）存储秘密信息的外存储器，应在显眼位置贴上或标明“绝密”、“机密”、“秘密”等相应密级的记号，并标明“严禁拷贝”字样，按相应的密级文件加强管理。 （五）存储过秘密信息的外存储器，不得降低密级使用，不得与存储普通信息的外存储器混用。 （六）新启用存储涉密信息的外存储器或使用外来外存储器，必须进行安全检查和杀病毒处理。 （七）涉密的外存储器应统一登记编号，由单位保密员统一管理，平时应放在电脑密码文件柜内，不得随意乱放。

（八）重要的涉密信息存储采用磁盘信息加密技术。磁盘信息加密技术可分为文件名加密、目录加密、程序加密、数据库加密和整盘加密等，具体应用可视磁盘信息的保密强度要求而定。 （九）涉密的外存储器原则上不得外借，确需借阅某些文件、资料时，应经主要领导批准，办理登记手续。外借使用专用的外借盘，外借盘要标明“严禁拷贝”字样，借阅的文件、资料内容由负责保管的保密员拷贝到外借盘上。归还的外借盘除办理归还手续外，还要及时清除盘内的文件、资料，并对磁盘进行杀病毒处理。 （十）涉密磁盘信息清除采用交流消磁法。可使用国家有关部门研制的磁盘消磁设备消磁，以防涉密信息泄漏。 （十一）涉密的外存储器销毁要经主要领导批准，并进行注销登记，可采用软盘、光盘粉碎机碾碎或敲烂后丢进焚化炉熔化。如果本单位没有条件进行处理，应集中交到保密工作部门进行处理。 （十二）对违反保密制度，丢失外存储器造成泄密的，将依照保密法规定追究有关人员的责任。

安全移动存储介质管理办法(

附件 河南省电力公司 安全移动存储介质管理办法 （试行） 第一章总则 第一条为加强河南省电力公司（以下简称“公司”）安全移动存储介质配发、使用和销毁的全过程管理，确保公司计算机内网信息与外部信息交换过程中的信息安全，依据国家和公司相关规定，制定本办法。 第二条本办法适用于公司系统各单位（以下简称“各单位”）工作人员、借调及聘用人员(以下简称“工作人员”)。 第三条安全移动存储介质是指通过专用注册工具对普通的移动存储介质（主要为移动硬盘、U盘）内数据经过高强度算法加密，并根据安全控制策略的需要进行数据区划分，使其具有较高安全性能的移动存储介质。 第四条安全移动存储介质的管理，遵循“统一购置、统一标识、统一备案、跟踪管理”的原则，严格控制发放范围。 第五条公司保密委员会(保密领导小组)对各单位安全移动存储介质的使用负有指导、监督、检查等管理职责。 —3—

第六条各单位应当指定专人负责移动存储介质日常管理和运行维护工作。 第七条涉及国家秘密信息的交换、保存、处理按国家有关法律、法规和制度执行。 第二章配发 第八条各单位按规定确定配发范围，经审核批准配发和使用安全移动存储介质。 第九条安全移动存储介质由各单位信息管理部门（以下简称管理部门）负责统一购置、配发和管理。 第十条根据工作需要，各单位确定购置安全移动存储介质的数量及类型。 第十一条安全移动存储介质使用前应由管理部门统一标识、策略制定、编号，并登记备案。 第十二条安全移动存储介质的申请、注册、变更、清退应填写《河南省电力公司安全移动存储介质管理业务申请单》（附件1），经使用部门负责人审核后，统一由管理部门办理相关手续。 第三章使用 第十三条安全移动存储介质应当用于存储工作信息,不得用于其他用途。涉及公司企业秘密的信息必须存放在保密区，不得使用普通存储介质存储涉及公司企业秘密的信息。 —4—

