◎ 北京航天長征飛行器研究所 闕偉梁 裴宇涵 李鵬

一、引言

國內(nèi)針對涉密信息系統(tǒng)的安全保密管理體系已經(jīng)有很多研究和應(yīng)用，企業(yè)結(jié)合自身的涉密程度、涉密等級、業(yè)務(wù)實際等情況，建立了符合國家相關(guān)保密標(biāo)準(zhǔn)要求的涉密信息系統(tǒng)安全保密管理體系。但是，企業(yè)很少針對涉密信息系統(tǒng)中多人共用涉密信息設(shè)備的安全保密管理模式進(jìn)行深入的研究和探索。在實際的科研生產(chǎn)經(jīng)營過程中，企業(yè)普遍存在多人共用涉密信息設(shè)備的情況，如涉密會議計算機、涉密打印機、涉密便攜式計算機等。針對多人共用涉密信息設(shè)備的管理要求，國家已出臺相關(guān)的標(biāo)準(zhǔn)和要求，企業(yè)應(yīng)結(jié)合自身特點，制定企業(yè)多人共用涉密信息設(shè)備的管理模式。

二、國家安全保密標(biāo)準(zhǔn)對多人共用涉密信息設(shè)備的要求

圖1 涉密信息系統(tǒng)安全保密管理體系框架圖[1]

《武器裝備科研生產(chǎn)單位保密資格標(biāo)準(zhǔn)》規(guī)定：多人共用一臺涉密信息設(shè)備時，應(yīng)當(dāng)以不擴(kuò)大國家秘密的知悉范圍為原則。應(yīng)當(dāng)指派安全保密管理員或者專人擔(dān)任涉密計算機等信息設(shè)備的系統(tǒng)管理員，并為每個使用人分別設(shè)置不同的用戶標(biāo)識和權(quán)限，嚴(yán)格按照用戶涉密等級和對國家秘密信息的知悉范圍，控制涉密信息的訪問權(quán)限，防止用戶查看或者獲取知悉范圍之外的涉密信息。多人共用一臺涉密信息設(shè)備時，除管理員外，使用者的權(quán)限應(yīng)當(dāng)設(shè)置為一般用戶，不得設(shè)置為系統(tǒng)管理員權(quán)限用戶。應(yīng)當(dāng)為每個使用人劃分一個獨立的硬盤涉密分區(qū)，除操作系統(tǒng)分區(qū)外，不得混用；或者在硬盤上采取符合國家保密標(biāo)準(zhǔn)的存儲保護(hù)系統(tǒng)存儲涉密信息；也可以配發(fā)專用移動存儲設(shè)備用于存儲和處理涉密信息。應(yīng)當(dāng)確保其中任何一個使用人在使用涉密計算機等信息設(shè)備時，不能以任何方式查看和獲取他人的涉密信息，確保國家的秘密安全[2]。

三、多人共用涉密信息設(shè)備在實際管理中存在的問題

通過解讀《武器裝備科研生產(chǎn)單位保密資格標(biāo)準(zhǔn)》發(fā)現(xiàn)，針對多人共用涉密信息設(shè)備最大的風(fēng)險點在于知悉范圍擴(kuò)大。《標(biāo)準(zhǔn)》通過技術(shù)和管理手段入手，提出針對性的解決辦法，通過限制使用者的權(quán)限，進(jìn)而控制知悉范圍擴(kuò)大的風(fēng)險。企業(yè)在管理過程中，多人共用涉密信息設(shè)備存在以下問題：

（一）管理手段無法控制知悉范圍擴(kuò)大的風(fēng)險

企業(yè)沒有針對多人共用信息設(shè)備的情況制定專門的管理制度，往往參照普通信息設(shè)備進(jìn)行管理，或者企業(yè)制定了制度而實際管理過程中執(zhí)行不到位，導(dǎo)致無法落實，難以做到控制知悉范圍擴(kuò)大。

（二）技術(shù)手段不能滿足權(quán)限劃分要求

沒有針對多人共用計算機設(shè)置相應(yīng)的信息設(shè)備安全策略，無法通過技術(shù)手段，根據(jù)每個人不同的涉密等級和對國家秘密信息的知悉范圍，控制涉密信息的訪問權(quán)限。

（三）缺乏有效的安全審計手段

無法通過管理和技術(shù)手段，及時有效地追溯每個使用者在共用信息設(shè)備上的操作行為。如信息設(shè)備出現(xiàn)泄密事件，無法準(zhǔn)確的定位到違法行為和違法人員。

四、多人共用信息設(shè)備管理模式的設(shè)想

安全保密管理模式應(yīng)是技術(shù)手段和管理手段雙管齊下。通過技術(shù)手段實現(xiàn)某些安全保密措施、控制某些權(quán)限、限制某些用戶，達(dá)到技術(shù)控制的目的。通過管理手段，制定有關(guān)管理制度，通過人防措施實現(xiàn)對信息設(shè)備的安全保密管理。只有技術(shù)手段和管理手段有效結(jié)合、相互協(xié)作、相互遵守，才能實現(xiàn)共用設(shè)備的安全保密管理。

