路万君，牛鹏军

随着信息化技术的进一步发展，移动存储介质的使用范围越来越广泛［1-2］，其在涉密信息系统、内部网信息系统和互联网信息系统之间交叉使用带来的主机安全、信息保密问题［3］也受到越来越多的关注。

铁路信号安全数据网是高速铁路列控系统关键核心网络［4］，承载列控中心（TCC）、计算机联锁（CBI）、无线闭塞中心（RBC）、临时限速服务器（TSRS）等信号设备之间的行车控制数据交互，是保障列车有序、安全、可靠运行的基础。

在安全数据网的日常维护过程中，需要使用移动存储介质进行内、外网数据的交互。尽管现场制定了使用登记、病毒查杀、专人盯控等制度，但是由于移动存储介质的病毒/木马难以被发现和控制，从而使得安全数据网内设备感染和关键数据信息泄露的风险仍有所增加。

为防范安全数据网在使用移动存储介质过程中面临的安全风险，有必要对移动存储介质的安全管理方案进行优化，为安全数据网提供专用化、流程化、风险可控的安全管理方案，力争在利用移动存储介质便利性的同时，大大降低其安全风险。

1 存在问题

随着信息化社会的发展，移动存储介质已经成为人们工作中不可或缺的助手，其即插即用的良好特性给人们带来便利的同时也存在着极大的安全隐患［4］。

1）易泄密。由于移动存储介质容量大，且资料读取、检索方便，铁路现场经常使用移动U 盘作为设备软件升级、配置更改等日常维护工作的中间介质。而U 盘虽具有方便移动、外形小巧的特性，但容易遗失［5］，从而会造成关键内容泄密。此外，由于不规范使用，如插入被植入木马的主机上，也会造成移动U 盘内数据在不知情的情况下被泄露［6］。

2）易感染病毒/木马，并造成交叉感染［7］。不规范的使用方式是造成移动存储介质感染病毒或木马的主要原因。在移动存储介质插入问题主机的过程中就已经感染部分病毒/木马，并且一般具有隐蔽特性，使用人员不易察觉。在此过程中，移动存储介质在不同主机间交叉使用，就会造成病毒/木马的隐匿传播，甚至影响整条线路的所有设备，给行车安全造成较大的威胁。

3）出现问题难于追踪。移动存储介质的插入、拔出，文件的拷贝、删除，病毒的查杀与否等内容无审计记录，导致出现病毒/木马感染传播或文件泄密等问题时，对问题文件的溯源、追踪较为困难。

移动存储介质使用过程中存在的上述问题，即使严格执行现有铁路维护现场建立的使用登记、病毒查杀、专人盯控等制度，依然无法避免，需要建立更加有效的安全管理方案。

2 方案建设

为满足安全数据内网与外网间进行数据交互过程中的安全性要求，降低病毒/木马感染风险，避免关键数据泄露，并在使用移动存储介质过程中，健全多维度的日志审计内容，为问题溯源提供坚实可靠的依据，本文建立一套移动存储介质安全管理方案。

1）设计一款带有加密芯片的安全U 盘，建立专用数据分区——安全区，使该区对普通外网主机不可见，从而保证即使安全U 盘不慎遗失，也不会造成数据泄露。此外，在安全U 盘内特定的隐藏区域设置存储不同分区的杀毒标记。通过私有接口进行数据交互，使装有主机加固软件的铁路信号安全数据网内设备对未杀毒的安全U 盘进行拦截，拒绝访问加载，从而在流程上严格保证只有经过安全数据摆渡机执行完病毒查杀或经摆渡机执行文件摆渡的安全U 盘，才允许接入到信号安全数据网内设备，避免感染病毒或木马，以及隐匿传播等风险。

2）设计安全U 盘写入软件，将在公开区进行的数据操作均存储在U 盘特定的日志区内，以供审计查阅。此外，通过安全数据摆渡机的病毒查杀与数据摆渡，以及通过主机加固软件的访问控制、数据操作等均有对应的日志记录，便于安全审计［8-9］及出现问题后的溯源追踪。

3）构建安全内网主机和非安全外网主机2 种移动存储介质的使用场景。场景一：安全内网主机，也称内网主机，是指安装有主机加固软件，并开启策略、U盘管控、白名单控制等安全防护要求较高的内网业务主机，如加装了主机加固软件的TCC 维护机、联锁维护机、监测维护机等。场景二：非安全外网主机，也称外网主机，是指没有加装主机加固软件的普通外网主机，如可联网的一般办公主机，运维人员使用的普通笔记本电脑等。

