2014-11-21 09:49:03
來源:
一、項目意義和必要性
近幾年隨著計算機的應用越來越廣泛,涉密單位的傳統保密方式已經遠遠跟不上信息化發展的需要。如何保證計算機及數據在應用中的安全,防止失泄密事件,已成了當前一項重要的任務。盡管近年來政府在網絡化、信息化建設方面取得一些成績,但對涉密文件和敏感數據管理,以及信息安全共享方面仍是近段時間重點建設內容,也是急待徹底解決的問題。
在國家機關日常辦公中,通常會產生大量的涉及國家安全、政府安全的涉密文件。目前這些密級文件的區域內共享與利用是采用網絡技術或電子數據載體進行傳遞的。然而,近年來在國家、軍隊中失泄密案件頻發,其中不乏給國家安全構成嚴重威脅的惡性失泄密案件,結果顯示導致辦公文件失泄密最常見的途徑是計算機網絡、移動U盤、硬盤和筆記本電腦等電子計算機信息載體。人們在設計防范計算機網絡失泄密技術外,如何有效加強對涉密移動信息載體,尤其是小型、便攜、使用極為便利的移動存儲介質管理是國家機關高度關注的焦點問題。
本項目涉及到的保密移動信息載體包括筆記本電腦、保密移動存儲介質(U盤、移動硬盤)等資產。結合信息保密、訪問控制技術,將RFID技術、無線傳感網技術、實時定位技術應用到政府的涉密移動信息載體管理中,綜合利用網絡管理和保密設備管理軟件等手段,給信息安全增加更可靠的管理手段。實現對各種涉密移動信息載體進行監控定位管理、指定區域、人員管理,使單位信息資產、涉密信息不被移動存儲設備非法流失,真正實現移動存儲設備信息安全的“五不”原則,即:進不來、拿不走、讀不懂、改不了、走不脫。 “進不來”,是指外部的移動存儲介質拿到單位內部來不能用;“拿不走”是指單位內部的存儲介質拿出去使不了;“讀不懂”是指只有授權的人才能解密閱讀,任何未經授權的人都打不開其中的文件,這意味著即使存儲介質丟失也不會造成泄密;“改不了”是指其中的信息篡改不了;“走不脫”是指系統對存儲介質采用丟失報警,有效防止粗心造成的損失。
二、國內外現狀和技術發展趨勢
1,涉密信息載體(紙制載體、電子載體)管理
涉密信息載體包括紙制文件、涉密筆記本、保密移動存儲介質等資產,尤其是移動存儲介質,具有方便小巧、大存儲量、通用性強、易攜帶等特點,這些特點也給信息系統帶來了許多安全隱患,造成信息系統不易管理。
根據國家保密部門的管理規定,很多涉密單位將移動存儲介質分為涉密移動存儲介質、內部移動存儲介質、普通移動存儲介質等幾種類型。
——涉密移動存儲介質是指用于存儲國家秘密信息的移動存儲介質。
——內部移動存儲介質是指用于存儲不宜公開的內部工作信息的移動存儲介質。
——普通移動存儲介質是指用于存儲公開信息的移動存儲介質。
現階段對涉密存儲介質的使用大多缺乏設備登記、身份認證、訪問控制和審計機制,存在很大的安全隱患,主要體現在以下幾個方面:1)、任意個人的移動存儲介質、移動硬盤、軟盤或者光盤等,可在單位的計算機上隨意使用,容易造成計算機病毒感染和泛濫,同時引起泄密事件;2)、內部介質非法帶出使用,造成數據外泄;3)、移動存儲介質在不同部門間串用造成泄密。許多單位的組織結構復雜,多層級,多處室,不同處室之間U盤的串用容易造成泄密,并且事后無法追查;4)、無介質操作行為記錄,例如:U盤的使用時間、文件拷入/拷出、盤中文件的讀寫、刪改等,事后無法追查;5)、單位對涉密的USB存儲介質無管理臺帳,底數不清;6)、介質不標密級,秘密信息和非秘密信息放在同一介質上;7)、介質保管不妥善,涉密存儲介質被無意、有意帶離辦公區,管理人員無法及時發現與追查。
