李本剛

（江蘇自動化研究所 連云港 222061）

1 引言

近年來，隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，不管是黨政機(jī)關(guān)、還是各行各業(yè)，我國從國防建設(shè)、公共服務(wù)、科研生產(chǎn)到日常生活，均離不開計算機(jī)和網(wǎng)絡(luò)的支持。與此同時，承載這些服務(wù)的終端面臨未知邊界、虛假認(rèn)證、缺少可控等諸多安全風(fēng)險，危害信息安全的事件也不斷發(fā)生［1］。全球最具權(quán)威的IT研究與顧問咨詢公司Gartner曾指出，80%的安全攻擊、數(shù)據(jù)外泄及系統(tǒng)宕機(jī)事件均與前端計算機(jī)或是端點用戶相關(guān)，計算機(jī)（終端）的運行安全成為了最難以解決的信息化痛點。

2 當(dāng)前面臨的主要問題

隨著計算機(jī)和網(wǎng)絡(luò)的普及，針對計算機(jī)的網(wǎng)絡(luò)攻擊也越來越頻繁，比如近期出現(xiàn)的incasefrmat計算機(jī)超級蠕蟲病毒，再比如早先年Tellyouthepass勒索病毒的泛濫［2］，再到利用EternalBlue（永恒之藍(lán)）進(jìn)行漏洞攻擊等，均有一個顯著共性特點，即利用系統(tǒng)自身的漏洞或后門，在系統(tǒng)啟動過程中植入和攻擊。目前的解決思路主要是在操作系統(tǒng)上疊加應(yīng)用級的管控軟件去解決問題，包括沙箱、還原軟件、主機(jī)審計、三合一［3］、應(yīng)用防火墻、防病毒軟件等。主流的信息安全體系架構(gòu)如圖1所示［4］。

圖1 信息安全體系框架圖

應(yīng)用級的管控軟件都有一個共同的問題，就是依賴系統(tǒng)提供的權(quán)限和接口實現(xiàn)惡意程序和代碼的執(zhí)行、寫入限制。如果操作系統(tǒng)自身的漏洞或是權(quán)限、接口、中斷被劫持接管，則這些管控不攻自破，并且這類應(yīng)用級管控工具并無針對操作系統(tǒng)和應(yīng)用系統(tǒng)的集群部署、災(zāi)備、更新功能。且主流操作系統(tǒng)的代碼均掌握在國外，代碼的安全性未知，是否有后門和木馬無從確定，一旦出現(xiàn)伊朗震網(wǎng)病毒這種安全事件，就會面臨無法承受之痛［5］。

當(dāng)前國家積極開展自主可控建設(shè)，但目前計算機(jī)系統(tǒng)自主可控技術(shù)還處于發(fā)展階段，存在普遍的碎片化、兼容性和不穩(wěn)定性問題，原有很多Wintel體系的運維技術(shù)手段也并不適用［6］。從架構(gòu)層面去解決龐大的計算機(jī)群的安全管理運維難題［7］，采用平臺級的集中管理型技術(shù)，從底層把國內(nèi)外操作系統(tǒng)托舉起來、安全地管理起來，實現(xiàn)知識集中，信息加密存儲、傳輸、處理，并提供授權(quán)的安全可控的內(nèi)部操作應(yīng)用環(huán)境是一條可行的路線。

3 技術(shù)路線及實現(xiàn)方法

本研究從底層入手，基于服務(wù)器對用戶終端進(jìn)行集中管理的C/S架構(gòu)，終端采用分布式本地運算及可信計算的算法模型，采用專用協(xié)議，實現(xiàn)從服務(wù)器到終端、用戶終端操作系統(tǒng)和計算機(jī)硬件之間構(gòu)建一個閉環(huán)安全層。在不改變現(xiàn)有運算模式的前提下、對運行環(huán)境實現(xiàn)可信任的安全可控［8］。采用群集文件系統(tǒng)對用戶的初始運行環(huán)境數(shù)據(jù)進(jìn)行統(tǒng)一的后端標(biāo)準(zhǔn)化構(gòu)建和管理，采用數(shù)據(jù)指針技術(shù)為每個用戶分配一個可信任的運行計算環(huán)境，構(gòu)建一種特有的安全計算架構(gòu)，透過專用磁盤扇區(qū)網(wǎng)絡(luò)傳輸協(xié)議將運行環(huán)境以本地磁盤扇區(qū)的方式緩存存儲在用戶硬盤上，針對扇區(qū)的數(shù)據(jù)指針技術(shù)可以有效防止數(shù)據(jù)篡改和訪問攻擊，確保磁盤I/O訪問的邏輯安全性和運行環(huán)境的可恢復(fù)性，從而建立數(shù)據(jù)動靜態(tài)安全體系和運維保障體系［9］。

3.1 基于群集文件和數(shù)據(jù)指針系統(tǒng)的集中管理技術(shù)

