几种涉密网主机系统保护及审计技术的比较

1、几种涉密网主机系统保护及审计技术的比较北京中讯锐尔科技有限公司 李志录 张利清Email: Jepson摘要本文比较详细地阐述了涉密网主机系统所面临的安全隐患，提出了涉密网主机安全防护所要解决的几个技术问题，并就可能实现的技术方法进行的探讨和比较。关键词涉密网主机防护与审计 身份鉴别 计算机外设资源访问控制 审计 主机审计系统 安全登录与监控审计系统.1. 涉密网主机系统面临的安全风险分析涉密主机系统作为涉密网终端其安全性在涉网信息系统中起重要的作用，在涉密网中，没有主机系统的安全，也就没有涉密网安全可言。目前涉密主机桌面系统大部分采用WINDOWS操作系统，作为涉密主机系统，其安全风险主要体

2、现在以下几个方面：1、 非法用户进入系统Windows桌面系统有自己的帐号管理体系，用户可以登录本机也可以登录域服务器。桌面系统对用户身份的鉴别是整个涉密主机的安全的第一道门，没有合法用户身份的安全登录就没有主机系统的安全。2、 非法用户通过安全模式，进入系统，进行非法操作Windows安全模式为维护操作系统提供了极大的方面，但安全模式也为系统的安全带来了安全隐患。3、 计算机外设不受限、无节制地被使用，造成涉密信息的泄密容易信息外泄的计算机外设主要有：（1）各种接口的移动存储设备（2）各种接口和接入方式的打印设备（3）各种接口的拨号设备（主要是：Modem和ADSL）（4）各种无线上网设备（

3、红外线、蓝牙技术）这些设备所采用的接口主要有：USB接口设备多功能卡PCMCIA卡1284.4端口1394端口串口并口WAN微端口等由于技术的进步，各种接口可以互相转化，如：USB 口转串口、并口，PCI插槽转换，特别是一些特殊的设备所采用的特殊接口在计算机设备管理中没有列出来，这些都对计算机外设资源的控制带来很多不确定性。4、 U盘的大量使用容易造成信息的泄密移动存储介质，特别是移动U盘设备低廉价格以及大量使用，对信息的安全带来了巨大风险。5、 计算机终端通过各种网络设备接入其他网络系统，容易造成信息的大量泄密计算机终端接入其他网络的主要途径有：（1）通过拨号设备（2）通过无线上网设备（3）

4、计算机终端离开内部网络，接入其他网络系统6、 因未授权电脑的接入，容易造成涉密网络信息的泄密未授权的电脑接入内部网络，会带来一系列的安全问题，主要体现在以下方面：（1） 将计算机病毒传入网络；（2） 成为攻击内部网络的接入点；（3） 将内部网络中的信息拷贝到未授权的电脑，造成信息泄密。7、 计算机终端电脑文件系统缺少监控与审计，容易造成文件系统被非法使用现有的系统中缺少对文件系统的监控和审计，终端电脑中一些重要的目录、文件可以随意被操作，缺少监控手段。8、 终端电脑系统各种资源系统使用缺少监控和审计，容易造成泄密事件，难以事后追踪现有终端电脑系统具有对系统的审计功能，但这种审计主要针对操作系统

5、本身日志的审计，对终端电脑的资源审计比较少。特别是，现有系统的审计日志保存在本地，日志容易被终端电脑使用者修改。达不到集中审计，事后追踪的目的。.2. 涉密主机保护所要解决的安全技术问题通过以上对涉密主机安全风险分析可以看出，涉密主机保护所要解决的安全技术问题，主要有以下方面：涉密主机系统的安全登录（包括本机的登录和域的登录）、终端系统的帐号动态防护加固（防止用户通过安全模式进入系统）、计算机外设的控制与审计、涉密移动存储介质的管理与监控、防止非授权电脑接入技术、审计等技术。此外，计算机主机外设控制进程本身的安全性在“涉密主机保护”系统占有非常重要的位置，没有控制进程的安全就没有“涉密主机保护