移动存储介质安全管理方案见图1。

图1 移动存储介质安全管理方案

2.1 安全U盘

2.1.1安全U盘分区

安全U 盘内置安全加解密芯片，将存储区域划分为多个功能区域［10］，包括CDROM 区、公开区、安全区、日志区和隐藏区，见图2。

图2 安全U盘分区

1）CDROM 区：只读，用于存放安全U 盘写入软件。非安全外网主机通过该软件将外部数据拷贝到安全U 盘公开区，使用软件需持有用户名和密码进行登录，用户名和密码存放于安全U 盘的隐藏区。

2）公开区：在非安全外网主机可见，但只读，无法通过系统接口向公开区拷入文件，从而避免因为插入外网主机而导致的U 盘感染病毒或木马；在安全内网主机通过访问位于安全U 盘隐藏区内的杀毒标记来决定是否加载公开区，并开放系统可读写的权限。公开区的设立是用于较频繁的非安全外网主机与安全内网主机间的数据交换，如将非安全外网主机上更新或修改后的配置数据、文件应用于安全内网主机上（如列控维护机），或将安全内网主机上用于进一步故障诊断分析的日志文件等拷出到非安全外网主机（如维保人员个人电脑）。

3）安全区：在非安全外网主机不可见。即用于安全内网主机间数据交换的区域，在普通外网主机上不可见，确保数据文件的保密性。安全内网主机通过访问位于安全U 盘隐藏区内的杀毒标记来决定是否加载安全区，并开放系统可读写的权限。

4）日志区：系统不可见，仅通过私有接口访问，用于存放安全U 盘写入软件，存储公开区文件拷贝、删除等操作的记录，便于审计管理。

5）隐藏区：系统不可见，加密存储，仅通过私有接口访问，用于存放公开区、安全区杀毒标记，写入软件，登录用户名/密码等内容。

2.1.2安全U盘功能

安全U盘除了设置跨平台［11］（Linux/Windows）的公有访问接口外，还提供跨系统文件访问和权限控制、日志读写、杀毒标记读写等私有访问接口，见图3，具体功能如下。

图3 安全U盘功能

1） 公有接口受限的数据访问。受限的数据访问，主要是针对数据分区部分，其中默认的公开区仅有只读权限，安全区则不可见。

2） 私有接口数据区访问权限控制。实现控制公开区和安全区的可见、不可见、可读、可写的权限控制功能，由存储于定制U 盘内的固件控制程序来实现切换，仅可通过定制的私有接口进行访问控制，无法通过通用技术手段进行权限控制功能的切换；同时私有接口的调用需要对存储在安全U盘隐藏区用于授权加密存储的认证标识进行访问认证，也进一步避免了非授权用户调用接口而导致的U 盘安全性不可控，增强了访问控制权限的安全性。安全数据摆渡系统和主机加固软件通过调用该功能，实现对安全U 盘的公开区和安全区进行病毒查杀和访问控制。

3） 私有接口公开区数据操作。外网主机对安全U 盘的公开区仅有只读权限。对于公开区文件的写入、删除操作，可以通过私有接口实现。该功能集成在写入软件中，管理员登录后可对公开区数据进行操作，实现数据由外网主机传输到安全U盘公开区。

4） 私有接口读写日志。写入软件对公开区数据操作的日志，采用私有接口将这些日志存储在位于安全U 盘管理分区的专门日志区域中。审计人员可通过该私有接口实现对公开区数据操作记录的审计查阅。

5） 私有接口实现杀毒标记访问控制。公开区、安全区的杀毒标记是内网主机决定是否允许加载安全U 盘的关键标识。无论是通过写入软件进行外网数据到安全U 盘的拷贝还是通过主机加固软件授权后完成对安全区数据的拷贝，都将调用该功能。将安全U 盘对应区域的杀毒标记设置为“未杀毒”，只有经过安全数据摆渡系统查杀完成的安全U 盘才会被写入已杀毒的标记。含有未杀毒标识的安全U 盘在插入内网主机后，会被主机加固软件检测识别，并阻止其访问和加载。

