内外网信息交换模式设计与实现

    随着信息技术的发展与广泛应用，信息安全问题也越来越引起重视。相应的信息安全防护标准和要求也不断更新。涉密信息系统安全防护的策略和测评标准都不断在完善。尤其是非密介质严禁在涉密系统与非密系统交叉使用的限制，内外网信息交换的模式就成了目前研究的热点和难点。本文就针对以上问题，结合科研机构的实际情况，提出一种可行的信息交换模式，在实际应用中取得较好的效果。

    1 科研机构内外网信息交换的需求和管理难点

    1.1信息交换的需求

    在科研机构的涉密信息系统覆盖了几乎所有科研平台，由于科研机构的工作信息需要科研院所、合作单位和上级单位进行交流，科研工作需要大量新技术的支撑，新技术获取的最好平台就是Internet上的科技信息港资源。而科研机构的涉密信息系统与Internet和非密网都是物理隔离的。因此科研机构涉密信息系统与外界信息交换主要是两个方面：

    （1）涉密内网与Internet之间非密信息的交换（包括补丁和病毒库的升级）；

    （2）涉密内网与其它单位涉密信息和非密信息的交换。这两个方面都存在将病毒和木马代入涉密信息系统的可能性。

    另一种信息交换的需求是科研机构内部，按照分级保护的要求，对高密级的信息系统防护代价和成本都很高。不同安全域之间的边界防护技术不是很成熟，因此单位内部存在不同密级的涉密信息系统，从而带来信息交换的需求。由于机构内部无论单机还是不同密级的涉密信息都采取了病毒和木马防护措施，因而机构内部涉密系统之间信息交换隐患相对较小。

    1.2管理难点

    由于涉密单机（不适合接入网络）和涉密网络与外界信息交换频繁、每次数量不大、信息交换及时性要求，导致利用只读光盘上传数据的方式很难适应科研机构。因此必须针对科研机构信息交换的特点，研究适宜的信息交换机制。

    2 安全信息交换模式设计

     2.1信息交换模式总体设计思路

     2.1.1基本原则

     （1）所有的涉密工作机严禁接入非密介质和外来介质；

     （2）所有与外部的信息交流必须使用摆渡机摆渡完成；

     （3）机构内部的数据交流和数据备份使用可信涉密介质（单位内部经过注册授权的涉密介质），这类介质只能在授权的涉密网用户终端和涉密单机上使用；

     （4）摆渡介质也是可信涉密介质，这类介质只能在授权的用户终端和摆渡机上使用。

     2.1.2设计思路

     设计思路如图1所示。机构内部涉密信息采用注册授权的可信介质进行信息交换；非密信息和所有与机构外部的信息交换必须通过摆渡机运行查杀病毒系统。既减少病毒、木马带入的风险；又确保工作用的涉密机上不使用非密介质和外来介质。将风险集中在按照机密级防护的摆渡机上。通过专用摆渡机管理系统，保证摆渡机上不存储、使用涉密信息。

2.1.3设计方案

     （一）移动介质设计方案。

     1）基于目前现有的通用移动存储介质和涉密计算机及网络系统的信息交换，将介质分为四类：注册授权的可信涉密介质、未授权的非密介质、未授权的涉密介质、外来介质四类；

     2）基于注册、授权技术，按照科研性质和密级范围分区域实现涉密介质与涉密计算机群之间的一对多或多对多的授权，即可信介质的实施。

     3）可信介质都是涉密介质（包括摆渡介质），原则上以科研组为单位进行授权，避免移动介质交叉使用带来的隐患；每单位提供1台计算机可以使用外单位可信介质；用于所内信息交流；

    4）外来介质必须通过摆渡机，采用盘到盘拷贝方式将信息摆渡到涉密网上；

    （二）摆渡机设计方案。

    1）摆渡机密级标识为机密级，按照机密级单机的要求进行防护；

    2）摆渡机上安装软件瑞星防病毒软件、USBkiller（U盘病毒木马查杀工具）、360安全卫士、文件粉碎机、填充工具fillfreespace，鼎普介质管理客户端等软件；准备安装卡巴斯基防病毒软件；

    3）开发专用的摆渡机管理系统，保证普通用户只具有使用盘—盘拷贝的功能（查杀病毒正常后），确保摆渡机硬盘内不存储任何涉密信息；

    4）摆渡机的管理人员负责维护、更新管理系统和病毒库定期升级病毒库。

     （三）摆渡要求。

    1）用户每次使用摆渡介质前应对其存储是否为空状态进行检查，确保摆渡介质只保存本次需要传递的数据，每次使用完后也应及时清理（其中对涉密信息的清理必须使用文件粉碎工具删除）并整盘格式化；

    2）摆渡介质的管理人员应做好介质借用记录，介质借出前和还回后，应检查介质的清理情况，必要时对摆渡介质进行填充清理；

    3）数据摆渡步骤如下：

    （a）先接入外来介质（或可带出介质），查杀病毒木马；

    （b）确信没有病毒木马后，再插入摆渡介质；

    （c）进行盘对盘的数据拷贝。

    2.2安全信息交换的关键技术

    2.2.1可信介质技术

    为了确保任何非法介质不能直接连入涉密网络、确保涉密介质私自带出不能正常使用，从而减少涉密信息外泄的隐患；在机构内部建立可信介质机制，通过注册、授权技术和分类管理思想实现。对于科研机构内部存在多涉密系统和涉密单机的复杂环境，主要难点在于可信介质部署策略的合理和有效。

    所有移动存储介质实行注册，涉密移动介质分为三类进行管理。一类是在机构内部涉密网络之间或与涉密单机之间使用的可信涉密优盘，由各单位集中管理；二类是专门用于摆渡的涉密优盘，由管理员负责管理；三类是单位之外必须进行信息交换的通用涉密、非密优盘。