文件过滤驱动加载过程

文件过滤驱动学习笔记(二) 1.概述 刚学习文件系统过滤时只是做一些简单的应用也没有深究其中的细节；说起来对文件系统过滤也只是一知半解惭愧的很。后与人讨论发现很多细节自己很模糊；比如其中涉及的驱动对象之间的区别、卷设备加载对文件过滤驱动的影响等。自己还是需要仔细研究一下，最近查了一些官方及前辈们的资料似乎有些理解在此记录下来做个笔记。 2.相关对象说明 在文件过滤驱动学习中会遇到几种设备对象总是混淆。最近硬着头皮查阅DDK才有些理解。 2.1.存储设备(Storage Device) 存储设备可以理解为一个磁盘、一个CD；它可以物理的也可以是逻辑的，它上边可以有一个或多个卷设备对象。大多数存储设备是一个PnP设备，它们由PnP管理器加载。存储设备表现为PnP设备树（PnP Device Tree）上的一个节。注意：文件系统驱动和文件系统过滤驱动都不是PnP设备驱动。 2.2.存储卷（Storage Volume） 存储卷是一个存储设备如固定磁盘，软盘，CD盘，格式化后存储的目录与文件。一个很的大卷可以被分成一个或多个逻辑卷；每一个卷都会被格式化成指定的一种格式，如NTFS，FA T等。它通常是一个物理设备对像（PDO）。它与文件系统卷对象是不同的。2.3.文件系统卷设备对象（File System VDO） 一个存储卷被文件系统加载时就会产生一个文件系统卷设备对像（File System VDO）；它总是与指定的逻辑或物理设备相联结（这里我理解应该是说它总是代表了一种数据存储及组织格式，也就是我们常说的FA T和NTFS）。文件系统过滤驱动就是要附加到这种设备对象上过滤读写相关的操作。DDK上说文件系统卷设备对象是不需要命名的，因为给它命名会带来安全隐患；这点没有太理解还需要再查阅一些资料。 2.4.文件系统控制设备对象（File System CDO ） 文件系统控制设备对象是一个文件系统的入口，它不是单个的卷并且它是存储在全局文件系统队列里的。一个文件系统驱动在入口创建一个或多个CDO，例如FastFat就创建两个CDO。一个是针对固定媒体一个针对可移动媒体。CDFS只创建一个因为它只有一个移动媒体。文件系统控制设备对象是文件系统过滤驱动要过滤的另一个重要对象，因为在卷加载时会发一个消息给文件系统驱动，需要知道有新的卷加载安装就需要对这个设备对象进行过滤。这个对象的作用我理解为是用来管理文件系统卷设备对象的。 3.加载过程 3.1.OS启动时的加载 3.1.1.OS的加载过程中的文件系统

浅谈文件系统过滤驱动

浅谈文件系统过滤驱动讲稿 大家好： 今天我们一起来认识一下文件系统过滤驱动（File System Filter Driver），当今信息化建设日益推进，电子化办公日趋流行，文件的安全性已成为信息安全领域的重要课题之一。目前解决这个问题的主要技术手段有两种： 一是利用应用层HOOK（钩子）技术。 主要是对windows提供的文件操作函数（API）及由文件操作所触发的windows消息进行HOOK，经过适当的处理达到预期目的。 二是开发文件系统过滤驱动程序。 在内核中间层过滤I/O管理派发的I/O请求包IRP（I/O Request Package）。 做简单介绍后，我就从文件系统过滤驱动的定义、原理、应用和前景四个方面开始今天的主题。 谈到文件系统过滤驱动，不得不谈谈文件系统驱动。文件系统驱动是存储管理子系统的一个重要组成部分，它向用户提供在磁盘或光盘等非易失性媒介上信息的存储、转发，同时和存储管理器、高速缓冲管理器紧密结合，不但保证了应用程序可以准确地提取数据文件的内容，而且提高了访问效率。直观点：由截图可知，我们平时用的SD卡、U盘等是FAT、FAT32格式，它们所对应的文件系统驱动则是fastfat.sys、exfat.sys等，硬盘则是NTFS格式，所对应的文件系统驱动是ntfs.sys 它们到底怎么工作的呢？用户进程对磁盘上文件的创建、打开、读、写等操作由WIN 32子系统调用相应的服务来代表该进程发出请求操作。I/O管理器接收到上层传来的I/O请求，应用程序对磁盘发出的操作请求，首先到达 I／O子系统管理器。在进行读写磁盘数据的时候，缓存管理器会保存最近的磁盘存取记录，所以在接收到应用程序读写磁盘的操作请求后，I／O子系统管理器会先检查所访问的数据是否保存在缓存中，若缓存中有要访问的数据，I／O子系统管理器会构造Fast I／O请求包，从缓存中直接存取数据；如果所需数据不在缓存中，I／O子系统管理器会构造相应的IRP(I/O Request Package)，然后发往文件系统驱动，同时缓存管理器会保存相应的记录。因此，文件系统过滤驱动程序有两组接口处理由I ／O子系统管理器发送来的用户模式应用程序操作请求：一组是普通的处理IRP的分发函数；另一组是FastIo调函数；通过构造输入输出请求包IRP来描述这个请求，然后向下传递给文件系统驱动、存储设备驱动做后续处理，低层驱动处理完毕后把结果依次向上返回，最后经过I/O管理器，由WIN 32子系统把结果返回给发出请求的应用进程，整个对文件的操作请求执行完毕。 Windows NT 的I/O 管理器是可扩展结构，支持分层驱动模型，这样按照我们的需求开发具有某种功