2.1.3安全U盘特点

相较于市场上普遍采用的配合管控、加解密软件［12］一起使用的安全U 盘，本方案中的安全U 盘有以下4处改进。

1） 采用内置芯片加密，即硬件加密［13-14］，避免一般安全U 盘在普通外网主机上不可用，或需要加装配合使用的管控及加解密软件。在外网主机上使用时，可以通过安全U 盘CDROM 区的写入软件进行拷入和拷出操作，无需预装软件，简化拷入流程，避免木马病毒的隐匿植入和传播。

2） 配合加密芯片及数据访问控制功能，进一步强化了安全区数据的保密性，降低了因遗失而造成的泄密风险。

3）定制化U 盘量产工具［15］。本方案设计U 盘采用定制化U 盘量产工具，确保他人无法进行仿制。

4） 增设独特的杀毒标记功能，严格规范外网主机与内网主机间通过安全U 盘进行数据交换的使用流程，使外网主机向内网主机的数据拷入及内网主机间的数据交换，必须经过一次特定杀毒软件的病毒查杀，从而大大降低木马/病毒通过安全U盘来感染关键内网主机的风险。

2.2 安全数据摆渡机

安全数据摆渡机集成了双病毒查杀引擎，其中一款为商用杀毒引擎，实现对移动存储介质，包括普通U 盘、CF 卡、SD 卡、光盘、安全U 盘、移动硬盘的病毒查杀。其物理构成见图4。

图4 安全数据摆渡机物理构成

1） 病毒查杀。双病毒查杀引擎，避免了单一引擎带来的漏杀风险。在安全数据摆渡系统中，在商用引擎的基础上引入一款开源引擎提升病毒查杀能力。在手动选择查杀范围的基础上，支持对移动存储介质插入后的自动查杀。对查杀的异常文件给出报警，并提示后续处理措施。针对安全U 盘公开区、安全区的查杀，在查杀完成且无毒后，安全数据摆渡系统会将已杀毒的标记，分别写入安全U盘的隐藏区。

2） 病毒特征库升级。除了通过管理中心定期自动更新双病毒库外，还支持通过安全U 盘实现本地手动更新双病毒特征库。

3） 安全数据摆渡。实现从外网移动存储设备（普通U盘、CF卡、光盘、移动硬盘等）到安全U盘公开区、安全区的单向数据摆渡；同时对拷贝的文件进行病毒查杀，避免文件带毒进入安全U盘。

4） 日志审计。病毒查杀、数据库升级、安全数据摆渡等行为均将产生日志记录，供审计人员登录查阅。

2.3 主机加固软件

主机加固软件安装在内网受保护的主机上，通过对主机运行程序控制、边界防控、关系文件/注册表访问控制和移动U 盘注册管控，实现对安全内网主机的安全加固，增强其安全防护［16］水平。

1） 程序执行控制。只允许运行业务软件和系统软件，禁止非法业务软件运行，防范恶意代码和黑客软件的攻击。

2） 主机边界安全防控，关闭除业务软件使用的网络端口以外的端口。

3） 禁止无线网卡的使用。

4） 对关键的系统文件和注册表项进行访问控制且禁止修改。

5） 对业务软件的文件进行保护，只允许业务软件进行操作。

6） 移动U 盘注册。普通U 盘和安全U 盘均需要在主机加固软件上进行注册，并开启相关的读、写访问控制策略。注册功能同时可实现不同电务段、不同铁路线间的安全U 盘不可混用，做到专盘专用。

7） 安全U 盘访问控制。在安全U 盘插入时，通过安全U 盘私有接口检查其公开区、安全区的杀毒标记，对已杀毒的安全U 盘，根据配置的安全策略，开放读/写等访问权限；对未杀毒的安全U 盘，阻止其加载，避免病毒/木马通过插入过程进入受保护主机内。

3 应用场景

在高铁安全数据网维护过程中，常用的移动存储介质使用场景包括：外网数据向内网拷入，如升级文件，修改后的配置数据等；内网数据向外网拷出，如日志文件等；内网间数据的交互。

3.1 向安全内网主机拷入外网数据

外网数据拷入安全内网主机流程见图5。

图5 外网数据拷入安全内网主机流程

1） 将安全U 盘插入外网主机，打开安全U 盘内的写入软件，通过写入软件将要拷入内网的文件拷贝到安全U 盘的公开区。此时，写入软件将设置安全U盘公开区的杀毒标记为“未杀毒”。

