设为首页 | 加入收藏 | 网站地图
区域定位方案 人员定位方案 车辆交通方案 物品管理方案 人员管理方案

物品管理方案

涉密载体的物理实体安全管理系统

作者:基视定位系统 时间:1970-01-01 文章来源:基视科技

  涉密载体的物理实体安全管理系统

  1 应用背景

  涉密载体包括移动存储介质(如优盘、移动硬盘、笔记本电脑等)和传统纸介质。其中移动存储介质具有存储量大、使用方便的特点,随着信息技术的发展,目前移动存储介质在办公自动化普及的涉密单位使用非常普遍,已经成为当前泄密的重大隐患之一。

  目前,无论是传统的纸介质还是移动存储介质,对这些涉密载体的管理中都存在着很多安全隐患,缺乏有效的技术保障。近几年,由于对涉密载体管理不善和使用不当所引起的泄密事件在军队和地方都时有发生。虽然对于存储涉密信息的介质有较严格的保密管理要求,外出携带需要严格控制并审批,但涉密介质丢失现象仍时有发生。这些涉密存储介质一旦丢失就会造成秘密信息的外泄。

  2006年4月,中共中央政治局候补委员、中央书记处书记、中央办公厅主任、中央保密委员会主任王刚在中央和国家机关保密工作会议上强调,“居安思危,确保党和国家秘密安全,加强涉密载体管理。。。必须管住涉密载体,加强涉密纸介质、移动存储介质和信息系统的管理,制定具体规程,采取严密措施,强化经常性督查,保证各类涉密载体的管理不出问题……”

  中央保密委员会2007年8月17日在北京召开中央和国家机关保密工作会议。中共中央政治局候补委员、中央书记处书记、中央办公厅主任、中央保密委员会主任王刚出席会议并讲话。他强调“……加强中央和国家机关保密工作,为十七大创造良好环境……,要加强对各类涉密载体的管理,尤其要着力完善技术手段,……”

  中央保密委于2007年7月下发了《关于加强涉密载体保密管理杜绝涉密文件资料流失的通知》,针对当前涉密文件资料管理,杜绝涉密文件资料流失,确保国家秘密安全,提出了明确要求。各省、直辖市、自治区和新疆建设兵团保密委最近就贯彻落实《通知》精神也专门作出部署,要求认真贯彻中保委《通知》精神和部署,进一步加强对涉密文件资料的保密管理,提高国家涉密载体保密管理水平,确保党和国家秘密安全。

  ……

  目前,一方面各地、各级、军地的保密机关都对涉密载体的管理提出了更高的要求;另一方面,广大的基层单位也充分认识到新形势下加强涉密载体管理的重要性。

  2 实施意义

  实施涉密载体的物理实体安全管理系统具有重要意义:

  n 保证了国家秘密的安全、单位发展的稳定和自身利益的不受损害;

  n 提升了单位涉密载体管理工作的现代化水平和降低了安全管理的工作强度;

  n 彻底杜绝了由涉密载体造成的无意泄密风险;

  n 清晰界定了涉密载体无意泄密带来的性质和责任;

  n 有利配合了保密工作的常抓不懈和涉密资格认证审查的顺利通过。

  上海基视最先进的涉密载体实体安全管理系统,对涉密载体进行统一的自动管理和定位监控,对涉密载体的物理实体实行全程保密监管,从涉密载体购买、分发、使用、保管、退效、销毁等6个环节入手,实现严格的自动管控,信息的自动记录,降低出现涉密载体外泄的机会;消除随意传递、随意存放、随意携带外出等问题,避免了人工疏忽带来的重大泄密事故。

  基视涉密载体的物理实体安全管理系统已经在航天、核工业、军队等部门得到成功应用,主要特点:

  n 填补了长期以来对涉密载体物理介质本身缺乏有效技防手段的重大空白;

  n 由最先进的技防手段真正落实执行中央保密委关于加强涉密载体安全管理十二项要求的通知精神;

  n 实现涉密载体的安全定位,即实现在一定范围内对涉密载体实施定位跟踪,对涉密载体离开规定范围内的主机报警;

  n 实现涉密载体身份识别,即在载体离开规定范围系统将自动登记载体的负责人、载体文件涉密等级、出入时间等信息;

  n 实现涉密载体管理,即实现快捷、准确的涉密载体数据自动收集、统计,结合涉密载体生命周期包括了对涉密载体的采购、跟踪、维修保养以及报废进行跟踪管理。从而帮助提高涉密载体管理效益,降低企业成本,提高工作效率。