（一）技術(shù)措施

合理制定計算機的安全保密技術(shù)管理措施，首先要全面了解計算機系統(tǒng)安全的基本體系架構(gòu)。通常計算機系統(tǒng)安全由物理硬件層、操作系統(tǒng)層、安全產(chǎn)品層、應(yīng)用系統(tǒng)層組成。硬件層是物理硬件設(shè)備，一般指計算機主板、硬盤、內(nèi)存、網(wǎng)卡等。操作系統(tǒng)層主要包括Windows、Linux、麒麟O S等計算機操作系統(tǒng)。安全層是在操作系統(tǒng)層的基礎(chǔ)上，安裝部署安全保密產(chǎn)品，如：主機審計、漏洞掃描、防入侵檢測、殺毒軟件、加密軟件、端口管控等。應(yīng)用層主要是指在操作系統(tǒng)層面上安裝部署一些應(yīng)用軟件，如Office、CAD、CAM、CAE、ERP、PDM等軟件。四層安全技術(shù)防護(hù)相互獨立、相互協(xié)作，共同保證計算機系統(tǒng)的安全。

1.硬件層

物理硬件層常見的安全防護(hù)措施主要包括機箱鉛封，未使用的網(wǎng)口、端口采用物理封堵，B I O S設(shè)置（包括：禁用光驅(qū)啟動項、設(shè)置BIOS管理員口令和用戶口令、邏輯禁用未使用的串口、并口等）。

2.操作系統(tǒng)層

操作系統(tǒng)層主要是基于計算機操作系統(tǒng)進(jìn)行的安全加固和安全設(shè)置，一般包括：操作系統(tǒng)補丁更新、組策略設(shè)置、系統(tǒng)管理員和域用戶設(shè)置、系統(tǒng)服務(wù)設(shè)置、系統(tǒng)日志設(shè)置等。

3.安全產(chǎn)品層

安全產(chǎn)品層主要是根據(jù)國家保密標(biāo)準(zhǔn)要求及企業(yè)自身的安全需求在操作系統(tǒng)層面上安裝第三方的安全產(chǎn)品軟件。一般包括：防病毒軟件、主機審計軟件、違規(guī)外連監(jiān)控、端口管控、打印刻錄行為監(jiān)控，同時還應(yīng)對軟件進(jìn)行相應(yīng)的安全策略設(shè)置和定期升級等操作。

4.應(yīng)用層

主要包括基礎(chǔ)通用軟件（Office、Acrobat、Flash等），應(yīng)用系統(tǒng)軟件（門戶、郵箱、協(xié)同辦公等），工程專業(yè)軟件（CAD、CAE、Abaqus、Ansys等），一般針對應(yīng)用層的安全防護(hù)主要在應(yīng)用系統(tǒng)軟件方面進(jìn)行的防護(hù)，主要包括系統(tǒng)的用戶管理、權(quán)限管理、信息流向控制、數(shù)據(jù)存儲防護(hù)等方面。

本文在計算機系統(tǒng)四層安全防護(hù)的基礎(chǔ)上，結(jié)合多人共用信息設(shè)備的特點，提出了中間層的概念，所謂中間層即是在物理硬件層和操作系統(tǒng)層之間增加“安全管理層”，如圖2所示。

中間層從底層操作系統(tǒng)層入手，基于可信計算的原理，在多人共用計算機操作系統(tǒng)和硬件之間構(gòu)建一個“安全管理層”，對操作系統(tǒng)進(jìn)行安全可控。“安全管理層”采用更底層的扇區(qū)架構(gòu)，可以實現(xiàn)比操作系統(tǒng)更低一級的安全控制，該技術(shù)措施對多人共用計算機的安全防護(hù)帶來的優(yōu)點主要有以下幾個。

（1）避免多人共用計算機硬盤私拆、硬盤丟失造成的數(shù)據(jù)惡意恢復(fù)

“安全管理層”對用戶本地硬盤進(jìn)行安全標(biāo)識。以自有的安全架構(gòu)給用戶分配系統(tǒng)盤并進(jìn)行隱藏，該區(qū)域以散亂扇區(qū)架構(gòu)存在。一旦用戶繞開系統(tǒng)管控，例如私拆硬盤、使用Win PE軟件等，用戶在系統(tǒng)上只能看到一個從未格式化的硬盤。用戶使用Easy Recovery等軟件進(jìn)行數(shù)據(jù)反編譯查詢恢復(fù)操作，也無法搜尋到對應(yīng)數(shù)據(jù)。從而確保了底層數(shù)據(jù)的安全。當(dāng)用戶需要將數(shù)據(jù)外帶時，則可以引入傳統(tǒng)加密軟件的文檔外帶功能，對外帶的數(shù)據(jù)進(jìn)行加密處理，從而確保了動態(tài)數(shù)據(jù)的安全。

