传统的NAS或者网络文件服务器的安全缺陷
第1章 概述
为了保护知识产权和关键设计的技术保密,许多装备研究设计院有着严格的保密条例和规定,这些保密条例中有些是人防,有些是技防,目标是确保信息不外露和信息泄露的可追溯。
为了工作方便,在办公或者设计中通常会采用文件共享的方式,方便大家交换和修正资料,这就需要一台NAS服务器或者网络文件服务器(* 我们把这两种技术都简称为NAS)支持这种应用模型。
但是,传统的NAS或者网络文件服务器有着天然的安全缺陷,比如:
1) 系统中存在一个独大的系统管理员 (root)用户,他可以看到所有人的数据;
2) 系统的明文存储,一旦硬盘丢失或者非法挂载,数据泄密迅速;
3) 数据的明文传输,许多网络木马病毒很容易侦听到这些明文包,造成数据泄密;
4) 口令保护单一,仅仅是口令,非常容易被穷举攻破;
5) 组划分规则混乱,无法由最终用户决定,而必须通过系统管理员,造成不变和可能的信息泄露;
这些缺陷都是NAS系统无法回避的,许多厂商也提供自己的解决方案去试图解决上述问题,但是我们认为都没有从根本上解决这些问题,都存在明显的漏洞。比如:
客户端加密软件解决存储加密;
首先,如果使用硬件加密,在拓扑结构上需要增加一台加密服务器,这需要第三方厂商再开发一套安全加密算法传输协议才能真正安全地使用这块加密卡,否则系统在传输密钥的时候就被截获;
其次,如果在每台设备上增加一块加密卡,虽然不用开发安全的通讯协议,但是加密卡的成本少则几千,多则上万,这是一个非常庞大的投资;
再次,软件加密的如果是一人一密钥的进行文件加密,那么,无法做到透明的加密文件共享,将会给使用带来极大的不便;如果系统使用唯一的密钥,那么,如果被攻破,则可能威胁到每一个人的数据;
最后,这些加密软件都应用在核外应用层,很容易被Windows木马病毒旁路或者侦听;
数据库权限管理模式
无论是客户端还是Web模式,都是采用“check in /check out”或者“下载/提交模式”,其都可以使用加密存储和加密传输解决NAS可能出现的问题,更重要的是,由于数据库模式在关系管理上有着天然的技术优势,可以很容易划分组、成员之间的关系。
但是,由于该应用运行在一个普通的操作系统和数据库系统上,所以,独大的root用户和数据库系统管理员用户可以“轻松的查阅”每个用户的数据,造成信息数据的不安全。
另外,如果每个简单的业务都做一套Web系统,都要让最终用户了解规则,甚至复杂的Web页面的URL地址,那么,就会平白地增加其工作量,造成工作的不便。
所以,从安全性和便利性的角度上,提出“麒麟天机网络安全文件存储系统”的综合解决方案,其清晰的系统设计和实现目标为客户安全轻松的办公提供了基础的IT技术平台。
第2章 系统介绍
2.1 拓扑结构
天机系统通过标准的RJ45电口接入局域网交换机,支持百兆和千兆自适应, 原有的办公机无需改变任何物理拓扑。
系统管理员必须为每个用户申请独立的U-Key或者智能卡后,用户才能正常使用,每个用户可以进行磁盘容量配额的申请。
用户通过U-Key或者智能卡登录后,系统为每个用户分配了“私有保险箱”和“共享保险箱”。
私有保险箱
个人使用,他人包括组成员无法打开。
共享保险箱
个人使用或者为小组成员共同使用,其他小组成员无法使用,甚至无法看到。可任意人随意授权和收回授权,可授予共享用户的权限包括:只读、创建和读写。
用户登录后,可以在其共享保险箱内看到其他用户给自己开放权限的目录。
2.2 系统特点
2.2.1使用的便利性
如同使用本地硬盘一样。
系统用户登录后,系统在本地系统中立刻增加标准驱动器Y:和Z: (* 具体情况每台终端可能有所不同),其中Z为私有保险箱,Y为共享保险箱。客户在保存私有文件时,比如在微软word中,只需<保存/另存为>等操作,将文件保存在Z:xxxxxx.doc即可;如果保存在共享文件夹中,只需要在Y驱动器中,选择文件所共享给组文件夹即可,如Y:2009年报审核组2009年财务报表.doc即可。更重要的是网络传输和存储中,系统自动加解密,对用户来说完全透明,完全不感知。
随时可以授权或者解除授权。
用户可以独立授权而不需要通过系统管理员,这种管理模式更像日常的组织架构,经理、组长是业务的管理者和组织者,其可以决定任何人能够加入和调离这个小组,还可以决定任何小组成员有只读、读写和创建的权利,使得行政管理和技术管理的完美结合。
数据使用更便利。
存储在系统内的数据都是加密处理,一文件一密钥,系统采用“透明文件加解密”技术,使得组内成员可以随意访问组内授权访问的加密的文件,而无需每个组员人为的交换密钥。
2.2.2 系统的安全性
数据加密存储
系统使用保险箱管理用户的敏感信息。在保险箱中生成的文件或从外部进入到保险箱中的文件以及目录下的文件都将由KYLIN SFS加密文件系统自动加密,以密文形式集中存储在天机网络文件存储系统中。
数据传输加密
当用户日常文档处理作<保存>操作时,比如保存为Z:2009工作设计方案.doc,系统自动在本地加密后传输到远端天机系统中,而无需人工加密干预。
数据隐藏
在客户端的用户视图上,用户只能够看见自己具有合法访问权限的保险箱及内容。用户无法意识到其它保险箱的存在性,更无从访问。
敏感数据访问控制
保险箱分为私人保险箱和共享保险箱。用户一旦使用系统,将自动分配一个私人保险箱,这个保险箱只能用户自己使用,任何其它用户无法看到其内容。如果用户需要传输自己的敏感信息传送给其它用户,可以创建一个共享保险箱,将数据放入到这个保险箱,并且授权可以访问的用户为这个保险箱的共享用户,可授予共享用户的权限包括:只读、创建和读写。
分权管理
系统支持三类管理员:安全管理员、恢复管理员和系统管理员。安全管理员用于管理密钥等敏感信息,发放U-Key。恢复管理员在用户U-Key丢失的情况下,利用备份信息,确保用户能够继续访问以前存储的数据。系统管理员用于服务器的日常维护。
运行时空隔离
系统同时采用了非对称加密算法和对称加密算法。对称加密算法用于保护文件数据,由国家认证的硬件加密卡提供。所有的文件数据加解密操作在加密卡内完成,非常安全。非对称加密算法用于保护文件密钥,非对称解密操作在安全设备U-Key进行。
安全的密码管理功能
文件加解密算法为国家认证的硬件加密卡提供的sec算法,满足国家政府部门、军工部门的密码需求。当文件在保险箱内生成或进入到保险内时,请求加密硬件生成128位密钥,对文件进行加密。文件密钥由非对称算法的公钥进行加密存储,当文件被销毁时,密钥也自动销毁。非对称算法的私钥安全依赖智能卡这个安全设备进行存储。
完备的审计功能
系统能够对安全相关的事件进行审计,便