一、産(chǎn)品概述

涉密計算機違規連接互聯網、移動存儲介質(zhì)交叉使用(yòng)是近年來我國(guó)發生多(duō)起涉密信息系統洩密事件的主要原因，同時也是中(zhōng)央和國(guó)家機關保密檢查中(zhōng)發現的兩個主要洩密途徑；而外部信息單向導入涉密計算機是涉密單位的重要需求。針對上述嚴峻的涉密信息系統保密安(ān)全管理(lǐ)現狀，國(guó)家保密局組織實施了關于“涉密計算機及移動存儲設備保密管理(lǐ)系統”（以下簡稱“三合一系統”）的研制、檢測、生産(chǎn)及部署等相關工(gōng)作(zuò)。

科(kē)技(jì )積極跟進國(guó)家政策标準，于2010獲得了國(guó)家保密局關于“三合一系統”的研制資格。自獲得研制資格以來，嚴格按照BMB24-2010進行研制開發工(gōng)作(zuò)，并在此基礎上探索創新(xīn)，以遵循國(guó)家标準為(wèi)準則，程度滿足客戶安(ān)全管理(lǐ)和應用(yòng)需求為(wèi)己任，成功研發了“涉密計算機及移動存儲設備保密管理(lǐ)系統”。

“三合一系統”遵從“保密、便捷、成熟、實用(yòng)”的設計原則，在保證安(ān)全保密的同時，使用(yòng)戶操作(zuò)的便捷性得到了體(tǐ)現。系統包括用(yòng)戶端軟件、管理(lǐ)端軟件、多(duō)功能(néng)導入裝(zhuāng)置、涉密專用(yòng)優盤、管理(lǐ)員身份鑰匙、審計員身份鑰匙六個部分(fēn)，構成如圖1所示。

1)       服務(wù)器程序：安(ān)裝(zhuāng)在Windows 2000 /2003操作(zuò)系統上，可(kě)以放置在機房中(zhōng)，由控制台進行控制，與終端直接聯系，并将所有(yǒu)信息存儲在數據庫中(zhōng)。

2)       控制端程序：系統遵循二員職責設計，即将管理(lǐ)員細分(fēn)為(wèi)管理(lǐ)員、審計員。 二員可(kě)以通過控制台來連接服務(wù)器實施相應控制。

3)       用(yòng)戶端程序：安(ān)裝(zhuāng)在每台終端計算機上配合控制台對終端計算機進行安(ān)全監控的代理(lǐ)程序，包括涉密終端和涉密單機。

4)       操作(zuò)員身份鑰匙：包括管理(lǐ)員身份鑰匙和審計員身份鑰匙，使用(yòng)不同的身份鑰匙登錄系統可(kě)以實現相應的管理(lǐ)功能(néng)。

5)       多(duō)功能(néng)導入裝(zhuāng)置：在安(ān)裝(zhuāng)本系統軟件的涉密終端上通用(yòng)。其專用(yòng)接口連接涉密專用(yòng)優盤，實現涉密專用(yòng)優盤的數據存取；通用(yòng)接口連接普通優盤，可(kě)以将非涉密通用(yòng)優盤内的非涉密數據單向導入到涉密計算機。

6)       涉密專用(yòng)優盤：具(jù)有(yǒu)規定的外形、接口、内部數據格式、ID和認證方式。用(yòng)于和多(duō)功能(néng)導入裝(zhuāng)置配合使用(yòng)完成優盤與計算機的雙向涉密數據交互。

二、産(chǎn)品功能(néng)

2.1 主要功能(néng)

2.1.1非法外聯監控：

通過網絡傳輸層驅動實時監控涉密計算機是否違規連接互聯網；若出現違規行為(wèi)即時發送報警信息，并阻斷網絡連接

2.1.2介質(zhì)使用(yòng)管控：

1)       涉密專用(yòng)U盤管理(lǐ)：實現涉密專用(yòng)U盤的進行注冊，查詢，修改注冊信息功能(néng)。

2)       涉密專用(yòng)U盤完整性檢測：對涉密專用(yòng)U盤的完整性進行檢測，從而避免涉密專用(yòng)U盤注冊信息被非法修改、以及僞造注冊信息。

3)       涉密專用(yòng)U盤使用(yòng)範圍控制：通過USB涉密過濾驅動，杜絕非涉密專用(yòng)U盤的接入，涉密專用(yòng)U盤可(kě)控使用(yòng)範圍為(wèi)本人、本部門、本單位、通用(yòng)。

4)       涉密專用(yòng)U盤安(ān)全性保證：涉密專用(yòng)U盤使用(yòng)前需要驗證用(yòng)戶口令、硬件口令；涉密專用(yòng)U盤的讀寫會進行數據的封裝(zhuāng)或解析；并采用(yòng)專用(yòng)文(wén)件系統，在非法環境中(zhōng)U盤無法正常加載盤符。

