關于涉密信息系統(tǒng)中多人共用涉密信息設備安全保密管理模式的探索

◎ 北京航天長征飛行器研究所 闕偉梁 裴宇涵 李鵬

一、引言

國內(nèi)針對涉密信息系統(tǒng)的安全保密管理體系已經(jīng)有很多研究和應用，企業(yè)結(jié)合自身的涉密程度、涉密等級、業(yè)務實際等情況，建立了符合國家相關保密標準要求的涉密信息系統(tǒng)安全保密管理體系。但是，企業(yè)很少針對涉密信息系統(tǒng)中多人共用涉密信息設備的安全保密管理模式進行深入的研究和探索。在實際的科研生產(chǎn)經(jīng)營過程中，企業(yè)普遍存在多人共用涉密信息設備的情況，如涉密會議計算機、涉密打印機、涉密便攜式計算機等。針對多人共用涉密信息設備的管理要求，國家已出臺相關的標準和要求，企業(yè)應結(jié)合自身特點，制定企業(yè)多人共用涉密信息設備的管理模式。

二、國家安全保密標準對多人共用涉密信息設備的要求

圖1 涉密信息系統(tǒng)安全保密管理體系框架圖[1]

《武器裝備科研生產(chǎn)單位保密資格標準》規(guī)定：多人共用一臺涉密信息設備時，應當以不擴大國家秘密的知悉范圍為原則。應當指派安全保密管理員或者專人擔任涉密計算機等信息設備的系統(tǒng)管理員，并為每個使用人分別設置不同的用戶標識和權(quán)限，嚴格按照用戶涉密等級和對國家秘密信息的知悉范圍，控制涉密信息的訪問權(quán)限，防止用戶查看或者獲取知悉范圍之外的涉密信息。多人共用一臺涉密信息設備時，除管理員外，使用者的權(quán)限應當設置為一般用戶，不得設置為系統(tǒng)管理員權(quán)限用戶。應當為每個使用人劃分一個獨立的硬盤涉密分區(qū)，除操作系統(tǒng)分區(qū)外，不得混用；或者在硬盤上采取符合國家保密標準的存儲保護系統(tǒng)存儲涉密信息；也可以配發(fā)專用移動存儲設備用于存儲和處理涉密信息。應當確保其中任何一個使用人在使用涉密計算機等信息設備時，不能以任何方式查看和獲取他人的涉密信息，確保國家的秘密安全[2]。

三、多人共用涉密信息設備在實際管理中存在的問題

通過解讀《武器裝備科研生產(chǎn)單位保密資格標準》發(fā)現(xiàn)，針對多人共用涉密信息設備最大的風險點在于知悉范圍擴大。《標準》通過技術和管理手段入手，提出針對性的解決辦法，通過限制使用者的權(quán)限，進而控制知悉范圍擴大的風險。企業(yè)在管理過程中，多人共用涉密信息設備存在以下問題：

（一）管理手段無法控制知悉范圍擴大的風險

企業(yè)沒有針對多人共用信息設備的情況制定專門的管理制度，往往參照普通信息設備進行管理，或者企業(yè)制定了制度而實際管理過程中執(zhí)行不到位，導致無法落實，難以做到控制知悉范圍擴大。

（二）技術手段不能滿足權(quán)限劃分要求

沒有針對多人共用計算機設置相應的信息設備安全策略，無法通過技術手段，根據(jù)每個人不同的涉密等級和對國家秘密信息的知悉范圍，控制涉密信息的訪問權(quán)限。

（三）缺乏有效的安全審計手段

無法通過管理和技術手段，及時有效地追溯每個使用者在共用信息設備上的操作行為。如信息設備出現(xiàn)泄密事件，無法準確的定位到違法行為和違法人員。

四、多人共用信息設備管理模式的設想

安全保密管理模式應是技術手段和管理手段雙管齊下。通過技術手段實現(xiàn)某些安全保密措施、控制某些權(quán)限、限制某些用戶，達到技術控制的目的。通過管理手段，制定有關管理制度，通過人防措施實現(xiàn)對信息設備的安全保密管理。只有技術手段和管理手段有效結(jié)合、相互協(xié)作、相互遵守，才能實現(xiàn)共用設備的安全保密管理。