介质安全管理制度资料

介质安全管理制度 1总述 通过加强对存储涉密信息电脑与移动存储介质（包括U盘、移动硬盘、光盘、软盘等）的安全保密管理，增强使用人的防范意识，防止因使用电脑与移动存储介质不当造成泄密。依据相关法律法规和各级关于计算机信息安全保密的文件精神，结合我司实际，特制定本规定。 2 适用范围 本制度适用于我司所有相关信息管理人员。 3 建立介质安全管理制度 3.1 介质的使用、维护和销毁规定 1)公司内网中禁止使用移动存储介质。 2)特殊情况需要使用移动存储必须由信息中心对存储介质进 行杀毒，并负责信息的复制，对于涉密信息，必须由部门领导签字确认，由信息中心负责复制相关内容。 3)存储过涉密信息的移动存储介质，不得降低密级使用，不 得与存储普通信息的移动存储介质混用；新启用存储涉密信息的移动存储介质或使用移动存储介质，必须进行安全检查和查

杀病毒处理。 4)本部门内使用的介质只限于本部门的人员使用，并只能在 本部门的电脑上使用。 5)涉密信息禁止外界或拷贝到本部门以外的电脑。 6)对涉密电脑和存储介质应登记备案，定期核查，确认使用 人和责任人。实行专机专用，定点存放。未经批准的无关人员不得对此电脑进行操作。 7)外来人员如因工作需要借用电脑或存储介质，则必须格式 化系统和存储介质。归还时也必须格式化系统和存储介质。 8)对淘汰和报废的电脑和存储介质，应清除设备上所有的数 据。 3.2 介质应存放在安全的环境中，做到防磁、防火、防潮、防止损坏。对脱机存放的各类介质（包括信息资产和软件资产的介质）由专人负责进行检查、控制和保护，以防止被盗、背会、被修改以及信息的非法泄露。 3.3 对涉密电脑和存储介质的使用、维修、外界和保管应进行登记，便于查询、 3.4 外来人员使用涉密数据，应经过信息安全小组审批。 3.5 外来人员进入本中心涉密区域应把随身的存储介质或是可

安全移动存储介质管理办法

安全移动存储介质 管理办法

附件 河南省电力公司 安全移动存储介质管理办法 （试行） 第一章总则 第一条为加强河南省电力公司（以下简称“公司”）安全移动存储介质配发、使用和销毁的全过程管理，确保公司计算机内网信息与外部信息交换过程中的信息安全，依据国家和公司相关规定，制定本办法。 第二条本办法适用于公司系统各单位（以下简称“各单位”）工作人员、借调及聘用人员(以下简称“工作人员”)。 第三条安全移动存储介质是指经过专用注册工具对普通的移动存储介质（主要为移动硬盘、U盘）内数据经过高强度算法加密，并根据安全控制策略的需要进行数据区划分，使其具有较高安全性能的移动存储介质。 第四条安全移动存储介质的管理，遵循“统一购置、统一标识、统一备案、跟踪管理”的原则，严格控制发放范围。 3

第五条公司保密委员会(保密领导小组)对各单位安全移动存储介质的使用负有指导、监督、检查等管理职责。 第六条各单位应当指定专人负责移动存储介质日常管理和运行维护工作。 第七条涉及国家秘密信息的交换、保存、处理按国家有关法律、法规和制度执行。 第二章配发 第八条各单位按规定确定配发范围，经审核批准配发和使用安全移动存储介质。 第九条安全移动存储介质由各单位信息管理部门（以下简称管理部门）负责统一购置、配发和管理。 第十条根据工作需要，各单位确定购置安全移动存储介质的数量及类型。 第十一条安全移动存储介质使用前应由管理部门统一标识、策略制定、编号，并登记备案。 第十二条安全移动存储介质的申请、注册、变更、清退应填写《河南省电力公司安全移动存储介质管理业务申请单》（附件1），经使用部门负责人审核后，统一由管理部门办理相关手续。 第三章使用 4

文件过滤的一点总结

文件系统驱动 文件系统驱动主要生成两类设备：文件系统控制设备，文件系统的卷设备 文件系统控制设备：主要任务是修改整个驱动的内部配置 文件系统的卷设备：一个卷对应一个逻辑盘 发送给控制设备的请求（IRP），一般是文件系统控制IRP（主功能号为IRP_MJ_FILE_SYSTEM_CONTROL）；发送给卷设备的IRP一般则是文件操作IRP。过滤的目标最终是为了得到文件操作的IRP，但是控制设备的IRP，一般用来捕获卷设备的生成信息，所以我们要先绑定文件系统的控制设备，达到绑定文件系统的卷设备的目的~~ (1)生成自己的一个控制设备,当然必须给控制设备指定名称 (2)设置普通分发函数 (3)设置快速IO分发函数 (4)编写一个文件系统变动回调函数，在其中绑定刚激活的文件系统控制设备(动态绑定) (5)使用IoRegisterFsRegistrationChange调用注册这个回调函数 文件系统控制设备的绑定 过滤设备扩展 typedef struct _SFILTER_DEVICE_EXTENSION { ULONG TypeFlag; // // 绑定的文件系统设备（真实设备） // PDEVICE_OBJECT AttachedToDeviceObject; // // 与文件系统设备相关的真实设备（磁盘），这个在绑定时使用 // // PDEVICE_OBJECT StorageStackDeviceObject; // // // 如果绑定了一个卷，那么这是物理磁盘卷名；否则这是绑定的控制设备名 // //

