涉密计算机及移动存储介质保密

管理系统

技术1. 产品的研发背景

根据国家保密局最新要求，涉密计算机必须配备具有“违规外联监控”、“涉密移动存储介质使用管控”和“非涉密信息单向导入”等功能的专用保密防护系统。本项目在通过国家保密局认证的“违规外联监控系统”和“移动存储介质保密管理系统”两个产品基础上，进一步研发“无反馈单向传输设备”，并进行系统整合，形成了”涉密计算机及移动存储介质保密管理系统”。

该系统集中实现阻断涉密计算机违规外联、防止移动存储介质交叉使用、外部信息单向导入涉密计算机这三方面的功能。系统能够有效的解决涉密计算机及移动存储介质保密管理薄弱、泄密事件高发的问题，能够切实解决涉密计算机违规连接互联网和移动存储介质在涉密计算机与非涉密计算机之间交叉使用引起的安全保密问题。

2. 产品总体设计

2.1设计目标与设计思想

用户端：

实时监控涉密计算机通过各种途径上网的外联行为，有非法外联时，及时阻断网络并报警、强制关机。

专用格式的涉密优盘读写控制和非涉密移动存储介质禁止接入功能。

涉密计算机外围设备的严格标准控制、及违规设备信息插拔报警。

日志信息的收集、发送以及本机信息的更新与维护

多功能导入装置：

多功能导入装置用于涉密人员导入外部信息和涉密专用优盘的接入使用。既能在物理上切断涉密信息向传输的渠道，又能实现外部信息安全

完整地单向导入及涉密网内正常的信息交换需求。

保密管理中心：

统一管理组织结构和责任人信息。

对涉密计算机的注册、认证和管理功能、对涉密专用优盘的注册、认证和管理功能。

对涉密计算机违规外联告警信息的采集功能、对违规外联日志、设备控制日志、设备违规日志的组合查询、统计功能。

对联网主机提供即时的设备策略控制，主机信息修改、信息同步、客户端程序升级等。

数据库状态监控，数据库空间不足报警，及时了解数据库运行状态。

外联监控中心：

实时监控所有涉密计算机的非法外联情况、通过光单向传输装置实现互联网监控报警接收服务器信息到内网报警处理服务器的实时传输。

接收涉密计算机发来的外联日志。

通过地图监控报警，可以即时直观的查看外联情况。

2.2 产品总体方案设计

根据国家保密局的要求，结合相关保密标准，该项目的总体设计如下图所示：

该系统通过互联网监控中心、保密管理中心、终端安全防护软件、单向传输设备、涉密专用U盘，形成一个整体性的解决方案。

3. 功能介绍

3.1系统功能结构

3.1.1用户端

（1）USB安全接入控制：普通U盘不能接入，涉密U盘经授权后才能接入。

（2）接口控制：控制软盘驱动器、光盘驱动器、1394、Modem、串口、并口、无线网卡、SD卡、打印机、红外、蓝牙、手机、PCMCIA、磁带机、网卡等设备接口。

（3）安全审计：收集审计信息，发送到服务器端。审计日志的本地安全保存，管理员查看。

（4）与内网通讯服务通讯，汇报在线状态，接收并执行安全策略。

（5）其它管理功能：安装、激活、卸载的控制。

（6）软件自保护，防止非法卸载。

（7）客户端程序自动升级功能。

3.1.2 保密管理中心

（1）安全U盘的注册登记、编辑、查找、删除。

（2）涉密计算机（用户端）的注册登记、编辑、查找、删除。

（3）组织结构和责任人信息的维护。

（4）用户端安全策略管理、在线状态显示、信息同步。

（5）下级单位组织信息导入。

（6）用户端审计。

（7）统计报表。

3.1.3内网通讯服务

（1）接收终端软件发送的数据，保存在数据库中。

（2）与管理中心、用户端交互，传递日志策略信息，监控在线状态。

3.1.4互联网报警接收服务器

（1）接收外联报警信息，通过单向传输装置导入到互联网报警处理服务器。

3.1.5互联网报警处理服务器

(1)在涉密内网中接收处理互联网报警接收服务器发来的报警日志.

