◎ 北京航天長(zhǎng)征飛行器研究所 闕偉梁 裴宇涵 李鵬

一、引言

國內(nèi)針對(duì)涉密信息系統(tǒng)的安全保密管理體系已經(jīng)有很多研究和應(yīng)用，企業(yè)結(jié)合自身的涉密程度、涉密等級(jí)、業(yè)務(wù)實(shí)際等情況，建立了符合國家相關(guān)保密標(biāo)準(zhǔn)要求的涉密信息系統(tǒng)安全保密管理體系。但是，企業(yè)很少針對(duì)涉密信息系統(tǒng)中多人共用涉密信息設(shè)備的安全保密管理模式進(jìn)行深入的研究和探索。在實(shí)際的科研生產(chǎn)經(jīng)營(yíng)過程中，企業(yè)普遍存在多人共用涉密信息設(shè)備的情況，如涉密會(huì)議計(jì)算機(jī)、涉密打印機(jī)、涉密便攜式計(jì)算機(jī)等。針對(duì)多人共用涉密信息設(shè)備的管理要求，國家已出臺(tái)相關(guān)的標(biāo)準(zhǔn)和要求，企業(yè)應(yīng)結(jié)合自身特點(diǎn)，制定企業(yè)多人共用涉密信息設(shè)備的管理模式。

二、國家安全保密標(biāo)準(zhǔn)對(duì)多人共用涉密信息設(shè)備的要求

圖1 涉密信息系統(tǒng)安全保密管理體系框架圖[1]

《武器裝備科研生產(chǎn)單位保密資格標(biāo)準(zhǔn)》規(guī)定：多人共用一臺(tái)涉密信息設(shè)備時(shí)，應(yīng)當(dāng)以不擴(kuò)大國家秘密的知悉范圍為原則。應(yīng)當(dāng)指派安全保密管理員或者專人擔(dān)任涉密計(jì)算機(jī)等信息設(shè)備的系統(tǒng)管理員，并為每個(gè)使用人分別設(shè)置不同的用戶標(biāo)識(shí)和權(quán)限，嚴(yán)格按照用戶涉密等級(jí)和對(duì)國家秘密信息的知悉范圍，控制涉密信息的訪問權(quán)限，防止用戶查看或者獲取知悉范圍之外的涉密信息。多人共用一臺(tái)涉密信息設(shè)備時(shí)，除管理員外，使用者的權(quán)限應(yīng)當(dāng)設(shè)置為一般用戶，不得設(shè)置為系統(tǒng)管理員權(quán)限用戶。應(yīng)當(dāng)為每個(gè)使用人劃分一個(gè)獨(dú)立的硬盤涉密分區(qū)，除操作系統(tǒng)分區(qū)外，不得混用；或者在硬盤上采取符合國家保密標(biāo)準(zhǔn)的存儲(chǔ)保護(hù)系統(tǒng)存儲(chǔ)涉密信息；也可以配發(fā)專用移動(dòng)存儲(chǔ)設(shè)備用于存儲(chǔ)和處理涉密信息。應(yīng)當(dāng)確保其中任何一個(gè)使用人在使用涉密計(jì)算機(jī)等信息設(shè)備時(shí)，不能以任何方式查看和獲取他人的涉密信息，確保國家的秘密安全[2]。

三、多人共用涉密信息設(shè)備在實(shí)際管理中存在的問題

通過解讀《武器裝備科研生產(chǎn)單位保密資格標(biāo)準(zhǔn)》發(fā)現(xiàn)，針對(duì)多人共用涉密信息設(shè)備最大的風(fēng)險(xiǎn)點(diǎn)在于知悉范圍擴(kuò)大?！稑?biāo)準(zhǔn)》通過技術(shù)和管理手段入手，提出針對(duì)性的解決辦法，通過限制使用者的權(quán)限，進(jìn)而控制知悉范圍擴(kuò)大的風(fēng)險(xiǎn)。企業(yè)在管理過程中，多人共用涉密信息設(shè)備存在以下問題：

（一）管理手段無法控制知悉范圍擴(kuò)大的風(fēng)險(xiǎn)