UNICODE_STRING DeviceName; // // 用来保存名字字符串的缓冲区 // WCHAR DeviceNameBuffer[MAX_DEVNAME_LENGTH]; // // The extension used by other user. // UCHAR UserExtension[1]; } SFILTER_DEVICE_EXTENSION, *PSFILTER_DEVICE_EXTENSION; 绑定文件系统控制设备 SfAttachToFileSystemDevice 文件系统控制设备已经被绑定，绑定的目的是为了获得发送给文件系统控制设备的文件系统控制请求。这些IRP的主功能号是IRP_MJ_FILE_SYSTEM_CONTROL，每个主功能号下一般都有次功能号 从这些控制IRP中能得到足够的信息，确定一个卷被挂载，这样才有可能去绑定文件系统的卷设备 当有卷被挂载或解挂载时，SfFsControl()就会被系统回调。现在的任务是在这个函数中获得卷设备的相关信息并对它实行绑定，才能捕获各种针对文件的IRP，从而获得临控各种文件操作的能力 主功能号为IRP_MJ_FILE_SYSTEM_CONTROL时，有以下几个不同次功能号的IRP要处理(1)次功能号为IRP_MN_MOUNT_VOLUME，说明一个卷被挂载，应该调用SfFsControlMountVolume来绑定一个卷 (2)次功能号为IRP_MN_LOAD_FILE_SYSTEM，这个请求比较特殊，它一般出现在文件系统识别器要求加载真正的文件系统时，此时说明前面绑定了一个文件系统识别器，现在应该在这里开始绑定真正的文件系统控制设备了 (3)次功能号为IRP_MN_USER_FS_REQUEST，此时可以从irpSp->Parameters.FileSystemControl.FsControlCode得到一个控制码。当控制码为FSCTL_DISMOUNT_VOLUME时，说明是一个磁盘在解挂载 (1)生成一个控制设备。当然此前必须给控制设备指定名称 (2)设置分发函数和快速IO分发函数 (3)编写一个文件系统变动回调函数，在其中绑定刚激活的文件系统的控制设备，并注册这

计算机和移动存储介质保密管理制度

计算机和移动存储介质保密管理制度 涉密计算机保密管理规定 为进一步加强涉密计算机保密管理工作，杜绝泄密隐患，确保国家秘密的安全，根据《中华人民共和国保守国家秘密法》，制定本制度。 一、涉密计算机使用前必须进行登记，将计算机品牌、型号、标识、硬盘序列号、使用系统等登记在册，并贴上涉密标志。 二、涉密计算机必须与非涉密网络实行物理隔离，禁止以任何形式接入任何非涉密网络。 三、涉密计算机信息系统严禁使用有无线功能的计算机、无线互联功能的网络设备、无线键盘和鼠标等无线外围设备。 四、涉密计算机必须使用涉密移动存储介质。严禁非涉密存储介质在涉密计算机上使用。 五、涉密计算机因工作确需使用互联网上下载的资料及其它非涉密计算机上的资料，必须将需要的资料刻入光盘，然后将该光盘用于涉密计算机上，在刻写光盘前必须做好安全处理，确保无病毒和木马程序。 六、涉密计算机内存储的国家秘密信息输出时，接受输出信息的载体均要按照相关涉密载体的保密管理规定进行管理。涉密计算机使用的具有打印、复印、传真等多功能的一体机不得与普通通信线路连接。 七、涉密计算机的维修、更换、报废应严格按照“涉密计算机的维修、更换、报废保密管理制度”执行。 八、涉密计算机必须安装在符合防雷、防静电、防辐射、防盗等安全要求的机房内使用。 九、工作人员不按规定管理和使用涉密计算机造成泄密事件的，将依法追究责任，构成犯罪的将移送司法机关处理。

