金融自助设备安全访问控制系统研究及设计

谢清钟 陈雪梅

摘要：大部分银行金融自助设备上并没有安装任何安全访问控制系统，任何人只要能够接触到金融自助设备，就有可能通过机器外部接口（如USB接口等）盗取金融自助设备上的敏感信息和重要数据。同时，在日常的金融自助设备维护和软件升级过程中，金融自助设备通过维护人员的U盘感染病毒的情况也时有发生。因此，如何有效控制非法程序在金融自助设备上运行和限制USB类存储设备在金融自助设备上的使用，成为金融自助设备安全防控的一个焦点，金融自助设备安全访问控制系统的应用也成为现实的迫切需要。

关键词：安全访问控制;进程控制;USB控制;数字签名;程序白名单

中图分类号：TP29          文献标识码：A

随着金融自助设备大批量的部署和应用，金融自助设备在给人们生活上带来便利的同时，自身也面临日趋严重的安全威胁。如何应对严峻的安全形势，为金融自助设备提供一个安全可靠的运行环境，越来越成为各大银行及金融自助设备厂商关注的焦点。

目前，银行使用的金融自助设备对于机器上的敏感信息文件和数据的特别保护还是相对比较薄弱，从而导致信息安全方面存在隐患。另外，根据以往经验，在使用环境下，金融自助设备主机感染病毒的主要途径为U盘感染，因此如果能够控制好U盘类设备在金融自助设备主机上的接入并限制未知程序运行，对提高金融自助设备主机整体的安全防御能力将有很大帮助。

1   主要实现的目标

根据敏感数据文件列表实时保护金融自助设备上重要数据不被非法窃取和拷贝，建立进程启动准入机制，限制未知程序的启动和运行，从而设立起一道阻止病毒和恶意程序运行的屏障;控制USB端口存储设备的接入，通过对USB类存储设备进行不同授权来限制接入的USB类存储设备可进行的操作，以此来保障本机数据不会通过未授权存储设备拷走，同时，在一定程度上堵住了通过USB类存储设备进行传播的病毒的扩散。

安全访问控制系统在操作系统应用层之下实施上述操作，对于正常合法的程序而言，安全访问控制系统并不会干扰它们的正常运行;对于金融自助设备维护人员而言，只要他们在金融自助设备上插入具有相应权限的UKey，则他们在金融自助设备上的操作并不会受到限制，仿佛安全访问控制系统根本就不存在一般。

安全访问控制系统的所有行为都建立在各功能的规则描述文件之上，这些行为规则可依据实际情况和特定需求通过配置工具进行修改，且修改后的规则会立即生效。

（1）根据文件监控规则，实时保护敏感数据文件列表中的文件不被施行允许操作类型之外的操作。

（2）根据进程白名单，实时阻止白名单之外程序的启动和运行。

（3）根据接入的UKey具有的权限，确定能对USB存储设备进行何种操作。

（4）文件监控规则、进程白名单制作和USB类存储设备访问规则有对应工具方便相关设置。

（5）可通过网络进行远程UKey申请。

（6）对UKey的授权和使用存在一个中心端进行统一管理。

2   系統整体设计

安全访问控制系统在整体上分为本地安全访问控制系统和远程管理中心两部分。

本地安全访问控制系统主要完成文件访问控制、进程启动限制和USB端口接入控制3个核心功能。这些核心功能都是在操作系统的驱动层面实现的，因此能够在操作系统进行实际操作前阻断不合法的操作。本地安全访问控制系统独立运行在金融自助设备上，如果存在远程管理中心且需要与管理中心交互数据时，本地安全访问控制系统可以通过网络接收远程管理中心发来的指令和数据并向远程管理中心回馈本地的监控信息。

远程管理中心运行于远程服务器上，其主要负责接收被监管的金融自助设备主机发来的监控信息并记录到中心数据库。同时管理人员可透过管理中心Web端查看金融自助设备主机文件操作记录、进程启动记录和USB端口使用记录。另外，管理人员也可以通过远程UKey制作页面在远程将插在金融自助设备主机上的U盘制作成UKey供维护人员使用。

3   本地安全访问控制系统架构

本地安全访问控制系统由文件访问控制模块、进程启动限制模块、USB端口接入控制模块、日志模块、网络通信模块和数字授权文件烧入模块组成。

其中文件访问控制模块、进程启动限制模块和USB端口接入控制模块是本地安全访问控制系统的核心模块组，其实现了安全访问控制系统三大核心功能。这3个模块都分为驱动层和应用层两个层面。驱动层主要通过驱动过滤方式实现对非法操作的阻截;应用层主要以图形界面的方式供安全访问控制系统本地管理人员使用，方便管理人员进行各监控参数的修改和调整。这3个驱动模块彼此独立运行，不存在直接的依赖关系。