企業(yè)沒有針對(duì)多人共用信息設(shè)備的情況制定專門的管理制度，往往參照普通信息設(shè)備進(jìn)行管理，或者企業(yè)制定了制度而實(shí)際管理過程中執(zhí)行不到位，導(dǎo)致無法落實(shí)，難以做到控制知悉范圍擴(kuò)大。

（二）技術(shù)手段不能滿足權(quán)限劃分要求

沒有針對(duì)多人共用計(jì)算機(jī)設(shè)置相應(yīng)的信息設(shè)備安全策略，無法通過技術(shù)手段，根據(jù)每個(gè)人不同的涉密等級(jí)和對(duì)國家秘密信息的知悉范圍，控制涉密信息的訪問權(quán)限。

（三）缺乏有效的安全審計(jì)手段

無法通過管理和技術(shù)手段，及時(shí)有效地追溯每個(gè)使用者在共用信息設(shè)備上的操作行為。如信息設(shè)備出現(xiàn)泄密事件，無法準(zhǔn)確的定位到違法行為和違法人員。

四、多人共用信息設(shè)備管理模式的設(shè)想

安全保密管理模式應(yīng)是技術(shù)手段和管理手段雙管齊下。通過技術(shù)手段實(shí)現(xiàn)某些安全保密措施、控制某些權(quán)限、限制某些用戶，達(dá)到技術(shù)控制的目的。通過管理手段，制定有關(guān)管理制度，通過人防措施實(shí)現(xiàn)對(duì)信息設(shè)備的安全保密管理。只有技術(shù)手段和管理手段有效結(jié)合、相互協(xié)作、相互遵守，才能實(shí)現(xiàn)共用設(shè)備的安全保密管理。

（一）技術(shù)措施

合理制定計(jì)算機(jī)的安全保密技術(shù)管理措施，首先要全面了解計(jì)算機(jī)系統(tǒng)安全的基本體系架構(gòu)。通常計(jì)算機(jī)系統(tǒng)安全由物理硬件層、操作系統(tǒng)層、安全產(chǎn)品層、應(yīng)用系統(tǒng)層組成。硬件層是物理硬件設(shè)備，一般指計(jì)算機(jī)主板、硬盤、內(nèi)存、網(wǎng)卡等。操作系統(tǒng)層主要包括Windows、Linux、麒麟O S等計(jì)算機(jī)操作系統(tǒng)。安全層是在操作系統(tǒng)層的基礎(chǔ)上，安裝部署安全保密產(chǎn)品，如：主機(jī)審計(jì)、漏洞掃描、防入侵檢測(cè)、殺毒軟件、加密軟件、端口管控等。應(yīng)用層主要是指在操作系統(tǒng)層面上安裝部署一些應(yīng)用軟件，如Office、CAD、CAM、CAE、ERP、PDM等軟件。四層安全技術(shù)防護(hù)相互獨(dú)立、相互協(xié)作，共同保證計(jì)算機(jī)系統(tǒng)的安全。

1.硬件層

物理硬件層常見的安全防護(hù)措施主要包括機(jī)箱鉛封，未使用的網(wǎng)口、端口采用物理封堵，B I O S設(shè)置（包括：禁用光驅(qū)啟動(dòng)項(xiàng)、設(shè)置BIOS管理員口令和用戶口令、邏輯禁用未使用的串口、并口等）。

2.操作系統(tǒng)層

操作系統(tǒng)層主要是基于計(jì)算機(jī)操作系統(tǒng)進(jìn)行的安全加固和安全設(shè)置，一般包括：操作系統(tǒng)補(bǔ)丁更新、組策略設(shè)置、系統(tǒng)管理員和域用戶設(shè)置、系統(tǒng)服務(wù)設(shè)置、系統(tǒng)日志設(shè)置等。

3.安全產(chǎn)品層

安全產(chǎn)品層主要是根據(jù)國家保密標(biāo)準(zhǔn)要求及企業(yè)自身的安全需求在操作系統(tǒng)層面上安裝第三方的安全產(chǎn)品軟件。一般包括：防病毒軟件、主機(jī)審計(jì)軟件、違規(guī)外連監(jiān)控、端口管控、打印刻錄行為監(jiān)控，同時(shí)還應(yīng)對(duì)軟件進(jìn)行相應(yīng)的安全策略設(shè)置和定期升級(jí)等操作。

