涉密计算机及移动存储介质保密管理系统又称三合一系统「终于解决」

系统简介

涉密计算机及移动存储介质保密管理系统是公司依据国家保密主管部门的相关标准，结合多年保密行业工作经验和大量的用户实践应用验证，在通 过国家保密局认证的《非授权外联监管系统》和《USB 移动存储介质使用管理系统》 两个产品的基础上，整合基于光纤的单向传输设备，满足国家保密局的要求，涉密 计算机必须配备具有“违规外联监控”、“移动存储介质使用管控”和“非涉密信息 单向导入”等功能的保密技术防护专用系统。

本系统对涉密计算机进行有效的违规外联监管与预警，杜绝涉密计算机违规外 联的可能，保障涉密内网的安全，解决涉密信息系统中介质交叉使用带来的隐患， 并配备专用的非涉密信息单向导入设备，实现对涉密计算机的安全防护。

3.产品结构

3.1 产品总体结构

本系统一共包含三个子系统：涉密计算机违规外联管理系统、移动存储介质使 用管理系统及非涉密信息单向导入系统。

涉密计算机违规外联管理系统完成对涉密主机（包括涉密单机）的非法外联行 为进行监视、审计及控制，移动存储介质使用管理系统完成对涉密优盘的管理功能； 涉密优盘是一个由国家保密工作部门认定的，用于保护国家秘密的存储器，包括专 用优盘、专用硬盘等。该设备需要注册才能使用，并且该设备只能在涉密网络中使 用，在非涉密计算机中不能使用，甚至不能格式化；非涉密信息单向导入系统将是 外部存储介质与涉密主机进行信息交互的唯一途径，所有非涉密移动存储介质中需 要导入到涉密计算机的信息，都需要通过此装置完成，非涉密优盘通过单向光纤通 信技术实现信息的单向传输。

涉密管理系统的整体结构如下：

涉密管理系统总体结构图 从上图可以看出，整个涉密管理系统包括以下三个主要部分

1) 管理端：安装在保密管理人员使用的管理主机上，由管理端软件、管理员身 份钥匙、审计员身份钥匙等组成；

2) 用户端：安装在涉密计算机上，由用户端软件、单向导入装置、涉密专用优 盘等组成；

3) 互联网监控报警服务器：安装在保密工作部门授权的监控中心，由服务器软 件、外网管理员钥匙等组成。

3.2 涉密优盘结构

涉密优盘内部由 Flash 芯片及主控芯片组成，Flash 芯片负责存储优盘数据， 采用区别于一般 U 盘的 SLC 存储芯片，相比于一般优盘的 MLC 存储芯片，具有写入 速度快、耗电少、使用寿命长等优点，于控制芯片与存储芯片之间具有嵌入式操作 系统，对信号进行编码及解码，控制外部应用对 Flash 存储芯片的访问的同时保证 用户无法通过 windows 系统对涉密优盘进行格式化等操作。

3.3 单向导入系统结构

单向导入系统是一个便于在涉密计算机终端使用的，可以将优盘等移动存储介 质上的文件导入到涉密主机的系统。这里优盘中的文件是指从非涉密网获取而存在 于非涉密移动存储介质中的（例如：从互联网下载的文件等）。

单向导入系统必须是一个安全且易用的系统，为了做到这一点，我们考虑到需 要导入的数据来源于移动存储设备，如果能使涉密主机的使用者在计算机上使用该 系统时操作方便简单，可视化效果强，与使用普通优盘差别不大，这样将带来极大 的便利。

基于这样的思想，我们将单向导入系统分为以下几部分组成：

1) 单向通信光纤

它是单向导入系统的核心部件，用来实现对非涉密移动存储设备数据的单向导 入功能。该部件采用光纤传输信号，因为光信号可以实现高效的单向传输，这时一 种可证明的单向传输技术。

2) 外端导入设备 为了将非涉密移动存储设备传入涉密主机，需要一个直接与移动存储设备相连

的设备，我们称为外端导入设备，该设备通过 USB 接口直接与非涉密优盘等连接， 负责读取优盘中的文件，并通过单向光纤传入涉密主机。外端导入设备一端与移动 存储设备连接，另一端与光纤通道连接。外端导入设备具有嵌入式的操作系统。