（一）技術措施

合理制定計算機的安全保密技術管理措施，首先要全面了解計算機系統(tǒng)安全的基本體系架構(gòu)。通常計算機系統(tǒng)安全由物理硬件層、操作系統(tǒng)層、安全產(chǎn)品層、應用系統(tǒng)層組成。硬件層是物理硬件設備，一般指計算機主板、硬盤、內(nèi)存、網(wǎng)卡等。操作系統(tǒng)層主要包括Windows、Linux、麒麟O S等計算機操作系統(tǒng)。安全層是在操作系統(tǒng)層的基礎上，安裝部署安全保密產(chǎn)品，如：主機審計、漏洞掃描、防入侵檢測、殺毒軟件、加密軟件、端口管控等。應用層主要是指在操作系統(tǒng)層面上安裝部署一些應用軟件，如Office、CAD、CAM、CAE、ERP、PDM等軟件。四層安全技術防護相互獨立、相互協(xié)作，共同保證計算機系統(tǒng)的安全。

1.硬件層

物理硬件層常見的安全防護措施主要包括機箱鉛封，未使用的網(wǎng)口、端口采用物理封堵，B I O S設置（包括：禁用光驅(qū)啟動項、設置BIOS管理員口令和用戶口令、邏輯禁用未使用的串口、并口等）。

2.操作系統(tǒng)層

操作系統(tǒng)層主要是基于計算機操作系統(tǒng)進行的安全加固和安全設置，一般包括：操作系統(tǒng)補丁更新、組策略設置、系統(tǒng)管理員和域用戶設置、系統(tǒng)服務設置、系統(tǒng)日志設置等。

3.安全產(chǎn)品層

安全產(chǎn)品層主要是根據(jù)國家保密標準要求及企業(yè)自身的安全需求在操作系統(tǒng)層面上安裝第三方的安全產(chǎn)品軟件。一般包括：防病毒軟件、主機審計軟件、違規(guī)外連監(jiān)控、端口管控、打印刻錄行為監(jiān)控，同時還應對軟件進行相應的安全策略設置和定期升級等操作。

4.應用層

主要包括基礎通用軟件（Office、Acrobat、Flash等），應用系統(tǒng)軟件（門戶、郵箱、協(xié)同辦公等），工程專業(yè)軟件（CAD、CAE、Abaqus、Ansys等），一般針對應用層的安全防護主要在應用系統(tǒng)軟件方面進行的防護，主要包括系統(tǒng)的用戶管理、權(quán)限管理、信息流向控制、數(shù)據(jù)存儲防護等方面。

本文在計算機系統(tǒng)四層安全防護的基礎上，結(jié)合多人共用信息設備的特點，提出了中間層的概念，所謂中間層即是在物理硬件層和操作系統(tǒng)層之間增加“安全管理層”，如圖2所示。

中間層從底層操作系統(tǒng)層入手，基于可信計算的原理，在多人共用計算機操作系統(tǒng)和硬件之間構(gòu)建一個“安全管理層”，對操作系統(tǒng)進行安全可控?！鞍踩芾韺印辈捎酶讓拥纳葏^(qū)架構(gòu)，可以實現(xiàn)比操作系統(tǒng)更低一級的安全控制，該技術措施對多人共用計算機的安全防護帶來的優(yōu)點主要有以下幾個。

（1）避免多人共用計算機硬盤私拆、硬盤丟失造成的數(shù)據(jù)惡意恢復

“安全管理層”對用戶本地硬盤進行安全標識。以自有的安全架構(gòu)給用戶分配系統(tǒng)盤并進行隱藏，該區(qū)域以散亂扇區(qū)架構(gòu)存在。一旦用戶繞開系統(tǒng)管控，例如私拆硬盤、使用Win PE軟件等，用戶在系統(tǒng)上只能看到一個從未格式化的硬盤。用戶使用Easy Recovery等軟件進行數(shù)據(jù)反編譯查詢恢復操作，也無法搜尋到對應數(shù)據(jù)。從而確保了底層數(shù)據(jù)的安全。當用戶需要將數(shù)據(jù)外帶時，則可以引入傳統(tǒng)加密軟件的文檔外帶功能，對外帶的數(shù)據(jù)進行加密處理，從而確保了動態(tài)數(shù)據(jù)的安全。

