一、项目意义和必要性

近几年随着计算机的应用越来越广泛，涉密单位的传统保密方式已经远远跟不上信息化发展的需要。如何保证计算机及数据在应用中的安全，防止失泄密事件，已成了当前一项重要的任务。尽管近年来政府在网络化、信息化建设方面取得一些成绩，但对涉密文件和敏感数据管理，以及信息安全共享方面仍是近段时间重点建设内容，也是急待彻底解决的问题。

在国家机关日常办公中，通常会产生大量的涉及国家安全、政府安全的涉密文件。目前这些 密级文件的区域内共享与利用是采用网络技术或电子数据载体进行传递的。然而，近年来在国家、军队中失泄密案件频发，其中不乏给国家安全构成严重威胁的恶性失泄密案件，结果显示导致办公文件失泄密最常见的途径是计算机网络、移动U盘、硬盘和笔记本电脑等电子计算机信息载体。人们在设计防范计算机网络失泄密技术外，如何有效加强对涉密移动信息载体，尤其是小型、便携、使用极为便利的移动存储介质管理是国家机关高度关注的焦点问题。

本项目涉及到的保密移动信息载体包括笔记本电脑、保密移动存储介质（U盘、移动硬盘）等资产。结合信息保密、访问控制技术，将RFID技术、无线传感网技术、实时定位技术应用到政府的涉密移动信息载体管理中，综合利用网络管理和保密设备管理软件等手段，给信息安全增加更可靠的管理手段。实现对各种涉密移动信息载体进行监控定位管理、指定区域、人员管理，使单位信息资产、涉密信息不被移动存储设备非法流失，真正实现移动存储设备信息安全的“五不”原则，即：进不来、拿不走、读不懂、改不了、走不脱。 “进不来”，是指外部的移动存储介质拿到单位内部来不能用；“拿不走”是指单位内部的存储介质拿出去使不了；“读不懂”是指只有授权的人才能解密阅读，任何未经授权的人都打不开其中的文件，这意味着即使存储介质丢失也不会造成泄密；“改不了”是指其中的信息篡改不了；“走不脱”是指系统对存储介质采用丢失报警，有效防止粗心造成的损失。

二、项目方案

系统基于对“对象的管理”，主要用于涉密信息的管理对象（即涉密信息载体，分为：纸制载体和电子载体）和应用对象（即接触、使用、保管涉密信息的人）的管理。将涉密目标与管理单元有机组合，通过管理链将其纳入到有效管理掌控之中。

1、系统功能

系统将从本质上改变以往管理模式，基于对重要信息“过程的管理”，其中不仅包含了对对象本身的管理，更重要的是他能够对重要信息的生成、移动、传播、存储、检查等一系列事件的发展过程进行管理，管理事件始终伴随着事物的发展过程，予以记录、分析、汇总，根据事先制定好的规则进行评估、判断，发出报警。能够实现更加人性化的管理同时摆脱人为因素的干扰，体现“人文科技、人文管理”。系统主要功能为：

a）实时涉密载体监控功能

b）载体涉密等级控制功能

c) 权限控制与实时查询功能

d) 区域定位功能

e) 监控报警功能

f）管控规则定制功能

g）载体使用记录和统计功能

2、系统组成及架构

系统由下面四部分组成：

a）监控电子载体：无线监控U盘、无线监控移动硬盘、笔记本监控标签；

b）监控纸制载体：监控文件柜（可在现有文件柜上改造）；

c）监控读写器、门禁多媒体终端

d）监控管理软件系统

系统硬件架构如下： 

3、产品介绍

1）保密存储介质（U盘、移动硬盘）

内置RFID模块的保密移动存储介质，包括保密U盘、保密移动硬盘。通过RFID技术控制存储介质的使用、携带，采用无线相互认证的方式防止随意带出、或者防止失落。

USB2.0接口； 

Win2000以上系统无需驱动；   

存储容量：根据用户要求定制；

无线监控距离：30米；

防破坏设计：若想强行拆开存储介质，将对信息自毁；

内置电池：可连续使用4个月，在使用时可通过USB接口充电；

无线实时监控，可以在后台系统实时跟踪U盘轨迹；  

具有无线锁功能，通过无线授权使用；   

内置充电电池，U盘使用时即可充电；    

双指示灯：充电、数据读取； 

可监控U盘的使用位置； 

可监控并控制U盘的使用状态；  

在监控范围内使用为可用，出了监控范围为不可用；

2）笔记本监控标签

有源RFID标签，内置电池，粘贴在笔记本等资产表面，适用于笔记本等信息载体。

防拆除设计：标签采用粘贴的方式附着在设备上，一旦安装后即启动自检功能，如果被恶意拆除，标签能马上检测并发出报警信号给监控读写器。

3）监控读写器

采用专用加密协议的无线监控读写器，外型新颖、吸顶式安装，可支持网络取电功能，实现无线自组网通信。

产品特点：

内置、外置两种天线连接方式，适应不同的应用场景；

有线网络通信接口，并支持网络取电功能（Power on Ethernet），即使建筑物没有提供弱电电源，也可以方便的安装实施；

支持无线自组网通信功能，采用自主知识产权的adhoc通信协议，布置方便。

4）门禁多媒体终端

集成触摸一体机、门禁读卡器、指纹识别仪、声音提示为一体，废弃传统的通道式门禁结构，容易与环境融为一体。人员或涉密载体经过时可以查验人员或载体是否授权。

5）监控管理软件系统

软件系统分为涉密信息的管理对象（即涉密信息载体，分为：纸制载体和电子载体）和应用对象（即接触、使用、保管涉密信息的人）的管理两部分。

涉密信息载体管理包括：

a) 登记与发放

对涉密载体进行登记及发放，绑定使用人员。

b) 审批与授权

包括：审批文件和介质外借、审批查询、已批准查询、文件跟踪，以及系统相关参数的设置。

c) 进出监控

进出监控的主要功能包括：进出人员识别登记、进出文件识别登记和人员与所持文件的对应权限匹配判断，按照系统规则做出对应的反应。

通过进出监控，可以实时查询文件和人员的位置状态，文件的携带情况，是否有违反管理规定的事件发生，并对整个过程进行记录。

d) 轨迹跟踪管理

查看载体历史移动轨迹，判断使用的合法性。

人员管理包括：

A)门禁管理

B）区域控制

C)访客管理

4，系统特点

1）管理实时，操作快捷、简便，日志记录详尽，完整的“管理链路”；

2) 自动识别、距离远、精度高，抗干扰性好，环境适应强，实现“智能判断”；

3) 信息按级公开，权限控制严格，层级明确，实现“向上负责”；

4) 系统数据与系统硬件指纹实现绑定加密，模块数据加密传输；

5) 系统独立加密编码，防治信息泄漏，便于数据融合；

6) 强有力的督促、监管作用，要求人员必须自觉遵从系统规则和操作流程，便于领导实时管控和检查督促；

7) 人性化管理、避免冲突，独特的预警、报警功能；

8) 独特的安全信用值量化管理、工作量化统计，便于量化考核；

9) 分布式结构，便于组网、机动部署和范围扩展；

10) 模块化设计，便于功能扩展和特殊模块定制。