1、涉密物品安全管理系统解决方案 涉密物品安全管理系统 解 决 方 案 1. 4应用背景 2. 实施意3. 物理实体安全管理与监控审计系统的关4. 无线标识技术介4. 无线标识基本概念与关键特4. 无线标识系统基本结4. 无线标识系统的工作原5. 系统总体设5. 系统结构框5. 系统工作原5. 1各楼联网配6. 1系统硬件配6. 1识别基6. 1无线标6. 1声光报警6. 1监控机兼数据库服务7. 1系统软件配7. 1操作系7. 1专业开发软7. 1数据库软8. 1系统软件功能设8. 1系统功能结构 8.2. 16系统软件界面示例 8.3. 17系统功能描述 8.3. 1功能概8.3. 1系统安全
2、管8.3. 1系统基础信息管8.3. 2系统硬件组态配置管8.3. 2涉密载体使用信息管8.3. 2涉密载体出入监控管8.3. 2涉密载体历史数据管8.3. 2系统集成接口设9. 2系统性能需9. 2无线标识性能需9.1. 2响应快速9.1. 2防冲突9.1. 2穿透9.1. 2覆盖全向9.1. 2使用方便9. 2软件系统性10. 2系统配置标10. 2系统配置原10. 2系统主要支撑环10. 2系统主要硬10. 2系统主要应用软11. 2系统报 1应用背景 涉密载体包括移动存储介质(如优盘、移动硬盘、笔记本电脑等)和传统纸介质。其 中移动存储介质具有存储量大、使用方便的特点,随着信息技术的发
3、展,目前移动存 储介质在办公自动化普及的涉密单位使用非常普遍,已经成为当前泄密的重大隐患之 一。目前,无论是传统的纸介质还是移动存储介质,对这些涉密载体的管理中都存在 着很多安全隐患,缺乏有效的技术保障。近几年,由于对涉密载体管理不善和使用不 当所引起的泄密事件在军队和地方都时有发生。虽然对于存储涉密信息的介质有较严 格的保密管理要求,外出携带需要严格控制并审批,但涉密介质丢失现象仍时有发生。 这些涉密存储介质一旦丢失就会造成秘密信息的外泄。 20064 月,中共中央政治局候补委员、中央书记处书记、中央办公厅主任、中央年 保密委员会主任王刚在中央和国家机关保密工作会议上强调,“居安思危,确保党
4、和 国家秘密安全,加强涉密载体管理。必须管住涉密载体,加强涉密纸介质、移动 存储介质和信息系统的管理,制定具体规程,采取严密措施,强化经常性督查,保证 各类涉密载体的管理不出问题” 2007817 中央保密委员会 日在北京召开中央和国家机关保密工作会议。中共 月 年 中央政治局候补委员、中央书记处书记、中央办公厅主任、中央保密委员会主任王刚 出席会议并讲话。他强调“加强中央和国家机关保密工作,为十七大创造良好环 境,要加强对各类涉密载体的管理,尤其要着力完善技术手段,” 20077 中央保密委于 月下发了关于加强涉密载体保密管理杜绝涉密文件资料流 年 失的通知,针对当前涉密文件资料管理,杜绝涉
5、密文件资料流失,确保国家秘密安 全,提出了明确要求。各省、直辖市、自治区和新疆建设兵团保密委最近就贯彻落实 通知精神也专门作出部署,要求认真贯彻中保委通知精神和部署,进一步加 强对涉密文件资料的保密管理,提高国家涉密载体保密管理水平,确保党和国家秘密 安全。 目前,一方面各地、各级、军地的保密机关都对涉密载体的管理提出了更高的要求; 另一方面,广大的基层单位也充分认识到新形势下加强涉密载体管理的重要性。 2实施意义 实施涉密载体的物理实体安全管理系统具有重要意义: n保证了国家秘密的安全、单位发展的稳定和自身利益的不受损害; n提升了单位涉密载体管理工作的现代化水平和降低了安全管理的工作强度;
6、 n彻底杜绝了由涉密载体造成的无意泄密风险; n清晰界定了涉密载体无意泄密带来的性质和责任; n有利配合了保密工作的常抓不懈和涉密资格认证审查的顺利通过。 最先进的涉密载体实体安全管理系统,对涉密载体进行统一的自动管理和定位监控, 对涉密载体的物理实体实行全程保密监管,从涉密载体购买、分发、使用、保管、退 6 个环节入手,实现严格的自动管控,信息的自动记录,降低出现涉密载效、销毁等 体外泄的机会;消除随意传递、随意存放、随意携带外出等问题,避免了人工疏忽带 来的重大泄密事故。 涉密载体的物理实体安全管理系统已经在航天、核工业、军队等部门得到成功应用, 主要特点: n填补了长期以来对涉密载体物理
