涉密計算機及移動(dòng)存儲介質(zhì)保密管理系統
一、產(chǎn)品概述
涉密計算機違規連接互聯(lián)網(wǎng)、移動(dòng)存儲介質(zhì)交叉使用是近年來(lái)我國發(fā)生多起涉密信息系統泄密事件的主要原因,同時(shí)也是中央和國家機關(guān)保密檢查中發(fā)現的兩個(gè)主要泄密途徑;而外部信息單向導入涉密計算機是涉密單位的重要需求。針對上述嚴峻的涉密信息系統保密安全管理現狀,國家保密局組織實(shí)施了關(guān)于“涉密計算機及移動(dòng)存儲設備保密管理系統”(以下簡(jiǎn)稱(chēng)“三合一系統”)的研制、檢測、生產(chǎn)及部署等相關(guān)工作。
科技積極跟進(jìn)國家政策標準,于2010獲得了國家保密局關(guān)于“三合一系統”的研制資格。自獲得研制資格以來(lái),嚴格按照BMB24-2010進(jìn)行研制開(kāi)發(fā)工作,并在此基礎上探索創(chuàng )新,以遵循國家標準為準則,程度滿(mǎn)足客戶(hù)安全管理和應用需求為己任,成功研發(fā)了“涉密計算機及移動(dòng)存儲設備保密管理系統”。
“三合一系統”遵從“保密、便捷、成熟、實(shí)用”的設計原則,在保證安全保密的同時(shí),使用戶(hù)操作的便捷性得到了體現。系統包括用戶(hù)端軟件、管理端軟件、多功能導入裝置、涉密專(zhuān)用優(yōu)盤(pán)、管理員身份鑰匙、審計員身份鑰匙六個(gè)部分,構成如圖1所示。
1) 服務(wù)器程序:安裝在Windows 2000 /2003操作系統上,可以放置在機房中,由控制臺進(jìn)行控制,與終端直接聯(lián)系,并將所有信息存儲在數據庫中。
2) 控制端程序:系統遵循二員職責設計,即將管理員細分為管理員、審計員。 二員可以通過(guò)控制臺來(lái)連接服務(wù)器實(shí)施相應控制。
3) 用戶(hù)端程序:安裝在每臺終端計算機上配合控制臺對終端計算機進(jìn)行安全監控的代理程序,包括涉密終端和涉密單機。
4) 操作員身份鑰匙:包括管理員身份鑰匙和審計員身份鑰匙,使用不同的身份鑰匙登錄系統可以實(shí)現相應的管理功能。
5) 多功能導入裝置:在安裝本系統軟件的涉密終端上通用。其專(zhuān)用接口連接涉密專(zhuān)用優(yōu)盤(pán),實(shí)現涉密專(zhuān)用優(yōu)盤(pán)的數據存??;通用接口連接普通優(yōu)盤(pán),可以將非涉密通用優(yōu)盤(pán)內的非涉密數據單向導入到涉密計算機。
6) 涉密專(zhuān)用優(yōu)盤(pán):具有規定的外形、接口、內部數據格式、ID和認證方式。用于和多功能導入裝置配合使用完成優(yōu)盤(pán)與計算機的雙向涉密數據交互。
二、產(chǎn)品功能
2.1 主要功能
2.1.1非法外聯(lián)監控:
通過(guò)網(wǎng)絡(luò )傳輸層驅動(dòng)實(shí)時(shí)監控涉密計算機是否違規連接互聯(lián)網(wǎng);若出現違規行為即時(shí)發(fā)送報警信息,并阻斷網(wǎng)絡(luò )連接
2.1.2介質(zhì)使用管控:
1) 涉密專(zhuān)用U盤(pán)管理:實(shí)現涉密專(zhuān)用U盤(pán)的進(jìn)行注冊,查詢(xún),修改注冊信息功能。
2) 涉密專(zhuān)用U盤(pán)完整性檢測:對涉密專(zhuān)用U盤(pán)的完整性進(jìn)行檢測,從而避免涉密專(zhuān)用U盤(pán)注冊信息被非法修改、以及偽造注冊信息。
3) 涉密專(zhuān)用U盤(pán)使用范圍控制:通過(guò)USB涉密過(guò)濾驅動(dòng),杜絕非涉密專(zhuān)用U盤(pán)的接入,涉密專(zhuān)用U盤(pán)可控使用范圍為本人、本部門(mén)、本單位、通用。
