文件系统安全2007.04内容什么是文件系统Windows文件系统及加密Unix文件系统光盘文件系统文件加密和保护第三方文件管理工具文件系统文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构;即在磁盘上组织文件的方法也指用于存储文件的磁盘或分区,或文件系统种类大部分程序基于文件系统进行操作,在不同种文件系统上不能工作。一个分区或磁盘能作为文件系统使用前,需要初始化,并将记录数据结构写到磁盘上。这个过程就叫建立文件系统。文件系统少数程序(包括最有理由的产生文件系统的程序)直接对磁盘或分区的原始扇区进行操作隐患——可能破坏一个存在的文件系统Windows文件系统微软在Dos/Windows系列操作系统中共使用了6种不同的文件系统FAt12、FAT16、FAT32、NTFS、NTFS5.0和WINFS其中FAt12、FAT16、FAT32均是Fat文件系统--FileAllocationTable的简称。Windows文件系统最古老的文件系统FAT12这是伴随着Dos诞生的“老”文件系统了采用12位文件分配表在DOS3.0以前使用目前仍用于软盘驱动器Fat12可以管理的磁盘容量是8M,当时这个磁盘管理能力非常强大Fat12文件系统的限制1)文件名:只能是8.3格式的文件名。2)磁盘容量:最多8M。(4096clusters×4sectors/clusters×512bytes、sectors)3)文件碎片严重Windows文件系统使用时间最长文件系统的Fat16在Dos3.0中采用文件系统Fat16采用16位字长的分区表,可以使用的簇的总数增加到了65546在总的簇数在4096之下时,仍使用Fat12的分区表,当实际需要超过4096簇的时候,应用的是Fat16的分区表刚推出的Fat16文件系统管理磁盘的能力实际上是32MDos4.0之后的Fat16可以管理128M的磁盘,一直到2GFAT16分区格式存在严重的缺点大容量磁盘利用效率低,簇浪费严重Windows文件系统Windows文件系统最新的Fat32文件系统采用32位的文件分配表磁盘的管理能力大大增强,突破了FAT162GB的分区容量的限制Fat32文件系统将是Fat系列文件系统的最后一个产品FAT32与FAT16相比,大大减少了磁盘空间的浪费,这就提高了磁盘的利用率Windows文件系统支持的操作系统有Windows95、Windows98、OSR2、Windows98SE、WindowsMe、Windows2000和WindowsXP,LinuxRedhat部分版本也对FAT32提供有限支持Windows文件系统FAT32的限制1)Fat32不能保持向下兼容2)当分区小于512M时,Fat32不会发生作用4)单个文件不能大于4G(精确数据是4G-2bytes)。Windows文件系统NTFS是随着WindowsNT操作系统而产生的,并随着WindowsNT4跨入主力分区格式的行列优点是安全性和稳定性极其出色,在使用中不易产生产生文件碎片NTFS分区格式的兼容性不好,特别是对使用很广泛的Windows98SE/WindowsME系统,它们还需借助第三方软件才能对NTFS分区进行操作,Windows2000,WindowsXP基于NT技术,提供完善的NTFS分区格式的支持Windows文件系统突出优点:安全性高NTFS分区对用户权限作出了非常严格的限制,每个用户都只能按着系统赋予的权限进行操作,任何试图越权的操作都将被系统禁止提供了容错结构日志,可以将用户的操作全部记录下来,从而保护了系统的安全NTFS提供了服务器或工作站所需的安全保障采用EFS(EncryptFileSystem:加密文件系统)进行灵活的数据保护,支持文件加密和文件夹加密不支持同时压缩和加密Windows文件系统NTFS5.0可以支持的分区(若动态磁盘则称为卷)大小可以达到2TB是一个可恢复的文件系统,NTFS通过使用标准的事物处理日志和恢复技术来保证分区的一致性。发生系统失败事件时,NTFS使用日志文件和检查点信息自动恢复文件系统的一致性,保证数据安全支持对分区、文件夹和文件的压缩采用了更小的簇,可以更有效率地管理磁盘空间,避免空间浪费在Win2000下可以进行磁盘配额管理Windows文件系统WinFS:新型文件系统用于Vista系统中遵循三个核心原则:使用户能够“查找”、“关联”和“操作”他们的信息五个核心部件:核心WinFS、数据模型、架构、服务和APIWindows文件系统Windows文件系统在保证用户机密数据的安全方面有了很大改进在WindowsVistaEnterprise与Ultimate版中提供系统级的安全防护BitLocker,支持对整个驱动器的加密支持EFS,将文件/文件夹以加密方式存储在磁盘上Windows文件系统Unix文件系统大部分UNIX文件系统种类具有类似的通用结构构成:超级块superblock,i节点inode,数据块datablock,目录块directoryblock和间接块indirectionblock。超级块包括文件系统的总体信息,比如大小(其准确信息依赖文件系统)。i节点包括除了名字外的一个文件的所有信息,名字与i节点数目一起存在目录中,目录条目包括文件名和文件的i节点数目。i节点包括几个数据块的数目,用于存储文件的数据。i节点中只有少量数据块数的空间,如果需要更多,会动态分配指向数据块的指针空间。这些动态分配的块是间接块;为了找到数据块,这名字指出它必须先找到间接块的号码。Unix文件系统UNIX文件系统通常允许在文件中产生孔(hole):意思是文件系统假装文件中有一个特殊的位置只有0字节,但没有为这文件的这个位置保留实际的磁盘空间(这意味着这个文件将少用一些磁盘空间)。