3) 内端导出设备

内端导出设备是一端与光纤通道连接，另一端与涉密主机连接的设备。该设备 负责接收外端导入设备通过单向光纤传输过来的数据，并将接收到的数据转发给涉 密主机。内端导出设备没有操作系统。

4) 单导软件

在涉密主机上装有驱动软件以及单向导入管理软件。 按照以上划分，单向导入系统的逻辑结构如下：

单向导入系统总体结构设计图

4.1 管理端

管理端软件是安装在管理主机上，具有涉密计算机及涉密专用优盘的注册、认 证和管理、涉密计算机违规外联告警信息的采集功能的软件，具体功能分析如下：

4.1.1 外联监控功能

1) 管理员通过管理员钥匙登录管理端后可以对涉密计算机网络内用户端软件 进行远程激活、注销、卸载等；

2) 通过网络对终端下发策略；

3) 收集并显示联网涉密计算机的终端名称、IP 地址、单位、部门、责任人等 详细信息并可进行查询；

4) 审计日志查询（如违规外联记录、涉密专用优盘使用记录、管理员操作记录）。

4.1.2 涉密专用优盘注册和管理

所有涉密优盘在涉密专用优盘注册和管理使用之前必须在服务器上进行注册，只有注册的涉密优盘才能 使用，安装客户端的计算机不能使用其他任何移动存储介质。

涉密优盘管理包括涉密优盘注册、涉密优盘信息查询、涉密优盘口令恢复及涉 密优盘注销等功能，具体内容如下：

1) 涉密优盘注册功能将新出厂的涉密优盘或已经使用的涉密优盘注册为新的 可使用的涉密优盘。涉密优盘注册时可以按照全局、单位、部门及个人等多种方式 进行范围的限定。不同范围的涉密优盘只能在限定的范围内使用。

2) 涉密优盘信息查询是检验涉密优盘是否注册，以及可以获取并查看涉密优盘 的注册信息。

3) 如果用户在使用涉密优盘的过程中遗忘了口令，可以通过涉密优盘口令恢复 功能，将口令恢复为默认口令，该操作将受到严格的审计。

4) 对于不再使用的涉密优盘将通过注销功能清除涉密优盘中的参数及已经存 储的优盘信息，同时在数据库中清除该涉密优盘的记录。

4.2 用户端

4.2.1 外联阻断

客户端外联监控模块主要对客户端用户使用主机进行非法外联时的监视及控制 功能。系统所涉及到的监视行为包括：

1) 通过网卡上网

2) 通过无线上网

3) 通过 ADSL 上网

4) 通过 Modem 上网 5) 通过手机上网

6) 通过其他外设设备上网

这些上网行为将在客户端外联监控模块实时监视，一经发现，立即阻断并将监视到的信息通过日志上传模块上传到服务器及互联网监控报警终端。 终端代理发现外联行为后，将根据管理员制定的策略执行相应的动作，包括断

网、关闭计算机、发出警告等。

4.2.2 外设控制

将实现对如下外设的控制： 1) 开启/禁用软驱

2) 开启/禁用光驱

3) 开启/禁用网卡

4) 开启/禁用 PCMCIA 卡

5) 开启/禁用 MODEM

6) 开启/禁用 USB 存储等

我们采用微软操作系统设备管理 API 以及设备强制控制技术。该技术通过收集 操作系统外挂的设备列表，构建和维护可用和禁用设备名单。对禁用的设备保证用 户无法以任何手段启用该设备。外设的状态设定可以基于来自安全管理服务器统一 下发的策略。

4.3 涉密优盘功能

4.3.1 功能描述

涉密优盘的主要功能包括：

1) 涉密优盘登录认证 保密移动存储介质划分为程序区和安全区。用户输入安全 区口令，保密移动存储介质验证和安全域通过后，自动切换到安全区，这是在硬件 基础上对保密信息所加的第一道防线。