非涉密计算机保密管理规定 一、非涉密计算机使用前必须进行登记，将计算机品牌、型号、标识、硬盘序列号、使用系统等登记在册。 二、非涉密计算机必须与涉密网络实行物理隔离，禁止以任何形式接入涉密网络。 三、严禁在非涉密计算机上存储、处理、传输、输出涉密信息和内部信息。 四、严禁在非涉密计算机上使用涉密移动存储介质。 五、工作人员不按规定管理和使用非涉密计算机造成泄密事件的，将依法追究责任，构成犯罪的将移送司法机关处理。 涉密计算机维修、更换、报废管理制度 一、涉密计算机维修一般在本单位内进行，并全程有工作人员陪同。维修时必须完善登记审批手续，要标明维修时间、批准人、经手人、维修单位及维修人员。 二、涉密计算机需要外出维修时必须进行脱密处理，将涉密设备卸下后方可送修，同时完善登记审批手续，要标明维修原因、送修时间、送修地点、返回时间、批准人、经手人。 三、涉密计算机的更换、报废必须进行脱密处理。需更换和报废的涉密计算机及涉密存储介质应经单位主管领导审批同意，销毁涉密计算机必须到县国家保密局指定的单位和地点销毁。 移动存储介质保密管理制度 一、移动存储介质使用前必须进行登记、编号并标明密级；涉密移动存储介质统一存放，非涉密移动存储介质由使用人保管。 二、涉密移动存储介质的使用必须进行记载。 三、因工作需要携带涉密移动存储介质外出，必须经领导审批方可带出，并在规定时间内返还。

企业涉密计算机和移动存储介质保密管理规定(最新、直接下载使用)

×××公司涉密计算机和移动存储介质保密管理规 定 第一章总则 第一条为规范×××公司涉密计算机、移动存储介质的管理，确保国家秘密、企业商业秘密安全，根据国家保密法规，制定本规定。 第二条本规定所称的涉密计算机是指处理、存储涉密信息的台式电脑和笔记本电脑。 本规定所称的涉密移动存储介质，是指专门用于存储国家秘密和企业商业秘密信息的移动介质，包括但不限于U盘。 第三条涉密计算机及涉密移动存储介质的管理，遵循“统一购置、统一编号、统一备案、跟踪管理、集中报废”的原则，严格控制发放数量和范围。 第四条×××公司保密委员会对×××公司本部及各所属单位负有指导、监督、检查职责。本部有关部门及各各所属单位负责人对本部门、本单位执行本规定负有指导、监督、检查职责。 第五条本规定适用于×××公司本部及各所属单位 第二章配发与安装 第六条×××公司有关部门使用的涉密计算机和涉密移动存储介质，由×××公司办公室（保密办公室）根据工作需要统一申请、统一购置、统一配发，各所属单位使用的涉密计算机和涉密移动存储介质由本单位保密办根据工作需要统一申请、统一购置、统一配发。购置的涉密计算机和涉密移动存储介质，应符合国家保密局的有关技术标准和要求。 第七条涉密计算机和涉密移动存储介质配发前，需在显眼位置粘贴红色密级标识，密级标识应包括设备的密级加五角星（如机密★、秘密★）、编号、部门、管理人员、使用人员、启用日期等要素，涉密计算机需安装符合国家保密标准要求的保密技术防护系统（简称“三合一”系统），并建立管理台账，登记备案。 第八条涉密计算机软、硬件由保密办负责统一安装，其他部门和个人不得私自安装。需要安装时应由保密办负责安装软件，并逐一进行登记。 第九条涉密计算机必须安装和启用具有实时监控功能的病毒防护软件和木马查杀软件，并定期进行计算机漏洞扫描，发现漏洞，及时修补。未经病毒检测的软件和数据禁止在涉密计算机上使用。 第十条涉密计算机安装时不允许进行各种形式的有线及无线的网络连接（包括与电话线、传真机连接），不允许使用无线功能的键盘、鼠标进行操作。 第十一条涉密计算机所在的场所，应采取必要的安全防护措施和保密提示，严禁无关人员使用涉密计算机。

涉密计算机及移动存储介质保密管理系统

涉密计算机及移动存储 介质保密管理系统 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】

涉密计算机及移动存储介质保密管理系统1.概况： 违规外联与移动存储介质交叉使用是造成网络失泄密案件的最主要原因。近年来，我国发生的一些网络泄密窃密案件追踪溯源，均与违规外联和移动存储介质交叉使用密切相关。 涉密计算机及移动存储介质保密管理系统是为切实消除涉密计算机违规外联及移动存储介质在涉密计算机与非涉密计算机之间交叉使用而带来的泄密隐患和漏洞而开发的。 涉密计算机及移动存储介质保密管理系统是在深入研究网络互联阻断技术、移动存储介质读写控制技术和光单向传输技术的基础上研制而成的。系统包括用户软件、管理软件、多功能导入装置和涉密U盘。用户软件安装在内部的涉密计算机上，具有对涉密计算机违规外联实施阻断并报警、涉密U盘读写控制和非涉密移动存储介质禁止接入等功能。 管理软件安装在保密管理人员使用的计算机上，具有对内部涉密网计算机违规外联报警信息的自动采集和对涉密U盘的注册、认证和管理等功能。 多功能导入装置用于涉密人员向涉密计算机导入外部信息，同时负责涉密U盘的接入使用，既能在物理上切断涉密信息向外传输的渠道，又能实现外部信息安全完整地单向导入，满足涉密网内正常的信息交换需求。

