金融自助設備安全訪問控制系統研究及設計

謝清鐘 陳雪梅

摘要：大部分銀行金融自助設備上并沒有安裝任何安全訪問控制系統，任何人只要能夠接觸到金融自助設備，就有可能通過機器外部接口（如USB接口等）盜取金融自助設備上的敏感信息和重要數據。同時，在日常的金融自助設備維護和軟件升級過程中，金融自助設備通過維護人員的U盤感染病毒的情況也時有發生。因此，如何有效控制非法程序在金融自助設備上運行和限制USB類存儲設備在金融自助設備上的使用，成為金融自助設備安全防控的一個焦點，金融自助設備安全訪問控制系統的應用也成為現實的迫切需要。

關鍵詞：安全訪問控制;進程控制;USB控制;數字簽名;程序白名單

中圖分類號：TP29 ? ? ? ? ?文獻標識碼：A

隨著金融自助設備大批量的部署和應用，金融自助設備在給人們生活上帶來便利的同時，自身也面臨日趨嚴重的安全威脅。如何應對嚴峻的安全形勢，為金融自助設備提供一個安全可靠的運行環境，越來越成為各大銀行及金融自助設備廠商關注的焦點。

目前，銀行使用的金融自助設備對于機器上的敏感信息文件和數據的特別保護還是相對比較薄弱，從而導致信息安全方面存在隱患。另外，根據以往經驗，在使用環境下，金融自助設備主機感染病毒的主要途徑為U盤感染，因此如果能夠控制好U盤類設備在金融自助設備主機上的接入并限制未知程序運行，對提高金融自助設備主機整體的安全防御能力將有很大幫助。

1 ? 主要實現的目標

根據敏感數據文件列表實時保護金融自助設備上重要數據不被非法竊取和拷貝，建立進程啟動準入機制，限制未知程序的啟動和運行，從而設立起一道阻止病毒和惡意程序運行的屏障;控制USB端口存儲設備的接入，通過對USB類存儲設備進行不同授權來限制接入的USB類存儲設備可進行的操作，以此來保障本機數據不會通過未授權存儲設備拷走，同時，在一定程度上堵住了通過USB類存儲設備進行傳播的病毒的擴散。

安全訪問控制系統在操作系統應用層之下實施上述操作，對于正常合法的程序而言，安全訪問控制系統并不會干擾它們的正常運行;對于金融自助設備維護人員而言，只要他們在金融自助設備上插入具有相應權限的UKey，則他們在金融自助設備上的操作并不會受到限制，仿佛安全訪問控制系統根本就不存在一般。

安全訪問控制系統的所有行為都建立在各功能的規則描述文件之上，這些行為規則可依據實際情況和特定需求通過配置工具進行修改，且修改后的規則會立即生效。

（1）根據文件監控規則，實時保護敏感數據文件列表中的文件不被施行允許操作類型之外的操作。

（2）根據進程白名單，實時阻止白名單之外程序的啟動和運行。

（3）根據接入的UKey具有的權限，確定能對USB存儲設備進行何種操作。

（4）文件監控規則、進程白名單制作和USB類存儲設備訪問規則有對應工具方便相關設置。

（5）可通過網絡進行遠程UKey申請。

（6）對UKey的授權和使用存在一個中心端進行統一管理。

2 ? 系統整體設計

安全訪問控制系統在整體上分為本地安全訪問控制系統和遠程管理中心兩部分。

本地安全訪問控制系統主要完成文件訪問控制、進程啟動限制和USB端口接入控制3個核心功能。這些核心功能都是在操作系統的驅動層面實現的，因此能夠在操作系統進行實際操作前阻斷不合法的操作。本地安全訪問控制系統獨立運行在金融自助設備上，如果存在遠程管理中心且需要與管理中心交互數據時，本地安全訪問控制系統可以通過網絡接收遠程管理中心發來的指令和數據并向遠程管理中心回饋本地的監控信息。

遠程管理中心運行于遠程服務器上，其主要負責接收被監管的金融自助設備主機發來的監控信息并記錄到中心數據庫。同時管理人員可透過管理中心Web端查看金融自助設備主機文件操作記錄、進程啟動記錄和USB端口使用記錄。另外，管理人員也可以通過遠程UKey制作頁面在遠程將插在金融自助設備主機上的U盤制作成UKey供維護人員使用。

3 ? 本地安全訪問控制系統架構

本地安全訪問控制系統由文件訪問控制模塊、進程啟動限制模塊、USB端口接入控制模塊、日志模塊、網絡通信模塊和數字授權文件燒入模塊組成。

其中文件訪問控制模塊、進程啟動限制模塊和USB端口接入控制模塊是本地安全訪問控制系統的核心模塊組，其實現了安全訪問控制系統三大核心功能。這3個模塊都分為驅動層和應用層兩個層面。驅動層主要通過驅動過濾方式實現對非法操作的阻截;應用層主要以圖形界面的方式供安全訪問控制系統本地管理人員使用，方便管理人員進行各監控參數的修改和調整。這3個驅動模塊彼此獨立運行，不存在直接的依賴關系。