2) 涉密优盘登录密码更改 用户可以更改涉密优盘登录密码。

3) 涉密优盘登录密码次数限制 登录密码具有一定的错误次数限制，达到指定次 数后涉密优盘会被锁死，需要到管理员处使用管理端软件进行解锁。

4.3.2 技术指标

1) 采用标准的 USB 接口，基于 USB1.1、USB2.0 传输接口，即插即用；

2) 口令认证保护数据区；

3) 参数区专用读写接口；

4) 读写次数 10 万次以上；

5) 读速度 20MB/S，写速度 10MB/S。

6) 10 年数据储存；

7) 工作温度: -40 – +70 摄氏度

8) 储存温度:-50 – +80 摄氏度

4.4 单向导入系统功能

4.4.1 非涉密数据导入功能

单向导入系统最核心的是需要实现非涉密数据的单向导入。在非涉密数据单向 导入的过程中，系统实现了以下功能：

Ø 优盘文件的单向导入：实现将优盘中的文件单向导入到内网涉密主机中，在 导入时支持对特定目录的文件导入及根目录的文件导入；

Ø 移动硬盘文件的单向导入：实现将移动硬盘中的文件单向导入到内网涉密主 机中，在导入时支持对特定目录的文件导入及根目录的文件导入。

4.4.2 安全功能

为了保证系统导入过程的安全性，系统具备以下安全功能：

Ø 基于光纤的单向传输：采用单向光纤方式从外端将文件导入到内部涉密主 机，必须保证信号无反馈；

Ø 数据容错功能：由于单向光纤无信号反馈，内端设备将无法验证传输数据的 完整性，系统需要采取一定的容错机制，保证单向传输数据的可靠性，使得误码率 在可接受范围内。

4.4.3 管理功能

在进行非涉密数据的单向导入时，系统提供一定的管理功能保证使用的完整性 及方便性。系统的管理功能包括：

Ø 文件导入进度查看：使用者可以实时查看文件已经导入到哪个状态。例如： 正在导入哪个文件，导入了多少字节，已经导入了多少个文件等；

Ø 存储目录配置：使用者可以配置导入的文件存储在涉密主机的哪个目录；

Ø 异常导入信息查询：由于单向光纤导入无反馈信号，从理论上讲可能存在数 据丢失的情况。系统中应该具备让使用者能够查看本次导入过程中是否存在数据丢 失、以及哪些文件数据丢失的功能，如果发现有文件丢失，就可以进行文件重传。

4.5 互联网监控报警服务器

有独立的互联网监控报警服务器，所有终端计算机的违规外联信息除了在本级 服务器报警外，还向互联网报警服务器报警。具体功能如下

1) 服务器采用双因素认证。拥有管理员智能卡及密码才能登录系统，保障服务 器的访问安全。

2) 接收、记录涉密终端计算机非法外联时的预警信息，并同时支持普通介质管 理系统 V3.0 介质报警。涉密终端的非法外联预警信息详细的记录非法外联的地区、

所属单位、所属部门、责任人、计算机的硬盘序列号、主板序列号、IP 地址、MAC 地址、产生时间等；普通介质的非法预警信息详细的记录非法外联的地区、所属单 位、介质的 VID、PID、序列号、所使用的 IP 地址、网关等；信息详细，通过短信、 邮件、声光、地图等 4 种方式对管理员进行报警提示，管理员通过报警信息对发生 的事件准确定位，对事件及时处理。

5 产品安全特性

5.1 客户端安全性

主要关注以下方面：

1) 防止非授权用户强行终止客户端程序的运行；

2) 防止非授权用户强制取消客户端程序在系统启动时的自动加载；

3) 防止非授权用户强行卸载、删除或修改客户端程序。

对于第 1)点及第 3)点我们采用智能卡的方式解决，用户对涉密终端的所有操作 包括安装、卸载、更改配置均需插入相应的管理员智能卡，同时通过对外联服务的 设置保证用户无法删除客户端进程。

对于第 2)点我们采用 GINA 技术及注册表防篡改技术实现。事实上，我们通过 替换 Windows 自身的 Gina 实现，每次计算机启动后，在我们自己的 Gina 实现中启 用外联监控系统客户端代理服务，同时为了防止用户修改 Gina 实现中需要改动的注 册表信息，我们采用线程注入方式防止用户对外联监控系统相关的特定注册表信息 的修改。

