谈普通移动硬盘的一种信息安全保护策略

黄立冬

现今工作和生活方式的变化,使人们对于电子存储方式的依赖性越来越强,很多用户习惯将一些重要的数据或个人资料备份或存储。一些商家也适时推出一些硬件加密移动硬盘,对用户信息进行保护,如联想推出带有输入密码键盘的硬盘、旅之星推出指纹扫描安全型移动硬盘。但是,对非硬件加密硬盘而言,由于Auto病毒和U盘病毒的泛滥、缺少写保护装置、多人共用一块移动硬盘以及移动硬盘容易丢失,直接影响着用户的数据安全与隐私保护。因此,构建一个普通移动硬盘的信息安全防范系统很有必要。

一、应用与需求分析

计算机中的系统硬盘数据保护或加密可以在操作系统中安装相关软件来实现,而移动硬盘与之不同。首先,它经常与各种机器交换数据,必须跨机器使用;其次,必须保证合法用户凭密码对数据文件进行读写,加密后的数据文件不能被非法用户或病毒删除、修改,这就意味着它必须是跨操作系统使用。因此,对移动硬盘进行信息保护的任务需求有:实现数据安全保护、跨操作系统使用、保护个人隐私、禁止移动硬盘分区数据文件的删除或修改。根据任务需求,本方案结合第三方加密工具BestCrypt Traveller绿色软件以及硬盘的NTFS格式的安全技术特点来构建信息安全防范系统。

二、相关技术与软件

1.BestCrypt Traveller绿色软件

BestCrypt Traveller是由Jetico公司提供的一个可执行文件——BCTravellerCH.exe,不需要注册授权,可直接打开运行,大小仅2M,是BestCrypt软件的简化版。利用它可以很方便地从移动硬盘空间中虚拟出一个或多个分区,满足多用户使用的需求。在移动硬盘中,只需将 BestCrypt Traveller可执行文件和加密文档一起保存在硬盘上,就可以直接通过它在任意计算机上访问加密文档,打开虚拟分区。

2.NTFS文件系统

NTFS格式是一个基于安全性的文件系统,是Windows NT所采用的文件系统结构,它建立在保护文件和目录数据基础上,相对于FAT32文件系统,它的存取速度更快、更稳定,同时能节省存储资源,减少磁盘占用量。由于它支持用户权限的设置,在安全性方面上也是更胜一筹。因此,为了防止移动硬盘数据被病毒感染或非法用户直接删除硬盘数据,移动硬盘格式需要设为NTFS格式的文件系统。

在移动硬盘盘符上单击右键查看“属性”菜单,在面板中选择“常规”选择卡就可以看到硬盘格式。如果是FAT32格式,可借助Partition Magic(魔术分区)等工具软件进行转换,也可通过开始菜单中的“运行”来实现,具体操作为:键入“cmd”命令,弹出DOS窗口,在光标的提示符下输入“covert X:/FS:NTFS”,然后回车。(X表示移动硬盘的分区盘符,covert后面有一个空格,在执行前资料应备份到其他分区)。

三、实现步骤

1.使用BestCrypt Traveller创建虚拟加密分区文档

步骤一:将移动硬盘资料备份后格式化,将下载的可执行程序BCTravellerCH.exe复制到移动硬盘分区根目录下。双击程序运行,在托盘栏中出现一个绿色的图标,点击此图标,会弹出一个菜单,通过菜单命令选项,可以用来创建或打开加密文档。如图1所示。

步骤二:选择“创建新文档”,在移动硬盘中创建一个加密jbc类型的文档,如图2所示。访问它时是以虚拟分区的形式打开,然后可以写入用户数据。

其中,“文件名”可任意命名,其扩展名类型为jbc,“位置”即jbc文档的保存位置,请选择移动硬盘刚格式化的分区根目录(如E盘),“大小”可通过水平滚动条进行调节,如果硬盘是单用户使用,建议调到最大,如果是多用户使用,可以适当地调节分配空间大小。

步骤三:单击“创建”后,需要设置八位数的密码,用它可打开“我的文档.jbc”,进入虚拟分区。

步骤四:输入密码后,单击“确定”,会弹出“产生种子参数”窗口。此时,要求用户按下任意键或移动鼠标,直至完成随机密钥的生成。

计算机自动完成加密文件的创建,并要求用户对虚拟分区进行格式化。随后计算机会自动加载虚拟分区。此时在移动硬盘E盘根目录下便可以发现刚创建好的加密文档(“我的文档.jbc”),同时在“我的电脑”中多了一个虚拟盘符,此盘符就是由jbc文件虚拟出的分区,我们可以在这个虚拟分区中建立文件夹并写入用户的个人信息与数据。

关闭此虚拟分区,可选择图1中的“全部断开”命令。当然,移动硬盘要通过USB接口安全移除,还需要选择图1中的“关闭”菜单,让BestCrypt程序退出。需要注意的是,虚拟分区关闭后,其数据都以加密形式存储在“我的文档.jbc”文件中,只要jbc文档不删除,这些数据就永远存在。

在其他计算机上访问移动硬盘中的数据时,需要先运行硬盘根目录下的BestCrypt Traveller程序,然后选择图1中的“加载文档”菜单,选择移动硬盘根目录下的jbc文档后,软件会要求用户输入密码,只有通过了合法的身份验证才会打开虚拟分区,如果勾选图中的“只读”选项(如图3),打开的分区相当于写保护,病毒与用户都不能向虚拟分区中写入或删除数据。如果选择“自动载入”选项,表示用户合法打开虚拟盘,在使用中如果重启计算机,则不会要求用户再次输入密码。

2.利用NTFS格式特点设置移动硬盘分区的安全访问权限

NTFS文件系统提供内置安全性特征,可控制文件的隶属关系和访问,并为共享资源、文件夹以及文件设置访问许可权限。通过设置移动硬盘的访问权限,使整个硬盘只读,从而达到保护jbc类型文档以及防止病毒感染的目的,方法如下。

步骤一:调出“共享与安全”菜单

打开“我的电脑”,选择“工具”菜单下的“文件夹选项”,点击“查看选项卡”,单击“使用简单文件共享(推荐)”前的复选框,把“√”取消,单击“确定”按钮返回“我的电脑”。

步骤二:设置移动硬盘分区的写入权限

选择右键菜单列表中的“共享与安全”,在弹出的窗口中选择“安全”选项卡,在“组或用户名称”中仅保留Everyone用户,删除其他用户,然后单击“高级”按钮,打开高级安全设置窗口,双击“权限项目”下的“允许类型”,弹出“权限项目”窗口,设置如图4所示。

此设置对移动硬盘进行了写保护,现在尝试在移动硬盘中建立或删除文件,操作系统都会报错。这样,巧用NTFS权限设置阻止了非法用户对jbc文档的删除,也阻止了病毒向硬盘中写入程序。

步骤三:设置“我的文档.jbc”文件的写入权限

打开移动硬盘分区,其根目录下已经有两个文件:BCTravellerCH.exe和我的文档.jbc。右键单击“我的文档.jbc”,选择“属性”,再选择“安全”选项卡,勾选Everyone的写入权限,从而保证用户能向虚拟分区中添加数据,即允许合法用户改写jbc加密文档。

(作者单位:江苏淮阴师范学院信息传播与技术系)