圖2 計算機系統(tǒng)安全防護(hù)體系架構(gòu)圖

圖3 多人共用計算機硬盤數(shù)據(jù)結(jié)構(gòu)

“安全管理層”利用特有的安全計算框架，將操作系統(tǒng)及數(shù)據(jù)以扇區(qū)的架構(gòu)存儲在本地硬盤上，扇區(qū)數(shù)據(jù)指針技術(shù)可以有效的防止PE等工具的攻擊，確保數(shù)據(jù)存儲的安全性。

（2）提高多人共用計算機身份認(rèn)證、網(wǎng)絡(luò)準(zhǔn)入、設(shè)備認(rèn)證和安全審計的安全性

“安全管理層”在IO控制驅(qū)動層引入認(rèn)證微系統(tǒng)機制控制多人共用計算機主引導(dǎo)記錄、分區(qū)表、ID Table、ID Index等操作。在利用自主加密算法檢驗和加固內(nèi)核系統(tǒng)安全的同時，ID Table會將多人共用計算機分布式數(shù)據(jù)借助系統(tǒng)后端服務(wù)器的數(shù)據(jù)指針進(jìn)行扇區(qū)數(shù)據(jù)的靜態(tài)數(shù)據(jù)呈現(xiàn)，且ID Index將IO控制器驅(qū)動和自主算法融合以滿足服務(wù)端的檢驗、認(rèn)證和安全審計。

（3）保證多人共用計算機用戶數(shù)據(jù)的安全性

“安全管理層”通過專有的通訊協(xié)議與備份恢復(fù)服務(wù)端建立連接，多人共用計算機的數(shù)據(jù)文件在終端計算機的“安全管理層”與數(shù)據(jù)備份恢復(fù)系統(tǒng)后端服務(wù)的控制下呈現(xiàn)。終端計算機關(guān)閉安全進(jìn)程，后端服務(wù)器將立即禁止數(shù)據(jù)指針被訪問，從而使得多人共用計算機無法獲取正確的數(shù)據(jù)，同時保證脫機狀態(tài)下數(shù)據(jù)無法讀取。

（4）避免多人共用計算機用戶數(shù)據(jù)知悉范圍擴(kuò)大

備份恢復(fù)服務(wù)端管控多人共用計算機運行環(huán)境的所有配置信息。每次前一個用戶使用計算機后，系統(tǒng)通過預(yù)先設(shè)置的策略，在計算機啟動過程中，將計算機的運行環(huán)境恢復(fù)到默認(rèn)的配置環(huán)境，從而可以將前一個用戶硬盤分區(qū)的數(shù)據(jù)全部清除，初始化為空白狀態(tài)，從而避免多人共用計算機數(shù)據(jù)文件知悉范圍擴(kuò)大的風(fēng)險。

（二）管理措施

在安全保密管理模式中，管理尤為重要。再好的技術(shù)手段，如果沒有規(guī)范的管理制度、高效的管理措施、嚴(yán)格的執(zhí)行要求，也無法保障管理模式的有效執(zhí)行。

1.規(guī)章制度

多人共用計算機需要制定專門的管理制度進(jìn)行管理，計算機應(yīng)設(shè)置專人進(jìn)行管理，使用過程中嚴(yán)格實行使用登記制度，管理員需要對使用過程進(jìn)行嚴(yán)格管理，包括詳細(xì)記錄使用人、使用時間、歸還時間等信息。

2.安全策略

多人共用計算機管理員應(yīng)該設(shè)置符合實際使用需求和安全要求的安全策略，針對用戶變更和系統(tǒng)配置變更情況及時調(diào)整策略，并確保策略的可用性。

3.安全審計

系統(tǒng)“三員”應(yīng)該定期對多人共用計算機進(jìn)行安全審計，及時發(fā)現(xiàn)系統(tǒng)中存在的風(fēng)險及用戶的違規(guī)使用操作行為。針對系統(tǒng)中發(fā)現(xiàn)的風(fēng)險及時采取措施進(jìn)行防護(hù)，針對用戶的違規(guī)操作行為及時上報并懲處。

五、結(jié)語

隨著多人共用計算機在企業(yè)涉密網(wǎng)絡(luò)中的應(yīng)用越來越多，企業(yè)針對多人共用計算機安全保密管理模式的研究應(yīng)加快步伐，國家針對多人共用計算機的標(biāo)準(zhǔn)也應(yīng)進(jìn)一步細(xì)化。該方向的研究可以為未來會議機的管理、虛擬化共享桌面、移動云辦公等未來集中辦公、多人辦公模式的發(fā)展方向奠定基礎(chǔ)。