高速鐵路移動存儲介質安全管理方案研究

路萬君，牛鵬軍

隨著信息化技術的進一步發展，移動存儲介質的使用范圍越來越廣泛［1-2］，其在涉密信息系統、內部網信息系統和互聯網信息系統之間交叉使用帶來的主機安全、信息保密問題［3］也受到越來越多的關注。

鐵路信號安全數據網是高速鐵路列控系統關鍵核心網絡［4］，承載列控中心（TCC）、計算機聯鎖（CBI）、無線閉塞中心（RBC）、臨時限速服務器（TSRS）等信號設備之間的行車控制數據交互，是保障列車有序、安全、可靠運行的基礎。

在安全數據網的日常維護過程中，需要使用移動存儲介質進行內、外網數據的交互。盡管現場制定了使用登記、病毒查殺、專人盯控等制度，但是由于移動存儲介質的病毒/木馬難以被發現和控制，從而使得安全數據網內設備感染和關鍵數據信息泄露的風險仍有所增加。

為防范安全數據網在使用移動存儲介質過程中面臨的安全風險，有必要對移動存儲介質的安全管理方案進行優化，為安全數據網提供專用化、流程化、風險可控的安全管理方案，力爭在利用移動存儲介質便利性的同時，大大降低其安全風險。

1 存在問題

隨著信息化社會的發展，移動存儲介質已經成為人們工作中不可或缺的助手，其即插即用的良好特性給人們帶來便利的同時也存在著極大的安全隱患［4］。

1）易泄密。由于移動存儲介質容量大，且資料讀取、檢索方便，鐵路現場經常使用移動U 盤作為設備軟件升級、配置更改等日常維護工作的中間介質。而U 盤雖具有方便移動、外形小巧的特性，但容易遺失［5］，從而會造成關鍵內容泄密。此外，由于不規范使用，如插入被植入木馬的主機上，也會造成移動U 盤內數據在不知情的情況下被泄露［6］。

2）易感染病毒/木馬，并造成交叉感染［7］。不規范的使用方式是造成移動存儲介質感染病毒或木馬的主要原因。在移動存儲介質插入問題主機的過程中就已經感染部分病毒/木馬，并且一般具有隱蔽特性，使用人員不易察覺。在此過程中，移動存儲介質在不同主機間交叉使用，就會造成病毒/木馬的隱匿傳播，甚至影響整條線路的所有設備，給行車安全造成較大的威脅。

3）出現問題難于追蹤。移動存儲介質的插入、拔出，文件的拷貝、刪除，病毒的查殺與否等內容無審計記錄，導致出現病毒/木馬感染傳播或文件泄密等問題時，對問題文件的溯源、追蹤較為困難。

移動存儲介質使用過程中存在的上述問題，即使嚴格執行現有鐵路維護現場建立的使用登記、病毒查殺、專人盯控等制度，依然無法避免，需要建立更加有效的安全管理方案。

2 方案建設

為滿足安全數據內網與外網間進行數據交互過程中的安全性要求，降低病毒/木馬感染風險，避免關鍵數據泄露，并在使用移動存儲介質過程中，健全多維度的日志審計內容，為問題溯源提供堅實可靠的依據，本文建立一套移動存儲介質安全管理方案。

1）設計一款帶有加密芯片的安全U 盤，建立專用數據分區——安全區，使該區對普通外網主機不可見，從而保證即使安全U 盤不慎遺失，也不會造成數據泄露。此外，在安全U 盤內特定的隱藏區域設置存儲不同分區的殺毒標記。通過私有接口進行數據交互，使裝有主機加固軟件的鐵路信號安全數據網內設備對未殺毒的安全U 盤進行攔截，拒絕訪問加載，從而在流程上嚴格保證只有經過安全數據擺渡機執行完病毒查殺或經擺渡機執行文件擺渡的安全U 盤，才允許接入到信號安全數據網內設備，避免感染病毒或木馬，以及隱匿傳播等風險。

2）設計安全U 盤寫入軟件，將在公開區進行的數據操作均存儲在U 盤特定的日志區內，以供審計查閱。此外，通過安全數據擺渡機的病毒查殺與數據擺渡，以及通過主機加固軟件的訪問控制、數據操作等均有對應的日志記錄，便于安全審計［8-9］及出現問題后的溯源追蹤。

