二级单位涉密单机解决方案.docx

1、二级单位涉密单机解决方案版本:日期:XXXXXXXXXXXXXXXXXXXXXXXXXXXXX方案提供商： 一前言非常感谢XXXXXXXXXXXXXX提供给XXXX航信的宝贵机会，使XXXX航信能够荣幸地成为此次XXXXXXXXXXXXX项目的参与者之一，贡献XXXX航信在该领域项目实施和服务方面的专业能力与成功经验，为XXXXXX提出一个完整合理、切实可行的信息安全系统技术方案。陕西XXXX航信电子科技有限公司是一家专业从事信息安全产品销售及整体解决方案的高新技术企业。公司专注于信息安全领域，以保护国家机密、商业机密，防止重要信息泄漏为己任，为各类用户构筑安全可信的信息堡垒。1.1项目背景X

2、XXXXX客户单位背景描述。因此如何保障资料存储计算机的秘密性、资料传输过程的安全性，改善涉密计算机的管理管理流程成为了XXXXX信息安全工作的当务之急。1.2信息安全现状XXXXXXXXX现有涉密计算机80多台，目前没有组建涉密局域网，所有涉密计算机以单机方式运行，暂时使用北京中讯锐尔介质管理模块对涉密单机的移动存储介质进行管控，由于中讯锐尔介质管理模块资质过期，并且管理手段已经落后目前其他介质管理系统。针对这些涉密单机仅仅在行政制度上，管理制度上采取了一些必要的保护措施，而在技术手段上缺乏全方位的保护措施，每台涉密单机都从在一定的安全风险，一旦泄密后果较为严重。二风险分析综合目前现状分析X

3、XXX涉密系统存在一定的风险，具体表现为：2.1涉密终端风险：2.1.1身份鉴别风险涉密单机无安全登录保护措施，尤其是机密终端的系统登录采用的是windows用户名及密码方式，易被破解，使得外部人员可以随意查看，传播涉密机内涉密信息，造成涉密信息流失。外部人员或内部无关人员随意登录他人计算机，招致内部资料知悉范围扩大，甚至流失。2.1.2访问控制风险（1） USB存储介质风险随意使用各种移动存储设备如U盘、移动硬盘、MP3、存储卡等接入终端拷贝复制文件，导致内部资料泄密，或引入病毒、木马，破坏信息系统的稳定性。（2） USB存储介质交叉使用风险无法杜绝涉密U盘在非密计算机上使用、非密U盘在涉密

4、计算机上使用容、高密级U盘在低密级计算机使用，极易造成泄密和违规（3）计算机外围设备风险随意使用各种外设拷贝复制文件，如光驱、软驱、随意添加硬盘、随意打印文件没有控制的随意使用各种终端外部接口，如并口、串口、USB接口、1394接口、红外接口等等，使内部文件失去控制，导致内部信息泄露、或遭到破坏。（4）违规外联风险终端用户未经允许，利用涉密计算机连接互联网，会有意或无意的使终端感染木马、病毒，并造成涉密信息被非法上传至互联网，造成涉密信息泄露。2.1.3日志审计风险没有可靠的日志审计，一旦发生违规事故无法追查。风险示意图2.2终端安全检查风险标准明确要求涉密部门和涉密人员每月进行自查，单位保密

5、工作机构每季度应对涉密部门负责人进行保密检查，半年内应对保密组织进行保密检查，保密领导小组每年应对单位负责人进行保密检查，目前XXXX确实保密安全检查工具应该急时配备防患于未然。2.3存储介质数据安全消除风险根据标准对于需要更改责任人的涉密机、U盘以及需要安全销毁的硬盘都需要使用专用消除工具进行数据安全清除，目前XXXX没有相应技术手段的专用消除工具，无法做到安全销毁涉密数据的要求。2.4电磁泄漏风险涉密终端、机密终端的显示器、涉密会议场所目前没有有效的电磁防泄漏手段，容易因电磁泄漏造成涉密信息泄漏2.5病毒与恶意代码风险涉密中间机使用传统杀毒软件无法对U盘摆渡木马恶意木马进行查杀三解决方案3

6、.1需求分析根据风险分析XXXX涉密单机系统有以下需求：（1） 加强涉密单机的整体安全防护，包括：身份鉴别、访问控制、日志审计；（2） 加强涉密系统安全检查、风险评估、电磁防泄漏、信息安全消除、恶意代码防护等方面的技术手段；3.2产品选型根据以上需求结合标密标，是我们实事求是分析了保密安全行业领先厂商的产品，并进行认真的内部测试和商议最后决定选用以下具有国家保密局资质的产品：鼎普三合一天信终端安全登录猎隼涉密计算机保密检查系统天信安存储介质消除工具创远汇智红黑电源隔离插座成都立鑫移动通讯干扰器成都立鑫视频干扰器中孚恶意程序辅助检查工具3.3产品介绍3.3.1鼎普三合一系统涉密计算机违规连接互联

