实验室涉密计算机的维护研究

摘要：分析当前试验室维护方式的优缺点，引出通过利用互联网VPN接入方式进行实验室维护，分析VPN维护方式的实现原理及组网方式，结合网闸功能，能最大限度的保证维护过程中的数据安全。

关键词：实验室；维护；加密

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）15-3495-03

1 概述

很多小实验室或者功能单一的实验室维护很简单，就是外包给专业的公司或个人来进行维护，只要定期支付相关服务费用就可以，但大部分企事业单位实验室或国家机关实验室则会因为涉及国家秘密或者商业秘密，而对实验室维护有着严格的管理，例如密码设备、网络设备、应用设备、附加设备会根据相关规定，而分别放置于不同区域，到达该区域的维护人员也会根据要求，需要相关的保密资质。通常现代实验室的设计必须符合国家标准、行业标准及规范，但在实验室建设中，也常会出现实验室结构跟着系统应用、功能等方式进行设计，一般会围绕某个较大型的当前目标进行实验室布置，系统通常会以星形网络结构搭建，由此带来的优点显而易见：控制简单，故障诊断和隔离容易，方便应用服务接入等；但同时也会造成，应用服务物理分布过于分散，存在系统越多，维护及迁移难度较大等困难。所以，随着时间的堆积，每位实验室管理员都将会有厚厚的一本维护通讯录，除了在质保期或者在系统建设时有相关合同约定必须驻点技术人员外，通常维护都是由实验室管理人员进行操作，该文就是从管理员的视角出发，试着探索目前实验室常见的维护方式，那运用何种方式才能将加密实验室维护强度降低，确保维护的及时性、准确性，下文将从常见维护方式进行阐述分析，最终提出利用VPN接入方式进行维护将是现阶段可行的方式。

2 实验室的常见维护方式

实验室故障一般分为硬件故障与软件故障，对于硬件故障，通常由设备供应单位负责维护；而对于软件或网络故障，通常会涉及软件商售后响应机制对故障严重程度进行评估，然后再对实验室出现的故障及时进行检查、提供处理方案，并解决，消除隐患。而在进行评估故障或处理故障过程中往往需要实验室管理人员进行配合操作，在此，根据运用操作方式的不同，将涉及实验室管理人员维护方式分为以下几类：

2.1 电话咨询

电话咨询简单、速度快，一般小的故障都是采用电话咨询的方式，但电话咨询的缺点也显而易见：电话两头的说话口音有可能天南地北，双方都不容易理解对方说话的意思，特别是一些英文告警的故障，拼读起来着实吃力，常常废了九牛二虎之力也没法解释清楚。所以，电话咨询通常用于告警数据量不大，易于解决的故障。

2.2 网络咨询

网络咨询包括查询故障代码、提交故障截图、填写故障报告、上传故障log等，对于应用服务搭建在互联网上的系统，采用这种方式最方便。但部分涉及到秘密的系统，就必须要先整理出故障各种截图及故障log，然后再通过光盘刻录或加密U盘拷贝后，才能上传到互联网，同时，相应的网络咨询不具有及时性，一些不是必须立即解决的故障可以采用此种方式，但有时效性的故障处理，就不能采用这种方式。

2.3 利用彩信、微信的方式咨询

未屏蔽移动网络的实验室，可以利用手机拍照或摄录故障图片及录像，然后通过彩信或微信将故障现场的图片发送到远端。该方式是电话咨询方式的有益补充，能够直观的展示故障图片，利于相关技术人员的排解故障，相比于电话咨询方式，该方式传送的告警数据较多，但涉及到较大的log文件，就比较吃力，同时，该方式要求一是有移动网络，二是彩信微信方式都比较耗费话费或流量是，三是也受实验室管理人员手机拍照限制，没有摄像头的手机或成像像素不高的摄像头都不太适合使用该方式。

2.4 利用电话线方式进行超级终端访问[1]

Windows XP与Windows 2000、windows 2008的通讯组件中都有一个组件叫作"超级终端"，我们可以使用Modem，通过电话线把两台机子互相连接并进行文件传输。这种方法适合于远程传输，有时为了保密的需要，不希望利用Internet传输时可以考虑该方案。当然，这种方案也有一些弊端，一是双方均不能共享对方的资源，即不能直接访问对方已经共享的磁盘、文件夹和打印机；二是受制于实验室中电话线的长度；三是传输速率受到传统Modem速率最高为56kbps的限制。

2.5 利用PCanywhere进行维护[2]

pcanywhere是symantec公司推出的远程管理软件，可以用来轻松地实现在本地计算机上控制远程计算机，使两地的计算机协同工作，它可以借助交叉线和dsl，modem、lan等几种连接方式，对网络进行远程连接、桌面控制、文件传输等，只要在被控端利用PCanywhere进行相关设置后，就能在本地进行操作，实际上PCanywhere是一个工具包集合，囊括了超级终端访问、远程桌面、网络邻居共享等功能，现在已经实现了Microsoft WindowsR、Linux、MicrosoftR Pocket PC及Mac OS X等多种操作系统之间的协同工作，该软件是我们进行系统维护中应用最多的工具，当然，现在类似的工具软件也有很多，例如从linux中推广到多平台的VNC等，实现的协同功能基本一致。

以上维护方式的一个共同点就是必须有实验室管理员进行配合，遇到较难解决的系统故障时，通宵达旦的处理也经常遇到，但借助单位搭建的VPN网络，基本上能实现实验室无人值守，维护单位自行处理解决。

3 专用VPN维护方式[3-4]