7、介质本身缺乏有效技防手段的重大空白; n由最先进的技防手段真正落实执行中央保密委关于加强涉密载体安全管理十二 项要求的通知精神; n实现涉密载体的安全定位,即实现在一定范围内对涉密载体实施定位跟踪,对 涉密载体离开规定范围内的主机报警; n实现涉密载体身份识别,即在载体离开规定范围系统将自动登记载体的负责人、 载体文件涉密等级、出入时间等信息; n实现涉密载体管理,即实现快捷、准确的涉密载体数据自动收集、统计,结合 涉密载体生命周期包括了对涉密载体的采购、跟踪、维修保养以及报废进行跟踪管理。 从而帮助提高涉密载体管理效益,降低企业成本,提高工作效率。 3物理实体安全管理与监控审计系统的关系 目
8、前,涉密单位和部门很多已经采用监控审计系统来控制各种移动存储介质的使用, 监控审计系统的主要功能是对移动存储介质在涉密计算机中的使用进行授权、限值和 控制。简单的说即是监控审计系统实现的是对涉密移动存储介质中存储的数据和文件 进行加密和使用控制,但是并没有解决对涉密移动存储介质物理载体本身的安全控制。而涉密载体的物理安全管理则是和监控审计系统形成互补,针对涉密载体的物理介质 安全管理问题,只有当涉密载体的数据使用安全和物理介质安全都得到控制的时候, 才真正实现了涉密载体从内到外、从网络到物理实体的一体化安全控制。 4无线标识技术介绍 4.1 无线标识基本概念与关键特征 无线标识系统,是针对近距
9、离或接触式系统的缺点而发展出来,其基本原理是利用射 频信号和空间耦合(电磁或电磁耦合)的传输特性,实现对被识别物体所携带信息的 自动化提取于识别。作为一个崭新的技术应用领域,无线标识技术具有以下几个关键 ,特征即:数据的自动化收集、过滤、处理与通信;业务过程的实时控制与检测;防 伪与目标的自动识别;实现流程的业务优化以及海量数据的共享与管理等。 4.2 无线标识系统基本结构 最基本的无线标识系统由三部分组成:硬件、软件和基本的数据格式与通信协议。硬 件部分主要包括:无线标识:由耦合元件及芯片组成,每个无线标识具有唯一的电子 编码,附着在物体上标识目标对象;识别基站:读取无线标识信息的设备,可设
10、计为 手持式或固定式;天线:在无线标识和识别基站间传递射频信号。 在无线标识系统中的软件部分主要包括两方面的内容:中间件应用平台和应用管理软 1)提供与识别基站相兼容的标准化界面。件。中间件平台具有以下一些关键特征: 23)对无线标识硬件设施进行有效地 )提供数据过滤和不同格式的消息转换与传输。45)支持企业原有系 )支持不同应用软件系统对无线标识数据的请求。管理与监控。统与标准化协议。 4.3 无线标识系统的工作原理 无线标识系统在实际应用中,无线标识附着在待识别物体的表面,无线标识中保存有 约定格式的电子数据。识别基站可无接触地读取并识别无线标识中所保存的电子数据, 从而达到自动识别物体的
11、目的。识别基站通过天线发送出一定频率的射频信号,当无 线标识进入磁场时产生感应电流从而获得能量,发送出自身编码等信息,被识别基站 读取并解码后送至电脑主机进行相关处理。 5系统总体设计 系统总体设计图 该解决方案基于先进的射频技术,每个移动的载体装备有一个无线标识,在出入的大门附近装备二台于无线标识相配套的识别基站,当无线标识接近识别基站一定的范围 内,识别基站会自动识别物品是进入还是出去,并自动记录下出入的物品所携带的无 ID 线标识 号。从而实现每个涉密载体的出入都有严格的控制同时保证了实际运行的 高效和快速。 5.1 系统结构框图 5.2 系统工作原理 l由识别基站设备扫描到无线标识,信
12、号传输到服务器; l管理员在服务器上通过涉密载体的物理实体安全管理软件系统管理员口令登陆 管理平台输入固定许可,临时许可或严禁携带出去的无线标识的编号,系统自动识别 判断; l若服务器接收到系统设置为许可携带出门的无线标识,系统自动记录其出入时 间与卡号; l若服务器接收到系统设置为严禁携带出门的无线标识,系统会启动报警器长鸣, 期间大门口由保安人员关闭对出入人员无线标识进行审查核对,当确认为情况解决后, 由管理员在系统管理平台进行“情况解决”处理后报警器停止鸣叫。系统自动记录报 警时间、报警卡号、情况处理时间、处理员等。 5.3 各楼联网配置 因涉密载体安全信息管理系统是一个整体的系统,而各