涉密U盘是具有统一外观、统一标识、专用接插件和一系列安全保密防护措施的专用移动存储介质，用于存储涉密信息并在涉密计算机之间实现信息交换。 2.功能特点： 涉密计算机及移动存储介质保密管理系统是一款功能强大的管理系统。 2.1.违规外联监控 涉密计算机违规外联报警系统能够及时发现涉密计算机试图违规连接互联网的行为，同时阻断该行为，并向监控中心报警。系统由服务端软件和客户端软件两部分组成。 （1）.涉密计算机违规外联报警系统客户端软件 客户端软件部署在所有涉密计算机中，缺省状态就能够禁止MODEM/ISDN/ADSL拨号和WLAN/GPRS/CDMA无线上网等功能。对试图发生外联的行为，进行如下处理： ●完全阻断。本系统考虑外联途径多样性和操作系统的复杂性，采取多种阻断方式，确保行为阻断的可靠性； ●及时告警。发现违规连接互联网的行为，立即向服务端（监控中心）告警，并记录日志，日志内容包括违规外联涉密计算机的配置信息、使用人、所属单位等。 （2）.涉密计算机违规外联报警系统服务端软件 根据需求，服务端软件将在互联网上部署。当监控到涉密计算机违规外联行为时，进行如下处理：

移动存储介质管理办法

**移动存储介质管理办法 第一章总则 第一条为规范我行移动存储介质的使用管理，防范外带移动存储介质带来的安全风险隐患，防止因使用移动存储造成我行内部网络感染病毒、商业机密外泄等意外情况，确保各项业务系统安全可靠运行，特制定本管理办法。 第二条本规定所称移动存储介质，是指U盘、移动硬盘、软盘、各类存储卡、光盘等可以移动携带的电子介质。 第三条根据存储信息涉密与否，移动存储介质可分为非涉密存储介质和涉密存储介质。 第四条本管理规定适用于我行的所有部门、人员。 第二章非涉密移动存储介质管理 第五条各部门非涉密移动存储介质实行集中管理、专人专管。管理员应对本部门的U盘、移动硬盘类别、编号进行标识。 第六条严禁在非涉密移动介质上存储涉密信息；不得在未经许可的计算机上使用移动存储介质，已获得许可的计算机上只能使用指定的移动存储介质。 第七条不得将手机或移动通讯卡与接入我行内部网络的计算机进行连接。 第八条外来移动存储介质或与外部计算机发生连接的移动存储介质与行内计算机进行数据交换时，必须经过专用U盘中转完

成。 第九条未经我行保密管理部门许可，不得使用工具清除移动存储介质使用痕迹。 第十条我行信息科技管理部门、保密管理部门应定期对本部门的移动存储介质及使用移动存储介质的计算机进行检查。 第三章涉密移动存储介质管理 第十一条本规定所称涉密移动存储介质为我行统一配置、专门用于临时存储涉密信息的移动存储介质（移动存储介质主要包括：软盘、光盘、U盘、移动硬盘）。非我行统一配置的移动存储介质，一律不得用于存储涉密信息。 第十二条涉密移动存储介质的使用和管理要坚持责任到人，严格管理与方便使用相结合，健全制度和加强自律相结合，积极预防和依法查处相结合。 第十三条各部门使用的涉密移动存储介质由运营管理部负责统一配置。 第十四条运营管理部统一负责涉密移动存储介质的日常管理，对涉密移动存储介质的编号、密码设定、初始化处理及领取、退还登记等负责统一管理工作。 第十五条涉密移动存储介质必须按照所存储信息最高密级确定密级，并按照同等密级文件的规定进行管理。 第十六条运营管理部对各部门涉密移动存储介质的使用和管理情况进行定期或不定期检查。