3.1 VPN技术

虚拟专用网（VPN）是指通过公用网络（通常是因特网）建立一个临时的、安全的连接，通过网络管理员或电信运营商的指定划分，能建立起一条带宽固定的可信的安全连接。它主要提供以下三种功能，1）加密数据；2）信息认证和身份认证；3）访问权限分配。endprint

VPN的关键在于隧道的建立，数据包经过加密后按照隧道协议进行封装、传输。根据协议不同可以分为二层隧道协议和三层隧道协议，二层协议是在数据链路层实现数据封装，常用的有PPTP、L2TP等协议；三层协议是在网络层实现数据封装，常用的有IPSec、gre等协议；另外SSL协议则在应用层实现数据安全。

3.2 VPN方案

建设VPN专用线路主要出于以下考虑：

1） 安全审计：基于公安部 82 号令的要求，用户需要对应到用户身份的安全日志审计。

2） 高效传输：在与运营商进行协商后，通过VPN认证的移动设备，在本市内独占2.8Mbps网络传输速度，基本上能实现音视频及图像文件高速传输的要求。

3） 分级管理：针对每个系统的涉密程度不同，对进入人员权限进行有效区分，并对需要物理隔离的系统，设置二维码传输后再进行单向传输。

4） 用户体验：考虑到使用者的计算机运用水平不高，能实现系统间的无缝对接。

5） 开放对接：无缝对各系统、实现身份数据的统一。

实验室实现组网方式如图1所示：

图1 实验室组网方式

图中网闸采用网神防火墙，可实现状态检测包过滤防火墙、IPSec VPN、SSL VPN、URL过滤、绿色上网、流量控制、用户认证等综合安全功能。在网闸上可对数个内网系统进行IP地址映射，并做好互联网端口的内容过滤。

对于用户端能感知到的接入应用网络的方式，就只有“准入”和“准出”两种，具体到每个不同的系统之间的对接内容如下：

1） 有线和无线的认证对接：用户可能在不同的地方上网，使用的接入方式不一样，但是用户必须感知到无缝对接。

2） 802.1x 和 Web 认证对接：对于不适合安装 802.1x 客户端的地方，同一个帐号可以有两种不同的认证方式。

3） 互联网用户的认证对接：对于远程接入进来的用户，也可以使用这个方案里的认证系统，但应用系统应提供一种不涉及工作秘密的简单页面提交/访问方式，限制访问内容为各类审批及生成识别码。

4） 以上各认证系统的统一认证：由于认证系统众多，因此该方案的重点就是一个认证系统对接所有的接入方式。

5） 统一的 log 日志：在同一个认证系统下，可以进行比较集中的日志审计，满足公安部 82 号令的需求。

4 方案最终实现功能

建立VPN网络加密维护主要是从保密高效的传输数据出发，既能实现技术维护人员直接实时获取服务器或终端的故障信息，也能保证技术维护人员只具有访问指定服务器或终端的权限，并设置数据库安全审计，具体方式有：

1） 具有相同保密资质的维护单位进行维护相对简单，因其设备存放于VPN与网闸设备后端自成广域网络，通过密码设备之间的协议转换及客户端上软件控制，能简单实现系统交互，至于密码设备后端的服务器的维护，则可通过密码设备上的设备监控软件进行控制；

2） 不具备保密资质的维护单位，需要进入到系统内部某台服务器中进行维护，则必须授予一个临时权限，首先是建议维护单位采用笔记本或台式电脑接入互联网系统，我们需要的是在VPN上对外来IP地址的分配及时间有效性设定，在网闸上进行状态检测包过滤，设置该外来IP地址只能对某台服务器进行访问，如图2所示：

图2 状态检测包过滤流程图

即实现了对端到我方服务器的访问，该项访问特点有：①可重组会话，记录会话状态；②可以对网络数据进行更细粒度的检查；③数据吞吐率较高；④对会话内容的处理不够。

针对会话内容的处理，则是通过与维护单位进行协商，让该单位指定专人负责维护，并签订内部保密协议，通过政治审查确认该同志无任何违法违纪行为，并定期对维护人员进行培训。

3） 数据库安全审计。网闸还可以对Oracle 8i / 9i / 10g / 11g、SQL Server 2000 / 2005 / 2008 、IBM DB2 7.x / 8.x / 9.x、IBM Informix Dynamic Server 9.x /10.x /11.x 、Sybase ASE12.x / 15.x 、MySQL 4.x / 5.x /6.x 以及国产的达梦、人大金仓等数据库进行审计，记录行为包括DDL、DML、DCL，以及其它操作等行为；审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数等等。

实验室管理员也可以对当前网络中所有访问者进行基于时间的审查，了解每个访问者任意一段时间内先后进行了什么操作，并支持访问过程回放，这也极大的保障了系统数据的安全。

5 结束语

根据《中华人民共和国保守国家秘密法》中的要求，任何组织或个人不允许“在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换”，而利用VPN技术在Internet中建立专用的数据传输通道具有安全性高、成本较低、扩展性强、易于管理等优点，特别配合网闸设备及二维码隔离设备对数据进行单向传输或定向传输后，更具有严格意义上的防护措施，适合对中大型加密实验室推广应用。

参考文献：

[1] 王晓.点到点的连接——超级终端[J].微电脑世界，2000，14（1）：59.

[2] 郑少慧；蔡伟丰；朱彦华.使用Pcanywhere管理远程服务器[J].电子工程师，2004，30（6）：65-66.

[3] 王松江.VPN技术在计算机网络中的应用[J].计算机光盘软件与应用，2013，20（1）：124-125.

[4] 程思，倪飞舟.基于VPN技术的校园网安全技术研究[J].电脑知识与技术，2012，8（32）：7658-7661.