6、”的安全。.3. 涉密主机保护几种技术的比较目前对涉密主机保护主要有：“涉密计算机主机审计系统”和“涉密计算机安全登录和监控审计系统”，这两类产品共同点是通过对计算机外设的控制和审计达到实现计算机主机保护的目的。但“主机审计类”产品缺少“安全登录和计算机帐号安全管理”等功能。在具体实现对计算外设授权、控制和审计上，这两类产品也存在很大的差别，具体体现如下：（1）“涉密计算机安全登录和监控审计系统”具有很强用户安全登录系统的功能。在具体实现上，采用“USB KEY + 动态口令”技术来登录系统，此外，这类系统还采用动态防护技术来加固终端主机的帐号。这里所讲动态防护技术主要指：将不必要的帐号动态失

7、效，即使具有“administrator”权限的用户也不能使失效的帐号生效；采用动态口令技术来加固非KEY的用户帐号，防止非KEY帐号通过安全模式进入系统，这种动态加固也不因为具有“administrator”权限的用户采用操作系统提供用户管理工具对非KEY用户帐号“口令”的修改而发生变化。“主机审计”类产品则没有这项功能。（2）“涉密计算机安全登录和监控审计系统”和“主机审计”类产品在授权和控制对象上存在比较大的差别。“主机审计类”产品对计算外设的控制和审计是面向IP地址来授权和控制的，而“涉密计算机安全登录和监控审计系统”则面向网络上唯一的用户来授权和控制的。面向IP地址和面向网络用户授权

8、和控制的差异性见下表：项目面向IP地址面向网络用户备注主机IP地址的改变对授权和控制的影响有影响无影响不同的人使用同一台主机授权、控制和审计的结果是一样的授权、控制和审计的结果不一样网络上的同一个用户使用不同的主机授权、控制和审计的结果不一样，即：授权、审计和审计不能和用户绑在一起授权、控制和审计的结果是一样的。“涉密计算机安全登录和监控审计系统”对主机外设的控制和审计更符合国家保密局新标准关于涉密网审计部分要求的描述：安全审计应与身份鉴别、访问控制等安全功能紧密结合。（3 ） 对计算外设控制上，控制的手段的差别针对计算外设的控制，有两种控制手段：l 对计算机接口进行控制l 对计算机设备类进行

9、控制对计算机接口进行控制和对计算机设备进行控制，都能实现对终端电脑计算机外设资源进行控制。但这两者之间的控制有些细微的差别，也会带来不同的风险。具体如下：对于接口控制的系统，因接口之间可以相互转换，这就为策略制定和设置带来风险，使用起来可能出现接口相互转换所带来的风险防不胜防。另外，在具体的一类设备上，对接口控制的系统，其技术实现上通常采用对设备管理器的管理采用“启用”或停用来控制，可能对类设备的控制也是“一刀切”，如：停用USB设备，其结果为：USB KEY、USB 盘、USB其他外设也被禁止，又如：内部网络可能需要调制解调器拨号来实现网络通信，采用禁止调制解调器设备使用，也就禁止了使用调制

10、解调器拨号内部网络的可能。1如果将接口控制改为对设备类控制，可以很好地规避以上问题和风险。目前几乎所有的“主机审计”类产品采用的是“对计算机接口进行控制”技术，而“涉密计算机安全登录和监控审计系统”则采用“对计算机设备类进行控制”技术。（4） 对涉密存储介质控制和管理上的差别目前几乎所有的主机保护类产品，能实现禁止使用移动存储设备或开启移动存储设备。但移动存储设备的使用非常普遍，禁止移动存储设备的使用实际上也是不现实的。既要解决普通移动存储设备的泛滥使用，又要确保被使用的移动存储设备的安全，比较好的解决办法是将普通移动存储设备注册成涉密的移动存储设备。将普通移动存储设备注册成涉密的注册移动存储

11、设备的需要解决两个方面的问题：其一：普通移动存储设备的注册；其二，移动存储设备涉密数据的安全。目前有许多“主机保护”类产品，可以实现将普通移动存储设备（特别是：U盘和移动USB 硬盘）注册，实现对注册介质的控制。目前，采用的技术主要有：(a) 向普通移动存储设备中，写入“特殊值”，系统在对设备进行控制的时候，通过读取移动存储设备中的值来判断该设备是否被注册。这种方式的最大的风险是：无论系统怎么隐藏注册在移动盘中的“特殊值”，系统难以规避盘对盘的拷贝，让非注册的移动存储设备变成注册设备的风险。采取这种方式，也难以涉密介质中的数据的安全性。(b) 实现将普通存储设备注册成涉密介质的另外一种技术是：

