傳統(tǒng)的NAS或者網(wǎng)絡(luò)文件服務(wù)器的安全缺陷

　　第1章 概述 　　為了保護(hù)知識(shí)產(chǎn)權(quán)和關(guān)鍵設(shè)計(jì)的技術(shù)保密，許多裝備研究設(shè)計(jì)院有著嚴(yán)格的保密條例和規(guī)定，這些保密條例中有些是人防，有些是技防，目標(biāo)是確保信息不外露和信息泄露的可追溯。 　　為了工作方便，在辦公或者設(shè)計(jì)中通常會(huì)采用文件共享的方式，方便大家交換和修正資料，這就需要一臺(tái)NAS服務(wù)器或者網(wǎng)絡(luò)文件服務(wù)器(* 我們把這兩種技術(shù)都簡(jiǎn)稱為NAS)支持這種應(yīng)用模型。 　　但是，傳統(tǒng)的NAS或者網(wǎng)絡(luò)文件服務(wù)器有著天然的安全缺陷，比如： 　　1) 系統(tǒng)中存在一個(gè)獨(dú)大的系統(tǒng)管理員 (root)用戶，他可以看到所有人的數(shù)據(jù); 　　2) 系統(tǒng)的明文存儲(chǔ)，一旦硬盤丟失或者非法掛載，數(shù)據(jù)泄密迅速; 　　3) 數(shù)據(jù)的明文傳輸，許多網(wǎng)絡(luò)木馬病毒很容易偵聽到這些明文包，造成數(shù)據(jù)泄密; 　　4) 口令保護(hù)單一，僅僅是口令，非常容易被窮舉攻破; 　　5) 組劃分規(guī)則混亂，無法由最終用戶決定，而必須通過系統(tǒng)管理員，造成不變和可能的信息泄露; 　　這些缺陷都是NAS系統(tǒng)無法回避的，許多廠商也提供自己的解決方案去試圖解決上述問題，但是我們認(rèn)為都沒有從根本上解決這些問題，都存在明顯的漏洞。比如： 　　客戶端加密軟件解決存儲(chǔ)加密; 　　首先，如果使用硬件加密，在拓?fù)浣Y(jié)構(gòu)上需要增加一臺(tái)加密服務(wù)器，這需要第三方廠商再開發(fā)一套安全加密算法傳輸協(xié)議才能真正安全地使用這塊加密卡，否則系統(tǒng)在傳輸密鑰的時(shí)候就被截獲; 　　其次，如果在每臺(tái)設(shè)備上增加一塊加密卡，雖然不用開發(fā)安全的通訊協(xié)議，但是加密卡的成本少則幾千，多則上萬，這是一個(gè)非常龐大的投資; 　　再次，軟件加密的如果是一人一密鑰的進(jìn)行文件加密，那么，無法做到透明的加密文件共享，將會(huì)給使用帶來極大的不便;如果系統(tǒng)使用唯一的密鑰，那么，如果被攻破，則可能威脅到每一個(gè)人的數(shù)據(jù); 　　最后，這些加密軟件都應(yīng)用在核外應(yīng)用層，很容易被Windows木馬病毒旁路或者偵聽; 　　數(shù)據(jù)庫(kù)權(quán)限管理模式 　　無論是客戶端還是Web模式，都是采用“check in /check out”或者“下載/提交模式”，其都可以使用加密存儲(chǔ)和加密傳輸解決NAS可能出現(xiàn)的問題，更重要的是，由于數(shù)據(jù)庫(kù)模式在關(guān)系管理上有著天然的技術(shù)優(yōu)勢(shì)，可以很容易劃分組、成員之間的關(guān)系。 　　但是，由于該應(yīng)用運(yùn)行在一個(gè)普通的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)上，所以，獨(dú)大的root用戶和數(shù)據(jù)庫(kù)系統(tǒng)管理員用戶可以“輕松的查閱”每個(gè)用戶的數(shù)據(jù)，造成信息數(shù)據(jù)的不安全。 　　