2.1.3非涉密信息單向導入：

1)       外部信息單向導入：利用(yòng)光單向傳輸性，将普通存儲介質(zhì)内的外部信息通過單向導入裝(zhuāng)置單向導入涉密環境中(zhōng)。

2)       文(wén)件自選傳輸：設備支持“默認傳輸”和“自主傳輸”兩種模式。“自主傳輸”模式下用(yòng)戶可(kě)以自由選自U盤中(zhōng)的指定文(wén)件，導入效率和靈活性大大提高。

3)       傳輸速度可(kě)調：設備在符合标準的前提下，數據導入速度可(kě)調節。900Bps，4MBps，遠(yuǎn)遠(yuǎn)高出同類産(chǎn)品。速率可(kě)調也使得面對不同配置的計算機時兼容性更強。

2.1.4涉密信息雙向交互

通過涉密專用(yòng)U盤配合多(duō)功能(néng)導入裝(zhuāng)置使用(yòng)，采用(yòng)特殊的專用(yòng)接口、特殊的專用(yòng)格式及用(yòng)戶口令認證的功能(néng)，實現涉密信息雙向交互

2.2 輔助功能(néng)

2.2.1服務(wù)器管理(lǐ)

操作(zuò)員身份鑰匙、設備控制、報警個性化設置、鎖定設置、日志(zhì)審計、初始化安(ān)裝(zhuāng)Key、數據庫自動備份、備份磁盤空間報警設置、代理(lǐ)探測地址白名(míng)單、終端認證時間設定

2.2.2終端管理(lǐ)

卸載和删除終端、終端、注銷終端、查找終端、查看終端資源、終端分(fēn)組、終端自動分(fēn)組、終端自動升級功能(néng)、終端不在線(xiàn)報警、外聯服務(wù)器IP。

2.2.3策略管理(lǐ)

查看、修改終端策略、發送策略、策略群發、設置默認加載策略、查看終端策略、查看終端所有(yǒu)已發策略、查看組策略

三、産(chǎn)品優勢

3.1 完全符合國(guó)家保密标準

嚴格遵循BMB24-2010标準開發，功能(néng)、技(jì )術、安(ān)全性和管理(lǐ)使用(yòng)上完全符合國(guó)家保密标準。

3.2 手動導航 自選傳輸更便利

1)       所有(yǒu)文(wén)件導入操作(zuò)均可(kě)通過面闆上的按鍵完成，無需鍵盤鼠标，使用(yòng)便利。

2)       通過浏覽U盤文(wén)件目錄，用(yòng)戶想傳那個文(wén)件即可(kě)以傳那個文(wén)件，免去用(yòng)戶為(wèi)避免導入不需要的信息而不得不對U盤内文(wén)件進行經常性的進行反複删除或清空操作(zuò)，使用(yòng)更簡便。

圖3—多(duō)功能(néng)導入裝(zhuāng)置“自主傳輸模式”接收界面

3)       當被導入文(wén)件選擇錯誤或傳輸錯誤時，均可(kě)随時終止文(wén)件傳輸，使用(yòng)更靈活。

3.3 速率可(kě)調 文(wén)件導入更高速

1)       速率可(kě)調，速度高，是多(duō)功能(néng)單向導入裝(zhuāng)置的技(jì )術優勢。BMB24-2010要求傳輸速度不低于500KB/S。多(duō)功能(néng)單向導入裝(zhuāng)置增加了速度調節功能(néng)，用(yòng)戶可(kě)以根據實際需求，對非涉密U盤的數據導入速度進行調控，速率共分(fēn)5檔，默認速率為(wèi)1檔，可(kě)達900KB/S,5檔可(kě)達4MKB/S，速率可(kě)調節提高了非密U盤向涉密計算機單向導入文(wén)件的效率。

2)       速率可(kě)調節在面對各種高低配置的新(xīn)舊計算機時，有(yǒu)着較強較靈活的兼容性。

3.4 真正底層 技(jì )術實現更安(ān)全

1)       從硬件底層實現對U盤文(wén)件目錄的解析，如下圖所示。如對文(wén)件名(míng)、文(wén)件大小(xiǎo)、文(wén)件屬性進行解析，并單向上傳到涉密主機端（如上圖所示），這樣用(yòng)戶通過文(wén)件目錄結構就可(kě)以直觀查看文(wén)件，技(jì )術更底層。

2)       關鍵功能(néng)真正在内核層實現：如對外設控制、非法外聯監控等。内核層安(ān)全性更高、兼容性更好、控制更準确，程序運行效率更高，監控反饋更安(ān)全快速。