5.2 管理端安全性

管理端安全性主要考虑管理员身份鉴别。对于管理员的身份鉴别，系统采用基 于 PKI/CA 方式的智能卡+登录口令认证模式，同时系统采用基于 RBAC 的角色授权模 式，保证合法用户的权限分配问题。

管理员身份鉴别中使用的智能卡口令必须满足一定要求。对口令的管理安全主 要体现在口令生成质量、口令存储和口令传输等方面。

管理员口令尽管由用户自行选择，但在保证用户方便记忆的同时，还必须受到 密码规则的限制：外联监控系统缺省要求，用户选择的口令必须至少满足以下两个 个条件：

1) 口令长度不少于 8 个字符；

2) 口令中包含的字符必须至少来源于两个不同的字符集：0～9 的数字集、a～ z 合 A～Z 的字母集、‘～’，‘！’，‘◎’等可打印符号集；

5.3 涉密优盘安全特性

5.3.1 分区安全性

涉密优盘分为参数区及数据区。参数区存储系统需要的参数信息，按照总体设 计要求，参数区信息除了必要的可公开数据外，其他数据全部加密存储。参数区需 要专门的 API 才能访问。

数据区是涉密优盘中存储最终文件数据的区域，要访问涉密优盘数据区必须经 过口令校验，涉密区存储的数据通过密钥加密，并且采用专有的文件格式存储。

5.3.2API 接口安全性

涉密优盘 API 的安全性设计体现在以下方面： 1) 访问 API 提供口令校验

涉密优盘参数中存储的敏感信息全部由口令加密存储，只有拥有正确的口令才 能解密参数信息。访问数据区时也需要提供数据加密密钥，该密钥由口令加密存储， 保证了数据区访问的安全。

2) 基于静态库的开发接口 涉密优盘提供的所有开发接口采用基于静态库的方式，上层软件直接编译到程

序中，使得攻击者不能分析涉密优盘的访问接口。

5.4 单向导入系统安全特性

单向导入系统的安全性主要在于以下几方面：

1) 基于光的单向传输

单向导入系统使用两块高效的安全芯片实现文件数据的单向传输，两块安全芯 片通过光纤连接，中间传输的是转换后的光信号，通过芯片的独特设计及光传输的 特点，即达到了单向要求，又满足数据的高性能传输要求。

单向导入系统的单向数据通道技术结构如下图所示：

单向传输通道结构图 从图中可以看出，单向导入系统的安全芯片分为内外两块，记为外端单向传输

数据控制芯片（下称外端安全芯片）及内端单向传输数据控制芯片（下称内端安全 芯片），两块安全芯片之间通过光纤信道传送信息。

外端安全芯片具有光发送适配器，内端安全芯片具有光接收终结器。光发送适 配器将外端机需要发送的数字信号调制为光信号并通过光纤信道发送出去，单向导 入系统将使用多种方式保证传输信息的完整性，包括信息的冗余发送、前向纠错编 码及多路冗余等。

内端安全芯片的光接收终结器负责接收发送端传递的光信号并转换为数字信 号，然后提交到芯片处理模块进行进一步的处理，最终将接收的完整信息转发给涉 密主机。

单向导入系统的单向传输特性在于外端安全芯片只有光发送适配器，内端安全 芯片只有光接收适配器，中间只有光传输信道。这样一方面保证不可能有光信号从 内端传向外端；另一方面保证其它数字信号、模拟信号及电信号不能通过光纤通道 传输。

正是由于光信号的单向传输特性，内端机连接的涉密主机不能有任何信息反馈 到外段存储介质中，从技术上保证了涉密网络信息防泄密。

2) 外端设备防攻击 单向导入系统的外段设备是一个主动从外部存储介质获取文件的模块，没有开

启任何服务，甚至其中的程序都是固化的。因此，可以有效的防止外部通过 USB 线 将其他计算机接入，进而攻击外段主机。

3) 内端设备无非易失性存储 单向导入系统内端设备没有非易失性存储，可以有效保护以下两种情况的发生：

Ø 在多人共用的情况下，某个涉密使用者导入的文件不能被其他涉密使用者混 用。

Ø 攻击者不能通过物理获取内端存储芯片，从而分析其中存储的文件信息。

Ø 防止设备接入涉密主机时受到攻击而导致涉密主机信息传输到导入系统内端机，从而造成信息泄露。