一、産品概述

涉密計算機違規連接互聯網、移動存儲介質交叉使用(yòng)是近年(nián)來我國發(fā／fà)生(shēng)多起涉密信息系統洩密事(shì)件的主要(yào / yāo)原因，同時也是中央和國家(jiā)機關保密檢查中發(fā／fà)現的兩個主要(yào / yāo)洩密途徑；而(ér)外部信息單向導入涉密計算機是涉密單位的重要(yào / yāo)需求。針對(duì)上述嚴峻的涉密信息系統保密安全管理現狀，國家(jiā)保密局組織實施了關于(yú)“涉密計算機及移動存儲設備保密管理系統”（以下(xià)簡稱“三合一系統”）的研制、檢測、生(shēng)産及部署等相關工作。

科技積極跟進國家(jiā)政策标準，于(yú)2010獲得(dé / de / děi)了國家(jiā)保密局關于(yú)“三合一系統”的研制資格。自(zì)獲得(dé / de / děi)研制資格以來，嚴格按照BMB24-2010進行(háng / xíng)研制開發(fā／fà)工作，并在此基礎上探索創新，以遵循國家(jiā)标準爲準則，程度滿足客戶安全管理和應用(yòng)需求爲己任，成功研發(fā／fà)了“涉密計算機及移動存儲設備保密管理系統”。

“三合一系統”遵從“保密、便捷、成熟、實用(yòng)”的設計原則，在保證安全保密的同時，使用(yòng)戶操作的便捷性得(dé / de / děi)到了體現。系統包括用(yòng)戶端軟件、管理端軟件、多功能(néng)導入裝置、涉密專用(yòng)優盤、管理員身份鑰匙、審計員身份鑰匙六個部分，構成如(rú)圖1所(suǒ)示。

1)       服務器程序：安裝在Windows 2000 /2003操作系統上，可(kě)以放置在機房中，由控制台進行(háng / xíng)控制，與終端直接聯系，并将所(suǒ)有信息存儲在數據庫中。

2)       控制端程序：系統遵循二員職責設計，即将管理員細分爲管理員、審計員。 二員可(kě)以通過(guò)控制台來連接服務器實施相應控制。

3)       用(yòng)戶端程序：安裝在每台終端計算機上配合控制台對(duì)終端計算機進行(háng / xíng)安全監控的代理程序，包括涉密終端和涉密單機。

4)       操作員身份鑰匙：包括管理員身份鑰匙和審計員身份鑰匙，使用(yòng)不同的身份鑰匙登錄系統可(kě)以實現相應的管理功能(néng)。

5)       多功能(néng)導入裝置：在安裝本系統軟件的涉密終端上通用(yòng)。其(qí)專用(yòng)接口連接涉密專用(yòng)優盤，實現涉密專用(yòng)優盤的數據存取；通用(yòng)接口連接普通優盤，可(kě)以将非涉密通用(yòng)優盤内的非涉密數據單向導入到涉密計算機。

6)       涉密專用(yòng)優盤：具有規定的外形、接口、内部數據格式、ID和認證方式。用(yòng)于(yú)和多功能(néng)導入裝置配合使用(yòng)完成優盤與計算機的雙向涉密數據交互。

二、産品功能(néng)

2.1 主要(yào / yāo)功能(néng)

2.1.1非法外聯監控：

通過(guò)網絡傳輸層驅動實時監控涉密計算機是否違規連接互聯網；若出現違規行(háng / xíng)爲即時發(fā／fà)送報警信息，并阻斷網絡連接

2.1.2介質使用(yòng)管控：

1)       涉密專用(yòng)U盤管理：實現涉密專用(yòng)U盤的進行(háng / xíng)注冊，查詢，修改注冊信息功能(néng)。

2)       涉密專用(yòng)U盤完整性檢測：對(duì)涉密專用(yòng)U盤的完整性進行(háng / xíng)檢測，從而(ér)避免涉密專用(yòng)U盤注冊信息被非法修改、以及僞造注冊信息。

3)       涉密專用(yòng)U盤使用(yòng)範圍控制：通過(guò)USB涉密過(guò)濾驅動，杜絕非涉密專用(yòng)U盤的接入，涉密專用(yòng)U盤可(kě)控使用(yòng)範圍爲本人、本部門、本單位、通用(yòng)。

4)       涉密專用(yòng)U盤安全性保證：涉密專用(yòng)U盤使用(yòng)前需要(yào / yāo)驗證用(yòng)戶口令、硬件口令；涉密專用(yòng)U盤的讀寫會(huì)進行(háng / xíng)數據的封裝或解析；并采用(yòng)專用(yòng)文件系統，在非法環境中U盤無法正常加載盤符。

