隨著計算機應用的普及，計算機數據安全問題成為了日益突出的問題，特別是在網絡環境下，數據的安全問題不僅涉及到系統數據和用戶數據遭到邏輯級別或物理級別的損壞威脅，而且涉及到敏感數據通過網絡泄漏的威脅。如何保護計算機數據安全已經是重大的戰略問題。

從目前來看，對計算機數據安全構成威脅的主要來源有：

1. 用戶誤操作引起的數據丟失、系統崩潰等。

2. 病毒等惡意程序對數據的破壞。

3. 敏感數據(如財務報表等)和各種賬號(如郵箱賬號和密碼；網上銀行的賬號和密碼、網上股票交易的賬號和密碼等)的安全。

這些問題的完整解決需要多個部分的配合，是目前單純的殺毒軟件、防火墻或其它數據防護產品難以勝任的，因此迫切需要研發一種具有綜合防護能力的計算機數據安全系統。

一、數據保護的基本原理

對于數據的保護，本質上是通過數據冗余方式來實現的，但不同的保護算法，產生的數據冗余程度會有很大的差別，如基于文件的備份方式，如果不使用壓縮算法，文件的每個備份就會額外需要和原文件相同大小的存儲空間。

在現代操作系統中，數據的邏輯存儲方式是以文件形式進行組織和存放的，文件在存儲介質上的組織和結構依賴于具體的文件系統，不同的文件系統在存儲介質上的組織和結構會有不同的形式。

在計算機中，數據的訪問方式主要以文件的形式進行，但也可繞過文件系統直接存取存儲介質上的數據，其具體結構參見圖1。

圖1

計算機中數據的組織和存放形式決定了在計算機上實現數據保護的基本原理和方法，從實現的層次上，大致可以分為兩大類：

1． 基于文件級的數據保護

目前市場上主流的加密軟件多數是文件集的數據保護。以北京億賽通文檔安全管理系統CDG為代表。

基于文件級的數據保護，其算法的實現主要通過軟件進行實現，具體實現的層次一般位于文件系統的內部或外部，一般以文件為單位對數據進行備份處理，參見圖2。

圖2

按照對文件的不同處理方式，可進一步劃分為：

1) 文件同步備份方式

該保護方式是指在寫文件時， 同時寫兩份或以上，達到實時備份的目的，如雙機熱備份就屬于這種方式。

該方式在實現上一般位于文件系統的內部，它的主要特點是數據的可靠性高，但實現的難度比大。

2) 文件異步備份方式

該保護方式是指在操作系統已經完成文件的寫入后，立即或以后將文件拷貝到其它的地方將數據保存起來的方式，是最常用的數據保護方式，如同常使用的數據備份方式就屬于這種方式。

該方式在實現上一般位于文件系統的外部，它的主要特點是方便靈活，實現簡單。

2． 基于存儲介質的數據保護

市場上磁盤級加密軟件，以北京億賽通磁盤全盤加密系統DiskSec為代表。

基于存儲介質的數據保護，其算法的實現可通過純軟件或硬件實現，也可軟硬件結合進行實現，如常用的磁盤冗余陣列磁盤RAID，其實現方式有基于硬件的RAID卡，也有軟件實現的軟RAID。具體實現的層次一般位于存儲介質控制器或存儲介質驅動程序層中，     由于在這一級別難以獲得文件的有關概念，因此其實現基本上均以存儲介質的基本單位為單位進行數據備份，參見圖3。