3）構建安全內網主機和非安全外網主機2 種移動存儲介質的使用場景。場景一：安全內網主機，也稱內網主機，是指安裝有主機加固軟件，并開啟策略、U盤管控、白名單控制等安全防護要求較高的內網業務主機，如加裝了主機加固軟件的TCC 維護機、聯鎖維護機、監測維護機等。場景二：非安全外網主機，也稱外網主機，是指沒有加裝主機加固軟件的普通外網主機，如可聯網的一般辦公主機，運維人員使用的普通筆記本電腦等。

移動存儲介質安全管理方案見圖1。

圖1 移動存儲介質安全管理方案

2.1 安全U盤

2.1.1安全U盤分區

安全U 盤內置安全加解密芯片，將存儲區域劃分為多個功能區域［10］，包括CDROM 區、公開區、安全區、日志區和隱藏區，見圖2。

圖2 安全U盤分區

1）CDROM 區：只讀，用于存放安全U 盤寫入軟件。非安全外網主機通過該軟件將外部數據拷貝到安全U 盤公開區，使用軟件需持有用戶名和密碼進行登錄，用戶名和密碼存放于安全U 盤的隱藏區。

2）公開區：在非安全外網主機可見，但只讀，無法通過系統接口向公開區拷入文件，從而避免因為插入外網主機而導致的U 盤感染病毒或木馬；在安全內網主機通過訪問位于安全U 盤隱藏區內的殺毒標記來決定是否加載公開區，并開放系統可讀寫的權限。公開區的設立是用于較頻繁的非安全外網主機與安全內網主機間的數據交換，如將非安全外網主機上更新或修改后的配置數據、文件應用于安全內網主機上（如列控維護機），或將安全內網主機上用于進一步故障診斷分析的日志文件等拷出到非安全外網主機（如維保人員個人電腦）。

3）安全區：在非安全外網主機不可見。即用于安全內網主機間數據交換的區域，在普通外網主機上不可見，確保數據文件的保密性。安全內網主機通過訪問位于安全U 盤隱藏區內的殺毒標記來決定是否加載安全區，并開放系統可讀寫的權限。

4）日志區：系統不可見，僅通過私有接口訪問，用于存放安全U 盤寫入軟件，存儲公開區文件拷貝、刪除等操作的記錄，便于審計管理。

5）隱藏區：系統不可見，加密存儲，僅通過私有接口訪問，用于存放公開區、安全區殺毒標記，寫入軟件，登錄用戶名/密碼等內容。

2.1.2安全U盤功能

安全U盤除了設置跨平臺［11］（Linux/Windows）的公有訪問接口外，還提供跨系統文件訪問和權限控制、日志讀寫、殺毒標記讀寫等私有訪問接口，見圖3，具體功能如下。

圖3 安全U盤功能

1） 公有接口受限的數據訪問。受限的數據訪問，主要是針對數據分區部分，其中默認的公開區僅有只讀權限，安全區則不可見。

2） 私有接口數據區訪問權限控制。實現控制公開區和安全區的可見、不可見、可讀、可寫的權限控制功能，由存儲于定制U 盤內的固件控制程序來實現切換，僅可通過定制的私有接口進行訪問控制，無法通過通用技術手段進行權限控制功能的切換；同時私有接口的調用需要對存儲在安全U盤隱藏區用于授權加密存儲的認證標識進行訪問認證，也進一步避免了非授權用戶調用接口而導致的U 盤安全性不可控，增強了訪問控制權限的安全性。安全數據擺渡系統和主機加固軟件通過調用該功能，實現對安全U 盤的公開區和安全區進行病毒查殺和訪問控制。

3） 私有接口公開區數據操作。外網主機對安全U 盤的公開區僅有只讀權限。對于公開區文件的寫入、刪除操作，可以通過私有接口實現。該功能集成在寫入軟件中，管理員登錄后可對公開區數據進行操作，實現數據由外網主機傳輸到安全U盤公開區。

4） 私有接口讀寫日志。寫入軟件對公開區數據操作的日志，采用私有接口將這些日志存儲在位于安全U 盤管理分區的專門日志區域中。審計人員可通過該私有接口實現對公開區數據操作記錄的審計查閱。

5） 私有接口實現殺毒標記訪問控制。公開區、安全區的殺毒標記是內網主機決定是否允許加載安全U 盤的關鍵標識。無論是通過寫入軟件進行外網數據到安全U 盤的拷貝還是通過主機加固軟件授權后完成對安全區數據的拷貝，都將調用該功能。將安全U 盤對應區域的殺毒標記設置為“未殺毒”，只有經過安全數據擺渡系統查殺完成的安全U 盤才會被寫入已殺毒的標記。含有未殺毒標識的安全U 盤在插入內網主機后，會被主機加固軟件檢測識別，并阻止其訪問和加載。

