中国航天科工集团三〇四研究所 姚传奇 张海涛 石春刚
一、研制背景
军工行业是国家战略性、高技术产业,肩负着党和国家赋予的重要历史使命,是维护国家安全的重要力量,是衡量国家综合国力和国防实力的重要标志。随着信息化程度在军工行业的不断加深,涉密内网会产生越来越的电子文件。如何对这些文件进行备份和传输成为一个亟待解决的问题。邮件系统对大文件的传输无能为力,更多的人将目光投向NAS(Network Attached Storage,网络附属存储),因其具有部署方便、性能高、使用简便等特点,可以解决涉密内网中大文件传输、文件共享等问题。然而安全性问题是传统NAS系统普遍存在的一个重要弱点:没有严格的信息安全保护措施,在使用过程中存在信息安全隐患,主要表现在以下几个方面:
(1) 不符合分级保护要求,管理员权限过大,通常能控制整个NAS系统;
(2) 用户密码的强度无法控制,用户可设置弱密码,影响安全性;
(3) 只有共享目录级的权限管理,数据缺少高强度和细粒度的管理和访问控制;
(4) 没有对文件访问和管理员操作记录日志,难以对用户行为进行审计;
(5) 用户交换文件过程中没有根据文档的密级信息进行控制,也没有审批流程,无法禁止涉密文档的高密低传;
(6) 存储设备及配套软件大多由国外厂商提供,无法修改,客户化能力差,用户个性化需求难以得到满足。
为了解决以上问题,中国航天科工集团三〇四研究所针对国家保密局涉密信息系统内文件存储管理相关标准进行深入研究,开发出了航盾NAS电子文件安全管理系统(安全NAS),通过密级控制,文件交换控制等技术实现涉密信息系统内大文件快速传递、文件项目组高级协同共享、文件访问日志审计和细粒度控制等功能。
二、产品总体架构
航盾安全NAS安装拓扑图如图1所示,系统部署在网络存储和用户终端之间,通过该设备以技术手段自动控制文件流转,减少管理员的配置与人工监管工作量,使NAS使用符合保密标准,提高涉密信息系统工作效率。系统支持NAS、IPSAN、FCSAN等多种存储介质,可作为NAS机头来使用,也可串联在NAS设备前面作为NAS安全网关来使用。
图1 航盾安全NAS安装拓扑图
三、功能介绍
(1)系统支持多种登陆方式,包括用户名密码登陆、USBKEY登陆、身份认证网关集成或协同平台集成登陆,并可根据用户需求跟特定的门户系统集成。纯BS模式,无需安装任何客户端,用户通过浏览器即可访问文件服务器,不改变用户的使用方式。
(2)个人文件备份。用户登录自己帐号,可以看到自己的基本信息及配额大小,在页面上点击“空间访问”可以进入安全NAS的目录列表。其中“我的空间”目录实现了用户空间隔离,每个用户都拥有自己的独立空间,各个用户之间既看不到对方的目录,也无权访问其他用户的目录与文件,解决用户重要文件备份问题。
(3)文件发送。系统允许用户将自己存储在个人空间上的电子文件在管理员授权范围内以只读方式传递给其他密级符合要求的指定用户,从而实现用户之间的文件共享和交换。对于电子文件的传递,主体控制到单个用户,客体控制到单个文件,并根据文件密级信息进行判断控制,所有操作均有日志记录,以便对用户行为进行审计。发送过程中需要标示密级,涉密文件的发送需要通过流程审批。
发送文件功能采用了文件映射技术,发送不产生文件副本,从而实现了大文件的“秒传”,并提高了存储空间使用效率。文件发送具有时间有效期控制,避免积存无用信息。发送成功后,接收者可在“收到的文件”目录中看到该文件。
(4)部门文件安全共享。对于一个部门,可以设置部门公共空间,允许此部门内人员以只读方式访问。可设置部门空间管理员,对该空间维护整理。
文件共享发布过程可配置流程审批。高级访问控制,低密级人员无法浏览、查看高密级文件。