  3 物理实体安全管理与监控审计系统的关系

  目前,涉密单位和部门很多已经采用监控审计系统来控制各种移动存储介质的使用,监控审计系统的主要功能是对移动存储介质在涉密计算机中的使用进行授权、限值和控制。简单的说即是监控审计系统实现的是对涉密移动存储介质中存储的数据和文件进行加密和使用控制,但是并没有解决对涉密移动存储介质物理载体本身的安全控制。而涉密载体的物理安全管理则是和监控审计系统形成互补,针对涉密载体的物理介质安全管理问题,只有当涉密载体的数据使用安全和物理介质安全都得到控制的时候,才真正实现了涉密载体从内到外、从网络到物理实体的一体化安全控制。

  4 无线标识技术介绍

  4.1 无线标识基本概念与关键特征

  无线标识系统,是针对近距离或接触式系统的缺点而发展出来,其基本原理是利用射频信号和空间耦合(电磁或电磁耦合)的传输特性,实现对被识别物体所携带信息的自动化提取于识别。作为一个崭新的技术应用领域,无线标识技术具有以下几个关键特征,即:数据的自动化收集、过滤、处理与通信;业务过程的实时控制与检测;防伪与目标的自动识别;实现流程的业务优化以及海量数据的共享与管理等。

  4.2 无线标识系统基本结构

  最基本的无线标识系统由三部分组成:硬件、软件和基本的数据格式与通信协议。硬件部分主要包括:无线标识:由耦合元件及芯片组成,每个无线标识具有唯一的电子编码,附着在物体上标识目标对象;识别基站:读取无线标识信息的设备,可设计为手持式或固定式;天线:在无线标识和识别基站间传递射频信号。

  在无线标识系统中的软件部分主要包括两方面的内容:中间件应用平台和应用管理软件。中间件平台具有以下一些关键特征:1)提供与识别基站相兼容的标准化界面。2)提供数据过滤和不同格式的消息转换与传输。3)对无线标识硬件设施进行有效地管理与监控。4)支持不同应用软件系统对无线标识数据的请求。5)支持企业原有系统与标准化协议。

  4.3 无线标识系统的工作原理

  无线标识系统在实际应用中,无线标识附着在待识别物体的表面,无线标识中保存有约定格式的电子数据。识别基站可无接触地读取并识别无线标识中所保存的电子数据,从而达到自动识别物体的目的。识别基站通过天线发送出一定频率的射频信号,当无线标识进入磁场时产生感应电流从而获得能量,发送出自身编码等信息,被识别基站读取并解码后送至电脑主机进行相关处理。

  5 系统总体设计

  系统总体设计图

  该解决方案基于先进的射频技术,每个移动的载体装备有一个无线标识,在出入的大门附近装备二台于无线标识相配套的识别基站,当无线标识接近识别基站一定的范围内,识别基站会自动识别物品是进入还是出去,并自动记录下出入的物品所携带的无线标识ID号。从而实现每个涉密载体的出入都有严格的控制同时保证了实际运行的高效和快速。

  5.1 系统结构框图

  5.2 系统工作原理

  l 由识别基站设备扫描到无线标识,信号传输到服务器;

  l 管理员在服务器上通过涉密载体的物理实体安全管理软件系统管理员口令登陆管理平台输入固定许可,临时许可或严禁携带出去的无线标识的编号,系统自动识别判断;

  l 若服务器接收到系统设置为许可携带出门的无线标识,系统自动记录其出入时间与卡号;

  l 若服务器接收到系统设置为严禁携带出门的无线标识,系统会启动报警器长鸣,期间大门口由保安人员关闭对出入人员无线标识进行审查核对,当确认为情况解决后,由管理员在系统管理平台进行“情况解决”处理后报警器停止鸣叫。系统自动记录报警时间、报警卡号、情况处理时间、处理员等。

  5.3 各楼联网配置

  因涉密载体安全信息管理系统是一个整体的系统,而各办公楼座落在不同区域,通过不同的识别基站天线实现各办公楼涉密载体的出入检测工作,所以需要将分别安装配置在不同办公楼的各识别基站和监控机进行联网,将各识别基站检测到的监控实时数据汇总在同一个平台系统里,实时触发相应办公楼里的声光报警器,同时通过涉密载体管理软件的统一配置,集中管理各项基础数据。