本研究設(shè)計了一種專用的群集磁盤扇區(qū)文件系統(tǒng)，以標(biāo)準(zhǔn)的磁盤扇區(qū)塊為存儲單位，在服務(wù)器端構(gòu)建用戶終端需要的運行環(huán)境，包含文件系統(tǒng)、操作系統(tǒng)、驅(qū)動庫、應(yīng)用軟件及配置。這些存儲單位采用數(shù)據(jù)指針架構(gòu)進(jìn)行管理，數(shù)據(jù)指針負(fù)責(zé)數(shù)據(jù)的組織調(diào)度。

當(dāng)終端要運行計算環(huán)境時，后端服務(wù)器向其推送含有對應(yīng)專有文件的五個庫表的數(shù)據(jù)指針，以數(shù)據(jù)指針為索引，終端將磁盤扇區(qū)數(shù)據(jù)有機(jī)組織起來形成完整的運行環(huán)境支撐。該群集文件系統(tǒng)和數(shù)據(jù)指針技術(shù)保證了在多終端同時運行的模式下，共享型的數(shù)據(jù)只讀，每臺終端的個性化數(shù)據(jù)單獨寫入存放。在使用過程中，所產(chǎn)生的數(shù)據(jù)變化造成的運行數(shù)據(jù)、用戶動態(tài)數(shù)據(jù)和程序修改等都受數(shù)據(jù)指針系統(tǒng)全程控制。

3.2 動態(tài)和靜態(tài)數(shù)據(jù)安全設(shè)計

本研究設(shè)計的磁盤扇區(qū)傳輸協(xié)議是一套計算機(jī)硬盤扇區(qū)數(shù)據(jù)管理與傳輸服務(wù)供應(yīng)協(xié)議，是系統(tǒng)平臺的通訊基礎(chǔ)，位于客戶端操作系統(tǒng)之下，可直接對客戶端的硬盤扇區(qū)數(shù)據(jù)進(jìn)行管理和控制，位于OSI 7層網(wǎng)絡(luò)模式中的數(shù)據(jù)鏈路層（在需要的時候也可轉(zhuǎn)換為網(wǎng)絡(luò)層協(xié)議），能夠?qū)⒏鞣N服務(wù)套件以扇區(qū)緩存的方式動態(tài)架構(gòu)到終端的硬盤內(nèi)，內(nèi)含多組協(xié)議指令，可用于執(zhí)行客戶端硬盤扇區(qū)數(shù)據(jù)的存取與管理工作（例如安裝、刪除、存儲空間調(diào)整、復(fù)制、存取管理、桌面環(huán)境整合）。

數(shù)據(jù)在動態(tài)使用和傳輸過程中，在數(shù)據(jù)指針的控制下呈現(xiàn)。一旦服務(wù)器與終端的安全進(jìn)程被打斷，將馬上被服務(wù)器所發(fā)現(xiàn)，服務(wù)器的群集文件系統(tǒng)和磁盤扇區(qū)傳輸協(xié)議將中止數(shù)據(jù)的組織和調(diào)度，從而使得數(shù)據(jù)無法被非法獲取［10］。同樣的原理，終端如果與服務(wù)器端未建立合法的通訊、獲取授權(quán)的數(shù)據(jù)指針，則終端的扇區(qū)數(shù)據(jù)缺乏組織與調(diào)度，同樣無法恢復(fù)和呈現(xiàn)成可訪問的明文信息。則終端在未啟動情況下的靜態(tài)數(shù)據(jù)安全防護(hù)問題也得到了解決。

圖2 基于微系統(tǒng)認(rèn)證的數(shù)據(jù)安全策略

3.3 以本地緩存技術(shù)為基礎(chǔ)的運維保障技術(shù)

本研究還開發(fā)了磁盤本地緩存技術(shù)（Local Cache），除了解決前后端運行環(huán)境的高效運維外，還從本質(zhì)上解決可信終端的運行計算速度問題、對網(wǎng)絡(luò)的帶寬占用問題以及對服務(wù)器要求高等問題。

通過此一架構(gòu)，用戶終端無需安裝部署任何系統(tǒng)，只需開機(jī)即可從服務(wù)器以隨需的方式獲取運行環(huán)境，并以磁盤本地緩存技術(shù)（Local Cache）將本次獲取的扇區(qū)數(shù)據(jù)同步至本地物理磁盤保存、服務(wù)器的數(shù)據(jù)指針記錄這一操作；用戶重復(fù)運行系統(tǒng)或應(yīng)用，則會在服務(wù)器數(shù)據(jù)指針的指引下將I/O訪問指向本地磁盤的緩存數(shù)據(jù)。用戶運行時產(chǎn)生的寫入數(shù)據(jù)則一律在數(shù)據(jù)指針的指引下以磁盤本地緩存技術(shù)（Local Cache）寫入本地磁盤，服務(wù)器只需采用數(shù)據(jù)指針同步記錄操作索引，用戶后期調(diào)用這些數(shù)據(jù)時，數(shù)據(jù)指針負(fù)責(zé)將其涉及到的前后端數(shù)據(jù)組織起來供用戶運行環(huán)境使用。用戶在運行環(huán)境時采用本地化運算模式，以上的機(jī)制徹底解決用戶對服務(wù)器和網(wǎng)絡(luò)的重復(fù)性占用和I/O性能要求。