圖2 計算機系統(tǒng)安全防護體系架構(gòu)圖

圖3 多人共用計算機硬盤數(shù)據(jù)結(jié)構(gòu)

“安全管理層”利用特有的安全計算框架，將操作系統(tǒng)及數(shù)據(jù)以扇區(qū)的架構(gòu)存儲在本地硬盤上，扇區(qū)數(shù)據(jù)指針技術可以有效的防止PE等工具的攻擊，確保數(shù)據(jù)存儲的安全性。

（2）提高多人共用計算機身份認證、網(wǎng)絡準入、設備認證和安全審計的安全性

“安全管理層”在IO控制驅(qū)動層引入認證微系統(tǒng)機制控制多人共用計算機主引導記錄、分區(qū)表、ID Table、ID Index等操作。在利用自主加密算法檢驗和加固內(nèi)核系統(tǒng)安全的同時，ID Table會將多人共用計算機分布式數(shù)據(jù)借助系統(tǒng)后端服務器的數(shù)據(jù)指針進行扇區(qū)數(shù)據(jù)的靜態(tài)數(shù)據(jù)呈現(xiàn)，且ID Index將IO控制器驅(qū)動和自主算法融合以滿足服務端的檢驗、認證和安全審計。

（3）保證多人共用計算機用戶數(shù)據(jù)的安全性

“安全管理層”通過專有的通訊協(xié)議與備份恢復服務端建立連接，多人共用計算機的數(shù)據(jù)文件在終端計算機的“安全管理層”與數(shù)據(jù)備份恢復系統(tǒng)后端服務的控制下呈現(xiàn)。終端計算機關閉安全進程，后端服務器將立即禁止數(shù)據(jù)指針被訪問，從而使得多人共用計算機無法獲取正確的數(shù)據(jù)，同時保證脫機狀態(tài)下數(shù)據(jù)無法讀取。

（4）避免多人共用計算機用戶數(shù)據(jù)知悉范圍擴大

備份恢復服務端管控多人共用計算機運行環(huán)境的所有配置信息。每次前一個用戶使用計算機后，系統(tǒng)通過預先設置的策略，在計算機啟動過程中，將計算機的運行環(huán)境恢復到默認的配置環(huán)境，從而可以將前一個用戶硬盤分區(qū)的數(shù)據(jù)全部清除，初始化為空白狀態(tài)，從而避免多人共用計算機數(shù)據(jù)文件知悉范圍擴大的風險。

（二）管理措施

在安全保密管理模式中，管理尤為重要。再好的技術手段，如果沒有規(guī)范的管理制度、高效的管理措施、嚴格的執(zhí)行要求，也無法保障管理模式的有效執(zhí)行。

1.規(guī)章制度

多人共用計算機需要制定專門的管理制度進行管理，計算機應設置專人進行管理，使用過程中嚴格實行使用登記制度，管理員需要對使用過程進行嚴格管理，包括詳細記錄使用人、使用時間、歸還時間等信息。

2.安全策略

多人共用計算機管理員應該設置符合實際使用需求和安全要求的安全策略，針對用戶變更和系統(tǒng)配置變更情況及時調(diào)整策略，并確保策略的可用性。

3.安全審計

系統(tǒng)“三員”應該定期對多人共用計算機進行安全審計，及時發(fā)現(xiàn)系統(tǒng)中存在的風險及用戶的違規(guī)使用操作行為。針對系統(tǒng)中發(fā)現(xiàn)的風險及時采取措施進行防護，針對用戶的違規(guī)操作行為及時上報并懲處。

五、結(jié)語

隨著多人共用計算機在企業(yè)涉密網(wǎng)絡中的應用越來越多，企業(yè)針對多人共用計算機安全保密管理模式的研究應加快步伐，國家針對多人共用計算機的標準也應進一步細化。該方向的研究可以為未來會議機的管理、虛擬化共享桌面、移動云辦公等未來集中辦公、多人辦公模式的發(fā)展方向奠定基礎。