文件訪問控制。對文件可執行的操作有3種：讀、拷貝和刪除。這3種操作屬性可以復選。上述3種操作只針對人工操作，即由人通過鼠標或鍵盤對文件進行上述操作時會觸發監控機制。文件訪問控制流程如下：①用戶通過鼠標或鍵盤對被監控文件執行了打開、拷貝或刪除操作。②文件訪問過濾驅動在接收到操作請求后先查看該文件的訪問規則[1]，然后檢查當前機器上是否插入了UKey且UKey是否授權了與操作對應的權限。③如果用戶請求的操作是規則允許的操作，則請求通過;如果用戶請求的操作不是規則允許的操作，且主機上也沒有插入UKey，則請求被拒絕;如果用戶請求的操作不是規則允許的操作，但UKey授權了該操作的權限，則請求通過;如果用戶請求的操作不是規則允許的操作，且UKey也沒有授權該操作的權限，則請求被拒絕。

進程啟動限制。主要通過進程白名單實現，凡不在進程白名單中的程序都將被禁止啟動和運行。進程啟動限制流程如下：①安全訪問控制系統接收到某程序要求啟動運行的請求。②檢查該程序是否在白名單中。③如果該程序在白名單中，則請求通過;如果該程序不在白名單中，且主機上也沒有插入UKey，則請求被拒絕;如果該程序不在白名單中，但主機有插入UKey，且UKey具有啟動未知程序的權限[2]，則安全訪問控制系統會彈出啟動未知程序詢問對話框，若用戶選擇“允許”，則程序啟動請求通過，若用戶選擇“禁止”，則請求被拒絕;如果該程序不在白名單中，且主機有插入UKey，但UKey不具有啟動未知程序的權限，則請求被拒絕。

USB端口接入控制?？蓪SB存儲設備接入主機后的操作進行控制，USB操作有3種：只讀、讀寫和禁用。這3種操作屬性為單選。USB端口接入控制流程如下：①安全訪問控制系統接收到USB操作請求。②檢查主機是否有插入UKey。③如果主機沒有插入UKey，則根據本地USB接入規則檢查請求的合法性;如果請求的操作符合本地USB接入規則，則請求通過;如果請求的操作不符合本地USB接入規則或當前規則為禁止接入，則請求被拒絕。④如果主機有插入UKey，則根據UKey中的USB接入規則檢查請求的合法性;如果UKey中沒有USB接入規則信息，則操作請求根據本地規則進行處理;如果UKey中有USB接入規則信息，且操作請求符合該規則，則請求通過;如果UKey中有USB接入規則信息，但操作請求不符合該規則，則請求被拒絕。

日志模塊主要負責接收3個核心模塊發來的操作記錄信息并將這些信息記錄到本地日志數據庫中。日志系統由日志信息接收模塊、日志讀寫模塊、日志查看工具和日志數據庫4部分組成。日志讀寫模塊負責往日志數據庫中寫入日志信息及從日志數據庫中讀出日志信息;日志查看工具以可視化的圖形界面供本地管理人員查看以往的日志信息;日志數據庫主要用來存儲日志信息[3]。

網絡通信模塊主要負責本地安全訪問控制系統與遠程管理中心間的數據通信和聯系，將本地的監控信息上傳到中心服務器上同時接收遠程中心發來的指令。

數字授權文件燒入模塊主要負責將收到的UKey數字授權文件燒入到U盤中。

4 ? 遠程管理中心架構

遠程管理中心由數據處理服務器和Web Service服務器兩部分組成。

數據處理服務器主要負責接收兩類數據，第一類數據為金融自助設備主機上的本地安全訪問控制系統發來的監控記錄信息;第二類數據為Web Service發來的XML數據。如果接收到的是監控記錄信息，則數據處理服務器會將這些信息進行格式化處理并存入中心數據庫;如果接收到的是Web Service發來的XML數據，則數據處理服務器根據對XML數據解析的結果確定接下來是往指定的金融自助設備發送指令還是僅將解析后的數據存入數據庫或者兩種操作都要進行。Web Service服務器主要負責對Web端的請求進行響應，根據Web端的請求查詢數據庫或向數據處理服務器發送指令數據。

5 ? 總結

從操縱系統內核層面對金融自助設備的軟件環境進行安全加固，根據實際情況對監控策略進行靈活的設定，使得安全訪問控制系統更具適應性和靈活性，從而極大地提升了金融自助設備軟件環境的安全性，實現了對金融自助設備安全訪問控制。

參考文獻

[1] 陳麗萍.工作流系統訪問控制模型的研究[D].大連：大連海事大學，2008.

[2] 林琳.虛擬企業工作流管理系統訪問控制的研究與實現[D].鎮江：江蘇大學，2005.

[3] 陳雪梅，謝清鐘.基于模糊PID數字控制算法的液壓啟動控制伺服系統的研究[J].中國電子科學研究院學報，2018，13（6）：732-738.