同樣，此種架構(gòu)可確保用戶終端獲得災(zāi)難恢復(fù)的能力，一旦系統(tǒng)損壞或是被篡改，則服務(wù)器的數(shù)據(jù)指針就可糾正此一錯誤，敏捷而快速地將磁盤本地緩存恢復(fù)到標(biāo)準(zhǔn)可用狀態(tài)［11］，確保業(yè)務(wù)連續(xù)性。

4 功能價值

除了能對現(xiàn)有的國外Wintel系統(tǒng)的支持，基于群集技術(shù)的數(shù)據(jù)集中管控還能在自主可控計算機(jī)平臺上完成兼容部署實施，并在確保合規(guī)性的前提下穩(wěn)定運行、實現(xiàn)智能化運維和安全保障。

隨著自主可控產(chǎn)業(yè)的不斷發(fā)展，相關(guān)軟硬件設(shè)備也在不斷的完善和升級，但依然面臨軟件生態(tài)不健全和運行穩(wěn)定性欠佳的問題，據(jù)不完全統(tǒng)計目前自主可控硬件設(shè)備的良品率不到80%，終端存在一定比例的異常重啟、藍(lán)屏、死機(jī)等故障，而發(fā)展所需的不斷迭代，也導(dǎo)致了國產(chǎn)系統(tǒng)和應(yīng)用都要不斷升級更新的問題，對運維體系更是帶來了巨大的壓力。國內(nèi)相關(guān)機(jī)構(gòu)轉(zhuǎn)換思路，顛覆以往通過應(yīng)用層管控打造安全和運維體系架構(gòu)的模式，繼而采用基于群集文件系統(tǒng)的新技術(shù)，實現(xiàn)了對原有Wintel系統(tǒng)和國產(chǎn)化系統(tǒng)以下幾個管控目標(biāo)。

1）自主可控：實現(xiàn)新型的、跨平臺的、完全自主可控的、從底層對操作系統(tǒng)及數(shù)據(jù)的進(jìn)行支撐和安全管理的計算機(jī)軟硬件支撐平臺。在實現(xiàn)信息化建設(shè)的安全目標(biāo)、降低方案風(fēng)險的前提下，抵御信息安全攻擊，確保系統(tǒng)穩(wěn)定運行。

2）安全保密：從底層接管對操作系統(tǒng)和應(yīng)用的管理，建立獨立的數(shù)據(jù)防護(hù)邊界，無論是系統(tǒng)在運行時、還是關(guān)機(jī)時外接端口均可封堵，即使設(shè)備及存儲介質(zhì)被竊，也可做到數(shù)據(jù)無法外泄；還可提供安全接口，與上層的安全工具結(jié)合，變孤島式的工具管理為聯(lián)動安全，打造更加安全的信息安全體系。

3）運行保障：此種系統(tǒng)工作在底層，權(quán)限比文件系統(tǒng)和操作系統(tǒng)更高，可無視系統(tǒng)破壞、病毒及惡意代碼，發(fā)生任何突發(fā)系統(tǒng)及軟件災(zāi)難，都可瞬間恢復(fù)，提供7*24h的應(yīng)急運行保障機(jī)制［12］；大規(guī)模系統(tǒng)部署、更新及升級也無需逐臺進(jìn)行，可在中心統(tǒng)一部署、自動推送，簡化信息化運維工作。

4）兼容性好：軟件代碼自主可控，支持自主可控硬件，無縫支持現(xiàn)有的國外主流操作系統(tǒng)及自主可控操作系統(tǒng)和應(yīng)用，從底層對其進(jìn)行支撐，以更高的權(quán)限對其進(jìn)行管理。

5）管理有效：通過一臺服務(wù)器，管理所轄的計算機(jī)設(shè)備，真正實現(xiàn)有效監(jiān)控、監(jiān)管，必要時（例如設(shè)備遺失或被他人截獲）可讓其無法可用?？蓪λ杏嬎銠C(jī)的系統(tǒng)和數(shù)據(jù)以自有的安全數(shù)據(jù)格式自動備份，在后臺安全存放，實現(xiàn)高性能、高安全性的系統(tǒng)及數(shù)據(jù)容災(zāi)機(jī)制。

5 結(jié)語

保障信息安全就是保障企業(yè)生命。信息化是個系統(tǒng)工程、體系工程，一味地加裝應(yīng)用安全工具治標(biāo)不治本，因此，需要從架構(gòu)入手、真正掌握信息安全的主動權(quán)。在當(dāng)前國際風(fēng)云變幻的大環(huán)境下，本文提出的基于群集技術(shù)的數(shù)據(jù)集中管控解決方案，為信息安全系統(tǒng)的后續(xù)發(fā)展提供技術(shù)參考和研究方向，以期可以為企事業(yè)單位保障信息安全、降低總擁有成本、提高生產(chǎn)效率添磚加瓦。