  根据实际设备选型,识别基站有以太网接口和RS232/485接口两种类型,如果是RS232/485接口可以通过RS232/以太网转换器连接到以太网络,这样就可以通过所已经具备的以太网络将各办公楼之间的无线标识系统进行联网,构成一个统一的平台,为集中安全管理提供保障。具体联网配置的工作流程是:1、在每个需要管理的楼内安装2套识别基站和一台监控管理计算机。2、在总机房配置一台数据库服务器,服务器联接各个楼内的监控管理计算机。3、当携带有无线标识的涉密载体需要带出时由各楼的监控管理计算机进行登记授权。4、授权后的无线标识移动到大门识别基站附近后,识别基站会根据监控管理计算机的授权情况自动登记带出的载体设备并传给管理计算机一个带出记录。5、管理计算机通过网络把记录传给数据库服务器,并由服务器记录下来。

  系统网络结构图

  6 系统硬件配置

  6.1 识别基站

  基视识别基站提供对无线标识长距离、双向通讯的能力,能在数十米范围内同时监控数以百计配备无线标识的物品。

  产品特点

  ● 支持RS232/485/维根方式与上位机通讯;

  ● i-Detector加密计算与认证,确保数据安全,防止链路窃听与数据破解;

  ● 最大支持512个信道,使用频道隔离技术,多个设备互不干扰;

  ● 先进的i-Detector防碰撞技术,最大支持625个/秒的防冲突特性;

  ● 作用距离可控,最大支持128级功率控制;

  ● 支持读写器固件的在线升级;

  ● 支持联机和脱机两种工作模式,具有内部RTC,带6个本地I/O接口;

  ● 具备本地存储单元,最大支持512K字节存储容量;

  ● 抗干扰和防雷设计;

  ● 满足工业环境要求;

  物理特性

  ● 重量:2.2千克;

  ● 颜色:灰白色;

  ● 防护等级:IP54,IP65;

  ● 安装方式:专用安装套件;

  微波链路特性

  ● 信号调制方式:GFSK;

  ● 通讯速率:双向最大1024Kbit/s;

  ● 工作频率:2.45GHz;

  ● 最大输出功率:8dbm;

  ● 微波通讯距离:0~100米;

  ● 通讯加密:i-Detector加密算法;

  ● 接收灵敏度:-80dbm~90dbm;

  ● 位误码率:10-9 ;

  ● 空中接口:符合ISO18000-4规范;

  电气特性

  ● 工作电压:+9 - +12V DC;

  ● 工作电流:小于20mA;

  ● 可靠性:MTBF≥70000小时;

  ● 工作寿命:大于15年;

  环境特性

  ● 工作温度:-40℃ ~ +80℃;

  ● 存储温度:-60℃ ~ +85℃;

  ● 工作湿度:小于95%;

  6.2 无线标识

  RT240

  RT230

  产品特点

  ● 远距离(0~30M)自动识别,可软件控制;

  ● 最大125枚/秒的防冲突性能;

  ● 基于HDLC的时分多址和同步通信机制;

  ● 独特的纳瓦级超低功耗设计;

  ● 5年使用寿命;

  物理特性

  ● 外壳材料:高温改性ABS塑料;

  ● 外型:异型,可定制更小尺寸;

  ● 重量:15克;

  ● 颜色:黑色;

  ● 防护等级:IP54;

  ● 安装方式:悬挂;

  微波链路特性

  ● 信号调制方式:GFSK;

  ● 通讯速率:双向512Kbit/s;

  ● 工作频率:2.45GHz;

  ● 最大输出功率:-5dbm;

  ● 接收灵敏度:-80dbm~90dbm;

  ● 位误码率:10-9;

  ● 空中接口:符合ISO18000-4规范;

  电气特性

  ● 静态电流:小于100nA;

  ● 工作电流:小于2mA;

  ● 使用寿命:大于5年;

  环境特性

  ● 工作温度:-20℃ ~ +45℃;

  ● 存储温度:-30℃ ~ +65℃;

  ● 工作湿度:小于95%;

  ● 抗震动:10~2000Hz 15g 三个轴;

  ● 自由跌落:1000mm混凝地面,每个面2次;

  ● 抗电磁干扰:10V/m 0.1~1000MHz AM调幅电磁波

  7 系统软件配置

  7.1 操作系统

  本系统采用微软成熟稳定并且功能强大的操作系统Windows Server2003中文标准版作为涉密载体信息管理系统运行的平台。

  7.2 专业开发软件

  微软的Visual Studio.NET2005是.NET的核心组件之一,是快速创建和集成基于XML的Web服务和应用程序的单一综合工具。它包含了Visual C#、Visual Basic.NET和Visual C++.NET等语言,同时,作为微软Web应用程序开发平台进行构建的完整的开发环境,其提供的主要技术可对Web应用程序和XML Web服务进行改进。