7、网、移动存储介质交叉使用是近年来我国发生多起涉密信息系统泄密事件的主要原因，同时也是中央和国家机关保密检查中发现的两个主要泄密途径；而外部信息单向导入涉密计算机是涉密单位的重要需求。针对上述严峻的涉密信息系统保密安全管理现状，国家保密局组织实施了关于“涉密计算机及移动存储设备保密管理系统”（以下简称“三合一系统”）的研制、检测、生产及部署等相关工作。鼎普科技积极跟进国家政策标准，于 2010 获得了国家保密局关于“三合一系统”的研制资格。自获得研制资格以来，严格按照 BMB24-2010 进行研制开发工作，并在此基础上探索创新，以遵循国家标准为准则，以最大程度满足客户安全管理和应用需求为己任，

8、成功研发了“鼎普涉密计算机及移动存储设备保密管理系统”。鼎普“三合一系统”遵从“保密、便捷、成熟、实用”的设计原则，在保证安全保密的同时，使用户操作的便捷性得到了最好体现。系统包括用户端软件、管理端软件、多功能导入装置、涉密专用优盘、管理员身份钥匙、审计员身份钥匙、加密狗七个部分，主要功能有： 介质管理 违规外联 单项导入3.3.2天信终端安全登录天信终端安全登录是北京中天航信自主研发的一款终端安全登录软件，由硬件key和软件两部分组成，很好的实现了终端对身份鉴别的要求，用户登录时必须持有合法的硬件KEY+正确的用户帐号口令方可登录到计算机，两者缺一不可。3.3.3猎隼涉密计算机保密检查系统猎

9、隼计算机安全保密检查系统是鼎普科技积极利用自身优势，紧跟国家保密政策和保密检查新标准，经过多年安全检查和实际应用技术积累开发的一款安全保密检查软件，该产品绿色安装，即插即用。一键式操作可以快速完成计算机保密安全合规行及运行环境安全性的检查，产品功能有：3.3.4天信安存储介质消除工具天信安存储介质信息消除工具可有效清除存储介质中的数据信息，确保被清除数据不会被恶意恢复而造成信息泄露，同时不损坏存储介质，是国内先进的非暴力信息消除工具，可以有效降低用户的存储成本，主要功能有： 可选择单个或多个文件进行销毁清除； 可选择单个或多个目录进行销毁清除； 可选择单个或多个磁盘剩余空间对残留数据进行清除；

10、 可选择整个物理盘或多个逻辑分区进行信息消除； 可消除上网痕迹、U盘插拔痕迹和临时文件等； 销毁后的文件、目录、剩余磁盘空间或者整个磁盘无法通过软件技术手段检测和恢复，确保各种信息安全。 3.3.5创远汇智红黑电源隔离插座创远汇智的红黑电源隔离插座，是国内达到国家保密标准GB2099.31997红黑电源滤波隔离装置技术要求和测试方法要求的产品，可用于保护机密级及其以下密级的国家涉密信息，是国家保密局指定产品。红黑电源隔离插座应用了全新的电磁相关技术，除了具有普通的转换器的功能（电源扩张，灵活方便的为多部设备供电）以外，由于采用了滤波屏蔽技术，可以使输出更为稳定外，更可以起到仰制所连信息设备电源

11、线传导泄露的作用。3.3.6成都立鑫移动通讯干扰器移动通信干扰器是立鑫科技推出的系列型信息干扰产品，能有效屏蔽在一定场所内的CDMA、GSM、DCS、PHS、TD-SCDMA、WCDMA CDMA2000的手机信号。干扰器采用了完全自有知识产权的先进屏蔽技术，只在一定范围内屏蔽基站的下行信号，使处于该场所的任何移动电话（包括小灵通）收发信功能失效，无法呼入和拨出，从而达到强制性禁用手机的目的。本产品具有辐射强度低、干扰半径大且不干扰移动电话基站、性能稳定、安装方便、对人体无害等特点，是一种理想的净化特定场所环境的产品。产品主要应用场所 保密场所：国家机关、军队、安全、公安、监狱、考场等； 安全