目前國內一些生產移動存儲介質的企業紛紛推出了保密U盤、保密移動硬盤的概念,通過對存儲介質植入控制訪問軟件,與計算機USB接口驅動相配合,實現U盤等存儲介質的控制訪問。但是這種方案是基于被動防御的方法的,一旦U盤等存儲介質丟失,則完全依賴其加密算法的強度,同時上述方案不能有效預防存儲介質在不同區域的隨意使用、不能控制存儲介質離開辦公區;不能防止存儲介質離開指定人員;不能控制筆記本等涉密資產,真正實現數據安全。
2,RFID技術、實時定位技術、無線傳感網技術
作為物聯網應用的關鍵技術,射頻識別(RFID)技術、無線傳感網絡技術以其產業帶動能力強、轉型提升作用大、拉動就業效果好、創新關聯范圍廣等特點,贏得了各國的高度關注。深化RFID應用,推進RFID技術與無線傳感網絡技術融合與創新,促進“感知中國、感知世界”全球物物互聯的進程,對我國擺脫金融危機、實現經濟全面振興具有重要意義。
射頻識別技術(RFID,即Radio Frequency Identification),是利用射頻通信實現的非接觸式自動識別技術,是一項目前最先進的自動識別和數據采集應用技術,被公認為21世紀最具發展潛力的信息技術之一。
2006年,科技部等十五部委聯合發布的《中國射頻識別(RFID)技術政策白皮書》,在“十一五”期間為我國RFID技術的快速發展和產業逐步壯大起到了重大作用,同時科技部863領域將RFID技術列為十五期間重大專項,投入1.6億資金,用于支持RFID技術及產業的發展。2009年,科技部會同多個部委,共同主持、指導編寫了《中國射頻識別(RFID)技術發展與應用藍皮書》。
對重要信息對象標注RFID標簽使其成為目標,并將目標數據入庫,使其成為系統可以識別的目標,并在不同的管理單元和監控點部署系統中的目標識別和數據讀取設備——RFID閱讀器,對進入天線覆蓋范圍內的目標數據進行讀取(數據采集平臺);通過有無線網絡(數據傳輸平臺)將數據傳輸給管理服務器,通過各種配置的模塊對數據進行分析、研判、發布(服務平臺);根據模塊配置,對目標行為予以響應。實現對重要信息載體、涉及人員、相關行為的安全、有效管理。
此項技術正得到美國國防部的大力推廣,并從今年上半年起全面部署部隊。我國也出臺了相關政策,2010年國家發改委投入專項資金支持基于RFID技術的信息安全類產品研發及產業化。
三、項目方案
系統基于對“對象的管理”,主要用于涉密信息的管理對象(即涉密信息載體,分為:紙制載體和電子載體)和應用對象(即接觸、使用、保管涉密信息的人)的管理。將涉密目標與管理單元有機組合,通過管理鏈將其納入到有效管理掌控之中。
1、系統功能
系統將從本質上改變以往管理模式,基于對重要信息“過程的管理”,其中不僅包含了對對象本身的管理,更重要的是他能夠對重要信息的生成、移動、傳播、存儲、檢查等一系列事件的發展過程進行管理,管理事件始終伴隨著事物的發展過程,予以記錄、分析、匯總,根據事先制定好的規則進行評估、判斷,發出報警。能夠實現更加人性化的管理同時擺脫人為因素的干擾,體現“人文科技、人文管理”。系統主要功能為:
a)實時涉密載體監控功能
b)載體涉密等級控制功能
c) 權限控制與實時查詢功能
d) 區域定位功能
e) 監控報警功能
f)管控規則定制功能
g)載體使用記錄和統計功能
2、系統組成及架構
系統由下面四部分組成:
監控電子載體:無線監控U盤、無線監控移動硬盤、筆記本監控標簽;
b)監控紙制載體:監控文件柜(可在現有文件柜上改造);
c)監控讀寫器、門禁多媒體終端
d)監控管理軟件系統
系統硬件架構如下:
3、產品介紹
1)保密存儲介質(U盤、移動硬盤)
內置RFID模塊的保密移動存儲介質,包括保密U盤、保密移動硬盤。通過RFID技術控制存儲介質的使用、攜帶,采用無線相互認證的方式防止隨意帶出、或者防止失落。
USB2.0接口;
Win2000以上系統無需驅動;
存儲容量:根據用戶要求定制;
無線監控距離:30米;
防破壞設計:若想強行拆開存儲介質,將對信息自毀;
