傳統(tǒng)的NAS或者網(wǎng)絡(luò)文件服務(wù)器的安全缺陷

　　第1章 概述 　　為了保護知識產(chǎn)權(quán)和關(guān)鍵設(shè)計的技術(shù)保密，許多裝備研究設(shè)計院有著嚴格的保密條例和規(guī)定，這些保密條例中有些是人防，有些是技防，目標是確保信息不外露和信息泄露的可追溯。 　　為了工作方便，在辦公或者設(shè)計中通常會采用文件共享的方式，方便大家交換和修正資料，這就需要一臺NAS服務(wù)器或者網(wǎng)絡(luò)文件服務(wù)器(* 我們把這兩種技術(shù)都簡稱為NAS)支持這種應(yīng)用模型。 　　但是，傳統(tǒng)的NAS或者網(wǎng)絡(luò)文件服務(wù)器有著天然的安全缺陷，比如： 　　1) 系統(tǒng)中存在一個獨大的系統(tǒng)管理員 (root)用戶，他可以看到所有人的數(shù)據(jù); 　　2) 系統(tǒng)的明文存儲，一旦硬盤丟失或者非法掛載，數(shù)據(jù)泄密迅速; 　　3) 數(shù)據(jù)的明文傳輸，許多網(wǎng)絡(luò)木馬病毒很容易偵聽到這些明文包，造成數(shù)據(jù)泄密; 　　4) 口令保護單一，僅僅是口令，非常容易被窮舉攻破; 　　5) 組劃分規(guī)則混亂，無法由最終用戶決定，而必須通過系統(tǒng)管理員，造成不變和可能的信息泄露; 　　這些缺陷都是NAS系統(tǒng)無法回避的，許多廠商也提供自己的解決方案去試圖解決上述問題，但是我們認為都沒有從根本上解決這些問題，都存在明顯的漏洞。比如： 　　客戶端加密軟件解決存儲加密; 　　首先，如果使用硬件加密，在拓撲結(jié)構(gòu)上需要增加一臺加密服務(wù)器，這需要第三方廠商再開發(fā)一套安全加密算法傳輸協(xié)議才能真正安全地使用這塊加密卡，否則系統(tǒng)在傳輸密鑰的時候就被截獲; 　　其次，如果在每臺設(shè)備上增加一塊加密卡，雖然不用開發(fā)安全的通訊協(xié)議，但是加密卡的成本少則幾千，多則上萬，這是一個非常龐大的投資; 　　再次，軟件加密的如果是一人一密鑰的進行文件加密，那么，無法做到透明的加密文件共享，將會給使用帶來極大的不便;如果系統(tǒng)使用唯一的密鑰，那么，如果被攻破，則可能威脅到每一個人的數(shù)據(jù); 　　最后，這些加密軟件都應(yīng)用在核外應(yīng)用層，很容易被Windows木馬病毒旁路或者偵聽; 　　數(shù)據(jù)庫權(quán)限管理模式 　　無論是客戶端還是Web模式，都是采用“check in /check out”或者“下載/提交模式”，其都可以使用加密存儲和加密傳輸解決NAS可能出現(xiàn)的問題，更重要的是，由于數(shù)據(jù)庫模式在關(guān)系管理上有著天然的技術(shù)優(yōu)勢，可以很容易劃分組、成員之間的關(guān)系。 　　但是，由于該應(yīng)用運行在一個普通的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)上，所以，獨大的root用戶和數(shù)據(jù)庫系統(tǒng)管理員用戶可以“輕松的查閱”每個用戶的數(shù)據(jù)，造成信息數(shù)據(jù)的不安全。 　　另外，如果每個簡單的業(yè)務(wù)都做一套Web系統(tǒng)，都要讓最終用戶了解規(guī)則，甚至復(fù)雜的Web頁面的URL地址，那么，就會平白地增加其工作量，造成工作的不便。 　　所以，從安全性和便利性的角度上，提出“麒麟天機網(wǎng)絡(luò)安全文件存儲系統(tǒng)”的綜合解決方案，其清晰的系統(tǒng)設(shè)計和實現(xiàn)目標為客戶安全輕松的辦公提供了基礎(chǔ)的IT技術(shù)平臺。 　　第2章 系統(tǒng)介紹 　　2.1 拓撲結(jié)構(gòu)   　　天機系統(tǒng)通過標準的RJ45電口接入局域網(wǎng)交換機，支持百兆和千兆自適應(yīng)， 原有的辦公機無需改變?nèi)魏挝锢硗負洹?　　系統(tǒng)管理員必須為每個用戶申請獨立的U-Key或者智能卡后，用戶才能正常使用，每個用戶可以進行磁盤容量配額的申請。 　　用戶通過U-Key或者智能卡登錄后，系統(tǒng)為每個用戶分配了“私有保險箱”和“共享保險箱”。 　　私有保險箱 　　個人使用，他人包括組成員無法打開。 　　共享保險箱 　　個人使用或者為小組成員共同使用，其他小組成員無法使用，甚至無法看到?？