圖3

基于這一級別現實的算法主要有以容錯為主的RAID0－RAID5，以系統保護為主的磁盤雙工等。

3． 基于文件級和存儲介質級的數據保護的主要特點

雖然不同的保護算法，會有各自不同的特點，但其實現的層次在很大程度上決定了其主要特點。

1) 基于文件級的數據保護

主要優點：

方便靈活，針對性強，既可以備份特定的文件，也可以備份整個文件系統，數據的可靠性比較高。

主要缺點：

對于系統的保護較弱，在系統遭到透過文件系統的破壞操作時，難以直接恢復系統，占用的磁盤空間一般比較多(和具體實現算法有關)，而且難以實現系統的快速還原。

2) 基于存儲介質的數據保護

主要優點：

對系統的保護較強，占用的磁盤空間一般比較小(和具體實現算法有關)，容易實現系統的快速還原。

主要缺點：

數據的可靠性一般不如基于文件級的數據保護高，難以解決由于文件系統的邏輯損壞造成的數據丟失問題。

#p#

三、已經實現的硬盤數據保護的實現方式和特點

1、 實現方式

采用基于文件和基于存儲介質的數據保護進行綜合實現，充分利用各自的特點，相互取長補短，從而實現既能有效抵御高強度的數據破壞，并能有效地保護用戶數據的安全。

其中基于存儲介質的數據保護算法采用數據映射方式進行實現，主要作用是抵御病毒、惡意程序、誤操作等引起的系統的損壞，在系統遭到嚴重破壞的情況下，保證能夠快速還原系統。

該算法充分利用基于存儲介質數據保護所能實現的功能，其突出特點是占用磁盤空間小，保護強度高，系統還原速度快，對系統的性能影響比較小。但獲得這些性能是以犧牲用戶數據安全性為代價的，因此也決定了這種算法的致命弱點：在還原系統數據的同時，將用戶產生的有用數據也同時還原掉，從而造成用戶數據的丟失。

為了彌補這一算法的缺點并保留該算法的優點，開發了基于文件級的數據保護算法作為該算法的姊妹算法。

基于文件級的數據保護算法采用文件同步備份算法，可根據用戶設置的數據備份策略，實時自動備份用戶保存的關鍵數據文件，提供按文件類型或目錄等多種策略設置方式。該算法的主要特點是對文件進行同步備份，對系統性能的影響比較小，由于用戶產生的數據量一般比較少，因此其額外占用磁盤空間比較少。

2、 主要特點

由于采用文件級和磁盤級相互配合的實現方式，因此該數據保護方法兼有文件級和磁盤級數據保護的優點，并且克服了兩種保護方式中的缺點。

1) 能有效地保護系統文件和用戶數據文件。

2) 可防止各種方式對硬盤數據的破壞，對于格式化硬盤和各種病毒的攻擊以及人為的破壞等均能有效防范。

3) 保護方式多樣，可隨意設置保護任何一個或數個希望保護的邏輯盤。

4) 可以將分區設置成只讀、隱藏等屬性，有效保護重要數據不被改寫。

5) 目前支持Windows 95/98/ME/NT/2000等常用的操作系統，支持FAT12/FAT16/BigDOS/FAT32/NTFS等常用的文件系統。

6) 額外占用硬盤空間小，數據還原速度快

7) 支持容量高達2000GB的大硬盤。

8) 支持CMOS數據的保護及還原

9) 適用于各種臺式機和筆記本電腦

四、計算機數據安全綜合防護系統的組成

從實現的角度來看，計算機數據安全綜合防護系統主要由圖4所示的模塊組成。其中網絡控制模塊和文件進程控制模塊編寫為驅動程序方式，這樣可以實現對系統的完全控制，這兩個模塊均具有行為識別和控制器雙重功能,是整個系統的關鍵組成部分。網絡的監控過濾和程序行為的監控過濾均在這兩個模塊中進行。其中文件進程控制模塊還承擔文件訪問控制，動態加解密、關鍵數據實時自動備份等功能。程序靜態還原模塊和程序動態還原模塊是用來消除有害程序的兩個模塊。程序結構靜態分析模塊和程序動態分析模塊是用來掃描有害程序的兩個模塊，其中程序動態分析模塊還擔負程序的自學習功能。程序動態分析模塊和程序動態還原模塊在運行時均需要網絡監控模塊和文件、進程監控模塊的配合，這樣在萬一被分析的程序是有害程序時，其破壞行為會得到控制，不會對系統造成破壞。知識庫主要用來存放各種已知文件的存儲格式等靜態知識，規則庫主要存放通過人工輸入或程序自學習產生的各種控制規則、行為規則等，綜合庫用來存放程序用到的各種參數等。其中黑體部分是已經實現完成的模塊。

圖4  計算機數據安全綜合防護系統的組成模塊

【編輯推薦】

1. 如何用第三層交換保證數據安全
2. .NET Framework安全防護技巧說明
3. 如何選擇合適的加密技術保障數據安全