關于涉密信息系統中多人共用涉密信息設備安全保密管理模式的探索

◎ 北京航天長征飛行器研究所 闕偉梁 裴宇涵 李鵬

一、引言

國內針對涉密信息系統的安全保密管理體系已經有很多研究和應用，企業結合自身的涉密程度、涉密等級、業務實際等情況，建立了符合國家相關保密標準要求的涉密信息系統安全保密管理體系。但是，企業很少針對涉密信息系統中多人共用涉密信息設備的安全保密管理模式進行深入的研究和探索。在實際的科研生產經營過程中，企業普遍存在多人共用涉密信息設備的情況，如涉密會議計算機、涉密打印機、涉密便攜式計算機等。針對多人共用涉密信息設備的管理要求，國家已出臺相關的標準和要求，企業應結合自身特點，制定企業多人共用涉密信息設備的管理模式。

二、國家安全保密標準對多人共用涉密信息設備的要求

圖1 涉密信息系統安全保密管理體系框架圖[1]

《武器裝備科研生產單位保密資格標準》規定：多人共用一臺涉密信息設備時，應當以不擴大國家秘密的知悉范圍為原則。應當指派安全保密管理員或者專人擔任涉密計算機等信息設備的系統管理員，并為每個使用人分別設置不同的用戶標識和權限，嚴格按照用戶涉密等級和對國家秘密信息的知悉范圍，控制涉密信息的訪問權限，防止用戶查看或者獲取知悉范圍之外的涉密信息。多人共用一臺涉密信息設備時，除管理員外，使用者的權限應當設置為一般用戶，不得設置為系統管理員權限用戶。應當為每個使用人劃分一個獨立的硬盤涉密分區，除操作系統分區外，不得混用；或者在硬盤上采取符合國家保密標準的存儲保護系統存儲涉密信息；也可以配發專用移動存儲設備用于存儲和處理涉密信息。應當確保其中任何一個使用人在使用涉密計算機等信息設備時，不能以任何方式查看和獲取他人的涉密信息，確保國家的秘密安全[2]。

三、多人共用涉密信息設備在實際管理中存在的問題

通過解讀《武器裝備科研生產單位保密資格標準》發現，針對多人共用涉密信息設備最大的風險點在于知悉范圍擴大?！稑藴省吠ㄟ^技術和管理手段入手，提出針對性的解決辦法，通過限制使用者的權限，進而控制知悉范圍擴大的風險。企業在管理過程中，多人共用涉密信息設備存在以下問題：

（一）管理手段無法控制知悉范圍擴大的風險

企業沒有針對多人共用信息設備的情況制定專門的管理制度，往往參照普通信息設備進行管理，或者企業制定了制度而實際管理過程中執行不到位，導致無法落實，難以做到控制知悉范圍擴大。

（二）技術手段不能滿足權限劃分要求

沒有針對多人共用計算機設置相應的信息設備安全策略，無法通過技術手段，根據每個人不同的涉密等級和對國家秘密信息的知悉范圍，控制涉密信息的訪問權限。

（三）缺乏有效的安全審計手段

無法通過管理和技術手段，及時有效地追溯每個使用者在共用信息設備上的操作行為。如信息設備出現泄密事件，無法準確的定位到違法行為和違法人員。

四、多人共用信息設備管理模式的設想

安全保密管理模式應是技術手段和管理手段雙管齊下。通過技術手段實現某些安全保密措施、控制某些權限、限制某些用戶，達到技術控制的目的。通過管理手段，制定有關管理制度，通過人防措施實現對信息設備的安全保密管理。只有技術手段和管理手段有效結合、相互協作、相互遵守，才能實現共用設備的安全保密管理。

（一）技術措施

合理制定計算機的安全保密技術管理措施，首先要全面了解計算機系統安全的基本體系架構。通常計算機系統安全由物理硬件層、操作系統層、安全產品層、應用系統層組成。硬件層是物理硬件設備，一般指計算機主板、硬盤、內存、網卡等。操作系統層主要包括Windows、Linux、麒麟O S等計算機操作系統。安全層是在操作系統層的基礎上，安裝部署安全保密產品，如：主機審計、漏洞掃描、防入侵檢測、殺毒軟件、加密軟件、端口管控等。應用層主要是指在操作系統層面上安裝部署一些應用軟件，如Office、CAD、CAM、CAE、ERP、PDM等軟件。四層安全技術防護相互獨立、相互協作，共同保證計算機系統的安全。

1.硬件層

物理硬件層常見的安全防護措施主要包括機箱鉛封，未使用的網口、端口采用物理封堵，B I O S設置（包括：禁用光驅啟動項、設置BIOS管理員口令和用戶口令、邏輯禁用未使用的串口、并口等）。

