敏感信息系統(tǒng)防護困難重重

隨著計算機的普及應用,無論政府、軍隊、企事業(yè)單位,還是承擔國家項目的科研部門,都有大量的敏感信息資料存儲在終端計算機中。

易被忽視的個體

主流用戶使用的含有重要信息的計算機,表面上是受用戶自己控制,其實卻不盡然。普通單機面臨一些最基本的威脅,比如沒有自主的核心芯片,開放式操作系統(tǒng)的安全級別較低,系統(tǒng)登錄不安全,數(shù)據(jù)存儲不安全,軟件編程BUG突出等等。對用戶來說,含有重要信息的網(wǎng)絡中易被忽視的個體——單機的安全保障是個大問題。

信息系統(tǒng)的安全設計,必須兼顧信息安全的三要素,即秘密性、完整性、可用性,這是一個復雜的系統(tǒng)工程。

首先,信息系統(tǒng)必須實現(xiàn)三個基本認證,分別是:系統(tǒng)安全登錄認證、可信網(wǎng)絡接入認證和可信程序運行認證。

其次,信息系統(tǒng)要突出幾個基本控制項目:1.嚴格、全面的非法外聯(lián)監(jiān)控;2.監(jiān)控各種易于導致信息外泄的途徑,如各種看不見的端口和可見的外設,以及終端用戶的敏感行為;3.實現(xiàn)系統(tǒng)內(nèi)重要數(shù)據(jù)的安全存儲、銷毀。

除了上述兩點之外,現(xiàn)實中信息系統(tǒng)仍存在一些迫切需要解決的問題:1.對移動存儲介質的有效控制,實現(xiàn)可信管理;2.敏感信息系統(tǒng)單機長期面臨的病毒和木馬威脅。

目前多數(shù)單機的防護思路是在既有操作系統(tǒng)上加載軟件。這種方式就像建立在沙丘之上的堡壘,存在致命的弱點。例如,操作系統(tǒng)本身不安全;硬盤丟失,所有重要信息數(shù)據(jù)將全部暴露等等。

安全防護的“硬”道理

在不改變現(xiàn)有產(chǎn)品體系結構和產(chǎn)業(yè)生態(tài)鏈的前提下,能不能找到一種方式,滿足敏感信息系統(tǒng)單機的安全防護需求?

目前,鼎普科技開發(fā)的一種以PCI適配卡為硬件載體、基于BIOS級別的安全解決方案,可以實現(xiàn)對含有重要敏感信息單機的安全保護,是目前條件下比較有效的信息安全解決思路。

簡單地說,PCI是Intel公司開發(fā)的外設組件互連標準。計算機內(nèi)安裝的遵從PCI標準的擴展卡即為PCI卡。BIOS是固化在主板芯片上的一組程序,為整機提供最底層、最直接的硬件設置和控制。

這種方案的設計思路基于以下事實:PCI總線已成為當今敏感信息系統(tǒng)單機使用的事實總線標準,具有豐富的硬件資源,不易受資源環(huán)境限制。同時,PCI設備配置空間采用自動方式,反跟蹤能力強。而從BIOS級別上對敏感信息系統(tǒng)單機進行防護,是較高層次的技術實現(xiàn)途徑,可行并有效。

將硬件載體設計成PCI適配卡,可以先于操作系統(tǒng)為敏感信息系統(tǒng)單機提供啟動的密碼口令保護和指紋識別驗證,并在BIOS級別上對敏感信息系統(tǒng)單機的各種輸入輸出接口和設備的使用情況進行監(jiān)控和審計。

其次,對硬盤實施整盤加密,并強制BIOS從硬盤啟動而不管BIOS上設置的啟動順序,可以防止用戶在系統(tǒng)啟動前非法使用光驅,保證敏感信息系統(tǒng)單機只有在正確授權的情況下才能夠使用,否則敏感信息系統(tǒng)單機將被強制關閉。

正確的口令和指紋樣本,以及硬盤加解密的密鑰以何種形式保存,是一個關乎系統(tǒng)結構安全性的問題。在這種基于PCI總線的BIOS防護卡解決方案中,設計了一個附帶的便攜式Key,用來存儲這些重要數(shù)據(jù),與主卡分離保存。

從總體上看,以PCI適配卡為硬件載體、基于BIOS級別的安全系統(tǒng),不會因卸載或者重新安裝操作系統(tǒng)等因素而失效,無需安裝任何應用軟件或驅動程序,也不會因人為的插拔硬件卡而使含有重要信息的單機硬盤數(shù)據(jù)處于暴露狀態(tài)。

這種解決方案最大的優(yōu)點是實現(xiàn)了真正意義上的單機管理——所有控制、操作、實施都在單機上完成,最終達成一個目標:建立一體化的可用、可信、可控的敏感單機信息系統(tǒng)。

■ 文/北京鼎普科技股份有限公司 萬俊