关于现有双网隔离计算机安全隐患的分析及应对措施

【 摘 要 】 以隔离卡为代表的现有双网隔离计算机由于架构本身的缺陷，存在严重的安全和泄密隐患，继续应用在要求较高的重要机构，必然会对信息安全造成重大威胁。针对其安全隐患，文章提出了一种完全物理隔离，双主机独立工作的双网计算机架构，并建议了一些安全计算机必备的安全防护功能，如指纹识别加电（注）、适时人脸比对验证、内外网网口异型化设计、数据的单向传递、被盗后数据自毁等。通过这些方法有效地提高了计算机终端的安全等级。

【 关键词 】 安全；计算机；内网；外网；物理隔离

1 引言

随着计算机的普遍应用及双网办公的迫切需求，以切换器和隔离卡为代表的双网隔离计算机方案得到了一定程度的应用。但是由于架构本身的缺陷，现有安全隔离计算机产品存在严重的安全和泄密隐患，如果继续应用在党政军等重要机构，必然会对我国信息安全造成重大威胁。

在此，我们将近期的双网隔离计算机领域研究成果呈现出来。它对现有安全隔离计算机产品的历史和特点进行了简单的介绍，针对其安全隐患进行了初步的分析，并给出了一些应对措施的建议。希望能为新的双网隔离计算机检测标准献计献策，以便早日为国家信息安全提供更可靠的计算机产品。

2 现有安全隔离计算机产品的安全隐患

为了实现内部网络和互联网的安全隔离和双网办公，人们在不同的技术领域分别采用了不同的方法。

在网络传输技术方面，以防火墙为核心的网络边界防御体系只能够满足网络信息交换的一般性安全需求，为此有关机构开发了隔离网闸为代表的安全隔离与信息交换技术，这类技术可以阻止通过普通网络协议进行的信息，但是对于针对网闸工作方式的特定攻击难以防范，因此，必须在在计算机终端方面进一步加强安全防范。

在计算机终端方面，有的机构使用两立的计算机分别进行内外网进行工作，也有的机构使用基于隔离卡技术的双网隔离计算机。这里着重分析计算机终端方面相关产品的缺陷。

2.1 网络接口方式的缺陷

现有内外网机的网线插头和插座都采用普通的RJ45接口标准，因此内外网机的网线可能会被误插， 会直接导致内网主机内的机密数据通过网线泄露到外网，或者外网的病毒或木马程序通过网线进入内网主机及网络。

2.2 两立的内外网计算机的缺陷

有些机构采取了“简单物理隔离”的办法，即使用两立的电脑分别联接内外网进行工作。但这种方式既增加了物理空间和成本，又不方便使用。为此，人们又采用了双主机加键盘鼠标显示器切换器的方法，这种方案虽然在一定程度上方便了使用，但是仍然存在显著缺点。

1） 使用了键盘/鼠标切换器（KVM），而市场上相当一部分切换器配备USB接口，可以识别并使用U盘。这样如果在插上U盘的情况下进行切换，即在物理隔离的两个主机系统间建立了共享存储器，破坏了隔离，可能直接导致内网主机内的机密数据通过共享的U盘泄露到外网，或者外网主机内的病毒或木马程序通过共享的U盘进入内网主机及网络。

2） 内外网机采用标准USB接口，用于数据传递的U盘也可能会被误插， 同样存在泄密的可能。

3） 内外网主机缺乏统一的防护系统，不便对用户的操作进行纪录和回溯。

4） 需要两套独立的主机和电源，增加了物理空间、能耗和成本。

2.3 隔离卡的缺陷

为了解决这些问题，隔离卡技术应运而生，主要原理是在计算机上使用一套CPU主板等主要部件，配备两套硬盘等存储设备，分别分配给内网和外网使用。利用隔离卡上的电子开关或电源开关，实现内网和外网的切换和隔离。这样虽然实现了利用一套CPU和主板等主要部件来进行内外网的分时工作，但是存在如下显著缺陷。

1） 隔离卡本身存在物理失效的可能，导致内外网信息隔离失败。

2） 内外网共享外网等外部存储设备，导致内外网信息隔离失败。

3） 内外网共享CPU和主板，它们内嵌存储部件，如CPU内的缓存，主板上的显存，主板上的闪存。前两者是易失性存储器，后者是非易失性存储器。对于非断电切换的第三代隔离卡，这三者都构成了内外网间的隐蔽信道。对于断电或重启切换的第三代隔离卡，非易失性存储器也构成了内外网间的隐蔽信道，不满足国家对物理隔离相关标准的要求，这在《GBT 20279-2006，信息安全技术 网络和终端设备隔高部件安全技术要求》中关于访问授权与拒绝的章节中有详细描述。

4） 由于内外网使用同一CPU和主板，内网和外网的操作系统必须在同样的CPU架构下工作。

5） 某一时刻只有内网或者外网在工作，而不能同时工作。

纵健羽等在第十八届全国信息保密学术会议（IS2008）上发表了《安全隔离计算机保密管理探讨》，详细分析了上述缺陷1）和2）的隐患，这里不再赘述。

缺陷3）由于较为隐蔽，一般用户不易察觉从而不加防备。专业的计算机工程师或黑客可以编写程序读取用户在内网工作中涉及的关键数据，写入CPU和主板上的存储器，当检测到用户切换到外网或互联网时，从存储器中读出并通过外网或互联网发送出去。由此可见，这个隐蔽的缺陷可能造成严重的信息泄密事件。此外，在某些高保密要求的应用场合，内网主机要求使用国产CPU和操作系统，缺陷4）导致基于隔离卡的计算机在这些场合不能使用。缺陷5）导致内外网主机不能同时执行操作，例如用户就不能在外网主机上进行资料下载的同时在内网主机上进行的科学计算，这样就大大降低了计算机的使用便利性。