4.應(yīng)用層

主要包括基礎(chǔ)通用軟件（Office、Acrobat、Flash等），應(yīng)用系統(tǒng)軟件（門戶、郵箱、協(xié)同辦公等），工程專業(yè)軟件（CAD、CAE、Abaqus、Ansys等），一般針對(duì)應(yīng)用層的安全防護(hù)主要在應(yīng)用系統(tǒng)軟件方面進(jìn)行的防護(hù)，主要包括系統(tǒng)的用戶管理、權(quán)限管理、信息流向控制、數(shù)據(jù)存儲(chǔ)防護(hù)等方面。

本文在計(jì)算機(jī)系統(tǒng)四層安全防護(hù)的基礎(chǔ)上，結(jié)合多人共用信息設(shè)備的特點(diǎn)，提出了中間層的概念，所謂中間層即是在物理硬件層和操作系統(tǒng)層之間增加“安全管理層”，如圖2所示。

中間層從底層操作系統(tǒng)層入手，基于可信計(jì)算的原理，在多人共用計(jì)算機(jī)操作系統(tǒng)和硬件之間構(gòu)建一個(gè)“安全管理層”，對(duì)操作系統(tǒng)進(jìn)行安全可控?！鞍踩芾韺印辈捎酶讓拥纳葏^(qū)架構(gòu)，可以實(shí)現(xiàn)比操作系統(tǒng)更低一級(jí)的安全控制，該技術(shù)措施對(duì)多人共用計(jì)算機(jī)的安全防護(hù)帶來的優(yōu)點(diǎn)主要有以下幾個(gè)。

（1）避免多人共用計(jì)算機(jī)硬盤私拆、硬盤丟失造成的數(shù)據(jù)惡意恢復(fù)

“安全管理層”對(duì)用戶本地硬盤進(jìn)行安全標(biāo)識(shí)。以自有的安全架構(gòu)給用戶分配系統(tǒng)盤并進(jìn)行隱藏，該區(qū)域以散亂扇區(qū)架構(gòu)存在。一旦用戶繞開系統(tǒng)管控，例如私拆硬盤、使用Win PE軟件等，用戶在系統(tǒng)上只能看到一個(gè)從未格式化的硬盤。用戶使用Easy Recovery等軟件進(jìn)行數(shù)據(jù)反編譯查詢恢復(fù)操作，也無法搜尋到對(duì)應(yīng)數(shù)據(jù)。從而確保了底層數(shù)據(jù)的安全。當(dāng)用戶需要將數(shù)據(jù)外帶時(shí)，則可以引入傳統(tǒng)加密軟件的文檔外帶功能，對(duì)外帶的數(shù)據(jù)進(jìn)行加密處理，從而確保了動(dòng)態(tài)數(shù)據(jù)的安全。

圖2 計(jì)算機(jī)系統(tǒng)安全防護(hù)體系架構(gòu)圖

圖3 多人共用計(jì)算機(jī)硬盤數(shù)據(jù)結(jié)構(gòu)

“安全管理層”利用特有的安全計(jì)算框架，將操作系統(tǒng)及數(shù)據(jù)以扇區(qū)的架構(gòu)存儲(chǔ)在本地硬盤上，扇區(qū)數(shù)據(jù)指針技術(shù)可以有效的防止PE等工具的攻擊，確保數(shù)據(jù)存儲(chǔ)的安全性。

（2）提高多人共用計(jì)算機(jī)身份認(rèn)證、網(wǎng)絡(luò)準(zhǔn)入、設(shè)備認(rèn)證和安全審計(jì)的安全性

“安全管理層”在IO控制驅(qū)動(dòng)層引入認(rèn)證微系統(tǒng)機(jī)制控制多人共用計(jì)算機(jī)主引導(dǎo)記錄、分區(qū)表、ID Table、ID Index等操作。在利用自主加密算法檢驗(yàn)和加固內(nèi)核系統(tǒng)安全的同時(shí)，ID Table會(huì)將多人共用計(jì)算機(jī)分布式數(shù)據(jù)借助系統(tǒng)后端服務(wù)器的數(shù)據(jù)指針進(jìn)行扇區(qū)數(shù)據(jù)的靜態(tài)數(shù)據(jù)呈現(xiàn)，且ID Index將IO控制器驅(qū)動(dòng)和自主算法融合以滿足服務(wù)端的檢驗(yàn)、認(rèn)證和安全審計(jì)。