    其中一、二类采用磁盘转换技术，对U盘进行专有格式转换，注册成涉密格式的可信介质，并授权在指定的计算机上使用。确保单位内只有经过注册、授权的可信介质才能使用。

    第三类数量非常少，并集中在各单位专人管理、严格借用审批；工作需要带出涉密信息时，必须由专人负责通过摆渡介质和专用摆渡机，将内网上的涉密信息直接拷贝到带出的存储介质上。

    为了减少从Internet上下载信息，带入病毒和木马的隐患，除了使用摆渡机外，还应对摆渡介质实施不同读写权限控制。将摆渡介质分为两类，类用于摆渡非密信息，在涉密系统指定区域上实施只读权限控制，避免由于木马造成泄密的隐患。另一类用于涉密信息的摆入摆出，在涉密系统指定区域上实施读写控制。
 

2.2.2摆渡机专用系统设计

    （一）设计思路。

   开发的专用系统接管操作系统GINA程序，实现基于EKEY用户认证、行为审计的专用系统。对普通用户只提供盘到盘拷贝的功能；该系统的维护和管理由系统管理员负责。

    难点：1）GINA接管口必须设置在所有防病毒应用程序启动后，操作系统登陆认证启动前处；

    2）在用户插入盘时，必须先启动所有防病毒软件，杀查后要返回提示信息，作为下一步操作的依据。防病毒系统都是商用软件，不公开代码，信息提示接口函数获得很难；

    3）可信介质的注册信息是通过专用软件形成的，不是出厂时生成的唯一标识，因此准确提取、识别可信介质的标识信息很难；

    4）实现摆渡机基于用户行为的审计。

    （二）设计方案。

    1）用户摆渡流程设计：要区分摆入和摆出过程，便于准确审计出涉密信息考入考出的行为。

    用户摆渡数据：用户登录摆渡机——>插入普通介质——>查杀木马病毒——>插入可信介质——>查杀木马病毒——>把需摆入的信息从普通介质考入可信介质。这期间如果允许查看摆入数据，该数据不能在摆渡机上留下副本。

   要求：

    （1）用户必须先插入普通介质，再插入可信介质；

    （2）必须先杀毒，再摆渡；

    （3）只能盘对盘拷贝，不能把数据存入摆渡机硬盘。摆渡期间，用户如果查看数据，不能在摆渡机上留下副本；（4）应准确记录用户的摆渡行为日志。

    2）摆渡机审计监控功能设计。摆渡机监控软件主要有两个功能要求：控制用户的摆渡行为，使其摆渡数据只能按照我们的摆渡流程进行；记录用户的摆渡行为：谁什么时候从什么介质上摆入或摆出了什么文件到什么介质上。

    3）用户登录设计。接管windows的登录界面，用户用Ekey登录后直接进入数据摆渡界面，屏蔽可能进入windows桌面的任何方式。

    4）数据摆渡。根据用户选择的摆入或摆出，提醒用户按照流程插入介质，自动查杀病毒木马。根据查杀病毒木马的情况提醒用户下一步操作。用户选择数据时以直观的方式显示两个介质的数据，不会造成用户歧义。用户可以查看数据，但不能编辑或另存数据到本地硬盘。用户拷贝数据以拖动的方式进行。

    5）移动介质的清理。将文件粉碎、介质填充等工具嵌入摆渡系统，便于每次信息摆渡后，对移动介质的信息清理。

    6）摆渡机管理。为管理员提供管理入口，包含以下信息：日志审计、导出，病毒库升级，进入windows桌面。

    7）日志信息的记录和审计。可以对用户和管理员的所有被监控的行为进行记录，如用户查看什么文件，摆入什么文件，摆出什么文件，管理员有什么管理行为等。日志信息应该是可以直接审计的（不是介质的读写日志）。可以对用户使用什么介质进行记录（还需进一步研究其可行性）。

    3 安全信息交换系统部署与验证

    3.1安全信息交换系统部署

    1）科研机构内部涉密系统间信息交换业务输理。以上的安全信息交换模式在科研机构内部部署前，必须对现有的涉密信息系统、涉密单机和涉密介质的密级进行输理，并对可能出现的信息交换流程进行检查，确定部署的范围、可信介质授权范围和摆渡介质的使用范围，既要保证必要的信息交换，又要避免交叉使用的情况。

    2）控制摆渡机数量，加强技术管理，充分利用摆渡机专用系统，减少配套管理成本。

    3）摆渡机上防病毒和木马系统要选择功能强、兼容性好，尤其是针对USB设备查杀工具必须配备；病毒要快速更新。

    4）对所有涉密工作机都实施可信终端管理，由于机器品牌、型号差异较大，涉密介质型号很多，在可信介质的实施过程中，发现U-SAFE介质由于自身有一定安全防护，与实施策略有一定冲突。

    3.2安全信息交换系统实施后效果

    通过实施此套安全信息交换系统，保证了大量涉密介质成为可信介质，有效杜绝带出在不安全环境使用和在工作机上使用外来介质的现象；通过实施摆渡机后，大量减少了病毒和木马带入涉密工作机的数量；通过在相对复杂的科研环境部署该套系统，证明可以实现相对安全的信息交换，把风险转嫁到摆渡机上，通过对摆渡机的技术防护和加固，来保证该套系统的有效实施。

    4 结语

    如何有效杜绝病毒和木马的入侵；严禁非密介质在涉密计算机和非密计算机上交叉使用；这两个课题都是目前业解研究的热点和难点，不同的单位采取不同的措施，但还没有完全成熟、有效的措施，因此针对这方面的研究和改进还将持续进行。