2.1.3安全U盤特點

相較于市場上普遍采用的配合管控、加解密軟件［12］一起使用的安全U 盤，本方案中的安全U 盤有以下4處改進。

1） 采用內置芯片加密，即硬件加密［13-14］，避免一般安全U 盤在普通外網主機上不可用，或需要加裝配合使用的管控及加解密軟件。在外網主機上使用時，可以通過安全U 盤CDROM 區的寫入軟件進行拷入和拷出操作，無需預裝軟件，簡化拷入流程，避免木馬病毒的隱匿植入和傳播。

2） 配合加密芯片及數據訪問控制功能，進一步強化了安全區數據的保密性，降低了因遺失而造成的泄密風險。

3）定制化U 盤量產工具［15］。本方案設計U 盤采用定制化U 盤量產工具，確保他人無法進行仿制。

4） 增設獨特的殺毒標記功能，嚴格規范外網主機與內網主機間通過安全U 盤進行數據交換的使用流程，使外網主機向內網主機的數據拷入及內網主機間的數據交換，必須經過一次特定殺毒軟件的病毒查殺，從而大大降低木馬/病毒通過安全U盤來感染關鍵內網主機的風險。

2.2 安全數據擺渡機

安全數據擺渡機集成了雙病毒查殺引擎，其中一款為商用殺毒引擎，實現對移動存儲介質，包括普通U 盤、CF 卡、SD 卡、光盤、安全U 盤、移動硬盤的病毒查殺。其物理構成見圖4。

圖4 安全數據擺渡機物理構成

1） 病毒查殺。雙病毒查殺引擎，避免了單一引擎帶來的漏殺風險。在安全數據擺渡系統中，在商用引擎的基礎上引入一款開源引擎提升病毒查殺能力。在手動選擇查殺范圍的基礎上，支持對移動存儲介質插入后的自動查殺。對查殺的異常文件給出報警，并提示后續處理措施。針對安全U 盤公開區、安全區的查殺，在查殺完成且無毒后，安全數據擺渡系統會將已殺毒的標記，分別寫入安全U盤的隱藏區。

2） 病毒特征庫升級。除了通過管理中心定期自動更新雙病毒庫外，還支持通過安全U 盤實現本地手動更新雙病毒特征庫。

3） 安全數據擺渡。實現從外網移動存儲設備（普通U盤、CF卡、光盤、移動硬盤等）到安全U盤公開區、安全區的單向數據擺渡；同時對拷貝的文件進行病毒查殺，避免文件帶毒進入安全U盤。

4） 日志審計。病毒查殺、數據庫升級、安全數據擺渡等行為均將產生日志記錄，供審計人員登錄查閱。

2.3 主機加固軟件

主機加固軟件安裝在內網受保護的主機上，通過對主機運行程序控制、邊界防控、關系文件/注冊表訪問控制和移動U 盤注冊管控，實現對安全內網主機的安全加固，增強其安全防護［16］水平。

1） 程序執行控制。只允許運行業務軟件和系統軟件，禁止非法業務軟件運行，防范惡意代碼和黑客軟件的攻擊。

2） 主機邊界安全防控，關閉除業務軟件使用的網絡端口以外的端口。

3） 禁止無線網卡的使用。

4） 對關鍵的系統文件和注冊表項進行訪問控制且禁止修改。

5） 對業務軟件的文件進行保護，只允許業務軟件進行操作。

6） 移動U 盤注冊。普通U 盤和安全U 盤均需要在主機加固軟件上進行注冊，并開啟相關的讀、寫訪問控制策略。注冊功能同時可實現不同電務段、不同鐵路線間的安全U 盤不可混用，做到專盤專用。

7） 安全U 盤訪問控制。在安全U 盤插入時，通過安全U 盤私有接口檢查其公開區、安全區的殺毒標記，對已殺毒的安全U 盤，根據配置的安全策略，開放讀/寫等訪問權限；對未殺毒的安全U 盤，阻止其加載，避免病毒/木馬通過插入過程進入受保護主機內。

3 應用場景

在高鐵安全數據網維護過程中，常用的移動存儲介質使用場景包括：外網數據向內網拷入，如升級文件，修改后的配置數據等；內網數據向外網拷出，如日志文件等；內網間數據的交互。