12、在设备驱动层做文章，将存取文件的格式做变换，即不采用普通移动存储设备存取数据的格式，达到非注册设备不能使用的目的。但这样实现有以下安全风险和使用分险：l 安装该主机审计产品终端都能存取注册的移动存储设备的数据，因此，保存其中的数据安全性存在极大的风险l 按照这种方式存放的数据涉密介质，在没有安装该系统的客户端上使用，普通的系统就会认为该介质没有被格式化，并提示用户格式化盘符，用户稍不谨，点击格式化，即可该设备格式化，使保存在涉密移动存储设备上的数据丢失，造成不可估量的损失。(c) 将涉密介质注册成移动存储设备的另外一种比较好的办法是：读取移动存储设备唯一特征值，并将该特征值授权给人或组织。只有

13、合法的用户或组织才能在本系统内存取该设备。为了确保该存储设备数据的安全，在使用该设备的时候，系统会自动将该设备按用户分成两个数据存储区：私有区和共同区，私有区的数据只有用户本人才能存取，普通用户可以存取公共区的数据。合法用户对私有区的存取是透明的，不影响用户的操作。这是解决将普通存储介质注册成涉密介质，并确保涉密数据的安全的最佳方法。但该技术已经被北京中讯锐尔科技有限公司的专利，这项技术成为中讯锐尔公司的独家技术。（5） 防止非授权电脑接入涉密网采用的技术手段不一样防止未授权的电脑接入内部网络的方式很多，比较典型的，也是常规的办法是在交换机上做工作。即利用三层交换机的功能，将IP、MAC以及交

14、换机的端口绑定，外来电脑无法通过交换机来实现和其他电脑数据交换，以达到防止未授权电脑接入内网的目的。在交换机上做工作很难解决局部范围采用共享式的HUB组成的内部网，很难解决未授权电脑的接入问题。利用交换机来控制非授权电脑的接入，不同的厂家提供的接口不一样，这增加系统的难度，接入电脑的控制依赖于不同厂家的交换机所提供的接口。此外，在交换机上做工作是将端口、IP及MAC等信息绑定，在接入控制问题上，没能对电脑的接入进行认证，存在可能的地址欺骗。比较好地解决未授权电脑接入方式是采用ARP地址欺骗，即通过安装本系统的电脑，向未安装本系统电脑发地址冲突包，阻止未授权电脑的接入问题。电脑接入系统，先通过内

15、部网络的认证以后才能接入。（6） 在对涉密主机控制进程的处理上不一样“涉密主机保护”本身安全的核心问题是驻留在主机终端的控制模块本身的安全问题，这些控制模块在不同的主机审计类产品有不同的名称，比较典型的如：引擎，传感器，哨兵等。不管叫法如何，实际上就是驻留在客户端的控制模块。该模块的安全性，直接决定着本次项目能否达到预定目标的关键。目前，驻留在客户端的控制模块有以下表现形式：（1）作为客户端的一个服务，以服务的形式存在（2）作为客户端应用程序进程（3）和操作系统内核结合，成为操作系统关键模块的一部分。其中第一种方式和第二种方式，为了摆脱明显的安全漏洞，采取一些补救的措施，这些措施包括：修改注册表，让停止服务的菜单失效；采取双进程互相监视；隐藏进程，在WINDOWS任务栏中看不到控制进程；在控制中心实时监视进程的运行情况等。以上办法不是解决问题的根本，最好地解决办法是将控制进程和操作系统内核结合，成为操作系统关键模块的一部分，该模块不可能被杀死。.4. 总结涉密计算机主机保护目前有两类产品：“涉密计算机安全登录与监控审计系统”和“涉密计算机主机审计系统”。前者对计算机有非常强大的安全登录和计算机帐号加固处理功能；在对控制进程处理上，前者将控制进程和主机的安全登录模块有机结合成为操作系统的一部分，该模块不可能被杀死；此外，在对计算外设授权、控制和审计上，