登錄
注冊
機要、涉(保)密、關鍵可移動資產的安全保障解決方案
概述
目前,針對重要信息系統、資產的保護得到了越來越多的重視,隨著機要、涉密網的建設,加強了對關系到國家經濟政策、宏觀調控和經濟秩序的正常運行的重要信息系統的保障,同時我們也看到,在機要、涉密網中的關鍵信息系統得到有效保障的同時,沒有納入到涉密網的信息系統、資產,或由涉密網向外延伸出來的信息(如筆記本電腦存儲有相關重要信息、打印出來的涉密文檔等)還沒有完善的安全技術的保障措施,在這種背景下,我們提出在實施涉密網建設的同時,考慮將機要、關鍵可移動資產的安全保障也同時搞起來,并且加強管理和運行,這些需要為本方案的設計和實施奠定了良好的基礎。
需求
機要、關鍵可移動資產的涉及范圍包括如下:
工作人員的筆記本電腦;
重要的紙質文檔、資料;
其他存儲有重要信息的可移動電子設備等。
針對以上可移動資產的保障需求如下:
1、需要保護筆記本電腦里存儲的重要信息;
2、需要對使用筆記本電腦的人員進行身份認證;
3、需要對筆記本電腦出入機要辦公區進行有效監控;
4、需要對重要紙質文檔、資料出入機要辦公區進行有效監控;
5、需要對存儲有重要信息的可移動電子設備進行有效監控。
目標
機要關鍵可移動資產的安全保障的建設目標是:
1、需要保護筆記本電腦里存儲的重要信息;
2、需要對使用筆記本電腦的人員進行身份認證;
3、需要對筆記本電腦出入機要辦公區進行有效監控;
4、需要對重要紙質文檔、資料出入機要辦公區進行有效監控;
5、需要對存儲有重要信息的可移動電子設備進行有效監控。
本方案采用基于RFID技術的標簽來監控筆記本電腦、重要紙質文檔等出入機要辦公區。
機要筆記本電腦的自身安全防護
針對用戶需求以及根據需求要實現的目標,我們把滿足需求1、2點所采用的措施,可以通過怡華通聯公司的個人電腦安全套件來實現,這些目標的實現可以滿足機要目前針對筆記本電腦的自身安全防護需求。
怡華通聯公司的個人電腦安全套件可以保障機要、關鍵可移動資產筆記本電腦使用權限保護、信息存儲安全、安全套件的自身防護功能,能有效地解決機要筆記本電腦自身的安全問題。個人電腦安全套件包含硬件的安全PC卡、驅動程序、客戶端功能程序(使用權限保護程序、數據加密存儲程序等)。
一、筆記本電腦使用權限保護
開機認證與暫時離開保護
各用戶獨自的標識信息存于保密的安全PC卡中,通過PCMCIA接口讀入,供終端計算機驗證執行部件識別,在驗證識別過程中不泄露身份特征信息,做到真正的不可假冒和偽造。如果安全PC卡不合法或者是沒安全PC卡的話,就不能進入Windows系統(Windows 2000、Windows XP)進行任何操作。
圖1 開機認證過程示意圖
如果用戶有事臨時走開,可以把安全PC卡拔走,這樣安全系統就會自動鎖定,并把用戶的工作環境保存下來,這時除了原持卡人外,任何人都不能進入用戶工作環境。用戶回來后把原卡插進去后,系統就會解除鎖定。
二、信息存儲安全
虛擬磁盤
采用虛擬磁盤保護敏感數據文件。所有進入該虛擬磁盤的文件都將被自動加密,取出(包括剪切、移動和復制)該目錄的文件將被自動解密。為了保證私有信息的私密性,只有擁有合法的安全PC卡并正常登錄的用戶才能訪問虛擬磁盤。
三、安全套件防破壞功能(安全軟件套件的自我保護)
個人電腦安全套件具有關鍵功能模塊自動恢復功能,防止在安全模式下的非法卸載、禁用安全組件。關鍵功能模塊包含開機認證、防非法外聯、進程網絡訪問控制。自我保護模塊通過監視注冊表項防止非法禁用關鍵安全功能;開機檢測安全套件關鍵文件,保證關鍵文件有效,如果無效則立即恢復文件,并保證安全套件關鍵功能模塊正常運行;檢測模塊采用特殊手段保護,以防止非法用戶破壞。
機要、關鍵可移動資產出入辦公區解決方案
系統概述
射頻識別技術(RFID,Radio Frequency Identification)實際上是自動識別技術的一個重要分支。該項技術的基本思想是,通過采用一些先進的技術手段,實現人們對各類物體或設備 (人員、物品) 在不同狀態(移動、靜止或惡劣環境)下的自動識別和監管。
針對用戶的需求和系統實施目標,我們采用具有完全自主知識產權的基于center system中間件的RFID套件來實現關鍵可移動資產出入辦公區的監管。
系統配置
根據用戶的需求,基于center system中間件的RFID套件主要由以下幾部分組成:
電子標簽:選用紙質標簽和金屬表面標簽兩種。主要用來標識需要監管的資產;
金屬標簽
普通紙質標簽
天線:選用線性極化天線,配合讀寫器實現對電子標簽的操作;
閱讀器:選用UHF 915可調頻段產品,實現對標簽的物理讀寫;