內置電池:可連續使用4個月,在使用時可通過USB接口充電;
無線實時監控,可以在后臺系統實時跟蹤U盤軌跡;
具有無線鎖功能,通過無線授權使用;
內置充電電池,U盤使用時即可充電;
雙指示燈:充電、數據讀取;
可監控U盤的使用位置;
可監控并控制U盤的使用狀態;
在監控范圍內使用為可用,出了監控范圍為不可用;
2)筆記本監控標簽
有源RFID標簽,內置電池,粘貼在筆記本等資產表面,適用于筆記本等信息載體。
防拆除設計:標簽采用粘貼的方式附著在設備上,一旦安裝后即啟動自檢功能,如果被惡意拆除,標簽能馬上檢測并發出報警信號給監控讀寫器。
3)監控讀寫器
采用專用加密協議的無線監控讀寫器,外型新穎、吸頂式安裝,可支持網絡取電功能,實現無線自組網通信。
產品特點:
內置、外置兩種天線連接方式,適應不同的應用場景;
有線網絡通信接口,并支持網絡取電功能(Power on Ethernet),即使建筑物沒有提供弱電電源,也可以方便的安裝實施;
支持無線自組網通信功能,采用自主知識產權的adhoc通信協議,布置方便。
4)門禁多媒體終端
集成觸摸一體機、門禁讀卡器、指紋識別儀、聲音提示為一體,廢棄傳統的通道式門禁結構,容易與環境融為一體。人員或涉密載體經過時可以查驗人員或載體是否授權。
5)監控管理軟件系統
軟件系統分為涉密信息的管理對象(即涉密信息載體,分為:紙制載體和電子載體)和應用對象(即接觸、使用、保管涉密信息的人)的管理兩部分。
涉密信息載體管理包括:
a) 登記與發放
對涉密載體進行登記及發放,綁定使用人員。
b) 審批與授權
包括:審批文件和介質外借、審批查詢、已批準查詢、文件跟蹤,以及系統相關參數的設置。
d) 進出監控
進出監控的主要功能包括:進出人員識別登記、進出文件識別登記和人員與所持文件的對應權限匹配判斷,按照系統規則做出對應的反應。
通過進出監控,可以實時查詢文件和人員的位置狀態,文件的攜帶情況,是否有違反管理規定的事件發生,并對整個過程進行記錄。
c) 軌跡跟蹤管理
查看載體歷史移動軌跡,判斷使用的合法性。
人員管理包括:
門禁管理
區域控制
訪客管理
4,系統特點
1)管理實時,操作快捷、簡便,日志記錄詳盡,完整的“管理鏈路”;
2) 自動識別、距離遠、精度高,抗干擾性好,環境適應強,實現“智能判斷”;
3) 信息按級公開,權限控制嚴格,層級明確,實現“向上負責”;
4) 系統數據與系統硬件指紋實現綁定加密,模塊數據加密傳輸;
5) 系統獨立加密編碼,防治信息泄漏,便于數據融合;
6) 強有力的督促、監管作用,要求人員必須自覺遵從系統規則和操作流程,便于領導實時管控和檢查督促;
7) 人性化管理、避免沖突,獨特的預警、報警功能;
8) 獨特的安全信用值量化管理、工作量化統計,便于量化考核;
9) 分布式結構,便于組網、機動部署和范圍擴展;
10) 模塊化設計,便于功能擴展和特殊模塊定制。
四、案例及應用領域
本項目采用RFID技術、實時定位技術、無線傳感網絡技術,對涉密信息載體等涉密資產進行全面管理。
009年得到科技部863項目專項支持,承擔“基于RFID技術的實時定位系統研發”課題,研制的實時監控定位系統申請國家發明專利4項。
系統通過了全軍保密委安全測評,獲得C+證書。
應用領域:
1、軍隊、公安、武警、邊防
2、政府機關
3、院校
4、圖書、檔案管理部門
5、科研單位
6、企業、公司的安全管理需求
7、高端應用客戶
未來,由于系統所使用的技術(目標識別管理)和觀念(人文科技與制度管理的結合)的先進性和強大發展趨勢,我們可以依據其建設、運行的實際和使用經驗,將其技術和觀念廣泛的應用到部隊的日常管理、訓練、考核、演習和后勤保障等多個方面,實現建設一個系統、提升一種觀念、做出一項探索、開拓一片前景的目標。