孔由存储在间接块或i节点中的作为数据块地址的一个特殊值实现,这个特殊地址说明没有为文件的这个部分分配数据块,即,文件中有一个孔。这对小的二进制文件经常发生,孔有一定的用处。光盘文件系统1.ISO-9660光盘文件系统标准一种通用的光盘文件系统,1985年由ISO国际标准化组织发布支持DOS、Win9X/NT、OS/2、LINUX、MACOS等绝大多数计算机操作系统以及所有的刻录软件有Level1和Level2两个标准,前者可兼容DOS操作系统,即支持传统的8.3文件名格式,且所有字符只能包括26个大小写英文字母、10个阿拉伯数字及下划线,后者则允许使用长文件名,但不支持DOS操作系统该标准的应用范围最为广泛。光盘文件系统2.UDF光盘文件系统标准1996年由ISO组织下属的OSTA光学存储技术协会(OpticalStorageTechnologyAssociation)制定的通用光盘文件系统,采用包刻录方式(PacketWriting),允许在CD-R/RW光盘上任意追加数据,为刻录机提供了类似于硬盘的随机读写特性该标准进行数据刻录时不会出现因为缓存欠载或数据传输速度低于刻录速度而中断刻录过程,使盘片报废UDF格式的光盘只能在具有MultiRead功能的CD-ROM上读取该标准支持Win9X/NT、MACOS等操作系统,应用已越来越广泛。光盘文件系统3.Joliet光盘文件系统标准由Microsoft公司制定的光盘文件系统对ISO-9660标准进行了扩展,可以支持64个字符的长文件名和中文文件名,同时也记录相应的DOS文件名,以便能够被DOS或低版本的Windows操作系统读取该标准支持DOS、Win9X/NT等操作系统,应用范围很广泛。光盘文件系统4.ROMEO光盘文件系统标准由Adaptec公司制定的光盘文件系统标准文件名最多达128个字符,支持中文文件名该标准只支持Win9X/NT,不支持DOS、OS/2、LINUX、MACOS等操作系统其应用范围较小。文件加密和保护(Windows系统)NTFS格式提供EFS方式对文件进行加密存储WinFS文件系统(WindowsVista中使用)提供Bitlocker加密方式,可对整个驱动器加密;同时提供EFS(EncryptFileSystem)加密方式,对文件或文件夹进行加密文件加密和保护微软官方称没导出私钥的EFS数据无法恢复也不能拷贝用一些数据恢复软件能强行拷走EFS数据到别的硬盘NTFS分区上若破解了当时加密用户的口令,用EFS恢复的软件就能恢复所谓的无法找回的EFS数据原证明暴力破解SAM不难,可监听用户的各种密码,寻找密码规律第三方文件管理工具一般资料安全产品(如:Word、WinZip自带的设置密码)安全文件夹类安全产品(如:安科Strongbox)“防水墙”类安全产品(如:中软(北京)、汇源(四川)、中安源(北京明朝万达公司)、山丽(上海)等),[第一代权限控制产品]格式转换类安全产品(如:亿赛通(北京)、大成(深圳)、上海网伦、上海前沿科技等)[第二代权限控制产品]安全域控制类安全产品(如:安科cofferdisk)[第三代权限控制产品]第三方文件管理工具优化大师提供文件加解密功能可以设定Windows文件加密器在加密过程中采用Windows优化大师压缩算法的级别最快压缩率(压缩速度最快,但压缩率较小,因此压缩后文件占用的磁盘空间较大)默认压缩率(Windows优化大师默认的压缩率,速度较快,压缩率较高,压缩后文件占用磁盘空间较小)最大压缩率(压缩速度较慢,压缩率最高,压缩后文件占用的磁盘空间最小)第三方文件管理工具清大安科文件管理软件:StrongBox文件保险箱,单机版CofferDisk安域文件管理工具Conquer安域信息管理平台StrongBoxStrongBox文件保险箱是一款人性化的单机文件安全管理软件,通过为用户建立一个或多个私密存储空间而保护用户个人隐私和文档安全。用户须输入正确的用户名和密码才能访问私密存储空间和被加密的移动存储设备。当与他人共用同一台电脑时,该私密空间处于隐藏状态,其他用户不具备打开该空间读/写涉密文件的权限。StrongBox特点高度安全的加密保护机制:采用128位AES加密方式简单实用的数据隐藏功能:只有输入正确密码后,个人私密存储空间才能挂载私密空间的病毒危害隔离:基于文件驱动的只读保护功能彻底防止读取重要文件时感染病毒支持多用户分设独立密盘:软件默认支持多用户、多密盘,只需创建不同的用户名即可设置多个私密存储空间。多个私密存储空间可同时挂载支持移动存储设备加密控制,在离开StrongBox安装环境时也可使用在他人的电脑上使用自己的移动存储设备时,系统会自动提示选择是否读取私密存储空间,正确输入密码后即可访问使用简单,方便价格低廉StrongBox文件保险箱工作流程CofferDisk:针对企业或组织的信息泄露(员工离职、竞争对手收买内部人员、员工无意识泄密等)的状况,尤其是关键的客户信息、设计文档、技术资料、敏感的财务数据、投标文件……基于动态加解密技术,通过智能化安全策略,在不改变用户使用习惯和不限制计算机文件格式的前提下,将客户重要资料作为机密数据进行加密管理,严格控制有可能导致信息泄密的任何操作不仅适用于单机用户,更适合应用于企业或组织内部,同时可用于企业或组织对外进行涉密文档交付特点智能动态加解密,不必设置专门的IT管理员操作灵活简便,不改变用户计算机操作习惯不依赖网络环境,不必增设专用文档服务器支持两种工作模式,分级授权保证文档安全内核级安全控制,彻底阻断机密外泄渠道CofferDisk工作流程图Conquer安域信息管理平台实现了以终端数据防护为基础的内部信息保护,和以数据采集分析为核心的内部信息管理。它从企业需求出发,强调实现策略的集中管理和强制执行,提供了基于服务器/终端模式的全