计算机移动存储介质使用管理制度

社区计算机移动存储介质使用管理制度 第一条：根据中央保密办、国家保密局《关于国家秘密载体保密管理的规定》和有关文件精神，为确保国家秘密安全，结合社区实际，特制定本制度。 第二条：各业务口拟用于处理秘密信息的移动存储介质必须建好台帐，进行申报、登记，经审批后，方能投入使用，并按其所涉及的秘密等级做好密级标识。凡未进行申报、登记、审批的移动存储介质均属非涉密移动存储介质，严禁用于存储政府秘密信息。 第三条：涉密人员应根据其岗位密级以及办公需求配备相应密级的涉密移动存储介质。 第四条：涉密移动存储介质由政府负责保密工作的人员统一购置，做出统一的密级标识，统一编号，登记后配发各科室。涉密移动存储介质使用部门应当指定专人负责涉密移动存储介质的领取、登记、配发和管理。 第五条：涉密移动存储介质不能与国际互连网或其它公共信息网的计算机相连接，用于下载国际互联网、公共信息网信息的移动存储介质不得与涉密计算机和涉密计算机信息系统相连接。如需从网上下载资料，应该用非涉密移动存储介质从上网计算机上下载资料后，通过中间机（中间机指的是既不用于上网又不是涉密的计算机）进行杀毒处理后，对资料进行存储并导入涉密计算机。 第六条：绝密级移动存储介质只能存储绝密级信息。机密级、秘密级信息应存储在对应密级的移动存储介质内，其中高密级的移动存储介质可存储

低密级信息。 第七条：涉密移动存储介质只能在本单位涉密计算机和涉密信息系统内使用，高密级的存储介质不得在低密级系统使用；严禁在与互联网连接的计算机和个人计算机上使用；严禁借给外单位使用。 第八条：严禁将个人具有存储功能的电磁存储介质和电子设备带入核心和重要涉密场所。 第九条：涉密移动存储介质需送外部作数据恢复时，必须到国家保密工作部门指定的具有保密资质的单位进行，并将废旧的存储介质收回。 第十条：涉密移动存储介质在报废前，应进行信息清除处理。信息清除时所采取的信息清除技术、设备和措施应符合国家保密规定。 第十一条：工作人员离开办公场所，应将涉密移动存储介质保存在安全保密的场所和部位。因工作确需携带涉密移动存储介质外出，应当履行审批手续，符合有关保密要求。禁止将绝密级涉密移动存储介质携带出境；因工作需要携带机密级、秘密级涉密移动存储介质出境的，应当按照有关保密规定办理批准和携带手续。 第十二条：因工作需要接收外来的移动存储介质应由保密员进行登记。按移动存储介质管理要求进行管理。外来移动存储介质应进行病毒检查和杀毒后才可在涉密计算机上使用。 第十三条：移动存储介质因使用人员岗位变动、使用期满等原因交回时，原使用人员应将移动存储介质内所有信息清除干净，所属部门对移动存储介质进行检查、确认并妥善保管。

计算机移动存储介质使用管理规定

计算机移动存储介质使 用管理规定 标准化工作室编码[XX968T-XX89628-XJ668-XT689N]

社区计算机移动存储介质使用管理制度第一条：根据中央保密办、国家保密局《关于国家秘密载体保密管理的规定》和有关文件精神，为确保国家秘密安全，结合社区实际，特制定本制度。 第二条：各业务口拟用于处理秘密信息的移动存储介质必须建好台帐，进行申报、登记，经审批后，方能投入使用，并按其所涉及的秘密等级做好密级标识。凡未进行申报、登记、审批的移动存储介质均属非涉密移动存储介质，严禁用于存储政府秘密信息。 第三条：涉密人员应根据其岗位密级以及办公需求配备相应密级的涉密移动存储介质。 第四条：涉密移动存储介质由政府负责保密工作的人员统一购置，做出统一的密级标识，统一编号，登记后配发各科室。涉密移动存储介质使用部门应当指定专人负责涉密移动存储介质的领取、登记、配发和管理。 第五条：涉密移动存储介质不能与国际互连网或其它公共信息网的计算机相连接，用于下载国际互联网、公共信息网信息的移动存储介质不得与涉密计算机和涉密计算机信息系统相连接。如需从网上下载资料，应该用非涉密移动存储介质从上网计算机上下载资料后，通过中间机（中间机指的是既不用于上网又不是涉密的计算机）进行杀毒处理后，对资料进行存储并导入涉密计算机。 第六条：绝密级移动存储介质只能存储绝密级信息。机密级、秘密级信息应存储在对应密级的移动存储介质内，其中高密级的移动存储介质可