13、办公楼座落在不同区域,通过 不同的识别基站天线实现各办公楼涉密载体的出入检测工作,所以需要将分别安装配 置在不同办公楼的各识别基站和监控机进行联网,将各识别基站检测到的监控实时数 据汇总在同一个平台系统里,实时触发相应办公楼里的声光报警器,同时通过涉密载 体管理软件的统一配置,集中管理各项基础数据。 RS232/485 根据实际设备选型,识别基站有以太网接口和 接口两种类型,如果是 RS232/485RS232/以太网转换器连接到以太网络,这样就可以通过所 接口可以通过已经具备的以太网络将各办公楼之间的无线标识系统进行联网,构成一个统一的平台, 1、在每个需要管理的楼内为集中安全管理提供保障。
14、具体联网配置的工作流程是: 22 安装、在总机房配置一台数据库服务器,服 套识别基站和一台监控管理计算机。 3、当携带有无线标识的涉密载体需要带出时务器联接各个楼内的监控管理计算机。 4、授权后的无线标识移动到大门识别基站由各楼的监控管理计算机进行登记授权。 附近后,识别基站会根据监控管理计算机的授权情况自动登记带出的载体设备并传给5、管理计算机通过网络把记录传给数据库服务器,并由管理计算机一个带出记录。 服务器记录下来。 系统网络结构图 6系统硬件配置 6.1 读写器 6.2 电子标签 6.3 声光报警器 无线声光报警器,采用主机和声光警笛一体化设计,当系统所属的任一探测器发现警 110 情
15、时,主机会马上发出高达 分贝的警笛声,同时会象警车顶灯一样闪烁警示光。 6.4 监控机兼数据库服务器 HPProLiantML110G3(410066-AA1) 选用 主要技术指标 设备类型:塔式服务器 IntelPentiumD处理器类型: MHz3000:标称主频() 1最大处理器数量: 512MB标准内存容量: 功能:用于存储并处理读卡器识别的数据,并联动相应的报警设备 7系统软件配置 7.1 操作系统 WindowsServer2003 本系统采用微软成熟稳定并且功能强大的操作系统 中文标准版 作为涉密载体信息管理系统运行的平台。 7.2 专业开发软件 VisualStudio.NET
16、2005.NETXML 微软的 的核心组件之一,是快速创建和集成基于 是 WebVisualC#VisualBasic.NET 的 和 、 服务和应用程序的单一综合工具。它包含了 VisualC+.NETWeb 等语言,同时,作为微软 应用程序开发平台进行构建的完整的 WebXMLWeb 开发环境,其提供的主要技术可对 应用程序和 服务进行改进。 VisualStudio.NET2005 本系统采用 作为系统开发软件,能实现快速、完善的开发过 程,构建功能强大、性能稳定、兼容性强的涉密载体信息管理系统。 7.3 数据库软件 SQLSever2005MicrosoftIT 专家和信息共作 推出新
17、一代数据管理与分析软件,为 是 者带来了强大的、熟悉的工具,同时减少了在从移动设备到企业数据系统的多平台上 创建、部署、管理及使用企业数据和分析应用程序的复杂度。通过全面的功能集、和 SQLServer2005 为不同规现有系统的集成性、以及对日常任务的自动化管理能力, 模的企业提供了一个完整的数据解决方案 MicrosoftSQLServer2005 本系统后台数据库采用 最新版本中文版,实现涉密载体信 息管理系统的数据存储和处理,为系统运行提供数据平台。 8系统软件功能设计 8.1 系统功能结构图 8.2 系统软件界面示例 8.3 系统功能描述 8.3.1 功能概述 本信息管理系统与无线标