Center system 中間件:完成標簽數據過濾、分組、計數防錯讀和防漏讀等功能;
管理軟件:完成標簽的打印、寫入、驗證等功能;
標簽數據管理:為資產監管人員提供系統操作界面,實現資產出入信息的檢索、查詢,報表的打印,出入授權,非法攜帶報警,用戶信息維護等終端功能。
系統具體配置清單如下
|
序號 |
名稱 |
說明 |
數量 |
|
1 |
資產管理客戶端 |
監控操作終端軟件 |
|
|
2 |
Center system 中間件 |
|
|
|
Application Level Event |
| ||
|
Reader Server System |
| ||
|
Gateway |
| ||
|
Basic Reader Server license(for 4 readers) |
| ||
|
3 |
管理軟件 |
標簽生成系統 |
|
|
4 |
csl-461 |
讀寫器 |
|
|
5 |
csl-771 |
天線 |
|
|
6 |
TAG |
(普通紙質標簽) |
|
|
Metal tag(金屬表面標簽) |
| ||
|
7 |
天線安裝支架 |
天線安裝支架 |
|
|
8 |
服務器 |
Inter Xeon |
|
|
|
| ||
|
|
| ||
|
9 |
終端設備 |
PC機(主流配置即可) |
|
關鍵可移動資產
RFID標簽部署在關鍵可移動資產(包含涉密文件、筆記本電腦以及其他)。
根據用戶的實際情況,我們根據可移動資產的不同類別,分別采用適合不同介質的電子標簽對需要標識的個體進行標記。
筆記本電腦由于含有金屬物質采用Metal tag標記;
涉密文件采用普通紙質標簽標記;
其他資產則根據其是否含有金屬物質分別采用Metal tag或普通紙質標簽標記。
系統工作步驟
1、將機要、涉密文件、資料、檔案、設備加貼電子標簽:
2、將加貼電子標簽的機要、涉密文件、資料、檔案、設備寫信息,上傳到管理系統中心數據庫:
3、持有系統認可的證件,方可進入,門禁控制應用:
4、持有系統認可的證件,進入后辦理借還、使用手續
5、尋找和查閱機要、涉密文件、資料、檔案、設備、盤點
辦公樓出入口
在辦公樓的出入口處天線的布署如下圖所示:
大門的高度為3米,寬度為2.5米,每一個大門需要在兩側各安裝一個線性極化天線。8個門,共需安裝16個天線。每個讀寫器可以支持4個線性天線,需4個讀寫器,將其固定在每兩個大門之間的墻壁或天花板上方即可,但需為其提供強電及弱點接口各一個
機要資產預防流失流程示意圖
后臺管理系統
為了更好的保障系統的安全性,建議基于Center system 中間件的關鍵可移動資產出監管系統接入專用的交換設備并單獨分配其獨立的網段。
管理流程
系統管理流程如下圖所示:
上圖管理流程描述如下:
1、 各司局將需要進出的機要、涉密資產上報保密辦;
2、 保密辦將涉密資產錄入管理系統,系統開始對涉密資產監控;
3、 當外出人員攜涉密資產出入門口時,系統判斷該涉密資產是否允許“進出”。如果允許,只記錄不報警;否則報警并記錄。
4、 進出記錄存入系統并上交保密辦;
機要資產防流失管理
在運用RFID技術進行機要資產監控、預防流失管理中,RFID技術顯示出比以往任何技術都更快捷更高效;不但可以時事監控每件固定資產的位置和流向,更能遠程監視到每件固定資產的編號、名稱、流出時間、流入時間、攜帶機要資產流動的人員信息等資料。
機要資產防流失管理中,最重要的是流失發生時報警的時效性,使得資產管理部門在流失發生后最短的時間內處置流失事件,到達流失現場,從而杜絕流失現象;
此處的機要資產不但包括服務器等硬件資產,也包括記錄技術資料、報告和其他機密性資料的紙張、光盤、軟盤等載體。
機要資產是不會自己移動的,所以當機要資產流出時,一定是有人將其攜帶出。當人員攜帶被監管的機要資產通過出口時,出口的RFID讀寫器會識讀到人員和機要資產二者的ID號,并通過服務器查詢到此件機要資產屬于監管范圍,并且尚未得到離開的授權。門口天線將自動發出聲、光警報;服務器向資產管理部門和保安控制室發送這兩個ID號所代表的人員和資產信息,并且顯示是從哪個室流出的。使得相關監管人員盡快到達出現警報的實驗室,并進行進一步處理。
有任何疑問,請聯絡:
浩海易通科技(北京)有限公司
市場部 :任志賢
Tel:010-58572586
Fax:010- 58573146
Mobile:15801381484
QQ:479017087
MSN:renzhixiancool@live.cn
15801381484.ok@163.com