(5)软件白名单。对于工作中常用的软件可由管理员上传到该系统的软件白名单目录,用户只有下载权限。
图2 部门文件安全共享功能
四、系统安全增强
(1)增强用户管理。采用三员分立的管理方式,系统中内置系统管理员、安全保密管理员、安全审计员;能对管理员可登录的IP地址,登录失败最大次数,密码的有效期能进行设置,管理更加灵活,提升安全保密效果。采取集中管理的方式,建立用户、权限设定、配额设定一键完成。准确把握管理员使用需求,大幅度简化配置操作。
(2)增强访问控制。用户空间隔离,每个用户都拥有自己的独立空间,各个用户之间既看不到对方的目录,也无权访问其他用户的目录与文件,用户点对点进行文件传递,管理员可设置用户文件传递的范围用户文件传递有密级控制,限制用户文件的高密低传。
(3)完备的日志审计。详细记录安全管理员所有的操作日志,详细记录所有终端用户的操作日志;日志可读性良好,用户信息包括账号和时间等内容;管理日志能根据不同的检索条件进行检索;日志存储空间将满有告警提示;日志数据存储空间已满时,能自动转存或覆盖最早的存储数据。
(4)文件保护。文件上传到NAS进行了处理,管理员不能查看用户上传的文件,即使得到了文件拷贝,用户也不能查看其他用户的文件。
五、产品优势
航盾安全NAS作为存储安全产品的领航者,具有以下优势:
(1)能支持多种存储介质,包括NAS、IPSAN、FCSAN、磁盘阵列等,可以最大程度的利用现有存储设备,减少投资。
(2)可与各种登录系统集成,系统本身已支持AD域绑定、USBKey绑定、身份认证网关集成功能,并能根据需要进行定制。
(3)一体化无客户端设计,极大降低了部署工作量,并降低维护成本。支持一键升级,版本更新方便。
(4)支持大文件点对点发送,以及部门文件共享,并能结合密级严格控制文件发送、共享范围。
(5)支持用户配额,可限制用户使用空间的大小,并能在线扩大或缩小用户空间。
六、资质认证
该产品获得国家保密局涉密信息系统安全保密测评中心颁发的涉密信息系统产品检测证书(编号:ISSTEC2011YT229)和国家保密局涉密信息系统安全保密测评中心检测报告。
图3 涉密信息系统产品检测证书
七、应用场景
该产品主要应用在军工保密单位,解决涉密信息系统内个人文件备份、大文件传输、部门文件共享等问题。产品推出以来,先后在航天二院、航天三院、航天六院、大唐集团、中电集团、兵器装备集团下属的几十家单位部署运行,为用户解决了NAS使用的管理问题,并通过了分级保护测评,赢得了用户的广泛好评。尤其是工作中产生图纸、影像等大文件并需要传输的单位,部署航盾安全NAS后极大提高了工作效率,并符合分级保护要求。
八、总结
随着云桌面在办公环境中的普及,集中存储将会成为一个重要趋势,NAS将成为云桌面存储的首选解决方案。航盾安全NAS通过空间隔离、密级控制、共享流程审批等手段将涉密内网中NAS存储系统的使用管控起来,为NAS提供可靠的安全增强和保护。本产品作为涉密内网安全、可靠的文件备份与传输解决方案,极大降低了运维工作量,为用户提供了便利。
附:单位介绍
中国航天科工集团三〇四研究所成立于1987年,其前身是1957年组建的国防部五院通信站和1984年成立的三院计算站。
研究所扎根于航天领域,不断推动军民产业融合发展。在确保高质量完成院内任务的同时,积极拓展对外市场,从技术、管理、服务等各方面不断创新,专业品质日益完善,市场开发能力显著增强,与国家相关部委、军工企业等建立了良好的合作关系,展示了航天信息技术研究所过硬的技术实力,树立了良好的社会形象。研究所所积极稳妥推进各项改革,基础管理能力大幅提升,党建与精神文明建设成绩显著,多次荣获“中央国家机关文明单位”和科工集团“京区文明单位”称号。
阅读和此文章类似的: 全球云计算