18、识系统紧密集成,通过对涉密载体的基础信息、系统硬件组 态配置、涉密载体使用信息管理、涉密载体出入监控以及与其它系统集成接口设计构 成一套完善、独立的信息管理系统,以便加强所涉密载体的安全保密管理工作,本系 统还具备完善的安全管理功能模块,防止非授权用户的登录操作;通过与其它系统的 Web 集成接口设计,可以将相关记录信息传递糅合在一起,并以 发布的形式实现信 息共享。同时具备完善的历史数据维护管理功能模块,为将来涉密载体管理系统的海 量数据处理提供途径 8.3.2系统安全管理 8.3.2.1系统角色管理 根据系统操作人员不同的操作权限分为系统管理员、安全管理员以及普通的信息查 询员等不同的角色
19、,便于对系统的安全权限进行分配,通过对用户分配不同的角色限 定其操作权限,以加强系统的安全管理。 8.3.2.2系统帐户管理 本功能模块维护管理所有用户的帐户信息,建立、修改、删除各用户的帐户信息, 维护用户的帐户对应关系,实行账户实名制,所以用户登录后的各种操作,特别是配 置修改、报警设置以及涉密载体的基础信息修改等操作有操作日志并签名,以便于安 全事故追查。 8.3.2.3系统权限管理 根据系统各模块功能不同,设置不同的操作权限,并将其归属到不同的角色,当系 统操作没有该权限时给出报警提示,并弹出登录对话框提示登录。 8.3.3 系统基础信息管理 8.3.3.1()购买涉密载体新增 管理新
20、增加的涉密载体,如新购入笔记本电脑以及移动硬盘等要录入系统,并记录 相关的购买信息,如购买时间、地点、型号以及购买人等等,以便为涉密载体维修、 更换等管理工作提供依据。 8.3.3.2()编码归属涉密载体登记 注册登记新增以及没有注册过的涉密载体信息,对其统一编码并配置其属性,如涉密 载体编号、类型、注册时间、所属部门、责任人等。 8.3.3.3涉密载体领用调拨 管理涉密载体的领用以及调拨等工作,注册登记领用人、所属部门、领用时间等信息。 8.3.3.4涉密载体转移管理 管理涉密载体的转移登记等工作,注销原登记领用人相关信息并注册新的领用人、所 属部门、领用时间等信息。 8.3.3.5涉密载体
21、报废管理 管理涉密载体的报废注销等工作,注销原登记领用人相关信息,修改该涉密载体的有效使用状态。 8.3.3.6涉密载体查询统计 查询所有在册涉密载体编码、购入时间、注册时间、所属部门、责任使用人、当前 使用状态等信息。 8.3.3.7无线标识捆绑登记 登记注册涉密载体捆绑无线标识信息,建立每件涉密载体与每个无线标识的唯一对 应关系,为出入登记和监控报警提供基础数据。 8.3.3.8无线标识捆绑变更登记 随着无线标识损坏、更换或者涉密载体的报废注销等,需要变更捆绑登记关系,重 新建立每件涉密载体与每个无线标识的唯一对应关系。 8.3.4 系统硬件组态配置管理 8.3.4.1识别基站参数配置管理
22、 该模块提供识别基站的各项基本参数配置,为保证识别基站读取可靠性,并可调整识 别基站读取距离提供方便。 8.3.4.2识别基站方位配置管理 管理识别基站各位置分布情况并记录在系统,可以记录各涉密载体出入所在位置, 以便追踪涉密载体流向情况和相关位置的报警。如分布在所不同办公楼识别基站和报 警器相互联网,通过同一个监控机和涉密载体信息管理系统统一监控和管理,不同办 公楼的识别基站检测到涉密载体出入可以分辨出并在其相应的办公楼报警器发出声光 报警。 8.3.5 涉密载体使用信息管理 8.3.5.1涉密载体使用人员管理 该模块建立涉密载体使用人员情况的管理档案,归口责任,从该涉密载体领用、调 拨到归
23、还或申请报废注销之前其使用情况建立对应档案表,以便于落实安全责任追查。 8.3.5.2涉密载体带出登记 该模块提供涉密载体的带出登记功能,记录携带涉密载体型号、人员(可检验是否 、单位、带出时间、有效返回时间等信息,并可自动打印携机证,便合法使用人员)于尚未实行无线标识涉密系统管理的大门检查。通过本系统的另一个报警模块设置, 可以在涉密载体非法出入(没有经过带出登记或出入时间与登记时间不符)时发出声 光报警。 8.3.5.3涉密载体返回登记 该模块提供涉密载体返回后的登记记录功能,根据当初带出登记的授权时间和次数, 返回时检测如果超过时间或次数发出声光报警,返回登记后根据带出登记登记信息判 断