12、场所：加油站、煤气站、油库、燃气库、石化厂等； 肃静场所：会议室、科研室、法庭等。3.3.7成都立鑫视频干扰器成都立鑫视频干扰器是国家保密技术研究所研制的最新一代干扰器，具有以下特点： 采用与微机视频信息相关的干扰信号具有很好的保护信息效果； 发射强度较低，具有更好的电磁兼容性； 全屏保护，在行、场逆程时无干扰信号，既能有效保护信息又缩短了干扰辐射的有效时间，对人体的辐射影响大大减小； 干扰信号的频率可达1300MHz，能够有效保护微机的高频发射； 体积小，易于安装放置。3.3.8中孚恶意程序辅助检测工具中孚恶意程序辅助检测系统单机版是以防病毒的U盘或光盘作为软件载体检查人员只需在被检计算机上

13、运行载体中的软件程序，即可完成对计算机是否感染已知高危木马和未知木马的一键式检测。系统通过静态和动态两个检测引擎搜集基础信息，利用木马特征库和评估模块进行基线安全点对比分析，并快速给出评估报告。更可利用“智能分析”模块动态跟踪分析已知或未知木马的入侵和窃密行为，通过嵌入式报表系统快速打印关注的检测项报告，检测结果一览无遗。主要功能有： 计算机体检 U盘摆渡木马监测 木马扫描 域名实时监控 可疑文件扫描四部署效果4.1涉密单机部署效果通过涉密终端部署“鼎普三合一系统”，“天信安终端安全登录系统”分别能达到以下预期效果：介质管理：注册专用的体型安全U盘，此U盘在没有三合一产品的计算机无法使用，并且

14、在有三合一产品的涉密终端上可以限制安全U盘的使用范围，高密级的安全U盘不可以在低密级终端上使用，涉密安全U盘无法在非密终端上使用，涉密终端无法使用非密U盘；违规外联：通过违规外联模块的安全配置可以有效监控涉密机非法上互联网，通过关闭网卡，关闭计算机端口的形式确保终端无法连接互联网；单项导入：外来U盘和非涉密U盘数据可以通过三合一的单项导入模块对数据选择性的进行导入，终端内数据无法拷贝到U盘，很好的解决了外来U盘和非密U盘不能在涉密终端插拔带来的数据交互问题；其他功能：通过三合一的外设管理模块可以有效监控涉密终端的打印、刻录、串口、并口等外设接口的使用，可以关闭、打开、监控打印机的使用，关闭或者

15、打开刻录机的使用，打开关闭串口、并口的使用权限。身份鉴别：通过天信安终端安全登录系统可实现终端的双因子登录，即：用户持有授权的硬件KEY+windows的正确密码方可登录计算机有效防止非授权登录带来的一系列安全隐患。4.2涉密中间机部署效果通过中间机部署“鼎普三合一系统”可实现除涉密终端一样的安全效果外更有以下关键性效果：数据单项导入：如有数据需要导入涉密终端只需通过涉密中间机的单项导入设备对数据进行单项导入、杀毒，然后通过三合一的梯形安全U盘拷贝到指定涉密终端即可，也可以以刻录光盘的形式进行数据交互；打印机监控：可以对涉密中间机的打印行为进行监控，包括：打印文件名称、打印时间等；4.3终端安

16、全检查通过“猎隼计算机安全保密检查系统”的终端安全检模块可以有效对涉密终端进行安全检查，例如：擅自重装操作系统检查、安全补丁安装情况检查、组策略检查、USB插拔记录检查、上网痕迹检查、最近打开文件检查等，积极响应保密标准对单位涉密终端进行自查；通过恶意代码辅助检测工具对涉密终端的数据进行恶意代码监测，以及早发现恶意木马和病毒、对涉密终端整体安全情况进行自评估。4.4存储介质安全消除很好的解决了单位外带笔记本归还、涉密机更换责任人、涉密U盘、硬盘的数据安全清除，清除过的介质可以继续重复使用，原数据无法恢复的特点有效的降低了单位对涉密数据安全清除的难度、和成本。4.5电磁防泄漏通过部署红黑电源隔离插座、视频干扰器、能分别有效对涉密终端电源进行红黑隔离，机密单机的视频输出信号进行电磁泄漏防护，大大提高了因电磁泄漏泄密的可能性；通过对重要涉密会场部署移动通信干扰器屏蔽手机信号有效减少涉密会议被窃听的危险。4.6总结通过一些列安全技术手段充分加强了涉密系统的安全性、可控性、可视化的管理，能有效降低用户有意或无意的泄密事件，下一步通过制度上的不断完善紧扣保密标准循序进渐的达到一个新的安全高度！我们坚信“只有客户的成功，才有XXXX航信的成功！”愿XXXX航信能成为XXXXXX信息化长远发展战略上的最佳合作伙伴！