  本系统采用Visual Studio.NET2005作为系统开发软件,能实现快速、完善的开发过程,构建功能强大、性能稳定、兼容性强的涉密载体信息管理系统。

  7.3 数据库软件

  SQL Sever 2005是Microsoft推出新一代数据管理与分析软件,为IT专家和信息共作者带来了强大的、熟悉的工具,同时减少了在从移动设备到企业数据系统的多平台上创建、部署、管理及使用企业数据和分析应用程序的复杂度。通过全面的功能集、和现有系统的集成性、以及对日常任务的自动化管理能力,SQL Server 2005 为不同规模的企业提供了一个完整的数据解决方案

  本系统后台数据库采用Microsoft SQL Server2005最新版本中文版,实现涉密载体信息管理系统的数据存储和处理,为系统运行提供数据平台。

  8 系统软件功能设计

  8.1 系统功能结构图

  8.2 系统软件界面示例

  8.3 系统功能描述

  8.3.1 功能概述

  本信息管理系统与无线标识系统紧密集成,通过对涉密载体的基础信息、系统硬件组态配置、涉密载体使用信息管理、涉密载体出入监控以及与其它系统集成接口设计构成一套完善、独立的信息管理系统,以便加强所涉密载体的安全保密管理工作,本系统还具备完善的安全管理功能模块,防止非授权用户的登录操作;通过与其它系统的集成接口设计,可以将相关记录信息传递糅合在一起,并以Web发布的形式实现信息共享。同时具备完善的历史数据维护管理功能模块,为将来涉密载体管理系统的海量数据处理提供途径

  8.3.2 系统安全管理

  8.3.2.1 系统角色管理

  根据系统操作人员不同的操作权限分为系统管理员、安全管理员以及普通的信息查询员等不同的角色,便于对系统的安全权限进行分配,通过对用户分配不同的角色限定其操作权限,以加强系统的安全管理。

  8.3.2.2 系统帐户管理

  本功能模块维护管理所有用户的帐户信息,建立、修改、删除各用户的帐户信息,维护用户的帐户对应关系,实行账户实名制,所以用户登录后的各种操作,特别是配置修改、报警设置以及涉密载体的基础信息修改等操作有操作日志并签名,以便于安全事故追查。

  8.3.2.3 系统权限管理

  根据系统各模块功能不同,设置不同的操作权限,并将其归属到不同的角色,当系统操作没有该权限时给出报警提示,并弹出登录对话框提示登录。

  8.3.3 系统基础信息管理

  8.3.3.1 涉密载体新增(购买)

  管理新增加的涉密载体,如新购入笔记本电脑以及移动硬盘等要录入系统,并记录相关的购买信息,如购买时间、地点、型号以及购买人等等,以便为涉密载体维修、更换等管理工作提供依据。

  8.3.3.2 涉密载体登记(编码归属)

  注册登记新增以及没有注册过的涉密载体信息,对其统一编码并配置其属性,如涉密载体编号、类型、注册时间、所属部门、责任人等。

  8.3.3.3 涉密载体领用调拨

  管理涉密载体的领用以及调拨等工作,注册登记领用人、所属部门、领用时间等信息。

  8.3.3.4 涉密载体转移管理

  管理涉密载体的转移登记等工作,注销原登记领用人相关信息并注册新的领用人、所属部门、领用时间等信息。

  8.3.3.5 涉密载体报废管理

  管理涉密载体的报废注销等工作,注销原登记领用人相关信息,修改该涉密载体的有效使用状态。

  8.3.3.6 涉密载体查询统计

  查询所有在册涉密载体编码、购入时间、注册时间、所属部门、责任使用人、当前使用状态等信息。

  8.3.3.7 无线标识捆绑登记

  登记注册涉密载体捆绑无线标识信息,建立每件涉密载体与每个无线标识的唯一对应关系,为出入登记和监控报警提供基础数据。

  8.3.3.8 无线标识捆绑变更登记

  随着无线标识损坏、更换或者涉密载体的报废注销等,需要变更捆绑登记关系,重新建立每件涉密载体与每个无线标识的唯一对应关系。

  8.3.4 系统硬件组态配置管理

  8.3.4.1 识别基站参数配置管理

  该模块提供识别基站的各项基本参数配置,为保证识别基站读取可靠性,并可调整识别基站读取距离提供方便。

  8.3.4.2 识别基站方位配置管理

  管理识别基站各位置分布情况并记录在系统,可以记录各涉密载体出入所在位置,以便追踪涉密载体流向情况和相关位置的报警。如分布在所不同办公楼识别基站和报警器相互联网,通过同一个监控机和涉密载体信息管理系统统一监控和管理,不同办公楼的识别基站检测到涉密载体出入可以分辨出并在其相应的办公楼报警器发出声光报警。