24、是否还有权限继续带出,以便决定带出时是否报警。同时可以记录涉密载体每次带 出返回的状态。 8.3.6 涉密载体出入监控管理 8.3.6.1涉密载体出入日志查询 该模块可查询涉密载体出入记录日志信息,包括涉密载体编号(通过无线标识绑带 关联)、时间、地点(通过识别基站方位配置管理绑带关联)。 8.3.6.2涉密载体出入汇总报表 该模块对涉密载体出入日志信息进行分类汇总统计,可以按实际需求生成查询统计 报表,以便分析各涉密载体流向情况。 8.3.7 涉密载体历史数据管理 8.3.7.1历史数据查询 该模块提供对各历史数据如登录人员操作日志、报废涉密载体信息、涉密载体出入 记录的查询,可以按时间等设
25、计查询条件分类查询。 8.3.7.2历史数据转储 该模块提供对久存的历史数据进行异地转储的功能,以便将历史数据备份到可靠的 存储系统里。 8.3.7.3历史数据删除 在历史数据经过转储备份后,该模块提供对久存的历史数据进行删除的功能,以便 释放系统存储空间,提高系统查询效率。 8.3.8 系统集成接口设计 8.3.8.1与门禁系统的集成设计 该模块提供与门禁系统的接口,通过该模块可以查询门禁系统的出入记录信息,并 与本系统的涉密载体出入信息进行比对,以便核实涉密载体带出是否是相关责任人。 将来系统升级时可以通过一套系统同一个识别基站进行非接触式读取,直接判断是否 授权人员携带经过授权携带登记的
26、涉密载体外出。 8.3.8.2ERP 等其它系统接口预留与 ERPOA 本模块提供与 等其它系统的接口,可以将涉密载体基础信息和出入监 或 控实时信息与其它系统共享,为企业的信息化集成提供桥梁。 9系统性能需求 9.1 无线标识性能需求 9.1.1 响应快速性 200/小时通过速度的识别,可以识别基站读取响应速度很快,理论上可以到达 公里 有效避免人员的快速移动造成的读取失误和遗漏。 9.1.2 防冲突性 200 本识别基站可以同时读取 个无线标识以上,对于上下班时间人员集中出入,可以 有效避免因同时有大量无线标识存在于读取范围系统无法全部响应,提高系统检测的 可靠性。 9.1.3 穿透性 可
27、以有效穿透一般厚度的封闭的非金属阻隔或包装,对于金属包装或阻隔,如果不是 全封闭的,也可以穿透检测到。如果是金属全封闭包装或阻隔则无法检测到。 9.1.4 覆盖全向性 根据出入门的特点安装调试的天线,不存在盲区,具有三维可读取性,只有天线附近 没有金属材料不会影响到其信号发射和接收。 9.1.5 使用方便性 专业的无线标识小巧、灵活,能符合对不同涉密载体的安装、联接和使用。涉密载体 U 包括笔记本电脑、移动硬盘、盘等,因此要求无线标识的形态应能满足不同载体的 需要。 9.2 软件系统性能 软件系统开发采用组件式、模块化设计,系统运行稳定可靠,能适应不同平台和运行环境,兼容性强;系统界面设计友好
28、美观,操作方便;系统数据处理速度快,响应时 3 间在一般在 秒以内,根据实际计算机性能和数据量大小也会有不同的处理时间;界 面操作实时响应。 10系统配置标准 10.1系统配置原则 系统设计在性能最优的情况下尽量降低成本,追求性价比的最大化;硬件设备的选材 基于保证性能、降低价格的原则,在考虑建设投入的同时还必须考虑通讯系统的运营 和维护费用。同时也可使用现有设备,并不影响系统的高速运行。 10.2系统主要支撑环境 网络环境 LAN。 硬件环境 ():可使用现有设备系统使用环境 PC 服务器及 机 描述 P41x2.8GHzCPU,512M30G10-100M 网卡服务器内存, 硬盘、 P3PC128M30G 管理工作站:标准配置 (硬盘) 级以上 内存 软件环境 Win2000AdvancedServerWindows2003/XP/NT,操作系统: MSSQL2000Server数据库系统: 10.3系统主要硬件 系统硬件描述 安装在涉密载体实体上电子标签 PC,用以在大读写器 连接管理系统 门口监控无线标识10.4系统主要应用软件 描
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 