2） 将安全U 盘插入安全数据摆渡机，自动对安全U 盘公开区、安全区进行病毒查杀，如查杀无毒或已处理，则将安全U 盘的公开区、安全区的杀毒标记置为“已杀毒”。如果未对安全U 盘查杀病毒就直接插入到安全内网主机上，主机加固软件将会发现公开区“未杀毒”，从而阻止安全U 盘的加载，保证不拷入外网数据。

3） 将查杀后的安全U 盘，插入装有主机加固软件的内网主机，在检查安全U 盘内的公开区、安全区杀毒标记均为“已杀毒”后，允许加载安全U盘，并将公开区、安全区设置为“可读写”。

4） 通过系统的资源管理器或命令行，将公开区的文件拷贝到安全内网主机本地磁盘，完成外网数据到安全内网的拷入。

3.2 向外网主机拷入安全内网数据

向外网主机拷入内网数据流程见图6。

图6 向外网主机拷入内网数据流程

1） 未查杀的安全U 盘，需要先经安全数据摆渡机进行病毒查杀，查杀无毒或已处理后，将安全U盘公开区、安全区的杀毒标记设置为“已杀毒”。

2） 将查杀后的安全U 盘插入装有主机加固软件的内网主机，检查安全U 盘内的公开区、安全区杀毒标记均为“已杀毒”后，则允许加载安全U盘，并将公开区、安全区设置为“可读写”。

3） 通过系统的资源管理器或命令行，将内网主机本地磁盘文件拷贝到安全U 盘公开区，此时主机加固软件会对拷贝的文件内容进行日志记录，以便日常审计及数据发生外泄时进行追溯。

4） 将安全U 盘插入外网主机，公开区显示只读，通过系统的资源管理器或命令行，将公开区的文件拷贝到外网主机本地磁盘，完成内网数据拷出到外网主机。结合高速铁路电务配置的专属安全U盘、专人盯控流程及审计追踪功能，大大降低数据外泄风险。

3.3 安全内网不同主机间的数据交互

内网不同主机间数据交互流程见图7。

图7 内网不同主机间数据交互流程

1） 未查杀的安全U 盘，需要先经安全数据摆渡机进行病毒查杀，查杀无毒或已处理后，将安全U盘公开区、安全区的杀毒标记设置为“已杀毒”。

2） 将查杀后的安全U 盘插入装有主机加固软件的内网主机，检查安全U 盘内的公开区、安全区杀毒标记均为“已杀毒”后，则允许加载安全U 盘，并将公开区、安全区设置为“可读写”。

3） 通过系统的资源管理器或命令行，将内网主机1本地磁盘文件拷贝到安全U 盘安全区，此时主机加固软件将安全U 盘中安全区的杀毒标记设置为“未杀毒”。

4） 将安全U 盘插入安全数据摆渡机，自动对安全U 盘公开区、安全区进行病毒查杀，如查杀无毒或已处理，则将安全U 盘的公开区、安全区的杀毒标记置为“已杀毒”。如果未对安全U 盘查杀病毒，而是直接插入到内网主机2 上，主机加固软件将会发现安全区“未杀毒”，将阻止安全U 盘的加载，从而无法将内网主机1的数据拷入主机2。

5） 将查杀后的安全U 盘插入装有主机加固软件的内网主机2，检查安全U 盘内的公开区、安全区杀毒标记均为“已杀毒”后，则允许加载安全U盘，并将公开区、安全区设置为“可读写”。

6） 通过系统的资源管理器或命令行，将安全区的文件拷贝到内网主机2 的本地磁盘，完成内网数据从内网主机1到内网主机2的拷入。

4 结论

本文提出的高速铁路信号数据网移动存储介质安全管理方案，通过以一款加密安全U 盘为中间移动存储介质，联合安全数据摆渡机的双引擎查杀与主机加固软件的防护功能，建立安全数据网移动存储介质使用的安全防护体系。通过更严格的使用流程限制，做到在内网中凡使用必经过杀毒，从而降低移动存储介质感染病毒及在内网间交叉传播的风险，进一步提高安全数据网运维过程中的安全性，为高速铁路的安全、稳定运行提供坚实的基础保障。