(2)提供报警日志的查询，以及实时的地图显示、报警

3.2主要模块功能设计

3.2.1 用户端

（1）用户端违规外联的监控

用户端外联监控程序能够有效的绕过防火墙的拦截，不会因为防火墙的存在而影响对外联的反应时间，影响日志的发送。对注册表的修复有效的绕过杀毒软件以及主动防御软件的监控。确保了客户端运行环境的不被破坏，保证其运行环境的完整性。

实时监控安装了客户端的涉密计算机（以下简称客户机）的外联行为，此监控过程不会被防火墙恶意屏蔽。一旦发现外联，立即阻断网络，使得这台客户机与其他的内网机器断开，以免影响到内网的其他机器，同时将这台机器与互联网隔断，以免遭到外部黑客的攻击。阻断网络后，给出提示信息，提示10秒后关机，用户可以在这10秒内保存当前正在编辑的文档，以免数据的丢失。

（2）USB安全接入控制：

普通U盘不能接入，涉密U盘经授权后通过单项导入设备的涉密USB标口才能接入。

（3) 身份鉴别：在用户端，涉密优盘的接入涉密计算机时，必须经过身份认证，才能正常使用，并且对U盘的插入，拔出，密码输入错误，权限拒绝类型进行日志记录。

（4）设备安全策略的控制：非法设备不能在涉密计算机中使用，避免涉密信息的其他各种途径的泄露。

（5）安全审计：收集审计信息，发送到服务器端，提供管理员查看。

（6）与内网通讯服务通讯，汇报在线状态，接收并执行安全策略。

（7）单向传输客户端：单向传输设备，采用光电信号转换的方式，确保无任何反馈信息。系统分为四部分：数据读取模块，数据发送模块，数据接受模块，数据存储模块。

（8）用户端软件自保护，防止非法卸载。

3.2.2 保密管理中心

保密管理中心提供外联监控、移动介质管理的功能,保密管理中心采用标准的web技术，操作简单，使用方便。

(1)安全U盘的注册登记、编辑、查找、删除。

(2)能够实时查看安装用户端的涉密计算机相关信息。

(3)可对安装用户端主机在线状态、激活状态、最后的上线时间、外联日志进行查看。

（4）内网监控审计。内网保密管理中心能够进行违规外联监控。审计：记录接入介质的序列号，接入时间等信息。网络模式下，审计信息及管理策略保存在管理服务器上，对离开局域网的计算机，审计信息暂时存在涉密计算机上，重新

接入网络能自动向管理服务器报送审计信息；单机模式下，审计信息及管理策略保存在涉密计算机上，并确保审计记录无法被非法查看、修改和删除。

(5)统计报表。

统计数据：可以按U盘，主机、使用U盘使用范围、外联日志进行数据的统计。3.2.3互联网监控中心

互联网报警接收服务器运行在连接互联网的服务器上，接收外联报警信息，通过单向传输装置导入到互联网报警处理服务器，并实时显示在电子地图上。

4. 系统特点

⏹强大的外联探测功能：实时监控使用普通电话线、ISDN、ADSL、无

线网卡、GPRS/CDMA、双网卡、代理服务器等各种方式导致的互联行为。

⏹基于光传输的无反馈单向导入设备：基于数据二极管技术开发完成、

数据线光电隔离，确保了数据传输在物理上的单向性，并且支持U盘、移动硬盘的自动单向导入，在导入过程中文件传输阶段性的语音提示。

⏹驱动级设备接口控制：能够有效的控制光驱读写、1394、Modem、串

口、并口、红外、蓝牙、手机、无线等接口设备。

⏹强大的软件自我保护：驱动层实现的自我保护功能，防止用户非法、

删除卸载。

⏹商业化操作界面、简洁美观、操作简单快捷，只需点几下鼠标就能

完成复杂的业务处理。

⏹支持局域网内客户端升级功能。

5. 运行环境

1、保密管理中心

（1）奔腾或兼容处理器：P4 1GMH速度以上

（2）512M以上内存

（3）1G以上空余磁盘空间（4）光驱：CD-ROM/DVD-ROM两倍速度或更高（5）一个USB接口

软件环境：

（1）Windows 2003 Server R2操作系统

（2）Internet信息服务，CA认证服务

（3）NET Framwork2.0版本

（4）SQL Server2005 数据库

3、客户端

Windows 2000 专业版/服务器版/高级服务器版Windows XP家庭版/专业版

Windows 2003 服务器版

Windows Vista

Windows 7