2.操作系統層

操作系統層主要是基于計算機操作系統進行的安全加固和安全設置，一般包括：操作系統補丁更新、組策略設置、系統管理員和域用戶設置、系統服務設置、系統日志設置等。

3.安全產品層

安全產品層主要是根據國家保密標準要求及企業自身的安全需求在操作系統層面上安裝第三方的安全產品軟件。一般包括：防病毒軟件、主機審計軟件、違規外連監控、端口管控、打印刻錄行為監控，同時還應對軟件進行相應的安全策略設置和定期升級等操作。

4.應用層

主要包括基礎通用軟件（Office、Acrobat、Flash等），應用系統軟件（門戶、郵箱、協同辦公等），工程專業軟件（CAD、CAE、Abaqus、Ansys等），一般針對應用層的安全防護主要在應用系統軟件方面進行的防護，主要包括系統的用戶管理、權限管理、信息流向控制、數據存儲防護等方面。

本文在計算機系統四層安全防護的基礎上，結合多人共用信息設備的特點，提出了中間層的概念，所謂中間層即是在物理硬件層和操作系統層之間增加“安全管理層”，如圖2所示。

中間層從底層操作系統層入手，基于可信計算的原理，在多人共用計算機操作系統和硬件之間構建一個“安全管理層”，對操作系統進行安全可控?！鞍踩芾韺印辈捎酶讓拥纳葏^架構，可以實現比操作系統更低一級的安全控制，該技術措施對多人共用計算機的安全防護帶來的優點主要有以下幾個。

（1）避免多人共用計算機硬盤私拆、硬盤丟失造成的數據惡意恢復

“安全管理層”對用戶本地硬盤進行安全標識。以自有的安全架構給用戶分配系統盤并進行隱藏，該區域以散亂扇區架構存在。一旦用戶繞開系統管控，例如私拆硬盤、使用Win PE軟件等，用戶在系統上只能看到一個從未格式化的硬盤。用戶使用Easy Recovery等軟件進行數據反編譯查詢恢復操作，也無法搜尋到對應數據。從而確保了底層數據的安全。當用戶需要將數據外帶時，則可以引入傳統加密軟件的文檔外帶功能，對外帶的數據進行加密處理，從而確保了動態數據的安全。

圖2 計算機系統安全防護體系架構圖

圖3 多人共用計算機硬盤數據結構

“安全管理層”利用特有的安全計算框架，將操作系統及數據以扇區的架構存儲在本地硬盤上，扇區數據指針技術可以有效的防止PE等工具的攻擊，確保數據存儲的安全性。

（2）提高多人共用計算機身份認證、網絡準入、設備認證和安全審計的安全性

“安全管理層”在IO控制驅動層引入認證微系統機制控制多人共用計算機主引導記錄、分區表、ID Table、ID Index等操作。在利用自主加密算法檢驗和加固內核系統安全的同時，ID Table會將多人共用計算機分布式數據借助系統后端服務器的數據指針進行扇區數據的靜態數據呈現，且ID Index將IO控制器驅動和自主算法融合以滿足服務端的檢驗、認證和安全審計。

（3）保證多人共用計算機用戶數據的安全性

“安全管理層”通過專有的通訊協議與備份恢復服務端建立連接，多人共用計算機的數據文件在終端計算機的“安全管理層”與數據備份恢復系統后端服務的控制下呈現。終端計算機關閉安全進程，后端服務器將立即禁止數據指針被訪問，從而使得多人共用計算機無法獲取正確的數據，同時保證脫機狀態下數據無法讀取。

（4）避免多人共用計算機用戶數據知悉范圍擴大

備份恢復服務端管控多人共用計算機運行環境的所有配置信息。每次前一個用戶使用計算機后，系統通過預先設置的策略，在計算機啟動過程中，將計算機的運行環境恢復到默認的配置環境，從而可以將前一個用戶硬盤分區的數據全部清除，初始化為空白狀態，從而避免多人共用計算機數據文件知悉范圍擴大的風險。

（二）管理措施

在安全保密管理模式中，管理尤為重要。再好的技術手段，如果沒有規范的管理制度、高效的管理措施、嚴格的執行要求，也無法保障管理模式的有效執行。

1.規章制度

多人共用計算機需要制定專門的管理制度進行管理，計算機應設置專人進行管理，使用過程中嚴格實行使用登記制度，管理員需要對使用過程進行嚴格管理，包括詳細記錄使用人、使用時間、歸還時間等信息。

2.安全策略

多人共用計算機管理員應該設置符合實際使用需求和安全要求的安全策略，針對用戶變更和系統配置變更情況及時調整策略，并確保策略的可用性。

3.安全審計

系統“三員”應該定期對多人共用計算機進行安全審計，及時發現系統中存在的風險及用戶的違規使用操作行為。針對系統中發現的風險及時采取措施進行防護，針對用戶的違規操作行為及時上報并懲處。

五、結語

隨著多人共用計算機在企業涉密網絡中的應用越來越多，企業針對多人共用計算機安全保密管理模式的研究應加快步伐，國家針對多人共用計算機的標準也應進一步細化。該方向的研究可以為未來會議機的管理、虛擬化共享桌面、移動云辦公等未來集中辦公、多人辦公模式的發展方向奠定基礎。