（3）保證多人共用計(jì)算機(jī)用戶數(shù)據(jù)的安全性

“安全管理層”通過專有的通訊協(xié)議與備份恢復(fù)服務(wù)端建立連接，多人共用計(jì)算機(jī)的數(shù)據(jù)文件在終端計(jì)算機(jī)的“安全管理層”與數(shù)據(jù)備份恢復(fù)系統(tǒng)后端服務(wù)的控制下呈現(xiàn)。終端計(jì)算機(jī)關(guān)閉安全進(jìn)程，后端服務(wù)器將立即禁止數(shù)據(jù)指針被訪問，從而使得多人共用計(jì)算機(jī)無法獲取正確的數(shù)據(jù)，同時(shí)保證脫機(jī)狀態(tài)下數(shù)據(jù)無法讀取。

（4）避免多人共用計(jì)算機(jī)用戶數(shù)據(jù)知悉范圍擴(kuò)大

備份恢復(fù)服務(wù)端管控多人共用計(jì)算機(jī)運(yùn)行環(huán)境的所有配置信息。每次前一個(gè)用戶使用計(jì)算機(jī)后，系統(tǒng)通過預(yù)先設(shè)置的策略，在計(jì)算機(jī)啟動(dòng)過程中，將計(jì)算機(jī)的運(yùn)行環(huán)境恢復(fù)到默認(rèn)的配置環(huán)境，從而可以將前一個(gè)用戶硬盤分區(qū)的數(shù)據(jù)全部清除，初始化為空白狀態(tài)，從而避免多人共用計(jì)算機(jī)數(shù)據(jù)文件知悉范圍擴(kuò)大的風(fēng)險(xiǎn)。

（二）管理措施

在安全保密管理模式中，管理尤為重要。再好的技術(shù)手段，如果沒有規(guī)范的管理制度、高效的管理措施、嚴(yán)格的執(zhí)行要求，也無法保障管理模式的有效執(zhí)行。

1.規(guī)章制度

多人共用計(jì)算機(jī)需要制定專門的管理制度進(jìn)行管理，計(jì)算機(jī)應(yīng)設(shè)置專人進(jìn)行管理，使用過程中嚴(yán)格實(shí)行使用登記制度，管理員需要對(duì)使用過程進(jìn)行嚴(yán)格管理，包括詳細(xì)記錄使用人、使用時(shí)間、歸還時(shí)間等信息。

2.安全策略

多人共用計(jì)算機(jī)管理員應(yīng)該設(shè)置符合實(shí)際使用需求和安全要求的安全策略，針對(duì)用戶變更和系統(tǒng)配置變更情況及時(shí)調(diào)整策略，并確保策略的可用性。

3.安全審計(jì)

系統(tǒng)“三員”應(yīng)該定期對(duì)多人共用計(jì)算機(jī)進(jìn)行安全審計(jì)，及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的風(fēng)險(xiǎn)及用戶的違規(guī)使用操作行為。針對(duì)系統(tǒng)中發(fā)現(xiàn)的風(fēng)險(xiǎn)及時(shí)采取措施進(jìn)行防護(hù)，針對(duì)用戶的違規(guī)操作行為及時(shí)上報(bào)并懲處。

五、結(jié)語

隨著多人共用計(jì)算機(jī)在企業(yè)涉密網(wǎng)絡(luò)中的應(yīng)用越來越多，企業(yè)針對(duì)多人共用計(jì)算機(jī)安全保密管理模式的研究應(yīng)加快步伐，國家針對(duì)多人共用計(jì)算機(jī)的標(biāo)準(zhǔn)也應(yīng)進(jìn)一步細(xì)化。該方向的研究可以為未來會(huì)議機(jī)的管理、虛擬化共享桌面、移動(dòng)云辦公等未來集中辦公、多人辦公模式的發(fā)展方向奠定基礎(chǔ)。