另外，如果每個(gè)簡(jiǎn)單的業(yè)務(wù)都做一套Web系統(tǒng)，都要讓最終用戶了解規(guī)則，甚至復(fù)雜的Web頁面的URL地址，那么，就會(huì)平白地增加其工作量，造成工作的不便。 　　所以，從安全性和便利性的角度上，提出“麒麟天機(jī)網(wǎng)絡(luò)安全文件存儲(chǔ)系統(tǒng)”的綜合解決方案，其清晰的系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)目標(biāo)為客戶安全輕松的辦公提供了基礎(chǔ)的IT技術(shù)平臺(tái)。 　　第2章 系統(tǒng)介紹 　　2.1 拓?fù)浣Y(jié)構(gòu)   　　天機(jī)系統(tǒng)通過標(biāo)準(zhǔn)的RJ45電口接入局域網(wǎng)交換機(jī)，支持百兆和千兆自適應(yīng)， 原有的辦公機(jī)無需改變?nèi)魏挝锢硗負(fù)洹?　　系統(tǒng)管理員必須為每個(gè)用戶申請(qǐng)獨(dú)立的U-Key或者智能卡后，用戶才能正常使用，每個(gè)用戶可以進(jìn)行磁盤容量配額的申請(qǐng)。 　　用戶通過U-Key或者智能卡登錄后，系統(tǒng)為每個(gè)用戶分配了“私有保險(xiǎn)箱”和“共享保險(xiǎn)箱”。 　　私有保險(xiǎn)箱 　　個(gè)人使用，他人包括組成員無法打開。 　　共享保險(xiǎn)箱 　　個(gè)人使用或者為小組成員共同使用，其他小組成員無法使用，甚至無法看到?？扇我馊穗S意授權(quán)和收回授權(quán)，可授予共享用戶的權(quán)限包括：只讀、創(chuàng)建和讀寫。 　　用戶登錄后，可以在其共享保險(xiǎn)箱內(nèi)看到其他用戶給自己開放權(quán)限的目錄。 　　2.2 系統(tǒng)特點(diǎn) 　　2.2.1使用的便利性 　　如同使用本地硬盤一樣。 　　系統(tǒng)用戶登錄后，系統(tǒng)在本地系統(tǒng)中立刻增加標(biāo)準(zhǔn)驅(qū)動(dòng)器Y：和Z： (* 具體情況每臺(tái)終端可能有所不同)，其中Z為私有保險(xiǎn)箱，Y為共享保險(xiǎn)箱?？蛻粼诒４嫠接形募r(shí)，比如在微軟word中，只需<保存/另存為>等操作，將文件保存在Z:xxxxxx.doc即可;如果保存在共享文件夾中，只需要在Y驅(qū)動(dòng)器中，選擇文件所共享給組文件夾即可，如Y:2009年報(bào)審核組2009年財(cái)務(wù)報(bào)表.doc即可。更重要的是網(wǎng)絡(luò)傳輸和存儲(chǔ)中，系統(tǒng)自動(dòng)加解密，對(duì)用戶來說完全透明，完全不感知。 　　隨時(shí)可以授權(quán)或者解除授權(quán)。 　　用戶可以獨(dú)立授權(quán)而不需要通過系統(tǒng)管理員，這種管理模式更像日常的組織架構(gòu)，經(jīng)理、組長(zhǎng)是業(yè)務(wù)的管理者和組織者，其可以決定任何人能夠加入和調(diào)離這個(gè)小組，還可以決定任何小組成員有只讀、讀寫和創(chuàng)建的權(quán)利，使得行政管理和技術(shù)管理的完美結(jié)合。 　　數(shù)據(jù)使用更便利。 　　存儲(chǔ)在系統(tǒng)內(nèi)的數(shù)據(jù)都是加密處理，一文件一密鑰，系統(tǒng)采用“透明文件加解密”技術(shù)，使得組內(nèi)成員可以隨意訪問組內(nèi)授權(quán)訪問的加密的文件，而無需每個(gè)組員人為的交換密鑰。 　　