3.1 向安全內網主機拷入外網數據

外網數據拷入安全內網主機流程見圖5。

圖5 外網數據拷入安全內網主機流程

1） 將安全U 盤插入外網主機，打開安全U 盤內的寫入軟件，通過寫入軟件將要拷入內網的文件拷貝到安全U 盤的公開區。此時，寫入軟件將設置安全U盤公開區的殺毒標記為“未殺毒”。

2） 將安全U 盤插入安全數據擺渡機，自動對安全U 盤公開區、安全區進行病毒查殺，如查殺無毒或已處理，則將安全U 盤的公開區、安全區的殺毒標記置為“已殺毒”。如果未對安全U 盤查殺病毒就直接插入到安全內網主機上，主機加固軟件將會發現公開區“未殺毒”，從而阻止安全U 盤的加載，保證不拷入外網數據。

3） 將查殺后的安全U 盤，插入裝有主機加固軟件的內網主機，在檢查安全U 盤內的公開區、安全區殺毒標記均為“已殺毒”后，允許加載安全U盤，并將公開區、安全區設置為“可讀寫”。

4） 通過系統的資源管理器或命令行，將公開區的文件拷貝到安全內網主機本地磁盤，完成外網數據到安全內網的拷入。

3.2 向外網主機拷入安全內網數據

向外網主機拷入內網數據流程見圖6。

圖6 向外網主機拷入內網數據流程

1） 未查殺的安全U 盤，需要先經安全數據擺渡機進行病毒查殺，查殺無毒或已處理后，將安全U盤公開區、安全區的殺毒標記設置為“已殺毒”。

2） 將查殺后的安全U 盤插入裝有主機加固軟件的內網主機，檢查安全U 盤內的公開區、安全區殺毒標記均為“已殺毒”后，則允許加載安全U盤，并將公開區、安全區設置為“可讀寫”。

3） 通過系統的資源管理器或命令行，將內網主機本地磁盤文件拷貝到安全U 盤公開區，此時主機加固軟件會對拷貝的文件內容進行日志記錄，以便日常審計及數據發生外泄時進行追溯。

4） 將安全U 盤插入外網主機，公開區顯示只讀，通過系統的資源管理器或命令行，將公開區的文件拷貝到外網主機本地磁盤，完成內網數據拷出到外網主機。結合高速鐵路電務配置的專屬安全U盤、專人盯控流程及審計追蹤功能，大大降低數據外泄風險。

3.3 安全內網不同主機間的數據交互

內網不同主機間數據交互流程見圖7。

圖7 內網不同主機間數據交互流程

1） 未查殺的安全U 盤，需要先經安全數據擺渡機進行病毒查殺，查殺無毒或已處理后，將安全U盤公開區、安全區的殺毒標記設置為“已殺毒”。

2） 將查殺后的安全U 盤插入裝有主機加固軟件的內網主機，檢查安全U 盤內的公開區、安全區殺毒標記均為“已殺毒”后，則允許加載安全U 盤，并將公開區、安全區設置為“可讀寫”。

3） 通過系統的資源管理器或命令行，將內網主機1本地磁盤文件拷貝到安全U 盤安全區，此時主機加固軟件將安全U 盤中安全區的殺毒標記設置為“未殺毒”。

4） 將安全U 盤插入安全數據擺渡機，自動對安全U 盤公開區、安全區進行病毒查殺，如查殺無毒或已處理，則將安全U 盤的公開區、安全區的殺毒標記置為“已殺毒”。如果未對安全U 盤查殺病毒，而是直接插入到內網主機2 上，主機加固軟件將會發現安全區“未殺毒”，將阻止安全U 盤的加載，從而無法將內網主機1的數據拷入主機2。

5） 將查殺后的安全U 盤插入裝有主機加固軟件的內網主機2，檢查安全U 盤內的公開區、安全區殺毒標記均為“已殺毒”后，則允許加載安全U盤，并將公開區、安全區設置為“可讀寫”。

6） 通過系統的資源管理器或命令行，將安全區的文件拷貝到內網主機2 的本地磁盤，完成內網數據從內網主機1到內網主機2的拷入。

4 結論

本文提出的高速鐵路信號數據網移動存儲介質安全管理方案，通過以一款加密安全U 盤為中間移動存儲介質，聯合安全數據擺渡機的雙引擎查殺與主機加固軟件的防護功能，建立安全數據網移動存儲介質使用的安全防護體系。通過更嚴格的使用流程限制，做到在內網中凡使用必經過殺毒，從而降低移動存儲介質感染病毒及在內網間交叉傳播的風險，進一步提高安全數據網運維過程中的安全性，為高速鐵路的安全、穩定運行提供堅實的基礎保障。