文件访问控制。对文件可执行的操作有3种：读、拷贝和删除。这3种操作属性可以复选。上述3种操作只针对人工操作，即由人通过鼠标或键盘对文件进行上述操作时会触发监控机制。文件访问控制流程如下：①用户通过鼠标或键盘对被监控文件执行了打开、拷贝或删除操作。②文件访问过滤驱动在接收到操作请求后先查看该文件的访问规则[1]，然后检查当前机器上是否插入了UKey且UKey是否授权了与操作对应的权限。③如果用户请求的操作是规则允许的操作，则请求通过;如果用户请求的操作不是规则允许的操作，且主机上也没有插入UKey，则请求被拒绝;如果用户请求的操作不是规则允许的操作，但UKey授权了该操作的权限，则请求通过;如果用户请求的操作不是规则允许的操作，且UKey也没有授权该操作的权限，则请求被拒绝。

进程启动限制。主要通过进程白名单实现，凡不在进程白名单中的程序都将被禁止启动和运行。进程启动限制流程如下：①安全访问控制系统接收到某程序要求启动运行的请求。②检查该程序是否在白名单中。③如果该程序在白名单中，则请求通过;如果该程序不在白名单中，且主机上也没有插入UKey，则请求被拒绝;如果该程序不在白名单中，但主机有插入UKey，且UKey具有启动未知程序的权限[2]，则安全访问控制系统会弹出启动未知程序询问对话框，若用户选择“允许”，则程序启动请求通过，若用户选择“禁止”，则请求被拒绝;如果该程序不在白名单中，且主机有插入UKey，但UKey不具有启动未知程序的权限，则请求被拒绝。

USB端口接入控制。可对USB存储设备接入主机后的操作进行控制，USB操作有3种：只读、读写和禁用。这3种操作属性为单选。USB端口接入控制流程如下：①安全访问控制系统接收到USB操作请求。②检查主机是否有插入UKey。③如果主机没有插入UKey，则根据本地USB接入规则检查请求的合法性;如果请求的操作符合本地USB接入规则，则请求通过;如果请求的操作不符合本地USB接入规则或当前规则为禁止接入，则请求被拒绝。④如果主机有插入UKey，则根据UKey中的USB接入规则检查请求的合法性;如果UKey中没有USB接入规则信息，则操作请求根据本地规则进行处理;如果UKey中有USB接入规则信息，且操作请求符合该规则，则请求通过;如果UKey中有USB接入规则信息，但操作请求不符合该规则，则请求被拒绝。

日志模块主要负责接收3个核心模块发来的操作记录信息并将这些信息记录到本地日志数据库中。日志系统由日志信息接收模块、日志读写模块、日志查看工具和日志数据库4部分组成。日志读写模块负责往日志数据库中写入日志信息及从日志数据库中读出日志信息;日志查看工具以可视化的图形界面供本地管理人员查看以往的日志信息;日志数据库主要用来存储日志信息[3]。

网络通信模块主要负责本地安全访问控制系统与远程管理中心间的数据通信和联系，将本地的监控信息上传到中心服务器上同时接收远程中心发来的指令。

数字授权文件烧入模块主要负责将收到的UKey数字授权文件烧入到U盘中。

4   遠程管理中心架构

远程管理中心由数据处理服务器和Web Service服务器两部分组成。

数据处理服务器主要负责接收两类数据，第一类数据为金融自助设备主机上的本地安全访问控制系统发来的监控记录信息;第二类数据为Web Service发来的XML数据。如果接收到的是监控记录信息，则数据处理服务器会将这些信息进行格式化处理并存入中心数据库;如果接收到的是Web Service发来的XML数据，则数据处理服务器根据对XML数据解析的结果确定接下来是往指定的金融自助设备发送指令还是仅将解析后的数据存入数据库或者两种操作都要进行。Web Service服务器主要负责对Web端的请求进行响应，根据Web端的请求查询数据库或向数据处理服务器发送指令数据。

5   总结

从操纵系统内核层面对金融自助设备的软件环境进行安全加固，根据实际情况对监控策略进行灵活的设定，使得安全访问控制系统更具适应性和灵活性，从而极大地提升了金融自助设备软件环境的安全性，实现了对金融自助设备安全访问控制。

参考文献

[1] 陈丽萍.工作流系统访问控制模型的研究[D].大连：大连海事大学，2008.

[2] 林琳.虚拟企业工作流管理系统访问控制的研究与实现[D].镇江：江苏大学，2005.

[3] 陈雪梅，谢清钟.基于模糊PID数字控制算法的液压启动控制伺服系统的研究[J].中国电子科学研究院学报，2018，13（6）：732-738.