2.2.2 系統(tǒng)的安全性 　　數(shù)據(jù)加密存儲(chǔ) 　　系統(tǒng)使用保險(xiǎn)箱管理用戶的敏感信息。在保險(xiǎn)箱中生成的文件或從外部進(jìn)入到保險(xiǎn)箱中的文件以及目錄下的文件都將由KYLIN SFS加密文件系統(tǒng)自動(dòng)加密，以密文形式集中存儲(chǔ)在天機(jī)網(wǎng)絡(luò)文件存儲(chǔ)系統(tǒng)中。 　　數(shù)據(jù)傳輸加密 　　當(dāng)用戶日常文檔處理作<保存>操作時(shí)，比如保存為Z:2009工作設(shè)計(jì)方案.doc，系統(tǒng)自動(dòng)在本地加密后傳輸?shù)竭h(yuǎn)端天機(jī)系統(tǒng)中，而無需人工加密干預(yù)。 　　數(shù)據(jù)隱藏 　　在客戶端的用戶視圖上，用戶只能夠看見自己具有合法訪問權(quán)限的保險(xiǎn)箱及內(nèi)容。用戶無法意識(shí)到其它保險(xiǎn)箱的存在性，更無從訪問。 　　敏感數(shù)據(jù)訪問控制 　　保險(xiǎn)箱分為私人保險(xiǎn)箱和共享保險(xiǎn)箱。用戶一旦使用系統(tǒng)，將自動(dòng)分配一個(gè)私人保險(xiǎn)箱，這個(gè)保險(xiǎn)箱只能用戶自己使用，任何其它用戶無法看到其內(nèi)容。如果用戶需要傳輸自己的敏感信息傳送給其它用戶，可以創(chuàng)建一個(gè)共享保險(xiǎn)箱，將數(shù)據(jù)放入到這個(gè)保險(xiǎn)箱，并且授權(quán)可以訪問的用戶為這個(gè)保險(xiǎn)箱的共享用戶，可授予共享用戶的權(quán)限包括：只讀、創(chuàng)建和讀寫。 　　分權(quán)管理 　　系統(tǒng)支持三類管理員：安全管理員、恢復(fù)管理員和系統(tǒng)管理員。安全管理員用于管理密鑰等敏感信息，發(fā)放U-Key。恢復(fù)管理員在用戶U-Key丟失的情況下，利用備份信息，確保用戶能夠繼續(xù)訪問以前存儲(chǔ)的數(shù)據(jù)。系統(tǒng)管理員用于服務(wù)器的日常維護(hù)。 　　運(yùn)行時(shí)空隔離 　　系統(tǒng)同時(shí)采用了非對(duì)稱加密算法和對(duì)稱加密算法。對(duì)稱加密算法用于保護(hù)文件數(shù)據(jù)，由國(guó)家認(rèn)證的硬件加密卡提供。所有的文件數(shù)據(jù)加解密操作在加密卡內(nèi)完成，非常安全。非對(duì)稱加密算法用于保護(hù)文件密鑰，非對(duì)稱解密操作在安全設(shè)備U-Key進(jìn)行。 　　安全的密碼管理功能 　　文件加解密算法為國(guó)家認(rèn)證的硬件加密卡提供的sec算法，滿足國(guó)家政府部門、軍工部門的密碼需求。當(dāng)文件在保險(xiǎn)箱內(nèi)生成或進(jìn)入到保險(xiǎn)內(nèi)時(shí)，請(qǐng)求加密硬件生成128位密鑰，對(duì)文件進(jìn)行加密。文件密鑰由非對(duì)稱算法的公鑰進(jìn)行加密存儲(chǔ)，當(dāng)文件被銷毀時(shí)，密鑰也自動(dòng)銷毀。非對(duì)稱算法的私鑰安全依賴智能卡這個(gè)安全設(shè)備進(jìn)行存儲(chǔ)。 　　完備的審計(jì)功能 　　系統(tǒng)能夠?qū)Π踩嚓P(guān)的事件進(jìn)行審計(jì)，便