2.1.3非涉密信息單向導入：

1)       外部信息單向導入：利用(yòng)光單向傳輸性，将普通存儲介質内的外部信息通過(guò)單向導入裝置單向導入涉密環境中。

2)       文件自(zì)選傳輸：設備支持“默認傳輸”和“自(zì)主傳輸”兩種模式。“自(zì)主傳輸”模式下(xià)用(yòng)戶可(kě)以自(zì)由選自(zì)U盤中的指定文件，導入效率和靈活性大大提高。

3)       傳輸速度可(kě)調：設備在符合标準的前提下(xià)，數據導入速度可(kě)調節。900Bps，4MBps，遠遠高出同類産品。速率可(kě)調也使得(dé / de / děi)面對(duì)不同配置的計算機時兼容性更強。

2.1.4涉密信息雙向交互

通過(guò)涉密專用(yòng)U盤配合多功能(néng)導入裝置使用(yòng)，采用(yòng)特殊的專用(yòng)接口、特殊的專用(yòng)格式及用(yòng)戶口令認證的功能(néng)，實現涉密信息雙向交互

2.2 輔助功能(néng)

2.2.1服務器管理

操作員身份鑰匙、設備控制、報警個性化設置、鎖定設置、日志審計、初始化安裝Key、數據庫自(zì)動備份、備份磁盤空間報警設置、代理探測地址白名單、終端認證時間設定

2.2.2終端管理

卸載和删除終端、終端、注銷終端、查找終端、查看終端資源、終端分組、終端自(zì)動分組、終端自(zì)動升級功能(néng)、終端不在線報警、外聯服務器IP。

2.2.3策略管理

查看、修改終端策略、發(fā／fà)送策略、策略群發(fā／fà)、設置默認加載策略、查看終端策略、查看終端所(suǒ)有已發(fā／fà)策略、查看組策略

三、産品優勢

3.1 完全符合國家(jiā)保密标準

嚴格遵循BMB24-2010标準開發(fā／fà)，功能(néng)、技術、安全性和管理使用(yòng)上完全符合國家(jiā)保密标準。

3.2 手動導航 自(zì)選傳輸更便利

1)       所(suǒ)有文件導入操作均可(kě)通過(guò)面闆上的按鍵完成，無需鍵盤鼠标，使用(yòng)便利。

2)       通過(guò)浏覽U盤文件目錄，用(yòng)戶想傳那(nà)個文件即可(kě)以傳那(nà)個文件，免去(qù)用(yòng)戶爲避免導入不需要(yào / yāo)的信息而(ér)不得(dé / de / děi)不對(duì)U盤内文件進行(háng / xíng)經常性的進行(háng / xíng)反複删除或清空操作，使用(yòng)更簡便。

圖3—多功能(néng)導入裝置“自(zì)主傳輸模式”接收界面

3)       當被導入文件選擇錯誤或傳輸錯誤時，均可(kě)随時終止文件傳輸，使用(yòng)更靈活。

3.3 速率可(kě)調 文件導入更高速

1)       速率可(kě)調，速度高，是多功能(néng)單向導入裝置的技術優勢。BMB24-2010要(yào / yāo)求傳輸速度不低于(yú)500KB/S。多功能(néng)單向導入裝置增加了速度調節功能(néng)，用(yòng)戶可(kě)以根據實際需求，對(duì)非涉密U盤的數據導入速度進行(háng / xíng)調控，速率共分5檔，默認速率爲1檔，可(kě)達900KB/S,5檔可(kě)達4MKB/S，速率可(kě)調節提高了非密U盤向涉密計算機單向導入文件的效率。

2)       速率可(kě)調節在面對(duì)各種高低配置的新舊計算機時，有着(zhe／zhuó／zhāo／zháo)較強較靈活的兼容性。

3.4 真正底層 技術實現更安全

1)       從硬件底層實現對(duì)U盤文件目錄的解析，如(rú)下(xià)圖所(suǒ)示。如(rú)對(duì)文件名、文件大小、文件屬性進行(háng / xíng)解析，并單向上傳到涉密主機端（如(rú)上圖所(suǒ)示），這樣用(yòng)戶通過(guò)文件目錄結構就(jiù)可(kě)以直觀查看文件，技術更底層。

2)       關鍵功能(néng)真正在内核層實現：如(rú)對(duì)外設控制、非法外聯監控等。内核層安全性更高、兼容性更好、控制更準确，程序運行(háng / xíng)效率更高，監控反饋更安全快速。