3 一机双网物理隔离计算机解决方案

为了解决现有双网计算机产品的诸多缺陷，实现彻底的物理隔离，我们建议采用一种具有高安全防护性能的一机双网物理隔离计算机方案，整体框图如图1所示。

内网机：主要用于连接办公网，选用基于X86或国产CPU（如龙芯）的计算机，可以配备具备自毁功能的硬盘。

外网机：主要用于连接互联网，选用基于X86架构的通用计算机。

安全防护系统：对一机双网物理隔离计算机提供多方位的保护和电源控制，包含内外网物理隔离、单向数据传递、机箱破拆检测、人脸适时比对、指纹认证、硬盘自毁、卫星定位及远程管理等功能模块。

4 一机双网物理隔离计算机应具备的安全功能

与普通计算机以及基于隔离卡技术的双网计算机相比，除了使用彻底的物理隔离，安全计算机应该具备特殊功能以保证高安全性能。

1）具有防范非法开机的自我保护功能。开机系统采用的是普通密码+指纹识别+开机与头像比对开机三重保护系统。只有通过保护系统的认证，才可以开启内网主机的电源。

2）具有运行状态下的非法进入自我保护功能。系统一旦启动成功处于运行状态，其内置的适时人像采集对比系统就自动启动并进入后台对比运行模式，确保计算机运行中不被非授权用户操作，防止泄密发生。

3）具有内、外网同时在网的安全应用功能。本方案采用双主机、双硬盘、双光驱、单显示器、单键盘/鼠标实现物理切换的隔离模式。

4）内外网网口异型化设计。内网、外网网络接口采用不同的插头和插座，既能同时接入各自的网络，又能防止两类安全等级不同的网络之间由于相同的接口设计而错误接入，防止有意或无意的泄密行为发生。

5）内外网主机中的数据的单向传递功能。外网数据可以通过光驱刻录后导入内网硬盘，而内网主机仅有只读光驱，不能向外导出数据。

6）具有被盗后遥控自毁功能。一旦发现丢失，在确认无法找回的情况下，使用者可以通过监控中心发出自毁命令，只要自毁命令发出，该计算机一旦开机，硬盘就会发生自毁，确保硬盘信息数据部泄露。

7）键鼠专用化设计。应该对键鼠使用特殊的设计，使得普通的键鼠无法在一机双网物理隔离计算机上使用，也防止了U盘插入键鼠USB接口造成的存储器共享，提高了计算机自身的安全等级。

5 一机双网物理隔离计算机的防泄密能力

按照上述要求实现的一机双网物理隔离计算机，能够从容应对和防范各种有意或无意的原因造成的安全泄密事故，例如网络黑客攻击、软件病毒及木马程序、操作系统漏洞、CPU或主板内固化的病毒及木马程序、插错网线导致的内外网隔离失败、使用光盘传递数据导致内外网的隔离失败、使用U盘传递数据导致内外网的隔离失败、共用的键盘鼠标USB接口导致内外网的隔离失败、非授权用户的入侵、授权用户开启计算机后，给予非授权用户使用、计算机失窃导致的数据泄密、计算机脱离设定工作区域导致的数据泄密、计算机被物理破拆盗取硬盘导致的数据泄密。

通过前面的分析可以得出结论，一机双网物理隔离计算机方案不仅解决了目前双网隔离计算机产品的所有已知缺陷，从技术上杜绝了各种泄密的途径，在不影响用户使用便利性的同时，达到了前所未有的安全保密性能；同时，由于一机双网的实现，有效地解决了办公环境双机配置引起的操作繁琐、不安全、不方便、不整洁等一系列问题。

此外，两个独立的主机，使得采用国产CPU（如龙芯）更加便利，从而有利于国产操作系统和相关产业的推广和使用。因此它具有广泛的应用前景，必将成为保障我国的信息安全的坚强后盾。

注：所谓指纹识别加电，是“一体化保密计算机”专利中独创的一项技术，其区别于当前计算机管理中的任何指纹识别模式。

该项技术的引入使得计算机的开机管理更加安全保密，具体实现方式是在普通的计算机上，增加了一套底层的嵌入式防护系统，在启动计算机之前首先要通过指纹识别，只有合法授权用户才能通过嵌入式防护系统的管理认证，嵌入式防护系统才可以对计算机的主板加电，启动计算机。非授权用户如果不能通过指纹识别认证，计算机嵌入式防护系统，就不会发出电源向计算机主板供电的指令，使得任何非授权用户，都无法绕开指纹识别模块来启动计算机。因为用它替代了普通计算机上的电源开机按钮，所以我把他叫做指纹加电。

作者简介：

李予温（1968-），男，本科学历，累计申请计算机类发明及实用新型专利20余项。1995年起先后在《农村电气化》、《电气时代》、《电力设备》、《电力技术经济》、《农电管理》等刊物发表技术及管理类文章数十篇，现任中晟国计科技有限公司总经理，长期关注计算机信息安全保密领域，拥有多个一机双网物理隔离计算机整机专利技术。

张学军（1975-），男，获浙江大学学士及北京邮电大学硕士学位，曾在朗讯贝尔实验室工作11年，参与世界领先移动通信网络设备的研发。现任中晟国计科技有限公司研发测试中心主任，负责国内首个一机双网物理隔离计算机的研发工作，长期关注通信、计算机、安全保密等相关领域。