4) 涉密專(zhuān)用U盤(pán)安全性保證:涉密專(zhuān)用U盤(pán)使用前需要驗證用戶(hù)口令、硬件口令;涉密專(zhuān)用U盤(pán)的讀寫(xiě)會(huì )進(jìn)行數據的封裝或解析;并采用專(zhuān)用文件系統,在非法環(huán)境中U盤(pán)無(wú)法正常加載盤(pán)符。
2.1.3非涉密信息單向導入:
1) 外部信息單向導入:利用光單向傳輸性,將普通存儲介質(zhì)內的外部信息通過(guò)單向導入裝置單向導入涉密環(huán)境中。
2) 文件自選傳輸:設備支持“默認傳輸”和“自主傳輸”兩種模式?!白灾鱾鬏敗蹦J较掠脩?hù)可以自由選自U盤(pán)中的指定文件,導入效率和靈活性大大提高。
3) 傳輸速度可調:設備在符合標準的前提下,數據導入速度可調節。900Bps,4MBps,遠遠高出同類(lèi)產(chǎn)品。速率可調也使得面對不同配置的計算機時(shí)兼容性更強。
2.1.4涉密信息雙向交互
通過(guò)涉密專(zhuān)用U盤(pán)配合多功能導入裝置使用,采用特殊的專(zhuān)用接口、特殊的專(zhuān)用格式及用戶(hù)口令認證的功能,實(shí)現涉密信息雙向交互
2.2 輔助功能
2.2.1服務(wù)器管理
操作員身份鑰匙、設備控制、報警個(gè)性化設置、鎖定設置、日志審計、初始化安裝Key、數據庫自動(dòng)備份、備份磁盤(pán)空間報警設置、代理探測地址白名單、終端認證時(shí)間設定
2.2.2終端管理
卸載和刪除終端、終端、注銷(xiāo)終端、查找終端、查看終端資源、終端分組、終端自動(dòng)分組、終端自動(dòng)升級功能、終端不在線(xiàn)報警、外聯(lián)服務(wù)器IP。
2.2.3策略管理
查看、修改終端策略、發(fā)送策略、策略群發(fā)、設置默認加載策略、查看終端策略、查看終端所有已發(fā)策略、查看組策略
三、產(chǎn)品優(yōu)勢
3.1 完全符合國家保密標準
嚴格遵循BMB24-2010標準開(kāi)發(fā),功能、技術(shù)、安全性和管理使用上完全符合國家保密標準。
3.2 手動(dòng)導航 自選傳輸更便利
1) 所有文件導入操作均可通過(guò)面板上的按鍵完成,無(wú)需鍵盤(pán)鼠標,使用便利。
2) 通過(guò)瀏覽U盤(pán)文件目錄,用戶(hù)想傳那個(gè)文件即可以傳那個(gè)文件,免去用戶(hù)為避免導入不需要的信息而不得不對U盤(pán)內文件進(jìn)行經(jīng)常性的進(jìn)行反復刪除或清空操作,使用更簡(jiǎn)便。
圖3—多功能導入裝置“自主傳輸模式”接收界面
3) 當被導入文件選擇錯誤或傳輸錯誤時(shí),均可隨時(shí)終止文件傳輸,使用更靈活。
3.3 速率可調 文件導入更高速
1) 速率可調,速度高,是多功能單向導入裝置的技術(shù)優(yōu)勢。BMB24-2010要求傳輸速度不低于500KB/S。多功能單向導入裝置增加了速度調節功能,用戶(hù)可以根據實(shí)際需求,對非涉密U盤(pán)的數據導入速度進(jìn)行調控,速率共分5檔,默認速率為1檔,可達900KB/S,5檔可達4MKB/S,速率可調節提高了非密U盤(pán)向涉密計算機單向導入文件的效率。
2) 速率可調節在面對各種高低配置的新舊計算機時(shí),有著(zhù)較強較靈活的兼容性。
3.4 真正底層 技術(shù)實(shí)現更安全
1) 從硬件底層實(shí)現對U盤(pán)文件目錄的解析,如下圖所示。如對文件名、文件大小、文件屬性進(jìn)行解析,并單向上傳到涉密主機端(如上圖所示),這樣用戶(hù)通過(guò)文件目錄結構就可以直觀(guān)查看文件,技術(shù)更底層。
2) 關(guān)鍵功能真正在內核層實(shí)現:如對外設控制、非法外聯(lián)監控等。內核層安全性更高、兼容性更好、控制更準確,程序運行效率更高,監控反饋更安全快速。
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層