扇我馊穗S意授權(quán)和收回授權(quán)，可授予共享用戶的權(quán)限包括：只讀、創(chuàng)建和讀寫。 　　用戶登錄后，可以在其共享保險箱內(nèi)看到其他用戶給自己開放權(quán)限的目錄。 　　2.2 系統(tǒng)特點 　　2.2.1使用的便利性 　　如同使用本地硬盤一樣。 　　系統(tǒng)用戶登錄后，系統(tǒng)在本地系統(tǒng)中立刻增加標準驅(qū)動器Y：和Z： (* 具體情況每臺終端可能有所不同)，其中Z為私有保險箱，Y為共享保險箱?？蛻粼诒４嫠接形募r，比如在微軟word中，只需<保存/另存為>等操作，將文件保存在Z:xxxxxx.doc即可;如果保存在共享文件夾中，只需要在Y驅(qū)動器中，選擇文件所共享給組文件夾即可，如Y:2009年報審核組2009年財務(wù)報表.doc即可。更重要的是網(wǎng)絡(luò)傳輸和存儲中，系統(tǒng)自動加解密，對用戶來說完全透明，完全不感知。 　　隨時可以授權(quán)或者解除授權(quán)。 　　用戶可以獨立授權(quán)而不需要通過系統(tǒng)管理員，這種管理模式更像日常的組織架構(gòu)，經(jīng)理、組長是業(yè)務(wù)的管理者和組織者，其可以決定任何人能夠加入和調(diào)離這個小組，還可以決定任何小組成員有只讀、讀寫和創(chuàng)建的權(quán)利，使得行政管理和技術(shù)管理的完美結(jié)合。 　　數(shù)據(jù)使用更便利。 　　存儲在系統(tǒng)內(nèi)的數(shù)據(jù)都是加密處理，一文件一密鑰，系統(tǒng)采用“透明文件加解密”技術(shù)，使得組內(nèi)成員可以隨意訪問組內(nèi)授權(quán)訪問的加密的文件，而無需每個組員人為的交換密鑰。 　　2.2.2 系統(tǒng)的安全性 　　數(shù)據(jù)加密存儲 　　系統(tǒng)使用保險箱管理用戶的敏感信息。在保險箱中生成的文件或從外部進入到保險箱中的文件以及目錄下的文件都將由KYLIN SFS加密文件系統(tǒng)自動加密，以密文形式集中存儲在天機網(wǎng)絡(luò)文件存儲系統(tǒng)中。 　　數(shù)據(jù)傳輸加密 　　當(dāng)用戶日常文檔處理作<保存>操作時，比如保存為Z:2009工作設(shè)計方案.doc，系統(tǒng)自動在本地加密后傳輸?shù)竭h端天機系統(tǒng)中，而無需人工加密干預(yù)。 　　數(shù)據(jù)隱藏 　　在客戶端的用戶視圖上，用戶只能夠看見自己具有合法訪問權(quán)限的保險箱及內(nèi)容。用戶無法意識到其它保險箱的存在性，更無從訪問。 　　敏感數(shù)據(jù)訪問控制 　　保險箱分為私人保險箱和共享保險箱。用戶一旦使用系統(tǒng)，將自動分配一個私人保險箱，這個保險箱只能用戶自己使用，任何其它用戶無法看到其內(nèi)容。如果用戶需要傳輸自己的敏感信息傳送給其它用戶，可以創(chuàng)建一個共享保險箱，將數(shù)據(jù)放入到這個保險箱，并且授權(quán)可以訪問的用戶為這個保險箱的共享用戶，可授予共享用戶的權(quán)限包括：只讀、創(chuàng)建和讀寫。 　　分權(quán)管理 　　系統(tǒng)支持三類管理員：安全管理員、恢復(fù)管理員和系統(tǒng)管理員。安全管理員用于管理密鑰等敏感信息，發(fā)放U-Key?；謴?fù)管理員在用戶U-Key丟失的情況下，利用備份信息，確保用戶能夠繼續(xù)訪問以前存儲的數(shù)據(jù)。系統(tǒng)管理員用于服務(wù)器的日常維護。 　　運行時空隔離 　　系統(tǒng)同時采用了非對稱加密算法和對稱加密算法。對稱加密算法用于保護文件數(shù)據(jù)，由國家認證的硬件加密卡提供。所有的文件數(shù)據(jù)加解密操作在加密卡內(nèi)完成，非常安全。非對稱加密算法用于保護文件密鑰，非對稱解密操作在安全設(shè)備U-Key進行。 　　安全的密碼管理功能 　　文件加解密算法為國家認證的硬件加密卡提供的sec算法，滿足國家政府部門、軍工部門的密碼需求。當(dāng)文件在保險箱內(nèi)生成或進入到保險內(nèi)時，請求加密硬件生成128位密鑰，對文件進行加密。文件密鑰由非對稱算法的公鑰進行加密存儲，當(dāng)文件被銷毀時，密鑰也自動銷毀。非對稱算法的私鑰安全依賴智能卡這個安全設(shè)備進行存儲。 　　完備的審計功能 　　系統(tǒng)能夠?qū)Π踩嚓P(guān)的事件進行審計，便