  8.3.5 涉密载体使用信息管理

  8.3.5.1 涉密载体使用人员管理

  该模块建立涉密载体使用人员情况的管理档案,归口责任,从该涉密载体领用、调拨到归还或申请报废注销之前其使用情况建立对应档案表,以便于落实安全责任追查。

  8.3.5.2 涉密载体带出登记

  该模块提供涉密载体的带出登记功能,记录携带涉密载体型号、人员(可检验是否合法使用人员)、单位、带出时间、有效返回时间等信息,并可自动打印携机证,便于尚未实行无线标识涉密系统管理的大门检查。通过本系统的另一个报警模块设置,可以在涉密载体非法出入(没有经过带出登记或出入时间与登记时间不符)时发出声光报警。

  8.3.5.3 涉密载体返回登记

  该模块提供涉密载体返回后的登记记录功能,根据当初带出登记的授权时间和次数,返回时检测如果超过时间或次数发出声光报警,返回登记后根据带出登记登记信息判断是否还有权限继续带出,以便决定带出时是否报警。同时可以记录涉密载体每次带出返回的状态。

  8.3.6 涉密载体出入监控管理

  8.3.6.1 涉密载体出入日志查询

  该模块可查询涉密载体出入记录日志信息,包括涉密载体编号(通过无线标识绑带关联)、时间、地点(通过识别基站方位配置管理绑带关联)。

  8.3.6.2 涉密载体出入汇总报表

  该模块对涉密载体出入日志信息进行分类汇总统计,可以按实际需求生成查询统计报表,以便分析各涉密载体流向情况。

  8.3.7 涉密载体历史数据管理

  8.3.7.1 历史数据查询

  该模块提供对各历史数据如登录人员操作日志、报废涉密载体信息、涉密载体出入记录的查询,可以按时间等设计查询条件分类查询。

  8.3.7.2 历史数据转储

  该模块提供对久存的历史数据进行异地转储的功能,以便将历史数据备份到可靠的存储系统里。

  8.3.7.3 历史数据删除

  在历史数据经过转储备份后,该模块提供对久存的历史数据进行删除的功能,以便释放系统存储空间,提高系统查询效率。

  8.3.8 系统集成接口设计

  8.3.8.1 与门禁系统的集成设计

  该模块提供与门禁系统的接口,通过该模块可以查询门禁系统的出入记录信息,并与本系统的涉密载体出入信息进行比对,以便核实涉密载体带出是否是相关责任人。将来系统升级时可以通过一套系统同一个识别基站进行非接触式读取,直接判断是否授权人员携带经过授权携带登记的涉密载体外出。

  8.3.8.2 预留与ERP等其它系统接口

  本模块提供与ERP或OA等其它系统的接口,可以将涉密载体基础信息和出入监控实时信息与其它系统共享,为企业的信息化集成提供桥梁。

  9 系统性能需求

  9.1 无线标识性能需求

  9.1.1 响应快速性

  识别基站读取响应速度很快,理论上可以到达200公里/小时通过速度的识别,可以有效避免人员的快速移动造成的读取失误和遗漏。

  9.1.2 防冲突性

  本识别基站可以同时读取200个无线标识以上,对于上下班时间人员集中出入,可以有效避免因同时有大量无线标识存在于读取范围系统无法全部响应,提高系统检测的可靠性。

  9.1.3 穿透性

  可以有效穿透一般厚度的封闭的非金属阻隔或包装,对于金属包装或阻隔,如果不是全封闭的,也可以穿透检测到。如果是金属全封闭包装或阻隔则无法检测到。

  9.1.4 覆盖全向性

  根据出入门的特点安装调试的天线,不存在盲区,具有三维可读取性,只有天线附近没有金属材料不会影响到其信号发射和接收。

  9.1.5 使用方便性

  基视专业的无线标识小巧、灵活,能符合对不同涉密载体的安装、联接和使用。涉密载体包括笔记本电脑、移动硬盘、U盘等,因此要求无线标识的形态应能满足不同载体的需要。

  9.2 软件系统性能

  软件系统开发采用组件式、模块化设计,系统运行稳定可靠,能适应不同平台和运行环境,兼容性强;系统界面设计友好美观,操作方便;系统数据处理速度快,响应时间在一般在3秒以内,根据实际计算机性能和数据量大小也会有不同的处理时间;界面操作实时响应。

文章热词:涉密物品管理
地址:上海市嘉定区墨玉路185号    服务热线 :021-67662658
邮箱:13651607874@139.com     传真:021_51561628 
24小时热线:13651607874           备案号:沪ICP备16050814号-1
Copyright © 2016-2017 上海基视信息科技有限公司 版权所有