随着计算机的普及应用,无论政府、军队、企事业单位,还是承担国家项目的科研部门,都有大量的敏感信息资料存储在终端计算机中。

易被忽视的个体

主流用户使用的含有重要信息的计算机,表面上是受用户自己控制,其实却不尽然。普通单机面临一些最基本的威胁,比如没有自主的核心芯片,开放式操作系统的安全级别较低,系统登录不安全,数据存储不安全,软件编程BUG突出等等。对用户来说,含有重要信息的网络中易被忽视的个体——单机的安全保障是个大问题。

信息系统的安全设计,必须兼顾信息安全的三要素,即秘密性、完整性、可用性,这是一个复杂的系统工程。

首先,信息系统必须实现三个基本认证,分别是:系统安全登录认证、可信网络接入认证和可信程序运行认证。

其次,信息系统要突出几个基本控制项目:1.严格、全面的非法外联监控;2.监控各种易于导致信息外泄的途径,如各种看不见的端口和可见的外设,以及终端用户的敏感行为;3.实现系统内重要数据的安全存储、销毁。

除了上述两点之外,现实中信息系统仍存在一些迫切需要解决的问题:1.对移动存储介质的有效控制,实现可信管理;2.敏感信息系统单机长期面临的病毒和木马威胁。

目前多数单机的防护思路是在既有操作系统上加载软件。这种方式就像建立在沙丘之上的堡垒,存在致命的弱点。例如,操作系统本身不安全;硬盘丢失,所有重要信息数据将全部暴露等等。

安全防护的“硬”道理

在不改变现有产品体系结构和产业生态链的前提下,能不能找到一种方式,满足敏感信息系统单机的安全防护需求?

目前,鼎普科技开发的一种以PCI适配卡为硬件载体、基于BIOS级别的安全解决方案,可以实现对含有重要敏感信息单机的安全保护,是目前条件下比较有效的信息安全解决思路。

简单地说,PCI是Intel公司开发的外设组件互连标准。计算机内安装的遵从PCI标准的扩展卡即为PCI卡。BIOS是固化在主板芯片上的一组程序,为整机提供最底层、最直接的硬件设置和控制。

这种方案的设计思路基于以下事实:PCI总线已成为当今敏感信息系统单机使用的事实总线标准,具有丰富的硬件资源,不易受资源环境限制。同时,PCI设备配置空间采用自动方式,反跟踪能力强。而从BIOS级别上对敏感信息系统单机进行防护,是较高层次的技术实现途径,可行并有效。

将硬件载体设计成PCI适配卡,可以先于操作系统为敏感信息系统单机提供启动的密码口令保护和指纹识别验证,并在BIOS级别上对敏感信息系统单机的各种输入输出接口和设备的使用情况进行监控和审计。

其次,对硬盘实施整盘加密,并强制BIOS从硬盘启动而不管BIOS上设置的启动顺序,可以防止用户在系统启动前非法使用光驱,保证敏感信息系统单机只有在正确授权的情况下才能够使用,否则敏感信息系统单机将被强制关闭。

正确的口令和指纹样本,以及硬盘加解密的密钥以何种形式保存,是一个关乎系统结构安全性的问题。在这种基于PCI总线的BIOS防护卡解决方案中,设计了一个附带的便携式Key,用来存储这些重要数据,与主卡分离保存。

从总体上看,以PCI适配卡为硬件载体、基于BIOS级别的安全系统,不会因卸载或者重新安装操作系统等因素而失效,无需安装任何应用软件或驱动程序,也不会因人为的插拔硬件卡而使含有重要信息的单机硬盘数据处于暴露状态。

这种解决方案最大的优点是实现了真正意义上的单机管理——所有控制、操作、实施都在单机上完成,最终达成一个目标:建立一体化的可用、可信、可控的敏感单机信息系统。

■ 文/北京鼎普科技股份有限公司 万俊