存储低密级信息。 第七条：涉密移动存储介质只能在本单位涉密计算机和涉密信息系统内使用，高密级的存储介质不得在低密级系统使用；严禁在与互联网连接的计算机和个人计算机上使用；严禁借给外单位使用。 第八条：严禁将个人具有存储功能的电磁存储介质和电子设备带入核心和重要涉密场所。 第九条：涉密移动存储介质需送外部作数据恢复时，必须到国家保密工作部门指定的具有保密资质的单位进行，并将废旧的存储介质收回。 第十条：涉密移动存储介质在报废前，应进行信息清除处理。信息清除时所采取的信息清除技术、设备和措施应符合国家保密规定。 第十一条：工作人员离开办公场所，应将涉密移动存储介质保存在安全保密的场所和部位。因工作确需携带涉密移动存储介质外出，应当履行审批手续，符合有关保密要求。禁止将绝密级涉密移动存储介质携带出境；因工作需要携带机密级、秘密级涉密移动存储介质出境的，应当按照有关保密规定办理批准和携带手续。 第十二条：因工作需要接收外来的移动存储介质应由保密员进行登记。按移动存储介质管理要求进行管理。外来移动存储介质应进行病毒检查和杀毒后才可在涉密计算机上使用。 第十三条：移动存储介质因使用人员岗位变动、使用期满等原因交回时，原使用人员应将移动存储介质内所有信息清除干净，所属部门对移动存储介质进行检查、确认并妥善保管。

初探文件系统过滤驱动

初探文件系统微过滤驱动 文/图 李旭昇 文件系统微过滤驱动（File System Mini-Filter ，简称MiniFilter ）是微软为了简化文件过滤驱动开发过程而设计的新一代文件过滤框架。MiniFilter 通过向过滤管理器（Filter Manager ，简称FltMgr ）注册想要过滤的I/O 操作来间接地附加到文件系统设备栈上。FltMgr 是一个传统的文件过滤驱动，运行在内核模式，向第三方MiniFilter 提供文件过滤驱动的常用功能。如图1所示是一个简化的I/O 设备栈，其中有一个FltMgr 和三个MiniFilter 。 图1 简化的I/O 设备栈 针对每一种I/O 操作，MiniFilter 只需注册预处理回调（pre-operation callback ）和后处理回调（post-operation callback ）即可。FltMgr 会恰当的处理IRP 并在I/O 操作的前、后调用上述两个回调。 与传统过滤驱动相比，MiniFilter 优势明显。首先，MiniFilter 代码十分简洁，开发迅速。除去一些必要的注册工作，我们只需提供两个回调就可以完成对一种I/O 操作的过滤（甚至可以只提供一个，将另一个设为NULL ）。对于我们不感兴趣的I/O 操作，FltMgr 将完成基本的处理并继续传递。其次，MiniFilter 是微软文档化的方法，具有良好的稳定性与跨平台性，一份代码不需修改便可以在不同系统上工作。另外，FltMgr 还提供了许多通用的函数，帮助我们获得文件名等有用的信息。 下面我们动手编写一个MiniFilter 。DriverEntry 中通过FltRegisterFilter 注册MiniFilter ，再通过FltStartFiltering 开始过滤。 extern "C" NTSTATUS DriverEntry( _In_ PDRIVER_OBJECT DriverObject , _In_ PUNICODE_STRING RegistryPath ) { DriverObject ->DriverUnload=Unload; 黑 客防线 w w w .h a c k e r .c o m .c n 转载请注明出处

透明底层文件过滤驱动加密技术

明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。应用透明加密技术，用户打开或编辑未加密的指定后缀文件时会自动加密；打开加密了的指定后缀文件时不需要输入密码会自动解密。因此，用户在环境内使用密文不影响原有的习惯，但文件已经始终处于加密状况。一旦离开环境，文件将得不到解密服务，将无法打开，从而起到保护电子文件知识产权的效果。本文将简要介绍目前市场上透明加密软件产品采用的透明加密技术。 透明加密技术 透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明，是指对使用者来说是未知的。当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起来保护文件内容的效果。 透明加密有以下特点： 强制加密：安装系统后，所有指定类型文件都是强制加密的； 使用方便：不影响原有操作习惯，不需要限止端口； 于内无碍：内部交流时不需要作任何处理便能交流； 对外受阻：一旦文件离开使用环境，文件将自动失效，从而保护知识产权。 透明加密技术原理 透明加密技术是与windows紧密结合的一种技术，它工作于windows的底层。通过监控应用程序对文件的操作，在打开文件时自动对密文进行解密，在写文件时自动将内存中的明文加密写入存储介质。从而保证存储介质上的文件始终处于加密状态。 监控windows打开（读）、保存（写）可以在windows操作文件的几个层面上进行。现有的32位CPU定义了4种（0~3）特权级别，或称环（ring），如图1所示。其中0级为特权级，3级是最低级（用户级）。运行在0级的代码又称内核模式，3级的为用户模式。常用的应用程序都是运行在用户模式下，用户级程序无权直接访问内核级的对象，需要通过API 函数来访问内核级的代码，从而达到最终操作存储在各种介质上文件的目的。